что такое риск в информационной безопасности
Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма
В данной публикации читателям предлагается ознакомиться с основными терминами и определениями в области информационной безопасности, а также будут рассмотрены концепция и парадигма информационной безопасности. Информация в данной и последующих публикациях основывается на общепринятых российских и мировых подходах к информационной безопасности.
С развитием информационных технологий и их всеобъемлющим проникновением практически во все сферы деятельности современных государств и компаний вопросы защиты информации становятся ключевыми: так называемая четвертая научная революция немыслима без использования наукоёмких информационных технологий, которые со всеми преимуществами привносят и связанные с ними риски, поскольку одновременно с проникновением ИТ в жизни государств, компаний и обычных граждан растут и множатся угрозы информационной безопасности.
Налицо постоянная эволюция как информационных технологий, так и сферы защиты информации, а также самих атакующих: если ещё в конце 20-го века вопросами взлома компьютерных систем занимались, как правило, увлеченные энтузиасты из академических сред, которые не ставили своей целью получение незаконной прибыли и обман компаний и граждан, то в последнее время с каждым годом растет количество финансово мотивированных злоумышленников. Более того, в современном киберпространстве орудуют настоящие армии хакеров, поддерживаемые и спонсируемые правительствами разных стран. Они осуществляют нападения на ресурсы и инфраструктуру других государств и крупных корпораций с целью получения разведывательной информации и, зачастую, вывода из строя объектов критической инфраструктуры или даже целых отраслей промышленности. Одновременно с этим нарастает также и государственное регуляторное давление: осознавая важность защиты информации и информационной инфраструктуры, практически все развитые государства принимают законодательные нормы, отвечающие современным вызовам. Таким образом, современная информационная безопасность находится «на линии перекрестного огня» высококвалифицированных атакующих, ИТ-потребностей бизнеса и государства, а также правового регулирования. Для победы в данных условиях прежде всего необходим твердый фундамент, а именно четкое понимание основных явлений, терминов, а также самой концепции информационной безопасности.
Под защитой информации в классическом понимании подразумевается обеспечение целостности, конфиденциальности, доступности информационных ресурсов. Кроме этого, дополнительными свойствами информации в состоянии защищенности являются неотказуемость, подлинность, подотчетность.
Под угрозой безопасности информации понимают потенциальную причину возникновения нежелательного инцидента информационной безопасности, который может нанести ущерб активам и нарушить состояние защищенности информации; инциденту может предшествовать несанкционированное изменение состояния актива, называющееся событием информационной безопасности.
Моделирование угроз — это идентификация всех угроз, которые могут нанести ущерб активам, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.
Под риском информационной безопасности понимают потенциальную возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Как и в классическом риск-менеджменте, есть следующие способы обработки киберриска: игнорировать, принять, избежать, передать, минимизировать. Выбор именно последнего, наиболее оптимального во многих случаях способа обработки риска предшествует разработке и внедрению систем и средств информационной безопасности. При этом при выборе и реализации конкретных мер по обеспечению информационной безопасности активов следует руководствоваться целесообразностью применения этих мер в контексте решаемой бизнес-задачи, стоимости актива и величины прогнозируемого ущерба, а также потенциальных затрат злоумышленников. Согласно общепринятому подходу, стоимость защитных мер не должна превышать стоимость актива или величину прогнозируемого ущерба, а расчетные целесообразные затраты на атаку для злоумышленника должны быть меньше, чем ожидаемая им прибыль от реализации этой атаки.
Ущерб от реализации атаки может быть прямым или непрямым. Прямой ущерб — это непосредственные очевидные и легко прогнозируемые потери компании, такие как утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д. Непрямой ущерб может означать качественные или косвенные потери. Качественными потерями могут являться приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг. Косвенные потери — это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.
Угроза безопасности информации возникает при наличии следующих взаимосвязанных компонентов: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Приведем пример: хакер (источник угрозы) атакует непропатченный веб-сервер компании (уязвимость актива) путем внедрения SQL-инъекции (способ реализации угрозы) в обслуживающую этот веб-сервер СУБД (объект воздействия) и незаконно получает конфиденциальную информацию (вредоносное воздействие).
Далее эти компоненты угрозы информационной безопасности будут рассмотрены подробнее.
1. Источником угрозы могут являться внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы.
Внешние нарушители не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией. Такие нарушители не имеют легитимного доступа к объекту защиты (информационному активу) и классифицируются по ихнавыкам, возможностям и мотивации. Примерами внешних нарушителей могут быть как проправительственные хакеры-эксперты с государственной финансовой поддержкой или нанятые конкурентами киберпреступники, так и «хактивисты», профессиональные кибермошенники или даже подростки, вооруженные широкодоступными хакерским программами. Мерами противодействия внешним нарушителям является практически весь спектр «классических» способов обеспечения информационной безопасности: разработка и внедрение внутренних регламентирующих документов, средств защиты информации, мер активного противодействия, реагирование и расследование киберинцидентов и т.д. Организациям следует проводить регулярную оценку собственной подверженности риску атаки внешних злоумышленников, при которой нужно учитывать сферу деятельности, зависимость от информационных технологий, публичность, привлекательность для атакующих, широту охвата потенциальной атаки. В целом, именно внешние нарушители являются самым непредсказуемым и бесконтрольным фактором киберриска, требующим реализации самых современных мер и способов защиты.
