threat modeling (part 2)

© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 61/398

Моделирование угроз на разных этапах жизненного цикла


Этап проектирования

Выявление главных источников риска и предполагаемых факторов, влияющих на риск

Предоставление исходных данных для оценки системы в целом

Определение и оценка возможных мер безопасности

Предоставление исходных данных для оценки потенциально опасных действий и систем

Обеспечение соответствующей информации при проведении ОКР

Оценка альтернативных решений


Этап эксплуатации и техобслуживания

Контроль и оценка данных эксплуатации

Обеспечение исходными данными процесса разработки эксплуатационной документации

Корректировка информации об основных источниках риска и влияющих факторах

Предоставление информации по значимости риска для принятия оперативных решений

Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы

Подготовка персонала


Этап вывода из эксплуатации

Предоставление исходных данных для новой версии системы

Корректировка информации об основных источниках риска и влияющих факторах


Чем раньше, тем лучше

Чем позже осуществляется моделирование угроз, тем дороже обходится борьба с ними

Дизайн и архитектура

• 1Х

Внедрение

• 5Х

Тесты интеграции

• 10Х

Бета-тестирование

• 15Х

Боевой запуск

• 30Х


Стратегии анализа рисков


4 стратегии анализа рисков

Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007(ISO\IEC TR 13335-3-1998)


Базовый подход

Принятие усредненного значения риска для всехсистем

Выбор стандартных средств защиты (ISO/IEC TR 13335-4 или ISO\IEC 27002)

Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации

Достоинства

• Минимум ресурсов

• Унификация защитных мер

Недостатки

• Завышение или занижение уровня риска


Неформальный подход

Проведение анализа, основанного на практическом опыте конкретного эксперта


• Не требует значительных средств и времени


• Увеличивается вероятность пропуска важных деталей

• Трудности при обосновании защитных мер

• Возможна низкая квалификация эксперта

• Зависимость от субъективности или увольнения эксперта


Детальный подход

Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д.


• Адекватный выбор защитных мер


• Значительные финансовые, временные и людские ресурсы

• Вероятность опоздать с выбором защитных мер из-за глубокого анализа


Комбинированный подход

Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем


• Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков

• Оптимизация и эффективность использования ресурсов


• Потенциальная ошибочность отнесения систем к некритичным для бизнеса


Процесс моделирования угроз


Разные процессы моделирования

Существует различные описанные процессы моделирования угроз

Более детально рассмотрим ГОСТ Р 51901.1-2002

Источник: Ford Motor Company


Этапы моделирования угроз

Определение области применения

Идентификация опасности и предварительная оценка последствий

Оценка величины угрозы

Проверка результатов анализа

Документальное обоснование

Корректировка результатов анализа с учетом последних данных


Кто моделирует угрозы?

Персонал должен быть квалифицированным и понимать принципы функционирования анализируемой системы

Отсутствие собственных экспертов

Обращение к специализированным компаниям

Сложность современных систем обуславливает применение групп экспертов

Нельзя зависеть от одного человека


Область применения

Область применения должна быть определена и задокументирована

Документы ФСТЭК определяют такое понятие как «контролируемая зона», но оно уже «области применения»

Этапы определения области применения

Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска)

Описание исследуемой системы

Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам

Описание предположения, ограничивающих анализ


Границы рассмотрения системы

В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится понятие «границы рассмотрения»

Позволяет избежать ненужных операций и повысить качество анализа рисков

Для конкретной системы необходимо учитывать

ИТ-активы

Персонал (включая субподрядчиков и персонал сторонних организаций)

Необходимые условия для производственной деятельности (помещения, банкоматы, CCTV и т.п.)

