Методики оценки рисков информационной безопасности. Основные этапы оценки риска информационной безопасности

Актуальность выбранной темы: Актуальность и необходимость применения процедур оценки и управления рисками информационной безопасности неуклонно возрастает в связи с повышением роли информационных технологий в процессах функционирования организаций как хозяйствующих субъектов.

Цель работы: закрепление, углубление и обобщение знаний в области оценки рисков.

Задачи работы: провести анализ и дать определение оценке рисков ИБ.

Используемые методы и информационная база исследования: для достижения цели использовались следующие методы исследований: методы теоретического обобщения, методы анализа и синтеза, дедуктивный метод, метод системного анализа и другие. Информационной базой исследования являются статьи в сети интернет посвященные вопросу оценке рисков информационной безопасности.

Практическая значимость: полученные результаты можно применить на предприятии, для улучшения функционирования отрасли.

1. Оценка рисков ИБ

Оценка рисков как часть направления информационной безопасности (ИБ) (управления рисками) является существенным инструментом в построении защиты. Процесс оценки рисков предназначен для выявления риска для бизнеса организации и определения мер безопасности, предпринимаемых для снижения риска.

В классическом представлении риск - это вероятность реализации угрозы информационной безопасности. Оценка рисков заключается в моделировании картины наступления неблагоприятных условий посредством учета всех возможных факторов, определяющих риск. С математической точки зрения при анализе рисков такие факторы можно считать входными параметрами. При этом нужно учитывать множество источников информации и неопределенность самой информации. На этапе оценки рисков наибольший интерес представляют непосредственно формулы и входные данные для расчета значения риска.

Целью любой организации является достижение определенных показателей, характеризующих результаты ее деятельности. Например, для коммерческих компаний это извлечение прибыли, рост капитализации, доли рынка или оборота, а для правительственных организаций - предоставление государственных услуг населению и решение задач управления. В любом случае, независимо от цели деятельности организации, достижению этой цели может помешать реализация рисков информационной безопасности. При этом каждая организация по-своему оценивает риски и возможность инвестирования в их снижение.

Таким образом, целью управления рисками информационной безопасности является поддерживание их на приемлемом для организации уровне.

2. Методики оценки рисков

Рассмотрим наиболее известные методики управления рисками информационной безопасности: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Методика CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.

Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:

Данные;

Программное обеспечение;

Физические активы.

Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.

Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.

Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» - максимальный.

Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;

Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;

Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;

Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;

Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;

Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;

Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM.

Методология COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:

Принципы, политики, процедуры организации;

Процессы;

Организационная структура;

Корпоративная культура, этика и правила поведения;

Информация;

ИТ-сервисы, ИТ-инфраструктура и приложения;

Люди, их опыт и компетенции.

В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:

Необходимый процесс;

Информационные потоки;

Организационная структура;

Люди и компетенции.

Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:

Создание и обслуживание портфелей ИТ-проектов;

Управление жизненным циклом программы / проекта;

Инвестиции в ИТ;

Экспертиза и навыки персонала ИТ;

Операции с персоналом;

Информация;

Архитектура;

ИТ-инфраструктура;

Программное обеспечение;

Неэффективное использование ИТ;

Выбор и управление поставщиками ИТ;

Соответствие нормативным требованиям;

Геополитика;

Кража элементов инфраструктуры;

Вредоносное программное обеспечение;

Логические атаки;

Техногенное воздействие;

Окружающая среда;

Природные явления;

Инновации.

Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:

Стратегические риски - риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;

Проектные риски - риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;

Риски управления ИТ и предоставления ИТ-сервисов - риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.

Каждый рисковый сценарий содержит следующую информацию:

Тип источника угрозы - внутренний/внешний.

Тип угрозы - злонамеренное действия, природное явление, ошибка и др.

Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.

Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.

Время события.

В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:

Избегание риска;

Принятие риска;

Передача риска;

Снижение риска.

Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:

Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;

Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;

Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;

Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;

Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.

При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:

Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;

Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;

Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

Данный метод применяется как в правительственных, так и в коммерческих организациях по всему миру. Метод является наиболее подходящим для крупных технологических организаций или организаций с высокой степенью зависимости основной деятельности от информационных технологий, для тех, кто уже используют (или планируют использовать) стандарты и методики COBIT для управления информационными технологиями и имеют необходимые для этого ресурсы и компетенции. В этом случае возможна эффективная интеграция процессов управления рисками информационной безопасности и процессов общего управления ИТ и достижение синергетического эффекта, который позволит оптимизировать затраты на реализацию процессов анализа и управления рисками информационной безопасности.

