Основные этапы управления рисками

Технические и организационные уязвимости могут  быть выявлены посредством применения методов сбора информации о характеристиках  информационной системы. Предварительно проведенный обзор источников информации об уязвимостях, таких как сайты  производителей и групп реагирования, помогает подготовить вопросники и контрольные перечни, целенаправленно проводить интервью.

Тестирование  является проактивным средством  безопасности. Тестовый инструментарий включает:

• автоматические средства сканирования;
• средства тестирования и оценки;
• тестирование проникновением.

Идентификация угроз

К идентификации угроз можно  подходить двояко, отправляясь либо от уязвимостей ИС, либо от возможных  источников угроз. Уязвимости рассматривались  выше, сосредоточимся теперь на источниках угроз, которые можно подразделить на природные, людские и принадлежащие окружению ИС.

К числу природных угроз принадлежат  наводнения, землетрясения, ураганы, обвалы, лавины, грозы и другие стихийные  бедствия.

От людей могут исходить случайные и умышленные действия. К числу первых принадлежат ошибки и упущения, к числу вторых — сетевые атаки, внедрение вредоносного программного обеспечения, несанкционированный доступ и т.п.

В роли внешних злоумышленников  могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

От окружения ИС могут исходить угрозы долговременного отключения электропитания, загрязнение окружающей среды, разного рода утечки и протечки и т.п. Как показывает опыт, возможны и более серьезные происшествия — обрушение зданий, взрыв газа и т.п.

С практической точки зрения угроз  и их источников бесконечного много, однако, с другой стороны, весьма важна полнота их идентификации, так как неожиданные угрозы наносят особенно крупный ущерб. Например, информационной системе, расположенной в пустыне, не грозит природное наводнение, однако разрыв водопроводной трубы может привести к затоплению ИС, так что угроза затопления должна входить в число рассматриваемых.

Анализ регуляторов  безопасности

Основная цель анализа регуляторов  безопасности — определить, удовлетворяют  ли существующие и планируемые контрмеры  предъявляемым к ИС требованиям  безопасности. Попутно определяются вероятности реализации идентифицированных угроз с учетом нейтрализующего действия регуляторов безопасности.

Определение вероятностей

При определении вероятности того, что потенциальная уязвимость может  быть использована в конкретном окружении, необходимо рассмотреть следующие факторы:

• мотивация и вооруженность ресурсами источника угрозы;
• природа уязвимости;
• наличие и эффективность контрмер.

Вероятность можно оценить по трехбалльной шкале как низкую, умеренную или высокую.

Анализ воздействия

Предварительным условием проведения анализа воздействия является получение  следующих сведений:

• миссия информационной системы организации (то есть процессы, выполняемые ИС);
• критичность систем и данных (то есть ценность и важность систем и данных для организации);
• чувствительность систем и данных.

Воздействие, как и вероятность, можно оценить по трехбалльной шкале.

Определение рисков

Для определения рисков можно, оставаясь в рамках трехбалльной шкалы, выбрать для вероятностей реализации угроз значения 0.1, 0.5 и 1.0, а для уровней воздействия — 10, 50 и 100. Тогда, если произведение вероятности на воздействие не превосходит 10, риск можно считать низким. Значения от 10 до 50 соответствуют умеренному риску, свыше 50 — высокому.

Высокий риск требует незамедлительного  планирования и реализации корректирующих действий. Если по какой-либо причине  планирование или реализация затягиваются, может ставиться вопрос о приостановке работы ИС или ее частей.

Умеренный риск также требует планирования и реализации корректирующих действий за разумный период времени.

При низком риске следует решить, нужны ли какие-то корректирующие действия, или можно принять риск.

Рекомендуемые контрмеры

Назначение рекомендуемых контрмер заключается в том, чтобы нейтрализовать (в достаточной степени уменьшить  или устранить) идентифицированные риски. При планировании дополнительных регуляторов безопасности обязательно  следует учитывать следующие факторы:

• совместимость с существующим аппаратно-программным обеспечением;
• соответствие действующему законодательству;
• соответствие практике организации, ее политике безопасности;
• воздействие на эксплуатационное окружение;
• безопасность и надежность.

Рекомендуемые контрмеры являются результатом процесса оценки рисков и, одновременно, входными данными для  процесса нейтрализации рисков.

Результирующая документация

Отчет с результатами оценки рисков помогает руководству организации, владельцам информационных систем принимать обоснованные решения по изменению политики, процедур и регуляторов безопасности, по корректировке бюджета и т.п. В отличие от результатов работы аудиторов, которые заботятся, прежде всего, о выявлении недостатков, отчет об оценке рисков не должен носить обвинительного характера. Нужен систематический, аналитический подход, чтобы высшее руководство осознало имеющиеся риски и выделило на их нейтрализацию необходимые ресурсы.

Нейтрализация рисков

Нейтрализация рисков — вторая фаза процесса управления рисками — включает определение приоритетов, оценку и  реализацию контрмер, уменьшающих риски  и рекомендованных по результатам  оценки рисков.

Поскольку полное устранение рисков невозможно и/или бессмысленно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.

В процессе управления рисками могут  использоваться различные возможности:

• принятие риска;
• уклонение от риска (ликвидация причин и/или последствий риска, например, путем добавления регуляторов безопасности, устранения небезопасных функций ИС, приостановки работы ИС в небезопасных ситуациях и т.п.);
• ограничение (нейтрализация) риска (например, путем реализации контрмер, уменьшающих воздействие угроз);
• переадресация риска (например, путем приобретения страхового полиса).

С практической точки зрения нет  смысла и возможности учитывать  все риски; их следует ранжировать, выделив наиболее опасные для миссии организации или грозящие наиболее крупными потерями.

