Обеспечение информационной безопасности бизнеса
Шрифт:
В рамках этой схемы мы сначала выдвигаем (формулируем) некоторое предположение о достижимости определенного результата в рамках фиксированного плана деятельности. Реализовав этот план, в общем случае с отклонением реального результата от заявленного, мы подробно исследуем причины несоответствия и вырабатываем корректирующие меры. Процесс продолжается, улучшая предсказуемость достигаемого результата.
Величина несоответствия заявленного и полученного результата в конечном счете зависит от объема использованной информации, глубины и детальности проводимого нами анализа, а также от природы процесса. В ситуации, когда результат в основном зависит от управляемых факторов, предсказуемость будет очень точной, и, наоборот, при зависимости от внешних неуправляемых факторов процесс сойдется на некоторой величине неулучшаемой погрешности. Эту погрешность предсказания (планирования)
Недостаток эмпирического знания — его накопление происходит медленно. Реально это может понижать эффективность деятельности.
На практике используются оба вида знания, причем приоритет должен быть у эмпирического знания как более достоверного (адекватного). Рекомендуемое соотношение для процесса накопления знаний: должно использоваться ~ 30 % чужого опыта (информационное знание) и ~ 70 % своего опыта (эмпирическое знание).
Информационные сущности модели Деминга — Шухарта показаны на рис. 9. Видно, что процесс начинается с четкого формулирования целей. Понимание того, какой результат должен быть получен и каким образом он будет оцениваться, есть фундаментальный аспект процесса. В ситуации, когда приемлем любой результат (что получилось, то и ладно), процесс оказывается содержательно разомкнут; все риски приняты заранее и никакого накопления опыта не произойдет.
Далее вырабатывается стратегия, отображающая «технологический» аспект: что и как мы будем делать для достижения поставленной цели. В рамках этой стратегии должны учитываться ресурсы и образующийся временной ряд частных (частично реализованных) целей, определяющий количество «проходов» по циклу Деминга (для однократно реализуемой цели). В случае многократной реализации одной и той же цели ситуация упрощается: не требуется детализировать процесс реализации цели. Можно ограничиваться обобщениями по конечным результатам реализации цели. В любом случае на этом этапе составляется план. Далее он реализуется, мы получаем результат и переходим к процедуре его оценки и сравнения с ожидаемым по плану.
И наконец, последним в кольце реализуется аналитический этап. Его задача — понять причину несоответствия реализовавшейся и ожидаемой цели и выработать необходимые корректирующие воздействия. Собственно, на этом этапе и вырабатывается эмпирическое знание в виде некоторой структуры, отображающей причинно-следственные связи и отношения между всеми задействованными в реализации цели субъектами и объектами с учетом условий реализации целей. Для однократно реализуемой цели одной из возможностей является также корректировка собственно самой цели с учетом реализовавшихся частных целей. На рис. 9 эта возможность отражена в виде связи от вершины «Исследуем» к вершине «Чего хотим?».
1.3.10. Интерпретация характеристик риска для управления ИБ
Универсальной моделью измерения уровня ИБ, позволяющей сравнивать результаты оценок ИБ для разных видов целенаправленной деятельности, — модель, основанная на измерении совокупности характеристик риска или риск-факторов.
Будем считать, что оценка уровня ИБ построена на основе некоторой полной модели (модели нулевого риска), описывающей объект некоторой совокупностью реализуемых им процессов деятельности. Отклонения в реализации процессов будут порождать риски, связанные с их неправильным функционированием (из-за некачественных входных данных или исходного сырья, ошибок персонала, отсутствия должного обеспечения процессов, неправильной поддержки жизненного цикла используемого оборудования и программного обеспечения, злоумышленных действий и т. п.), приводящие в конечном итоге к снижению качества вырабатываемого продукта и другим потерям и негативным последствиям. Оценка ИБ при этом получается двухуровневой:
— характеристики риска каждого процесса, измеряемые по отклонению (отличиям) параметров этого процесса от параметров модели нулевого риска;
— интегральная характеристика совокупного или агрегированного риска, вычисляемая некоторым способом по характеристикам риска отдельных процессов с учетом пересечения множеств факторов.