Методика FRAP

Методика FRAP (Facilitated Risk Analysis Process), разработанная компанией Peltier and Associates в 2000 году, описывает подход к качественной оценке рисков. Целью методики является выявление, оценка и документирование состава рисков информационной безопасности для заранее определенной области исследования. В качестве области исследования может быть выбрана информационная система, приложение, бизнес-процесс или другая часть инфраструктуры организации, нуждающаяся в оценке рисков информационной безопасности.

Для проведения анализа и оценки рисков информационной безопасности создается проектная команда, включающая в себя:

Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;

Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;

Специалистов в области информационной безопасности;

Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.

Во время сессии анализа и оценки рисков информационной безопасности проектная команда проводит мозговые штурмы, в ходе которых определяет уязвимости рассматриваемых объектов в области анализа, потенциальные угрозы нарушения конфиденциальности, целостности и доступности, вероятность реализации этих угроз и ущерб от реализации для основной деятельности организации. При этом проектная команда обычно не пытается получить или разработать конкретные цифры для оценки вероятности или величины годовых убытков от реализации угроз информационной безопасности, если данные для определения таких факторов недоступны. Вместо вычисления точных цифр, команда будет полагаться на свои общие знания об угрозах и уязвимостях и об их влиянии на основную деятельность организации. Данный подход применяется в связи с тем, что:

Точная и детальная оценка рисков информационной безопасности требует чрезмерного количества времени и усилий для разработки, документирования и проверки;

Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;

Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.

Таким образом, производится определение перечня высокоуровневых рисков информационной безопасности применительно к основной деятельности организации. После идентификации и оценки рисков проектная команда определяет меры защиты, которые могут быть применены для снижения каждого из выявленных рисков информационной безопасности. В качестве отправной точки для определения мер защиты могут быть использованы 26 типов мер защиты, определенных в методологии FRAP, при этом приоритет имеют наиболее экономически обоснованные меры, обеспечивающие максимальную эффективность при минимальных финансовых затратах. На основании предложенных проектной командой мер защиты формируется план мероприятий по снижению рисков, который утверждается руководством организации.

С точки зрения практического применения можно выделить следующие достоинства метода FRAP:

Простота и прозрачность процесса анализа и оценки рисков позволяет приступить к реализации процесса в сжатые сроки без необходимости длительного изучения методики и документации по ней;

Минимальные трудозатраты на выполнение анализа и оценки рисков позволяют реализовать процессы без существенных издержек;

Вовлечение небольшого количества участников позволяет минимизировать затраты на организацию совместной работы, коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами.

При этом методологии FRAP присущи следующие недостатки:

Отсутствие жестко регламентированного процесса управления рисками информационной безопасности и подробных вспомогательных материалов, таких как каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности снижают повторяемость результатов анализа рисков информационной безопасности и повышают значимость наличия специальных знаний и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;

Отсутствие возможности глубокой декомпозиции, подробной и точной оценки рисков затрудняет возможность точечного применения минимального необходимого набора мер и средств защиты, что может негативно повлиять на общую экономическую эффективность системы информационной безопасности;

Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при расчете технико-экономического обоснования инвестиций, необходимых на внедрение средств и методов защиты информации.

FRAP один из наиболее распространенных методов качественной оценки рисков информационной безопасности. В наибольшей степени данный метод подходит организациям, осуществляющим первоначальное внедрение процессов управления рисками и не имеющим ресурсов или необходимости в покрытии этими процессами всей организации. Также метод подходит для небольших организаций или обособленных подразделений крупных организаций. Метод позволят выделить для управления рисками информационной безопасности отдельную область (информационную систему, бизнес-процесс, подразделение) и постепенно распространять процессы управления рисками на всю организацию.

Обзор методики Octave

Методика OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), разработанная Университетом Карнеги-Мелон в 2007 году, описывает подход к качественной оценке рисков. Актуальной версией методологии является OCTAVE Allegro. Данная методология предназначена для формализации и оптимизации процесса оценки рисков информационной безопасности в организации и обеспечения возможности получения необходимых организации результатов с минимальными затратами времени и ресурсов. Методология рассматривает людей, технологии, информационные системы, приложения, и другие объекты в контексте их отношения к информации и бизнес-процессам и услугам, которые они поддерживают. Оценка рисков проводится на семинарах, к участию в которых привлекаются участники, отвечающие за реализацию основной деятельности организации и сотрудники подразделений, отвечающих за информационные технологии и информационную безопасность.

