Threat Modeling (Part 2)

Моделирование
угроз на разных
этапах жизненного
цикла

Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 61/398

Этап проектирования

 Выявление главных источников риска и
предполагаемых факторов, влияющих на риск
 Предоставление исходных данных для оценки
системы в целом
 Определение и оценка возможных мер безопасности
 Предоставление исходных данных для оценки
потенциально опасных действий и систем
 Обеспечение соответствующей информации при
проведении ОКР
 Оценка альтернативных решений


Этап эксплуатации и техобслуживания

 Контроль и оценка данных эксплуатации
 Обеспечение исходными данными процесса
разработки эксплуатационной документации
 Корректировка информации об основных источниках
риска и влияющих факторах
 Предоставление информации по значимости риска
для принятия оперативных решений
 Определение влияния изменений в оргструктуре,
производстве, процедурах эксплуатации и
компонентах системы
 Подготовка персонала

Этап вывода из эксплуатации

 Предоставление исходных данных для новой версии
системы
 Корректировка информации об основных источниках
риска и влияющих факторах


Чем раньше, тем лучше

 Чем позже осуществляется моделирование угроз, тем
дороже обходится борьба с ними

Дизайн и Внедрение Тесты
архитектура • 5Х интеграции
• 1Х • 10Х

Боевой Бета-
запуск тестирование
• 30Х • 15Х


Стратегии анализа
рисков


4 стратегии анализа рисков

Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007
(ISOIEC TR 13335-3-1998)


Базовый подход

 Принятие усредненного значения риска для всех
систем
 Выбор стандартных средств защиты (ISO/IEC TR
13335-4 или ISOIEC 27002)
 Сложно применим в организациях с системами
разного уровня критичности, разными видами
конфиденциальной информации

Достоинства Недостатки

• Минимум ресурсов • Завышение или
• Унификация занижение уровня
защитных мер риска

Неформальный подход

 Проведение анализа, основанного на практическом
опыте конкретного эксперта


• Не требует значительных • Увеличивается
средств и времени вероятность пропуска
важных деталей
• Трудности при
обосновании защитных
мер
• Возможна низкая
квалификация эксперта
• Зависимость от
субъективности или
увольнения эксперта

Детальный подход

 Детальная идентификация и оценка активов, оценка
угроз, оценка уровня уязвимости активов и т.д.


• Адекватный выбор • Значительные
защитных мер финансовые,
временные и
людские ресурсы
• Вероятность
опоздать с выбором
защитных мер из-за
глубокого анализа

Комбинированный подход

 Предварительный анализ высокого уровня для всех
систем с последующей детализацией для наиболее
критичных для бизнеса систем и использованием
базового подхода для менее критичных систем


• Быстрая оперативная • Потенциальная
оценка систем с ошибочность отнесения
последующим выбором систем к некритичным
адекватного метода для бизнеса
анализа рисков
• Оптимизация и
эффективность
использования ресурсов


Процесс
моделирования
угроз


Разные процессы моделирования

 Существует различные
описанные процессы
моделирования угроз
 Более детально
рассмотрим ГОСТ Р
51901.1-2002

Источник: Ford Motor Company

Этапы моделирования угроз

 Определение области
применения
 Идентификация опасности и
предварительная оценка
последствий
 Оценка величины угрозы
 Проверка результатов
анализа
 Документальное обоснование
 Корректировка результатов
анализа с учетом последних
данных

Кто моделирует угрозы?