Бизнес-операции


Идентификация опасности

Необходимо идентифицировать опасности

Известные опасности (происходившие ранее) должны быть четко и точно описаны

Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа

Предварительная оценка должна основываться на анализе последствий и изучении их основных причин

Предварительная оценка позволяет сделать следующий шаг

Принятие немедленных мер с целью снижения или исключения опасностей

Прекращение анализа из-за несущественности опасности

Переход к оценке рисков и угроз


Анализ последствий

Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием

Анализ последствий должен

Основываться на выбранных нежелательных событиях

Описывать любые последствия, являющиеся результатом нежелательных событий

Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия

Устанавливать критерии, используемые для полной идентификации последствий

Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени

Учитывать вторичные последствия на смежные системы


Анализ неопределенностей

Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин

Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели

С анализом неопределенностей тесно связан анализ чувствительности

Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели


Проверка анализа

Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто

Для проверки анализа необходимо привлекать людей, не участвующих в анализе

Проверка анализа включает

Проверка соответствия области применения поставленным задачам

Проверка всех важных допущений

Подтверждение правильности использованных методов, моделей и данных

Проверка результатов на повторяемость


Нарушители


Классификация нарушителей

ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»

Террористы и террористические организации

Конкурирующие организации и структуры

Спецслужбы иностранных государств и блоков государств

Криминальные структуры

Взломщики программных продуктов ИТ

Бывшие сотрудники организаций связи

Недобросовестные сотрудники и партнеры

Пользователи услугами связи


Мотивация нарушителей


Месть

Достижение денежной выгоды

Хулиганство и любопытство

Профессиональное самоутверждение

Я бы еще добавил политику и идеологию


Авторы Промежуточная ступень

Злоумышленники второй ступени

Злоумышленники первой ступени

Конечный результат

Шпионящее ПО

Вирусы

Трояны

Черви

Создатели вредоносных

программ

Внутреннее злоупотребление

привилегиями

Сбор информации

Сбор данных о компьютере

Организатор атак типа DDoS с целью

вымогательства

Спамер

Злоумышленник

Фарминг/изменение DNS

Хищение персональных

данных

Компрометация ПК и приложений

Создание ботнетов

Управление ботнетами

Личная информация

Информационное маклерство

Кража

Шпионаж

Вымогательство

Коммерческие продажи

Мошеннические продажи

Финансовое мошенничество

Разработчикизлоумышленных

программ

Хакеры/прямые атаки

Известность

Экосистема киберпреступников


Последствия


Последствия и свойства информации

ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделает 6 свойств информации, для которых описываются последствия

Конфиденциальность

Целостность

Доступность

Подотчетность

Аутентичность

Достоверность

Такая классификация позволяет систематизировать последствия


Последствия для конфиденциальности

Потеря общественного доверия

Снижение имиджа

Ответственность перед законом

Отрицательное влияние на политику организации

Создание угрозы безопасности персонала

Финансовые потери


Последствия для целостности

Принятие неправильных решений

Обман

Прерывание коммерческих операций






Последствия для доступности

Принятие неправильных решений

Неспособность выполнять важные поставленные задачи





Большие затраты на восстановление


Последствия для подотчетности

Манипулирование системой со стороны пользователей

Обман

Промышленный шпионаж

Неконтролируемые действия

Ложные обвинения



Последствия для аутентичности

Обман

Использование достоверных процессов с недостоверными данными

Манипулирование организацией извне

Промышленный шпионаж

Ложные обвинения



Последствия для достоверности

Обман

Потеря доли рынка

Снижение мотивации в работе персонала

Ненадежные поставщики

Снижение доверия клиентов



Источники угроз


Источники угроз по ГОСТ 52448


Субъект

Материальный объект

Физическое явление


Источники угроз по РС БР ИББС-2.2

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»

Неблагоприятные события природного, техногенного и социального характера

Террористы и криминальные элементы

Зависимость от поставщиков/провайдеров/партнеров/клиентов

Сбои, отказы, разрушения/повреждения ПО и техсредств

Внутренние нарушители ИБ

Внешние нарушители ИБ

Несоответствие требованиям надзорных и регулирующих органов


Факторы, воздействующие на информацию

Источники угроз?


Категории опасностей

Природные опасности

Наводнения, землетрясения, ураганы, молнии и т.п.

Технические опасности

Социальные опасности

Войны, вооруженные нападения, диверсии, эпидемии и т.п.

