Управляй и властвуй!

Дарья Ткачук, аналитик по информационной безопасности

Уже никто не удивляется тому, что даже молодые и совсем небольшие компании, не говоря уже о банках и крупных корпорациях, уделяют немало внимания управлению рисками, активно используют этот процесс или, по крайней мере, стремятся к его становлению. Соответствующей тематике посвящают семинары, доклады на конференциях, а ВУЗы пытаются вводить управление рисками как одну из учебных дисциплин. Как можно подойти к внедрению данного процесса на предприятии?

Управление рисками – одна из тех областей, в которых легко «потеряться» среди разных методологий и мнений консультантов. Не имея реального опыта анализа и оценки рисков, можно потратить много времени впустую. Немного расскажу о собственной практике внедрения этого процесса и постараюсь развеять миф о том, что риск – это 100-процентная неопределенность, управлять которой невозможно. Предлагаемая методика может стать базовой для становления процесса управления рисками и в других компаниях – естественно, с учетом их особенностей.

Некоторые процессы (в том числе управление рисками), которые ИБ-службы пытаются разрабатывать самостоятельно, на деле требуют привлечения экспертов из смежных областей. Можно, например, воспользоваться опытом одной международной нефтяной компании, связанным с обеспечением целостности и безопасности операционных процессов. Этот опыт позволяет воспринять риски вовсе не как эфемерный «эффект неопределенности на объекте» (ISO 31000:2009), а управление ими – как конкретную последовательность действий.

Формулируем цель

Для начала зададимся вопросом: какова ваша цель в области обеспечения ИБ предприятия? Например, в той же нефтяной отрасли цель может быть такой: «Никаких человеческих жертв и производственных травм при выполнении служебных обязанностей!». Естественно, для компании, сотрудники которой работают в офисе, нужно определить иную цель. Скажем, такую: «Количество финансовых потерь в таком-то секторе нашего бизнеса не должно превышать 10 млн руб. в год» или «Доступность систем онлайн-банкинга для физических лиц должна составлять 99,998%».

Цель должна соответствовать локальному законодательству, и, желательно, не противоречить международным стандартам и практикам. Она должна быть разбита на более мелкие конкретные цели каждого из подразделений организации и доведена до сведения всех сотрудников. Цель сформулирована правильно, если при ее рассмотрении с точки зрения обработки и хранения информации она не теряет своей сути. Например, данные могут быть украдены, оказаться недоступными или поврежденными, что приведет к недостижимости цели снижения уровня потерь или обеспечения доступности систем.

Определяем данные и объекты

Как только цель сформулирована, можно приступать к составлению реестра данных и объектов. Предлагаю начинать НЕ с реестра уязвимостей, на которых мы зачастую зациклены. Новая уязвимость в Microsoft Office? Срочно обновляться! А зачем? Реестр данных и объектов покажет, что именно может привести к негативным последствиям для организации. Любой бизнес-процесс связан с той или иной информацией, но ценность имеет не она сама по себе, а ее применение в разном контексте.

Данные могут быть одинаковыми для разных подразделений, информационных систем или групп пользователей. Важно определить объекты, на которых физически размещается информация, – диски, файлы, серверы, базы данных. В отличие от общепринятой практики, я рекомендую использовать именно понятие «объект» вместо «актив» и выбирать в качестве объекта нечто осязаемое (даже информационная система установлена на вполне материальных серверах, находящихся в реальном помещении). Это позволит избежать бесплодных философствований о неосязаемости защищаемой информации.

Если реестр данных и объектов составлен, можно переходить к определению событий, приводящих к негативным последствиям. В сфере ИБ последствия для организации могут нести события трех типов – утечка данных, недоступность и нарушение целостности. При этом нужно учитывать, что нарушение целостности систем (метаданных) и целостности данных, обрабатываемых системами, представляют собой разные события.

 

Устанавливаем последствия

Дальше – самое интересное: последствия. При их определении нужно отталкиваться строго от области бизнеса предприятия (например, в нефтяной отрасли это – гибель людей, остановка добычи или нанесение серьезного вреда окружающей среде). Возможно использование разных категорий последствий, по которым можно распределить все самое плохое, что может случиться при реализации бизнес-процессов. Однозначных рекомендаций дать нельзя – каждая компания должна сама устанавливать подходящие именно для нее категории последствий. В банковской сфере это могут быть категории финансовых потерь, репутации, людей и физических объектов. В ритейле или медиа-бизнесе будут использоваться иные категории.

