Что такое риск, как он появляется. Риск можно охарактеризовать как комбинацию вероятности возникновения событий и его последствий, или, в рамках темы статьи — это вероятность реализации угрозы информационной безопасности.
Определение угроз и уязвимостей. В информационной безопасности понятие «риск» напрямую связано с понятиями «угроза» и «уязвимость». Уязвимость — это недостаток в работе информационной системы, её архитектуре или в процессе, которые влияют или зависят от системы/процесса и могут быть использованы угрозами. Угрозу можно определить как источник реализации уязвимостей.
Оценка рисков ИБ производится на основании идентифицированных угроз, уязвимостей и ущерба, наносимого при их реализации.
…и зачем его оценивать. Необходимость оценки рисков в первую очередь обусловлена определением степени их влияния на бизнес процессы компании, оценкой размеров тех или иных потерь (ущерба) от их реализации и разработкой механизмов их минимизации или предотвращения.
Процедура оценки рисков. Инвентаризация и категорирование информационных ресурсов
Информационные ресурсы — информация и средства ее обработки (программно-аппаратные комплексы), которые применяются для обработки информации на всех этапах ее жизненного цикла в рамках процессов компании. Чтобы оценить риски, мы определяем существующие в компании информационные ресурсы, после чего проводим их инвентаризацию и классификацию. Необходимо отметить, что инвентаризации подлежат все информационные ресурсы компании, участвующие в осуществлении ее основной деятельности.
Для определения степени ценности ресурса для компании и необходимого уровня его защиты требуется провести его классификацию по категориям конфиденциальность, целостность и доступность. Единая шкала значений классификации целостности и доступности вводится для всех информационных ресурсов компании (Пример: конфиденциальность – 3 степени, целостность - 3 степени, доступность – 3 степени; значение 1 – минимальные требования, значения 3 – максимальные требования). Присвоение категорий информационных ресурсов должно проводиться исходя из принципов необходимой достаточности, т.к. существует тенденция завышать требования к конфиденциальности и.т.д. Процесс инвентаризации и категорирования информационных ресурсов цикличен и привязан к любому значимому изменению окружения/содержания системы обработки, передачи, хранения информации.
В результате инвентаризации и классификации информационных ресурсов мы получаем реестр, в котором содержится информация о ресурсах и требований, к ним предъявляемым.
Последовательность действий при проведении оценки рисков
Для проведения оценки риска определенного информационного ресурса необходимо:
- провести идентификацию уязвимостей (организационно-технических уязвимостей и уязвимостей, связанных с внешней средой) и угроз, которые могут использовать обнаруженные уязвимости для формирования модели угроз;
- проанализировать существующие организационно-технические мероприятия, предназначенные для предотвращения реализации обнаруженных угроз;
- определить вероятность реализации риска (вероятность реализации угрозы с учетом существующих механизмов защиты), оценить ущерб от его реализации по возможности в абсолютных показателях (деньги);
- определить допустимые для деятельности организации значения уровня риска и утвердить его у руководства компании;
- разработать план обработки рисков (план снижения ранее определённых рисков до утвержденных значений).
Главными результатами процедуры оценки рисков являются:
- документированные результаты оценки рисков;
- оценка потерь от реализации рисков;
- план обработки (снижения уровня) рисков;
- допустимые значения идентифицированных и обработанных рисков.
Следует отметить, что процесс оценки рисков так же как инвентаризация и категорирование информационных ресурсов – цикличен, привязан к любому значимому изменению окружения и/или содержания системы обработки, передачи, хранения информации.
Примеры проведения оценки рисков (частный случай)
К проведению оценки рисков ИБ как правило приходят после того, как руководитель компании или сотрудники отделов ИТ/ИБ так или иначе ознакомились с некими стандартами информационной безопасности – как правило это ISO 27001:2005.
Через некоторое время наблюдается следующая картина:
- Инвентаризация «железа» и программного обеспечения так или иначе проведена. Всему присвоены максимальные категории конфиденциальности и т. д. (владельцы информации и бизнес-процессов в категорировании не участвуют, непосредственно информацию ИТ не категорирует и не оценивает, а зачем собственно?)
- Системный администратор медитирует на списки контролей из приложения к стандарту, спорадически пытаясь натянуть их на информационную систему компании.
- Через месяц — всем надоело.
Если не надоело — начинаются попытки категорировать информацию и, возможно, оценивать риски. Первый же поход к представителям бизнеса как правило заканчивается очень просто – «награждение» непричастных и наказание всех подряд, с попытками подсчитать время, которое затратило подразделение ИТ непонятно на что (с точки зрения руководителей бизнеса, и они правы).
Возможен вариант, при котором руководство компании, о чудо, поддерживает инициативы ИТ и две недели играет в категорирование информации и оценку рисков, назначая все ресурсы, документы и «железки» совершенно секретными, абсолютно целостными и категорически доступными, но только тем кому положено! Кому, собственно, положено – пока неизвестно.
В итоге может родиться «план обработки рисков»: требования – по максимуму, значит дайте МНОГО денег, кто и за что отвечает – не ясно. После описанного выше, система управления информационной безопасностью выглядит как ежемесячные отчеты о том, кто, куда и как ходил и сколько времени провел на «одноклассниках». Да, и все по-прежнему боятся хакеров.
Скромно о том, как надо
Так или иначе, оценка рисков ИБ — это часть работ по внедрению системы управления информационной безопасностью, а внедрение такой системы очень сильно влияет на основные бизнес-процессы компании. Решение об оценке рисков ИБ принимается высшим руководством компании, и никак иначе. И контролировать все процессы оценки рисков (с разумной степенью вовлеченности) тоже должно руководство компании. Консультанты в процессе проведения таких работ необходимы, но не на всех этапах, а для того чтобы:
- не давать возможности участникам процесса оценки рисков анализировать вероятность второй луны и оценивать степень воздействия сего факта на бизнес компании;
- осуществлять проектное управление процессом оценки рисков, со стороны виднее.
Удачи, Господа!
Роман Ширшов, руководитель направления ИБ, PC-Ware Ukraine
Роман, спасибо за интересный материал. Вы правы, оценка ИБ-рисков – титанический труд. Не так давно на украинском рынке начали появляться решения-помощники, они конечно далеки от «пришел – поставил – забыл», но позволяют избежать частных случаев, описанных Вами в примерах . По большому счету это просто «канва», со встроенной базой методических рекомендаций, стандартов и местом для специальных внутри корпоративных политик, там же предусмотрена жесткая привязка рисков к бизнес процессам и интуитивные инструменты для количественной/качественной оценки угроз.
Больше на http://www.lumension.com/Media_Files/Documents/Marketing---Sales/Datasheets/Lumension_Risk_Manager.aspx
И
http://www.lumension.com/Resources/WhitePapers/Demystifying-IT-Risk-to-Achieve-Greater-Security.aspx (нужна краткая регистрация)
