Оценка рисков и выявление угроз
Оценка рисков и выявление угроз
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Оценка риска
Несмотря на то, что к этому моменту вы собрали значительный объем данных, вам потребуется проанализировать эту информацию, чтобы определить вероятность возникновения риска, на что он влияет и затраты, связанные с каждым риском. Активы будут иметь разные риски, связанные с ними, и вам нужно будет сопоставить различные риски с каждым из активов, инвентаризированных в компании. Некоторые риски повлияют на все активы компании, например, риск сильного пожара, который уничтожит здание и все, что в нем находится, а в других случаях; группы активов будут подвержены определенным рискам.
Активы компании, как правило, сопряжены с несколькими рисками. Отказ оборудования, кража или неправильное использование могут повлиять на аппаратное обеспечение, а вирусы, проблемы с обновлением или ошибки в коде могут повлиять на программное обеспечение. Изучив вес важности, связанный с каждым активом, вы должны расставить приоритеты, какие активы будут анализироваться в первую очередь, а затем определить, какие риски связаны с каждым.
После того как вы определили, какие активы могут быть затронуты различными рисками, вам необходимо определить вероятность возникновения риска. Хотя может существовать множество угроз, которые могут повлиять на компанию, не все из них вероятны. Например, торнадо весьма вероятен для бизнеса, расположенного в Оклахома-Сити, но маловероятен в Нью-Йорке. По этой причине необходимо проводить реалистичную оценку рисков.
Исторические данные могут предоставить информацию о том, насколько вероятно, что риск станет реальностью в течение определенного периода времени. Исследования должны быть выполнены для определения вероятности рисков в пределах местности или с определенными ресурсами. Определив вероятность возникновения риска в течение года, вы можете определить то, что известно как годовая частота возникновения (ARO).
Информация для оценки риска может быть получена из различных источников. Полицейские управления могут предоставить статистику преступности в районе, где расположены ваши объекты, что позволит вам определить вероятность вандализма, взломов или опасностей, с которыми потенциально может столкнуться персонал. Страховые компании также предоставят информацию о рисках, с которыми столкнулись другие компании, и суммах, выплаченных, когда эти риски стали реальностью. Другие источники могут включать информационные агентства, организации по мониторингу компьютерных инцидентов и онлайн-ресурсы.
После расчета ARO для риска вы можете сравнить его с денежными потерями, связанными с активом. Это значение в долларах, которое представляет, сколько денег было бы потеряно, если бы риск произошел. Вы можете рассчитать это, взглянув на стоимость ремонта или замены актива. Например, если в сети произошел сбой маршрутизатора, вам потребуется приобрести новый маршрутизатор и заплатить за его установку. В дополнение к этому, компании также придется платить за сотрудников, которые не могут выполнять свою работу из-за отсутствия доступа к сети. Это означает, что денежный убыток будет включать в себя цену нового оборудования, почасовую заработную плату лица, заменяющего оборудование, и расходы на сотрудников, не способных выполнять свою работу. Когда рассчитывается долларовая стоимость убытка, это дает общую стоимость риска или ожидаемую величину единичного убытка (SLE).
Чтобы спланировать возможный риск, вам необходимо заложить в бюджет вероятность того, что риск произойдет. Для этого вам нужно использовать ARO и SLE, чтобы найти годовой ожидаемый убыток (ALE). Чтобы проиллюстрировать, как это работает, предположим, что вероятность сбоя веб-сервера составляет 30 процентов. Это будет ARO риска. Если сайт электронной коммерции, размещенный на этом сервере, генерирует 10 000 долларов в час и, по оценкам, сайт будет недоступен в течение двух часов, пока система ремонтируется, то стоимость этого риска составляет 20 000 долларов. В дополнение к этому также будет стоимость замены самого сервера. Если бы сервер стоил 6000 долларов, это увеличило бы стоимость до 26000 долларов. Это будет SLE риска. Умножив ARO и SLE, вы найдете, сколько денег потребуется заложить в бюджет, чтобы справиться с этим риском. Эта формула обеспечивает ALE:
ARO x SLE = ALE
Если посмотреть на пример отказавшего сервера, на котором размещен сайт электронной коммерции, это означает, что ALE будет:
0,3 х 26 000 долларов = 7 800 долларов
Чтобы справиться с риском, вам необходимо оценить, сколько необходимо заложить в бюджет, чтобы справиться с вероятностью возникновения события. ALE предоставляет эту информацию, предоставляя вам больше возможностей для восстановления после инцидента, когда он произойдет.