Опасности, связанные с укладом жизни

Злоупотребление наркотиками, алкоголь, сектантство и т.п.

ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»


Пример из жизни

Национальности руководителей отдела ИБ и службы внутреннего контроля банка – осетин и ингуш

Конфликт

Клиент банка (на Кавказе) – давний друг семьи, к которой принадлежит руководитель отдела банка

Потенциальная проблема

Руководитель и подчиненный организации (в Казахстане) из разных кланов (тейпов)

Конфликт


ГОСТ Р 51275-2006

ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию»

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации

Природа возникновения

Объективные Субъективные

Источник возникновения

Внутренние Внешние


Объективные факторы

Внутренние

Передача сигналов

Излучение сигналов, функционально присущие тех.средствам

Побочные электромагнитные излучения

Паразитное электромагнитное излучение

Наводка

Наличие акустоэлектрических преобразователей в элементах тех.средств

Дефекты, сбои и отказы, аварии тех.средств

Дефекты, сбои и отказы ПО


Объективные факторы

Внешние

Явления техногенного характера

Природные явления, стихийные бедствия


Субъективные факторы

Внутренние

Разглашение защищаемой информации лицами, имеющими к ней право доступа

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации

Несанкционированный доступ к информации

Недостатки организационного обеспечения защиты информации

Ошибки обслуживающего персонала


Субъективные факторы

Внешние

Доступ к защищаемой информации с применением тех.средств

Несанкционированный доступ к защищаемой информации

Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку

Действия криминальных групп и отдельных преступных субъектов

Искажение, уничтожение или блокирование информации с применением тех.средств


Каталоги угроз




ФСТЭК – «Методика определения актуальных угроз персональным данным»

ФСТЭК – «Методика определения актуальных угроз ключевым системам информационной инфраструктуры»

BSI – Threats Catalogue Force majeur

MAGERIT: Risk Analysis and Management Methodology for Information Systems

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

Учитывайте, что угрозы постоянно меняются и могут отсутствовать в используемой версии каталога или измениться по сравнению с описанными в ней


ГОСТ Р ИСО/МЭК ТО 13335-3-2007

…D – угрозы, обусловленные преднамеренными действиямиA – угрозы, обусловленные случайными действиямиE – угрозы, обусловленные естественными причинами


Методы анализа рисков и определения опасностей


Методы анализа риска / угроз

Существует множество различных методов анализа рисков / угроз

Универсального метода не существует

При выборе метода надо учитывать, что должен быть

Научно обоснованным и соответствовать сложности и природе анализируемой системы

Давать результаты в форме, обеспечивающей понимание природы риска/угрозы и способов его контроля

Типовым и обладать свойствами, обеспечивающими возможность прослеживаемости, повторяемости и контролируемости

В документации необходимо представить обоснование выбранного метода анализа / моделирования


Выбор метода анализа риска / угроз

Метод анализа риска и угроз выбирается исходя из приемлемости целого ряда факторов

Например, на ранней стадии развития системы могут использоваться менее детализированные методы


2 категории методов анализа рисков

Дедуктивный

• За исходное принимается заключительное событие

• Выявляются события, которые могут вызвать исходное

Индуктивный

• За исходное принимается разрушение/ нарушение ИБ различных компонентов

• Выявляются события, которые могут последовать за этим нарушением

Источник: ГОСТ Р 51344-99


Дедуктивный метод

Исходное событие – утечка информации

События-причины

Троянец, занесенный через периферию (USB, CD и т.п.)

Троянец , занесенный через e-mail

Троянец, занесенный через уязвимость в Web-броузере

Кража со стороны сотрудника

Случайные действия персонала

Халатность персонала

Шантаж персонала

Перехват информации во время передачи по каналам связи

Кража носителя информации (лэптопа, КПК и т.п.)