 Персонал должен быть квалифицированным и
понимать принципы функционирования
анализируемой системы
Отсутствие собственных экспертов
Обращение к специализированным компаниям

 Сложность современных систем обуславливает
применение групп экспертов
Нельзя зависеть от одного человека


Область применения

 Область применения должна быть определена и
задокументирована
Документы ФСТЭК определяют такое понятие как
«контролируемая зона», но оно уже «области применения»

 Этапы определения области применения
Описание оснований для и/или проблем, повлекших
моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех
технических, правовых, человеческих, организационных
факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ


Границы рассмотрения системы

 В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится
понятие «границы рассмотрения»
Позволяет избежать ненужных операций и повысить качество
анализа рисков

 Для конкретной системы необходимо учитывать
ИТ-активы
Персонал (включая субподрядчиков и персонал сторонних
организаций)
Необходимые условия для производственной деятельности
(помещения, банкоматы, CCTV и т.п.)
Бизнес-операции


Идентификация опасности

 Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть
четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы
с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе
последствий и изучении их основных причин

 Предварительная оценка позволяет сделать
следующий шаг
Принятие немедленных мер с целью снижения или исключения
опасностей
Прекращение анализа из-за несущественности опасности
Переход к оценке рисков и угроз


Анализ последствий

 Анализ последствий используется для оценки
вероятного воздействия, которое вызывается
нежелательным событием
 Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом
нежелательных событий
Учитывать меры, направленные на смягчение последствий,
наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной
идентификации последствий
Учитывать как немедленные последствия, так и те, которые
могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы

Анализ неопределенностей

 Для эффективной интерпретации значений риска и
угроз очень важно понимание неопределенностей и
вызывающих их причин
 Анализ неопределенностей предусматривает
определение изменений и неточностей в результатах
моделирования, которые являются следствием
отклонения параметров и предположений,
применяемых при построении модели
С анализом неопределенностей тесно связан анализ
чувствительности

 Анализ чувствительности подразумевает
определение изменений в реакции модели на
отклонения отдельных параметров модели

Проверка анализа

 Проверка анализа позволяет убедиться, что анализ
проведен корректно и ничего не забыто
 Для проверки анализа необходимо привлекать людей,
не участвующих в анализе
 Проверка анализа включает
Проверка соответствия области применения поставленным
задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов,
моделей и данных
Проверка результатов на повторяемость


Нарушители


Классификация нарушителей

 ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи


Мотивация нарушителей

Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение

 Я бы еще добавил политику и идеологию


Экосистема киберпреступников
Злоумышленники Промежуточная Злоумышленники Конечный
Авторы первой ступени второй ступени результат
ступень

Разработчики
Хакеры/прямые Известность
злоумышленных
атаки
программ
Компрометация
ПК и приложений Кража
Создатели
вредоносных Организатор атак типа
Сбор данных о DDoS с целью
программ компьютере вымогательства
Создание
ботнетов Шпионаж
Черви Спамер
Сбор информации
Управление Вымогательство
ботнетами
Вирусы Злоумышленник
Внутреннее Коммерческие
злоупотребление продажи
привилегиями Личная
Трояны информация Фарминг/
изменение DNS
Мошеннические
продажи
Информационное Хищение
Шпионящее ПО маклерство персональных
данных Финансовое
мошенничество


Последствия


Последствия и свойства информации

 ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и
средства обеспечения безопасности. Выбор защитных
мер» выделает 6 свойств информации, для которых
описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность

 Такая классификация позволяет систематизировать
последствия


Последствия для конфиденциальности

 Потеря общественного доверия
 Снижение имиджа
 Ответственность перед законом
 Отрицательное влияние на политику организации
 Создание угрозы безопасности персонала
 Финансовые потери


Последствия для целостности

 Принятие неправильных решений
 Обман
 Прерывание коммерческих операций


Последствия для доступности

 Принятие неправильных решений
 Неспособность выполнять важные поставленные
задачи
 Большие затраты на восстановление


Последствия для подотчетности

 Манипулирование системой со стороны
пользователей
 Обман
 Промышленный шпионаж
 Неконтролируемые действия
 Ложные обвинения


Последствия для аутентичности

 Обман
 Использование достоверных процессов с
недостоверными данными
 Манипулирование организацией извне
 Промышленный шпионаж
 Ложные обвинения


Последствия для достоверности

 Обман
 Потеря доли рынка
 Снижение мотивации в работе персонала
 Ненадежные поставщики
 Снижение доверия клиентов


Источники угроз


Источники угроз по ГОСТ 52448

Субъект
Материальный объект
Физическое явление


Источники угроз по РС БР ИББС-2.2

 РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
Неблагоприятные события природного, техногенного и
социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих
Threat Modeling
органов
© 2008 Cisco Systems, Inc. All rights reserved. 96/398

Факторы,
воздействующие
на информацию
Источники угроз?


