Угроза и риск в чем разница
Разница между риском и угрозой
Содержание:
Риск против угрозы
Что означает риск?
Слово риск используется в значении «случайности». Однако этот шанс ассоциируется с негативом. Обратите внимание на два предложения, приведенные ниже:
Он счастлив пойти на риск.
Ей нравится рисковать в жизни.
В обоих предложениях вы можете обнаружить, что слово риск используется в значении «шанс», и, следовательно, значение первого предложения будет «он счастлив, что рискнул», а значение второго предложения было бы «ей нравится рисковать в жизни». Поскольку риск связан с негативом, первое предложение означает, что вероятность того, что человек воспользовался этим, могла пойти не так. Он счастлив, потому что все получилось хорошо. В то же время второе предложение имеет значение, что этому человеку нравится рисковать в жизни, потому что эти шансы могут сработать хорошо или нет. Острые ощущения от незнания того, что произойдет, заставляют ее испытывать радость в жизни. Интересно отметить, что слово риск имеет прилагательную форму в слове «рискованный», как в предложении, приведенном ниже.
Это был рискованный выстрел игрока с битой.
Слово риск используется при образовании таких слов, как «без риска» и «фактор риска». Иногда слово «риск» образно употребляется в значении «опасность».
Что означает угроза?
Слово угроза используется в значении «предупреждение». Обратите внимание на два предложения, приведенные ниже:
Он получил угрозу своей жизни.
Малярия представляла реальную угрозу для жизни столетие назад.
Вчера вечером мне позвонили с угрозами.
«Вчера вечером мне позвонили с угрозами».
В чем разница между риском и угрозой?
• Значение вероятности риска связано с негативом.
• Риск используется в таком выражении, как безрисковый.
• Иногда слово «риск» образно употребляется в значении «опасность».
Это важные различия между двумя словами, а именно риск и угроза.
Изображения любезно предоставлены:
Риски VS Угрозы
Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.
У понятия риск существует множество определений, только в стандартах и нормативах по информационной безопасности на русском языке их нашлось 6 штук.
Определения риска информационной безопасности
Существуют различные определения риска, вот часть из них:
риск (risk): Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.
ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
Чуть конкретнее обстоят дела с понятиями угроза и уязвимость
угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.
угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
угроза (threat): Потенциальный источник опасности, вреда и т.д.
уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.
Но в целом если отойти от формулировок то просматривается и закономерность в определениях, позволю себе ее выявить и обобщить:
Риск это возможность реализации угрозы через использование уязвимости в активе.
Таким образом риск, технически, это ничто иное как комбинация 3х сущностей:
Риск = Угроза + Уязвимость + Актив
Угроза – что то плохое
Уязвимость – особенность актива
Актив – любой объект
Если совсем уж перефразировать, то можно сказать что риск это когда что то плохое происходит из за какой то особенности чего то.
При таком расщеплении на атомы все становится на свои места, ясна связь между угрозами и рисками безопасности.
Угроза просто описывает нам что-то плохое, в то время как Риск еще сообщает из-за чего это плохое может произойти.
Несколько примеров рисков, сформулированных по такой конструкции:
Раскрытие ключей (паролей) доступа из-за возможности атаки SMB Relay в ОС Windows
Тут у нас
Угроза – Раскрытие ключей (паролей) доступа
Уязвимость – Возможности атаки SMB Relay
Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного подключения через RDS Shadow в ОС Windows
Закрепление злоумышленника в ОС из-за возможности распространения скриптов через Network Logon Scripts в доменных службах Active Directory
Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма работником
// В качестве актива выступает человек
Неработоспособность серверного оборудования из-за нарушения температурного режима в серверном помещении
// классический ИТ риск на доступность активов
Недоступность ИТ/ИБ персонала из-за отсутствия квалифицированной кадровой политики в компании
// Это тоже не про ИБ, скорее про кадровые и управленческие риски компании, но влияет на функционирование системы информационной безопасности. Активом выступает компания как юридическое лицо.
Риск в такой формулировке не просто говорит о чем то плохом, но поясняет почему это может произойти, указывая на источник проблемы.
