Профиль рисков ИБ (ПР) — документ, характеризующий риски ИБ объекта защиты (ОЗ). В качестве объекта защиты выступает информационная система. Здесь можно провести аналогию с Профилями защиты (ПЗ), определяемым стандартом ISO 15408, определяющими требования к объектам оценки (ОО) с учетом предположений об условиях функционирования ОО и задач по безопасности. Профиль рисков — определяет риски ИБ для ИС, способы их обработки и требования по ИБ, обусловленные существующими рисками и способами их обработки. Будут разрабатываться как частные ПР, описывающие информационные риски и состояние их обработки, в конкретных организациях и ИС, так и типовые ПР, которые будут общедоступны и будут публиковаться на этом сайте.
В практике таможенных органов, например, используется следующее определение профиля риска (не ИБ): «Профиль риска это — совокупность сведений об области риска, индикаторов риска, а также указания о применении необходимых мер по предотвращению или минимизации риска».
Профиль информационных рисков имеет следующую структуру:
Введение Контекст управления рисками — Цели управления рисками — Критерии оценки ущерба — Критерии оценки рисков — Критерии принятия остаточных рисков — Область и границы оценки рисков — Организационная структура управления рисками Активы — Бизнес-процессы — Информационные активы — Ценность активов Угрозы — Модель нарушителя — Модель угроз — Профили и жизненные циклы угроз — Оценка вероятности угроз Уязвимости — Организационные уязвимости — Технические уязвимости — Оценка уровня уязвимостей Контрмеры — Организационные контрмеры — Технические контрмеры — Оценка эффективности контрмер Риски — Матрица оценки риска — Шкала оценки риска — Реестр информационных рисков — План обработки рисков Оценка возврата инвестиций — Стоимость контрмер — Экономический эффект — Коэффициент возврата инвестиций Указания по применению
Структура ПР отражает весь процесс оценки и обработки рисков, поэтому частные профили рисков у нас уже есть. Их можно сделать из отчетов по результатам соответствующих проектов. Типовые ПР будут носить отраслевой характер. Для их разработки и согласования надо будет привлекать регуляторов и отраслевых экспертов.
Понятие Профиля риска мне пока в области ИБ не встречалось, мы его впервые вводим в нашей глобалтрастовской методологии управления рисками, базирующейся на ISO 2700x (описанию этой методологии посвящена моя книга, опубликованная на сайте http://анализ-риска.рф). Надеюсь, что разработка ПР будет поддержана и их потенциальными пользователями и регуляторами и интеграторами. Не дожидаясь этого счастливого момента, мы будем разрабатывать типовые ПР на нашем практикуме по анализу рисков http://globaltrust.ru/obuchenie/avtorskie-uchebnye-kursy/is002s-master-klass-praktikum-po-ocenke-riskov-informacionnoi-bezopasnosti
Экспертному сообществу уже порядком надоела безумная гонка нормативных документов и требований ИБ. На ничем не прикрытые головы сотрудников подразделений ИБ организаций вываливается все усиливающийся поток руководящих указаний, положений, стандартов, рекомендаций, методик и т.п., содержащих не связанные между собою, зачастую произвольным образом собранные требования, на 90% дублирующие друг друга (переписываемые из одного стандарта в другой), в каких-то местах противоречащие самим себе, в каких-то другим требованиям, в каких-то существующей практике и здравому смыслу. Об обосновании этих требований и речи не идет. Почему именно эти требования, почему именно в такой последовательности и именно в такой формулировке, какие угрозы и в какой степени они должны предотвращать? Излишнее усердие в нормотворчестве не решает реальных проблем ИБ и лишь создает новые. Службы ИБ должны в основном заниматься не обеспечением соответствия многочисленным нормативным и ненормативным актам, заключающемся в печатании и перепечатывании бумажек, к которым всерьез никто не относится, а уменьшением реальных рисков в реальном бизнесе.
Разработка ПР способствует улучшению ситуации в области нормативного регулирования ИБ. Допустим, какая-то всеми уважаемая организация решила выпустить очередной стандарт или руководящий документ по ИБ, который как брат-близнец похож на сотню уже ранее выпущенных стандартов. Прежде, чем принять этот очередной плод нормотворчества к исполнению и начинать плодить бумажки и оценки соответствия, мы попросим авторов предоставить ПР, обосновывающий на базе формального риск-ориентированного подхода необходимость применения данных конкретных требований к данным конкретным ИС в конкретных организациях. Если не будет ПР, тогда чем данный набор требований будет отличается от любого другого произвольным образом выбранного набора требований и какие разумные основания имеются для того, чтобы кому-то его начинать применять? Жестко формализованная структура ПР и детально проработанная методология оценки и обработки рисков, а также согласования остаточных рисков с лицами, принимающими решения, должны стать гарантиями того, что любую ерунду в ПР написать будет нельзя, т.е. конечно можно, но это будет очень заметно. Благодаря этому, плодить документы и требования по ИБ, четко не прослеживаемые до конкретных рисков конкретным информационным активам в конкретных ИС, станет невозможным.