Внутренними нарушителями могут считаться физические лица — сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией. Внутренние нарушители классифицируются по целенаправленности и злонамеренности их действий, а для осуществления целенаправленного несанкционированного доступа у злонамеренного инсайдера должны быть мотив, способ и соответствующая возможность для атаки. Поставщики услуг, оборудования или персонала также несут в себе риски информационной безопасности — известны случаи, когда причинами утечек становились поставщики IT-сервисов, производители вспомогательного оборудования и сотрудники компании-подрядчика. Повайдеры облачных сервисов также попадают в категорию потенциальных внутренних нарушителей, чему может свидетельствовать большое количество утечек данных из некорректно сконфигурированных облачных хранилищ. Следует отметить тенденцию последнего времени в виде стандартизации методов оценки и управления риском привлечения сторонних организаций: ЦБ РФ выпустил стандарт СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге», а международный стандарт ISO 27036 можно использовать для управления информационной безопасностью при взаимодействии с поставщиками услуг, в том числе и с провайдерами облачных сервисов (руководствуясь ISO 27036-4:2016).
Кроме внешних и внутренних нарушителей не стоит забывать и о других источниках угроз: третьи лица и силы природы могу оказать существенное негативное влияние на деятельность компании. Так, третьими лицами можно считать органы государственной власти, последствия от вмешательства которых в работу компании могут быть соразмерны с воздействием стихийного бедствия. Новости о проведении следственных мероприятий могут негативно сказаться на имидже и репутации компании, а вынесенное предписание о приостановке деятельности на даже относительно непродолжительный срок может фактически означать уход компании с рынка. Такими же последствиями могут обернуться изъятие оборудования, опечатывание серверных помещений, арест ключевых руководителей компании. Мерами минимизации рисков, порожденных воздействием третьих лиц, должны быть как неукоснительное выполнение всех требований действующего законодательства, так и непрерывные внутренние compliance-проверки. Наконец, силами природы в контексте категоризации источников угроз являются стихийные бедствия, такие как природные и техногенные катастрофы, а также социальные катастрофы: эпидемии, военные действия, теракты, революции, забастовки и прочие форс-мажоры. Для минимизации рисков данных происшествий зачастую требуются большие финансовые вложения в системы обеспечения непрерывности деятельности и восстановления работоспособности, а также учет данных рисков на начальных этапах развития компании: следует тщательно выбирать месторасположение офисов с учетом местности, близости других учреждений и объектов инфраструктуры, погодных условий, состояния государства и социума, учитывать прогнозы экономического и социального развития конкретного региона присутствия. Кроме минимизации рисков воздействия стихийных бедствий описанными выше способами, компании могут выбрать и еще один способ обработки данных рисков — страхование. При продуманной и грамотно выбранной схеме страховых выплат можно нивелировать ущерб от воздействия непреодолимых сил на бизнес. Однако, любому руководителю и сотруднику всегда стоит помнить о том, что жизнь человека бесценна по сравнению с даже самым прибыльным бизнесом, поэтому при любых обстоятельствах спасение жизней и здоровья людей должно быть первым приоритетом.
2. Уязвимость — это недостаток средств защиты информационной системы, который может быть использован нарушителем (как внешним, так и внутренним) для реализации угроз информационной безопасности. Уязвимости информационной системы могут быть порождены как ошибками при создании, внедрении или эксплуатации системы, так и слабостью наложенных защитных средств и примененных мер.
С логической точки зрения, не может существовать идеально защищенных и безопасных информационных систем, которые при этом не находятся в изолированном пространстве, а выполняют свою бизнес-функцию, поэтому даже в самой казалось бы надежной и проверенной системе могут оказаться уязвимости. Российский стандарт ГОСТ Р 56546-2015 выделяет несколько возможных типов уязвимостей: уязвимости кода, конфигурации, архитектуры, организационная уязвимость, многофакторная уязвимость. Данный стандарт указывает и на потенциальные места возникновения уязвимостей: общесистемное, прикладное, специальное ПО, технические средства, сетевое оборудование, средства защиты. Уязвимость характеризуется степенью своей опасности, которая стандартом ГОСТ Р 56546-2015 определяется как сравнительная величина, характеризующая подверженность информационной системы уязвимости и влияние этой уязвимости на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).