Все элементы риска (угроза, уязвимость, тип актива) могут объединяться друг с другом в любых адекватных комбинациях, образуя новые риски безопасности.
Преимущества у такого подхода формулировки рисков безопасности:
Нет необходимости дублировать одни и те же угрозы, уязвимости и активы в составе разных рисков, мы просто ведём 3 отдельных реестра, а реестр рисков это ничто иное как их комбинация.
Взгляд на проблемы безопасности становится шире. Мы можем смотреть не только на реестр рисков, но и на реестры угроз, уязвимостей, активов, рассчитывая величину риска с учетом каждого из элементов.
Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК, лучшие практики и личный опыт. Пока набралось
Хотелось бы завершить статью слоганом что не важно как вы учитываете проблемы компании, что называете риском а что угрозой. Но нет, это важно, т.к. от этого зависит полнота и эффективность создаваемых систем ИБ, возможность понять друг друга в ИБ сообществе. Буду рад если поделитесь в комментариях тем как вы ведете учет проблем ИБ в своих компаниях, как описываете риски безопасности.
Определение угроз и рисков
В.И.Даль толковал угрозу как действие или намерение «угрожать, грозить, стращать, наводить опасность либо опасение, держать под страхом, под опаскою, пригражать».
Мы будем пользоваться следующими определениями.
Негативные воздействия от угроз различаются по характеру наносимого вреда:
— степень изменения свойств объекта;
— возможность ликвидации последствий угрозы.
Выделяются два наиболее важных типа угроз:
1. Намерение нанести вред (умысел);
2. Возможность нанесения вреда, т.е. наличие сил и средств.
Особенностью первого типа угроз является неопределенность, желание есть, но будет ли возможность.
А вот возможность нанесения вреда может быть осуществлена только самими субъектами угроз.
Между угрозой и опасностью нанесения вреда существует прочная причинно-следственная связь.
И, в соответствии со всем вышесказанным, делаем вывод, что безопасность предприятия можно рассматривать, как состояние защищенности от угроз.
Декларируемая в нашей стране рыночная экономика, не исключает регулирования государством экономических отношений, касается это и вопросов экономической безопасности. Экономическая безопасность является гарантом стабильности функционирования предприятия. Его устойчивости, конкурентоспособности на рынке. Экономическая устойчивость охраняется как от прямых, так и от потенциальных посягательств. Количеством принимаемых нашим правительством нормативных актов показывает, что проблема очень серьезная.
Но, как бы мы не ограждали наши предприятия от всех риском, угроз и опасностей, всегда следует помнить, что самое слабое звено в структуре безопасности – это человек. Можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.
Безопасность бизнеса: выявляем угрозы и риски
Обеспечение безопасности бизнеса — это системная работа по своевременному выявлению, предупреждению, пресечению самих замыслов угроз у преступников, конкурентов, персонала компании. То есть всех, кто может нанести материальный или имиджевый ущерб предприятию. Поэтому «угроза» становится ключевым понятием в работе службы безопасности.
Угроза безопасности компании — это потенциально или реально возможное событие, процесс, действие или явление, которое способно нарушить ее устойчивость и развитие или привести к остановке деятельности. Недавно мы писали о принципах корпоративной безопасности, советуем вам также прочитать эту статью.
Корпоративная безопасность: 5 базовых угроз
Характеристики угроз
Источники агрессии могут быть внешними или внутренними. При выявлении угроз следует руководствоваться следующими признаками (сигналами):
После выявления угрозы наступает этап разработки мер по локализации или ее минимизации.
| Типы внешних угроз | Типы внутренних угроз |
| Угрозы, исходящие от криминальной среды | От внутренних угроз не застрахована ни одна коммерческая структура. В большей или меньшей степени они могут проявляться в любой компании: |
| Угрозы, исходящие от недобросовестных партнеров или конкурентов | Угрозы со стороны персонала компании |
| Агрессии, направленные на захват предприятия | Угрозы, связанные с организационной незащищенностью бизнеса |
| Агрессии со стороны средств массовой информации (черные PR-акции) | Угрозы, связанные с неэффективным управлением и организацией бизнес-процессов |
| Угрозы, исходящие со стороны государственных структур | Угрозы, связанные с эксплуатацией технических средств и средств автоматизации |
| Риски при проведении гражданско-правовых отношений с контрагентами | |
| Компьютерная агрессия | |
| Риски, связанные с политическими, экономическими, социальными и правовыми процессами в государстве и мировом сообществе | |
| Риски, связанные с природным и техногенным фактором | |
| Террористическая угроза |
Причины возникновения внешних и внутренних угроз
Рассмотрим 17 распространенных причин возникновения внешних и внутренних угроз для компании. В реальности их гораздо больше.
