Анализ и управление рисками при реализации информационной безопасности. Нарушения информационной безопасности

Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности (рис. 4.11).

Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценка рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы [Галатенко В. А., 2006]:

• идентификация активов и ценности ресурсов, нуждающихся в защите;
• выбор анализируемых объектов и степени детальности их рассмотрения;
• анализ угроз и их последствий, определение слабостей в защите;
• классификация рисков, выбор методологии оценки рисков и проведение оценки;
• выбор, реализация и проверка защитных мер;
• оценка остаточного риска.

Рис. 4.11. Неопредленнось как основа формирования риска

Политика ИБ включает разработку стратегии управления рисками разных классов.

Краткий перечень наиболее распространенных угроз приводился выше (см. п. 17.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного пользователя или оборудования.

Очевидно, что для противодействия каждому способу нелегального входа нужны свои механизмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации компании, ослабление её позиций на рынке и т. п.

После проведения идентификации и анализа угроз, их возможных последствий имеется несколько подходов к управлению: оценка риска, уменьшение риска, уклонение от риска, изменение характера риска, принятие риска, выработка корректирующих мероприятий (рис. 4.12).

Рис. 4.12. Схема управления рисками

При идентификации активов и информационных ресурсов - тех ценностей, которые нужно защитить - следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Выбор анализируемых объектов и степень детальности их рассмотрения - следующий шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной - следует сосредоточиться на наиболее важных (критичных) сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или неизвестны. Если информационной основой организации является локальная сеть, то в число аппаратных объектов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование.

К программным объектам следует отнести операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать в каких узлах сети хранится программное обеспечение, где и как используется. Третьим видом информационных объектов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.

Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому. По этой шкале можно оценивать приемлемость рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью. Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения серверов различного назначения, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.

Технология оценки рисков должна сочетать формальные метрики и формирование реальных количественных показатели для оценки. С их помощью необходимо ответить на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

Рис. 4.13. Схема оценки и снижения рисков

Методология снижения рисков. Многие риски можно существенно уменьшить путем использования простых и недорогих контрмер. Например, грамотное (регламентированное) управление доступом снижает риск несанкционированного вторжения. От некоторых классов рисков можно уклониться - вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Некоторые риски не могут быть уменьшены до малой величины, однако после реализации стандартного набора контрмер их можно принять, постоянно контролируя остаточную величину риска (рис. 4.13).

Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и/или программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость можно выразить в некоторой шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю средство защиты оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению.

Рис. 4.14. Итерационный процесс управления рисками

Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность - убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.

Управление рисками является многоступенчатым итерационным процессом (рис. 4.14).

Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками - типичная оптимизационная задача, принципиальная трудность состоит в её грамотной постановке на уровне высшего менеджмента, сочетании оптимальных методик и описания исходных данных (рис. 4.15).

Рис. 4.15. Формирование деятельности по управлению ИТ-рисками

Методологии "Оценка рисков" (Risk Assessment) и "Управление рисками" (Risk Management) стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security). Программа реализации ИБ и наборы политик базируются на совокупности системных действий и практических шагов (рис. 4.16-рис. 4.19).

Рис. 4.16. Совокупности системных действий и практических шагов (1)

Рис. 4.17. Совокупности системных действий и практических шагов (2)

Рис. 4.18. Совокупности системных действий и практических шагов (3)

Рис. 4.19. Совокупности системных действий и практических шагов (4)

Подготовлено и активно используются более десятка различных международных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками: ISO 15408: 1999 ("Common Criteria for Information Technology Security Evaluation"), ISO 17799:2002 ("Code of Practice for Information Security Management"), NIST 80030, SAS 78/94, COBIT.

Методика и инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях руководств Британского национального института стандартов (BSI) - PD 3002 ("Руководство по оценке и управлению рисками"), PD 3003 ("Оценка готовности компании к аудиту в соответствии с BS 7799"), PD 3005 ("Руководство по выбору системы защиты").

