Ликвидация бизнеса. Приказы. Оборудование для бизнеса. Бухгалтерия и кадры
О сайте Контакты
Меню
Контакты
Поиск по сайту

Главная Кадровый учет Как оценить риски информационной безопасности. Методы расчета риска информационной безопасности

Как оценить риски информационной безопасности. Методы расчета риска информационной безопасности

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

    Природа банковской деятельности. Понятие и причины возникновения банковских рисков. Характеристика основных банковских рисков. Основные методы минимизации банковских расходов. Анализ минимизации банковских рисков на примере АО "Народный Банк Казахстана".

    курсовая работа , добавлен 06.12.2008

    Понятие системных рисков в банковской сфере, критерии их идентификации и оценка. Основные классификационные признаки группирования банковских рисков. Влияние системных рисков на стабильность, устойчивость, надежность и равновесие банковской сферы.

    реферат , добавлен 22.02.2017

    Проблемы оценки и снижения рисков в деятельности коммерческих банков. Внедрение скоринг-модели оценки кредитоспособности клиентов банка. Увеличение ресурсов за счет создания нового депозита "Успех". Выдача кредитов под обеспечение ценными бумагами.

    дипломная работа , добавлен 21.01.2015

    Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".

    дипломная работа , добавлен 07.05.2014

    Функции и состав собственных и привлеченных средств кредитной организации. Изучение ресурсной базы российских коммерческих банков. Анализ собственного капитала, вкладов, долговых обязательств ЗАО "ЮниКредит Банк". Проблемы привлечения финансовых ресурсов.

    курсовая работа , добавлен 20.02.2013

    Риски в банковской деятельности. Уровень банковских рисков. Классификация рисков в банковском деле. Система оптимизации банковских рисков. Банковская система России - основные тенденции и перспективы развития.

    реферат , добавлен 28.09.2006

    Характеристика банка АО "ЮниКредит Банк". Структура и динамика активов и пассивов баланса. Факторный анализ процентных доходов и расходов от операций с ценными бумагами. Анализ платежеспособности, финансовой устойчивости банка и перспектив его развития.

    курсовая работа , добавлен 21.03.2016

НИУ ИТМО, *****@***com

Научный руководитель - д. т.н., профессор НИУ ИТМО, *****@

Аннотация

В статье рассмотрены методы расчета риска информационной безопасности, произведено сравнение с указанием критичных недостатков. Представлено предложение использование собственного метода оценки рисков.

Ключевые слова: риск, информационная система , информационная безопасность, метод расчета риска, оценка рисков, информационный актив.

Введение

Система управления рисками информационной безопасности (ИБ) является актуальной задачей на всех этапах работы комплекса защиты информации . При этом управлять рисками невозможно предварительно их не оценив, что в свою очередь должно быть произведено по какой-либо методике. На этапе оценки рисков наибольший интерес представляют непосредственно формулы и входные данные для расчета значения риска. В статье проанализировано несколько разных методов расчета риска и представлена собственная методика. Целью работы является вывод формулы расчета риска информационной безопасности, позволяющей получить массив актуальных рисков и оценить потери в денежном эквиваленте.

Риск информационной безопасности в классическом виде определяется как функция трёх переменных :

    вероятность существования угрозы; вероятность существования уязвимости (незащищенности); потенциальное воздействие.

Если любая из этих переменных приближается к нулю, полный риск так же стремится к нулю.

Методы оценки рисков

ISO/IEC 27001. В отношении методологии расчета значения риска сказано: выбранная методология должна гарантировать, что оценки риска дают сравнимые и воспроизводимые результаты. При этом в стандарте не приводится конкретной формулы расчета.

NIST 800-30 предлагает классическую формулу расчета риска:

где R - значение риска;

P(t) - вероятность реализации угрозы ИБ (применяется смесь качественной и количественной шкалы);

S - степень влияния угрозы на актив (цена актива в качественной шкале и количественной).

В итоге вычисляется значение риска в относительных единицах, которое можно ранжировать по степени значимости для процедуры управления рисками информационной безопасности.

ГОСТ Р ИСО/МЭК ТО 7. Расчет риска, в отличии от стандарта NIST 800-30 происходит по трем факторам:

R = P(t) * P(v) * S,

где R - значение риска;

P(t) - вероятность реализации угрозы ИБ;

P(v) - вероятность наличия уязвимости;

S - ценность актива.

В качестве примера значений вероятностей P(t) и P(v) приведена качественная шкала с тремя уровнями: низкая, средняя и высокая. Для оценки значения ценности актива S представлены числовые значения в интервале от 0 до 4. Сопоставление им качественных значений должна произвести организация, в которой производится оценка рисков информационной безопасности.

BS 7799. Уровень риска вычисляется с учетом трех показателей – ценности ресурса, уровня угрозы и степени уязвимости. С увеличением значений этих трех параметров риск возрастает, таким образом, формулу можно представить в следующем виде:

R = S * L(t) * L(v),

где R - значение риска;

S - ценность актива/ресурса;

L(t) - уровень угрозы;

L(v) - уровень/степень уязвимости.