Оценка рисков позволяет двигаться от анализа потенциальных проблем к формулировке конкретных требований безопасности, применимых к организации. Для контроля реализации этих требований необходимо знать, где организация находится в данный момент и где она хочет быть завтра. Определение и контроль выполнения требований безопасности в соответствии с ISO 27001 осуществляется в форме «Декларации о применимости механизмов контроля».
Декларация о применимости механизмов контроляпредназначена для отображения требований безопасности, устанавливаемых международным стандартом ISO 27001, а также любых других требований безопасности на требования безопасности организации, идентифицированные в результате оценки рисков. Декларация о применимости может служить основой для разработки плана обработки рисков. Любые исключения из Декларации о применимости механизмов контроля, описанных в стандарте ISO 27001, а также в других стандартах и нормативных документах, применимых к организации, должны быть обоснованы.
Декларация о применимости не только описывает все применимые к организации требования безопасности, но также определяет текущее состояние выполнения этих требований, являясь одновременно и отчетом о несоответствиях организации требованиям безопасности. Это основной документ, используемый аудиторами при проведении проверок реализации механизмов контроля, оценки соответствия организации стандартам и сертификационных мероприятиях.
Данный документ актуализируется по мере возникновения новых рисков, переоценки существующих рисков, изменения требований законодательства, а также по мере реализации мер по обработке рисков.
Для оценки текущего уровня соответствия по каждой области контроля используется несложная формула. Состояние механизма контроля оценивается по качественной трехзначной шкале. В случае необходимости эта шкала может быть расширена, а формула слегка усложнена с тем, чтобы учитывать относительные веса механизмов контроля.
Текущее состояние механизма контроля (или процесса) может быть следующим:
Y– реализован полностью
QY– реализован частично
N– не реализован
NA– не применяется (например, по причине низкого уровня риска, осознанно принимаемого руководством)
?– применимость механизма контроля не определена, требуется дополнительное исследование
Уровень соответствия требованиям для каждой области контроля (группы процессов) рассчитывается по формуле:
[∑n (Состояние контроля)] / (2n) х 100%,
где n – количество механизмов контроля, находящихся в состоянии Y, QY или N.
Состояние контроля может принимать одно из трех значений: Y = 2, QY = 1, N = 0.
Диаграмма соответствия организации требованиям безопасности по областям контроля, определяемым в стандарте ISO 27001, с учетом существующих рисков, приведена на рисунке.
Для достижения оптимального уровня возврата инвестиций в информационную безопасность организация должна стремиться к полному соответствию требованиям, сформулированным в Декларации о применимости.
Отметим, что даже полное соответствие организации своей Декларации о применимости не означает того, что все риски обработаны и План обработки рисков больше не нужен. Практически все контрмеры требуют не только внедрения, но и непрерывной деятельности по поддержанию этих контрмер в рабочем состоянии, включающей в себя эксплуатацию, администрирование, мониторинг, корректировку и совершенствование. Все эти мероприятия должны быть отражены в Плане обработки рисков.
Поэтому даже если организация внедрила все механизмы контроля, описанные в ее Декларации о применимости, то План обработки рисков ей все равно необходим. Кроме того, ситуация с рисками непрерывно изменяется, так же как изменяется и отношение руководства организации к определенным рискам, поэтому описанный в Декларации о применимости состав механизмов контроля не остается неизменным.
«Ничто так не удивляет людей, как здравый смысл и действия по плану».
Ральф Эмерсон, американский писатель
После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.
Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков». Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.
Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнес-процессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.
___________________________________
Разработка и реализация плана обработки рисков включает в себя следующие меры:
определение последовательности мероприятий по реализации принятых решений по обработке рисков;
детализацию и приоритетизацию мероприятий по обработке рисков;
распределение ответственности между исполнителями;
выделение необходимых ресурсов;
определение вех и контрольных точек;
определение критериев достижения целей;
мониторинг продвижения.
______________________________________
Должны быть правильно расставлены приоритеты по реализации мер обработки риска. Время, когда может предприниматься каждое действие, зависит от его абсолютного приоритета по отношению к другим действиям, доступности ресурсов (включая финансовые и кадровые ресурсы), а также от мероприятий, которые должны быть завершены, прежде чем процесс может быть запущен. План обработки рисков должен быть скоординирован с другими бизнес-планами. Любые зависимости между этими планами должны быть идентифицированы.
Приоритетизация мер по обработке рисков может осуществляться следующим образом:
Все контрмеры разделяются на группы по уровню риска, для уменьшения которого они предназначены. Наивысший приоритет присваивается контрмерам, служащим для уменьшения самых больших рисков.
В каждой группе на первое место ставятся те меры, которые быстрее и проще реализовать и которые дают скорейший эффект.
Первичным контрмерам, от которых зависит успешность реализации других контрмер, присваивается более высокий приоритет.
Учитываются все прочие соображения, способные повлиять на порядок реализации контрмер, включая связь с другими планами, доступность тех или иных ресурсов, политические, экономические и прочие соображения.
На выходе данного процесса получаем приоритетный перечень мер по обработке рисков, на базе которого производится дальнейшее более детальное планирование, выделение ресурсов и реализация решений по управлению рисками.
