|
|
Проблемы анализа и управления рисками
Анализ информационных рисков является тем инструментом, который позволяет определить какие объекты, и в какой степени, нуждаются в защите, а также сколько это будет стоить. Без него построенная система информационной безопасности обречена быть неэффективной. Деятельность любой компании направлена на получение максимальной прибыли. И обеспечение информационной безопасности — как одно из направлений деятельности — не исключение. Единственным отличием является то, что обеспечение информационной безопасности (да и не только информационной) направлено не столько на получение прибыли, сколько на снижение потерь. Мотивация обеспечения информационной безопасности не вызывает сомнений. Однако при создании системы защиты информации возникает два основных вопроса: какова должна быть величина затрат на создание и поддержание системы защиты информации и каким образом распределить эти затраты наиболее эффективно? То есть какие объекты информационной системы и в какой степени следует защищать? Анализ рисков ИС помогает найти ответы на эти вопросы. Этапы оценки и управления информационными рисками Сначала необходимо определить все ценные информационные ресурсы компании, а также объекты их хранения и обработки. Под информационным ресурсом будем понимать Далее начинается этап управления, который заключается в определении приемлемого уровня риска (такого, который руководство компании не считает нужным снижать), в принятии рисков, не превышающих значение приемлемого уровня риска, и снижении рисков, значения которых превышают приемлемый уровень риска. Как правило, наибольшую сложность вызывает определение стоимости информационных ресурсов и оценка вероятности реализации уязвимостей ИС компании. На данном этапе могут возникнуть следующие сложности. Организацию процесса оценки стоимости информационных ресурсов обычно обеспечивает руководство компании. Руководству следует сначала издать приказ об официальном утверждении процесса оценки стоимости информационных ресурсов компании, а затем назначить экспертную комиссию, а также сотрудника, ответственного за выполнение оценки стоимости информационных ресурсов. Сотрудник, ответственный за выполнение оценки стоимости информационных ресурсов, координирует все действия, связанные с данным процессом. Экспертная комиссия является консультативным органом. В ее состав могут входить, например, заместители генерального директора, сотрудники финансового отдела и/или бухгалтерии, начальники подразделений. В обязанности экспертной комиссии входит консультации сотрудников компании при определении стоимости информации, а также проверка полученных данных. Кроме того, следует определить сотрудников, которые будут непосредственно оценивать стоимость информации. В соответствии с международным стандартом по информационной безопасности ISO 27001/ ISO 17799 оценку стоимости информационного ресурса выполняет его владелец. Владельцем является лицо или сторона, которые имеют утвержденные руководством компании обязанности по управлению созданием, разработкой, поддержанием, использованием и защитой информационных ресурсов. Понятие «владелец» не означает, что Определение стоимости информационного ресурса часто вызывает сложности у его владельца. Как правило, это связано с тем, что он не всегда знает, какие параметры следует учитывать при определении стоимости ресурса. Следовательно, в помощь владельцу информационного ресурса следует составить и утвердить критерии для определения стоимости. Информационный ресурс можно оценивать по трем параметрам (каждый из которых делится на критерии) — конфиденциальности, целостности и доступности — или в общем виде (по трем параметрам сразу). Определение стоимости отдельно по каждому из трех параметров предпочтительнее. В случае оценки по угрозе нарушения конфиденциальности критерии определения стоимости информации могут быть, например, следующие: стоимость упущенной выгоды (потерянный контракт, перекупка клиентов или посредников, потеря клиентов, кража проектов, обесценивание акций, удешевление стратегических планов и так далее); стоимость выплаты неустоек, штрафов за невыполнение обязательств контракта; стоимость затрат на восстановление репутации, престижа, имени компании; стоимость затрат на поиск новых клиентов, взамен более не доверяющих компании. При оценке по угрозе нарушения целостности, в качестве критериев можно взять: стоимость упущенной выгоды (от невозможности предоставления услуги или неадекватного функционирования информационной системы); расходы на восстановление информационного ресурса; расходы на создание информационного ресурса (затраты на производство). Оценка по угрозе нарушения доступности допускает следующие критерии: стоимость упущенной выгоды от невозможности предоставления услуги; заработная плата сотрудников за время простоя; расходы на обслуживание инфраструктуры, замену оборудования; расходы на восстановление работоспособности информационной системы (запуск резервной дублирующей системы); негативное влияние на имидж компании. Экспертной комиссии следует определить, по каким параметрам будет проводиться оценка стоимости информационных ресурсов, а также перечень критериев для каждого параметра. На основании полученных данных владелец определяет стоимость информационного ресурса, которая равна сумме ущербов, которые понесет компания по каждому из критериев. При определении ущерба следует спрогнозировать ситуацию нарушения конфиденциальности, целостности или доступности информационного ресурса и определить последствия такого нарушения. Как правило, последствия будут включать прямую и косвенную (упущенную) прибыль. Вероятность реализации уязвимостей информационной системы Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей. После определения перечня уязвимостей информационной системы необходимо оценить вероятность их реализации. Некоторые уязвимости информационной системы никогда не реализуются, а другие эксплуатируются очень часто, и их реализация может нанести существенный вред компании. Таким образом, важно понять, какие уязвимости наиболее актуальны, а какие не требуют срочных мер по закрытию. Параметром, определяющим актуальность уязвимостей для ИС, является вероятность их реализации. Вероятность реализации уязвимости зависит от многих параметров. Например, рассмотрим событие — проникновение злоумышленника через окно здания на объект компании и кража бумажного документа со стола сотрудника. В данном случае уязвимостью будет — наличие окна в здании. Вероятность реализации уязвимости будет складываться из вероятности того, что злоумышленник заинтересуется документом, вероятности того, что злоумышленник сможет взобраться по стене (если окно находится на верхнем этаже), вероятности того, что окно будет открыто, вероятности того, что злоумышленник сможет открыть (или разбить) окно в случае, если оно будет закрыто, вероятности того, что сотрудника в момент взлома не будет на месте, вероятности того, что документ не будет находиться в сейфе, вероятность того, что документ будет украден с учетом существующих средств защиты. Такой перечень можно продолжить, здесь указаны лишь основные пункты. Для каждой уязвимости следует составить примерный перечень возможных событий и для каждого из них оценить вероятность. Численные значения вероятностей определяются специалистами на основе опыта или статистических данных, которых не так много в области информационной безопасности, но все же имеются. Например, рассмотрим вероятность проявления злоумышленником интереса к документу. Если документ имеет высокую степень конфиденциальности и/или его раскрытие принесет существенную пользу конкурентам компании, то вероятность того, что документ захотят украсть, достаточно велика. В случае, если документ не представляет никакого интереса для конкурентов, вероятность уменьшается, однако не снижается до нуля (например, документ могут увидеть случайно). Так же следует оценить вероятность каждого возможного события. Суммировать вероятности событий для получения вероятности реализации уязвимости можно, например, используя следующую формулу: где P — вероятность реализации уязвимости;
В общем случае для определения вероятности реализации уязвимости следует учитывать, например, следующие факторы: вероятность того, что информацией заинтересуются, вероятность того, что злоумышленник сможет реализовать уязвимость и вероятность того, что уязвимость будет реализована с учетом существующих средств защиты. Другими словами, вероятность реализации уязвимости можно разделить на собственно вероятность реализации уязвимости и на вероятность того, что реализация уязвимости нанесет ущерб компании. Второй параметр можно назвать критичностью реализации уязвимости. Критичность реализации следует определять по конфиденциальности, целостности и доступности. Например, событие — пожар в здании. Уязвимостью такого события будет возможность возгорания носителей с ценной информацией. Следовательно, необходимо определить вероятность возникновения пожара и что он приведет к возгоранию носителей с ценной информации; такую вероятность можно рассчитать, например, на основе статистических данных. А также вероятность того, что пожар приведет к нарушению конфиденциальности, целостности и доступности информации. В данном случае вероятность нарушения конфиденциальности при пожаре будет незначительно мала, а вероятность нарушения целостности и доступности высокая (или даже максимальная). Суммировать данные вероятности для получения итоговой вероятности реализации уязвимости можно также по приведенной выше формуле. Расчет рисков информационной безопасности По определению риск информационной безопасности равен произведению вероятности реализации уязвимостей информационной системы и ущерба, который понесет компания при реализации уязвимостей. Таким образом, зная ущерб, то есть стоимость информационных ресурсов и вероятность реализации уязвимостей, мы можем рассчитать риск. Значения риска можно рассчитывать для информационных ресурсов, объектов хранения и обработки информации, автоматизированных систем. Учитывая значения риска информационной безопасности, планируется дальнейшая деятельность по управлению информационными рисками компании. Информационный риск компании никогда не будет снижен до нуля, т.к. создать абсолютно защищенную систему невозможно. Кроме того, снижать риск до нуля не всегда целесообразно — определенное значение риска можно принять. То есть следует определить уровень приемлемого риска или значение риска, которое компания не считает нужным снижать. Уровень приемлемого риска означает некоторый баланс между стремлением максимально снизить риски и пониманием, что бюджет на безопасность ограничен. Так как повлиять на стоимость информационных ресурсов (ущерб компании) невозможно (мы не можем снизить стоимость активов компании), задавая уровень приемлемого риска, определяется приемлемое значение вероятности возникновения нарушения информационной безопасности. По сути, руководство компании определяет, с какой вероятностью реализации уязвимостей оно готово согласиться. Так как информационные ресурсы компании в большинстве случаев имеют большую разницу в стоимости, то определять уровень приемлемого риска для всех ресурсов нерационально. В таком случае более правильно разделить ресурсы на группы по значению стоимости и определять приемлемый уровень риска для каждой группы. Для определения приемлемого уровня риска руководству компании следует предоставить данные о стоимости информационных ресурсов. Руководитель компании (на основе своего опыта) определяет приемлемый уровень риска, а сотрудники, ответственные за снижение рисков, определяют приемлемый уровень вероятности реализации уязвимостей ИС. Риски, которые не превышают уровень приемлемого риска, можно принять, то есть не выполнять никаких действий по их снижению. Снижение рисков На первых этапах были определены ценные информационные ресурсы компании, объекты их хранения и обработки, уязвимости объектов хранения и обработки, риски информационных ресурсов. На основе этих данных был сделан вывод о том, какие риски следует снижать. Теперь следует определить порядок снижения рисков и конкретные контрмеры для их снижения. В большинстве случаев, наибольшие риски следует снижать в первую очередь. Однако к этому процессу следует подойти разумно, то есть стараться снижать риски равномерно. Выбор контрмер полностью зависит от конкретной ситуации, однако нужно заметить, что не всегда уязвимости информационной системы можно полностью закрыть. В таком случае следует максимально снизить вероятность реализации уязвимости. После определения перечня необходимых контрмер и их внедрения следует выполнить повторную оценку рисков, чтобы убедиться, что все контрмеры правильно и эффективно внедрены и риски снижены до приемлемого уровня. Не следует забывать о том, что управление рисками — непрерывный процесс, т.к. в информационной системе появляются новые уязвимости, а вероятность реализации ранее найденных может увеличиться. Кроме того, с течением времени в компании создаются новые информационные ресурсы, которые необходимо защищать. Поэтому анализ и управление рисками следует проводить регулярно. Это позволит гарантировать, что информационная безопасность компании обеспечивает и, главное, поддерживается на необходимом уровне. Наталья Куканова |