Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Оценка ущерба от инцидентов ИБ (возможный подход)
08 мая 2019 |
И это при том, что у многих компаний, являющихся субъектами КИИ, уже
проведены мероприятию по оценке рисков и разработаны примерно вот такие
карты негативных бизнес-событий с экспертной оценкой их вероятности и
размера последствий.
В анализе "кибернетических рисков", как иногда говорят чиновники и
другие далекие от ИБ персонажи, они применяются давно и в целом
безуспешно, разве что позволяя хоть как-то приоритезировать усилия по
управлению ими. Правда, в условиях попытки оценивать вероятность будущих
событий в непрерывно изменяющемся мире и технологий и угроз, выглядит
это достаточно странно. Вчера у вас атак на блокчейн не было, сегодня
тоже нет, значит ли это, что и завтра их не будет?
Ну да ладно. Фиг с ней, с вероятностью. Пусть будет экспертная оценка.
Попробуем разобраться с ущербом. Вроде как умные люди на разных
мероприятиях говорят, что с бизнесом надо говорить на языке бизнеса, а
он понимает только язык денег. Поэтому ущерб надо считать в деньгах.
И вот тут наступает ступор. Причем не только у безопасников, но и у
самого бизнеса, который далеко не все и не всегда считает именно
"рублем" (не зря же в свое время придумали систему сбалансированных
показателей), а безопасники с него требуют оценки именно финансовой. Но
это не всегда и нужно. Если вернуться к набившему оскомину совету
"говорите с бизнесом на его языке", то мы должны вспомнить, что бизнес -
это операции, в результате которых субъект КИИ получает прибыль (ну или
наращивает выручку, или увеличивает долю рынка). Соответственно
нарушение этих операций влияет на бизнес-показатели организации и должно
быть нейтрализовано. Или застраховано, или принято, если нарушение
несущественно. Вот влияние киберугроз на бизнес-операции и должны быть
оценено. Именно на бизнес-операции, а не вообще на то, что может быть
измерено. А что может относиться к измеримым и универсальным
показателям бизнес-операции? Изменение стоимости чего-то или количества
чего-то (не забывая про время, которое влияет на оба показателя). Вот
их-то мы и оцениваем при измерении ущерба. Например, вот ряд
"универсальных" метрик при оценки ущерба (они могут встретиться почти в
любой компании).
Само собой, могут быть и специфические метрики. Например, в рамках
генерации электроэнергии может применяться вот такой показатель. За ним,
безусловно, может стоять какой-нибудь инцидент ИБ, который и приводит к
снижению генерируемых мощностей. А может и не стоять, что чаще всего и
бывает. И тогда такой инцидент врядли заинтересует бизнес и уж точно,
объект, на котором такой инцидент произойдет врядли будет считаться
значимым.
Но иногда бизнес обращается внимание не только на показатели
бизнес-операций. Например, в одной крупной отечественной финансовой
организации председатель правления оценивает инциденты ИБ (именно он -
ниже применяется более привычная классификация) по PR-масштабу. Попали
сведения об инциденте в прессу - инцидент важный (даже если на
бизнес-операции он напрямую никак не повлиял - а гудвил или
репутационный ущерб у нас считать как-то непринято); не попали -
неважный. Поэтому для таких инцидентов может потребоваться своя градация
ущерба - от несущественного до катастрофического).
Разумеется, часть из описанных метрик являются результатом сложения
метрик более детальных, получаемых в рамках декомпозиции. Например, тот
же финансовый ущерб может складываться из следующих параметров:
Да, кстати. Ровно эта идея и заложена в ПП-127 по категорированию
объектов КИИ. Но там оно описано слишком высокоуровнево и без примеров.
Может в методике ФСТЭК это все будет, но появиться она в любом случае
позже сроков составления перечня объектов КИИ, прописанных в ПП-127. Так
что не тяните, а еще раз посмотрите на то, что вы делаете в контексте
категорирования своих объектов КИИ и попробуйте посмотреть на эту задачу
с точки зрения бизнеса. В кои-то веки у вас появляется возможность
увязать свою деятельность с тем, что нужно ему, а не только регулятору.
- стоимость прямых потерь от нарушения бизнес-операций
- стоимость восстановления бизнес-операций
- снижение стоимости акций (стрёмный показатель, но иногда тоже поддается измерению)
- размер штрафов
- упущенная выгода (если вы можете ее посчитать)
- снижение лояльности заказчиков
- замена оборудования или повторный ввод информации
- взаимодействие с пострадавшими заказчиками
- и т.д.
Подводя итог, хочется еще раз сформулировать ключевые области, которые
стоит брать во внимание во время оценки ущерба от возможных инцидентов
ИБ:
- Что остановит или замедлит операции в вашей организации (что характерно, это применимо не только к коммерческим предприятиям, но и к государственным)?
- Что приведет к снижению прибыли / выручки / маржинальности / доли рынка вашей компании?
- Что приведет к снижению качества предоставляемого продукта / услуги?
- Что приведет к негативному влиянию на цель компании / бизнес-подразделения / бизнес-проекта / executive sponsor?
А все остальное мы отбрасываем за ненадобностью, так как оно не несет
ничего ценного для бизнеса и тратить на него ресурсы компании и свои
время и энергию нецелесообразно.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.