Уязвимость в настройках средств защиты


Индуктивный метод

Исходное событие – атака на Web-сайт банка

События-последствия

Негативный отзыв в прессе (удар по репутации)

Недоступность сайта

Утечка информации с сайта

Проникновение во внутреннюю сеть организации

Дефейс главной страницы сайта

Внедрение вредоносного кода на сайт

Хищение средств (для Интернет-банкинга или Интернет-магазина)

Нарушение законодательства (PCI DSS)


Методы анализа риска


Особенности выбора

Не стоит опираться только на один метод анализа рисков / угроз – лучше их комбинировать

Важно помнить, что существенным фактором во многих инцидентах является человеческий фактор и организационные ошибки

Нельзя ограничиваться только технической стороной анализируемой системы


Процесс моделирования угроз(продолжение)


Оценка риска

На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов

Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим

Необходимо качественно ранжировать сценарии, поместив их в матрицы риска

Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков

Не существует универсальной формы и содержания матрицы риска

Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуации


Пример матрицы риска

Источник: ГОСТ Р 51901.1-2002Классификация риска:• В – высокая величина риска• С – средняя величина риска• М – малая величина риска• Н – незначительная величина риска

Классификация серьезности последствий:• Катастрофическое – практически полная потеря анализируемого объекта• Значительное – крупный ущерб системе• Серьезное – серьезный ущерб системе• Незначительное – незначительное повреждение системы


Анализ частот / вероятности

Историческая (статистическая) оценка, позволяющая на основании данных прошлых периодов прогнозировать будущее

Опрос экспертов

Метод Дельфи, метод парных сопоставлений, метод классификации групп риска

Прогнозирование с использованием таких приемов, как дерево неисправностей (граф атак), дерево событий и т.п.


Вероятность


Вероятность возникновения риска

Считаем самостоятельно

(экспертная оценка)

Используем готовую статистику

Собственная Чужая

Базовый расчет

Детальный расчет


Вероятность возникновения риска(второй метод – после собственной статистики)

У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!

Мы не знаем условий, при которых произошел инцидент

Мы не имеем деталей по каждому респонденту

Средняя температура по больнице

Пример: риски для АСУ ТП

Небольшое число внедрений

Публичной статистики нет (базы BCIT и INL не в счет)

Статистики вендоров нет – «закрытые» технологии

Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП

Экспертных оценок в России нет


О доверии к статистике

Proofpoint

• 43% утечек через e-mail

Infowatch


IDC


Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер

Не каждая компания приглашает социологов для осуществления опросов


Публичные отчеты со статистикой угроз

WhiteHat Security – Web Vulnerability Statistics

Positive Technologies – Статистика уязвимостей Web

CSI – CSI Computer Crime & Security Survey

Aberdeen Group – The 2008 Email Security Report

IBM ISS – X-Force 2008 Trend & Risk Report

Symantec – Global Internet Security Threat Report

MessageLabs – 2008 Annual Security Report

Cisco – 2008 Annual Security Report

Verizon – 2009 Data Breach Investigations Report

PwC – 2008 Information Security Breaches Survey

..\..\..\Storage\Security materials\Reports\Grossman-WebMetrics.pdf

..\..\..\Storage\Security materials\Reports\�� Web-�� 2008.pdf

..\..\..\Storage\Security materials\Reports\�� Web-�� 2008.pdf

..\..\..\Storage\Security materials\Reports\CSIsurvey2008.pdf

..\..\..\Storage\Security materials\Reports\Email Security.pdf

..\..\..\Storage\Security materials\Reports\xforce-2008-annual-report.pdf



..\..\..\Storage\Security materials\Reports\b-whitepaper_internet_security_threat_report_xiv_04-2009.en-us.pdf

..\..\..\Storage\Security materials\Reports\MLIReport_Annual_2008_FINAL.pdf

..\..\..\Storage\Security materials\Reports\Cisco2008Annual_Security_Report.pdf

..\..\..\Storage\Security materials\Reports\2009_databreach_rp.pdf

..\..\..\Storage\Security materials\Reports\BERR_ISBS_2008(sml).pdf


CNN: Десятки миллионов ПК инфицированы и входят в состав различных ботнетов

http://www.cnn.com/2006/TECH/internet/01/31/furst/

Symantec Internet Security Report – Июнь ‘05

10,000+ новых зомби добавляется каждый день

Рост DoS-атак с 119 до 927 в день —рост на 679%

Большой % DDoS-атак создаются ради вымогательства

Рост ботнетов

http://www.cnn.com/2006/TECH/internet/01/31/furst/


Большинство провайдеров второго уровня и контент-провайдеров (85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек – 1 Гбит/сек.