На практике вычисление рисков ИБ происходит по таблице позиционирования значений уровня угроз, степени вероятности использования уязвимости и стоимости актива. Значение риска может изменятся в диапазоне от 0 до 8, в результате по каждому активу получается список угроз с различными значениями риска. Так же стандарт предлагает шкалу ранжирования рисков: низкий (0-2), средний (3-5) и высокий(6-8), что позволяет определить наиболее критичные риски.

СТО БР ИББС. Согласно стандарту оценка степени возможности реализации угрозы ИБ производится по качественно-количественной шкале, нереализуемая угроза - 0%, средняя - от 21% до 50% и т. д. Определение степени тяжести последствий для разных типов информационных активов так же предлагается оценивать с использованием качественно-количественной шкалы, т. е. минимальное - 0,5% от величины капитала банка , высокое - от 1,5% до 3% от величины капитала банка.

Для выполнения качественной оценки рисков информационной безопасности используется таблица соответствия степени тяжести последствий и вероятности реализации угрозы. Если необходимо произвести количественную оценку, то формулу можно представить в виде:

где R - значение риска;

P(v) - вероятность реализации угрозы ИБ;

S - ценность актива (степень тяжести последствий).

Предложенный метод

Рассмотрев все вышеперечисленные методы оценки рисков в части расчета значения риска информационной безопасности стоит отметить, что расчет риска производится с использованием значения угроз и ценность актива. Значительным недостатком является оценка стоимости активов (размер ущерба) в виде условных значений. Условные значения не имеют единиц измерения применимых в практике, в частности не являются денежным эквивалентом. В итоге это не дает реального представления уровня риска, который возможно перенести на реальные активы объекта защиты.

Таким образом предлагается разделить процедуру расчета риска на два этапа:

1. Вычисление значения технического риска.

2. Вычисление потенциального ущерба.

Под техническим риском понимается значение риска информационной безопасности состоящего из вероятностей реализации угроз и использования уязвимостей каждого компонента информационной инфраструктуры с учётом уровня их конфиденциальности, целостности и доступности. Для первого этапа имеем следующие 3 формулы:

Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),

Ra = Ka * P(T) * P(V),

где Rс - значение риска конфиденциальности;

Ri - значение риска целостности;

Ra - значение риска доступности;

Kс - коэффициент конфиденциальности информационного актива;

Ki - коэффициент целостности информационного актива;

Ka - коэффициент доступности информационного актива;

P(T) - вероятность реализации угрозы;

P(V) - вероятность использования уязвимости.

Применение данного алгоритма позволит произвести более детальную оценку риска, получив на выходе безразмерное значение вероятности возникновения риска компрометации каждого информационного актива в отдельности.

В последующем возможно вычисление значения ущерба, для этого используется усредненное значение риска каждого информационного актива и размер потенциальных потерь:

где L - значение ущерба;

Rср - среденее значение риска;

S - потери (в денежном эквиваленте).

Предложенная методика позволяет корректно оценить значение риска информационной безопасности и скалькулировать денежные потери в случае возникновения инцидентов безопасности.

Литература

1. ISO/IEC 27001. Международный стандарт содержит требования в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности. 20с.

2. ГОСТ Р ИСО/МЭК ТО 7. Национальный стандарт Российской Федерации. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. Москва. 20с.

3. BS 7799-2:2005 Спецификация системы управления информационной безопасностью. Англия. 20с.

4. РС БР ИББС-2.2-200. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. Москва. 20с.

5. Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. США. 20с.

6. Электронный источник Википедия, статья "Риск" .

Вопросы практического применения анализа рисков в процессах управления информационной безопасностью, а также общая проблематика самого процесса анализа рисков информационной безопасности.

В процессе управления любым направлением деятельности необходимо вырабатывать осознанные и эффективные решения, принятие которых помогает достичь определенных целей. На наш взгляд, адекватное решение можно принять только на основании фактов и анализа причинно-следственных связей. Конечно, в ряде случаев решения принимаются и на интуитивном уровне, но качество интуитивного решения очень сильно зависит от опыта менеджера и в меньшей степени - от удачного стечения обстоятельств.

Для иллюстрации того, насколько сложен процесс принятия обоснованного и соответствующего реалиям решения, приведем пример из области управления информационной безопасностью (ИБ). Возьмем типичную ситуацию: начальнику отдела ИБ необходимо понять, в каких направлениях двигаться в целях эффективной отработки своей основной функции - обеспечения информационной безопасности организации. С одной стороны, все очень просто. Есть ряд стандартных подходов к решению проблем безопасности: защита периметров, защита от инсайдеров, защита от обстоятельств форс-мажорного характера. И существует множество продуктов, позволяющих решить ту или иную задачу (защититься от той или иной угрозы).