Упражнение: определение ежегодных убытков, ожидаемых от рисков
Производитель виджетов установил новые сетевые серверы, изменив свою сеть с одноранговой на сеть на основе клиент-сервер. Сеть состоит из 200 пользователей, которые зарабатывают в среднем 20 долларов в час, работая на 100 рабочих станциях. Ранее ни на одной из рабочих станций, вовлеченных в сеть, не было установлено антивирусное программное обеспечение. Это произошло потому, что не было подключения к Интернету, а на рабочих станциях не было дисководов для гибких дисков или подключения к Интернету, поэтому риск заражения вирусами считался минимальным. Один из новых серверов обеспечивает широкополосное подключение к Интернету, которое сотрудники теперь могут использовать для отправки и получения электронной почты, а также для работы в Интернете. Один из менеджеров прочитал в отраслевом журнале, что другие производители виджетов сообщают о 80-процентной вероятности заражения вирусами их сети после установки линий T1 и других методов подключения к Интернету, и что восстановление поврежденных данных может занять до трех часов. или уничтожены. Поставщик будет продавать лицензионные копии антивирусного программного обеспечения для всех серверов и 100 рабочих станций по цене 4700 долларов в год. Компания попросила вас определить ежегодные убытки, которые можно ожидать от вирусов, и определить, выгодно ли с точки зрения затрат приобретение лицензионных копий антивирусного программного обеспечения.
1. Какова годовая частота возникновения (ARO) этого риска?
2. Рассчитайте вероятность единичного убытка (SLE) для этого риска.
3. Используя формулу ARO x SLE = ALE, рассчитайте ожидаемый годовой убыток.
4. Определите, выгодно ли в денежном выражении приобретение антивирусного программного обеспечения, подсчитав, сколько денег будет сэкономлено или потеряно при покупке программного обеспечения.
ОТВЕТЫ НА ВОПРОСЫ УПРАЖНЕНИЯ
1. Годовая частота возникновения (ARO) — это вероятность возникновения риска в течение года. В сценарии говорится, что отраслевые журналы рассчитывают риск заражения вирусом в 80% после подключения к Интернету, поэтому ARO составляет 80% или 0,8.
2. Ожидание единичного убытка (SLE) — это стоимость убытка в долларах, равная общей стоимости риска. В случае этого сценария есть 200 пользователей, которые зарабатывают в среднем 20 долларов в час. Если умножить количество сотрудников, которые не могут работать из-за сбоя системы, на их почасовой доход, это означает, что компания теряет 4000 долларов в час (200 x 20 долларов = 4000 долларов). Поскольку восстановление ущерба от вируса может занять до трех часов, эту сумму необходимо умножить на три, поскольку сотрудники не смогут выполнять свои обязанности примерно в течение трех часов. Таким образом, SLE составляет 12 000 долларов (4 000 x 3 = 12 000 долларов).
3. ALE рассчитывается путем умножения ARO на SLE (ARO x SLE = ALE). В данном случае это будет означать, что вы должны умножить 12 000 долларов на 80 процентов (0,8), чтобы получить 9 600 долларов (0,8 x 12 000 долларов = 9 600 долларов). Следовательно, ALE составляет 9600 долларов.
4. Поскольку ALE составляет 9600 долларов США, а стоимость программного обеспечения, которое минимизирует этот риск, составляет 4700 долларов США в год, это означает, что компания сэкономит 4900 долларов США в год, приобретая программное обеспечение (9600 долларов США — 4700 долларов США = 4900 долларов США).
