Безпека та ризики
Вибіркова і безсистемна реалізація заходів, спрямованих на підвищення рівня IT-безпеки, не зможе забезпечити необхідного рівня захисту. Щоб сформувати розуміння пріоритетності заходів з підвищення рівня безпеки, необхідно розробити механізм управління ризиками ІТ-безпеки, що дозволить спрямувати всі зусилля на захист від найбільш небезпечних загроз і мінімізацію витрат.

Якщо топ-менеджер в змозі оцінити затрати на заходи по мінімізації критичних ризиків, а також чітко уявляє, скільки грошей компанія може втратити внаслідок реалізації загроз, які місця в системі найбільш уразливі, які заходи можна вжити для підвищення рівня безпеки, досягнення необхідного ступеня захисту з мінімальними витратами стає більш реальним. Таким чином, бізнесу потрібно повноцінна система управління ризиками.

Для побудови системи управління ризиками інформаційної безпеки необхідно ввести такі поняття:

  • Загроза — потенційно можлива подія, неважливо, навмисне чи ні, яке може чинити небажаний вплив на бізнес-процеси компанії, IT-системи, а також на інформаційні активи компанії. Інакше кажучи, загроза — це щось погане, що коли-небудь може відбутися.
  • Уразливість інформаційної системи — той чи інший її недолік, з-за якого стає можливим небажаний вплив на неї з боку зловмисників, некваліфікованого персоналу або шкідливого коду (наприклад, вірусів і програм-шпигунів).
  • Збиток — потенційно можливі прямі і непрямі фінансові втрати, які сталися внаслідок реалізації загрози та вразливості.
  • Ризик — можливість виникнення певної загрози, пов’язаної з поточною діяльністю компанії. Також ризик — це комбінація ймовірності події і його наслідків (ISO/IEC 27001:2005). Ризик відображає можливі прямі або непрямі фінансові втрати.

Побудова ефективної системи управління ризиками ІТ-безпеки — це не разовий проект, а комплексний процес, спрямований на мінімізацію зовнішніх і внутрішніх загроз при врахуванні обмежень на ресурси і час. Для побудови ефективної системи IT-безпеки необхідно спочатку узагальнено описати процеси діяльності та виділити ризики. Потім слід визначити поріг ризику. Перевищення такого порогу означає, що даним ризиком потрібно керувати. Потрібно побудувати таку систему IT-безпеки, яка забезпечить мінімізацію ризиків з високим рівнем небезпеки. Причому ризики, які мають рівень нижче критичного, можна взагалі виключити з аналізу.

З точки зору процесного підходу, систему управління ризиками можна представити як процес управління ризиками (див. схему). На даній схемі прямокутниками показані процеси, а стрілками — їх взаємозв’язку.

Для побудови системи управління ризиками ІТ-безпеки можна запропонувати метод CRAMM (UK Goverment Risk Analysis and Management Method), який був розроблений Службою безпеки Великобританії (UK Security Service) за завданням британського уряду і взятий на озброєння в якості державного стандарту. З 1985 року він використовується урядовими та комерційними організаціями Великобританії. До теперішнього моменту CRAMM придбав популярність у всьому світі. Один з найбільш важливих результатів застосування методу CRAMM — отримання можливості економічного обґрунтування витрат організації на забезпечення інформаційної безпеки. В кінцевому підсумку економічно обґрунтована стратегія управління ризиками інформаційної безпеки дозволяє мінімізувати витрати і уникати невиправданих витрат.

Приклад управління ризиками
Пояснимо ключові моменти управління ризиками. Для початку викладемо загальний сценарій. Припустимо, виникла можливість загрози несанкціонованого доступу до конфіденційної інформації у зв’язку з виявленою уразливістю в обліковій системі, яка приймає електронні замовлення через Інтернет. На основі інформації про загрози та вразливості інформаційної системи вивчається питання щодо можливості реалізації ризику та економічної доцільності визначення заходів щодо його мінімізації (якщо заходи щодо запобігання ризиків коштують дорожче, ніж збиток від реалізації загрози, то, швидше за все, застосовувати їх недоцільно).

Після оцінки важливості ризику плануються необхідні заходи і виділяються відповідні ресурси. Потім реалізуються контрзаходи у відповідності з графіком робіт та оцінюється їх ефективність.