Многие респонденты говорят в среднем о 10-ти и более атаках в месяц, которые нарушают доступность сетей клиентов (среднее число атак в месяц - 40)

Атак, которые влияют непосредственно на инфраструктуру провайдеров, стало меньше – в среднем 1-2 в месяц

Источник: Arbor Networks Worldwide ISP Security Report

Размер и частота DoS-атак


Рост числа вредоносного ПОучаствующего в построение ботнетов и краже данных

# уникальных сигнатур в 2006: 972K# уникальных сигнатур в 2007: 5.5M

Уникальные сигнатуры вредоносного ПО

500% рост за 12 месяцев


Утечки данных через E-mail и Web


100%-й рост спама


Базовая экспертная оценка (третий метод)

При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз

Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы

Экспертная оценка является дополняет статистику и зачастую подтверждает ее

Желательно использовать комбинацию всех методов


Считаем самостоятельно (четвертый метод)

Вероятность

Уязвимость

Сила защитной

меры

Возможности нарушителя

Угроза

Наличие доступа

Действие


А оцениваем ли мы риски нарушителя?

Профиль (модель) нарушителя

Мотив (причина)

Цель

«Спонсор» (кто помогает ресурсами?)

Потенциальные возможности

Озабоченность косвенным ущербом

Приемлемый уровень риска


Потенциал нападения

ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от

Мотивации нарушителя

Компетентности нарушителя

Ресурсов нарушителя


Мотивация нападения

Высокая мотивация нападение неизбежно

Низкая мотивация нападение маловероятно

Но исключая крайние ситуации, прямой связи между вероятностью и мотивацией не прослеживается

Более ценный актив более высокая мотивация

Но ценность актива субъективна и прямая связь ценности и мотивация не всегда связана

Высокая мотивация приобретение достаточной компетентности


Вычисление потенциала нападения

2 аспекта - идентификация и использование

Время, затрачиваемое на идентификацию уязвимости

Техническая компетентность специалиста

Знание проекта и функционирования атакуемой системы

Доступ к атакуемой системе

Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа

Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга

Компетентность время, доступные ресурсы время


Вычисление потенциала нападения


Вычисление рейтинга уязвимости

Складываются 10 значений из предыдущей таблицы

Таблица – не догма, а руководство к действию

Если значение близко к границе, подумайте об усреднении двух значений

ОО – объект оценки, СФБ – стойкость функции безопасности


Сравнение с другими рисками (пятый метод)

Сравнение/сопоставление с аналогичным риском

ГОСТ Р 51344-99

Сравнение с риском на аналогичном решении с учетом следующих факторов

Аналогичное оборудование безопасности

Предполагаемое использование и технологии на обоих решениях сравнимы

Опасность и элементы риска сравнимы

Технические условия сравнимы

Условия использования сравнимы

Необходимо учитывать дополнительные факторы

Например, тип защищаемой информации или потенциал нападения


Аналитика (шестой метод)

Прогнозирование с использованием аналитических методов

«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)

«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события

Имитационное моделирование отказов/инцидентов


Бинарная вероятность (седьмой метод)

Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет

При отсутствии защитных мер

Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев

В обычной жизни это слишком дорого

…или для угроз, которые являются очень распространенными

Данный метод применяется в неьольшом количестве различных методик

Ключевые системы информационной инфраструктуры – ФСТЭК

Security Architecture for Enterprise (SAFE) – Cisco

Методика ФСБ по персданным


Градация вероятности угроз

Существуют различные градации частот / вероятности опасностей / угроз

Девять уровней – ГОСТ 13569

Шесть уровней – ГОСТ Р 51901.1-2002

Четыре уровня – «Методика определения актуальных угроз ПДн»

Три уровня – ГОСТ Р 52448-2005

И т.п.


