Бытует мнение, что управление рисками — удел топ-менеджеров либо сотрудников специализированных подразделений, риск-менеджеров, аналитиков. Однако на деле все обстоит по-иному. Регулирование, а тем более оценка рисков являются прикладными задачами. И сфера информационной безопасности (ИБ) не исключение. Специалисты в области ИБ должны скрупулезно отслеживать возникающие угрозы, анализировать связанные с ними риски и представлять руководству уже готовый отчет-план, какими средствами бороться за сохранность корпоративных данных.
Ключевые положения
Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого — распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.
Важно различать понятия единичного и приведенного убытков. Единичный убыток — это расходы на один инцидент. Приведенный убыток учитывает количество конкретных инцидентов безопасности за некоторый промежуток времени, обычно за год. Если единичные и приведенные убытки путать, полученные результаты будут иметь мало общего с действительностью.
В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.
Топ-менеджеры гораздо лучше понимают бизнес-язык, поэтому сотрудникам подразделений ИБ надо научиться составлять элементарный бизнес-план. На основе данных количественного анализа рисков следует определять возможные финансовые потери, расходы на приобретение и эксплуатацию системы безопасности, а затем рассчитывать экономический эффект мероприятий. Лучше предоставлять несколько вариантов решений и составлять смету для каждого.
Качественный анализ
Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей — трехступенчатая. Каждый фактор оценивается по шкале “низкий — средний — высокий”.
Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.
При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения — отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.
Для примера качественного метода покажем, как работать с пятиуровневой моделью. Оцениваем все факторы риска и делим их на пять категорий. После этого исключаем из списка критические угрозы пятого уровня и анализируем оставшиеся факторы. Таким образом, расширенная пятиступенчатая модель риска сохраняет быстроту качественного анализа, но позволяет точнее определить степень угрозы. Более того, можно сразу устранить либо снизить угрозы пятой категории как наиболее опасные. А после этого заново провести анализ и опять начать работать с рисками пятой группы.
Количественный анализ
Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.
Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.
Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.
Подсчет рисков
Говоря о практических аспектах анализа, нельзя не упомянуть расчет рисков. В его состав входят две величины — единичный и приведенный ущерб инцидента. Единичный ущерб (ЕУ) определяют как произведение вероятности события и номинального убытка. ЕУ дает представление о величине потерь, однако спрогнозировать убытки на некоторое время вперед трудно. Поэтому с практической точки зрения полезнее знать приведенную величину ущерба.
Приведенный ущерб (ПУ) — это произведение ЕУ и числа инцидентов за определенный период, который обычно принимают равным году. Исходя из годового прогноза, можно экстраполировать или интерполировать результат на другие промежутки времени.
Продемонстрируем разницу между ЕУ и ПУ на примере. Допустим, компания участвует в тендере из шести этапов стоимостью в 1 млн. долл. каждый и три этапа проиграла. Анализ неудач показал, что конкуренты были знакомы с предложением фирмы, поэтому смогли выставить лучшие условия. Таким образом, налицо угроза инсайдеров. В данном примере компания может потерять 1 млн. долл. Вероятность того, что инсайдеры “сольют” информацию, на основе исторической выборки (три случая из шести) составляет 50%. Таким образом, ЕУ равняется 500 тыс. долл.
Очевидно, фирма попытается предпринять какие-то шаги, чтобы повысить шансы на успех. При разработке контрмер необходимо точно знать ущерб. Если использовать неверное значение, результат будет некорректным. К примеру, в течение года компания участвует в шести тендерах с одинаковым призовым фондом, значит, число рисков равняется шести. И действительное значение годовых потерь ПУ равняется произведению ЕУ и числа рисков, т. е. 3 млн. долл. Пусть, на снижение риска внутренних угроз необходимо потратить 400 тыс. долл. Отдавать 400 тыс., чтобы повысить вероятность заработать 500 тыс., не всегда рационально. Зато в течение года 400 тыс. инвестиций помогут заработать не 500 тыс., а 3 млн.
