Как оценить риски ИБ?
Отношение к риск-менеджменту и оценке рисков ИБ среди российских ИТ и ИБ-специалистов иначе как скептическим назвать сложно. Все знают, что это важно, и во многих стандартах (в западных, а теперь уже и в наших) говорится о необходимости оценивать и отслеживать риски информационной безопасности. Однако как это делать правильно и, самое главное, как доказать руководству, что полученный результат действительно полезен и отражает действительность, а не является просто формальным умозаключением?При определении списка актуальных угроз можно порекомендовать использовать подход, основанный на создании обобщенной модели возможных угроз, исходя из которой уже будут определяться специфичные угрозы для конкретной организации.
Оценка вероятности реализации угроз
Это один из самых спорных моментов при проведении оценки рисков. Непонятно, на основании чего можно утверждать, что данная угроза будет реализована с большей долей вероятности, а другая - с меньшей. Статистических данных на этот счет нет ни в России, ни за границей. В США, правда, существует ряд законов, обязывающих организации оповещать своих клиентов в случае наличия подозрений в возможной компрометации их данных, что создает возможность как-то отлеживать статистику инцидентов, однако у России своя специфика и данные, полученные из-за рубежа, далеко не всегда применимы у нас.
Для решения этой проблемы можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации. Безусловно, абсолютно незащищенная система, имеющая критическую уязвимость, может благополучно функционировать в интернете, будучи не скомпрометированной, однако, вероятность того, что она все же будет взломана и этот взлом останется незамеченным, выше, чем для системы, обладающей рядом защитных механизмов. Злоумышленники всегда ищут самые слабые места, ведь чем сложнее атака, тем больше ресурсов надо на нее затратить и тем слабее отдача от такой работы и выше вероятность ошибки.
Если оттолкнуться от заданной теории, то возникает вопрос о том, как в таком случае оценить эффективность и силу защитных мер. В этой ситуации следует сперва рассмотреть следующую общую классификацию защитных мер (или "контролей" в западной литературе). Согласно ей, меры бывают трех видов: превентивные, детектирующие и корректирующие. Превентивные меры направлены на предотвращение возможных негативных событий (например, биометрическая пропускная система, предназначенная для предотвращения несанкционированного проникновения в защищенную зону). Детектирующие меры нацелены на обнаружение произошедших негативных событий (например, система IDS, служащая для обнаружения подозрительной активности в информационных системах). Корректирующие меры направлены на устранение последствий негативных событий (например, система резервного копирования, служащая для восстановления поврежденной информации).
Полезные материалы по риск-менеджменту
ISO 27005 Information technology -- Security techniques -- Information security risk management - стандарт ISO из серии ISO 2700x, вышедший в середине 2008 года. Подробно описывает процесс риск-менеджмента и дает рекомендации по его внедрению. В настоящий момент также можно приобрести русский перевод стандарта, выполненный компанией GlobalTrust.
OCTAVE: Allegro – методика оценки рисков, разработанная американским институтом Carnegie Mellon, отличающаяся высокой гибкостью и эффективностью. В настоящий момент применятся в организациях по всему миру. Учитывалась при разработке стандарта по безопасности Банка России СТО БР ИББС-1.0.
NIST SP 800-30 — Risk Management Guide for Information Technology Systems — руководство, выпущенное национальным институтом США по стандартам и технологии (NIST). Содержит рекомендации по проведению оценки рисков информационной безопасности.
Если в отношении рассматриваемой угрозы адекватно реализованы все три типа контролей, то можно с определенной долей уверенности утверждать, что вероятность ее реализации и ущерб для бизнеса будут минимальны. Однако здесь также следует понимать, что только превентивные меры действуют "до", а детектирующие и корректирующие меры - "после", и поэтому для тех информационных активов, для которых факт реализации угрозы недопустим, следует максимально использовать превентивные меры и, возможно, даже их продублировать.
Если же меры реализованы частично или неэффективно, это повышает вероятность реализации угрозы и риск для организации.
Отталкиваясь от такого подхода, организация приобретает возможность уйти от определения малопонятной вероятности реализации и перейти к более понятному параметру — степени уязвимости.
Оценке рисков и риск-менеджменту в области ИБ во всем мире внимание уделяется уже достаточно давно. В настоящий момент можно насчитать порядка 20 различных методик оценки рисков, как находящихся в открытом доступе, так и реализованных в коммерческом программном обеспечении. При выборе методики очень важно детально ознакомиться с используемым алгоритмом оценивания рисков и определить возможность адаптации методики под особенности бизнеса организации. Следует также обращать внимание на то, что ряд методик оценки рисков, реализованных в программном обеспечении, как правило, представляет собой лишь инструмент проверки соответствия тому или иному стандарту и рассматривает под уязвимостями лишь невыполнение требований, определенных в стандарте. Такой подход тоже имеет право на существование, однако его эффективность более чем спорна.