Сегодня безопасность является одной из главных проблем информационных систем, как технологических, так и организационных уровней. Существуют многочисленные методики в сфере управления информационными рисками, предложенные сотнями руководствами и методиками.
Управление рисками — это процесс выявления, оценивания, отслеживания и устранения рисков до или во время их превращения в проблемы. Эта повторяющаяся деятельность, которая занимается анализом, планированием, контролем, мониторингом текущих измерений и обеспечением соблюдения политики безопасности.
Методы управления рисками состоят из руководящих принципов, которые помогают выявить уязвимые активы, определить цели безопасности, оценки рисков и определения и реализации требований безопасности для устранения рисков. Используя эти методы компании могут уменьшить потери, которые могут возникнуть в результате проблем в области безопасности.
В этой статье рассматриваются два метода управления информационными рисками:
- Руководство по управлению рисками для систем информационных технологий (Рекомендации Национального института Стандартов и технологий):
- Руководство по управлению рисками безопасности от Microsoft.
Причинами выбора этих справочников является их свободная доступность и известность организаций за ними.
- Оценка риска
Оценка риска является частью управления рисками, которая направлена на выявление, оценку рисков и планирование действий по борьбе с рисками. Организации используют оценку риска, чтобы определить степень потенциальной угрозы и связанного с ней риска от применения информационной системы в пределах всего своего жизненного цикла. Метод оценки рисков, как правило, состоит из четырех этапов: идентификации угроз, идентификации уязвимостей, определения рисков и рекомендации управления.
А. Национальный институт Стандартов и технологий
Руководство по управлению рисками для систем информационных технологий Национального института Стандартов и технологий имеет обширное руководство по оценке риска. По данным Национального института Стандартов и технологий, процесс оценки риска может состоять из девяти шагов. Общая схема методологии оценки риска представлена на таблице 1.
Таблица 1
Общая схема методологии оценки риска
|
Действия по оценке риска |
Результаты |
|
Шаг 1. Характеристика системы |
– Границы системы – Функции системы – Критичность системы и данных – Чувствительность системы и данных |
|
Шаг 2. Идентификация угроз |
– Формулировки угроз |
|
Шаг 3. Идентификация уязвимости |
– Перечень потенциальных точек уязвимости |
|
Шаг 4. Анализ контроля (управления) |
– Перечень текущих и планируемых мер по проведению контроля |
|
Шаг 5. Определение вероятности |
– Рейтинги возожности осуществления угроз |
|
Шаг 6. Анализ воздействия |
– Рейтинги воздействия угроз |
|
Шаг 7. Определение риска |
– Риски и уровни допустимых рисков |
|
Шаг 8. Рекомендации по контролю |
– Рекомендованные мероприятия по контролю |
|
Шаг 9. Документальное оформление результатов |
– Отчет по оценке рисков |
Первый шаг представляет собой характеристику системы. Для определения риска для ИТ-системы требуется понимание самой системы, информация о системе должна быть собрана из нескольких различных категорий. Как правило, этими категориями являются аппаратные средства, программное обеспечение, системные интерфейсы, данные и информация, лица, которые поддерживают и используют ИТ-систему, критичность системы и данных, а также чувствительность системы и данных.
Вторым шагом является идентификация угроз. Цель данного этапа заключается в выявлении источников потенциальной угрозы. Источником угрозы может быть определено любое обстоятельство или событие с потенциалом причинить вред ИТ-системе.
Третьим шагом является идентификация уязвимости. Цель этого шага состоит в том, чтобы разработать перечень уязвимостей системы, которыми могли бы воспользоваться потенциальные источники.
Цель четвертого шагасостоит в том, чтобы проанализировать средства управления, которые были осуществлены или запланированы к реализации в организации с целью минимизировать или устранить вероятность осуществления угрозы с использованием уязвимости системы.
Пятый шагпредставляет собой определение вероятности потенциальной уязвимости по отношению к злоупотреблениям. Шкала от низкого до высокого предоставляется для оценки уровня правдоподобия.
Шестой шаг— следующийважный шаг в измерении уровня риска, здесь определяется степень неблагоприятности воздействия в случае успешного осуществления угрозы уязвимости.
Цель седьмого шагасостоит в том, чтобы оценить уровень риска ИТ-системы. Используется матрица, позволяющая количественно оценить величину риска в зависимости от уровня возможности осуществления угрозы от уровня воздействия этой угрозы.