На етапі розробки та впровадження системи управління IT-безпекою, крім моделей критичних бізнес-процесів, що може бути використаний інструментарій Process Risk Assistant, що відноситься до сімейства продуктів ARIS, призначений для методологічного забезпечення та містить детальне керівництво з побудови системи управління ризиками. Для структурованого опису, аналізу, подальшого вдосконалення бізнес-процесів підприємства та управління ними, а також підготовки до впровадження складних інформаційних систем організації може знадобитися платформа ARIS — методологія і базується на ній сімейство програмних продуктів, розроблених компанією IDS Scheer AG (Німеччина).

Після більш детального вивчення процесу і виявлення потенційних загроз слід сформувати перелік ризиків, які необхідно мінімізувати. Мета процесу збору (ідентифікації) ризиків — з’ясувати, якою мірою організація схильна загрозам, здатним завдати істотної шкоди. Для збору ризиків проводиться аналіз бізнес-процесів компанії та опитування експертів предметної області. За результатами виконаної роботи перелік усіх потенційних ризиків класифікується. Причому для перевірки повноти переліку виділених ризиків необхідно побудувати класифікацію ризиків за певним принципом, наприклад за етапами життєвого циклу документа.

Існує два підходи до визначення ризиків. Перший заснований на описі процесів і їх аналіз на предмет знаходження ризиків IT-безпеки. Зазвичай його застосування вимагає великих витрат як на опис, так і на аналіз бізнес-процесів, але незаперечною перевагою даного методу є гарантована повнота визначення переліку ризиків.

Другий підхід до визначення ризиків базується на експертних знаннях, інформації щодо інцидентів IT-безпеки і понесенному компанією збитку від сталися інцидентів. Цей підхід має меншу трудомісткість, але не гарантує повноти переліку ризиків і вимагає великого експертного досвіду при виділенні ризиків без аналізу опису процесів.

Якщо говорити про практику застосування, то на перших етапах розгортання процесу управління ризиками ІТ-безпеки можливе використання другого методу, як менш трудомісткий, однак на наступних етапах аналізу ризиків слід перейти до повноцінного визначення ризиків за допомогою опису та аналізу бізнес-процесів.

У представленому прикладі загроза несанкціонованого доступу до фінансової інформації являє собою вихідні дані для ідентифікації, наприклад, такого ризику, як «Витік інформації про клієнтів до конкурентів через незахищений канал зв’язку». У зв’язку з тим, що наслідки від різних загроз нерівноцінні, недостатньо лише ідентифікувати ризик. Необхідно оцінити величину загрози і можливість реалізації ризику (вразливість), а також збиток у вигляді прямих або непрямих втрат у грошовому вираженні. Якщо говорити про оцінку ризиків, то на першому етапі слід використовувати якісні критерії, оскільки вони прості в застосуванні.

Прикладом якісних критеріїв оцінки може бути куб (чотири на чотири на чотири):

  • загроза — низька, середня, висока, критична;
  • вразливість — низька, середня, висока, критична;
  • збиток — низький, середній, високий, критичний;

Сумарну оцінку ризику можна визначити шляхом множення або зваженого підсумовування отриманих якісних коефіцієнтів. Потім визначаться поріг або рівень суттєвості для ризиків. Фактично перелік ризиків ділиться рівнем суттєвості на дві частини. По-перше, ризики, по яким в даному циклі системи буде проводитися запобігання або мінімізація наслідків. По-друге, ризики, по яким в даному циклі системи не буде проводитися запобігання або мінімізація наслідків.

При подальших реалізаціях процесу можна перейти від якісних до числових оцінок, але це зажадає аналізу ймовірностей для загроз і вразливостей, і числових оцінок для збитків, що ускладнить систему управління ризиками. Але головне — при запуску процесу управління ризиками ІТ-безпеки зосередитися на самому процесі, а методики можна відточити надалі, коли механізм буде працювати в циклічному режимі.

Результат
Основним результатом (виходом) процесу оцінки ризиків є перелік всіх потенційних ризиків з їх кількісними та якісними оцінками збитків і можливості реалізації. Даний перелік ризиків має великий об’єм, тому виникає питання, чи потрібно захищатися від усіх ризиків?