Оценка потерь


Оценка потерь

Анализ риска не может быть осуществлен без оценки потерь

Потеря в природе риска. Без потерь рисков не бывает

Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам

Особенности оценки потерь

Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках…

Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности


Почему сложно считать?

Информационный актив может иметь разную ценность

В разное время, для разных аудиторий, в разных бизнес-процессах

Потери могут принимать разные формы

Одно событие может быть причиной нескольких форм потерь

Сложные взаимосвязи между разными формами потерь

Объем потерь определяется множеством факторов


Ценность относительна

Ценность стакана воды в городских условиях равна нулю

Вода есть везде

Стакан воды в пустыне бесценнен

Воды практически нет

Цена стакана воды одинакова в обоих условиях


Зависимая ценность

Если ценность зависимого актива ниже или равна ценности анализируемого актива, то итоговая ценность остается прежней

Если ценность зависимых активов выше, то ценность анализируемого актива необходимо повысить с учетом

Уровня соответствующей зависимости

Уровня ценности других активов


Определение ценности

Потери

Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски

Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация

Приобретение

Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.

Ценность потери Ценность

приобретения


Определение потерь

Бизнес-потери

Падение доходов

Штрафы и судебные иски

Упущенная выгода

Потеря доли рынка

Удар по репутации

Снижение лояльности клиентов/партнеров

«Информационные» потери (например, интеллектуальная собственность)

ИТ- или операционные потери

Цена восстановления информации

Цена восстановления ИТ-систем

Цена восстановления бизнес-процессов


Формы потерь

• Простои

• Ухудшение психологического климатаПродуктивность

• Расследование инцидента

• PR-активностьРеагирование

• Замена оборудования

• Повторный ввод информацииЗамена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельностиШтрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурентаКонкуренты

• Гудвил

• Снижение капитализации, курса акцийРепутация


Составляющие потерь

Цена «сбоя» складывается из множества параметров

Восстановление утерянной информации

«Процедурные» затраты

Стоимость времени восстановления

Взаимодействие с пострадавшими стейкхолдерами

Резервирование автоматизации ключевых процессов ручными операциями

Снижение качества обслуживания

Извлечение уроков и т.п.

Необходимо учитывать динамику потерь

Ущерб может наступить мгновенно или спустя недели

Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же


Жизненный цикл сбоя

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

Степень влияния и составляющие цены «сбоя» меняется с течением времени


Ценность активов

Активы бывают материальные и нематериальные

Материальные активы оцениваются обычно на основе стоимости их замены или восстановления

Аналогичным образом часто оценивается и программное обеспечение

Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик


Взгляд на информацию

ИБ думает про информацию с точки зрения

Целостности, конфиденциальности и доступности

Бизнес думает про информацию с точки зрения

Стоимости создания, рыночной ценности, достоверности, своевременности (оперативности)

ИББизнес


Стоимость информации

Рыночная стоимость компании – наличные –стоимость всех физических активов = стоимость информации (информационная ценность)

Пример

$100М физических активов и $100М наличными

$100М акций по $10 каждая

Стоимость информации $800М

Стоимость акций упала на 1% и компания потеряла $8М. Это проблема ИБ?

Стоимость акций выросла на 2% и компания заработала $16М. Это успех ИБ?


Имеет ли информационный актив цену?

Наиболее сложный, но реализуемый этап в BIA

Требует привлечения финансового департамента и финансовых методик расчета

Совершенно иной уровень знаний и квалификации

Оценки стоимости информационных активов возможна

Бухгалтерия давно умеет это делать!

Методика оценки нематериальных активов


Нематериальные активы

Патенты, изобретения, технологии…

Авторские права

Деловая репутация

Фирменные знаки и наименования

Документированные консультации

Торговые марки

ПО, обособленное по «железа»

Права на эксплуатацию

Лицензии

И т.д.


