Построение системы управления рисками IT-безопасности
Андрей Коптелов
🕛 07.02.2007, 18:15
Перефразируя классиков, можно утверждать, что «обладающий информацией обладает конкурентным преимуществом». Вопрос лишь в том, какой информацией и каким образом полученной? То есть, насколько актуальна информация, которой мы владеем или к которой мы стремимся, что в свою очередь становится вопросом достоверности и полноты информации и периода ее полужизни (аналогично - периоду полураспада).
Вопросам IT-безопасности уделяется сейчас более чем пристальное внимание, поскольку случаи потери и кражи информации могут привести к краху компании или потере конкурентных преимуществ на рынке. Кроме того, за последние пять лет участились случаи кражи интеллектуальной собственности. Одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организации. Хотя монопольное владение конкретной информацией предоставляет конкурентные преимущества на рынке, это в свою очередь должно повышать внимание к построению систем безопасности.
Таким образом, защита информации от кражи, изменения или уничтожения приобрела в настоящее время первоочередное значение. Многие компании понимают, что им необходимо построить систему IT-безопасности, но менеджеры обычно не знают, какой шаг должен быть первым в данном направлении. Как правило, главными препятствиями на пути обеспечения IT-безопасности становится сложность обоснования необходимых мероприятий и затрат на их выполнение. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т. п.), что способствует развитию тенденции выделять основную часть средств на повышение производительности, при этом нередко вопросы безопасности остаются без внимания.
Безопасность и риски
Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.
Если топ-менеджер в состоянии оценить затраты на мероприятия по минимизации критичных рисков, а также четко представляет, сколько денег компания может потерять вследствие реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня безопасности, то достижение необходимой степени защиты с минимальными затратами становится более реальным. Таким образом, бизнесу требуется полноценная система управления рисками.
Для построения системы управления рисками информационной безопасности необходимо ввести следующие понятия:
Угроза - потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на бизнес-процессы компании, IT-системы, а также на информационные активы компании. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.
Уязвимость информационной системы - тот или иной ее недостаток, из-за которого становится возможным нежелательное воздействие на нее со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).
Убыток - потенциально возможные прямые и косвенные финансовые потери, которые произошли вследствие реализации угрозы и уязвимости.
Риск - возможность возникновения некоторой угрозы, связанной с текущей деятельностью компании. Также риск - это комбинация вероятности события и его последствий (ISO/IEC 27001:2005). Риск отражает возможные прямые или косвенные финансовые потери.
Построение эффективной системы управления рисками IT-безопасности - это не разовый проект, а комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время. Для построения эффективной системы IT-безопасности необходимо первоначально обобщенно описать процессы деятельности и выделить риски. Затем следует определить порог риска. Превышение подобного порога означает, что данным риском необходимо управлять. Требуется построить такую систему IT-безопасности, которая обеспечит минимизацию рисков с высоким уровнем опасности. Причем риски, имеющие уровень ниже критического, можно вообще исключить из анализа.
С точки зрения процессного подхода, систему управления рисками можно представить как процесс управления рисками (см. схему). На данной схеме прямоугольниками показаны процессы, а стрелками - их взаимосвязи.
Для построения системы управления рисками IT-безопасности можно предложить метод CRAMM (UK Goverment Risk Analysis and Managment Method), который был разработан Службой безопасности Великобритании (UK Security Service) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. С 1985 года он используется правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Один из наиболее важных результатов применения метода CRAMM - получение возможности экономического обоснования расходов организации на обеспечение информационной безопасности. В конечном итоге экономически обоснованная стратегия управления рисками информационной безопасности позволяет минимизировать издержки и избегать неоправданных расходов.
Пример управления рисками
Поясним ключевые моменты управления рисками. Для начала изложим общий сценарий. Допустим, возникла возможность угрозы несанкционированного доступа к конфиденциальной информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об угрозах и уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно).
После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность.
На этапе разработки и внедрения системы управления IT-безопасностью, помимо моделей критических бизнес-процессов, может быть использован инструментарий Process Risk Assistant, относящийся к семейству продуктов ARIS, предназначенный для методологического обеспечения и содержащий детальное руководство по построению системы управления рисками. Для структурированного описания, анализа, последующего совершенствования бизнес-процессов предприятия и управления ими, а также подготовки к внедрению сложных информационных систем организации может понадобиться платформа ARIS - методология и базирующееся на ней семейство программных продуктов, разработанных компанией IDS Scheer AG (Германия).
После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков - выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется. Причем для проверки полноты перечня выделенных рисков необходимо построить классификацию рисков по определенному принципу, например по этапам жизненного цикла документа.
Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков.
Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов.
Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов.
В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска, как «Утечка информации о клиентах к конкурентам через незащищенный канал связи». В связи с тем, что последствия от различных угроз неравноценны, недостаточно лишь идентифицировать риск. Необходимо оценить величину угрозы и возможность реализации риска (уязвимость), а также убыток в виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке рисков, то на первом этапе следует использовать качественные критерии, поскольку они просты в применении.
Примером качественных критериев оценки может быть куб (четыре на четыре на четыре):
угроза - низкая, средняя, высокая, критическая;
уязвимость - низкая, средняя, высокая, критическая;
ущерб - низкий, средний, высокий, критический;
Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов. Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части. Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий. Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий.
При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное - при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме.
Результат
Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Данный перечень рисков имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков?
Необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.
Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Вот почему основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы IT-безопасности данная граница может иметь высокий уровень, дальнейшее понижение границы возможно при проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе нельзя исключить переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются, например, с помощью упомянутого программного обеспечения ARIS.
Инструментарий под названием «Портал рисков» (Process risk portal) обеспечивает пользователю проведение графического анализа и оценки рисков процессов. Кроме того, процессы внутри компании становятся прозрачными, а данные по управлению рисками - общедоступными, что и помогает сотрудникам выполнять постоянный мониторинг существующих рисков и выявлять новые. Как правило, цикл управления рисками информационной безопасности имеет квартальный период, что, с одной стороны, обеспечивает реакцию системы на изменение внешних условий, а с другой - сокращает затраты на данные работы.
На основе оценок риска выбираются необходимые методы и средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, целесообразно наметить мероприятия по минимизации риска - планирование процесса оперативного обновления ПО (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т. д.
Цель процесса планирования мероприятий по минимизации рисков - определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.06 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И. И.».
Какие проблемы могут возникнуть?
Практика показывает, что большинство мероприятий находится в плоскости организационных решений, тогда как технические меры защиты не являются превалирующими. В дальнейшем необходимо производить агрегацию мероприятий для того, чтобы одно мероприятие «закрывало» несколько рисков одновременно, что минимизирует затраты и требует меньше ресурсов для контроля.
Однако большинство компаний начинает установку технических решений без предварительной оценки рисков, определения целей IT-безопасности и ее влияния на бизнес-процессы, что приводит к отрицательному влиянию на бизнес-процессы и потере контроля над ними. Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т. п., после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта и т. п. Эти факты показывают, что проблема IT-безопасности является не только технической, но и управленческой. Большинство рисков можно минимизировать управленческими решениями, рассматривая данные риски в качестве операционных, а остальные риски минимизировать программными и аппаратными средствами.
Мало понять, что, как и когда делать, однако требуется реализовать все запланированное точно в срок. Поэтому целью процесса реализации мероприятий становится выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Итог данного процесса - выполненные работы по минимизации рисков и время их проведения. Целесообразно спланировать свою деятельность на случай возникновения критической ситуации или риска. Введение в действие процессов, предусмотренных на экстренный случай, позволит не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее.
Основная сложность - не создать план-график (поскольку подобная работа связана с анализом рисков и формированием мероприятий, необходимых для его минимизации и предотвращения), а выполнять план-график, выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные мероприятия.
Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна гарантировать, что будут достигнуты следующие цели. Во-первых, конфиденциальность информации, критически важной для организации или для принятия решения. Во-вторых, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих, оперативная доступность информации в любой момент времени. В-четвертых, возможность накопления информации, т.е. сохранения предшествующих вариантов. В-пятых, учет всех процессов, связанных с информацией.
Во многих компаниях системы информационной безопасности строятся по принципу «все запретить», что вызывает неудобства в работе сотрудников, а самое важное - может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей.
Как правило, большое количество запретительных мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются, обходя все запретительные мероприятия.
Оценка эффективности
Следующий цикл анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.
Оценка эффективности системы управления IT-безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. На данной стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты указанного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005.
Для координации работ по управлению рисками требуются следующие организационные мероприятия: разработка концепции IT-безопасности, создание комитета по IT-безопасности (включающего топ-менеджеров компании), выделение ответственного, определение бюджета на работы, формирование процесса управления и регламента, назначение экспертов по предметным областям для предоставления информации по бизнес-процессам и рискам, определение схем мотивирования для участвующих в работах. Также нельзя забывать, что для обеспечения работающего процесса управления IT-безопасностью очень критична организационная составляющая.
В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов. Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы.