Как считать риски?

Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу «риск = вероятность * ущерб». На вопрос про оценку ущерба ответ был предсказуем — «экспертная оценка». На вопрос о вероятности — экспертная оценка или база инцидентов. В итоге все остались недовольны. Одни — ответом. Другие — вопросом 😉

Я к теме оценки рисков не обращался уже года два. Мне казалось я все сказал еще на InfoSecurity 2008. Но видимо придется тезисно повторить. Как было сказано в одной статье: «Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса — зал общий, а система игры у каждого своя«. И действительно. Методов оценки вероятности существует большое пяти (я знаю семь). Методов оценки ущерба — больше трех десятков. Методик оценки рисков вообще под полсотни. А результат все равно никого не устраивает. Особенно бизнес, которому результат такой оценки пытаются втюхать.

За 2 года ситуация совсем не изменилась. Оценка рисков как была больше исскуством, чем наукой, так и осталась. Если не сказать больше. Оценка рисков ИБ сегодня — это шаманство. Резюме было подведено давно, в стандарте ISO 13335, в котором было сказано, что лучшая методика оценки рисков та, которая устраивает все стороны — и того, кто считает риски, и того, кому их демонстрируют. А уж какая она, совсем неважно. В прошлом ноябре, на конференции «Ведомостей», мне понравилось выступление Виталия Задорожного, директора по операционным рискам Вымпелкома. На вопрос о том, как он общается с руководством, он ответил просто — есть три сценария. Либо надо показать, что дает ИБ бизнесу (это всегда под вопросом). Либо риски от невыполнения требований должны быть катастрофическими. Либо руководство должно доверять своему CRO/CSO/CISO. И вот в последнем случае мнение оценщика и есть та самая методика оценки, которая устраивает всех.

Мне кажется, что пора уже заканчивать эти баталии о том, как правильно считать риски ИБ. Их считать сегодня нельзя. Нельзя так, чтобы оценка была реплицируемой и ей можно было бы доверять. Нет пока в нашей отрасли адекватных инструментов, чтобы считать статистику и оценивать ущерб. А без них говорить о какой-либо оценке рисков бессмысленно.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Олег

    Полностью согласен с Алексеем. Только вот, например, СТО БР ИББС этого мнения не учитывает и процесс оценки рисков там является обязательным. Для небольших банков это выглядит совсем лженаукой, в силу ограниченности ресурсов и достаточной прозрачности многих вопросов. И метод оценки рисков там как правило строится на доверии к мнению ИТ/ИБ руководителя.

    Ответить
  2. Алексей Евменков

    ага, осталось только бизнесу согласиться с такой вот "расплывчатой" позицией..

    Ответить
  3. biakus

    Думаю каждый безопасник для себя пришел к такому выводу. Может и не публично, но внутренне.. однозначно —
    слишко много неопределенности.

    Нужно не считать риски, а реализовывать их самим против себя с минимальным ущербом для бизнеса. Демонстрировать затраты и последствия таких реализаций для руководства. Возникнет самоорганизация по защите. Тогда бизнес будет привит к более серьезным рискам.

    Я за прививки!

    Ответить
  4. Flint

    альтернатива — утки….или модель угроз/модель нарушителя с четко прописанными уровнями )))

    Ответить
  5. Алексей Лукацкий

    Это альтернатива для безопасника, но не для бизнеса

    Ответить
  6. Александр Бондаренко

    Коллеги, надеюсь никто не станет отрицать что оценка рисков есть во всех международных ИБ-стандартах/практиках (ISO, NIST, PCI DSS и др.) Так что не надо про СТО БР. И отсутствие статистики — это совсем не помеха для проведения оценки рисков.

    Ответить
  7. Анонимный

    Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку…, все гораздо легче — подумайте как оценить бизнес. И вот Вам счастье.

    Ответить
  8. Анонимный

    Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку…, все гораздо легче — подумайте как оценить бизнес. И вот Вам счастье.

    Ответить
  9. Алексей Лукацкий

    Да, совсем чуть чуть надо сделать 😉

    Ответить