Общепринятым способом расчета опасности уязвимости в количественном выражении является использование метрики CVSS (Common Vulnerability Scoring System) американского Национального института стандартов и технологий (NIST, National Institute of Standards and Technology). Данная метрика позволяет описать основные особенности уязвимости и количественно оценить её опасность (по шкале от 0 до 10) в зависимости от сложности эксплуатации, влияния на свойства безопасности актива, наличия готового эксплойта и его доступности для злоумышленника, возможности устранить уязвимость, уровня достоверности сообщения о наличии уязвимости, а также в привязке к конкретной среде эксплуатации уязвимой системы.
Идея централизованно регистрировать и классифицировать уязвимости нашла свою реализацию в нескольких официальных реестрах уязвимостей, таких как MITRE CVE (Common Vulnerabilities and Exposures), БДУ ФСТЭК России (Банк данных угроз безопасности информации), NIST NVD (National Vulnerability Database), CERT/CC VND (Vulnerability Notes Database).
Реестр CVE организации MITRE ведется с 1999 года, и за это время в нем были сохранены данные о более чем 115 тысячах уязвимостей. Информацию в данный реестр вносят CNA (CVE Numbering Authorities) — зарегистрированные организации (такие как государственные CERT’ы), компании-производители ПО, а также независимые исследователи безопасности, которые имеют полномочия присваивать обнаруженным уязвимостям идентификатор вида CVE-YYYY-NNNN, где YYYY — год обнаружения уязвимости, а NNNN — её порядковый номер. В настоящий момент в списке CNA присутствуют 98 организаций и лиц, среди которых есть две российских компании — Яндекс и Лаборатория Касперского.
Российский реестр БДУ находится в ведении ФСТЭК России и ГНИИИ ПТЗИ. С 2015 года он пополнился информацией о более чем 21 тысяче уязвимостей, имеющих идентификаторы вида BDU: ГГГГ-ННННН, где ГГГГ — год обнаружения, а ННННН — порядковый номер уязвимости. Данный реестр характерен тем, что содержит уникальную информацию об уязвимостях в ПО российской разработки, которая не представлена в других реестрах, а также позволяет разработчикам отечественных средств защиты информации получать актуальные данные об уязвимостях из надежного государственного источника. Любой нашедший уязвимость гражданин или организация могут отправить информацию о ней через веб-форму или по электронной почте непосредственно во ФСТЭК России.
Кроме указанных официальных, существует и большое количество альтернативных реестров уязвимостей и эксплойтов, которые ведутся как разработчиками ПО (например, Microsoft, Cisco, Oracle, IBM, Red Hat, Ubuntu, VMware и прочие), так и отдельными организациями и энтузиастами.
Причиной возникновения уязвимости может быть ошибка, допущенная при разработке или настройке ПО. Американский Национальный институт стандартов и технологий классифицирует 124 типа ошибок в своем перечне CWE (Common Weakness Enumeration). Более того, для каждой из приведенных ошибок на сайте организации MITRE приведено её подробное описание с примерами уязвимого кода, указаниями по обнаружению и устранению подобных ошибок с привязкой к стадиями разработки ПО, а также со ссылками на зарегистрированные уязвимости CVE, которые были вызваны данной ошибкой, и на шаблоны атак CAPEC (Common Attack Pattern Enumeration and Classification), связывающие ошибку и возможные атаки.
ФСТЭК России создала реестр угроз безопасности информации в качестве отечественной альтернативы классификатору MITRE CAPEC. Данный реестр на текущий день содержит 213 типов угроз, при этом каждый тип угрозы имеет свой уникальный идентификатор (вида УБИ.***), описание угрозы, источника, объекта воздействия и последствий от её реализации. Доступен поиск по названию, источнику или последствиям реализации угрозы. При этом в реестре содержатся не только чисто технические угрозы, но и организационные, такие как, например, УБИ.040 (Угроза конфликта юрисдикций различных стран), УБИ.056 (Угроза некачественного переноса инфраструктуры в облако) или УБИ.134 (Угроза потери доверия к поставщику облачных услуг).
Для выявления уязвимостей можно применять как автоматизированные системы (сканеры уязвимостей, системы управления конфигурациями и версиями), так и проводить оценку защищенности и тесты на проникновение, в результате чего организация получает информацию о наличии потенциально эксплуатируемых уязвимостей. Однако нужно помнить, что каждый день появляется в среднем несколько десятков новых уязвимостей, так что эпизодическим анализом обходиться не следует, а стоит выстраивать непрерывный процесс управления уязвимостями. В его рамках организации могут циклически проходить инвентаризацию, классификацию и приоритизацию активов, анализ текущей защищенности, поиск уязвимостей и их обработку (устранение/минимизация/изоляция/принятие) в соответствии с их критичностью, последующую проверку и оценку эффективности пройденных шагов.
3. Способы реализации угроз также поддаются классификации. Например, ФСТЭК России предлагает следующие категории методов реализации угроз: несанкционированный сбор информации, исчерпание ресурсов, инъекция, подмена при взаимодействии, манипулирование сроками и состоянием, злоупотребление функционалом, вероятностные методы, нарушение аутентификации, нарушение авторизации, манипулирование структурами данных, анализ целевого объекта, манипулирование ресурсами, использование технических отказов и ошибок, получение физического доступа, использование слабостей организации.
Проект MITRE ATT&CK является базой знаний о способах реализации угроз, расширяя список методов до тактик, техник и процедур (TTPs — Tactics, Techniques, Procedures), применяемых атакующими. MITRE ATT&CK связан с классификатором шаблонов атак MITRE CAPEC, о котором мы говорили ранее. Для каждой из тактик атак приводится перечень конкретных техник, которые сопровождаются детальным техническим описанием реализации атаки, списком ПО, используемого атакующими, и идентификаторами конкретных киберпреступных группировок, использующих в соответствии со своим «почерком» те или иные TTPs, по которым атаку можно атрибутировать для успешного противодействия или расследования.
4. Объектами вредоносного воздействия при атаке могут быть все активы компании, как материальные, так и нематериальные: люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. При этом следует помнить, что именно люди — сотрудники, руководители, аутсорсеры — являются зачастую самым слабым звеном в системе обеспечения информационной безопасности компании. Если технические средства защиты функционируют в соответствии с заложенными в них правилами и для их эффективной работы достаточно произвести корректную настройку, то для минимизации «человеческого фактора» при кибератаках следует непрерывно вести разъяснительную работу с персоналом и проводить тренировки и обучение, учитывая психологические и социокультурные особенности поведения сотрудников.
5. Видами вредоносного воздействия, как правило, являются нарушение целостности, конфиденциальности, доступности информационных ресурсов, а также атаки на неотказуемость, подлинность, подотчетность информации.
Интересными примерами нарушения целостности могут являться разнообразные способы манипулирования и мошенничества с данными, такие как Data Diddling (скрытое внесение некорректных изменений в систему с целью сохранения искаженных сведений и получения от этого финансовой выгоды в дальнейшем — например, для манипулирования финансовой отчетностью компании и стоимостью акций), Salami Fraud (внесение большого количества очень малозаметных изменений на протяжении длительного времени, что в итоге приводит к значительным последствиям — например, списание 10 копеек с каждого банковского счета всех клиентов на протяжении года), «логические бомбы» (внедрение программных закладок, приводящих к искажению хранящихся/обрабатывающихся данных при наступлении определенных условий — например, несанкционированное начисление повышенных процентов по вкладу определенному сотруднику банка после его увольнения).
Нарушение конфиденциальности информации чревато не только очевидными последствиями в краткосрочной перспективе, например, при обнаружении персональных данных клиентов в отрытом доступе, но и тем, что украденная информация может неожиданно «всплыть» через несколько лет после факта компрометации — например, порочащие компанию или руководителя сведения могут быть разглашены накануне IPO или назначения на новую должность. Кража ноу-хау компании конкурентами может привести не только к потере конкурентных преимуществ и доли на рынке, но и к фактам вымогательства со стороны атаковавших конкурентов, угрожающих предать огласке «серые» способы ведения бизнеса компанией.
Атаки, в результате которых нарушается доступность информации, как правило, оказываются самыми легкими для обнаружения, одновременно являясь чрезвычайно разрушительными с точки зрения осуществления операционной деятельности и сохранения репутации. Примерами могут являться как нашумевшие международные эпидемии WannaCry или NotPetya, так и DDoS-атаки на российские платежные системы и банки. Организации и частные лица также всё чаще сталкиваются с вирусами-вымогателями, которые становятся опаснее год от года и способны приостановить функционирование целых предприятий.
Описанные выше совокупные компоненты угроз информационной безопасности (источники, уязвимости и способы реализации угроз, объекты и виды вредоносного воздействия) могут быть нейтрализованы защитными мерами, которые традиционно подразделяются на организационные, технические, физические и применяются к сотрудникам, процессам и технологиям. По целям применяемых мер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные и компенсирующие меры.
Основными международными стандартами практического обеспечения информационной безопасности являются ISO/IEC 27001:2013 Information security management systems – Requirements («Системы менеджмента информационной безопасности – Требования») и NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»), которые включают в себя описание организационных и технических требований для разработки целостной системы обеспечения и управления информационной безопасностью. Следует отметить, что все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры, что делает этот документ гораздо более подробным, нежели стандарт ISO/IEC 27001:2013.
Внедрение различных технических средств защиты целесообразно производить только после прохождения основных этапов построения комплексной системы управления информационной безопасностью: разработки внутренних нормативных документов в области риск-менеджмента и кибербезопасности, инвентаризации и классификации активов, оценки и анализа рисков, технико-экономического обоснования внедрения конкретных типов средств защиты. Следует также учесть, что даже самое современное и «продвинутое» средство требует тонкой настройки для выполнения защитных бизнес-функций в конкретной компании, поэтому для экономически эффективного использования потребуется сначала выработать понимание того, какие именно риски будет закрывать та или иная система киберзащиты, а затем соответствующим образом её настроить и непрерывно поддерживать в актуальном состоянии.
В заключение хотелось бы еще раз отметить, что развитие и польза от применения современных информационных технологий идут рука об руку с ассоциированными с ними рисками и угрозами. Поэтому внедрение информационных технологий, как любой новый проект, несущий в себе определенную неизвестность, следует сочетать с анализом и обработкой рисков. Однако зачастую бытует устаревший подход, при котором вопросы обеспечения информационной безопасности рассматриваются в отрыве от бизнес-контекста, а также не сочетаются с управлением рисками. Только целостное понимание компонентов актуальных угроз информационной безопасности вкупе с применением методик оценки рисков внедрения и эксплуатации тех или иных информационных систем, а также понимание современных способов нейтрализации угроз защитными мерами принесет вам пользу при выборе ИТ-стратегии развития компании и её цифровой трансформации, а также при внедрении и использовании тех или иных информационных технологий, продуктов и сервисов.
Анализ международных документов по управлению рисками информационной безопасности. Часть 2
В предыдущей части мы описали общую концепцию риск-менеджмента и раскрыли методы управления рисками в соответствии с документами NIST SP серии 800. В данной части мы продолжим обзор международных документов по управлению рисками информационной безопасности: у нас на очереди стандарты ISO 27005 и 31010. Приступим!
Рассмотренные ранее специальные публикации NIST SP 800-39, NIST SP 800-37 и NIST SP 800-30 предлагают логически связанный системный подход к оценке и обработке рисков, а NIST SP 800-53, NIST SP 800-53A и NIST SP 800-137 предлагают конкретные меры по минимизации рисков ИБ. Однако следует иметь ввиду, что данные документы по своей сути носят лишь рекомендательный характер и не являются стандартами (например, в отличие от документов NIST FIPS), а также то, что изначально они разрабатывались для компаний и организаций из США. Это накладывает определенные ограничения на их использование: так, организации не могут получить международную сертификацию по выполнению положений данных документов, а применение всего набора связанных фреймворков NIST может оказаться чрезмерно трудозатратным и нецелесообразным. Зачастую компании выбирают путь сертификации по требованиям Международной Организации по Стандартизации (англ. International Organization for Standardization, ISO), получая, например, статус ”ISO 27001 Certified”, признаваемый во всем мире. В серию стандартов ISO 27000 входят документы, посвященные информационной безопасности и управлению рисками. Рассмотрим основной документ данной серии по управлению рисками ИБ: стандарт ISO/IEC 27005:2018.
ISO/IEC 27005:2018
Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» («Информационные технологии – Техники обеспечения безопасности – Управление рисками информационной безопасности») является уже третьей ревизией: первая версия стандарта была опубликована в 2005 году, а вторая — в 2011. Документ вводит несколько риск-специфичных терминов. Так, средством защиты (англ. control) называется мера, изменяющая риск. В понятие контекстов (англ. context) входят внешний контекст, означающий внешнюю среду функционирования компании (например, политическую, экономическую, культурную среду, а также взаимоотношения с внешними стейкхолдерами), и внутренний контекст, означающий внутреннюю среду функционирования компании (внутренние процессы, политики, стандарты, системы, цели и культуру организации, взаимоотношения с внутренними стейкхолдерами, а также договорные обязательства).
Риск — это результат неточности (англ. uncertainty) при достижении целей; при этом неточность означает состояние недостатка информации, относящейся к некому событию, его последствиям или вероятности его наступления. Под уровнем риска (англ. level of risk) понимается величина риска, выраженная в произведении последствий значимых событий и вероятности возникновения этих событий. Остаточный риск (англ. residual risk) — риск, оставшийся после проведения процедуры обработки рисков. Под оценкой риска (англ. risk assessment) понимают общий процесс идентификации (т.е. поиска, определения и описания риска), анализа (т.е. понимания природы риска и определения его уровня) и оценки опасности (т.е. сравнения результатов анализа риска с риск-критериями для определения допустимости его величины) рисков. Обработка рисков — это процесс модификации рисков, который может включать в себя:
1. Определение контекста
Входными данными при определении контекста являются все релевантные риск-менеджменту сведения о компании. В рамках данного процесса выбирается подход к управлению рисками, который должен включать в себя критерии оценки рисков, критерии оценки негативного влияния (англ. impact), критерии принятия рисков. Кроме этого, следует оценить и выделить необходимые для осуществления данного процесса ресурсы.
Критерии оценки рисков должны быть выработаны для оценки рисков ИБ в компании и должны учитывать стоимость информационных активов, требования к их конфиденциальности, целостности, доступности, роль информационных бизнес-процессов, требования законодательства и договорных обязательств, ожидания стейкхолдеров, возможные негативные последствия для гудвилла и репутации компании.
Критерии оценки негативного влияния должны учитывать уровень ущерба или затрат компании на восстановление после реализованного риска ИБ с учетом уровня значимости ИТ актива, нарушения информационной безопасности (т.е. потери активом свойств конфиденциальности, целостности, доступности), вынужденный простой бизнес-процессов, экономические потери, нарушение планов и дедлайнов, ущерб репутации, нарушение требований законодательства и договорных обязательств.
Критерии принятия рисков можно выразить как отношение ожидаемой бизнес-выгоды к ожидаемому риску. При этом для разных классов рисков можно применять различные критерии: например, риски несоответствия законодательству могут не быть приняты в принципе, а высокие финансовые риски могут быть приняты, если они являются частью договорных обязательств. Кроме этого, следует учитывать и прогнозируемый временной период актуальности риска (долгосрочные и краткосрочные риски). Критерии принятия рисков необходимо разрабатывать, учитывая желаемый (целевой) уровень риска с возможностью принятия топ-менеджментом рисков выше этого уровня в определенных обстоятельствах, а также возможность принятия рисков при условии последующей обработки рисков в течение оговоренного временного периода.
Кроме вышеперечисленных критериев, в рамках процесса определения контекста следует учесть границы и объем (англ. scope) процесса управления рисками ИБ: нужно принять во внимание бизнес-цели, бизнес-процессы, планы и политики компании, структуру и функции организации, применимые законодательные и иные требования, информационные активы, ожидания стейкхолдеров, взаимодействие с контрагентами. Рассматривать процесс управления рисками можно в рамках конкретной ИТ-системы, инфраструктуры, бизнес-процесса или в рамках определенной части всей компании.
2. Оценка рисков
В рамках проведения процесса оценки рисков компания должна оценить стоимость информационных активов, идентифицировать актуальные угрозы и уязвимости, получить информацию о текущих средствах защиты и их эффективности, определить потенциальные последствия реализации рисков. В результате оценки рисков компания должна получить количественную или качественную оценку рисков, а также приоритизацию этих рисков с учетом критериев оценки опасности рисков и целей компании. Сам процесс оценки рисков состоит из действий по идентификации (англ. identification) рисков, анализа (англ. analysis) рисков, оценки опасности (англ. evaluation) рисков.
2.1. Идентификация рисков
Целью идентификации рисков является определение того, что может случиться и привести к потенциальному ущербу, а также получить понимание того, как, где и почему этот ущерб может произойти. При этом следует учитывать риски вне зависимости от того, находится ли источник этих рисков под контролем организации или нет. В рамках данного процесса следует провести:
2.2. Анализ рисков
Анализ рисков может быть проведен с различной глубиной, в зависимости от критичности активов, количества известных уязвимостей, а также с учетом ранее произошедших инцидентов. Методология анализа рисков может быть как качественной, так и количественной: как правило, вначале применяют качественный анализ для выделения высокоприоритетных рисков, а затем уже для выявленных рисков применяют количественный анализ, который является более трудоемким и дает более точные результаты.
При использовании качественного анализа специалисты оперируют шкалой описательной оценки опасности (например, низкая, средняя, высокая) потенциальных последствий неких событий и вероятности наступления этих последствий.
При использовании методов количественного анализа уже применяются численные величины, с учетом исторических данных об уже произошедших инцидентах. Следует при этом иметь ввиду, что в случае отсутствия надежных, проверяемых фактов количественная оценка рисков может дать лишь иллюзию точности.
При непосредственно самом процессе анализа рисков сначала проводится оценка потенциальных последствий инцидентов ИБ: оценивается уровень их негативного влияния на компанию с учетом последствий от нарушений свойств конфиденциальности, целостности, доступности информационных активов. Проводятся проверка и аудит имеющихся активов с целью их классификации в зависимости от критичности, также оценивается (желательно в денежных величинах) потенциальное негативное влияние нарушения свойств ИБ этих активов на бизнес. Оценка стоимости активов проводится в рамках анализа негативного влияния на бизнес (англ. Business Impact Analysis) и может быть рассчитана исходя из стоимости замены или восстановления активов/информации, а также последствий утери или компрометации активов/информации: рассматриваются финансовые, юридические, репутационные аспекты. Следует также учитывать, что угрозы могут затронуть один или несколько взаимосвязанных активов либо затронуть активы лишь частично.
Далее проводится оценка вероятности возникновения инцидента, т.е. всех потенциальных сценариев реализации угроз. Следует учесть частоту реализации угрозы и легкость эксплуатации уязвимостей, руководствуясь статистической информацией об аналогичных угрозах, а также данными о мотивации и возможностях преднамеренных источников угроз (построение модели нарушителя), привлекательности активов для атакующих, имеющихся уязвимостях, примененных мерах защиты, а в случае рассмотрения непреднамеренных угроз — учитывать местоположение, погодные условия, особенности оборудования, человеческие ошибки и т.д. В зависимости от требуемой точности оценки активы можно группировать или разделять с точки зрения применимых к ним сценариев атак.
Наконец, проводится определение уровня рисков для всех сценариев из разработанного списка сценариев атак. Величина ожидаемого риска является произведением вероятности сценария инцидента и его последствий.