Оценивая рентабельность средств защиты, нужно помнить о совокупной стоимость владения (ССВ) ими. Вернемся к рассмотренному примеру.
Как мы отметили, в компании явно существует проблема утечки информации. Возможно, права доступа плохо разграничены, пользователи используют слабые пароли, контроль доступа не осуществляется. Допустим, стоимость новых серверов и ключей доступа для работников составляет 80 тыс. долл. и 20 тыс. стоит ПО. На первый взгляд затраты на внедрение всей системы составят 100 тыс. долл., однако это только цена компонентов системы. Когда начнут собирать компоненты, настраивать и запускать комплекс, расходы значительно вырастут, потому что каждый этап требует немало сил и рабочего времени сотрудников. Наверняка снизится эффективность труда, пока персонал будет приспосабливаться к новому порядку авторизации. Кроме того, готовую систему требуется обслуживать. Поэтому общая стоимость владения новыми средствами защиты будет выше, чем цена их отдельных составляющих.
Заключение
В сфере ИБ постоянно возникают новые угрозы, соответственно в организациях всё время должны совершенствоваться и меры защиты. Топ-менеджеры не могут сами отслеживать эти изменения. Если департамент ИБ не докладывает о нарастающих внутренних угрозах, способных привести к ощутимым убыткам, откуда об этом узнает руководство? Таким образом, часть работы сотрудников ИБ состоит в том, чтобы отслеживать угрозы и докладывать о них начальству, которое принимает стратегические решения. Это несложно. Тем более что проблемы безопасности широко освещаются в прессе, обсуждаются на конференциях и деловых встречах. Немало отчетов о разного рода инцидентах подготовили Секретная служба США, CERT, Ponemon Institute, InfoWatch и другие эксперты в области ИБ.
Еще одним аспектом работы над ИБ-проектом является выбор адекватного инструмента. Когда сотрудники подразделения ИБ выявляют угрозу, требуется сначала найти ее истинные причины. Изучить последствия недостаточно, нужно смотреть шире рамок конкретного инцидента. Комплексное решение зачастую поможет справиться не только с нынешними, но и с будущими угрозами. В то же время в некоторых случаях большие траты неоправданны, стрелять из пушки по воробьям не нужно. Порой будет достаточно ограничить доступ конкретного сотрудника к конкретным конфиденциальным ресурсам, Интернету, закрыть USB-порты на компьютере и т. п. И тогда уже не будет нужды отслеживать его деятельность, работник уже не сможет скопировать секретные документы. Наблюдать надо за теми пользователями, которые имеют доступ к критическим данным.
Часто сотрудники, которые отвечают за ИБ, жалуются, что руководство их плохо финансирует. Однако на деле выясняется, что в большинстве таких случаев диалог сводится к простому обмену репликами, исполнитель просит столько-то денег, начальство отказывает. Оперируя цифрами, легко показать, сколько можно сэкономить и на чем выиграть от дополнительных инвестиций в безопасность. Если много говорить о проблемах и угрозах, не опираясь на факты, очень скоро на это перестанут обращать внимание. Многие сотрудники подразделений ИБ не готовы или просто не умеют подготовить экономическое обоснование затрат. Когда сотрудники ИБ и бизнес-управленцы смогут говорить на одном языке, сотрудничество получится более продуктивным. Если собрать свидетельства, подкрепить их отчетами аналитиков и представить четкий бизнес-план, как устранить угрозу, тогда будет легче убедить руководство в необходимости принять соответствующие меры. Простая схема действий специалистов ИБ, которая поможет найти им общий язык с руководством и обеспечить защиту корпоративных ресурсов, представлена в таблице.
| Изучить инцидент(ы) | Технический анализ |
| Локализовать проблему, выявить уязвимости | |
| Предложить возможные пути решения | |
| Подготовить бизнес-план для каждого решения | Бизнес-проект |
| Сравнить эффективность и стоимость решений, выбрать оптимальное | |
| Внедрить выбранное решение | ИТ-проект |