Необхідно визначити перелік особливо небезпечних ризиків, мінімізації яких слід приступити негайно і мінімізація яких підвищить рівень безпеки організації. Тобто мова йде лише про розуміння, скільки ризику організація готова взяти на себе і якому вона піддається ризику в дійсності.

Що робити з рештою ризиками? Швидше за все, їх мінімізація, не потрібно, оскільки вартість заходів щодо їх мінімізації може перевищити збитки від цих ризиків. Ось чому основним завданням стає визначення логічної межі між ризиками, які вимагають мінімізації, і залишковими ризиками. На початку побудови системи IT-безпеки ця межа може мати високий рівень, подальше зниження границі можливо при проведенні робіт з IT-безпеки, але необхідно визначити той момент, коли її подальше зниження стане збитковим для організації. Інакше не можна виключати перехід у стан, коли заходи щодо захисту інформації будуть працювати самі на себе. Для оцінки даної кордону необхідно чітко оцінювати свої ресурси та можливі витрати. Додатковим результатом процесу оцінки ризиків є перелік ризиків інформаційної безпеки, які не будуть відслідковуватися в організації, але на наступному циклі аналізу ризиків будуть оцінені. Всі дані, важливі з точки зору управління ризиками, моделюються, наприклад, за допомогою цього програмного забезпечення ARIS.

Інструментарій під назвою «Портал ризиків» (Process risk portal) забезпечує користувачеві проведення графічного аналізу та оцінки ризиків процесів. Крім того, процеси всередині компанії стають прозорими, а дані по управлінню ризиками — загальнодоступними, що і допомагає співробітникам виконувати постійний моніторинг існуючих ризиків і виявляти нові. Як правило, цикл управління ризиками інформаційної безпеки має квартальний період, що, з одного боку, забезпечує реакцію системи на зміну зовнішніх умов, а з іншого — скорочує витрати на дані роботи.

На основі оцінок ризику вибираються необхідні методи та засоби управління інформаційною безпекою. Для нашого прикладу: якщо величина і можливість збитків для ризику «Витік інформації про клієнтів до конкурентів» досить велика, доцільно намітити заходи по мінімізації ризику — планування процесу оперативного оновлення (установка «латочок»), формування регламентів доступу до інформації про клієнтів, впровадження засобів захисту від витоків конфіденційних даних і т. д.

Мета процесу планування заходів з мінімізації ризиків — визначення термінів та переліку робіт щодо виключення або зведення до мінімуму збитків у випадку реалізації ризику. Даний процес дозволяє сформулювати хто, де, коли і якими ресурсами буде мінімізувати певні ризики. Результатом (виходом) процесу планування є план-графік робіт щодо виключення або мінімізації збитків від реалізованого ризику. Наприклад, «До 10.10.08 встановити пакет оновлень Service Pack 3 для операційної системи Windows XP на всі робочі станції компанії. Відповідальний: Іванов В. І.».

Які проблеми можуть виникнути?
Практика показує, що більшість заходів знаходиться в площині організаційних рішень, тоді як технічні заходи захисту не є превалюючими. Надалі необхідно проводити агрегацію заходів для того, щоб один захід «закривав» кілька ризиків одночасно, що мінімізує витрати і вимагає менше ресурсів для контролю.

Однак більшість компаній починає установку технічних рішень без попередньої оцінки ризиків, визначення цілей IT-безпеки та її впливу на бізнес-процеси, що призводить до негативного впливу на бізнес-процеси і втрати контролю над ними. Можна встановити в компанії різні засоби мережного захисту, контролю фізичного доступу і т. п., після чого перебувати в спокійному стані, вважаючи, що всі необхідні заходи щодо забезпечення IT-безпеки прийняті. Однак незабаром конфіденційна інформація знову опиняється у конкурентів або співробітник «випадково» стирає матеріали проекту і т. п. Ці факти показують, що проблема IT-безпеки є не тільки технічної, але і управлінської. Більшість ризиків можна мінімізувати управлінськими рішеннями, розглядаючи ризики в якості операційних, а інші ризики мінімізувати програмними і апаратними засобами.