Итак, мы установили данные и объекты, в которых они «живут», триггеры (нежелательные события, вызывающие негативные последствия), последствия и их категории. Теперь необходимо определить последствия прямые и косвенные, учитывая, что большинство последствий ИБ-инцидентов влияет на бизнес компании косвенно. Возможно, стоит сначала выяснить, какими окажутся последствия для функций ИБ, а затем вывести их на уровень бизнеса компании. В любом случае решение остается за CISO, который разрабатывает стратегию развития ИБ организации.

Еще один важный момент: при определении последствий следует учитывать худший из реалистичных сценариев. Жалоба клиента на компанию в социальных сетях к таковым не относится, поскольку негативное влияние этого последствия нельзя считать очевидным. А вот подача иска в суд с требованием возместить причиненный ущерб и размещение информации об этом в федеральных каналах – совсем другое дело.

Теперь переходим к угрозам, т.е. происшествиям, которые могут приводить к возникновению триггеров, а в итоге – к негативным последствиям. Помимо угроз существуют события, которые инициируют реализацию угроз, причем несколько событий могут реализовать лишь одну угрозу. Сама по себе угроза не равноценна опасности, поскольку может быть реализована далеко не всегда.

Методы работы с рисками

Итак, у нас есть логическая цепочка событий. Наглядно представить описанное позволяет диаграмма «бабочка», которая составляется для каждой категории данных и описывает конкретные последствия с конкретными объектами. Далее необходимо разобраться с определением риска и методами работы с ним.

/ подрис/ Диаграмма «бабочка»

Риск устанавливается для каждого триггера в отдельности, т.е. диаграмма должна строиться столько раз, сколько потенциально опасных событий возможны в организации. В банке следует рассмотреть варианты утечек персональных данных, платежной информации, сведений о недоступности систем онлайн-банкинга и платежных систем, о нарушении их целостности и пр. В небольшой компании, обрабатывающей исключительно платежи с кредитных карт, диаграмм будет гораздо меньше.

Для оценки рисков предлагаю использовать качественно-количественный анализ, а начинать его с составления матрицы. При этом следует помнить, что риск – это реализация последствий конкретной угрозы с определенной вероятностью для конкретного события, произошедшего с данными (R = I * p , где I – impact, p – probability).

В ходе оценки риска по матрице нужно учитывать следующее:

  • для каждой категории последствий определяется собственная зона риска, которой присущи свои техники и меры защиты;
  • если исторические данные отсутствуют, следует опираться на российскую и мировую практику. Условия произошедшего могут быть разными, но важен сам факт события;
  • необходимо использовать единственную матрицу оценки рисков для всей компании. Можно детализировать и добавлять количественную оценку, но база должна быть одна, чтобы избежать разночтений в подразделениях или дополнительных офисах.

/подрис/ Матрица оценки риска

Меры защиты

После определения риска для каждого события переходим к анализу имеющихся мер защиты либо рассматриваем проекты внедрения новых мер, в том числе административных процедур и способов обеспечения физической безопасности. Необходимо помнить о принципе as low as reasonably practicable – любой риск нужно снижать до практически разумного уровня.
Прежде чем приобретать какое-либо средство защиты (в том числе активно рекламируемое, а потому популярное) задайте себе и консультантам несколько вопросов. Например: «Сумеет ли эта железка перевести риск из красной зоны в голубую? Если да, то насколько быстро?». Полезно осмыслить покупку и с точки зрения менеджмента/владельца бизнеса: «Смогу ли я на этом заработать или сэкономить? Сколько и за какой период?». Ответы на любые вопросы должны быть четко измеримыми: «Сколько дней и сотрудников потребуется для внедрения системы? Понадобится ли прием на работу новых сотрудников? Сколько их должно быть и какими окажутся дополнительные затраты?».

Данная методика поможет повысить уровень осведомленности пользователей в области защиты информации, заставить каждого задуматься о собственном вкладе в ИБ своего подразделения, предприятия и личной жизни. В компании каждый сотрудник должен задавать себе вопрос «а насколько безопасно то, что я собираюсь сейчас сделать, и к каким последствиям это может привести?». Практика международных нефтяных компаний показывает, что из сотрудников, которые снова и снова не хотят выполнять инструкции по ИБ, вполне возможно сделать союзников ИБ-служб.

Тэги: 

Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.