На практике такие методики управления рисками позволяют:

• создавать модели информационных активов компании с точки зрения безопасности;
• классифицировать и оценивать ценности активов;
• составлять списки наиболее значимых угроз и уязвимостей безопасности;
• ранжировать угрозы и уязвимости безопасности;
• оценивать и отрабатывать риски;
• разрабатывать корректирующие меры;
• обосновывать средства и меры контроля рисков;
• оценивать эффективность/стоимость различных вариантов защиты;
• формализовать и автоматизировать процедуры оценивания и управления рисками.

Отработка рисков включает в себя ряд важных этапов, которые в обязательном порядке включаются в плановую работу по обеспечению информационной безопасности (рис. 4.20).

Применение соответствующих программных средств позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время разработано более десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Примером достаточно простого средства является программный пакет BSS (Baseline Security Survey, UK).

Программные продукты более высокого класса: CRAMM (компания Insight Consulting Limited, UK), Risk Watch, COBRA (Consultative Objective and Bi-Functional Risk Analysis), Buddy System. Наиболее популярный из них - CRAMM (Complex Risk Analysis and Management Method), реализующий метод анализа и контроля рисков. Существенным достоинством метода является возможность проведения детального исследования в сжатые сроки с полным документированием результатов.

Рис. 4.20. Этапы отработка риска

В основе методов, подобных CRAMM, лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора.

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• в основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

Для коммерческих организаций имеется коммерческий профиль стандартов безопасности (Commercial Profile), для правительственных организаций - правительственный (Government Profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта TCSEC ("Оранжевая книга").

В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.

2) Оценивание возможных угроз.

3) Оценивание существующих уязвимостей.

4) Оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

Показателей ценности информационных ресурсов;

Вероятности реализации угроз для ресурсов;

Эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

Привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

Возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

Техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

Степенью легкости, с которой уязвимость может быть использована.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно­правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес­деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800­30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во­первых, определение основных целей и задач защиты информационных активов компании. Во­вторых, создание эффективной системы оценки и управления информационными рисками. В­третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В­четвертых, применение специального инструментария оценивания и управления рисками.

Качественные методики управления рисками

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT­аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799­2002.

Стандарт ISO 17799 содержит две части.

В Части 1: Практические рекомендации по управлению информационной безо­пасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: Политика безопасности. Организация защиты. Классификация и управление информационными ресурсами. Управление персоналом. Физическая безопасность. Администрирование компьютерных систем и сетей. Управление доступом к системам. Разработка и сопровождение систем. Планирование бесперебойной работы организации. Проверка системы на соответствие требованиям ИБ.

Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для IT­аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.

К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмот­рим названные методики.

Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно­регулирующих органов, например, требованиями руководящих документов (РД) Гос­техкомиссии при Президенте РФ.

Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании (рис. 1. - Пример тематического сборника вопросов COBRA ). Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool

Методика и одноименное инструментальное средство RA Software Tool (рис. 2. - Основные модули методики RA Software Tool ) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обу­словлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес­ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют: Создавать модели информационных активов компании с точки зрения безопасности; Классифицировать и оценивать ценности активов; Составлять списки наиболее значимых угроз и уязвимостей безопасности; Ранжировать угрозы и уязвимости безопасности; Обосновывать средства и меры контроля рисков; Оценивать эффективность/стоимость различных вариантов защиты; Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммер­ческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются: Формализация и автоматизация процедур анализа и управления рисками; Оптимизация расходов на средства контроля и защиты; Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; Обоснование эффективности предлагаемых мер защиты и средств контроля; Управление изменениями и инциден­тами; Поддержка непрерывности бизнеса; Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).

На первом этапе инициации - «Initiation» - определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов - «Identification and Valuation of Assets» - четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценивания угроз и уязвимостей - «Threat and Vulnerability Assessment» - идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

Этап анализа рисков - «Risk Analysis» - позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками - «Risk management» - предлагаются меры и средства уменьшения или уклонения от риска.

Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

В этой схеме условно выделим следующие элементы системы: рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира; почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет; сервер обработки, на котором установлена СУБД; сервер резервного копирования; рабочие места группы оперативного реагирования; рабочее место администратора безопасности; рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и ин­формационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End­User­Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис (рис. 5). Построенная модель позволяет выделить критичные элементы.

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение; нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии: ущерб репутации организации; нарушение действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

Ущерб репутации организации: 2 - негативная реакция отдельных чиновников, общественных деятелей; 4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 - негативная реакция отдельных депутатов Думы, Совета Федерации; 8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала: 2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 - гибель людей.

Финансовые потери, связанныес восстановлением ресурсов: 2 - менее $1000; 6 - от $1000 до $10 000; 8 - от $10 000 до $100 000; 10 - свыше $100 000.

Дезорганизация деятельностив связи с недоступностью данных: 2 - отсутствие доступа к информации до 15 минут; 4 - отсутствие доступа к информации до 1 часа; 6 - отсутствие доступа к информации до 3 часов; 8 - отсутствие доступа к информации от 12 часов; 10 - отсутствие доступа к информации более суток.

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой­либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 8. -Оценка уровня угрозы безопасности по косвенным факторам ).

Уровень угроз оценивается, в зависимости от ответов, как: очень высокий; высокий; средний; низкий; очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как: высокий; средний; низкий; отсутствует.

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Управление рисками. Основные шаги стадии управления рисками представлены на рис. 9.

На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям: Обеспечение безопасности на сетевом уровне. Обеспечение физической безопасности. Обеспечение безопасности поддерживающей инфраструктуры. Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируется несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

Методика MethodWare

Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. ПО управления жизненным цик­лом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Давайте кратко рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях. Давайте рассмотрим перечисленные этапы подробнее. Описание рисков. Задается матрица рисков (рис. 10. - Идентификация и определение рисков в Risk Advisor ) на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (рис. 11. - Разделение рисков на приемлемые и неприемлемые в Risk Advisor ). Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа­рисков.

Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

Заключение

Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE­средств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность­стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно­ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес­транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективность­стоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.

Как правильно оценивать риски информационной безопасности - наш рецепт

Задача оценки рисков информационной безопасности сегодня воспринимается экспертным сообществом неоднозначно, и тому есть несколько причин. Во-первых, здесь не существует золотого стандарта или общепринятого подхода. Многочисленные стандарты и методики хоть и схожи в общих чертах, но значительно различаются в деталях. Применение той или иной методики зависит от области и объекта оценки. Но выбор подходящего способа может стать проблемой, если участники процесса оценки имеют различное представление о нем и о его результатах.

Во-вторых, оценка рисков информационной безопасности - это сугубо экспертная задача. Анализ факторов риска (таких как ущерб, угроза, уязвимость и т.д.), выполненный разными экспертами, часто дает различный результат. Недостаточная воспроизводимость результатов оценки ставит вопрос о достоверности и полезности полученных данных. Природа человека такова, что абстрактные оценки, особенно касающиеся вероятностных единиц измерения, воспринимаются людьми по-разному. Существующие прикладные теории, призванные учесть меру субъективного восприятия человека (например, теория проспектов), усложняют и без того непростую методологию анализа рисков и не способствуют ее популяризации.

В-третьих, сама процедура оценки рисков в ее классическом понимании, с декомпозицией и инвентаризацией активов - весьма трудоемкая задача. Попытка выполнить анализ вручную с применением обычных офисных инструментов (например, электронных таблиц) неизбежно тонет в море информации. Специализированные программные средства, предназначенные для упрощения отдельных этапов анализа рисков, в некоторой степени облегчают моделирование, но совершенно не упрощают сбор и систематизацию данных.

