Оценка рисков нарушения информационной безопасности
05.04.2011 распечататьДеятельность любой современной компании невозможно представить без активного использования информации и информационных технологий. Информация стала одним из важнейших активов, находящихся в распоряжении компаний. Все это порождает новый, принципиально отличающийся от привычных финансовых, юридических и других класс рисков для деятельности организаций – рисков нарушения информационной безопасности.
А если есть риски – ими надо управлять. Такой подход заложен в основу современных международных и отечественных стандартов в области обеспечения ИБ.
Начать сначала
Начать, пожалуй, следует с выбора методики, по которой будет проводиться оценка рисков. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – вот лишь немногие из них. Методики можно разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка рисков) и процедурах оценки рисков. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по рискам и механизмы их минимизации.
Независимо от выбранной методики, процесс управления рисками ИБ будет включать в себя выполнение следующих задач:
- определение области оценки рисков;
- оценка рисков;
- обработка рисков;
- мониторинг и контроль;
- совершенствование процесса.
Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками (в соответствии с выбранной методологией), критерии управления рисками (включая критерии оценки ущерба, оценки рисков и принятия рисков), функциональные роли по оценке рисков.
Составляющие
В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.д. На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Такое ограничение позволит «обкатать» и, при необходимости, доработать применяемую методику, довести до ума шаблоны документов, а также практически безболезненно наступить на все остальные грабли, разбросанные на пути внедрения системы управления рисками ИБ.
Впоследствии область оценки рисков должна охватить всю организацию в целом (по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью - СУИБ).
Идентификация активов
На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.
Начнем с идентификации информационных активов. Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:
- персональные данные;
- стратегическая информация, необходимая для достижения бизнес-целей;
- ноухау;
- коммерческая тайна;
- служебная тайна и т.д.
Для каждого актива необходимо определить владельца, который несет за него ответственность.
Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.
Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?
Цена и ценности
В рамках пилотного проекта по созданию системы управления рисками ИБ наиболее целесообразной является качественная оценка ценности информационного актива со стороны владельца. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» - менее 10 тыс. рублей, «низкий» - от 10 до 100 тыс. рублей и т.д.
Впрочем, существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных активов на основе рыночного, доходного или затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений ИБ не обладают подобными знаниями.
Опять же, в рамках пилотного проекта имеет смысл анализировать только высокоуровневые риски, постепенно повышая детализацию и глубину анализа в последующих оценках. Этим принципом мы будем руководствоваться при составлении перечня угроз, если в организации нет утвержденной Модели угроз, которую можно взять за основу. Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2. Для определения степени вероятности реализации (СВР) той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.
Переход на количественные шкалы, безусловно, позволяет сделать результаты оценки рисков более точными, однако предполагает наличие некоего уровня зрелости существующих процессов управления ИБ и оценки рисков и не всегда оправдан. Тем не менее, если в организации существует функционирующая система менеджмента инцидентов, фиксируются данные о частоте реализации той или иной угрозы, то грех не воспользоваться подобной информацией.
Оценивание риска, в общем случае, происходит путем сопоставления оценок СТП с оценкой СВР угроз ИБ (иногда к ним добавляется оценка уязвимостей).
Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах (таблица 1).
Таблица 1.
Степень вероятности реализации угрозы ИБ (СВР) | Степень тяжести последствий нарушения ИБ (СТП) | |||
минимальная | средняя | высокая | критическая | |
нереализуемая | допустимый | допустимый | допустимый | допустимый |
минимальная | допустимый | допустимый | допустимый | недопустимый |
средняя | допустимый | допустимый | недопустимый | недопустимый |
высокая | допустимый | недопустимый | недопустимый | недопустимый |
критическая | недопустимый | недопустимый | недопустимый | недопустимый |
Обработка рисков
По результатам оценки рисков необходимо определить способ обработки для каждого из рисков, который является недопустимым. Возможными вариантами обработки рисков являются:
- применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
- уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
- перенос риска на другие организации (например, путем страхования или передачи деятельности на аутсорсинг);
- осознанное принятие риска.
Следует помнить, что любой деятельности свойственны риски, и понизить их можно лишь до определенного остаточного уровня, а не до нуля.
Решение о применении того или иного способа обработки рисков должно приниматься исходя из стоимости их реализации, а также ожидаемых выгод от их реализации. Ведь наша цель, во-первых, добиться значительного уменьшения рисков при относительно низких затратах и, во-вторых, поддерживать принятые риски на допустимом, низком уровне.
Руководствоваться при выборе защиты лучше принципом разумной достаточности. Меры безопасности не могут быть более затратными, чем потенциальный ущерб от нарушения ИБ.
Мониторинг и контроль
После принятия решений об обработке рисков необходимо осуществлять постоянный мониторинг и контроль СУИБ. Это позволит нам оценить эффективность защитных мер, которые мы использовали для понижения величины риска.
На данном этапе также осуществляется контроль изменения перечня активов, угроз и других факторов, влияющих на результаты оценки, проводятся аудиты и иные контрольные процедуры.
Совершенствование процессов управления рисками ИБ осуществляется по результатам, полученным в процессе мониторинга и контроля. При необходимости пересматривается Политика управления рисками ИБ, область оценки, состав угроз ИБ, оценки СВР и СТП, совершенствуется методология и т.д.
Крайне желательно интегрировать процессы управления рисками в общий процесс управления информационной безопасностью. Это позволить привязать циклы деятельности по оценке рисков к общепринятому циклу выполнения деятельности по обеспечению ИБ, основанному на модели Деминга «… — планирование — реализация — проверка — совершенствование— планирование — …”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO 27001-2005.
Цикл Деминга по обеспечению ИБ
В этом случае процесс СУИБ будет соотноситься с процессом управления рисками следующим образом:
- Планирование – определение области действия; оценка рисков; разработка планов обработки рисков; принятие рисков.
- Реализация – реализация планов обработки рисков; внедрение защитных мер.
- Проверка – постоянный мониторинг и пересмотр рисков; контроль эффективности защитных мер.
- Совершенствование – поддержание и совершенствование процесса управления рисками ИБ.
Нетривиальная задача
Внедрение системы управления рисками ИБ может быть нетривиальной задачей для многих организаций, только начинающих работу над созданием системы управления информационной безопасностью. Однако оно является отправной точкой для построения эффективной системы защиты, которая будет отвечать бизнес-целям организации. В этом случае для проведения пилотного проекта может быть оправданным приглашение внешних консультантов, которые попутно разработают необходимую организационно-распорядительную документацию, адаптируют методологию и проведут обучение сотрудников организации.
Управление информационными рисками и построение комплексной системы управления информационной безопасностью – это для каждой организации шаг на качественно иной уровень корпоративного управления, а в некоторых случаях – решающее конкурентное преимущество.
Управляйте своими рисками сами, если не хотите, чтобы за вас это сделали ваши конкуренты.
Черненко А.Н., эксперт по информационной безопасности департамента аудиторских и консультационных услуг финансовым институтам ФБК