Категории опасностей

 Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.

 Технические опасности
 Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.

 Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.

 ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»


Пример из жизни

 Национальности руководителей отдела ИБ и службы
внутреннего контроля банка – осетин и ингуш
Конфликт

 Клиент банка (на Кавказе) – давний друг семьи, к
которой принадлежит руководитель отдела банка
Потенциальная проблема

 Руководитель и подчиненный организации (в
Казахстане) из разных кланов (тейпов)
Конфликт


ГОСТ Р 51275-2006

 ГОСТ Р 51275-2006 «Объект информатизации.
Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень
факторов, воздействующих на безопасность защищаемой
информации, в целях обоснования угроз безопасности
информации и требований по защите информации на
объекте информатизации

Природа Источник
возникновения возникновения

Объективные Субъективные Внутренние Внешние


Объективные факторы

 Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах
тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО


Объективные факторы

 Внешние
Явления техногенного характера
Природные явления, стихийные бедствия


Субъективные факторы

 Внутренние
Разглашение защищаемой информации лицами, имеющими к
ней право доступа
Неправомерные действия со стороны лиц, имеющих право
доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты
информации
Ошибки обслуживающего персонала


Субъективные факторы

 Внешние
Доступ к защищаемой информации с применением
тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем
перегрузки тех.средств обработки информации запросами на
ее обработку
Действия криминальных групп и отдельных преступных
субъектов
Искажение, уничтожение или блокирование информации с
применением тех.средств


Каталоги угроз


Каталоги угроз

 Каталоги угроз
ФСТЭК – «Методика определения актуальных угроз
персональным данным»
ФСТЭК – «Методика определения актуальных угроз ключевым
системам информационной инфраструктуры»
BSI – Threats Catalogue Force majeur
MAGERIT: Risk Analysis and Management Methodology for
Information Systems
ГОСТ Р ИСО/МЭК ТО 13335-3-2007

 Учитывайте, что угрозы постоянно меняются и могут
отсутствовать в используемой версии каталога или
измениться по сравнению с описанными в ней


ГОСТ Р ИСО/МЭК ТО 13335-3-2007

…
D – угрозы, обусловленные преднамеренными действиями
A – угрозы, обусловленные случайными действиями
E – угрозы, обусловленные естественными причинами

Методы анализа
рисков и
определения
опасностей


Методы анализа риска / угроз

 Существует множество различных методов анализа
рисков / угроз
Универсального метода не существует

 При выборе метода надо учитывать, что должен быть
Научно обоснованным и соответствовать сложности и природе
Давать результаты в форме, обеспечивающей понимание
природы риска/угрозы и способов его контроля
Типовым и обладать свойствами, обеспечивающими
возможность прослеживаемости, повторяемости и
контролируемости

 В документации необходимо представить
обоснование выбранного метода анализа /

Выбор метода анализа риска / угроз

 Метод анализа риска и
угроз выбирается
исходя из
приемлемости целого
ряда факторов
 Например, на ранней
стадии развития
системы могут
использоваться менее
детализированные
методы


2 категории методов анализа рисков

Дедуктивный Индуктивный

• За исходное • За исходное
принимается принимается
заключительное разрушение/
событие нарушение ИБ
• Выявляются различных
события, которые компонентов
могут вызвать • Выявляются
исходное события, которые
могут последовать
за этим нарушением
Источник: ГОСТ Р 51344-99

