2020/06/16 10:06:30

Чек-лист: что не забыть при оценке рисков ИБ?

Мир учится работать на «удаленке». Те угрозы, что закрывались периметром безопасности офисов, сейчас стали актуальными, а сами компании – более уязвимыми. Своевременное выявление и снижение до приемлемого уровня рисков информационной безопасности (ИБ) необходимо для бизнес-процессов компаний не в отдаленном будущем, а здесь и сейчас. Риск-ориентированный подход позволяет сфокусироваться на главном и не тратить деньги на снижение типовых, но неактуальных для компании рисков. Советами о том, что не забыть при оценке рисков ИБ, делится руководитель группы оперативного контроля информационной безопасности ICL Services (АйСиЭл Сервисез) Антон Мерцалов. Материал продолжает серию публикаций в новом формате TAdviser – «Чек-лист», в котором мы делимся полезной прикладной информацией о применении различных информационных технологий.

Процесс оценки рисков ИБ является поэтапным. Безусловно, он определяется спецификой бизнес-процессов, но можно выделить три классических этапа.

Подготовительный этап

Перед запуском оценки рисков должен быть определен контекст. Его необходимо задокументировать и утвердить на соответствующем уровне управления, например, в виде матрицы оценки рисков ИБ. На этом этапе предстоит:

Создать матрицу оценки рисков ИБ. В ней должны быть отражены: Цели управления рисками ИБ; Область и границы оценки рисков ИБ (компания, подразделение, проект, сервис, бизнес-процесс, информационная система и т.д.); Распределение процессных ролей и назначение ресурсов, необходимых для внедрения и эксплуатации непрерывного процесса управления рисками ИБ и защитных мер; Основные критерии управления рисками ИБ в выбранной области оценки. К ним относятся:
• Подход к оценке рисков ИБ. Он может быть качественным, количественным, высокоуровневым или детальным. Можно сочетать сразу несколько подходов.
• Критерии оценки – с точки зрения потенциального финансового ущерба, соответствия законодательным или контрактным обязательствам, прерывания операционной деятельности, дискредитации имиджа компании и других применимых категориях в выбранной области оценки;
• Определение уровней рисков ИБ и критерии принятия рисков ИБ в зависимости от требований и целей заказчика процесса.

Количественный анализ сфокусирован на конкретных цифрах и лучше всего подходит для подсчета выгод и конкретных затрат (например, штраф, описанный в договоре, время простоя сервиса, стоимость человеко-часов, и т.п.). Он работает, когда прорабатываемые угрозы и связанные с ними риски реально сопоставить с конечными количественными значениями. Стоит отметить, что количественный анализ «съедает» много ресурсов, так как необходимо учитывать все косты. Качественный анализ сфокусирован на описательных характеристиках (например, Extremal, High, Medium, Low), подходит для ситуаций, когда неопределенность значительна, и количественный анализ неприменим. Он менее ресурсоемок, но и погрешность имеет выше, так как включает в себя существенную долю субъективности. Но мир не черно-белый, поэтому существуют гибриды количественного и качественного подходов, которые, в свою очередь, могут показать наибольшую эффективность для конкретной организации.

Антон Мерцалов, руководитель группы оперативного контроля информационной безопасности ICL Services

Распределить роли

Решения, предусмотренные лучшими практиками, могут не подходить конкретной компании, а процессы – требовать адаптации. Однако можно выделить несколько наиболее полезных ролей среди всевозможных RASCI-матриц (матриц распределения ответственности):