Однако есть небольшое «но». Специалисты отдела ИБ сталкиваются с тем, что выбор продуктов различного класса очень широк, информационная инфраструктура организации очень масштабна, количество потенциальных целей атак нарушителей велико, а деятельность подразделений организации разнородна и не поддается унификации. При этом каждый специалист отдела имеет собственное мнение о приоритетности направлений деятельности, соответствующее его специализации и личным приоритетам. А внедрение одного технического решения или разработка одного регламента или инструкции в крупной организации выливается в небольшой проект со всей атрибутикой проектной деятельности: планирование, бюджет, ответственные, сроки сдачи и т. п.

Таким образом, защититься повсюду и от всего, во-первых, не представляется возможным физически, а во-вторых, лишено смысла. Что в данном случае может сделать начальник отдела ИБ?

Во-первых, он может не делать ничего до первого серьезного инцидента. Во-вторых - попытаться реализовать какой-либо общепринятый стандарт обеспечения ИБ. В-третьих - довериться маркетинговым материалам производителей программно-аппаратных средств и интеграторам или консультантам в области ИБ. Тем не менее есть и другой путь.

Определение целей управления информационной безопасностью

Можно попытаться - при помощи руководства и работников организации - понять, что же на самом деле нужно защищать и от кого. С этого момента начинается специфическая деятельность на стыке технологий и основного бизнеса, которая состоит в определении того направления деятельности и (если возможно) целевого состояния обеспечения ИБ, которое будет сформулировано одновременно и в бизнес-терминах, и в терминах ИБ.

Процесс анализа рисков - это и есть инструмент, с помощью которого можно определить цели управления ИБ, оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации.

Ниже мы расскажем, какие задачи решаются в рамках анализа рисков ИБ для получения перечисленных результатов и каким образом эти результаты достигаются в рамках анализа рисков.

Идентификация и оценка активов

Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности (рис. 1).

Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется ее обработка.

В условиях крупной современной организации количество информационных активов может быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).

Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация рассматривается как один из типов ресурсов. Задача несколько упрощается, если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.

Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.

Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива. Определение ценности проблематично, потому что в большинстве случаев менеджеры организации не могут сразу же дать ответ на вопрос, что произойдет, если, к примеру, информация о закупочных ценах, хранящаяся на файловом сервере, уйдет к конкуренту. Вернее сказать, в большинстве случаев менеджеры организации никогда не задумывались о таких ситуациях.

Но экономическая эффективность процесса управления ИБ во многом зависит именно от осознания того, что нужно защищать и какие усилия для этого потребуются, так как в большинстве случаев объем прилагаемых усилий прямо пропорционален объему затрачиваемых денег и операционных расходов. Управление рисками позволяет ответить на вопрос, где можно рисковать, а где нельзя. В случае ИБ термин «рисковать» означает, что в определенной области можно не прилагать значительных усилий для защиты информационных активов и при этом в случае нарушения безопасности организация не понесет значимых потерь. Здесь можно провести аналогию с классами защиты автоматизированных систем: чем значительнее риски, тем более жесткими должны быть требования к защите.

Чтобы определить последствия нарушения безопасности, нужно либо иметь сведения о зафиксированных инцидентах аналогичного характера, либо провести сценарный анализ. В рамках сценарного анализа изучаются причинно-следственные связи между событиями нарушения безопасности активов и последствиями этих событий для бизнес-деятельности организации. Последствия сценариев должны оцениваться несколькими людьми, итерационным или совещательным методом. Следует отметить, что разработка и оценка таких сценариев не может быть полностью оторвана от реальности. Всегда нужно помнить, что сценарий должен быть вероятным. Критерии и шкалы определения ценности индивидуальны для каждой организации. По результатам сценарного анализа можно получить информацию о ценности активов.

Если активы идентифицированы и определена их ценность, можно говорить о том, что цели обеспечения ИБ частично установлены: определены объекты защиты и значимость поддержания их в состоянии информационной безопасности для организации. Пожалуй, осталось только определить, от кого необходимо защищаться.

Анализ источников проблем

После определения целей управления ИБ следует проанализировать проблемы, которые мешают приблизиться к целевому состоянию. На этом уровне процесс анализа рисков спускается до информационной инфраструктуры и традиционных понятий ИБ - нарушителей, угроз и уязвимостей (рис. 2).

Модель нарушителя

Для оценки рисков недостаточно ввести стандартную модель нарушителя, разделяющую всех нарушителей по типу доступа к активу и знаниям о структуре активов. Такое разделение помогает определить, какие угрозы могут быть направлены на актив, но не дает ответа на вопрос, могут ли эти угрозы быть в принципе реализованы.

В процессе анализа рисков необходимо оценить мотивированность нарушителей при реализации угроз. При этом под нарушителем подразумевается не абстрактный внешний хакер или инсайдер, а сторона, заинтересованная в получении выгоды путем нарушения безопасности актива.

