Как оценить риски ИБ?
Отношение к риск-менеджменту и оценке рисков ИБ среди российских ИТ и ИБ-специалистов иначе как скептическим назвать сложно. Все знают, что это важно, и во многих стандартах (в западных, а теперь уже и в наших) говорится о необходимости оценивать и отслеживать риски информационной безопасности. Однако как это делать правильно и, самое главное, как доказать руководству, что полученный результат действительно полезен и отражает действительность, а не является просто формальным умозаключением?Безусловно, скептическое отношение сформировалось не на пустом месте. Традиционно информационная безопасность находилась либо в ведении ИТ-отдела, либо под крылом службы безопасности. При этом только в немногих компаниях вопросы ИБ находили поддержку и понимание среди руководителей высшего звена. Неумение специалистов по ИТ объясняться с высшим руководством, а порой и слабое знание предметной области не позволяли им донести до руководителей правильное понимание необходимости оценки и мониторинга рисков, связанных с ИБ. Отчасти в формировании такого отношения виноваты и некоторые консалтинговые организации, выдававшие за оценку рисков обычные экспертные проверки, а иногда и вообще определявшие это все как "комплексный аудит информационной безопасности", который, опять же, основывался исключительно на опыте и знаниях выполнявших его специалистов и не опирался на какой-либо методологический подход. Однако давайте попробуем расставить все по местам. Сейчас уже ясно, что аудит, оценка рисков, оценка уязвимости, тесты на проникновение — это все совершенно разные вещи. На это указывают практически все существующие стандарты по безопасности: ISO 27001, PCI DSS, СТО БР ИББС, ISO 13335, NIST SP 800-30 и др.
Аудит есть не что иное, как проверка какого-либо объекта на соответствие заданным критериям, либо в более широком смысле (не конкретно в ИБ) — независимая проверка и подтверждение истинности заявлений (например, финансовых) руководства организации. Оценка уязвимости (Vulnerability Assessment) и тест на проникновение (Penetration Test) вообще относятся к проверкам, направленным скорее на определение состояния системы ИБ с технической точки зрения. Оценка рисков же имеет четко выраженную бизнес-направленность и проводится с целью определения необходимых мер защиты исходя из тех рисков, которым подвергаются наиболее ценные активы компании. Только она позволяет дать ответ на вопрос, почему здесь должно быть установлено именно это средство защиты, в такой конфигурации и в этой точке информационной системы. По словам Вениамина Левцова, директора департамента развития LETA IT-company, если речь идет о выстраивании комплексной системы обеспечения информационной безопасности, то в качестве обоснования и основного "фундамента" для такой системы безусловно должна использоваться оценка рисков ИБ, реализованная с учетом накопленного международного опыта и признанных подходов.
Среди трудностей, с которыми сталкиваются специалисты, выполняющие оценку рисков ИБ, можно выделить три основных. Это оценка последствий для бизнеса при реализации угроз ее информационным активам, определение списка актуальных угроз и - оценка вероятности реализации угроз.
Попробуем разобрать эти трудности более детально и определить подходы к их решению, которые могут быть использованы на практике.
Последствия при реализации угроз информационным активам
Безусловно, оценить стоимость той или иной информации порой бывает достаточно сложно, особенно если этим занимается специалист по безопасности. Именно поэтому при проведении оценки рисков в организации под руководством высшего менеджмента (в лице исполнительного директора, например) должна создаваться экспертная комиссия, состоящая из представителей бизнес-подразделений, использующих защищаемые информационные активы. В ее задачи и будет входить определение системы критериев и оценка последствий для бизнеса при реализации тех или иных угроз. Основной трудностью при этом является определение в денежном эквиваленте масштаба последствий от реализации угроз в отношении защищаемых активов.
Пример определения системы критериев
Уровень последствий для бизнеса | Критерии | ||
Финансовые последствия | Клиентская база | Здоровье и жизнь | |
Критические потери | более 10 млн рублей | Более 50% | Смерть или нанесение серьезного вреда здоровью (инвалидность) одного или более лиц. |
Существенные потери | от 1 до 10 млн рублей | 15% - 50% | Нанесение вреда здоровью одного или более лиц. |
Средние потери | от 100 000 до 10 млн рублей | до 15% | Мелкие (легкоустраняемые) последствия для здоровья одного или более лиц. |
Незначительные потери | до 100 тыс рублей | до 5% | - |
Источник: LETA IT-company, 2009
В качестве решения здесь можно предложить отказ от выражения последствий для бизнеса исключительно в деньгах и введение системы критериев, по которым могут быть оценены последствия и, в конечном итоге, выражены риски. Так, например, помимо денег можно использовать критерии, связанные с объемом потерь клиентской базы, или негативных последствий для жизни и здоровья человека (актуально для медицинских учреждений, где сбой в компьютерной системе может стоит жизни больному) и т.д.
Список актуальных угроз
Многообразие угроз, которым подвергаются информационные активы современной организации, создает серьезные трудности при попытках их обобщения и рассмотрения. В связи с этим некоторые специалисты предпочитают использовать типовые списки угроз, содержащиеся в стандартах, руководствах или специализированном ПО, что, безусловно, не является оптимальным и не всегда полностью отражает действительность. Кроме того, информационные активы очень часто находятся в движении и на разных этапах их жизненного цикла подвергаются различным угрозам. Поэтому прежде всего для всех защищаемых информационных активов следует полностью проанализировать всю цепочку их обработки от появления до уничтожения, для чего рекомендуется провести бизнес-анализ и составить диаграммы процессов, в рамках которых задействуются защищаемые информационные активы.
Пример обобщенной модели возможных угроз
Источник | Вектор угрозы | Мотив (только для антропогенных источников) | Нарушаемое свойство информационного актива | Описание возможных угроз |
Сотрудник (Инсайдер) | Логический доступ к информации | Непредна-меренные действия | Конфиденциальность | Непреднамеренная передача конфиденциальной информации третьим лицам Непреднамеренное размещение информации конфиденциального характера на публичных ресурсах |
Стороннее лицо | Физический доступ к серверному оборудова-нию и носителям | Преднамеренные действия преступного характера | Доступность | Кража носителей информации и компьютеров из зоны хранения внешним злоумышленником Вандализм со стороны группы внешних злоумышленников. |
Внешние обслуживающие коммуникации | Электрическое питание | - | Доступность | Отключение основного электропитания систем, выполняющих обработку защищаемой информации Резкие колебания в сети электропитания, приводящие к выходу из строя аппаратуры |
Вредоносный код | Заражение рабочих станций и серверов | - | Доступность | Заражение и как следствие сбой в работе рабочих станций и серверов, используемых сотрудниками для обработки защищаемой информации |
Источник: LETA IT-company, 2009
Используя полученные диаграммы, специалист по оценке рисков получает возможность определить структуру бизнес-процессов, те информационные системы, в которых происходит обработка защищаемой информации, и физические носители, на которых выполняется транспортировка и хранение защищаемой информации. Все это является ценным источником для выявления уязвимостей в бизнес-процессах и информационных системах, которые могут стать причиной реализации угроз и нанесения вреда бизнесу организации.