Дедуктивный метод

 Исходное событие – утечка информации
 События-причины
Троянец, занесенный через периферию (USB, CD и т.п.)
Троянец , занесенный через e-mail
Троянец, занесенный через уязвимость в Web-броузере
Кража со стороны сотрудника
Случайные действия персонала
Халатность персонала
Шантаж персонала
Перехват информации во время передачи по каналам связи
Кража носителя информации (лэптопа, КПК и т.п.)
Уязвимость в настройках средств защиты

Индуктивный метод

 Исходное событие – атака на Web-сайт банка
 События-последствия
Негативный отзыв в прессе (удар по репутации)
Недоступность сайта
Утечка информации с сайта
Проникновение во внутреннюю сеть организации
Дефейс главной страницы сайта
Внедрение вредоносного кода на сайт
Хищение средств (для Интернет-банкинга или Интернет-
магазина)
Нарушение законодательства (PCI DSS)


Методы анализа риска


Особенности выбора

 Не стоит опираться только на один метод анализа
рисков / угроз – лучше их комбинировать
 Важно помнить, что существенным фактором во
многих инцидентах является человеческий фактор и
организационные ошибки
Нельзя ограничиваться только технической стороной


Процесс
угроз
(продолжение)


Оценка риска

 На практике идентификация опасностей может
приводить к очень большому числу сценариев
потенциальных инцидентов
Детальный количественный анализ частот и последствий в
таком случае не всегда возможен и осуществим

 Необходимо качественно ранжировать сценарии,
поместив их в матрицы риска
Детальный количественный анализ осуществляется для
сценариев с более высокими уровнями рисков

 Не существует универсальной формы и содержания
матрицы риска
Классификация частот и серьезности последствий (как и
количество их категорий) могут меняться в зависимости от
ситуации

Пример матрицы риска

Классификация риска: Источник: ГОСТ Р 51901.1-2002
• В – высокая величина риска
• С – средняя величина риска
• М – малая величина риска
• Н – незначительная величина риска
Классификация серьезности последствий:
• Катастрофическое – практически полная потеря анализируемого объекта
• Значительное – крупный ущерб системе
• Серьезное – серьезный ущерб системе
• Незначительное – незначительное повреждение системы


Анализ частот / вероятности

 Историческая (статистическая) оценка, позволяющая
на основании данных прошлых периодов
прогнозировать будущее
 Опрос экспертов
Метод Дельфи, метод парных сопоставлений, метод
классификации групп риска

 Прогнозирование с использованием таких приемов,
как дерево неисправностей (граф атак), дерево
событий и т.п.


Вероятность


Вероятность возникновения риска

Собственная Чужая

Считаем
самостоятельно
(экспертная
оценка) Используем готовую
статистику

Базовый Детальный
расчет расчет


Вероятность возникновения риска
(второй метод – после собственной статистики)

 У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД,
Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице

 Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет


О доверии к статистике

 Собираемая статистика очень сильно зависит от
используемых методов опроса, аудитории, желания
респондентов делиться информацией, масштаба
опроса и даже от того, с какой ноги встал интервьюер
 Не каждая компания приглашает социологов для
осуществления опросов

Proofpoint Infowatch IDC

• 43% утечек • 5% утечек • 56% утечек
через e- через e- через e-
mail mail mail


Публичные отчеты со статистикой
угроз

 WhiteHat Security – Web Vulnerability Statistics
 Positive Technologies – Статистика уязвимостей Web
 CSI – CSI Computer Crime & Security Survey
 Aberdeen Group – The 2008 Email Security Report
 IBM ISS – X-Force 2008 Trend & Risk Report
 Symantec – Global Internet Security Threat Report
 MessageLabs – 2008 Annual Security Report
 Cisco – 2008 Annual Security Report
 Verizon – 2009 Data Breach Investigations Report
 PwC – 2008 Information Security Breaches Survey

Рост ботнетов
 10,000+ новых
зомби добавляется
каждый день
 Рост DoS-атак с 119
до 927 в день —
рост на 679%
 Большой % DDoS-
атак создаются ради
вымогательства
Symantec Internet Security
Report – Июнь ‘05