Мало зрозуміти, що, як і коли робити, однак потрібно реалізувати все заплановане точно в строк. Тому метою процесу реалізації заходів стає виконання запланованих заходів з мінімізації ризиків, контроль якості отриманих результатів і термінів їх виконання. Підсумок цього процесу — виконані роботи по мінімізації ризиків і час їх проведення. Доцільно спланувати свою діяльність на випадок виникнення критичної ситуації або ризику. Введення в дію процесів, передбачених на екстрений випадок, дозволить не допустити збитки або мінімізувати їх, а також відновити господарську діяльність як можна швидше.

Основна складність — не створити план-графік (оскільки подібна робота пов’язана з аналізом ризиків та формування заходів, необхідних для його мінімізації і запобігання), а виконувати план-графік, виділяючи фінансові ресурси, призначаючи та мотивуючи відповідальних за конкретні заходи.

Однак, визначаючи заходи, треба весь час пам’ятати: IT-безпека повинна гарантувати, що будуть досягнуті наступні цілі. По-перше, конфіденційність інформації, критично важливою для організації або для прийняття рішення. По-друге, цілісність інформації та пов’язаних з нею процесів (створення, введення, обробки і виведення). По-третє, оперативна доступність інформації у будь-який момент часу. По-четверте, можливість накопичення інформації, тобто збереження попередніх варіантів. По-п’яте, врахування всіх процесів, пов’язаних з інформацією.

У багатьох компаніях системи інформаційної безпеки будуються за принципом «все заборонити», що викликає незручності в роботі співробітників, а найважливіше — може служити причиною уповільнення розвитку компанії, оскільки корпоративні знання перестають бути доступними. Необхідно знайти золоту середину між обмеженнями, пов’язаними із заходами IT-безпеки, і свободою обміну інформацією всередині і поза компанією. Головне, щоб безпека не перетворилася із засобу в мету. Часто замість того, щоб дотримуватися принципу, що передбачає збереження поточної ситуації завжди, коли це припустимо, співробітники, що відповідають за IT-безпеку, займають формальну позицію і по максимуму мінімізують можливості користувачів.

Як правило, велика кількість заборонних заходів породжує способи обміну інформацією в обхід захищених каналів, що зводить всі зусилля щодо забезпечення захисту даних до нуля, тобто бізнес-процеси компанії перебудовуються, обходячи всі заборонні заходи.

Оцінка ефективності
Наступний цикл аналізу ризиків дозволяє визначити, які заходи ефективні для мінімізації і запобігання ризиків, а які ні. На основі аналізу ефективності можна коригувати розуміння ризику, його оцінки і необхідних дій. Крім того, аналіз ефективності надасть можливість побачити мінімізацію параметрів уразливості і збитки для всіх ризиків, що в цілому посилить режим IT-безпеки.

Оцінка ефективності системи управління IT-безпекою — це системний процес отримання і оцінки об’єктивних даних про поточний стан систем, дії і події, що відбуваються в ній, що встановлює рівень їх відповідності певним критеріям. На цій стадії виконується моніторинг заздалегідь установлених заходів, націлених на зменшення обсягу збитку або частоти появи ризиків. Результати зазначеного процесу можуть використовуватися в цілях аудиту для підготовки компанії до сертифікації за стандартом ISO/IEC 27001:2005.

Для координації робіт по управлінню ризиками потрібні наступні організаційні заходи: розробка концепції IT-безпеки, створення комітету з IT-безпеки (включає топ-менеджерів компанії), виділення відповідального, визначення бюджету на роботи, формування процесу управління та регламенту, призначення експертів з предметним областэм для надання інформації по бізнес-процесам та ризиків, визначення схем мотивування для що беруть участь в роботах. Також не можна забувати, що для забезпечення работающеҳо процесу управління IT-безпекою дуже критична організаційна складова.

На закінчення слід зазначити, що побудова ефективної системи IT-безпеки в компанії — складний і безперервний процес, від якого залежить життєздатність бізнесу. Для грамотного побудови такої системи треба залучати до участі в її створенні топ-менеджмент, IT-фахівців, консультантів з даної тематики, технічних експертів. Одним з важливих етапів побудови системи IT-безпеки є створення ефективного механізму управління ризиками, що дозволить приймати обґрунтовані рішення в даному напрямку. Хотілося б відзначити, що заходи з IT-безпеки можуть накладати обмеження, але треба чітко уявляти собі необхідність даних обмежень і намагатися знаходити компроміси.

Джерело CitCity