В ходе процесса восьмого шага создаются средства контроля и управления, которые могли бы смягчить или полностью устранить идентифицированные риски для поддержания соответствующих действий организации.
Шаг девять, будучи последним этапом анализа риска посвящен исключительно для документирования результатов процесса оценки риска. На выходе на конечной стадии должен быть отчет об оценке рисков, который описывает угрозы и уязвимости, меры риска и даются рекомендации по реализации управления. [2]
Б. Microsoft
Процесс управления рисками, предлагаемый корпорацией Майкрософт, содержит подробные рекомендации по оценке рисков и разбивает этап оценки рисков на следующие три шага: планирование, координированный сбор данных и приоритизация рисков. Вруководстве оценка риска определяется как процесс выявления и определения приоритетности рисков предприятия ИТ-безопасности для организации.
Планирование описывается как самый важный шаг процесса управления рисками, обеспечивающий одобрение со стороны заинтересованных лиц и их поддержку на протяжении всего процесса управления рисками. Основные задачи этапа планирования состоят в надлежащем согласовании этапа оценки рисков с бизнес-процессами, точном определении сферы действия оценки и получении одобрения заинтересованных лиц.
Координированный сбор данных. По завершении планирования необходимо собрать у заинтересованных лиц организации информацию, относящуюся к управлению рисками. В дальнейшем эта информация будет использоваться на этапе поддержки принятия решений. На этом шаге собираются следующие основные данные:
– Активы организации. Вся информация о важных для организации активах.
– Описание актива. Краткое описание каждого актива, его ценность и его владелец для облегчения общего понимания актива на этапе оценки рисков.
– Угрозы безопасности. Причины и события, которые могут оказывать на актив негативное влияние и приводить к потере конфиденциальности, целостности или доступности актива.
– Уязвимости. Слабости или отсутствие элементов контроля, которые могут использоваться для влияния на актив.
– Текущая среда контроля. Описание используемых в настоящее время элементов контроля и их эффективности в рамках организации.
– Предлагаемые элементы контроля. Предложения по снижения риска.
На этапе приоритизации рисков к формулировке влияния добавляется формулировка вероятности. В полной формулировке риска необходимо указать как влияние на организацию, так и вероятность возникновения соответствующего влияния. Процесс приоритизации рисков — последний шаг на пути определения рисков, наиболее существенных для организации, а результатом данного шага является ранжированный по приоритетам перечень рисков, который будет использоваться в качестве входных данных на этапе поддержки принятия решений. [1]
- Снижение рисков
А. Национальный институт Стандартов и технологий
Согласно руководству Национального института Стандартов и технологий, необходимо реализовать наиболее подходящие средства управления и контроля, позволяющие уменьшить риски для выполнения миссии до приемлемого уровня, с минимальным негативным воздействием на ресурсы организации и выполнение миссии.
Руководство представляет следующие варианты по снижению рисков:
– Принятие риска (Risk Assumption). Принимать потенциальный риск и продолжать использовать ИТ — системы, либо реализовать средства управления, позволяющее снизить риск до приемлемого уровня.
– Предотвращение риска (Risk Avoidance). Избегать рисков, устраняя причину риска и/или его последствия (например, воздержаться от использования некоторых функций системы, или закрыть систему, когда риски полностью идентифицированы).
– Ограничение риска (Risk Limitation). Ограничивать имеющийся риск, реализовав и применив средства управления, которые минимизируют неблагоприятное воздействие осуществления угрозы для уязвимости (например, использование поддерживающего, профилактического или детективного (тайного) контроля).
– Планирование риска (Risk Planning). Управлять риском, путем разработки плана действий по уменьшению риска, который может предусматривать введение определенных приоритетов, реализацию и проведение контроля.
– Исследование и уведомление (Research and Acknowledgment). Понизить риск возможных потерь, путем уведомления о наличии уязвимости или недостатков в системе и исследования средств контроля для исправления уязвимости.
– Перенос риска (Risk Transference). Переместить риск, используя другие опции, чтобы получить компенсации за возможные потери, например, путем страхования покупок. [2]
Б. Microsoft
Первая часть процесса снижения рисков от Microsoft называется «Проведение этапа поддержки принятия решений», и этот этап является частью оценки риска. В этом исследовании, однако, он будет проверяться в рамках снижения рисков и оценки программ ради параллельности с Руководством по управлению рисками для систем информационных технологий.
На этапе поддержки принятия решений группа управления рисками безопасности должна определить наиболее результативные и экономически эффективные меры противодействия основным рискам безопасности. Конечным результатом данного процесса является разработка четких планов, позволяющих уменьшить, принять, передать или устранить каждый из основных рисков, обнаруженных в ходе оценки рисков. Этап поддержки принятия решений включает следующие шесть шагов.
- Определение функциональных требований.
- Выбор возможных решений для контроля.
- Проверка соответствия решений требованиям.
- Оценка уровня снижения риска, обеспечиваемого применением каждого решения для контроля.
- Оценка стоимости каждого решения.
- Выбор стратегии нейтрализации риска.
Время является важной частью планов реализации, для каждого плана должно содержаться явные временные рамки реализации в дополнение к команде, предназначенной для выполнения реализации. Отчеты должны быть созданы исполнителями команд, которые будут представляться группе управления рисками безопасности и других соответствующих структур. [1]
- Анализ иоценка
A. Национальный институт стандартов и технологий
Последняя часть Руководства по управлению рисками для систем информационных технологий посвящена анализу и оценке. Эта часть подчеркивает важность постоянной оценки и оценки рисков для выполнения успешной программы управления рисками. Она содержит некоторые рекомендации по хорошей практике безопасности, а также дает некоторые намеки на успех. [2]
Б. Microsoft
Этап оценки эффективности программы, будучи заключительной частью руководства компании Microsoft, предоставляет информацию о необходимых входных данных и участников для оценки реализованных информационных решений по управлению рисками.
Оценка реализованных решений путем проверки правильности работы органов управления считается важным. Автоматизированные средства от Microsoft и других производителей позволяют сделать этот процесс проще. Тестирование проникновения и сбор обратной связи предлагается использовать в качестве альтернативных способов измерения эффективности программ. [1]
- Сравнение руководств
Первое, что заслуживает внимания — разница масштаба изучаемых руководств. Руководство по управлению рисками для систем информационных технологий от Национального института Стандартов и технологий длиной в 41 страницу в то время как Руководство по безопасности управления рисками компании Microsoft в три раза превышает длину с его Количеством страниц 121.
Оба руководства имеют схожие подходы к оценке риска. Стоит отметить, что обе направляющие предложили начать процесс анализа от характеризации цели для управления рисками, определения активов, угроз и уязвимостей.
Заметным различием является обширный фокус гида от Microsoft на пути, чтобы выполнить предложенные действия в руководстве. В то время как руководство Национального института Стандартов и технологии сосредоточены на том, что делать в процессе управления рисками, в Руководстве по управлению рисками безопасности от Microsoft подробно описаны такие вещи, как, кто и каким образом должны быть вовлечены в процесс анализа риска.
В то время как в руководстве Национального института Стандартов и технологии была приведена короткая информация о роли людей, принимающих участие в управлении рисками, масштаб компании Microsoft в этом аспекте было заметно больше.
Анализ затрат и выгод, и принимая во внимание расходы, в целом, также была покрыта более подробно в руководстве по Microsoft. В то время как в Руководстве по управлению рисками для систем информационных технологий было всего несколько страниц, посвященных простому анализу затрат и выгод, руководство компании Microsoft подчеркивает важность затрат в обосновании принятия управления информационными рисками и имеет широкий спектр методов экономической оценки.
Есть и другие незначительные различия в предлагаемых методах и инструментах, но базовая линия руководств является одинаковым. Снижение риска может проводиться в разработке возможных путей снижения рисков, оценки их стоимости и величины снижения риска и выбора наилучшей практики применения для наиболее критических информационных рисков.
Литература:
- Руководство по управлению рисками безопасности. Группа разработки решений Майкрософт по безопасности и соответствию регулятивным нормам и Центр Microsoft Security Center of Excellence. Корпорация Майкрософт, 2006.
- Руководство по управлению рисками для систем информационных технологий. Рекомендации Национального института Стандартов и технологий // Центр компетенции по электронному правительству при американской торговой палате в России. URL:
- http://docplayer.ru/40338614-Rukovodstvo-po-upravleniyu-riskami-dlya-sistem-informacionnyh-tehnologiy-rekomendacii-nacionalnogo-instituta-standartov-i-tehnologiy.html (дата обращения: 06.03.2017).