CNN: Десятки миллионов ПК инфицированы и входят в
состав различных ботнетов
http://www.cnn.com/2006/TECH/internet/01/31/furst/


Размер и частота DoS-атак

 Большинство провайдеров второго уровня и контент-провайдеров
(85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек
– 1 Гбит/сек.
 Многие респонденты говорят в среднем о 10-ти и более атаках в
месяц, которые нарушают доступность сетей клиентов (среднее
число атак в месяц - 40)
 Атак, которые влияют непосредственно на инфраструктуру
провайдеров, стало меньше – в среднем 1-2 в месяц

Источник: Arbor Networks Worldwide ISP Security Report

Рост числа вредоносного ПО
участвующего в построение ботнетов и краже данных

Уникальные сигнатуры вредоносного ПО

# уникальных сигнатур в 2006: 972K
# уникальных сигнатур в 2007: 5.5M 500% рост за 12 месяцев


Утечки данных через E-mail и Web


100%-й рост спама


Базовая экспертная оценка (третий метод)

 При отсутствии статистической/исторической
информации экспертная оценка является
единственным методов определения
частоты/вероятности реализации угроз
 Эксперты ранжируют вероятность наступления
события исходя из своего опыта и знаний
 Экспертная оценка является дополняет статистику и
зачастую подтверждает ее
 Желательно использовать комбинацию всех методов


Считаем самостоятельно (четвертый метод)
Сила
защитной
меры
Уязвимость
Возможности
нарушителя
Вероятность
Наличие
доступа
Угроза
Действие


А оцениваем ли мы риски нарушителя?

 Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска


Потенциал нападения

 ГОСТ Р ИСО/МЭК 18045 «Методы и средства
обеспечения безопасности. Методология оценки
безопасности информационных технологий»
определяет в Приложении А (А.8.1) потенциал
нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя


Мотивация нападения

 Высокая мотивация  нападение неизбежно
Низкая мотивация  нападение маловероятно
Но исключая крайние ситуации, прямой связи между
вероятностью и мотивацией не прослеживается

 Более ценный актив  более высокая мотивация
Но ценность актива субъективна и прямая связь ценности и
мотивация не всегда связана

 Высокая мотивация  приобретение достаточной
компетентности


Вычисление потенциала нападения

 2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование,
требуемое для анализа

 Эти факторы не всегда независимы друг от друга и
могут время от времени заменять друг друга
Компетентность  время, доступные ресурсы  время


Вычисление потенциала нападения


Вычисление рейтинга уязвимости

 Складываются 10 значений из предыдущей таблицы
Таблица – не догма, а руководство к действию
Если значение близко к границе, подумайте об усреднении
двух значений

ОО – объект оценки, СФБ – стойкость функции безопасности


Сравнение с другими рисками (пятый метод)

 Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99

 Сравнение с риском на аналогичном решении с
учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих
решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы

 Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал
нападения

Аналитика (шестой метод)

 Прогнозирование с использованием аналитических
методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма
всех возможных последствий инцидента в системе (МЭК
61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех
возможных последствий данного события
Имитационное моделирование отказов/инцидентов


Бинарная вероятность (седьмой метод)
 Вероятность принимается равной единице, если
угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
 Этот подход имеет право на жизнь, но только для
небольшого количества систем и сценариев
В обычной жизни это слишком дорого
 …или для угроз, которые являются очень
распространенными
 Данный метод применяется в неьольшом количестве
различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным

Градация вероятности угроз

 Существуют различные градации частот / вероятности
опасностей / угроз
Девять уровней – ГОСТ 13569
Шесть уровней – ГОСТ Р 51901.1-2002
Четыре уровня – «Методика определения актуальных угроз
ПДн»
Три уровня – ГОСТ Р 52448-2005
И т.п.


