Записи

Количественное определение величины риска

image_pdfimage_print

Количественно величину риска, связанного с осуществлением конкретной угрозы безопасности в отношении конкретного актива, можно выразить при помощи следующей простой математической формулы:

.[Величина риска] = [Вероятность события] × [Размер ущерба],

где:

[Вероятность события] = [Вероятность угрозы] × [Величина уязвимости].

В этих формулах:

Вероятность событияВероятность успешной реализации угрозы в отношении актива с использованием уязвимости и причинения ущерба организации 
Вероятность угрозыВероятность того, что угроза в отношении актива будет реализовываться (успешность либо неуспешность реализации угрозы определяется величиной уязвимости). На практике для вычисления риска используется не математическая вероятность угрозы, а ожидаемое количество попыток реализации угрозы за определенный период времени. Специально, чтобы не было путаницы в стандартах, вместо математического термина probability используется понятие likelihood. Этот термин, хотя и переводится на русский так же, как «вероятность», на практике означает возможность реализации угрозы, характеризующуюся примерной частотой ее реализации за определенный период времени 
Величина уязвимостиВероятность того, что в случае реализации угрозы в отношении актива эта угроза будет реализована успешно с использованием данной уязвимости, т.е. безопасность актива в результате будет нарушена и организация понесет определенный ущерб

Для определения величины риска используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования, а также на основании статистических данных. Размер ущерба как правило выражается в денежных единицах, величина уязвимости принимает значения в диапазоне от 0 до 1, а вероятность угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы за определенный период времени.

________________________________

Количественное определение величины риска:

[Величина риска] = [Вероятность угрозы]× [Величина уязвимости] × [Размер ущерба].

________________________________

Для вычисления рисков удобно использовать период времени, равный одному году. В этом случае величина риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов безопасности (Annual Loss Expectancy – ALE). Эту величину удобно использовать для соотнесения расходов на безопасность с величиной риска и для оценки возврата инвестиций, достигаемого за счет уменьшения величины риска, что соответствует определенному сокращению среднегодовых потерь организации.

____________________________________

Величина риска = Среднегодовые потери организации в результате осуществления угрозы в отношении актива с использованием уязвимости (ALE – AnnualLossExpectancy).

_____________________________________

Это наиболее прагматичный и повсеместно используемый способ определения величины рисков. Потери организации выражаются в определенном денежном эквиваленте, ведь деньги – это наиболее универсальный инструмент для измерения ценности, применяемый в современном обществе. Каким бы ни был ущерб, материальный или нематериальный, прямой или косвенный, желательно его сопоставить определенной денежной величине. Иначе, что это за ущерб такой, ежели он ломаного гроша не стоит?

На практике оценка рисков всегда проводится на определенном уровне детализации. Все составляющие риска могут быть разложены на более мелкие составные элементы, что позволяет получить более точные и детализированные оценки рисков, и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок.

Поэтому формула для вычисления риска принимает следующий вид:

[Величина группы рисков] = [Ожидаемое количество попыток реализации группы угроз в течение года] × [Суммарная величина группы уязвимостей] × [Размер суммарного ущерба].

________________________________

Практичная формула для определения величина рисков:

[Величина группы рисков] = [Ожидаемое количество попыток реализации группы угроз в течение года] × [Суммарная величина группы уязвимостей] × [Размер суммарного ущерба].

_________________________________

В зависимости от уровня детализации для одной организации могут рассматриваться от нескольких десятков до нескольких сотен и даже тысяч рисков информационной безопасности. Всегда следует начинать с высокоуровневой оценки рисков, которой соответствует наиболее низкий уровень детализации, повышая детализацию по мере необходимости. Поводом для проведения более низкоуровневой (более детализированной) оценки рисков может служить то, что проведенная высокоуровневая оценка не предоставляет достаточной информации для принятия руководством организации обоснованных решений по обработке рисков.

Оценка риска

image_pdfimage_print

Оценка риска заключается в определении его уровня (качественной либо количественной величины) и сравнении этого уровня с максимально допустимым (приемлемым) уровнем, а также с уровнем других рисков.

Уровень риска определяется путем комбинирования двух величин: вероятности события и размеров его последствий. Событие заключается в реализации угрозы, использующей уязвимости актива для воздействия на этот актив и нарушения его безопасности.

Под безопасностью информационного актива понимаются такие свойства информации, как конфиденциальность (защита от несанкционированного ознакомления), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения) и доступность (возможность за приемлемое время получить требуемую информационную услугу). Для упрощения дальнейшего изложения будем рассматривать только эту классическую триаду информационной безопасности, хотя к информационной безопасности относят также, по крайней мере, еще аутентичность (возможность подтверждения подлинности и достоверности документов) и неотказуемость (невозможность отрицания совершенных действий применительно к информационным активам).