Наконец, до сих пор не устоялось само определение риска в контексте проблемы информационной безопасности. Достаточно взглянуть на изменения в терминологии документа ISO Guide 73:2009 в сравнении с версией от 2002 года. Если раньше риск определялся как потенциал нанесения ущерба вследствие эксплуатации уязвимости какой-либо угрозой, то теперь это эффект отклонения от ожидаемых результатов. Аналогичные концептуальные изменения произошли и в новой редакции стандарта ISO/IEC 27001:2013.

По этим, а также по ряду других причин к оценке рисков информационной безопасности относятся в лучшем случае с осторожностью, а в худшем - с большим недоверием. Это дискредитирует саму идею риск-менеджмента, что в результате приводит к саботажу этого процесса руководством, и, как следствие, возникновению многочисленных инцидентов, которыми пестрят ежегодные аналитические отчеты.

Учитывая сказанное, с какой стороны лучше подойти к задаче оценки рисков информационной безопасности?

Свежий взгляд

Информационная безопасность сегодня все больше ориентируется на бизнес-цели и встраивается в бизнес-процессы. Аналогичные метаморфозы происходят и с оценкой рисков - она приобретает необходимый бизнес-контекст. Каким критериям должна соответствовать современная методика оценки рисков ИБ? Очевидно, что она должна быть простой и достаточно универсальной, чтобы результаты ее применения вызывали доверие и были полезны всем участникам процесса. Выделим ряд принципов, на которых должна базироваться такая методика:

1. избегать излишней детализации;
2. опираться на мнение бизнеса;
3. использовать примеры;
4. рассматривать внешние источники информации.

Суть предлагаемой методики лучше всего продемонстрировать на практическом примере. Рассмотрим задачу оценки рисков информационной безопасности в торгово-производственной компании. С чего все обычно начинается? С определения границ оценки. Если оценка рисков осуществляется впервые, в ее границы должны быть включены основные бизнес-процессы, генерирующие выручку, а также обслуживающие их процессы.

В случае если бизнес-процессы не документированы, общее представление о них можно получить, изучив организационную структуру и положения о подразделениях, содержащие описание целей и задач.

Определив границы оценки, перейдем к идентификации активов. В соответствии с вышесказанным мы будем рассматривать основные бизнес-процессы в качестве укрупненных активов, отложив инвентаризацию информационных ресурсов на следующие этапы (правило 1). Это обусловлено тем, что методика предполагает постепенный переход от общего к частному, и на данном уровне детализации эти данные просто не нужны.

Факторы риска

Будем считать, что с составом оцениваемых активов мы определились. Далее необходимо идентифицировать угрозы и уязвимости, связанные с ними. Однако такой подход применим только при выполнении детального анализа рисков, где объектом оценки выступают объекты среды информационных активов. В новой версии стандарта ISO/IEC 27001:2013 фокус оценки рисков сместился с традиционных ИТ-активов на информацию и ее обработку. Поскольку на текущем уровне детализации мы рассматриваем укрупненные бизнес-процессы компании, достаточно идентифицировать только высокоуровневые факторы риска, присущие им.

Фактор риска - это определенная характеристика объекта, технологии или процесса, которая является источником возникновения проблем в будущем. При этом мы можем говорить о наличии риска как такового только в том случае, если проблемы негативно скажутся на показателях деятельности компании. Выстраивается логическая цепочка:

Таким образом, задача идентификации факторов риска сводится к выявлению неудачных свойств и характеристик процессов, которые определяют вероятные сценарии реализации риска, оказывающие негативное влияние на бизнес. Чтобы упростить ее решение, воспользуемся бизнес-моделью информационной безопасности, разработанной ассоциацией ISACA (см. рис. 1):

Рис. 1. Бизнес-модель информационной безопасности

В узлах модели указаны фундаментальные движущие силы любой организации: стратегия, процессы, люди и технологии, а ее ребра представляют собой функциональные связи между ними. В этих ребрах, в основном, и сконцентрированы основные факторы риска. Как несложно заметить, риски связаны не только с информационными технологиями.

Как идентифицировать факторы риска, опираясь на приведенную модель? Нужно привлечь к этому бизнес (правило 2). Бизнес-подразделения обычно хорошо представляют себе проблемы, с которыми сталкиваются в работе. Часто вспоминается и опыт коллег по отрасли. Получить эту информацию можно, задавая правильные вопросы. Вопросы, связанные с персоналом, целесообразно адресовать службе по работе с персоналом, технологические вопросы - службе автоматизации (ИТ), а вопросы, связанные с бизнес-процессами, - соответствующим бизнес-подразделениям.

В задаче идентификации факторов риска удобнее отталкиваться от проблем. Идентифицировав какую-либо проблему, необходимо определить ее причину. В результате может быть выявлен новый фактор риска. Основная сложность здесь заключается в том, чтобы не скатиться в частности. Например, если инцидент произошел вследствие неправомерных действий сотрудника, фактором риска будет являться не то, что сотрудник нарушил положение какого-то регламента, а то, что само действие стало возможным. Фактор риска - это всегда предпосылка к возникновению проблемы.

Для того чтобы персонал лучше понимал, о чем именно его спрашивают, желательно сопровождать вопросы примерами (правило 3). Ниже приведены примеры нескольких высокоуровневых факторов риска, которые могут быть характерны для многих бизнес-процессов:

Персонал:

• Недостаточная квалификация (ребро Human Factors на рис. 1)
• Нехватка сотрудников (ребро Emergence)
• Низкая мотивация (ребро Culture)

Процессы:

• Частое изменение внешних требований (ребро Governing)
• Неразвитая автоматизация процессов (ребро Enabling & Support)
• Совмещение ролей исполнителями (ребро Emergence)

Технологии:

• Устаревшее ПО (ребро Enabling & Support)
• Низкая подотчетность пользователей (ребро Human Factors)
• Гетерогенный ИТ-ландшафт (ребро Architecture)

Важным преимуществом предложенного способа оценки является возможность перекрестного анализа, при котором два разных подразделения рассматривают одну и ту же проблему под различными углами. Учитывая это обстоятельство, очень полезно задавать интервьюируемым вопросы типа: «Что вы думаете по поводу проблем, обозначенных вашими коллегами?». Это отличный способ получить дополнительные оценки, а также скорректировать уже имеющиеся. Для уточнения результата можно провести несколько раундов такой оценки.

Влияние на бизнес

Как следует из определения риска, он характеризуется степенью оказываемого влияния на бизнес-показатели организации. Удобным инструментом, позволяющим определить характер влияния сценариев реализации риска на бизнес, является система сбалансированных показателей (Balanced Scorecards). Не углубляясь в детали, отметим, что Balanced Scorecards выделяет у любой компании 4 бизнес-перспективы, связанные иерархическим образом (см. рис. 2).

Рис. 2. Четыре бизнес-перспективы системы сбалансированных показателей

Применительно к рассматриваемой методике риск можно считать значимым, если он негативно сказывается хотя бы на одной из трех следующих бизнес-перспектив: финансы, клиенты и/или процессы (см. рис. 3).

Рис. 3. Основные показатели бизнеса

Например, фактор риска «Низкая подотчетность пользователей» может вылиться в сценарий «Утечка информации о клиентах». В свою очередь, это повлияет на бизнес-показатель «Количество клиентов».

Если в компании разработаны бизнес-метрики, это значительно упрощает ситуацию. Всякий раз, когда удается отследить влияние конкретного сценария реализации риска на один или несколько бизнес-показателей, соответствующий фактор риска может считаться значимым, а результаты его оценки необходимо зафиксировать в опросных листах. Чем выше в иерархии бизнес-метрик прослеживается влияние того или иного сценария, тем более значительны потенциальные последствия для бизнеса.

Задача анализа этих последствий является экспертной, поэтому она должна решаться с привлечением профильных бизнес-подразделений (правило 2). Для дополнительного контроля полученных оценок полезно использовать внешние источники информации, содержащие статистические данные о величине потерь в результате произошедших инцидентов (правило 4), например, ежегодный отчет «Cost of Data Breach Study».

Оценка вероятности

На завершающем этапе анализа для каждого идентифицированного фактора риска, воздействие которого на бизнес удалось определить, необходимо оценить вероятность реализации связанных с ним сценариев. От чего зависит эта оценка? В значительной степени от достаточности реализованных в компании защитных мер.

Здесь есть небольшое допущение. Логично предположить, что раз проблема была обозначена, значит, она по-прежнему актуальна. При этом реализованных мер, скорее всего, недостаточно для того, чтобы нивелировать предпосылки к ее возникновению. Достаточность контрмер определяется результатами оценки эффективности их применения, например, с помощью системы метрик.

Для оценки можно использовать простую 3-уровневую шкалу, где:

3 - реализованные контрмеры в целом достаточны;

2 - контрмеры реализованы недостаточно;

1 - контрмеры отсутствуют.

В качестве справочников с описанием контрмер можно использовать профильные стандарты и руководства, например CobiT 5, ISO/IEC 27002 и др. Каждая контрмера должна быть связана с конкретным фактором риска.

Важно помнить, что мы анализируем риски, связанные не только с использованием ИТ, но и с организацией внутренних информационных процессов в компании. Поэтому и контрмеры нужно рассматривать шире. Не зря в новой версии ISO/IEC 27001:2013 есть оговорка, что при выборе контрмер необходимо использовать любые внешние источники (правило 4), а не только Annex A, присутствующий в стандарте в справочных целях.

Величина риска

Для определения итоговой величины риска можно использовать простейшую таблицу (см. табл. 1).

Табл. 1. Матрица оценки риска

В том случае, если фактор риска затрагивает несколько бизнес-перспектив, например «Клиенты» и «Финансы», их показатели суммируются. Размерность шкалы, а также допустимые уровни рисков ИБ можно определять любым удобным способом. В приведенном примере высокими считаются риски, имеющие уровень 2 и 3.

На этом первый этап оценки рисков можно считать завершенным. Итоговая величина риска, связанного с оцениваемым бизнес-процессом, определяется как сумма составных величин по всем идентифицированным факторам. Владельцем риска можно считать лицо, ответственное в компании за оцениваемый объект.

Полученная цифра не говорит нам о том, сколько денег рискует потерять организация. Вместо этого она указывает на область концентрации рисков и характер их воздействия на бизнес-показатели. Эта информация необходима, для того чтобы в дальнейшем сфокусироваться на наиболее важных деталях.

Детальная оценка

Основное преимущество рассматриваемой методики состоит в том, что она позволяет выполнять анализ рисков информационной безопасности с желаемым уровнем детализации. При необходимости можно «провалиться» в элементы модели ИБ (рис. 1) и рассмотреть их более подробно. Например, определив наибольшую концентрацию риска в ребрах, связанных с ИТ, можно повысить уровень детализации узла «Technology». Если раньше в качестве объекта оценки рисков выступал отдельный бизнес-процесс, то теперь фокус сместится на конкретную информационную систему и процессы ее использования. Для того чтобы обеспечить требуемый уровень детализации, может потребоваться проведение инвентаризации информационных ресурсов.

Все это применимо и для других областей оценки. При изменении детализации узла «People» объектами оценки могут стать роли персонала или даже отдельные сотрудники. Для узла «Process» ими могут быть конкретные рабочие регламенты и процедуры.

При изменении уровня детализации автоматически изменятся не только факторы риска, но и применимые контрмеры. И то, и другое станет более специфичным для объекта оценки. При этом общий подход к выполнению оценки факторов риска не изменится. Для каждого идентифицированного фактора необходимо будет оценить:

• степень влияния риска на бизнес-перспективы;
• достаточность контрмер.