2.3. Оценка опасности рисков
В рамках процесса оценки опасности рисков проводится сравнение полученных на предыдущем этапе уровней рисков с критериями сравнения рисков и критериями принятия рисков, полученными на этапе определения контекста. При принятии решений следует учитывать последствия реализации угроз, вероятность возникновения негативных последствий, уровень собственной уверенности в корректности проведенной идентификации и анализа рисков. Следует учесть свойства ИБ активов (например, если потеря конфиденциальности нерелевантна для организации, то все риски, нарушающие данное свойство, можно отбросить), а также важность бизнес-процессов, обслуживаемых определенным активом (например, риски, затрагивающие малозначимый бизнес-процесс, могут быть признаны низкоприоритетными).
3. Обработка рисков ИБ
К началу осуществления данного подпроцесса у нас уже имеется список приоритизированных рисков в соответствии с критериями оценки опасности рисков, связанных со сценариями инцидентов, которые могут привести к реализации этих рисков. В результате прохождения этапа обработки рисков мы должны выбрать меры защиты, предназначенные для модификации (англ. modification), сохранения (англ. retention), избегания (англ. avoidance) или передачи (англ. sharing) рисков, а также обработать остаточные риски и сформировать план обработки рисков.
Указанные опции обработки рисков (модификацию, сохранение, избегание или передачу) следует выбирать в зависимости от результатов процесса оценки рисков, ожидаемой оценки стоимости внедрения мер защиты и ожидаемых преимуществ каждой опции, при этом их можно комбинировать (например, модифицировать вероятность риска и передавать остаточный риск). Предпочтение следует отдавать легкореализуемым и низкобюджетным мерам, которые при этом дают большой эффект снижения рисков и закрывают большее количество угроз, а в случае необходимости применения дорогостоящих решений следует давать экономическое обоснование их применению. В целом, следует стремиться максимально снизить негативные последствия, а также учитывать редкие, но разрушительные риски.
В итоге ответственными лицами должен быть сформирован план обработки рисков, который чётко определяет приоритет и временной интервал, в соответствии с которыми следует реализовать способ обработки каждого риска. Приоритеты могут быть расставлены по результатам ранжирования рисков и анализа затрат и выгод (англ. cost-benefit analysis). В случае, если в организации уже были внедрены какие-либо меры защиты, будет разумно проанализировать их актуальность и стоимость владения, при этом следует учитывать взаимосвязи между мерами защиты и угрозами, для защиты от которых данные меры применялись.
В окончании составления плана обработки рисков следует определить остаточные риски. Для этого могут потребоваться обновление или повторное проведение оценки рисков с учетом ожидаемых эффектов от предлагаемых способов обработки рисков.
Далее рассмотрим подробнее возможные опции обработки рисков.
3.1. Модификация рисков
Модификация рисков подразумевает такое управление рисками путём применения или изменения мер защиты, которое приводит к оценке остаточного риска как приемлемого. При использовании опции модификации рисков выбираются оправданные и релевантные меры защиты, которые соответствуют требованиям, определенным на этапах оценки и обработки рисков. Следует учитывать разнообразные ограничения, такие как стоимость владения средствами защиты (с учетом внедрения, администрирования и влияния на инфраструктуру), временные и финансовые рамки, потребность в обслуживающем эти средства защиты персонале, требования по интеграции с текущими и новыми мерами защиты. Также нужно сравнивать стоимость указанных затрат со стоимостью защищаемого актива.К мерам защиты можно отнести: коррекцию, устранение, предотвращение, минимизацию негативного влияния, предупреждение потенциальных нарушителей, детектирование, восстановление, мониторинг и обеспечение осведомленности сотрудников.
Результатом шага «Модификация рисков» должен стать список возможных мер защиты с их стоимостью, предлагаемыми преимуществами и приоритетом внедрения.
3.2. Сохранение риска
Сохранение риска означает, что по результатам оценки опасности риска принято решение, что дальнейшие действия по его обработке не требуются, т.е. оценочный уровень ожидаемого риска соответствует критерию принятия риска. Отметим, что эта опция существенно отличается от порочной практики игнорирования риска, при которой уже идентифицированный и оцененный риск никак не обрабатывается, т.е. решение о его принятии официально не принимается, оставляя риск в «подвешенном» состоянии.
3.3. Избегание риска
При выборе данной опции принимается решение не вести определенную деятельность или изменить условия её ведения так, чтобы избежать риска, ассоциированного с данной деятельностью. Это решение может быть принято в случае высоких рисков или превышения стоимости внедрения мер защиты над ожидаемыми преимуществами. Например, компания может отказаться от предоставления пользователям определенных онлайн-услуг, касающихся персональных данных, исходя из результатов анализа возможных рисков утечки такой информации и стоимости внедрения адекватных мер защиты.
3.4. Передача риска
Риск можно передать той организации, которая сможет управлять им наиболее эффективно. Таким образом, на основании оценки рисков принимается решение о передаче определенных рисков другому лицу, например, путем страхования киберрисков (услуга, набирающая популярность в России, однако до сих пор в разы отстающая от объема этого рынка, например, в США) или путем передачи обязанности по мониторингу и реагированию на инциденты ИБ провайдеру услуг MSSP (Managed Security Service Provider) или MDR (Managed Detection and Response), т.е. в коммерческий SOC. При выборе опции передачи риска следует учесть, что и сама передача риска может являться риском, а также то, что можно переложить на другую компанию ответственность за управление риском, но нельзя переложить на нее ответственность за негативные последствия возможного инцидента.
4. Принятие риска
Входными данными этого этапа будут разработанные на предыдущем шаге планы обработки рисков и оценка остаточных рисков. Планы обработки рисков должны описывать то, как оцененные риски будут обработаны для достижения критериев принятия рисков. Ответственные лица анализируют и согласовывают предложенные планы обработки рисков и финальные остаточные риски, а также указывают все условия, при которых данное согласование выносится. В упрощенной модели проводится банальное сравнение величины остаточного риска с ранее определенным приемлемым уровнем. Однако следует учитывать, что в некоторых случаях может потребоваться пересмотр критериев принятия рисков, которые не учитывают новые обстоятельства или условия. В таком случае ответственные лица могут быть вынуждены принять такие риски, указав обоснование и комментарий к решению о невыполнении критериев принятия рисков в конкретном случае.
В итоге, формируется список принимаемых рисков с обоснованием к тем, которые не соответствуют ранее определенным критериям принятия рисков.
5. Внедрение разработанного плана обработки рисков. Коммуницирование рисков ИБ
На данном этапе осуществляется непосредственное претворение в жизнь разработанного плана обработки рисков: в соответствии с принятыми решениями закупаются и настраиваются средства защиты и оборудование, заключаются договоры кибер-страхования и реагирования на инциденты, ведется юридическая работа с контрагентами. Параллельно до руководства и стейкхолдеров доводится информация о выявленных рисках ИБ и принимаемых мерах по их обработке в целях достижения всеобщего понимания проводимой деятельности.
Разрабатываются планы коммуникации рисков ИБ для ведения скоординированной деятельности в обычных и экстренных ситуациях (например, на случай крупного инцидента ИБ).
6. Непрерывный мониторинг и пересмотр рисков
Следует учитывать, что риски могут незаметно меняться со временем: изменяются активы и их ценность, появляются новые угрозы и уязвимости, изменяются вероятность реализации угроз и уровень их негативного влияния. Следовательно, необходимо вести непрерывный мониторинг происходящих изменений, в том числе с привлечением внешних контрагентов, специализирующихся на анализе актуальных угроз ИБ. Требуется проводить регулярный пересмотр как рисков ИБ, так и применяемых способов их обработки на предмет актуальности и адекватности потенциально изменившейся ситуации. Особое внимание следует уделять данному процессу в моменты существенных изменений в работе компании и осуществляющихся бизнес-процессов (например, при слияниях/поглощениях, запусках новых сервисов, изменении структуры владения компанией и т.д.).
7. Поддержка и улучшение процесса управления рисками ИБ
Аналогично непрерывному мониторингу рисков следует постоянно поддерживать и улучшать сам процесс управления рисками для того, чтобы контекст, оценка и план обработки рисков оставались релевантными текущей ситуации и обстоятельствам. Все изменения и улучшения требуется согласовывать с заинтересованными сторонами. Критерии оценки и принятия рисков, оценка стоимости активов, имеющиеся ресурсы, активность конкурентов и изменения в законодательстве и контрактных обязательствах должны соответствовать актуальным бизнес-процессам и текущим целям компании. В случае необходимости нужно менять или совершенствовать текущий подход, методологию и инструменты управления рисками ИБ.
IEC 31010:2019
Рассмотрим теперь вкратце стандарт IEC 31010:2019 «Risk management — Risk assessment techniques» («Менеджмент риска — Методы оценки риска»).
Данный стандарт входит в серию стандартов по управлению бизнес-рисками без привязки конкретно к рискам ИБ. «Заглавным» стандартом является документ ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска — Руководства»), который описывает фреймворк, принципы и сам процесс управления рисками. Описанный в данном документе процесс риск-менеджмента аналогичен рассмотренному выше: определяются контекст, границы и критерии, проводится оценка рисков (состоящая из идентификации, анализа, оценки опасности рисков), далее идет обработка рисков с последующей коммуникацией, отчетностью, мониторингом и пересмотром.
Стандарт же IEC 31010:2019 примечателен тем, что в нем приведено более 40-ка разнообразных техник оценки риска, к каждой дано пояснение, указан способ применения для всех подпроцессов оценки риска (идентификация риска, определение источников и причин риска, анализ мер защиты, анализ последствий, вероятностей, взаимосвязей и взаимодействий, измерение и оценка уровня риска, выбор мер защиты, отчетность), а для некоторых техник приведены и практические примеры использования. Кроме того, на данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».