Первоначальную информацию о модели нарушителя, как и в случае с выбором изначальных направлений деятельности по обеспечению ИБ, целесообразно получить у высшего менеджмента, представляющего себе положение организации на рынке, имеющего сведения о конкурентах и о том, каких методов воздействия можно от них ожидать. Сведения, необходимые для разработки модели нарушителя, можно получить и из специализированных исследований по нарушениям в области компьютерной безопасности в той сфере бизнеса, для которой проводится анализ рисков. Правильно проработанная модель нарушителя дополняет цели обеспечения ИБ, определенные при оценке активов организации.

Модель угроз

Разработка модели угроз и идентификация уязвимостей неразрывно связаны с инвентаризацией окружения информационных активов организации. Сама собой информация не хранится и не обрабатывается. Доступ к ней обеспечивается при помощи информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Важно понять, как информационная инфраструктура и информационные активы организации связаны между собой. С позиции управления ИБ значимость информационной инфраструктуры может быть установлена только после определения связи между информационными активами и инфраструктурой. В том случае, если процессы поддержания и эксплуатации информационной инфраструктуры в организации регламентированы и прозрачны, сбор информации, необходимый для идентификации угроз и оценки уязвимостей, значительно упрощается.

Разработка модели угроз - работа для профессионалов в области ИБ, которые хорошо представляют себе, каким образом нарушитель может получить неавторизованный доступ к информации, нарушая периметр защиты или действуя методами социальной инженерии. При разработке модели угроз можно также говорить о сценариях как о последовательных шагах, в соответствии с которыми могут быть реализованы угрозы. Очень редко случается, что угрозы реализуются в один шаг путем эксплуатации единственного уязвимого места системы.

В модель угроз следует включить все угрозы, выявленные по результатам смежных процессов управления ИБ, таких как управление уязвимостями и инцидентами. Нужно помнить, что угрозы необходимо будет ранжировать друг относительно друга по уровню вероятности их реализации. Для этого в процессе разработки модели угроз для каждой угрозы необходимо указать наиболее значимые факторы, существование которых оказывает влияние на ее реализацию.

Идентификация уязвимостей

Соответственно после разработки модели угроз необходимо идентифицировать уязвимости в окружении активов. Идентификация и оценка уязвимостей может выполняться в рамках еще одного процесса управления ИБ - аудита. Тут не стоит забывать, что для проведения аудита ИБ необходимо разработать критерии проверки. А критерии проверки могут быть разработаны как раз на основании модели угроз и модели нарушителя.

По результатам разработки модели угроз, модели нарушителя и идентификации уязвимостей можно говорить о том, что определены причины, влияющие на достижение целевого состояния информационной безопасности организации.

Оценка рисков

Идентифицировать и оценить активы, разработать модель нарушителя и модель угроз, идентифицировать уязвимости - все это стандартные шаги, описание которых должно присутствовать в любой методике анализа рисков. Все перечисленные шаги могут выполняться с различным уровнем качества и детализации. Очень важно понять, что и как можно сделать с огромным количеством накопленной информации и формализованными моделями. На наш взгляд, этот вопрос наиболее важен, и ответ на него должна давать используемая методика анализа рисков.

Полученные результаты необходимо оценить, агрегировать, классифицировать и отобразить. Так как ущерб определяется на этапе идентификации и оценки активов, необходимо оценить вероятность событий риска. Как и в случае с оценкой активов, оценку вероятности можно получить на основании статистики по инцидентам, причины которых совпадают с рассматриваемыми угрозами ИБ, либо методом прогнозирования - на основании взвешивания факторов, соответствующих разработанной модели угроз.

Хорошей практикой для оценки вероятности станет классификация уязвимостей по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы.

В качестве примера системы классификации уязвимостей можно привести стандарт CVSS - common vulnerability scoring system. Следует отметить, что в процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Величину (уровень) риска следует определить для всех идентифицированных и соответствующих друг другу наборов «актив - угроза». При этом величина ущерба и вероятности не обязательно должны быть выражены в абсолютных денежных показателях и процентах; более того, как правило, представить результаты в такой форме не удается. Причина этого - используемые методы анализа и оценки рисков информационной безопасности: сценарный анализ и прогнозирование.

Принятие решения

Что же можно сделать с полученным результатом оценки?

В первую очередь следует разработать простой и наглядный отчет об анализе рисков, основной целью которого будет презентация собранной информации о значимости и структуре рисков ИБ в организации. Отчет следует представить высшему руководству организации. Распространенная ошибка состоит в том, что вместо выводов высшему руководству представляют промежуточные результаты. Несомненно, все выводы должны быть подтверждены аргументами - к отчету необходимо приложить все промежуточные выкладки.

Для наглядности отчета риски необходимо классифицировать в привычных для организации бизнес-терминах, сходные риски - агрегировать. В целом классификация рисков может быть многогранной. С одной стороны, речь идет о рисках информационной безопасности, с другой - о рисках ущерба для репутации или потери клиента. Классифицированные риски необходимо ранжировать по вероятности их возникновения и по значимости для организации.