В соответствии с методологией OCTAVE Allegro процесс управления рисками информационной безопасности состоит из следующих этапов, включающих в себя поддерживающие их шаги:

Определение приоритетов

Шаг 1 - Определение критериев для измерения рисков. Критерии оценки риска представляют собой набор качественных параметров, с помощью которых производится описание риска. Эти параметры могут включать в себя вероятность реализации риска, ущерб от него и другие последствия для организации. Также на данном этапе определяются наиболее критичные области деятельности организации, для которых могут быть заданы различные уровни приемлемого риска.

Профилирование ИТ-активов

Шаг 2 - Разработка профилей ИТ-активов. Профиль представляет собой описание ИТ-актива, содержащее его уникальные особенности, качества, характеристики, ценность и требования к информационной безопасности. Профиль для каждого актива фиксируется на одном листе, этот документ формирует основу для идентификации угроз и рисков на последующих этапах.

Шаг 3 - Идентификация окружения ИТ-активов. Окружение описывает места, где хранятся, транспортируются и обрабатываются ИТ-активы. Любые риски для окружения ИТ-актива наследуются ИТ-активом, и это правило имеет еще большее значение для ИТ-активов, предоставляемых организации внешними поставщиками.

Идентификация угроз

Шаг 4 - Идентификация областей для беспокойства. Данный шаг является началом процесса идентификации рисков путем мозгового штурма участников проектной команды. На данном этапе определяются высокоуровневые области и типы рисков, актуальные для анализируемых ИТ-активов.

Шаг 5 - Идентификация сценариев угроз. Методология OCTAVE Allegro определяет несколько типов угроз: человеческий фактор и использование технических средств, человеческий фактор с использованием физического доступа, технические и иные проблемы. По каждому типу угроз для каждого ИТ-актива могут быть определены сценарии реализации угроз, включающее описание их воздействия на ИТ-активы и вероятность реализации. При этом вероятность оценивается как высокая, средняя или низкая. Для упрощения этого трудоемкого процесса методология OCTAVE Allegro содержит специальные опросные листы.

Идентификация и обработка рисков

Шаг 6 - Идентификация рисков. Используя информацию о наиболее вероятных сценариях угроз, на данном этапе производится анализ их воздействия на ИТ-активы организации.

Шаг 7 - Анализ рисков. Используя информацию, полученную на предыдущих этапах, производится оценка воздействия угроз на основную деятельность организации и ранжирование выявленных рисков в соответствии с критериями, определенными на этапе «1».

Шаг 8 - Выбор подхода к обработке рисков. На данном этапе для каждого риска определяется стратегия его обработки в зависимости от его влияния на организацию.

С точки зрения практического применения можно выделить следующие достоинства метода OCTAVE Allegro:

Простота и прозрачность процесса анализа и оценки рисков позволяет приступить к реализации процесса в минимальные сроки без необходимости длительного изучение методики и документации по ней;

Итеративный подход позволяет постепенно увеличивать глубину анализа рисков информационной безопасности в зависимости от актуальных потребностей организации и доступности необходимых для этого ресурсов;

Невысокие трудозатраты на выполнение анализа и оценки рисков позволяют реализовать эти процессы с привлечением минимальных ресурсов и в сжатые сроки;

Наличие поддерживающих процесс анализа рисков вспомогательных материалов обеспечивает возможность повторяемости результатов, облегчают реализацию процессов непосредственным исполнителям.

При этом методологии OCTAVE Allegro присущи следующие недостатки:

Отсутствие подробных вспомогательных материалов, таких как каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности повышают значимость специальных знаний и компетентности у непосредственных исполнителей мероприятий по анализу и управлению рисками;

Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при расчете технико-экономического обоснования инвестиций, необходимых на внедрение средств и методов защиты информации.

Методика OCTAVE широко используется для реализации качественной оценки рисков информационной безопасности. В наибольшей степени она подходит организациям, осуществляющим первоначальное внедрение процессов управления рисками, не имеющим ресурсов для внедрения процессов анализа и управления рисками информационной безопасности на всю организацию сразу и имеющим потребность в постепенной декомпозиции рисков информационной безопасности от наиболее критичных рисков верхнего уровня к рискам нижнего уровня. Метод позволят итерационно распространять процессы управления рисками на всю организацию.