Идентификация угрозы
После того, как вы определили риски, которые могут представлять возможную угрозу для вашей компании, и определили, какой ущерб можно ожидать от инцидента, вы готовы принять решения о том, как защитить свою компанию. Проведя оценку рисков, вы можете обнаружить значительное количество вероятных угроз, которые могут затронуть вашу компанию. Это могут быть вторжения, вандализм, кража или другие инциденты и ситуации, которые могут различаться в зависимости от бизнеса. Это может сделать дальнейшие действия по управлению рисками невозможными.
Первое, что нужно понять, это то, что невозможно устранить все угрозы, которые могут повлиять на ваш бизнес. Абсолютной безопасности не бывает. Сделать объект абсолютно безопасным было бы слишком дорого, и он был бы настолько безопасным, что никто не смог бы войти и выполнить какую-либо работу. Цель состоит в том, чтобы управлять рисками, чтобы свести к минимуму связанные с ними проблемы.
Еще один важный момент, о котором следует помнить, заключается в том, что некоторые угрозы могут быть сопряжены с чрезмерными затратами на предотвращение. Например, существует ряд угроз, которые могут повлиять на сервер. Вирусы, хакеры, огонь, вибрации и другие риски — это лишь некоторые из них. Чтобы защитить сервер, можно установить программное обеспечение безопасности (например, антивирусное программное обеспечение и брандмауэры) и сделать комнату пожаробезопасной, сейсмостойкой и защищенной от любого количества угроз. Однако затраты на это в конечном итоге станут выше, чем стоимость актива. Было бы разумнее сделать резервную копию данных, установить брандмауэр и антивирусное программное обеспечение и рискнуть, что другие угрозы не произойдут. Эмпирическое правило заключается в том, чтобы решить, какие риски приемлемы.
После подсчета потерь, которые могут возникнуть в результате угрозы, вам нужно будет найти экономически эффективные меры защиты себя. Для этого вам необходимо определить, с какими угрозами вы будете бороться и как. Руководство должно принять решение о дальнейших действиях на основе собранных вами данных о рисках. В большинстве случаев это будет включать разработку методов защиты актива от угроз. Это может включать установку программного обеспечения безопасности, внедрение политик и процедур или добавление дополнительных мер безопасности для защиты актива.
Вы можете решить, что риски, связанные с активом, слишком высоки, а затраты на его защиту также слишком высоки. В таких случаях актив должен быть перемещен в другое место или полностью ликвидирован. Например, если есть опасения по поводу вибрации веб-сервера в результате землетрясений в Калифорнии, то перемещение веб-сервера в филиал в Нью-Йорке сведет на нет эту угрозу. Удаляя актив, вы впоследствии устраняете угрозу его повреждения или уничтожения.
Другой вариант — передать потенциальные убытки, связанные с угрозой, другой стороне. Страховые полисы могут быть оформлены для страхования актива, так что в случае возникновения каких-либо убытков компания может быть возмещена с помощью полиса. Лизинг оборудования или услуг через другую компанию также может привести к передаче риска. В случае возникновения проблемы лизинговая компания будет нести ответственность за исправление или замену задействованных активов.
Наконец, другой вариант — ничего не делать с потенциальной угрозой и жить с последствиями (если они произойдут). Это происходит чаще, чем вы ожидаете, особенно если учесть, что безопасность — это компромисс. Каждая введенная мера безопасности затрудняет доступ к ресурсам и требует от людей дополнительных действий для выполнения своей работы. Компания может иметь широкополосное подключение к Интернету через линию T1 для сотрудников, работающих с компьютеров внутри компании, и подвергаться риску загрузки вредоносных программ. Хотя это только одна возможная ситуация, когда компания будет жить с потенциальной угрозой (и делать ставку на то, что она останется только «потенциальной»), она показывает, что в некоторых ситуациях предпочтительнее иметь угрозу, чем потерять конкретную услугу..