Дополнительные «измерения» информационной безопасности необходимы для установления подотчетности (accountability) пользователей за действия, совершаемые ими в информационных системах. Например, некоторые злоумышленные или ошибочные действия, совершаемые в финансовой сфере, могут быть непосредственно не связаны с нарушением конфиденциальности, целостности или доступности какой-либо информации. Пользователь системы либо банковский служащий может перевести деньги с одного счета на другой, в последующем заявив о своей непричастности к данному деянию. Безопасность каких-либо информационных активов в данном случае не нарушается, при этом одной из сторон наносится прямой финансовый ущерб посредством манипулирования с информационными активами и системами. Для избежания подобных ситуаций и нужна подотчетность.

Нарушение безопасности актива обычно наносит ущерб организации. Величина этого ущерба определяет ценность актива для организации.

Оценка риска включает идентификацию и оценку ценности активов, последствий для бизнеса, идентификацию и оценку угроз и уязвимостей, а также комбинирование этих факторов для определения уровня риска в количественных и качественных величинах.

Понятие риска

image_pdfimage_print

Прежде всего необходимо максимально полно и точно определить понятие риска. В BS 7799-3 дается наиболее широкое определение риска как комбинации вероятности события и его последствий. В отличие от спекулятивных рисков, когда событие может носить как позитивный характер (например, выигрыш в казино или на бирже), так и негативный (например, проигрыш), события информационной безопасности всегда носят негативный характер. Это позволяет отнести риски информационной безопасности к категории неспекулятивных рисков.

ISO 27005 конкретизирует понятие информационного риска, раскладывая его на активы, угрозы, уязвимости и ущерб. Согласно ISO 27005: «Риск информационной безопасности – это потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации».

______________________________

Различные определения понятия «информационный риск»:

Риск – комбинация вероятности события и его последствий (BS 7799-3:2006).

Риск информационной безопасности – потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации (ISO/IEC 27005:2008).

Риск – неопределенность, предполагающая возможность потерь (ущерба) (СТО БР ИББС).

Риск – потенциальная проблема.

Риск – вероятные потери организации в результате инцидентов.

________________________________

Понятие риска, данное в ISO 27005, пожалуй, является наиболее полным. Однако можно оперировать и более простыми и легко запоминающимися определениями. Например, риск можно рассматривать просто как потенциальную проблему либо как вероятные потери организации в результате инцидентов. В стандарте Банка России СТО БР ИББС риск определяется как «неопределенность, предполагающая возможность потерь».

Таким образом, риск является комплексной величиной, всегда определяемой через комбинацию ряда других величин. Это обусловливает ошибки в определении и описании конкретных рисков, нередко допускаемые даже специалистами, что вызывает трудности при оценке рисков.

Описание факторов риска, таких как угрозы, инциденты, уязвимости и виды ущерба, по отдельности не является описанием риска. О риске можно говорить только в том случае, если все факторы риска рассматриваются в совокупности. Только комбинация оценочных значений для угроз, уязвимостей и ущерба позволяет получить оценку риска.

Так, вопреки рекламным заявлениям некоторых разработчиков средств защиты информации, сетевые сканеры безопасности, прочие средства анализа защищенности информационных систем, так же как и средства контроля соответствия требованиям, включая средства анализа расхождений (gap analysis), не являются средствами оценки или управления рисками. Такие продукты лишь позволяют выявлять и анализировать определенные категории технических и организационных уязвимостей, а также в ряде случаев идентифицировать определенные классы информационных активов, что, безусловно, является важной частью процесса оценки рисков, который, однако, включает в себя, помимо этого, еще много других элементов.

Чтобы не превращать эту книгу в учебник по основам информационной безопасности, мы вынесли все ключевые определения, связанные с управлением информационными рисками, в Приложение № 0. Рекомендуется изучить это важное приложение, базирующееся на международных стандартах, обращая внимание на различные факторы и элементы процесса управления риском. Правильное понимание терминологии – существенная часть успеха в овладении мастерством управления рисками.

Стандарты в области управления информационными рисками

image_pdfimage_print

Прародитель международных стандартов управления информационной безопасностью – британский стандарт BS 7799. Его первая часть – BS 7799-1 «Практические правила управления информационной безопасностью» – была разработана Британским Институтом стандартов (BSI) в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта – BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований для сертификации. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO 17799, который впоследствии был переименован в ISO 27002.

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь роль и престижность СУИБ, сертифицированных по стандарту ISO 27001, значительно повысились.

BS 7799 и его международные редакции постепенно стали одними из наиболее важных стандартов для отрасли информационной безопасности. Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам. «Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO», – говорит Жене Трой, представитель США в техническом комитете ISO.

Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать, – говорит Жене Трой. – Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».

Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений, – говорит представитель BSI Стив Тайлер (Steve Tyler). – Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».

Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.Основным достоинством ISO 17799 и родственных ему стандартов является их гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» – этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.

В стандартах серии ISO 27000 нашло отражение все, что требуется для управления информационными рисками. Речь идет прежде всего о выпущенном в 2008 году международном стандарте ISO/IEC 27005:2008, а также о его предшественнике – британском стандарте BS 7799-3:2006, увидевшим свет в 2006 году. Эти стандарты во многих вещах взаимно перекликаются, а в некоторых вопросах дополняют друг друга. Они служат фундаментом для излагаемой в настоящей книге методологии управления рисками и широко цитируются при последующем изложении материала.

Заслуживает также упоминания американский стандарт в области управления рисками NIST 800-30, который, в свою очередь, опирается на ISO Guide 73, ISO 16085, AS/NZS 4360. Основные положения этого стандарта были учтены при разработке ISO 27005.

Вопреки ожиданиям, ISO 27005 вовсе не является международной версией BS 7799-3, в отличие от своих предшественников ISO 27001 и ISO 27002, которые, как известно, являются международными версиями британских стандартов BS 7799-2 и BS 7799-1 соответственно. ISO 27005 пришел на смену международным стандартам ISO 13335-3 и ISO 13335-4, действие которых теперь отменено. Это свидетельствует о позитивном процессе замещения уже слегка устаревшей серии стандартов ИТ безопасности ISO 13335 относительно новой серией стандартов в области управления информационной безопасностью – ISO 27000. В результате данного процесса стандартов становится меньше, а их качество заметно улучшается.

Сопоставляя стандарты BS 7799-3 и ISO 27005, мы обнаруживаем, что они определяют все наиболее важные моменты, связанные с рисками, сходным образом. Это касается процессной модели, элементов управления рисками, подходов к анализу рисков и способам их обработки, а также вопросов коммуникации рисков. Оба стандарта содержат в виде приложений примеры типовых угроз, уязвимостей и требований безопасности.

_________________________________

BS 7799-3 и ISO 27005 определяют:

  • основные элементы процесса управления рисками;
  • процессную модель;
  • общий подход к управлению рисками;
  • процессы анализа и оценивания рисков;
  • способы качественного определения величины рисков;
  • способы обработки рисков;
  • процесс коммуникации рисков;
  • примеры рисков, угроз, уязвимостей, активов, ущербов, требований законодательства и нормативной базы.

___________________________________

Однако разные источники разработки обусловили и ряд различий между британским и международным стандартами управления рисками. ISO 27005 более подробно описывает критерии и подходы к оценке рисков, контекст управления рисками, область и границы оценки, а также ограничения, влияющие на уменьшение риска. В то же время BS 7799-3 более тесно связан с ISO 27001 и непосредственным образом отображает процессы управления рисками на процессы жизненного цикла СУИБ. Он также определяет требования к эксперту по оценке рисков и риск-менеджеру и включает в себя рекомендации по выбору инструментария для оценки рисков. BS 7799-3 также содержит примеры законодательных и нормативных требований применительно к США и странам Европы.

_________________________________

Различия стандартов управления рисками информационной безопасности:

ISO 27005
  • заменяет ISO 13335-3 и ISO 13335-4;
  • определяет основные критерии для оценки рисков:
  • область действия и границы;
  • подходы к оценке рисков;
  • ограничения, влияющие на уменьшение риска.
BS 7799-3
  • отображает процессы управления рисками на модель жизненного цикла СУИБ согласно ISO 27001;
  • определяет требования к эксперту по оценке рисков и к риск-менеджеру;
  • содержит примеры соответствия требованиям законодательства и нормативной базы;
  • содержит рекомендации по выбору инструментов для управления рисками.

__________________________________

Подробная сравнительная таблица стандартов ISO 27001, ISO 27005 и BS 7799-3 приведена в Приложении № 1. Сведения о лицензионных русских переводах этих стандартов приведены в Приложении № 12.

Глава 2. Основные элементы управления информационными рисками

image_pdfimage_print

____________________________________________

  • Стандарты в области управления рисками информационной безопасности
  • Понятие риска
  • Качественная и количественная оценка риска
  • Информационная составляющая бизнес-рисков
  • Активы как ключевые факторы риска
  • Подходы к управлению рисками

_____________________________________
 
В этой главе мы переходим к рассмотрению базовых понятий и основных элементов, лежащих в основе используемой нами методологии управления рисками. Перечень наиболее важных терминов и определений данной предметной области приведен в Приложении 0.

Вопросы к размышлению

image_pdfimage_print

Прежде чем перейти к следующему разделу, постарайтесь ответить на следующие вопросы:

  • Какой подход к оценке рисков используется в вашей организации?
  • Какие категории информационных рисков охватывает используемый вами подход?
  • Какие сотрудники вашей организации участвуют в процессах управления рисками и как распределяются между ними роли?
  • Кто и на основании какой информации принимает решения по обработке рисков?
  • К какой категории специалистов, с точки зрения отношения к оценке рисков, вы сами относитесь?
  • Какие информационные риски представляют наибольшую опасность для вашей организации?

Как оценивают риски наши соотечественники?

image_pdfimage_print

Среди специалистов нет единодушия в вопросах управления рисками. Нередко можно услышать довольно бессмысленные, как будет показано далее, споры и сопоставления количественных и качественных методов оценки рисков и даже отрицание целесообразности и самой возможности адекватно оценивать риски. Кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных нематериальных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко либо сколько осталось в бюджете.

По данным опроса, проводимого на портале ISO27000.ru среди менеджеров информационной безопасности российских компаний, всего 34% менеджеров ИБ пытаются использовать какой-либо систематический подход к оценке рисков, остальные 66% даже не пытаются этого делать, оценивая риски «на глазок» либо вовсе не делая этого. Из них 15%, похоже, даже не понимают существа обсуждаемого вопроса, считая оценку рисков занятием бессмысленным. Еще примерно в 15% организаций для управления информационными рисками используется специализированный программный инструментарий.

Источник: ISO27000.ru


Из общения с экспертами, отвечающими за информационную безопасность в организациях, можно сделать определенные выводы относительно того, с какими трудностями сталкиваются их попытки управлять рисками. По отношению к данному вопросу все специалисты подразделяются на четыре характерные группы.

Математики
Специалисты, имеющие техническое образование и владеющие определенным математическим аппаратом, склонны задействовать этот аппарат для оценки информационных рисков. Подход, в основе которого лежит стремление получить количественные оценки рисков с использованием математических формул и моделей, быстро заводит в тупик наших коллег, которым пока еще не удалось окончательно забыть школьные и университетские курсы точных наук и, видимо, в глубине души немного жаль понапрасну проведенное за партой время, затраченное на изучение вещей, которые не удается приложить к реальной жизни. Углубляясь в математическую статистику, теорию вероятностей, байесовские распределения, теорию нечетких множеств и прочие математические теории, адепты количественного подхода теряют связь с реальной жизнью и бизнес-контекстом, получая ни к чему не приложимые уравнения со множеством неизвестных.

Технари
Технические специалисты, имеющие профильное образование в области ИБ или ИТ, хорошо представляют себе уязвимости, которым подвержены информационные системы и технологии, а также какие меры необходимо предпринимать для их устранения. Однако эти специалисты имеют весьма туманное представление об информационных активах, их ценности и бизнес-процессах организации. Они склонны измерять риск величиной соответствующей уязвимости без учета остальных факторов. Рассуждают эти спецы о рисках на своем птичьем языке, который не доступен для понимания руководству организации и представителям бизнеса. Если технарей попросить оценить риски, то они, скорее всего, представят в качестве отчета о рисках отчет об уязвимостях, полученный при помощи сканера безопасности. Технари идут снизу вверх, концентрируясь на технических деталях реализации тех или иных угроз и совершенно упуская из виду цели бизнеса, для достижения которых необходимо управлять рисками. Им сложно бывает определить, какие угрозы и с какой степенью детализации надо анализировать для принятия решения по рискам.

Аналитики
Аналитики, как правило, владеют подходами и инструментами для управления рисками, но им не хватает практических навыков как в технической сфере, так и в сфере бизнеса. Для адекватной оценки рисков им необходимы как технари с их знанием технологий и сценариев реализации инцидентов, так и представители бизнеса с их знанием бизнес-процессов и способностью выносить суждения относительно ценности тех или иных активов. Для того чтобы сколотить дееспособную команду из столь разнородных и разнонаправленно мыслящих людей, требуется организационный талант и очень сильная заинтересованность со стороны первых лиц организации.

Скептики
Скептики обычно знают обо всем понемногу и не склонны к глубокому анализу. Они считают оценку рисков задачей неосуществимой, в связи с чем для принятия решений в отношении обеспечения безопасности предпочитают опираться исключительно на собственный опыт, здравый смысл, рекомендации стандартов и нормативных документов. Скептиков, как правило, разочаровывает невозможность точной количественной оценки информационных рисков, а также тот факт, что приходится опираться на субъективные мнения экспертов. К их числу относятся многие руководители служб информационной безопасности, с готовностью рассуждающие о преимуществах системного подхода, однако сами предпочитающие руководствоваться при принятии решений в основном интуицией и устоявшимися представлениями.

Оценка рисков как основа корпоративного управления

image_pdfimage_print

Риск-ориентированный подход лежит в основе современного корпоративного управления. Оценка рисков позволяет принимать осознанные решения, правильно выбирая механизмы защиты и расставляя приоритеты. Базирующаяся на анализе рисков оценка возврата инвестиций от внедрения механизмов контроля позволяет менеджеру ИБ формировать бюджеты на безопасность и обосновывать планы по обеспечению безопасности с точки зрения экономической целесообразности, а не путем запугивания руководства организации чрезвычайными происшествиями или санкциями со стороны регулирующих органов. Оценка рисков позволяет избегать многих кризисных ситуаций. После кризиса остаются те, кто правильно управлял рисками (а также те, кому просто посчастливилось).

_____________________________
 
Оценка рисков позволяет:

  • из миллиона требований и средств защиты выбрать те, которые необходимы организации;
  • принимать осознанные и своевременные решения относительно применения защитных мер;
  • правильно расставлять приоритеты, формировать планы и бюджеты на безопасность;
  • получить экономическое обоснование целесообразности применения защитных мер;
  • оценить экономическую эффективность мер информационной безопасности;
  • избежать кризисных ситуаций.

______________________________________
 
Все современные стандарты и руководства в области корпоративного управления, включая стандарты на интегрированные системы управления (PAS 99), стандарты СУИБ (ISO 27001), банковские стандарты (СТО БР ИББС и Basel II), а также нормативные требования, предъявляемые к публичным компаниям (Turnbull и SoX), базируются на оценке рисков.

_____________________________
 
Все современные стандарты корпоративного управления базируются на оценке рисков:

  • ISO 27001 (ГОСТ Р 27001);
  • PAS 99;
  • СТО БР ИББС;
  • BaselII;
  • UKCombined Code of Corporate Governance Turnbull Guidance (июль2003 г.);
  • Sarbanes-Oxley Act of 2002 (SOX);
  • COSO ERM-Integrated Framework.

______________________________

COSO – организация, разрабатывающая стандарты внутреннего контроля  для публичных компаний с целью обеспечения соответствия требованиям SoX и Turnbull, делает это на базе интегрированной структуры управления рисками предприятия. Систему управления информационными рисками (СУИР) следует рассматривать не как некую внутреннюю методику, используемую службой ИБ, как это часто бывает, а скорее, как часть интегрированной системы управления рисками (ERM).

В соответствии с Принципами Корпоративного Управления Организации Экономического Сотрудничества и Развития (OECD), хорошее корпоративное управление «…должно предоставлять надлежащие стимулы для правления и руководства к достижению целей компании и ее владельцев и должно способствовать эффективному мониторингу», а эффективный мониторинг бизнес-процессов зависит от эффективности измерения рисков информационной безопасности. Эта директива непосредственно адресована крупным публичным компаниям, но очевидно, что оценка и управление информационными рисками входит в область интересов любого бизнеса.

В том время как корпоративное управление озабочено, главным образом, гарантиями прав акционеров и/или заинтересованных сторон в публичной компании, принципы корпоративного управления применимы к любой организации, особенно к тем, которые формируют часть цепочки поставок для публичной компании и в особенности, если какая-либо часть их бизнеса осуществляется в он-лайне. Способность организации гарантировать всем бизнес-партнерам, что принадлежащая им информация надежно защищена, является частью поддержки таких принципов управления, как открытость и прозрачность. Реализация этих принципов требует, в том числе, чтобы заинтересованным сторонам была доступна информация о существующих факторах риска.

Таким образом, эффективность организации, корпоративное управление, управление операционными рисками, а также законодательная и нормативная среда – все это служит побудительными причинами внедрения эффективной СУИР, которая так же важна для функционирования организации, как и эффективные информационные и телекоммуникационные системы.

Государственное регулирование только создает дополнительные риски

image_pdfimage_print

«Бизнес – это не более чем работа. Спекуляция готовыми товарами – это не бизнес, это более или менее пристойная разновидность воровства. Но законом ее не запретишь. Законы вообще мало на что годятся. Они не несут в себе ничего конструктивного… Пока мы будем рассчитывать на то, что законодательство избавит нас от бедности или запретит особые права и привилегии, до тех пор нищета будет распространяться, а привилегии расти».

Генри Форд, один из самых честных предпринимателей, «Моя жизнь, мои достижения»

Указ Президента РФ № 351 от 17 марта 2008 года фактически разрешил подключение систем, содержащих государственную и служебную тайны, к сети Интернет. Единственным необходимым условием для такого подключения служит использование сертифицированных средств защиты информации (СЗИ).

Может ли государственная система сертификации СЗИ предоставить необходимые гарантии защищенности от интернет-угроз – вопрос риторический. Сертификацию даже нельзя рассматривать в качестве защитной меры. Это, скорее, официальная процедура подтверждения заявленных производителем свойств продукта и соответствия установленным требованиям.