Отчет об анализе рисков отражает следующие сведения:

  • наиболее проблемные области обеспечения ИБ в организации;
  • влияние угроз ИБ на общую структуру рисков организации;
  • первоочередные направления деятельности отдела ИБ по повышению эффективности обеспечения ИБ.

На основании отчета об анализе рисков руководитель отдела ИБ может разработать план работы отдела на среднесрочный период и заложить бюджет исходя из характера мероприятий, необходимых для снижения рисков. Отметим, что правильно составленный отчет об анализе рисков позволяет начальнику отдела ИБ найти общий язык с высшим менеджментом организации и решить актуальные проблемы, связанные с управлением ИБ (рис. 3).

Политика обработки рисков

Очень важный вопрос - политика управления рисками организации. Политика задает правила обработки рисков. Например, в политике может быть сказано, что риски потери репутации следует снижать в первую очередь, а снижение рисков средней значимости, не подтвержденных инцидентами ИБ, откладывается на конец очереди. Политику управления рисками может определять подразделение, занимающееся корпоративным управлением рисками.

Политика обработки рисков может пояснять вопросы страхования рисков и реструктуризации деятельности в том случае, если потенциальные риски превышают приемлемый уровень. Если политика не определена, то последовательность работ по снижению рисков должна базироваться на принципе максимальной эффективности, но определять ее все равно должно высшее руководство.

Подведем итоги

Анализ рисков - достаточно трудоемкая процедура. В процессе анализа рисков должны применяться методические материалы и инструментальные средства. Однако для успешного внедрения повторяемого процесса этого недостаточно; еще одна важная его составляющая - регламент управления рисками. Он может быть самодостаточным и затрагивать только риски ИБ, а может быть интегрирован с общим процессом управления рисками в организации.

В процессе анализа рисков задействованы многие структурные подразделения организации: подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, подразделение управления ИБ. Кроме того, для успешного проведения анализа рисков и эффективного использования его результатов необходимо привлечь высший менеджмент организации, обеспечив тем самым взаимодействие между структурными подразделениями.

Одной лишь методики анализа рисков или специализированного инструментального средства для оценки рисков ИБ недостаточно. Необходимы процедуры идентификации активов, определения значимости активов, разработки моделей нарушителя и угроз, идентификации уязвимостей, агрегирования и классификации рисков. В различных организациях все перечисленные процедуры могут существенно различаться. Цели и масштаб проведения анализа рисков ИБ также влияют на требования, предъявляемые к сопутствующим анализу рисков процессам.

Применение метода анализа рисков для управления ИБ требует от организации достаточного уровня зрелости, на котором можно будет реализовать все необходимые в рамках анализа рисков процессы.

Управление рисками позволяет структурировать деятельность отдела ИБ, найти общий язык с высшим менеджментом организации, оценить эффективность работы отдела ИБ и обосновать решения по выбору конкретных технических и организационных мер защиты перед высшим менеджментом.

Процесс анализа рисков непрерывен, так как верхнеуровневые цели обеспечения ИБ могут оставаться неизменными на протяжении длительного времени, а информационная инфраструктура, методы обработки информации и риски, связанные с использованием ИТ, постоянно меняются.

Отдел ИБ и организация в целом в случае структурирования своей деятельности путем непрерывного анализа рисков получают следующие весьма значимые преимущества:

  • идентификация целей управления;
  • определение методов управления;
  • эффективность управления, основанная на принятии обоснованных и своевременных решений.

В связи с управлением рисками и управлением ИБ необходимо отметить еще несколько моментов.

Анализ рисков, управление инцидентами и аудит ИБ неразрывно связаны друг с другом, поскольку связаны входы и выходы перечисленных процессов. Разработку и внедрение процесса управления рисками необходимо вести с оглядкой на управление инцидентами и аудитами ИБ.

Установленный процесс анализа рисков - это обязательное требование стандарта СТО-БР ИББС-1.0-2006 по обеспечению информационной безопасности в банковской сфере.

Постановка процесса анализа рисков необходима организации, если в ней принято решение о прохождении сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Установление режима защиты коммерческой тайны и персональных данных неразрывно связано с анализом рисков, так как все перечисленные процессы используют сходные методы идентификации и оценки активов, разработки модели нарушителя и модели угроз.

Известно, что риск - это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации. Анализ риска заключается в моделировании картины наступления этих самых неблагоприятных условий посредством учета всех возможных факторов, определяющих риск как таковой. С математической точки зрения при анализе рисков такие факторы можно считать входными параметрами.

Перечислим эти параметры:
1) активы - ключевые компоненты инфраструктуры системы, вовлеченные в бизнес-процесс и имеющие определенную ценность;
2) угрозы, реализация которых возможна посредством эксплуатации уязвимости;
3) уязвимости - слабость в средствах защиты, вызванная ошибками или несовершенством в процедурах, проекте, реализации, которая может быть использована для проникновения в систему;
4) ущерб который оценивается с учетом затрат на восстановление системы в исходное состояния после возможного инцидента ИБ.

