Риск-ориентированный подход к информационной безопасности
Долгое время в информационной безопасности практиковался подход, когда основной целью было выполнение регуляторных требований или по-другому – compliance. Любая компания обязана соблюдать требования тех или иных регуляторов и стандартов в зависимости от специфики своей деятельности. Однако в некоторых случаях дословное выполнение действующих требований не только бывает невозможным, но ещё и нецелесообразным с учетом специфики конкретной организации. Нередки ситуации, когда реализация требования может обойтись слишком дорого по сравнению с потенциальными потерями в случае ущерба или даже серьезно навредить бизнесу. Не всегда имеется достаточное количество ресурсов, чтобы полностью выполнить все требования. В таких случаях к соблюдению нормативного документа следует подходить тщательно выбирая, на что сделать упор.
Сегодня во многих компаниях активно практикуется риск-ориентированный подход, когда решения о реализации мер защиты и совершенствовании системы ИБ принимается на основе оценки рисков, проводимой согласно принятым в индустрии методологиям и лучшим практикам. Качественно выстроенный процесс риск-менеджмента позволит руководителю ИБ самостоятельно определять необходимый набор мер для снижения недопустимых рисков и поможет как сэкономить бюджет, не тратя его впустую на защиту непрофильных направлений, систем или бизнес-процессов, так и обосновать выделение дополнительных ресурсов на защиту новых сфер деятельности компании, не забывая при этом про compliance.
В общей сложности в мире существует несколько десятков разного рода методик и подходов к управлению и оценке рисков ИБ. Наиболее известными являются следующие: ISO 27005, NIST SP800-30, РС БР ИББС-2.2, OCTAVE, F.A.I.R (Factor Analysis of Information Risk), RiskIT. Большинство из имеющихся нормативных и отраслевых требований не предписывают необходимость использования для оценки рисков какой-то конкретной методологии, оставляя выбор на усмотрение специалистов в организации.
Риск-менеджмент – это регулярный цикличный процесс. Рекомендованная периодичность для проведения оценки рисков составляет от года до 3-х лет, в зависимости от специфики и размера организации. В случае серьезных изменений инфраструктуры, процессов или бизнес-моделей ее нужно пересматривать. В крупных компаниях она может производиться ежеквартально.
Процесс оценки рисков начинается с инвентаризации активов и определения их ценности. Далее, исходя из актуальной модели нарушителя и имеющихся предпосылок, организация должна определить перечень потенциальных рисков. Этот перечень ранжируется с помощью определения уровня рисков – величины, классически выводимой на основе сопоставления возможного ущерба и вероятности его наступления. Так, риску, реализация которого с большой вероятностью может принести 1 млн. ущерба, отдадут больший приоритет, нежели риску, потенциально наносящему 2 млн. ущерба, но с очень маленькой вероятностью. Затем выбираются варианты обработки оцененных рисков – например, снижение их уровня с помощью подбора защитных мер, и просчитывается бюджет.
Несмотря на то, что риск-менеджмент должен проводиться на регулярной основе, на практике отдел информационной безопасности не может уделять ему всё своё внимание. Обычно риск-менеджмент – это лишь одна из его задач, поэтому крайне важно найти приемлемый баланс имеющихся человеческих и временных ресурсов и использовать инструменты, которые помогут выполнять эту задачу быстро и эффективно.
Для проведения оценки рисков исторически использовалось два типа универсальных средств: электронные таблицы и GRC-системы. Уже давно на рынке появились специализированные программы для автоматизации управления информационной безопасностью, включая управление рисками – SGRC платформы. Давайте посмотрим плюсы и минусы всех трех инструментов.
Электронные таблицы, проще говоря, Excel используются в 90% случаев проведения любых оценок рисков, не только информационной безопасности. Это универсальный доступный инструмент, применяемый крупнейшими аудиторскими компаниями в проектах для своих клиентов. При всем удобстве на первый взгляд, у этого инструмента есть целый ряд недостатков. Во-первых, при накоплении достаточного числа исторических данных, анализ которых крайне важен в оценке рисков, таблицы становится тяжело поддерживать и осуществлять быстрый поиск нужной информации. Во-вторых, со временем шаблоны начинают «обрастать» большим количеством вкладок, формул и макросов, которые нередко не интуитивны в использовании и могут начать тормозить. Потеря контакта с автором шаблона может стать серьёзной угрозой всему процессу риск-менеджмента в случае отсутствия актуальной инструкции. Но тем не менее многие организации активно пользуются электронными таблицами в силу отсутствия опыта, за неимением других вариантов или из экономии на GRC-системах.
GRC-системы ориентированы на процессы менеджмента организации. Они видятся как огромный конструктор, полноценное внедрение и настройка которого занимает несколько лет. Это очень дорогой инструментарий, который чаще всего могут позволить только достаточно крупные компании. При этом даже приобретя GRC-систему, организации не всегда могут полноценно использовать ее в силу своей незрелости. Другой важный фактор – отсутствие достаточных компетенций: специалистов по GRC крайне мало, и они очень дороги. По совокупности этих причин такие системы пока что не нашли широкого применения.
Для автоматизации процесса управления информационной безопасностью были разработаны продукты класса Security GRC (SGRC). По сути, они предоставляют функциональность GRC-систем, но в конкретной области применения. SGRC платформы охватывают все процессы информационной безопасности, позволяя управлять рисками без отрыва от других важных процессов, таких как проведение аудитов, контроль информационных активов, мониторинг состояния информационной безопасности в организации.
В отличие от электронных таблиц, в SGRC-платформах предустановлены лучшие практики, методологии проведения оценки, внесены каталоги угроз, предпосылок, защитных мер и т.д., что позволяет быстро проводить и актуализировать оценки рисков. SGRC позволяет получить полную картину по рискам, на которой будет четко видно риски, возможный ущерб и перечень мероприятий, позволяющих снизить риски до приемлемого уровня, а также автоматически просчитан необходимый бюджет. Правильно построенная карта рисков позволит выбрать именно те меры защиты, которые действительно актуальны и принесут больше пользы. Стоит отметить, что SGRC-платформы позволяют автоматизировать не только расчеты, но и сам процесс планирования, сбора информации, взаимодействие участников и визуализацию результата проведенной оценки. Наглядный результат в виде графиков и дашбордов помогает в принятии решений и защите бюджета на информационную безопасность.
Компания МультиТек Инжиниринг готова провести пилотирование решения R-Vision SGRC.