Причины возникновения внешних угроз
Причины возникновения внутренних угроз
Классификация сотрудников
Восемь преступлений из десяти происходит с участием работников. Чтобы определить степень риска, связанного с каждым сотрудником, используют классификатор — концепцию риска:
Пониженный риск
Сотрудники, которые вряд ли пойдут на компрометацию своей чести и достоинства, обычно в компании их 10% (российская статистика в этом случае соответствует общемировой). Они чувствительны к общественному мнению, дорожат своей репутацией.
Допустимый риск
Люди, которые могли бы при определенных условиях впасть в искушение, но по своим убеждениям близки первой группе. Они не пойдут на правонарушение, если будут обеспечены соответствующие меры контроля. Их около 80% и именно с ними нужно проводить постоянную профилактическую работу.
Высокий риск
Опасные преступники. Они будут создавать условия для хищения даже при жестких мерах контроля в компании. Их также 10%.
Базовые угрозы
Эксперты выделяют пять групп базовых угроз, которые связаны с конкурентной борьбой, человеческим фактором, деятельностью государства (коррупция, несовершенство законодательства, административный ресурс, проводимая политика), организованной преступностью, а также техногенными и природными факторами.
Степень вероятности
По степени вероятности угроза оценивается как реальная (вероятность может быть подсчитана исходя из статистики, экспертными методами, методами группового SWOT-анализа) или потенциальная. Отдаленность угрозы во времени делят на непосредственные, близкие (до одного года) и далекие (свыше одного года), в пространстве — на территории компании, на прилегающей территории, в стране и за границей.
Природа возникновения
По природе возникновения угрозы делятся на естественные (объективные, например, природные явления) и искусственные (субъективные, вызванные деятельностью человека). Субъективные угрозы могут быть преднамеренными и непреднамеренными).
Степени развития и этапы борьбы с угрозой
Во время развития угрозы проходят четыре этапа: они возникают, расширяются, стабилизируются, после чего происходит их ликвидация. Борьба с угрозами проходит в пять этапов:
Определение вариантов реализации угрозы, формирование модели потенциального нарушителя.
Определение вероятности наступления события.
Определение возможного ущерба от угрозы.
Создание системы защиты от угрозы, включая превентивные меры (предотвращение и профилактику).
Система защиты от угроз
Система защиты от угроз включает в себя предотвращение, обнаружение и ликвидацию последствий. При оценке угроз безопасности применяют теорию надежности (для угроз, создаваемых техническими средствами — сбои, отказы, ошибки), математическую статистику (например, стихийные бедствия), теорию вероятности (для описания угроз, создаваемых сотрудниками по халатности, небрежности), экспертные методы (для описания умышленных угроз). Основными методами, которые применяют корпоративные службы безопасности, являются экспертные методы — с их помощью можно оценить практически любые риски.
Нужно понимать, что проблема рано или поздно возникнет, в том или ином виде или процессе, и стремиться их предотвратить. Такой проблемой может стать пожар, поломка важного оборудования, отсутствие больного сотрудника на работе, авария, хищение, мошенничество.
Управление безопасностью равно управлению рисками. Анализ рисков включает классификацию ресурсов (что надо защищать), анализ угроз (от чего надо защищать), анализ уязвимостей (как надо защищать). При этом формула риска такова:
Риск = возможный ущерб * вероятность реализации угрозы
После его подсчета разрабатывается план защиты, который учитывает организационные и технические меры.