Методика Microsoft

Методика управления рисками информационной безопасности, предложенная корпорацией Microsoft в 2006 году, изложена в ее «Руководстве по управлению рисками безопасности». Эта комбинированная методика объединяет элементы количественного и качественного подходов. При этом качественный подход используется для быстрого упорядочивания перечня всех рисков информационной безопасности, а количественный подход позволяет в дальнейшем выполнить более глубокий анализ наиболее значимых рисков. Это дает возможность сформировать относительно небольшой перечень основных рисков, требующих глубокого изучения, и сконцентрировать усилия на этих рисках.

В соответствии с данной методикой, управление рисками информационной безопасности представляет собой непрерывный процесс, включающий следующие четыре этапа:

Этап оценки рисков

Планирование сбора данных.

Сбор данных о рисках.

Приоритизация рисков.

Этап поддержки принятия решений

Определение функциональных требований для снижения рисков.

Выбор возможных решений для контроля.

Экспертиза решения и проверка предложенных элементов контроля на соответствие функциональным требованиям.

Оценка снижения риска - оценка снижения подверженности воздействию или вероятности рисков.

Оценка стоимости решения - оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска.

Выбор стратегии нейтрализации риска - определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.

Этап реализации контроля

Поиск целостного подхода - включение персонала, процессов и технологий в решение по нейтрализации риска.

Организация по принципу многоуровневой защиты.

Этап оценки эффективности программы

Разработка системы показателей рисков. Оценка уровня и изменения риска.

Оценка эффективности программы - оценка программы управления рисками для выявления возможностей усовершенствования.

Методология управления рисками информационной безопасности, предложенная корпорацией Microsoft, содержит детальное описание инструкций по реализации каждого из перечисленных этапов управления рисками, обзор ключевых факторов успеха, а также типовые перечни ИТ-активов, угроз, уязвимостей и шаблоны документов, необходимых для реализации процесса управления рисками информационной безопасности.

С точки зрения практического применения можно выделить следующие достоинства методологии Microsoft:

Прозрачность процесса управления рисками информационной безопасности позволяет наглядно продемонстрировать его логику руководству организации для получения необходимой поддержки;

Комбинирование качественного и количественного подхода к оценке рисков позволяет производить более ресурсоемкую количественную оценку только в тех случаях, в которых это необходимо для эффективного управления рисками информационной безопасности;

Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;

Наличие детального описания каждого из этапов процесса управления рисками информационной безопасности позволяет уменьшить вероятность ошибок исполнителей в процессах анализа и управления рисками;

Использование непрерывного цикла при реализации процесса управления рисками информационной безопасности позволяет организовать регулярную непрерывную оценку рисков и поддержание в актуальном состоянии как информации о текущем уровне рисков, так и о необходимых действиях по управлению рисками;

Охват всех аспектов управления рисками информационной безопасности, включая оценку эффективности процесса управления рисками и мер по снижению рисков информационной безопасности, позволяет выстроить в организации целостную взаимосвязанную систему анализа и управления рисками информационной безопасности;

Возможность оценки рисков информационной безопасности в деньгах делает возможным использование результатов оценки рисков при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации;

Наличие вспомогательных материалов, поддерживающих процесс анализа рисков, позволяет свести к минимуму требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методологии управления рисками информационной безопасности, предлагаемой компанией Microsoft, присущи следующие недостатки:

Высокая трудоемкость процесса управления рисками информационной безопасности требует привлечения значительных ресурсов внутри организации или извне, что увеличивает затраты на реализацию процессов анализа и управления рисками;

Отсутствие типовых рисковых сценариев требует дополнительных трудозатрат участников проектной команды в процессе определения актуальных для организации сценариев рисков информационной безопасности.

Методика Microsoft применяется как в правительственных, так и в коммерческих организациях по всему миру. Она может быть с успехом использована в крупных технологических организациях или организациях с высокой степенью зависимости основной деятельности от информационных технологий. В наибольшей степени методика подходит организациям, осуществляющим первоначальное внедрение процессов управления рисками информационной безопасности, не имеющим ресурсов для внедрения процессов количественного анализа и управления рисками на всю организацию сразу и имеющим потребность в постепенной декомпозиции рисков информационной безопасности от наиболее критичных рисков верхнего уровня к рискам нижнего уровня с последующей их количественной оценкой. Методика позволят итерационно осуществлять переход от качественной к количественной оценке рисков во всей организации.