Итак, первым этапом при проведении многофакторного анализа рисков является идентификация и классификация анализируемых входных параметров. Далее необходимо провести градацию каждого параметра по уровням значимости (например: высокий, средний, низкий). На заключительном этапе моделирования вероятного риска (предшествующем получению числовых данных уровня риска) происходит привязка выявленных угроз и уязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка может подразумевать, к примеру, анализ риска с учетом и без учета наличия средств защиты системы, вероятности того, что система будет скомпрометирована ввиду неучтенных факторов и т.д.). Давайте рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим внимание на активы компании.

Инвентаризация активов компании
(SYSTEM CHARACTERIZATION)

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
. информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
. программное обеспечение;
. материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
. сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
. сотрудники компании, их квалификация и опыт;
. нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков. Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов. Понятие "владелец" определяет лиц или стороны, которые имеют утвержденные руководством компании обязанности по управлению созданием, разработкой, поддержанием, использованием и защитой активов.

В процессе категорирования активов необходимо оценить критичность активов для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает владельцам активов понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности.

Оценка критичности активов

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях следует определить оценку каждого уровня в деньгах.

Согласно авторитетной классификации NIST, включенной в RISK MANAGEMENT GUIDE FOR THE INFORMATION TECHNOLOGY SYSTEMS, категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить основные источники угроз, среди которых:
. угрозы природного происхождения (землетрясения, наводнения и т.п.);
. угрозы, исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т.п.);
. угрозы техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т.п.).

Вышеописанная классификация может быть далее категорирована более подробно.
Так, к самостоятельным категориям источников угроз, происходящих от человека, согласно упомянутой классификации NIST относятся:
- хакеры;
- криминальные структуры;
- террористы;
- компании, занимающиеся промышленным шпионажем;
- инсайдеры.
Каждая из перечисленных угроз, в свою очередь, должна быть детализирована и оценена по шкале значимости (например: низкий, средний, высокий).

Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их "силы". Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням: Критический, Высокий, Средний, Низкий. Рассмотрим эти уровни более подробно:

1. Критический уровень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы без дополнительного воздействия целевого пользователя и активно эксплуатируются в настоящее время. Данный уровень опасности подразумевает, что эксплойт находится в публичном доступе.

2. Высокая степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы. Как правило, для подобных уязвимостей не существует эксплойта в публичном доступе.

3. Средняя степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют провести удаленный отказ в обслуживании, неавторизованный доступ к данным или выполнение произвольного кода при непосредственном взаимодействии с пользователем (например, через подключение к злонамеренному серверу уязвимым приложением).

4. Низкий уровень опасности. К этому уровню относятся все уязвимости, эксплуатируемые локально, а также уязвимости, эксплуатация которых затруднена или которые имеют минимальное воздействие (например, XSS, отказ в обслуживании клиентского приложения).

Источником составления такого перечня/списка уязвимостей должны стать:
. общедоступные регулярно публикуемые списки уязвимостей (как пример: www.securitylab.ru);
. список уязвимостей публикуемых производителем ПО (как пример: www.apache.org);
. результаты тестов на проникновение (как пример: www.site-sec.com);
. анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:
. Уязвимости ОС и ПО (ошибки кода), обнаруженные производителем или независимыми экспертами (на момент написания статьи общее количество обнаруженных уязвимостей достигло отметки около ~1900 - сюда вошли уязвимости, опубликованные в "багтреках" на xakep.ru, securitylab, milw0rm.com и securityfocus.com).
. Уязвимости системы, связанные с ошибками в администрировании (неадекватные окружению настройки web-сервера или PHP, не закрытые межсетевым экраном порты с уязвимыми сервисами и т.п.).
. Уязвимости, источниками которых могут стать инциденты, не предусмотренные политикой безопасности, а также события стихийного характера. В качестве яркого примера распространенной уязвимости ОС и ПО можно привести переполнение буфера (buffer overflow). К слову будь сказано, абсолютное большинство из ныне существующих эксплойтов реализуют класс уязвимостей на переполнение буфера.

Численные методы оценки рисков

Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R=D*P(V), где R - информационный риск;
D - критичность актива (ущерб);
P(V) - вероятность реализации уязвимости.
Одним из примеров практической реализации вышеописанного подхода к определению уровней риска является матрица рисков, предложенная NIST.

Threat Likelihood-угроза (ее вероятность) Impact-ущерб
Low (низкий) - 10 Medium (средний) -50 High (высокий) -100
High (высокая) - 1 Low (низкий) 10x1=10 Medium (средний) 50x1=50 High (высокий) 100x1=100
Medium (средняя) - 0.5 Low (низкий) 10x0.5=5 Medium (средний) 50x0.5=25 Medium (средний) 100x0.5=50
Low (низкая) - 0.1 Low (низкий) 10x0.1=1 Low (низкий) 50x0.1=5 Low (низкий) 100x0.1=10
Уровень риска: Высокий (от 50 до 100); Средний (от 10 до 50); Низкий (от 1 до 10).