Действия  по управлению рисками могут производиться  на различных этапах жизненного цикла  информационной системы, а именно:

• при выявлении дефекта или слабого места целесообразно применить меры, повышающие доверие безопасности ИС, чтобы устранить обнаруженные уязвимости и уменьшить вероятность появления новых;
• при выявлении уязвимости, допускающей использование, целесообразно применить эшелонированную оборону, другие принципы архитектурной безопасности или нетехнические контрмеры, чтобы затруднить или воспрепятствовать использованию уязвимости;
• в ситуациях, когда затраты атакующего меньше потенциальной выгоды от атаки, целесообразно принять меры для уменьшения мотивации источника угрозы путем увеличения стоимости или уменьшения выгоды от атаки (например, может быть применен административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, после чего выгода от атаки на ИС должна существенно уменьшиться);
• в ситуациях, когда ущерб слишком велик, целесообразно применить принципы проектирования и архитектурной безопасности, а также технические и организационные контрмеры, чтобы уменьшить возможный масштаб атак и, следовательно, снизить потенциальный ущерб от них (и здесь административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, может оказаться самым эффективным способом управления рисками).

Основное правило управления рисками  можно сформулировать следующим образом: начните с наибольших рисков и стремитесь к их уменьшению до приемлемого уровня при минимальных затратах и с минимальным воздействием на другие возможности информационной системы организации.

Реализацию  приведенного правила целесообразно  оформить в виде процесса со следующими шагами:

• Шаг 1 — ранжирование действий. При выделении ресурсов высший приоритет должен отдаваться неприемлемо высоким рискам, требующим немедленных корректирующих действий. Результат шага 1 — упорядоченный по убыванию приоритетов перечень действий.
• Шаг 2 — оценка возможных способов реализации рекомендованных контрмер. Цель состоит в том, чтобы выбрать наиболее подходящие контрмеры, минимизирующие риски. Результат шага 2 — список пригодных регуляторов безопасности.
• Шаг 3 — оценка экономической эффективности, выбор наиболее практичных контрмер. Результат шага 3 — отчет об экономическом анализе, описывающий затраты и выгоды от реализации контрмер или от отсутствия таковой.
• Шаг 4 — выбор контрмер. По результатам технического и экономического анализа руководство организации выбирает оптимальный способ нейтрализации рисков. Результат шага 4 — список выбранных регуляторов безопасности.
• Шаг 5 — распределение обязанностей. Выбираются должностные лица, обладающие достаточной квалификацией для реализации выбранных контрмер. На этих сотрудников возлагаются обязанности по реализации регуляторов безопасности. Результат шага 5 — список ответственных и их обязанностей.
• Шаг 6 — разработка плана реализации контрмер. План должен содержать по крайней мере следующие сведения:
• риски (пары уязвимость/угроза) и их уровни, полученные в результате оценки рисков;
• рекомендованные регуляторы безопасности;
• действия, упорядоченные по приоритетам (высший приоритет получают действия, направленные на нейтрализацию самых высоких рисков);
• регуляторы безопасности, выбранные из числа рекомендованных;
• ресурсы, необходимые для реализации выбранных регуляторов безопасности;
• список ответственных за реализацию выбранных контрмер;
• календарный план реализации контрмер;
• требования к сопровождению. Результат шага 6 — план реализации контрмер.
• Шаг 7 — реализация выбранных контрмер. Результат шага 7 — остаточные риски.

Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков. При вычислении затрат на реализацию регуляторов безопасности следует учитывать:

• затраты на приобретение аппаратного и программного обеспечения;
• снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
• затраты на разработку и реализацию дополнительных политик и процедур;
• дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
• затраты на обучение персонала;
• затраты на сопровождение;

Возможный формат отчета об оценке рисков

Отчет об оценке рисков может иметь следующий формат.

• Краткое содержание.
• Введение.
• Цель.
• Область охвата оценки рисков. Описываются компоненты информационной системы, ее пользователи, расположение удаленных производственных площадок (при наличии таковых) и т.п.
• Подход к оценке рисков. Кратко описывается выбранный подход к оценке рисков, в том числе:
• состав группы, оценивающей риски;
• методы сбора информации (вопросники, инструментальные средства и т.п.);
• описание применяемой шкалы рисков.
• Характеристика системы. Описывается система, включая аппаратуру (серверы, активное сетевое оборудование и т.д.), программное обеспечение (приложения, базовое ПО, протоколы), системные интерфейсы (коммуникационные каналы), данные, пользователи. Приводится диаграмма связности, входные и выходные потоки данных.
• Перечень уязвимостей. Составляется список потенциальных уязвимостей, возможно, присутствующих в оцениваемой системе.
• Перечень источников угроз. Составляется список потенциальных источников угроз, актуальных для оцениваемой системы.
• Результаты оценки рисков. Приводится перечень выявленных рисков (пар уязвимость/угроза). Каждый элемент данного перечня должен включать:
• номер и краткое описание (например: 1. Пользовательские пароли могут быть угаданы или подобраны);
• обсуждение пары уязвимость/угроза;
• набор существующих регуляторов безопасности, уменьшающих риск;
• обсуждение вероятности реализации угрозы и ее оценка (высокая, умеренная, низкая);
• анализ воздействия, его оценка (высокое, умеренное, низкое);
• оценка (рейтинг) рисков (высокий, умеренный, низкий);
• рекомендуемые регуляторы безопасности или иные способы снижения рисков.
• Выводы. Приводится сводка рисков и их уровней, рекомендации и комментарии, разъясняющие реализацию рекомендованных контрмер в процессе нейтрализации рисков.