Российский синдром

Выход стандарта ISO/IEC 27001:2013 поставил многие российские компании в непростое положение. С одной стороны, у них уже сложился определенный подход к оценке рисков ИБ, основанный на классификации информационных активов, оценке угроз и уязвимостей. Национальные регуляторы успели выпустить ряд нормативных актов, поддерживающих этот подход, например, стандарт Банка России, приказы ФСТЭК. С другой стороны, в задаче оценки рисков давно назрела необходимость изменений, и теперь нужно модифицировать устоявшийся порядок, чтобы он отвечал и старым, и новым требованиям. Да, сегодня всё еще можно пройти сертификацию по стандарту ГОСТ Р ИСО/МЭК 27001:2006, который идентичен предыдущей версии ISO/IEC 27001, но это ненадолго.

Рассмотренная выше методика анализа рисков решает этот вопрос. Управляя уровнем детализации при выполнении оценки, можно рассматривать активы и риски в произвольном масштабе: начиная с бизнес-процессов и заканчивая отдельными информационными потоками. Этот подход удобен еще и потому, что позволяет охватить все высокоуровневые риски, не упустив ничего. При этом компания существенно снизит трудозатраты на дальнейший анализ и не потратит время на детальную оценку несущественных рисков.

Нужно отметить, чем выше детализация области оценки, тем большая ответственность возлагается на экспертов и тем большая компетенция необходима, ведь при изменении глубины анализа меняются не только факторы риска, но и ландшафт применимых контрмер.

Несмотря на все предпринимаемые попытки упрощения, анализ рисков информационной безопасности по-прежнему является трудоёмким и сложным. На руководителе этого процесса лежит особая ответственность. От того, насколько компетентно он выстроит подход и справится с поставленной задачей, будет зависеть множество вещей - от выделения бюджета на ИБ до устойчивости бизнеса.

В январе 2018 года на Всемирном экономическом форуме в Давосе был представлен «Отчет о глобальных рисках для человечества 2018». Из отчета следует, что значимость рисков информационной безопасности возрастает как в связи с увеличением количества реализованных атак, так и с учетом их разрушительного потенциала.

Одними из самых распространенных в мире методик управления рисками информационной безопасности являются CRAMM, COBIT for Risk, FRAP, Octave и Microsoft. Наряду с определенными преимуществами они имеют и свои ограничения. В частности, перечисленные зарубежные методики могут эффективно использоваться коммерческими компаниями, в то время как государственным организациям при оценке и управлении рисками информационной безопасности необходимо руководствоваться положениями нормативных актов ФСТЭК России. Например, для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах следует руководствоваться приказом ФСТЭК России от 14 марта 2014 г. № 31. Вместе с тем этот документ в качестве дополнительного материала мог бы использоваться и федеральными органами исполнительной власти.

Риски информационной безопасности в современном обществе

За последнее время число атак на организации удвоилось. Атаки, ведущие к экстраординарному ущербу, становятся обычным явлением. Финансовый ущерб от атак возрастает и одни из самых больших потерь связаны с атаками вирусов-вымогателей. Ярким примером этого являются атаки вирусов-вымогателей WannaCry и NotPetya, затронувшие более 300 тыс. компьютеров в 150 странах мира и приведшие к финансовым потерям более 300 млн долл.

Еще одной тенденцией является увеличение количества атак на объекты критической инфраструктуры и стратегические промышленные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Таким образом, риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности является одним из приоритетных направлений развития организаций по всему миру и абсолютно необходимо для их дальнейшего функционирования.

