Как установить приоритеты при обеспечении информационной безопасности

АНАЛИЗ РИСКОВ

Рассмотрим задачу обеспечения информационной безопасности (ИБ) с точки зрения высшего руководства компании и руководителя ИТ-подразделения (или руководителя выделенного подразделения, отвечающего за ее обеспечение).

Каковы общие требования к состоянию защищенности информационной системы (ИС) у топ-менеджеров компании и у руководителя бизнес-подразделения? Это в первую очередь обеспечение:

· конфиденциальности финансовой информации, личной почтовой переписки, информации о проектах и/или заказчиках;

· непрерывности ведения бизнеса;

· выполнения обязательств перед клиентами;

· требований законодательства.

И все это желательно удовлетворить при минимальных затратах.

Однако руководители, ответственные за ИБ, часто говорят на языке технологий, не совсем понятном топ-менеджерам. В результате складывается ситуация определенного несоответствия между ожиданиями руководства бизнес-подразделений и предложениями тех, кто отвечает за ИБ. Это приводит к отсутствию корреляции между бизнес-потребностями, которые являются первичными, и технологическими потребностями по обеспечению ИБ, которые по определению должны поддерживать бизнес. Как следствие - не удается выявить все критичные для бизнеса организации ресурсы и акцентировать внимание именно на их защите.

Анализ соотношения бизнес-рисков и рисков технологических позволяет добиться взаимопонимания между высшим руководством компании и руководителями ИБ, что в итоге ведет к оптимизации и прозрачности затрат на обеспечение информационной безопасности. Иными словами, такая работа позволяет сопоставить низкоуровневые (технологические) риски, связанные, в частности, с настройками какого-либо сервера в ИС или отсутствием средств защиты, с высокоуровневыми бизнес-рисками, например с разглашением информации о клиентах. Подобное сопоставление позволяет выявить критичные ресурсы ИС и определить требования к обеспечению ИБ для данных ресурсов, соотнести затраты на выполнение этих требований с потенциальными потерями для бизнеса.

Риск - это возможность того, что через уязвимые места ИС будет реализована угроза информационной безопасности и произойдет потеря или повреждение активов (ресурсов). Риск измеряется величиной потенциального ущерба и вероятностью нанесения такого ущерба (ISACA). Анализ и управление рисками - это процесс идентификации уязвимых мест и угроз в отношении ресурсов ИС и выработка контрмер для снижения рисков до приемлемого уровня, с учетом ценности ресурсов для организации.

Не всегда между специалистами бизнес-, ИТ- и ИБ-подразделений существует отлаженное взаимодействие. Но без объединения усилий для системного подхода к решению задачи по соотнесению бизнес-рисков с технологическими нельзя гарантировать, что будут учтены все риски и соответственно выявлены все критичные ресурсы в ИС.

Обеспечение ИБ требует финансовых вложений. При этом возврат инвестиций от таких вложений не всегда очевиден. Сопоставление бизнес-рисков с рисками технологическими, выявление наиболее критичных ресурсов в ИС, угроз нарушения ИБ, оценка последствий от реализации угроз для деятельности организации, иными словами - анализ рисков может стать обоснованием финансовых вложений в обеспечение безопасности.

Сегодня для обоснования приобретения, например, системы антивирусной защиты не требуется каких-либо глубоких выкладок. Публикации о многомиллиардных убытках от атак компьютерных вирусов все чаще и чаще появляются в СМИ. Никому не хочется вносить свой вклад в эти миллиарды. Фактически такие публикации выполняют роль связующего звена между информационными технологиями и бизнес-деятельностью и являются своего рода обоснованием финансовых вложений в ИБ. В менее очевидных ситуациях, но не менее важных с точки зрения обеспечения информационной безопасности таким связующим звеном могут выступать результаты анализа рисков.

При проведении анализа рисков выполняются следующие основные работы.

Инвентаризация и классификация ресурсов (активов). Составляется перечень всех ресурсов в ИС и определяется их значимость в качественном или количественном виде.

Построение модели угроз и модели потенциального злоумышленника. На этом этапе составляется перечень угроз, проводится их формализованное описание, описание источников этих угроз (потенциального злоумышленника) и механизмов реализации. От того, какая будет принята модель угроз и злоумышленника, зависит очень многое, и в первую очередь стоимость системы защиты. Действительно, разница в построении и затратах на систему ИБ очевидна, если в качестве потенциального злоумышленника принимается: 1) внешняя персона, не имеющая какой-либо определенной мотивации на несанкционированные действия, но способная использовать общедоступный инструментарий для реализации атак, и 2) конкурирующая организация, заинтересованная в конкурентной разведке. Строить же систему защиты, ориентируясь на все возможные угрозы, бессмысленно как с технологической, так и с финансовой точек зрения.

Идентификация уязвимых мест в ИС. Ориентируясь на выбранную модель угроз и потенциального злоумышленника, осуществляется идентификация и описание уязвимостей, существующих в ИС. Необходимо понимать, наличие какой уязвимости связано с реализацией определенной угрозы, так как эта взаимосвязь будет использоваться на двух последующих этапах анализа рисков.

Оценка последствий от реализации угроз. Этап, результаты которого должны стать основой для технологического и финансового обоснования системы защиты. Проводится оценка влияния нарушений, связанных с работой ИС и вызванных реализацией угроз, на деятельность организации (Business Impact Analysis). То есть проводится анализ сценариев типа "если, то", позволяющий получить представление о том, насколько сильна зависимость деятельности организации от функционирования ИС. Результатами этапа является перечень рисков и их качественная или количественная оценка. На рисунке приведена графическая зависимость между основными понятиями, используемыми при проведении анализа рисков.

Формирование требований по обеспечению ИБ. Зная уязвимые места, угрозы, имея представление об их последствиях, приступают к формированию требований к системе обеспечения информационной безопасности (СОИБ). Данные требования должны впоследствии стать основой при составлении технического задания на построение СОИБ. Выполнение требований по информационной безопасности, сформулированных на этом этапе, должно снизить риски нарушения ИБ до приемлемого уровня.

Взаимосвязь между основными понятиями анализа рисков

Повторим: для того чтобы результаты анализа рисков были объективными и охватывали интересы по защите информации всей организации, необходимо активное совместное участие представителей бизнес- и технологических подразделений на всех этапах анализа рисков. Очень часто анализ рисков нарушения ИБ понимается как сугубо технологическая задача, и это является одной из причин того, что результаты такого анализа не удовлетворяют лиц, ответственных за принятие решений.

При проведении инвентаризации и классификации ресурсов оценку их значимости для организации необходимо давать на основании всестороннего анализа данных владельцев и потребителей ресурса. Для разных категорий ресурсов (информационных, сервисных, программно-аппаратных, людских) их значимость может определяться исходя из различных критериев. Например, если за работоспособность Интернета отвечает отдел системного администрирования, для которого критичное время простоя этого сервиса составляет 48 ч, то для отдела, использующего Интернет для выполнения ежедневных производственных задач, допустимое время простоя данного сервиса может быть существенно меньше. Также необходимо учитывать взаимосвязь между ресурсами. Если для сервиса электронной почты, реализуемого в том числе с использованием Интернета, предъявляются более строгие требования, это должно найти отражение и для всех ресурсов, связанных с электронной почтой. Формирование единой шкалы ценностей ресурсов ИС, которая может зависеть от уровня конфиденциальности информационного ресурса, максимального допустимого времени простоя, затрат на получение ресурса и т. д. и которая принимается всеми заинтересованными подразделениями, является основной задачей этапа инвентаризации и классификации ресурсов.

Оценка последствий от реализации угроз - ключевой этап анализа рисков. И здесь, с одной стороны, подразделение, отвечающее за информационную безопасность, должно четко определить, какие ресурсы ИС потенциально подвержены внешнему или внутреннему негативному воздействию и каковы могут быть результаты такого воздействия. Подразделение, отвечающее за ИБ, должно определить возможность каждой угрозы на основании анализа уязвимых мест в ИС и модели потенциального злоумышленника. С другой стороны, подразделения, имеющие непосредственное отношение к бизнес-деятельности организации, должны определить результаты негативного воздействия на ресурс уже в терминах бизнеса (финансовые потери, ухудшение имиджа компании, уход текущих и потенциальных заказчиков и др.). При этом возможность реализации и оценка результатов может осуществляться как по качественной шкале, так и в количественном виде.