Оценка потерь


Оценка потерь

 Анализ риска не может быть осуществлен без оценки
потерь
Потеря в природе риска. Без потерь рисков не бывает

 Оценка риска не имеет смысла, если мы не можем
определить ценность актива, подверженного рискам
 Особенности оценки потерь
Точная оценка невозможна по своей природе. Многие ее и не
ждут, столкнувшись с потерями при инвестиционных,
рыночных рисках…
Worst-case (самый худший случай) не имеет отношения к
анализу рисков, т.к. исчезает элемент вероятности


Почему сложно считать?

 Информационный актив может иметь разную
ценность
В разное время, для разных аудиторий, в разных бизнес-
процессах

 Потери могут принимать разные формы
 Одно событие может быть причиной нескольких форм
потерь
 Сложные взаимосвязи между разными формами
потерь
 Объем потерь определяется множеством факторов


Ценность относительна

 Ценность  Стакан воды
стакана воды в пустыне
в городских бесценнен
условиях
 Воды
равна нулю
практически
 Вода есть нет
везде

Цена стакана воды одинакова в обоих условиях


Зависимая ценность

 Если ценность зависимого актива ниже или равна
ценности анализируемого актива, то итоговая
ценность остается прежней
 Если ценность зависимых активов выше, то ценность
анализируемого актива необходимо повысить с
учетом
Уровня соответствующей зависимости
Уровня ценности других активов


Определение ценности

Ценность
потери Ценность
приобретения

 Потери
Прямые – потеря доходов, штрафы за нарушение
договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка,
снижение лояльности заказчиков/партнеров, репутация

 Приобретение
Ускорение сделок, снижение времени вывода продукта на
рынок, рост продуктивности, рост числа клиентов и т.д.

Определение потерь

 Бизнес-потери
Падение доходов
Штрафы и судебные иски
Упущенная выгода
Потеря доли рынка
Удар по репутации
Снижение лояльности клиентов/партнеров
«Информационные» потери (например, интеллектуальная
собственность)

 ИТ- или операционные потери
Цена восстановления информации
Цена восстановления ИТ-систем
Цена восстановления бизнес-процессов

Формы потерь

• Простои
Продуктивность • Ухудшение психологического климата

• Расследование инцидента
Реагирование • PR-активность

• Замена оборудования
Замена • Повторный ввод информации

• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности

• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента

• Гудвил
Репутация • Снижение капитализации, курса акций


Составляющие потерь

 Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными
операциями
Снижение качества обслуживания
Извлечение уроков и т.п.

 Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от
квартала/сезона  ущерб зависит от этого же

Жизненный цикл сбоя

 Степень влияния и составляющие цены «сбоя»
меняется с течением времени

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime


Ценность активов

 Активы бывают материальные и нематериальные
 Материальные активы оцениваются обычно на
основе стоимости их замены или восстановления
 Аналогичным образом часто оценивается и
программное обеспечение
 Ценность информации и иных нематериальных
активов определяется либо экспертным способом
(метод Дельфи) или с помощью специальных
методик


Взгляд на информацию

ИБ
Бизнес

 ИБ думает про информацию с точки зрения
Целостности, конфиденциальности и доступности

 Бизнес думает про информацию с точки зрения
Стоимости создания, рыночной ценности, достоверности,
своевременности (оперативности)


Стоимость информации

 Рыночная стоимость компании – наличные –
стоимость всех физических активов = стоимость
информации (информационная ценность)
 Пример
$100М физических активов и $100М наличными
$100М акций по $10 каждая
Стоимость информации $800М
Стоимость акций упала на 1% и компания потеряла $8М. Это
проблема ИБ?
Стоимость акций выросла на 2% и компания заработала
$16М. Это успех ИБ?


Имеет ли информационный актив цену?

 Наиболее сложный, но реализуемый этап в BIA
 Требует привлечения финансового департамента и
финансовых методик расчета
Совершенно иной уровень знаний и квалификации

 Оценки стоимости информационных активов
возможна
Бухгалтерия давно умеет это делать!
Методика оценки нематериальных активов


Нематериальные активы

 Патенты, изобретения, технологии…
 Авторские права
 Деловая репутация
 Фирменные знаки и наименования
 Документированные консультации
 Торговые марки
 ПО, обособленное по «железа»
 Права на эксплуатацию
 Лицензии
 И т.д.

