Анализируем риски собственными силами: Практические советы по анализу рисков в корпоративной сети (ре-пост)

Ссылка на оригинальный источник www.dsec.ru/about/articles/self_ar/
Авторы: директор Digital SecurityИлья Медведовский (idm@dsec.ru) и аналитик по информационной безопасности Digital Security Наталья Куканова (nataliya.kukanova@dsec.ru)

Система защиты информации компании, актуальность создания которой уже не вызывает сомнений, должна быть экономически целесообразной. Но не будет ли возведенная нами система защиты стоить больше, чем сама информация? Сколько должна стоить система защиты информации?

Вопрос эффективности инвестиций в информационную безопасность является крайне не простым. Непонимание бизнесом необходимости должного уровня инвестиций обусловлено неумением специалистов по безопасности убеждать руководство компании вкладывать в информационную безопасность соответствующие средства. Сегодня существуют 2 основных способа убеждения высшего руководства компании уделять должное внимание вопросам безопасности:

  1. необходимость соответствовать тому или иному нормативному акту (например, для компаний, котирующихся на Нью-Йоркской фондовой бирже, акту Сарбаниса-Оксли);
  2. анализ информационных рисков, который связывает угрозы-уязвимости информационной системы со значимостью ее ресурсов с точки зрения бизнеса. Сегодня не существует иного способа обоснования затрат на информационную безопасность кроме проведения анализа рисков. Кроме того, методы анализа рисков позволяют связать бизнес и уязвимости в понятной для руководства форме, тем самым, обеспечивая должный уровень понимания и отношения к проблеме обеспечения информационной безопасности со стороны руководства компании. Таким образом, анализ информационных рисков помогает:
    • определить необходимую сумму инвестиций в обеспечение информационной безопасности,
    • наглядно показать руководству компании важность и необходимость таких инвестиций.

Цель анализа информационных рисков компании

Анализ рисков помогает руководству компании определить разумную сумму для создания системы защиты своей информации. Кроме того, анализ рисков нужен для того, чтобы понимать, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты.

Риск – это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов: стоимости информации и защищенности информационной системы, в которой она обрабатывается.

Исходя из определения риска, для проведения анализа рисков нам нужны следующие данные об информационной системе:

  • перечень ценной информации с указанием ее уровня критичности,
  • сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.

Этапы проведения анализа рисков

Таким образом, для получения данной информации нам следует выполнить:

  1. Инвентаризацию информационных ресурсов компании.
  2. Оценку стоимости информационных ресурсов компании.
  3. Определение защищенности информационной системы компании.
  4. Оценку информационных рисков.
  5. Категоризацию информационных ресурсов по уровню риска.
  6. Определение уровня приемлемого риска.
  7. Управление рисками (определение мер по снижению рисков).

Рассмотрим данные этапы подробнее.

1. Инвентаризация информационных ресурсов компании

Результатом инвентаризации информации компании является перечень ценной информации. Как правило, такой перечень либо уже существует в компании, либо его можно составить из списка всей информации, обрабатываемой в компании, полученного, например, у системного администратора.

2. Оценка стоимости информации компании

Далее необходимо определить стоимость информации. Часто этот этап является самым сложным, так как стоимость информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Т.е. специалист, собирающий данные для анализа рисков, должен опросить владельцев всей ценной информации. Для облегчения задачи можно использовать следующую методику.

  1. Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т.е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации, учитывая другие информационные ресурсы.
  2. Экспертная комиссияопределяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:
    • количество уровней критичности информации (наиболее простой является шкала, имеющая 3 уровня);
    • оценку уровней
      • оценка максимального уровня определяется как некоторый критичный процент от общей капитализации компании;
      • оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба;
      • оценка остальных уровней распределяется в выбранных границах. Например, имеем следующую шкалу:
        Уровень Оценка уровня (в у.е.)
        Низкий 10 000
        Средний 100 000
        Высокий более 100 000
  3. По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.

