Оценка рисков информационной безопасности. Алгоритм.
Этот пост является первым из трех постов, посвященных оценке рисков информационной безопасности. Серия будет полезна руководителям и специалистам по информационной безопасности, которые планируют или уже применяют риск-ориентированный подход к обеспечению кеберустойчивости своих организаций.
Процесс оценки рисков информационной безопасности (ИБ) является неотъемлемой частью процесса управления организацией в целом, поскольку определение и своевременная обработка неприемлемых рисков позволяет снизить вероятность нанесения как репутационного, так и материального ущерба.
По сути, оценка рисков ИБ сводится к определению как внешних, так и внутренних угроз, оценке влияния этих угроз на активы организации и подготовке аргументированного, с точки зрения возможных затрат, плана мероприятий по недопущению этих угроз.
Важно понимать, что оценка рисков ИБ – это регулярный процесс, который следует проводить не реже одного раза в год.
В настоящее время существует множество методик по оценке рисков ИБ – качественные и количественные, с уникальной математикой, с различными методами по анализу рисков и различными способами для обработки неприемлемых рисков.
Однако в конечном итоге все эти методики сводятся к одному – определить неприемлемые риски и вовремя их обработать. Именно поэтому мы можем обобщить и выделить основные этапы в процессе оценки рисков ИБ.
- Инициализация процесса оценки рисков. Как и любой процесс в организации, процесс оценки рисков начинается с планирования и выделения ресурсов – как человеческих, так и технических. В настоящий момент в мире не существует ни одной системы, которая позволит на 100% автоматизировать процесс оценки рисков ИБ и обойтись без участия специалистов.
- Идентификация активов и определение их ценности. Мы должны знать, что защищаем. Именно поэтому данный этап является одним из первых и крайне важным при оценке рисков ИБ. При этом важно понимать, что недостаточно выполнить инвентаризацию ИТ-инфраструктуры организации (хотя и это, как показывает практика, является непростой задачей), очень важно описать каждый актив и оценить его. Оценка актива должна выполняться в соответствие с конфиденциальностью, целостностью и доступностью обрабатываемой на нем информации. Отсюда следует — чтобы корректно оценить актив, как минимум, необходимо знать какая информация обрабатывается на этом активе, ее критичность для организации, частью какого бизнес-процесса является актив и какова критичность этого бизнес-процесса. На этом же этапе определяется допустимый (приемлемый) уровень рисков ИБ. Уровень допустимого (приемлемого) риска ИБ – это максимально допустимый риск ИБ, ущерб от которого является для организации оправданным с точки зрения экономических и репутационных факторов.
- Определение модели нарушителя ИБ. Основной задачей данного этапа является получение ответа на вопрос: «Кто может стать источником рисков ИБ в организации?». Для получения аргументированного ответа на этот вопрос можно воспользоваться, к примеру, историей инцидентов ИБ в организации за последнее время. Ведь в процессе расследования каждого инцидента ИБ определяется, кто являлся источником инцидента, и на основе этих данных можно смоделировать возможного нарушителя для других угроз в будущем. Важно понимать, что в роли источников рисков ИБ могут выступать не только люди, но и техногенные либо природные явления (затопление, перебои электроэнергии и т.д.). Помимо анализа истории инцидентов ИБ, можно воспользоваться данными из открытых источников. К примеру, если оценка рисков ИБ осуществляется для организации из отрасли энергетики, то проанализировав данные об атаках на другие организации в этой же отрасли также возможно смоделировать возможного нарушителя. Каждому источнику рисков ИБ важно присвоить «характеристику», к примеру, описать его потенциал. Чем выше потенциал, тем выше вероятность реализации той либо иной угрозы. Если рассматривать угрозу распространения вредоносного программного обеспечения, то потенциал хакера будет выше, чем потенциал обслуживающего персонала организации. Поэтому, на потенциал каждого источника могут влиять такие факторы, как техническая оснащенность, знания и навыки, опыт, мотивация и т.д.
- Идентификация уязвимостей. Логичным предложением является идентификация как организационных, так и технических уязвимостей организации. Т.е. основной задачей данного этапа является определение возможных векторов атак на организацию. Как показывает практика, основным источником данных по уязвимостям, являются результаты проведенного аудита (например, на соответствие Приказу Оперативно-аналитического центра при Президенте Республики Беларусь № 66 от 20.02.2020 в редакции Приказа № 195 от 12.11.2021). Все замечания и несоответствия, выявленные в ходе аудита – и есть уязвимости, эксплуатация которых может привести к ущербу. По аналогии с определением потенциала источников рисков ИБ, каждой уязвимости также важно присвоить «характеристику», к примеру, ее достаточность. Чем выше достаточность, тем выше вероятность реализации той либо иной угрозы. Чтобы было понятнее, приведем пример уязвимости – «неосведомленность сотрудников организации в вопросах ИБ». Достаточно ли, к примеру, хакеру, данной уязвимости для реализации угрозы внедрения вредоносного программного обеспечения? Или же ему потребуются и другие уязвимости? Ответ на этот вопрос и позволит определить достаточность этой уязвимости.
- Идентификация защитных мер. Следующий этап в процессе оценки рисков ИБ – определение уже функционирующих в организации защитных мер, причем как организационных, так и технических. Защитные меры также необходимо описать. Основной характеристикой защитных мер является их эффективность. Чем выше эффективность защитной меры, тем ниже вероятность реализации той либо иной угрозы.
- Оценка рисков и определение перечня неприемлемых рисков ИБ. На данном этапе формируется перечень возможных рисков ИБ для организации и на основе данных, полученных по результатам предыдущих этапов, выполняется их оценка. Углубляться в математику оценки рисков ИБ не стану, тем более что в зависимости от используемой методики, математика, может быть разная. Тем не менее, основная задача данного этапа – определить перечень неприемлемых рисков ИБ.
- Формирование плана обработки неприемлемых рисков ИБ. После определения перечня неприемлемых рисков ИБ необходимо сформировать план по их обработке, т.е. понизить их уровень до допустимого (приемлемого) за счет внедрения компенсирующих мер (контрмер). Альтернативой обработки неприемлемых рисков ИБ может быть их принятие, т.е. отказ в обработке неприемлемых рисков ИБ и принятие возможного ущерба в случае их реализации. Компенсирующими мерами могут быть как технические, так и организационные защитные меры – внедрение или совершенствование процесса управления активами, разработка политики ИБ и т.д. Очень важно при выборе компенсирующих мер учитывать затраты на их внедрение, т.е. если потенциальный ущерб от реализации риска – 10 000 рублей, а затраты на внедрение компенсирующей меры, которая этот риск обрабатывает, – 20 000 рублей, то внедрение является нецелесообразным.
- Отчетность. Оценка рисков ИБ завершается итоговым отчетом, который должен содержать результаты проведенной оценки, перечень неприемлемых рисков ИБ и план обработки этих рисков. Как правило, план обработки неприемлемых рисков передается на утверждение первому лицу организации.
Таким образом, процесс оценки рисков ИБ является непростой и продолжительной задачей. По нашему опыту процесс оценки рисков для организации с одной тысячей ИТ-активов занимает не менее 3 месяцев.
С другой стороны, процесс оценки рисков ИБ позволяет:
- аргументированно донести до руководства потребность в дополнительных ресурсах для совершенствования процессов и инструментов информационной безопасности. Риски для организации постоянно меняются и развиваются, поэтому методы обеспечения ИБ должны развиваться вместе с ними;
- отладить взаимодействие между службой ИБ и другими подразделениями организации в мероприятиях по обеспечению ИБ;
- повысить осведомленность подразделений персонала организации по ИБ.
Кроме того, процесс оценки рисков является превентивным механизмом по недопущению реализации угроз ИБ. Вместо того, чтобы реагировать на инциденты ИБ, можно предпринять соответствующие меры недопущению этих инцидентов и тем самым предотвратить возможный ущерб.
Помимо этого, результаты оценки рисков ИБ можно и нужно использовать для определения источников данных, на основании которых можно будет автоматизировать детектирование инцидентов ИБ. Но об этом в следующем посте.