Эти характеристики риска (т. е. полученные цифровые оценки) ничего не означают до тех пор, пока не накоплено определенное эмпирическое знание о процессах. Идея накопления такого знания в области ИБ состоит в привязывании к этим характеристикам происходящих инцидентов и связанного с ними ущерба. Таким образом, полученная оценка интерпретируется как некий связанный с ней прямой ущерб или негативные последствия, также оцененные по некоторой методике в виде ущерба. Связь оценки с потерями может быть пропорциональной или нет, все зависит от способа агрегирования риска. Описанный процесс интерпретации для случая агрегированного риска иллюстрируется рис. 10.
Обобщенные данные по инцидентам формируются с некоторой периодичностью и оформляются в виде отчетов, содержащих результаты расследования и анализа происшедших инцидентов. Эти результаты, среди прочего, содержат суммарную величину ущерба за отчетный период, полученного от инцидентов. Сопоставляя эту величину с интегральной оценкой, характеризующей риск и вычисленной в начале отчетного периода, можно получить множество точек в координатах «ущерб, риск», по которым может быть построена соответствующая зависимость. С использованием полученной зависимости возможно выполнить прогноз ущерба для следующего интервала отчетности. Риск принимается, если прогнозируемый ущерб будет меньше допустимого значения. В противном случае риск должен обрабатываться.
Предполагается, что интервалы отчетности одинаковы по величине. При необходимости прогноза ущерба на более короткий или более длинный интервал по сравнению с интервалом отчетности зависимость должна соответствующим образом трансформироваться. Если говорить о тенденциях, то при более длинных интервалах ущерб при одной и той же интегральной оценке риска будет возрастать, а при более коротких интервалах сокращаться (см. графики на рис. 10 справа).
Обработка риска предполагает воздействие на объект, в результате которого должна происходить некоторая его реструктуризация. Сила этого воздействия может быть измерена величиной инвестиций, необходимых для реструктуризации и улучшения функционирования процессов, приводящих в конечном счете к уменьшению ущерба. При этом можно использовать разные стратегии: инвестировать понемногу во все процессы или выбрать для инвестирования какую-то группу процессов. Один из подходов, иллюстрация которого приведена на рис. 11, предполагает накопление ряда значений оценок ущерба для каждого из процессов с учетом инвестиций. В результате может быть построена зависимость, характеризующая чувствительность процесса к инвестициям. Разные процессы могут находиться в разном состоянии и поэтому иметь разную чувствительность к инвестициям. Одни процессы имеют линейную зависимость (см. рис. 11, верхний график), другие требуют для получения нужного эффекта больших начальных вложений (нижний график), третьи процессы близки к насыщению, и слишком большие инвестиции в них не дадут нужного эффекта (средний график на рис. 11).
Например, установка сетевого экрана с функциями обнаружения вторжений в условиях, когда его не было и для защиты компьютеров во внутренней сети использовались средства, штатно имеющиеся в составе их ОС, потребует сразу больших инвестиций. Когда же этот экран установлен и необходима лишь корректировка правил фильтрации и настройка системы обнаружения вторжений, то вложения будут относительно небольшими, причем эффект от этого мероприятия будет ограничен теми возможностями по настройке, которые есть в имеющемся оборудовании. Затраты на сверхтонкую настройку при ограниченности возможностей, как правило, не оправдывают себя.
Размер инвестиций определяется величиной прогнозируемого ущерба, поскольку если на преодоление риска требуется ресурс больший, чем потери, то нет смысла обрабатывать риск. В приводимом на рис. 11 примере размер инвестиций таков, что в нижний процесс на рисунке его не имеет смысла вкладывать. Второй процесс имеет смысл инвестировать в небольшом объеме. Оставшуюся часть целесообразно инвестировать в первый процесс.
В рассмотренных иллюстрациях цикл накопления знаний вырождается в совершенствование обработки риска. Отметим, что построение использованных в примерах зависимостей по эмпирическому опыту чаще всего окажется невозможным. Назначение рассмотренных примеров — облегчить понимание природы связи абстрактных оценок риска с имеющейся практикой. Это понимание облегчит и позволит совершенствовать обработку риска даже в том случае, когда она делается на основе экспертных оценок.