3. Оценка защищенности информационной системы

Далее оцениваем защищенность нашей информационной системы. Для этого нужно

  • описать угрозы и уязвимости информационной системы,
  • исходя из их критичности для информационной системы и вероятности их реализации, оценить уровень защищенности.

Угрозы и уязвимости можно определить

  1. во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы, уязвимости через которые реализуются угрозы в информационной системе, их критичность и вероятность реализации;
  2. во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Чтобы помочь описать угрозы и уязвимости, существуют классификации угроз и уязвимостей, например,
    • OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, США),
    • BSI (Federal Office for Information Security, Германия),
    • DSECCT (Digital Security Classification of Threats, Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. Кроме того, для некоторых классификаций (BSI, DSECCT) разработаны базы, содержащие наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.

4. Оценка информационных рисков

Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков. Классическая формула оценки риска:

РИСК = ВЕРОЯТНОСТЬ реализации угрозы * КРИТИЧНОСТЬ информации.

Критичность информации правильнее оценивать с точки зрения 3 угроз:

  • конфиденциальности,
  • целостности,
  • доступности,

т.к. ущерб компании от реализации этих угроз может сильно различаться, и оценка общего ущерба приведет к неадекватным результатам анализа рисков. Вероятность реализации угрозы оценивается экспертом в области информационной безопасности на основании собственного опыта и особенностей информационной системы компании. Как правило, основными факторами при определении вероятности реализации угрозы являются такие параметры, как

  • частота возникновения угрозы
  • простота ее реализации.

5. Категоризация информационных ресурсов по уровням риска

После оценки рисков информационные ресурсы компании классифицируют по уровням риска для того, чтобы определить порядок снижения рисков. В подавляющем большинстве случаев максимальные риски следует снижать в первую очередь.

6. Определение уровня приемлемого риска

Но все ли риски необходимо снижать и до какого уровня? Как бы мы ни старались, условия функционирования информационной системы не позволяют полностью исключить риск. Полностью безопасной может быть только та система, которая не работает. Кроме того, руководство компании должно быть ориентировано на определенный риск, чтобы возникновение чрезвычайной ситуации (риск которой всегда остается) не стало нерешаемой проблемой для компании. В настоящее время существует концепция определения уровня приемлемого риска.

Приемлемый риск – это риск, который руководство компании согласно принять.

Руководство компании, определяя уровень приемлемого риска, по сути определяет величину приемлемого ущерба в течение определенного периода времени. Для снижения уровня риска специалистам по информационной безопасности необходимо внедрить контрмеры (организационные, технические, программные и программно-аппаратные), закрывающие выявленные уязвимости и, следовательно, снижающие риски.

7. Управление рисками

После определения уровня приемлемого риска мы подошли к этапу управления рисками. Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня. В соответствии с приоритетностью снижения рисков и уровнем приемлемого риска, специалисты службы информационной безопасности (или сотрудники компании, ответственные за обеспечение информационной безопасности), как правило, совместно со сторонними консультантами определяют и внедряют меры для снижения рисков.

Автоматизированные средства анализа и управления рисками

Для облегчения проведения анализа информационных рисков существуют автоматизированные средства анализа и управления информационными рисками:

  • CRAMM (Central Computer and Telecommunications Agency, Великобритания),
  • RiskWatch (RiskWatch, США),
  • Digital Security Office (Digital Security, Россия).

Данные программные продукты позволяют смоделировать информационную систему компании и рассчитать информационные риски. Кроме того, они генерируют отчет, содержащий рекомендации по снижению уровня риска в соответствии с особенностями информационной системы.

Заключение

Задача анализа информационных рисков компании – достаточно объемная и трудоемкая. Но ее целесообразность и эффективность не вызывает сомнений. Система защиты информации, построенная на основе анализа информационных рисков, будет эффективной и экономически обоснованной.

Оставить ответ