Как обосновать бюджет на безопасность
Управлять проблемами предприятия поможет риск-менеджмент. Служба безопасности должна анализировать и рассчитывать риски, выстраивая всю систему работы на основе данных. Чтобы обосновать бюджет службы, директор по безопасности должен уметь оценивать риски и составлять карты рисков, в которых планируются мероприятия по их минимизации, а также закладываются средства на борьбу с ними.
Статья подготовлена на основе лекции Сергея Барбашева, преподавателя РШУ, эксперта по корпоративной безопасности.
Развивайтесь вместе с нами: в каталоге Русской Школы Управления более 700 онлайн-трансляций и 500 дистанционных курсов. Учитесь в удобном формате в любое время и в любом месте!
Светлана Щербак Автор медиапортала Русской Школы Управления
IT-Project Management
IT-PM: Персональный блог об управлении IT-проектами
Разбираемся с терминами: уязвимость, угроза, риск
Да. Именно в таком порядке: уязвимость, угроза, риск.
Пишу политику безопасности по ГОСТ 17799-2005. Она просто изобилует этими и другими терминами. По отдельности значения этих терминов просты и понятны. Но когда в одном абзаце встречаются все три, поневоле запутаешься. Итак… что с чем едят?
Уязвимость ( vulnerability) информационной системы — это недостаток, чаще ошибка в реализации, которая делает возможным непредусмотренное воздействие на систему, влекущее сбои в работе системы. Уязвимости классифицируются по множеству признаков. Один из самых важных признаков — вред, который можно нанести системе, используя уязвимость. Чаще всего под уязвимостью понимают конкретную ошибку, допущенную при проектировании или кодировании системы.
Угроза (threat) безопасности — это возможность нарушения безопасности. Термин «угроза» редко применяют в отношении информационных систем, и очень часто употребляют применительно к информации. Видимо, это связано с самой распространенной таксономией угроз: угрозы конфиденциальности информации, угрозы целостности информации и угрозы доступности информации. Почему-то разработка модели угроз всегда начинается именно с такой таксономии. Видимо потому, что она универсальна. На этом, пожалуй, ее достоинства заканчиваются. Увлекся. Это все к делу не относится.
Риск (risk) — это вероятность или возможность наступления того или иного события. Применительно к информационной безопасности или управлению проектами под событиями понимают всевозможные негативные события. Рисками управляют. Задача управления рисками (если кратко) состоит в идентификации, оценке и минимизации рисков.
Со значениями терминов разобрались. Переходим к их взаимосвязи.
1. Каждая ли уязвимость ведет к возникновению угрозы?
В 99% случаев да. Почему не в 100% случаев? Для реализации уязвимости необходимы определенные условия. Если нарушитель гарантированно не может выполнить эти условия, то уязвимость не может быть использована. Но не стоит забывать, что нарушители бывают разные. Если сегодня мы защищаемся только от удаленных атак и локальные уязвимости в расчет не берем, то завтра к информационной системе может получить доступ инсайдер.
Некоторые уязвимости относятся к одним и тем же угрозам.
2. Для каждой ли угрозы существует уязвимость?
Нет. Во-первых, угрозы существуют отдельно от уязвимостей. Угроза нарушения конфиденциальности информации существует в любой системе, ограничивающей доступ к информации. Точно также как и угроза нарушения доступности характерна для любого сайта.
Во-вторых, не всегда для осуществления угрозы необходимо использовать уязвимость. Вспомним про того же инсайдера, который обладает полномочиями на доступ к конфиденциальной информации, и может передать ее третьим лицам.
В-третьих, уязвимость может просто быть не известна на данный момент.
3. Для каждой ли угрозы существует риск?
Безусловно. Если существует угроза, значит, существует и риск ее осуществления. Наличие нескольких уязвимостей, используя которые можно осуществить данную угрозу, повышает риск ее осуществления. Как все оказывается просто! Намного сложнее оценить этот самый риск. Но это уже другая опера.
4. Каждый ли риск относится к конкретной угрозе?
Смотря какие риски имеются ввиду. Если речь идет о рисках информационной безопасности данной информационной системы, то (при условии, что модель угроз достаточно полно описывает все возможные угрозы данной системы) можно построить точное соответствие. Если же речь идет о рисках информационной безопасности для организации, использующей данную систему, то реестр рисков будет включать риски реализации угроз.