В случае, если в организации ведется подробная статистика по инцидентам, связанным с нарушениями ИБ, то, используя ее данные и результаты количественного анализа рисков, нетрудно спрогнозировать потенциальный ущерб для определенного промежутка времени. Очевидно, что вложения в ИБ не должны превышать сумму потенциального ущерба.

В некоторых случаях принято заканчивать анализ рисков на оценке допустимых негативных последствий. Но при таком подходе отсутствует элемент, связывающий результаты анализа рисков с дальнейшими работами по обеспечению ИБ. А так как за проведением анализа рисков должно следовать проектирование и внедрение СОИБ, то, используя результаты этапа "Оценка последствий от реализации угроз", можно сформировать требования к СОИБ. Последние следует формировать исходя из того, что все идентифицированные риски должны быть снижены (перенесены, устранены) до некоторого уровня, приемлемого для организации.

Работы по анализу рисков нарушения ИБ могут проводиться как собственными силами, так и с привлечением внешних консультантов. При проведении анализа рисков собственными силами необходимо учитывать загруженность своих сотрудников и, возможно, недостаток у них времени на адаптацию методик анализа рисков и изучение существующих стандартов в данной области. Дополнительно в составе рабочей группы, проводящей анализ рисков, необходим менеджер достаточно высокого уровня, который бы имел возможность согласовывать работу на уровне руководителей ИТ, ИБ и бизнес-подразделений. Отсутствие в составе рабочей группы такого человека может затруднить получение необходимой информации и снизить доверие к результатам анализа. Из положительных моментов можно отметить относительно невысокую стоимость такой работы и сохранение внутри организации информации об уязвимых местах ИС, используемых мерах и средствах защиты.

При проведении анализа рисков с привлечением внешнего консультанта к задаче выбора компании-консультанта нужно подходить очень тщательно и в первую очередь исходить из специфики деятельности компании и используемых информационных технологий. У компании-консультанта должен быть штат сотрудников необходимой квалификации и опыт работы с организациями в вашей отрасли. При таком подходе к проведению работы информация об используемых технологиях ИБ будет доступна сторонней компании, и этот аспект следует учитывать при формировании договорных отношений. Из положительных моментов можно отметить то, что консультант имеет опыт работы со многими заказчиками, что поможет избежать общеизвестных ошибок и использовать только хорошо себя зарекомендовавшие решения. Консультант обладает методиками, способен выделить на работу необходимые ресурсы, что позволит повысить качество и сократить сроки проекта. Зачастую рекомендации внешнего консультанта имеют больший вес для руководства компании, так как они претендуют на независимость и объективность.

В заключение хотелось бы отметить аспект, связанный с востребованностью анализа рисков. Процесс обеспечения ИБ носит циклический характер. При этом для организаций с разным уровнем развития ИТ количество этапов в таком цикле может существенно различаться. Для некоторых организаций вполне достаточно базовых механизмов безопасности. Действительно, если небольшой компании, в которой используется электронная почта и Интернет, имеется несколько файловых серверов и небольшая бухгалтерская система, а весь ИТ-персонал - это два системных администратора, предложить работу по проведению анализа рисков, то такое предложение может не найти понимания. А дать какие-либо четкие критерии идентификации организации, для которой проведение анализа рисков целесообразно, довольно сложно. Единственное, что можно сказать уверенно: если в вашей компании существует понимание высокой зависимости вашего бизнеса от используемых информационных технологий (независимо от размера организации), то результаты анализа рисков будут интересны и помогут построить систему обеспечения ИБ, адекватную реальным угрозам, позволят оптимизировать финансовые вложения в данное направление.

С автором, экспертом по информационной безопасности (CISSP, CISA), можно связаться по адресу: AAlminderov@IBS.RU