Внедрение СУИБ: как управлять рисками?

[globalmoney]

Внедрение СУИБ: как управлять рисками?

Благородное дело оценки рисков является принципиальной задачей при внедрении системы управления информационной безопасностью (СУИБ). Но специалисты в этой области далеки от единодушия. Они не только расходятся в методах оценки, но и вообще толком не знают, как этими рисками управлять.

При внедрении в организации СУИБ одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны, никто из окружающих вроде бы этого не видел, и само событие представляется маловероятным, с другой же – существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные институты.

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко (или сколько осталось в бюджете).

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно: в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. Здесь излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Как рискуют? Чем рискуют?

Говоря о рисках для бизнеса, мы имеем в виду вероятность ущерба. Это может быть как прямой, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса.


Причинение ущерба основным активам организации чревато крахом бизнеса. В предупреждении таких потерь и заключается суть работы специалистов по ИБ

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес-целей) несколько основных категорий ресурсов (далее будет использоваться непосредственно связанное с бизнесом понятие актива). Актив – это все, что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток либо сберегает средства). Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими ресурсами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются репутация компании. Эти ключевые активы для любой организации являются особой разновидностью информационных ресурсов. ИБ занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальных сведений крайне негативно влияют на репутацию.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов. При этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

По определению, для организации важны все виды активов. Однако у каждого предприятия есть основные жизненно важные и вспомогательные активы. Определить какие из них являются основными очень просто. К ним относятся те, вокруг которых построен бизнес организации. Так, предприятие может быть основано на владении и использовании материальных ресурсов (например, земли, недвижимости, оборудования, полезных ископаемых). Также оно может быть построено на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), а может базироваться на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли). Точкой опоры бизнеса может быть и информация (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Крахом бизнеса и невосполнимыми потерями для организации чреваты риски основных активов, поэтому на них в первую очередь сосредоточено внимание владельцев бизнеса, и ими руководство организации занимается лично.

Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Основные подходы

Поскольку риски ИБ являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации невысок(что характерно для большинства современных российских компаний), существует минимальная необходимость в оценке рисков.

В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками и опытом. Однако существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля, чтобы выбрать из общего набора требования и механизмов применимые в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, но уровень информатизации очень высок и соответствующие риски могут существенно повлиять на основные бизнес процессы, оценку применять необходимо. Тем не менее, в данном случае целесообразно ограничиться качественными неформальными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для их оценки необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается ПО, и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае рациональный подход заключается в проведении высокоуровневой оценки с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций. Затем необходимо провести детальную оценку рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта и экспертных.

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес-процессов, также оказывает влияние уровень зрелости.

Управление рисками ИБ – это бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ. Смысл этой задачи заключается в защите предприятия от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах.

На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.

На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.

Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматривается как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.

Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

Процессная модель управления рисками

В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью – "Практические правила управления рисками информационной безопасности". Ожидается, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), которые отражают стандартный процессуальный цикл любого управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.

Процессная модель управления рисками


В системе управления рисками ИБ на этапе планирования определяются политика и методология, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне или минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На процессе проверки отслеживается функционирование механизмов контроля, проверяются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные дополнительные процедуры.

На стадии действия по результатам непрерывного мониторинга и проводимых проверок выполняется необходимая коррекция, которая может включать в себя, в частности, переоценку величины рисков, частичное изменение политики и методологии управления рисками, а также плана их обработки.

Методология борьбы

Сущность любого подхода к управлению рисками заключается в принятии адекватных решений по их обработке и анализе сопутствующих факторов. Факторы риска – это те семь основные параметры, которыми мы оперируем при оценке: актив (asset), ущерб (loss), угроза (threat), уязвимость (vulnerability), механизм контроля (control), размер среднегодовых потерь (ALE) и возврат инвестиций (ROI).

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо адекватно оценить активы компании, их реальную ценность, угрозы, актуальные для них, возможные последствия и пр.

На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос, какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

Таким образом, по результатам оценки можно получить описание рисков, превышающих допустимый уровень и реальное представление об их величине. Последняя определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на вопросы о выборе варианта обработки рисков, механизмах контроля их минимизации и степени эффективности.

На выходе данного процесса появляется план обработки рисков, определяющий способы, стоимость контрмер, а также сроки и ответственных за их реализацию.

Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления внедрением СУИБ. Чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта: сообщение о проблеме, оценка степени ее серьезности, предлагаемое и альтернативные решения. Все они могут меняться местами в зависимости от ситуации.

Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров. Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.


Для принятия сбалансированного решения по обработке рисков, сотрудник, занимающийся этим вопросом, должен иметь всеобъемлющую информацию о проблеме

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, осмысление угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

Затем производится технический анализ уязвимостей информационных систем организации в отношении угроз, профили которых были разработаны на предыдущем этапе. Он включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьей стадии производится оценка и обработка рисков ИБ. Здесь производится определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки вообще и, если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащийся в базе знаний CRAMM.

На первом этапе в методе CRAMM строится модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность последних, исходя из возможного ущерба, который может понести организация

Следующая ступень – оценка рисков, включающая в себя идентификацию и осмысление степени вероятности угроз, величины уязвимостей, а также вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM принимаются во внимание "чистые" риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются, и набор рекомендуемых контрмер по минимизации рисков создается, исходя из этого предположения.

На заключительной стадии инструментарием CRAMM формируется список контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих противодействий, после чего формируется собственно план обработки рисков.

Инструментарий для управления рисками

В процессе оценки рисков традиционно выделяют ряд последовательных этапов, периодически откатываясь на предыдущие, например, переоценивая определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документацию, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с ними.

Для управления рисками ИБ можно применять программный инструментарий, однако это не является обязательным. Об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограммированный алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

Итак, выбор качественного или количественного подходов к оценке рисков определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости предприятия.

При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей и соответствующее ПО, которое реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов.

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Александр Астахов / CNews