3. Основные этапы оценки рисков

Процесс оценки рисков можно подразделить на девять основных этапов:

определение характеристик информационной системы;

идентификация уязвимостей;

идентификация угроз;

анализ регуляторов безопасности;

определение вероятностей;

анализ воздействий;

определение рисков;

рекомендуемые контрмеры;

результирующая документация.

Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.

Определение характеристик информационной системы

Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС.

О системе необходимо собрать следующую информацию:

архитектура ИС;

используемое аппаратное обеспечение;

используемое программное обеспечение;

системные интерфейсы (внутренняя и внешняя связность);

топология сети;

присутствующие в системе данные и информация;

поддерживающий персонал и пользователи;

миссия системы (то есть процессы, выполняемые ИС);

критичность системы и данных;

чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

функциональные требования к ИС;

политики безопасности, положения которых затрагивают ИС;

меры защиты доступности, конфиденциальности и целостности хранимых данных;

потоки данных, принадлежащих системе, входные и выходные данные;

существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);

существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);

существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);

меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);

защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).

Если информационная система находится в стадии инициации или проектирования, необходимые сведения могут быть получены из проектной документации или спецификаций (требований). Если система находится в стадии разработки, необходимо определить ключевые правила и атрибуты безопасности, которые предполагается реализовать. В таком случае полезными источниками информации являются проектная документация и план обеспечения информационной безопасности.

Для информационных систем, находящихся в производственной эксплуатации, собираются сведения об их эксплуатационном окружении, включая данные о конфигурации системы, ее связности, документированных и недокументированных процедурах и сложившейся практике эксплуатации. Таким образом, описание системы может основываться на мерах безопасности, реализованных в рамках существующей инфраструктуры, или на имеющихся планах повышения уровня безопасности ИС.

Для сбора сведений об информационной системы в пределах ее эксплуатационных границ могут использоваться следующие методы.

Вопросники.

Они могут касаться прежде всего административных и процедурных регуляторов безопасности, существующих или планируемых. Вопросники распространяются среди административного и технического персонала, проектирующего и/или обслуживающего систему.

Интервью.

Обычно беседы проводятся у заказчика с административным и техническим персоналом и концентрируются на темах эксплуатации и управления. Кроме того, визиты к заказчику позволяют увидеть и оценить меры физической и эксплуатационной безопасности, защиту от угроз со стороны окружающей среды.

Просмотр документации.

Политика безопасности, нормативные документы, техническая документация (например, руководства пользователя и администратора, требования безопасности, архитектурная и закупочная документация), предыдущие отчеты по оценке рисков, анализ воздействий на миссию организации, оценка критичности ресурсов, результаты аудита и тестирования, планы безопасности и т.п. -- ценный источник информации о существующих и планируемых регуляторах безопасности, о степени критичности и чувствительности систем и данных.

Применение инструментов автоматического сканирования.

Проактивные технические средства, такие как инструменты автообнаружения и анализа защищенности, позволяют эффективно собирать системную информацию, строить карту информационной системы, получать профили отдельных хостов и подсистем.

Идентификация уязвимостей

Напомним определение: уязвимость -- это дефект или слабое место в системных защитных процедурах, проекте, реализации или внутренних регуляторах безопасности, которые могут проявиться (будучи случайно активизированы или умышленно проэксплуатированы) и привести к нарушению безопасности или отступлению от политики безопасности.

Анализ угроз ИС включает анализ уязвимостей информационной системы и ее окружения. Цель данного шага -- получить список рассматриваемых уязвимостей.

Для достижения поставленной цели рекомендуется использовать источники информации об уязвимостях, проводить тестирование защищенности ИС, применять контрольные перечни с требованиями безопасности.

Типы рассматриваемых уязвимостей и методы их выявления зависят от специфики информационной системы и этапа жизненного цикла, на котором она находится.

На стадии проектирования ИС основное внимание уделяется требованиям безопасности, политике безопасности организации, планируемым процедурам, анализу доступных защитных средств.

На этапе реализации привлекается дополнительная, конкретная информация, например, предусмотренные проектом средства безопасности, результаты анализа проекта и т.д.

На этапе эксплуатации производится анализ имеющихся защитных средств, регуляторов безопасности, программно-технических и организационных.

Технические и организационные уязвимости могут быть выявлены посредством применения методов сбора информации о характеристиках информационной системы. Предварительно проведенный обзор источников информации об уязвимостях, таких как сайты производителей и групп реагирования, помогает подготовить вопросники и контрольные перечни, целенаправленно проводить интервью.

