Несмотря на заметный рост отрасли информационной безопасности в общем, число инцидентов безопасности продолжает расти. Одной из причин является неправильный подход к оценке рисков в области безопасности их влиянии на деятельность компании

Что такое риск, как он появляется. Риск можно охарактеризовать как комбинацию вероятности возникновения событий и его последствий, или, в рамках темы статьи — это вероятность реализации угрозы информационной безопасности.
 
Определение угроз и уязвимостей. В информационной безопасности понятие «риск» напрямую связано с понятиями «угроза» и «уязвимость». Уязвимость — это недостаток в работе информационной системы, её архитектуре или в процессе, которые влияют или зависят от системы/процесса и могут быть использованы угрозами. Угрозу можно определить как источник реализации уязвимостей.
Оценка рисков ИБ производится на основании идентифицированных угроз, уязвимостей и ущерба, наносимого при их реализации.

…и зачем его оценивать. Необходимость оценки рисков в первую очередь обусловлена определением степени их влияния на бизнес процессы компании, оценкой размеров тех или иных потерь (ущерба) от их реализации и разработкой механизмов их минимизации или предотвращения.

Процедура оценки рисков. Инвентаризация и категорирование информационных ресурсов

Информационные ресурсы — информация и средства ее обработки (программно-аппаратные комплексы), которые применяются для обработки информации на всех этапах ее жизненного цикла в рамках процессов компании. Чтобы оценить риски, мы определяем существующие в компании информационные ресурсы, после чего проводим их инвентаризацию и классификацию. Необходимо отметить, что инвентаризации подлежат все информационные ресурсы компании, участвующие в осуществлении ее основной деятельности.

При инвентаризации информационным ресурсам присваивается набор атрибутов, включающий в себя информацию относительно их владельцев, назначении, уникальных свойств, расположения и.т.п. Также, в процессе проведения инвентаризации ресурсам присваивается уникальный идентификатор (как пример – инвентарный номер).

Для определения степени ценности ресурса для компании и необходимого уровня его защиты требуется провести его классификацию по категориям конфиденциальность, целостность и доступность. Единая шкала значений классификации целостности и доступности вводится для всех информационных ресурсов компании (Пример: конфиденциальность – 3 степени, целостность - 3 степени, доступность – 3 степени; значение 1 – минимальные требования, значения 3 – максимальные требования). Присвоение категорий информационных ресурсов должно проводиться исходя из принципов необходимой достаточности, т.к. существует тенденция завышать требования к конфиденциальности и.т.д. Процесс инвентаризации и категорирования информационных ресурсов цикличен и привязан к любому значимому изменению окружения/содержания системы обработки, передачи, хранения информации.
В результате инвентаризации и классификации информационных ресурсов мы получаем реестр, в котором содержится информация о ресурсах и требований, к ним предъявляемым.

Последовательность действий при проведении оценки рисков

Для проведения оценки риска определенного информационного ресурса необходимо:

 - оценить среду существования и функционирования ресурса (техническое описание, результаты инвентаризации и категорирования, эксплуатационная и нормативная документация, данные о взаимодействии с другими информационными ресурсами);
 - провести идентификацию уязвимостей (организационно-технических уязвимостей и уязвимостей, связанных с внешней средой) и угроз, которые могут использовать обнаруженные уязвимости для формирования модели угроз;
 - проанализировать существующие организационно-технические мероприятия, предназначенные для предотвращения реализации обнаруженных угроз;
 - определить вероятность реализации риска (вероятность реализации угрозы с учетом существующих механизмов защиты), оценить ущерб от его реализации по возможности в абсолютных показателях (деньги);
 - определить допустимые для деятельности организации значения уровня риска и утвердить его у руководства компании;
 - разработать план обработки рисков (план снижения ранее определённых рисков до утвержденных значений).

Главными результатами процедуры оценки рисков являются: 
- документированные результаты оценки рисков;
- оценка потерь от реализации рисков;
- план обработки (снижения уровня) рисков;
- допустимые значения идентифицированных и обработанных рисков.

Следует отметить, что процесс оценки рисков так же как инвентаризация и категорирование информационных ресурсов – цикличен, привязан к любому значимому изменению окружения и/или содержания системы обработки, передачи, хранения информации.

Примеры проведения оценки рисков (частный случай)

К проведению оценки рисков ИБ как правило приходят после того, как руководитель компании или сотрудники отделов ИТ/ИБ так или иначе ознакомились с некими стандартами информационной безопасности – как правило это ISO 27001:2005.

В классическом варианте – руководитель ИТ услышав о стандарте, объявляет «на общем собрании жильцов нашего дома» о том, что все будут жить по-новому, о внедрении системы управления информационной безопасности и в заключение добавляет: «давайте же скорее». 

Через некоторое время наблюдается следующая картина:
- Инвентаризация «железа» и программного обеспечения так или иначе проведена. Всему присвоены максимальные категории конфиденциальности и т. д. (владельцы информации и бизнес-процессов в категорировании не участвуют, непосредственно информацию ИТ не категорирует и не оценивает, а зачем собственно?)
- Системный администратор медитирует на списки контролей из приложения к стандарту, спорадически пытаясь натянуть их на информационную систему компании.
- Через месяц — всем надоело.

Если не надоело — начинаются попытки категорировать информацию и, возможно, оценивать риски. Первый же поход к представителям бизнеса как правило заканчивается очень просто – «награждение» непричастных и наказание всех подряд, с попытками подсчитать время, которое затратило подразделение ИТ непонятно на что (с точки зрения руководителей бизнеса, и они правы). 

Возможен вариант, при котором руководство компании, о чудо, поддерживает инициативы ИТ и две недели играет в категорирование информации и оценку рисков, назначая все ресурсы, документы и «железки» совершенно секретными, абсолютно целостными и категорически доступными, но только тем кому положено! Кому, собственно, положено – пока неизвестно. 

Системный администратор по-прежнему медитирует (что-то упало, что-то закрылось), иногда представляет огромные отчеты об обнаруженных уязвимостях и статистику по поведению пользователей компании в сети Интернет.

В итоге может родиться «план обработки рисков»: требования – по максимуму, значит дайте МНОГО денег, кто и за что отвечает – не ясно. После описанного выше, система управления информационной безопасностью выглядит как ежемесячные отчеты о том, кто, куда и как ходил и сколько времени провел на «одноклассниках». Да, и все по-прежнему боятся хакеров.

Скромно о том, как надо

Так или иначе, оценка рисков ИБ — это часть работ по внедрению системы управления информационной безопасностью, а внедрение такой системы очень сильно влияет на основные бизнес-процессы компании. Решение об оценке рисков ИБ принимается высшим руководством компании, и никак иначе. И контролировать все процессы оценки рисков (с разумной степенью вовлеченности) тоже должно руководство компании. Консультанты в процессе проведения таких работ необходимы, но не на всех этапах, а для того чтобы:

 - помочь сформировать подходы к оценке рисков;
 - не давать возможности участникам процесса оценки рисков анализировать вероятность второй луны и оценивать степень воздействия сего факта на бизнес компании;
 - осуществлять проектное управление процессом оценки рисков, со стороны виднее.

Удачи, Господа!

Роман Ширшов, руководитель направления ИБ, PC-Ware Ukraine