Каждый из возможных входных параметров (к примеру, уязвимость, угроза, актив и ущерб) описывается своей функцией принадлежности с учетом соответствующего коэффициента.

Оценка рисков на основе нечеткой логики

Механизмы оценки рисков на основе нечеткой логики включает в себя последовательность этапов, в каждом из которых используются результаты предыдущего этапа. Последовательность этих этапов обычно следующая:
. Ввод правил программирования в виде продукционных правил ("ЕСЛИ,… ТО"), отражающих взаимосвязь уровня входных данных и уровня риска на выходе.
. Задание функции принадлежности входных переменных (как пример - с помощью специализированных программ вроде "Fuzyy logic" - в данном примере мы использовали MatLab).
. Получение первичного результата оценок входных переменных.
. Фазификация оценок входных переменных (нахождение конкретных значений функций принадлежности).
. Агрегирование (подразумевает проверку истинности условий путем преобразований функций принадлежности через нечеткую конъюнкцию и нечеткую дизъюнкцию).
. Активизация заключений (нахождение весовых коэффициентов по каждому из правил и функций истинности).
. Аккумуляция заключений (нахождение функции принадлежности для каждой из выходных переменных).
. Дефазификация (нахождение четких значений выходных переменных).

Так, в вышеприведенном примере (таблица 1.1.) фактически был рассмотрен двухпараметрический алгоритм оценки риска с трехуровневыми шкалами входных параметров. При этом:
. для входных величин и риска были заданы трехуровневые шкалы, на которых определены нечеткие термы (соответствует "большому", "среднему" и "низкому" значениям переменных - см. рис. 1);
. значимость всех логических правил вывода одинакова (все весовые коэффициенты продукционных правил равны единице).

Рис. 1. Трапециевидные функции принадлежности трехуровневой шкалы "уязвимости"

Очевидно, что двухпараметрический алгоритм, предусматривающий ввод двух входных переменных не может обеспечить получение объективного результата анализа риска, особенно с учетом множества факторов - входных переменных, которые, к слову, отражают реальную картину оценки риска ИБ.

Четырехпараметрический алгоритм

Предположим, что с помощью продукционных правил нечеткой логики необходимо воспроизвести механизм вывода с учетом четырех входных переменных. Такими переменными в данном случае являются:
. активы;
. уязвимость;
. угроза (а точнее, ее вероятность);
. ущерб.

Каждый из перечисленных входных переменных оценивается по своей шкале. Так, предположим, что на основе предварительного анализа были получены некоторые оценки входных переменных (рис. 2.):

Рис. 2. Ввод оценок переменных и механизм вывода

На простейшем примере рассмотрим вид продукционных правил для некоторого случая с трехуровневой шкалой:

Рис. 3. Продукционные правила четырехпараметрического алгоритма

Графический интерфейс Fuzzy Logic Toolbox в данном случае позволяет просматривать графики зависимости риска от вероятности угрозы и соответственно других входных переменных.

Рис.4. Зависимость риска от вероятности угрозы

Рис. 5. Зависимость риска от ущерба

Гладкий и монотонный график зависимости "кривой вывода" свидетельствует о достаточности и непротиворечивости используемых правил вывода. Наглядное графическое представление позволяет оценить адекватность свойств механизма вывода предъявляемым требованиям. В данном случае "кривая вывода" свидетельствует о том, что механизм вывода целесообразно использовать только в области низких значений вероятности, т.е. при вероятности меньше 0,5. Чем же можно объяснить такой "завал" в значениях при вероятности больше 0,5? Вероятно, тем, что применение трехуровневой шкалы, как правило, отражается на чувствительности алгоритма в области высоких значений вероятности.

Обзор некоторых Инструментальных средств анализа рисков с учетом множества факторов

При выполнении полного анализа рисков с учетом множества факторов приходится решать ряд сложных проблем:
. Как определить ценность ресурсов?
. Как составить полный список угроз ИБ и оценить их параметры?
. Как правильно выбрать контрмеры и оценить их эффективность?
Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design), которые обеспечивают:
- построение модели ИС с точки зрения ИБ;
- методы для оценки ценности ресурсов;
- инструментарий для составления списка угроз и оценки их вероятностей;
- выбор контрмер и анализ их эффективности;
- анализ вариантов построения защиты;
- документирование (генерацию отчетов).
В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них - CRAMM. Кратко рассмотрим его ниже.

Метод CRAMM

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - Метод CCTA Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий - "коммерческий профиль" - является коммерческим продуктом. В настоящее время CRAMM является, судя по числу ссылок в интернет, самым распространенным методом анализа и контроля рисков. Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему, и существует уверенность в том, что:

Все возможные риски идентифицированы;
. уязвимости ресурсов идентифицированы, и их уровни оценены;
. угрозы идентифицированы, и их уровни оценены;
. контрмеры эффективны;
. расходы, связанные с ИБ, оправданы.