Тестирование является проактивным средством безопасности. Тестовый инструментарий включает:

автоматические средства сканирования;

средства тестирования и оценки;

тестирование проникновением.

Идентификация угроз

К идентификации угроз можно подходить двояко, отправляясь либо от уязвимостей ИС, либо от возможных источников угроз. Уязвимости рассматривались выше, сосредоточимся теперь на источниках угроз, которые можно подразделить на природные, людские и принадлежащие окружению ИС.

К числу природных угроз принадлежат наводнения, землетрясения, ураганы, обвалы, лавины, грозы и другие стихийные бедствия.

От людей могут исходить случайные и умышленные действия. К числу первых принадлежат ошибки и упущения, к числу вторых -- сетевые атаки, внедрение вредоносного программного обеспечения, несанкционированный доступ и т.п.

В роли внешних злоумышленников могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

От окружения ИС могут исходить угрозы долговременного отключения электропитания, загрязнение окружающей среды, разного рода утечки и протечки и т.п. Как показывает опыт, возможны и более серьезные происшествия -- обрушение зданий, взрыв газа и т.п.

С практической точки зрения угроз и их источников бесконечного много, однако, с другой стороны, весьма важна полнота их идентификации, так как неожиданные угрозы наносят особенно крупный ущерб. Например, информационной системе, расположенной в пустыне, не грозит природное наводнение, однако разрыв водопроводной трубы может привести к затоплению ИС, так что угроза затопления должна входить в число рассматриваемых.

Анализ регуляторов безопасности

Основная цель анализа регуляторов безопасности -- определить, удовлетворяют ли существующие и планируемые контрмеры предъявляемым к ИС требованиям безопасности. Попутно определяются вероятности реализации идентифицированных угроз с учетом нейтрализующего действия регуляторов безопасности.

Определение вероятностей

При определении вероятности того, что потенциальная уязвимость может быть использована в конкретном окружении, необходимо рассмотреть следующие факторы:

мотивация и вооруженность ресурсами источника угрозы;

природа уязвимости;

наличие и эффективность контрмер.

Вероятность можно оценить по трехбалльной шкале как низкую, умеренную или высокую.

Анализ воздействия

Предварительным условием проведения анализа воздействия является получение следующих сведений:

миссия информационной системы организации (то есть процессы, выполняемые ИС);

критичность систем и данных (то есть ценность и важность систем и данных для организации);

чувствительность систем и данных.

Воздействие, как и вероятность, можно оценить по трехбалльной шкале.

Определение рисков

Для определения рисков можно, оставаясь в рамках трехбалльной шкалы, выбрать для вероятностей реализации угроз значения 0.1, 0.5 и 1.0, а для уровней воздействия -- 10, 50 и 100. Тогда, если произведение вероятности на воздействие не превосходит 10, риск можно считать низким. Значения от 10 до 50 соответствуют умеренному риску, свыше 50 -- высокому.

Высокий риск требует незамедлительного планирования и реализации корректирующих действий. Если по какой-либо причине планирование или реализация затягиваются, может ставиться вопрос о приостановке работы ИС или ее частей.

Умеренный риск также требует планирования и реализации корректирующих действий за разумный период времени.

При низком риске следует решить, нужны ли какие-то корректирующие действия, или можно принять риск.

Рекомендуемые контрмеры

Назначение рекомендуемых контрмер заключается в том, чтобы нейтрализовать (в достаточной степени уменьшить или устранить) идентифицированные риски. При планировании дополнительных регуляторов безопасности обязательно следует учитывать следующие факторы:

совместимость с существующим аппаратно-программным обеспечением;

соответствие действующему законодательству;

соответствие практике организации, ее политике безопасности;

воздействие на эксплуатационное окружение;

безопасность и надежность.

Рекомендуемые контрмеры являются результатом процесса оценки рисков и, одновременно, входными данными для процесса нейтрализации рисков.

Результирующая документация

Отчет с результатами оценки рисков помогает руководству организации, владельцам информационных систем принимать обоснованные решения по изменению политики, процедур и регуляторов безопасности, по корректировке бюджета и т.п. В отличие от результатов работы аудиторов, которые заботятся, прежде всего, о выявлении недостатков, отчет об оценке рисков не должен носить обвинительного характера. Нужен систематический, аналитический подход, чтобы высшее руководство осознало имеющиеся риски и выделило на их нейтрализацию необходимые ресурсы.

Заключение