Не говоря уже о том, что сертификация СЗИ в общем случае достаточно длительная и дорогостоящая процедура, которая далеко не всегда экономически оправдана, особенно когда речь идет о современных динамически изменяющихся информационных системах с непрерывным циклом установки программных коррекций, обновлений баз данных, внедрения новых приложений и т.п. Цикл разработки новых версий ПО зачастую короче цикла его сертификации. В то же время стоимость сертификации и аттестации может быть сопоставима со стоимостью самой ИС. Оправдано ли такое удорожание?

Сертификация в области ИБ преследует две цели: предоставление гарантий отсутствия в средствах обработки информации недекларированных возможностей и подтверждение качества (эффективности) продуктов.

Первая цель достигается только в том случае, если анализу на недекларированные возможности подвергаются все программные (и аппаратные) компоненты ИС, что достижимо только для особой категории критичных систем.

Для достижения второй цели требуются четко определенные критерии оценки, коими должны служить в данном случае профили защиты, которые сегодня в дефиците, т.к. практическое внедрение международного стандарта ISO 15408 «Общие критерии оценки безопасности информационных технологий» затянулось в России на неопределенно долгий срок.

Если же нет возможности анализа всех компонентов системы, а глубоко проработанные и согласованные критерии сертификации отсутствуют, как это в основном происходит на практике, то желаемого эффекта не достигается и сертификация превращается в формальную разрешительную процедуру. Таковой она и воспринимается всеми участниками рынка. В результате средства, которые необходимо было бы потратить на реализацию практических мер по защите информации, расходуются на бюрократические бумажные процедуры.

Вопрос даже не в том, правильно или неправильно подключать критичные государственные информационные системы к Интернет. Вспомним, что отмененный Указ Президента № 611 от 2004 г. явным образом запрещал «осуществлять включение ИС, сетей связи и автономных ПК, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения в Интернет». Дебаты вокруг этого Указа не утихали. Предлагались различные трактовки понятия «включения в состав сети», обыгрывались словосочетания «логическое и физическое, прямое и опосредованное включение», появлялись даже сертифицированные СЗИ, предназначенные для подключения государственных организаций к Интернет с соблюдением требований Указа № 611 (явным образом запрещавшего такое подключение). Жизнь все равно, как говорится, шла вперед.

Похожая ситуация существует и вокруг Указа Президента № 334 от 1995 года, который запретил использование государственными организациями шифровальных средств, не имеющих сертификата ФАПСИ, а также ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ. Криптографические средства в настоящее время входят в состав операционных систем, телекоммуникационного оборудования, повсеместно используемых приложений, СЗИ, как отечественных, так и импортных, поэтому выполнение запрета на их использование представляется фактически невыполнимым условием. Примерно в то же время (середина девяностых) до России «дошел» Интернет. И вопрос ввоза чего-либо программного через таможенные границы фактически отпал, т.к. у пользователя сети с тех пор всегда есть под рукой практически любые криптосредства, которые ниоткуда привозить не требуется. Поэтому вопрос ввоза импортных шифровальных средств перешел в риторическую плоскость и под запрет, явным образом попадают лишь специализированные аппаратные криптографические модули.

В 2007 году в Постановлении Правительства РФ N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» были сделаны уточнения, позволяющие распространять лицензирование не на все в подряд криптографические средства, тем не менее, вопросы, связанные с применением криптографических средств остаются достаточно сложными с правовой точки зрения.

Мы уже много раз видели на примере не только России, но и других стран, что государственное регулирование в области защиты информации проблемы зачастую не решает, а, напротив, создает дополнительные трудности для бизнеса.

Требования по защите информации в этом случае определяются не на основе оценки рисков, а «спускаются сверху», что не способствует их осмысленному применению. При этом многие риски безопасности игнорируются. Реальная деятельность по защите информации заменяется «бумажной работой». Соответствующим образом оформленные лицензии, сертификаты и аттестаты соответствия нормативным требованиям означают с точки зрения государства, что у вас все хорошо. У вас же не остается ничего, кроме впустую истраченного бюджета на информационную безопасность и ложного чувства защищенности.

_______________________________

Негативные последствия государственного регулирования в сфере информационной безопасности:

  • Деньги тратятся на «бумажную» безопасность.
  • Возникает ложное чувство защищенности.
  • Возникают дополнительные юридические риски для бизнеса.
  • Запретительные меры препятствуют осуществлению деятельности.
  • Реальные риски игнорируются.

____________________________________

Разрешительно-запретительные меры – это фактически единственный доступный государству способ регулирования чего-либо. Запретить подключение к Интернет, запретить использование шифровальных средств, запретить установку несертифицированных средств, запретить деятельность без лицензии и т.п. Польза от таких мер не всегда очевидна, а для бизнеса это всегда создает дополнительные барьеры и юридические риски.

Все эти рассуждения касаются не только России. В отчете американского Офиса Менеджмента и Бюджета Конгрессу о реализации Федерального Акта по управлению информационной безопасностью 2002 г. с гордостью сообщается о том, что 85% ИТ систем федеральных агентств были сертифицированы и аккредитованы, что на целых 19% больше по сравнению с предыдущим годом. Количество систем с протестированными планами обеспечения непрерывности бизнеса увеличилось с 57% до 61%. Департамент по делам ветеранов сообщил о том, что все 585 принадлежащий ему ИТ систем были сертифицированы и аккредитованы. Однако проверка отчетов о сертификации, проведенная одним из агентств, показала, что все испытания выполнялись поверхностно. Многие компании, проводившие сертификации, признаются, что их отчеты и заключения даже не читались заказчиком, а в этом случае вряд ли можно говорить о каких-либо улучшениях. Количество выданных лицензий и сертификатов стремительно увеличивается, а безопасность остается на прежнем уровне. Миллиарды долларов американских налогоплательщиков были истрачены на бесполезную бумажную работу. Подтверждением тому служит нашумевшее в США «дело ветеранов».

________________________________

В 2006 году данные о 26,5 млн. ветеранов и членов действующего резерва национальной гвардии и резервных войск США были украдены у служащего агентства, который отнес свой ноутбук домой. Незашифрованные данные, включавшие номера социального страхования и прочую информацию о ветеранах и их супругах, были скомпрометированы.

____________________________________

«Дело ветеранов» – крупнейшая утечка данных в истории США и ярчайший пример, который выдвинул на первый план потребность в тщательном рассмотрении вопросов информационной безопасности в правительстве США. Хотя, насколько нам известно, положение дел с безопасностью там заметно не улучшилось, а законы и нормативная база после того случая особо не изменились.

Как говорил выдающийся предприниматель Генри Форд, один из тех, кто в свое время вытащил Америку из «великой депрессии», «законы мало на что годятся… в них нет ничего конструктивного». Вопрос не в том, правильно или нет запрещать либо разрешать подключение к Интернет, использование несертифицированных СЗИ, импортные СКЗИ и т.п. Действительно важный вопрос заключается в том, кто и каким образом оценивает риски в каждом конкретном случае, какие возникают риски и что с ними делать. На этот главный вопрос вам не смогут дать ответ ни законодатели ни регуляторы. Этот ответ каждой организации приходится искать самостоятельно.

Обилие стандартов, требований, средств и технологий защиты не уменьшает риски

image_pdfimage_print

Оценка рисков сама по себе – сложная аналитическая работа. Для управления рисками, помимо всего прочего, требуется должным образом выстроенная система управления организацией, обеспечивающая обмен информацией между руководством, сотрудниками организации и консультантами, а также эффективная система принятия решений. Для того чтобы упростить эту задачу, во многих организациях используется так называемый смешанный подход, предполагающий проведение оценки и обработки рисков только для наиболее критичных информационных активов и систем. Во всех остальных случаях используется существующий передовой опыт и распространенные подходы к защите информации, описанные в стандартах и нормативных документах. Такой подход позволяет обеспечить некоторый базовый уровень защиты для большинства активов и систем организации, за исключением тех, которые являются особенно критичными и посему требующими повышенного внимания.
 
Использование базового уровня, на первый взгляд, выглядит наиболее рациональным, т.к. это позволяет сконцентрироваться на наиболее важных областях, сэкономив тем самым значительные ресурсы путем существенного упрощения одной из наиболее трудоемких управленческих задач. Такой подход, в частности, реализован в одной из наиболее известных методологий управления рисками CRAMM. В этой методологии для определения степени критичности систем и требуемой глубины последующего анализа используется простейший базовый опросник (см. Приложение № 4), в котором перечисляются различные виды возможного ущерба, такие как прямой или косвенный финансовый ущерб, ущерб репутации, дезорганизация бизнес-процессов, нарушение контрактных обязательств и т.п. Система признается критичной, если нарушение ее безопасности, по мнению владельцев или пользователей этой системы, может привести к сколь-нибудь значительному ущербу хотя бы в одной из этих областей. Далее для критичных систем проводится оценка и обработка рисков, а для некритичных систем формулируются базовые требования безопасности на основе британского стандарта BS 7799.

Введение понятия «базового уровня» защиты для наименее критичных систем (также как и «повышенного уровня» защиты для критичных систем или «максимального уровня» – для особенно критичных систем), особенно если соответствующие этим уровням механизмы защиты описаны с достаточной степенью подробности и закреплены внутренними стандартами организации, предусматривающими детализацию вплоть до определения значений параметров настройки конкретных систем, является удобным способом для первоначальной расстановки приоритетов и дифференциации подходов к защите различных категорий информационных активов. Однако это нисколько не упрощает задачи оценки рисков, поскольку и в отношении «некритичных» активов остаются те же самые вопросы определения разумного баланса между рисками и расходами на защиту, выбора экономически целесообразных и эффективных мер по защите «некритичных» активов, а также вопросы интерпретации требований «базового уровня» с целью их применения к конкретным системам организации. Не говоря уже о том, что сама задача определения «базового уровня» защиты может быть решена только в рамках конкретной организации и только на основании оценки и обработки рисков этой организации, т.к. никакого универсального «базового уровня», применимого к любой организации, не существует и не может существовать. Вместо этого в мире существует более 500 стандартов и нормативных документов по информационной безопасности, с разной степенью детализации описывающих требования безопасности, технологии и механизмы защиты для различных сфер деятельности, типов информационных систем, областей контроля и т.п. Эти документы сложно даже перечислить, не говоря уже о том, чтобы с ними ознакомиться и осмысленно применять. Одних международных стандартов в сфере информационной безопасности в настоящее время насчитывается более 100. Кроме этого в России действует более 40 ГОСТов и около 70 нормативных документов в сфере ИБ и еще примерно столько же находится в разработке.

Даже разработчики ISO 27002 – одного из наиболее востребованных международных стандартов ИБ, содержащего наиболее полное высокоуровневое описание всех областей контроля информационной безопасности, – никогда не претендовали на то, чтобы их стандарт определял некий «базовый уровень» защиты для организаций. ISO 27002 скорее рассматривается его разработчиками как сборник лучших практик, описывающий типовые механизмы контроля, применяемые в большинстве организаций для защиты своих информационных активов. Однако решение о целесообразности применения любого из описанных в этом стандарте механизмов контроля, а также о способах его применения и требуемом уровне защиты отдается на откуп пользователям стандарта и принимается только на основе оценки рисков конкретной организации.

Требования законодательной и нормативной базы в области ИБ отличаются от требований и механизмов, описанных в стандартах, прежде всего тем, что они носят обязательный характер для определенной категории организаций и граждан. Здесь стоит вопрос не о целесообразности, а об обязательности применения тех или иных требований. Однако и обязательные требования не могут заменить оценки рисков, т.к. формулируются они в еще более общем виде, нежели требования стандартов, и определить, каким образом эти требования должны быть реализованы в конкретной организации, обычно также не представляется возможным без оценки рисков.

Оценка рисков позволяет не только уточнить и конретизировать требования нормативной базы применительно к конкретной организации, но также определить экономически обоснованные механизмы их реализации и дополнительные требования безопасности, специфичные для организации и не нашедшие отражения в нормативных документах.

_________________________________
 
Стандарты и нормативная база информационной безопасности:

  • ISO 2700x, 290xx, 13335, 15408, 18044, 18028, 15947, 15443, … всего более 100;
  • X.800-816, X.830-835, X.736, X.740, X.1121, X.1051, … всего более 40;
  • COBIT, ISM3, BSI-ITBPM, MITS, ISF-SoGP, SAS 70, TruSecure, SysTrust, WebTrust, BBBOnline, TRUSTe, … более40;
  • NIST SP 800-x, FIPS 140-201, … всего более 100;
  • ГОСТ Р 51188, 51583, 51624, 52448, 52447, 51901, 51275, … всего более 40;
  • РД ФСТЭК, РД ФСБ, СТР-К, Указы Президента, Федеральные законы, Постановления правительства, … всего более 70.

_________________________________

Нет никакого недостатка в требованиях информационной безопасности, а также в стандартах или в технологиях защиты. За последние пару десятков лет создано уже достаточно большое количество инструментов для решения проблемы защиты информации. Являясь лишь инструментами, они сами по себе не уменьшают риски. Основная задача заключается в том, чтобы выбрать нужные инструменты и разобраться с тем, как их правильно применять в конкретных условиях с учетом существующих рисков и нашего отношения к этим рискам.

Стандарты безопасности одной организации могут быть не применимы либо недостаточны для другой организации. Требования одной организации могут быть слишком жесткими либо, наоборот, слишком мягкими для другой. Одним и тем же рискам и связанным с ними аспектам защиты в разных организациях может уделяться совершенно разное внимание в зависимости от отношения к риску руководителей и собственников этих организаций, специфики бизнеса и конкретных обстоятельств. Поэтому без оценки рисков невозможно сформировать какого-либо осмысленного набора требований либо механизмов защиты, пригодного для конкретной организации, а именно этим в основном и занимаются как в государственных, так и в частных компаниях. Такая ситуация, как будет показано далее, создает определенную неразбериху с нормативными требованиями в области информационной безопасности и с их выполнением.