Цели и подходы к управлению рисками информационной безопасности

Целью любой организации является достижение определенных показателей, характеризующих результаты ее деятельности. Например, для коммерческих компаний это извлечение прибыли, рост капитализации, доли рынка или оборота, а для правительственных организаций – предоставление государственных услуг населению и решение задач управления. В любом случае, независимо от цели деятельности организации, достижению этой цели может помешать реализация рисков информационной безопасности. При этом каждая организация по-своему оценивает риски и возможность инвестирования в их снижение.

Таким образом, целью управления рисками информационной безопасности является поддерживание их на приемлемом для организации уровне. Для решения данной задачи организации создают комплексные системы информационной безопасности (СИБ).

При создании таких систем встает вопрос выбора средств защиты, обеспечивающих снижение выявленных в процессе анализа рисков информационной безопасности без избыточных затрат на внедрение и поддержку этих средств. Анализ рисков информационной безопасности позволяет определить необходимую и достаточную совокупность средств защиты информации, а также организационных мер направленных на снижение рисков информационной безопасности, и разработать архитектуру СИБ организации, максимально эффективную для ее специфики деятельности и направленную на снижение именно ее рисков информационной безопасности.

Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от используемой методики оценки и управления рисками:

1. Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски.
2. Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.
3. Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.
4. Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:
   • Избегание риска;
   • Принятие риска;
   • Передача риска;
   • Снижение риска.
   Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:
   • Ответственный за реагирование;
   • Описание мер реагирования;
   • Оценка необходимых инвестиций в меры реагирования;
   • Сроки реализации этих мер.
5. Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.
6. Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.

Рассмотрим наиболее известные методики управления рисками информационной безопасности: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Обзор методики CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

1. Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.
2. Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:
   • Данные;
   • Программное обеспечение;
   • Физические активы.
   Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.
3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.
4. Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.
5. Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

• Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;
• Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;
• Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;
• Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

• Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;
• Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;
• Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM.

Обзор методологии COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:
• Принципы, политики, процедуры организации;
• Процессы;
• Организационная структура;
• Корпоративная культура, этика и правила поведения;
• Информация;
• ИТ-сервисы, ИТ-инфраструктура и приложения;
• Люди, их опыт и компетенции.

В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:
• Необходимый процесс;
• Информационные потоки;
• Организационная структура;
• Люди и компетенции.
Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:
• Создание и обслуживание портфелей ИТ-проектов;
• Управление жизненным циклом программы / проекта;
• Инвестиции в ИТ;
• Экспертиза и навыки персонала ИТ;
• Операции с персоналом;
• Информация;
• Архитектура;
• ИТ-инфраструктура;
• Программное обеспечение;
• Неэффективное использование ИТ;
• Выбор и управление поставщиками ИТ;
• Соответствие нормативным требованиям;
• Геополитика;
• Кража элементов инфраструктуры;
• Вредоносное программное обеспечение;
• Логические атаки;
• Техногенное воздействие;
• Окружающая среда;
• Природные явления;
• Инновации.
Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:
• Стратегические риски – риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;
• Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;
• Риски управления ИТ и предоставления ИТ-сервисов – риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.
Каждый рисковый сценарий содержит следующую информацию:
• Тип источника угрозы - внутренний/внешний.
• Тип угрозы - злонамеренное действия, природное явление, ошибка и др.
• Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.
• Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.
• Время события.
В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:
• Избегание риска;
• Принятие риска;
• Передача риска;
• Снижение риска.
Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:
• Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;
• Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;
• Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;
• Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;
• Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.
При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:
• Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;
• Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.
Данный метод применяется как в правительственных, так и в коммерческих организациях по всему миру. Метод является наиболее подходящим для крупных технологических организаций или организаций с высокой степенью зависимости основной деятельности от информационных технологий, для тех, кто уже используют (или планируют использовать) стандарты и методики COBIT для управления информационными технологиями и имеют необходимые для этого ресурсы и компетенции. В этом случае возможна эффективная интеграция процессов управления рисками информационной безопасности и процессов общего управления ИТ и достижение синергетического эффекта, который позволит оптимизировать затраты на реализацию процессов анализа и управления рисками информационной безопасности.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»