Олег Бойцев, руководитель "Cerber Security//Анализ Безопасности Вашего Сайта"

При внедрении системы управления информационной безопасностью (СУИБ) в организации одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны никто из окружающих вроде бы этого не видел и само событие представляется маловероятным, с другой стороны существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные дисциплины и объединения ученых мужей, вовлеченных в данный исследовательский процесс и, как водится, спецслужбы обладают в этой области особым тайным знанием.

Александр Астахов, CISA, 2006

Введение

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко, либо сколько осталось в бюджете.

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно, что в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. В данной статье излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Основные и вспомогательные активы

Говоря о рисках для бизнеса мы имеем ввиду возможность с определенной вероятностью понести определенный ущерб. Это может быть как прямой материальный ущерб, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса, ведь, если риском не управлять, то бизнес можно потерять.

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес целей) несколько основных категорий ресурсов (далее будем использовать непосредственно связанное с бизнесом понятие актива). Актив – это все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства)

Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются имидж и репутация компании. Эти ключевые активы для любой организации, являются ни чем иным как особой разновидностью информационных активов, поскольку имидж и репутация компании – это ни что иное как содержание открытой и широко распространенной информацией о ней. Информационная безопасность занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальной информации крайне негативно влияют на имидж.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

По определению, для организации важны все виды активов. Однако у каждой организации есть основные жизненно важные активы и активы вспомогательные. Определить какие активы являются основными очень просто, т.к. это те активы, вокруг которых построен бизнес организации. Так, бизнес организации может быть основан на владении и использовании материальных активов (например, земли, недвижимости, оборудования, полезных ископаемых), бизнес также может быть построен на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или бизнес может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет). Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Существующие подходы к управлению рисками

Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации не высок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако, существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес процессов очень высок и информационные риски могут существенно повлиять на основные бизнес процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае, рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.

Уровни зрелости

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах:

  1. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
  2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
  3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
  4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

Процессная модель управления рисками

В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Ожидает, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), что отражает стандартный цикл любых процессов управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.

В системе управления рисками ИБ на этапе Планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективность контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе Реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе Проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе Действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

Факторы риска

Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков. Таких параметров всего семь:

  • Актив (Asset)
  • Ущерб (Loss)
  • Угроза (Threat)
  • Уязвимость (Vulnerability)
  • Мехнизм контроля (Сontrol)
  • Размер среднегодовых потерь (ALE)
  • Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:

  • Что является основным активом компании?
  • Какова реальная ценность данного актива?
  • Какие существуют угрозы в отношении данного актива?
  • Каковы последствия этих угроз и ущерб для бизнеса?
  • Насколько вероятны эти угрозы?
  • Насколько уязвим бизнес в отношении этих угроз?
  • Каков ожидаемый размер среднегодовых потерь?

На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос: Какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

Таким образом, по результатам оценки рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:

  • Какой вариант обработки риска выбираем?
  • Если принимается решение о минимизации риска, то какие механизмы контроля необходимо использовать?
  • Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?

На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за реализацию контрмер.

Принятие решения по обработке рисков

Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта:

  • Сообщение о проблеме: В чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
  • Степень серьезности проблемы: Чем это грозит организации, ее руководству и акционерам?
  • Предлагаемое решение: Что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства?
  • Альтернативные решения: Какие еще способы решения проблемы существуют (альтернативы есть всегда и у руководства должна быть возможность выбора).

Пункты 1 и 2, а также 3 и 4 могут меняться местами, в зависимости от конкретной ситуации.

Методы управления рисками

Существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время, по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля описанный в международных стандартах и содержащихся в базе знаний CRAMM.

На первом этапе в методе CRAMM строиться модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность ресурсов, исходя из возможного ущерба, который организация может понести в результате их компрометации.

На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM оцениваются «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются и набор рекомендуемых контрмер по минимизации рисков, формируется, исходя из этого предположения.

На заключительном этапе инструментарием CRAMM формируется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.

Инструментарий для управления рисками

В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь на предыдущие этапы, например, переоценивая, определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документация, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с этими разнообразными данными.

Для управления рисками ИБ можно применять инструментарий, например, как в методе CRAMM, либо RA2 (показан на рисунке), однако это не является обязательным. Примерно также об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограмированый алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования СУИБ, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

Выводы

Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации.

При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей программный инструментарий, который реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов (например, RA2).

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Ссылки

  • Астахов А.М., «История стандарта BS 7799», http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
  • Астахов А.М., «Как построить и сертифицировать систему управления информационной безопасностью?»,
ewt-money.ru - Ликвидация бизнеса. Приказы. Оборудование для бизнеса. Бухгалтерия и кадры

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 57771 от 18.04.2014.
Copyright © 2006-2017. Все материалы сайта защищены авторским правом
Средство массовой информации "БизнесГарант" зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций