Подводя итог обзору методик, перечислим те преимущества, которые дает проведение анализа рисков в сфере ИБ:
- — выявление проблем в сфере безопасности (не только уязвимостей компонент системы, но и недостатков политик безопасности и т. д.);
- — анализ рисков позволяет нетехническим специалистам (в частности, руководству организации) оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС;
- — проведение оценки рисков добавляет обоснованность рекомендациям по безопасности;
- — ранжирование рисков по приоритетам позволяет выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ;
- — подробно описанные методики анализа рисков позволяет людям, нс являющимся экспертами в данной области, воспользоваться аккумулированными в методике знаниями, чтобы получить заслуживающие доверия результаты анализа.
В то же время необходимо отметить, что оценка рисков на качественном уровне не позволяет однозначно сравнить затраты па обеспечение ИБ и получаемую от них отдачу (в виде снижения суммарного риска). Поэтому более предпочтительными представляются количественные методики. Но они требуют наличия оценок вероятности возникновения для каждой из рассматриваемых угроз безопасности. Кроме того, использование интегральных показателей, таких как ALE, опасно тем, что неправильная оценка вероятности угрозы в отношении очень дорогостоящего актива может кардинально изменить оцениваемое значение суммарной стоимости рисков.
Представляется более обоснованным формирование нс единой, скалярной оценки стоимости риска, а векторной. Каждый элемент вектора оценки соответствует обобщенной угрозе безопасности (подмножеству угроз, сходных по способу реализации и оказываемому на систему воздействию).
Также предлагается проводить оценку риска, исходя из анализа модели конфликта интересов владельца системы и нарушителя ее безопасности. Данная модель должна строиться с использованием математического аппарата, допускающего отсутствие статистики относительно частоты возникновения угроз безопасности. Подобная модель описывается в следующем разделе пособия.