Владелец риска ИБ. Претенденты на эту роль определяются исходя из владения активами (процессами, сервисами, информацией или системами), подверженными риску ИБ. Иными словами, это лицо, принимающее решение и в наибольшей степени заинтересованное в недопущении реализации риска; Менеджер риска ИБ. Это двигатель, катализатор работы с каждым отдельно взятым риском. Во многих компаниях он выполняет всю «черную» работу по процессу, оставляя владельцу только согласование решения; Инициатор идентификации риска ИБ. Им становится любой сотрудник, кто обнаружил и сообщил о риске. В компании должна быть хорошо развита культура работы с рисками, чтобы сотрудники «подсвечивали» это службе ИБ; Менеджер процесса. Он следит за эффективностью процесса, что подразумевает огромное количество работы, особенно на этапе пилотирования процесса; Эксперт. Обычно это представитель конкретного департамента компании, который может дать оценку влияния риска по профильной категории влияния, отраженной в матрице рисков, либо критически оценить результаты анализа риска менеджером риска, найти слабые места.

Из общения с людьми, ответственными в компаниях за работу с рисками, становится ясно, что зачастую присутствует пренебрежение мнением экспертов, точнее иногда оно не запрашивается, а, значит, комплексный анализ риска таковым не является. Особенно когда компания использует какие-либо коробочные решения для оценки рисков ИБ, – рассказывает Антон Мерцалов.

Этапы процесса оценки рисков ИБ

Этап обработки риска

На этом этапе важно:

Создать план обработки риска

По результатам оценки риска (при необходимости, с привлечением экспертов) владелец принимает решение о выборе стратегии управления риском: Снизить риск ИБ до приемлемых значений за счет внедрения новых или изменения существующих защитных мер; Принять риск ИБ без внедрения каких-либо дополнительных защитных мер; Избежать риск ИБ за счет отказа от какой-либо бизнес-деятельности или условий, порождающих риск ИБ, если риск ИБ слишком велик, или стоимость его снижения превышает выгоды от данной бизнес-деятельности или условий; Разделить риск ИБ с какой-либо внешней стороной, которая способна наиболее эффективно управлять риском ИБ.

Довольно часто решение принимается на основании первично сформированных идей или даже высокоуровневых планов для прикидки экономической целесообразности. Но лучшим вариантом будет полноценное экономическое обоснование для выбранной стратегии. В нем определяются ресурсы, необходимые для внедрения и эксплуатации мер, направленных на достижение выбранной стратегии, – отмечает Антон Мерцалов.

Сформировать модель угроз

Любая компания может сформировать свою собственную, адаптированную под специфику ведения бизнеса, модель угроз. Источники угроз зачастую берутся типовые. В России довольно сильно распространено деление источников угроз на стихийные (пожар, эпидемия и пр.), антропогенные (угрозы от внутренних сотрудников или внешних людей, в том числе, злоумышленников) и техногенные.

Для построения модели угроз ИБ требуется:

Определить источники угроз, применимые к вашей компании; Выявить критические активы; Определить перечень угроз для каждого актива; Выявить способ реализации угроз; Определить последствия возможной реализации угроз.

Для облегчения задачи можно воспользоваться лучшими практиками (Grundschutz, например) и обязательно учитывать, что модели угроз составляются на основе постоянно меняющихся данных и поэтому должны регулярно пересматриваться, обновляться.

Классификация источников угроз ИБ

Этап мониторинга

Здесь необходимо:

Регулярно отслеживать актуальность контекста управления рисками и сами риски, включая принятые.

Зачастую в компаниях принятые риски выпадают из мониторинга. Вспоминают о них, к сожалению, уже в рамках инцидентов, – говорит Антон Мерцалов. – Если план снижения отработан и риск принят, чаще всего вероятность реализации данного риска все равно остается выше нуля, а, значит, нужно иметь заложенный бюджет на реализацию данного риска. Отсутствие бюджета на реактивные действия – частая ошибка бизнеса.

Документировать все действия

Важно фиксировать все полученные сведения или принятые решения в соответствующем документе: реестре рисков или паспорте риска. Это позволит заметить недоработки и нестыковки, а, значит, избежать несвоевременное выявление рисков, потерю репутации и финансов, нарушение законодательства или контрактных обязательств.