Я к теме оценки рисков не обращался уже года два. Мне казалось я все сказал еще на InfoSecurity 2008. Но видимо придется тезисно повторить. Как было сказано в одной статье: «Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса — зал общий, а система игры у каждого своя«. И действительно. Методов оценки вероятности существует большое пяти (я знаю семь). Методов оценки ущерба — больше трех десятков. Методик оценки рисков вообще под полсотни. А результат все равно никого не устраивает. Особенно бизнес, которому результат такой оценки пытаются втюхать.
За 2 года ситуация совсем не изменилась. Оценка рисков как была больше исскуством, чем наукой, так и осталась. Если не сказать больше. Оценка рисков ИБ сегодня — это шаманство. Резюме было подведено давно, в стандарте ISO 13335, в котором было сказано, что лучшая методика оценки рисков та, которая устраивает все стороны — и того, кто считает риски, и того, кому их демонстрируют. А уж какая она, совсем неважно. В прошлом ноябре, на конференции «Ведомостей», мне понравилось выступление Виталия Задорожного, директора по операционным рискам Вымпелкома. На вопрос о том, как он общается с руководством, он ответил просто — есть три сценария. Либо надо показать, что дает ИБ бизнесу (это всегда под вопросом). Либо риски от невыполнения требований должны быть катастрофическими. Либо руководство должно доверять своему CRO/CSO/CISO. И вот в последнем случае мнение оценщика и есть та самая методика оценки, которая устраивает всех.
Мне кажется, что пора уже заканчивать эти баталии о том, как правильно считать риски ИБ. Их считать сегодня нельзя. Нельзя так, чтобы оценка была реплицируемой и ей можно было бы доверять. Нет пока в нашей отрасли адекватных инструментов, чтобы считать статистику и оценивать ущерб. А без них говорить о какой-либо оценке рисков бессмысленно.
Полностью согласен с Алексеем. Только вот, например, СТО БР ИББС этого мнения не учитывает и процесс оценки рисков там является обязательным. Для небольших банков это выглядит совсем лженаукой, в силу ограниченности ресурсов и достаточной прозрачности многих вопросов. И метод оценки рисков там как правило строится на доверии к мнению ИТ/ИБ руководителя.
ага, осталось только бизнесу согласиться с такой вот "расплывчатой" позицией..
Думаю каждый безопасник для себя пришел к такому выводу. Может и не публично, но внутренне.. однозначно —
слишко много неопределенности.
Нужно не считать риски, а реализовывать их самим против себя с минимальным ущербом для бизнеса. Демонстрировать затраты и последствия таких реализаций для руководства. Возникнет самоорганизация по защите. Тогда бизнес будет привит к более серьезным рискам.
Я за прививки!
альтернатива — утки….или модель угроз/модель нарушителя с четко прописанными уровнями )))
Это альтернатива для безопасника, но не для бизнеса
Коллеги, надеюсь никто не станет отрицать что оценка рисков есть во всех международных ИБ-стандартах/практиках (ISO, NIST, PCI DSS и др.) Так что не надо про СТО БР. И отсутствие статистики — это совсем не помеха для проведения оценки рисков.
Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку…, все гораздо легче — подумайте как оценить бизнес. И вот Вам счастье.
Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку…, все гораздо легче — подумайте как оценить бизнес. И вот Вам счастье.
Да, совсем чуть чуть надо сделать 😉