Виды стоимости НМА

Вид стоимости Определение

Стоимость обмена Вероятная цена продажи, когда условия

обмена известны обеим сторонам и сделка

считается взаимовыгодной

Обоснованная рыночная

стоимость

Наиболее вероятная цена, по которой

объект оценки переходит из рук одного

продавца в руки другого на открытом рынке

и добровольно

Стоимость

использования

Стоимость объекта оценки в представлении

конкретного пользователя и с учетом его

ограничений

Ликвидационная

стоимость

Стоимость объекта оценки при вынужденной

продаже, банкротстве

Стоимость замещения Наименьшая стоимость эквивалентного

объекта оценки


Методы оценки НМА

Рыночный

• Метод сравнения продаж аналогичных объектов оценки

Затратный

• Метод стоимости замещения

• Метод восстановительной стоимости

• Метод исходных затрат

Доходный

• Метод расчета роялти

• Метод исключения ставки роялти

• Метод DCF

• Метод прямой капитализации

• Экспресс-оценка

• Метод избыточной прибыли

• Метод по правилу 25%

• Экспертные методы

У каждого метода есть своя область применения, свои достоинства и недостатки


Стандарты оценки НМА

МСФО 38 «Нематериальные активы»

GAAP – для США

EVS 2000 – для Евросоюза

Стандарты оценки РФ

Утверждены ПП-519 от 6.07.2001


ALE, ALE, ALE, ALE


ALE – Annual Loss Expectancy

Совокупные затраты на ИБ = ALE + TCO

Ежегодный ожидаемый размер потерь


SLE – Single Loss Expectancy

Стоимость потерь от одной атаки

Может вычисляться как

Произведение стоимости атакуемого актива (Asset Value) на вероятность атаки (Exposure Factor)

или

Детальная оценка стоимости конкретной атаки


SLE = AV * EF

Мы должны уметь оценивать стоимость активов с различных сторон

Генерируемая активом прибыль или оборот

Стоимость информации

Мы должны иметь представление о вероятности атак

Сбор собственной статистики

Экспертная оценка

Использование международной усредненной статистики (KPMG, PwC, CSI и т.д.)


Detailed Attack Costing (DAC)

Детальная оценка стоимости атаки включает в себя:

Стоимость простоя атакуемого актива (потеря продуктивности)

Стоимость восстановления атакуемого актива, включая привлечение внешних сил

Дополнительные затраты (штрафы, неустойки, репутация, судебные тяжбы, уход клиентов и т.п.)

Потенциальные сбережения (например, электричество или Интернет)

Метод обычно применяется для активов, которые напрямую не «завязаны» на генерацию финансовых средств, но важны для бизнеса


Исходные данные

Время простоя вследствие атаки

Время восстановления после атаки

Время повторного ввода потерянной информации

Зарплата обслуживающего персонала

Зарплата сотрудников атакованного узла или сегмента

Численность обслуживающего персонала

Численность сотрудников атакованного узла/сегмента

Объем продаж, выполненных с помощью атакованного узла или сегмента

Стоимость замены оборудования или запасных частей


Совокупная стоимость владения

Прямые затраты включают в себя:

Капитальные затраты на программное обеспечение

Капитальные затраты на аппаратное обеспечение

Затраты на дополнительное программно-аппаратное обеспечение (базы данных, браузеры, системы резервирования и т.д.)

Затраты на поддержку и обучение (командировочные расходы, звонки в службу поддержки, общение по e-mail)

Затраты на управление (зарплата администраторов, реагирование на атаки, трафик Internet, модернизация)

Затраты на внедрение

Сопутствующие затраты (прокладка СКС, изменение топологии, перенастройка оборудования)

Прайсовая стоимость системы защиты составляет 15-21% от совокупной стоимости владения


Совокупная стоимость владения

Косвенные затраты включают в себя:

Непродуктивная работа пользователей, связанная с действиями «проб и ошибок» из-за отказа от чтения документации и обучения

Простои и сбои системы защиты

threat modeling (part 2)

Self Improvement