Виды стоимости НМА
Вид стоимости Определение
Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная Наиболее вероятная цена, по которой
стоимость объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость Стоимость объекта оценки в представлении
использования конкретного пользователя и с учетом его
ограничений
Ликвидационная Стоимость объекта оценки при вынужденной
стоимость продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки


Методы оценки НМА

 У каждого метода есть своя область применения,
свои достоинства и недостатки

Рыночный Затратный Доходный

• Метод сравнения • Метод стоимости • Метод расчета
продаж замещения роялти
аналогичных • Метод • Метод исключения
объектов оценки восстановительной ставки роялти
стоимости • Метод DCF
• Метод исходных • Метод прямой
затрат капитализации
• Экспресс-оценка
• Метод избыточной
прибыли
• Метод по правилу
25%
• Экспертные методы


Стандарты оценки НМА

 МСФО 38 «Нематериальные активы»
 GAAP – для США
 EVS 2000 – для Евросоюза
 Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001


ALE, ALE, ALE,
ALE


ALE – Annual Loss Expectancy

 Совокупные затраты на ИБ = ALE + TCO
 Ежегодный ожидаемый размер потерь


SLE – Single Loss Expectancy

 Стоимость потерь от одной атаки
 Может вычисляться как

Произведение стоимости атакуемого актива (Asset Value) на
вероятность атаки (Exposure Factor)

или

Детальная оценка стоимости конкретной атаки


SLE = AV * EF

 Мы должны уметь оценивать стоимость активов с
различных сторон
Генерируемая активом прибыль или оборот
Стоимость информации
 Мы должны иметь представление о вероятности
атак
Сбор собственной статистики
Экспертная оценка
Использование международной усредненной статистики
(KPMG, PwC, CSI и т.д.)


Detailed Attack Costing (DAC)

 Детальная оценка стоимости атаки включает в
себя:
Стоимость простоя атакуемого актива (потеря
продуктивности)
Стоимость восстановления атакуемого актива, включая
привлечение внешних сил
Дополнительные затраты (штрафы, неустойки, репутация,
судебные тяжбы, уход клиентов и т.п.)
Потенциальные сбережения (например, электричество или
Интернет)
 Метод обычно применяется для активов, которые
напрямую не «завязаны» на генерацию
финансовых средств, но важны для бизнеса


Исходные данные
 Время простоя вследствие атаки
 Время восстановления после атаки
 Время повторного ввода потерянной информации
 Зарплата обслуживающего персонала
 Зарплата сотрудников атакованного узла или сегмента
 Численность обслуживающего персонала
 Численность сотрудников атакованного узла/сегмента
 Объем продаж, выполненных с помощью атакованного
узла или сегмента
 Стоимость замены оборудования или запасных частей


Совокупная стоимость владения

 Прямые затраты включают в себя:
Капитальные затраты на программное обеспечение
Капитальные затраты на аппаратное обеспечение
Затраты на дополнительное программно-аппаратное
обеспечение (базы данных, браузеры, системы резервирования и т.д.)
Затраты на поддержку и обучение (командировочные расходы, звонки в
службу поддержки, общение по e-mail)
Затраты на управление (зарплата администраторов, реагирование на атаки,
трафик Internet, модернизация)
Затраты на внедрение
Сопутствующие затраты (прокладка СКС, изменение топологии,
перенастройка оборудования)

 Прайсовая стоимость системы защиты составляет
15-21% от совокупной стоимости владения

Совокупная стоимость владения

 Косвенные затраты включают в себя:
Непродуктивная работа пользователей, связанная с
действиями «проб и ошибок» из-за отказа от чтения
документации и обучения
Простои и сбои системы защиты


Threat Modeling (Part 2)

More Related Content

What's hot (20)

Similar to Threat Modeling (Part 2) (20)

More from Aleksey Lukatskiy (20)

Threat Modeling (Part 2)