Координация всех шагов по реализации плана обработки рисков (включая приобретение, внедрение, тестирование механизмов безопасности, заключение договоров страхования и аутсорсинга и т.п.) осуществляется менеджером информационной безопасности или риск-менеджером, который должен контролировать, чтобы реализация мероприятий осуществлялась в соответствии с планом, с надлежащим качеством и в рамках выделенных финансовых, временных и кадровых ресурсов. При внедрении контрмер в информационную систему должно проводиться тестирование с целью подтверждения надежности и работоспособности реализованных механизмов безопасности, а также измерение эффективности их функционирования.
Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Решение по рискам – это бизнес-решение, как правило, оказывающее влияние на всю дальнейшую деятельность организации. Поэтому приниматься это решение должно лицом, находящимся на соответствующем уровне властной иерархии и отвечающим за весь бизнес или ту его часть, которая подвергается риску. Руководитель информационной безопасности должен принимать решения на своем уровне относительно того, как оптимальным образом воплотить в жизнь решения своего руководства по обработке информационных рисков.
Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Решение по бизнес-рискам должен принимать руководитель бизнеса либо лицо, которому он делегирует ответственность за определенные направления бизнеса. Руководитель службы информационной безопасности или риск-менеджер готовит решение по рискам для руководства организации.
Форма представления руководству организации информации для принятия решения по рискам определяется стандартным алгоритмом делового общения и может включать в себя следующие основные пункты:
Сообщение о проблеме:в чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
Степень серьезности проблемы:чем это грозит организации, ее сотрудникам, руководству, акционерам?
Предлагаемое решение:что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства? (Используя оценки ROI для обоснования предлагаемого решения).
Альтернативные решения:какие еще способы решения проблемы существуют (альтернативы есть всегда, и у руководства должна быть возможность выбора). Для сравнения альтернативных решений, помимо экономического обоснования (оценок ROI), могут также использоваться соображения о времени реализации решения, учитываться морально-этические аспекты и любые другие факторы, которые целесообразно принимать во внимание.
Каков остаточный риск?Не превышает ли он приемлемого уровня? Если уровень остаточного риска не устраивает руководство, то потребуется дополнительная обработка риска.
Такой обстоятельный доклад о рисках, подкрепленный реестром информационных рисков и планом обработки рисков, обоснованным с точки зрения возврата инвестиций, и опирающийся на согласованные с руководством критерии оценки ущерба и принятия рисков, позволяет принимать наиболее взвешенные и эффективные решения по рискам. В этом случае СУИР предоставляет руководству организации эффективный механизм подготовки и принятия решений, превращая эту задачу из крайне запутанной проблемы, требующей для своего разрешения сильной интуиции и умения принимать нестандартные решения в условиях недостатка и противоречивости исходных данных, в обычную повседневную рутину. Функция руководства по существу сводится лишь к контролю предлагаемых решений, корректировкам бюджета, согласованию сроков и выделяемых ресурсов. В некоторых случаях от руководства потребуется политическая воля для принятия остаточных рисков, не укладывающихся в установленные рамки, либо изменения критериев принятия рисков.
Принятие взвешенных и эффективных решений в условиях нечеткой и неполной информации – основная функция любого руководителя. Процесс этот достаточно субъективный. Такой же субъективный характер носят и решения, принимаемые руководителями. Информационная безопасность здесь исключением не является.
Зачастую используемые руководителями методы принятия решений не отвечают требованиям современного мира с его избытком информации и высоким ритмом жизни. Руководителей здесь подстерегают различные трудности и психологические ловушки. Тема принятия эффективных управленческих решений простирается далеко за рамки этой книги, поэтому отошлем читателя, заинтересовавшегося данным вопросом, к специальной литературе, которая с избытком представлена на книжных полках, например к Гарвардской классике.
Покажем, как при помощи методов анализ информационных рисков и статистических сведений об утечках информации, которыми мы располагаем, оценить окупаемость DLP-систем.
Несмотря на следующие один из другим кризисы, доходы разработчиков DLP-систем в основном растут. Во многих компаниях уже либо используются DLP-системы, либо их предварительно тестируют, либо собираются тестировать в ближайшее время. И это несмотря на дороговизну с одной стороны и отсутствием каких-либо представлений об экономическом эффекте от их использования с другой. Если бы речь шла только о гос. организациях, то это еще можно понять, так там надо осваивать бюджеты, а значит чем дороже системе, тем лучше. Но коммерческие структуры тоже подвержены этой моде. Про эффективность, важность информации и губительных последствиях утечек нам уже все рассказали маркетинговые службы разработчиков этих систем. Но пора уже поговорить об экономике вопроса.
Безусловно DLP-система – очень мощный инструмент, внутренние угрозы – основной класс угроз ИБ, а утечки информации могут иметь очень серьезные последствия для бизнеса. Но достаточно ли этих абстрактных соображений для того, чтобы ежегодно тратить на DLP-систему от нескольких миллионов до нескольких десятков миллионов рублей, ухудшать моральный климат в коллективе и вступать в непростые отношения с законодательством, защищающим право граждан на личную жизнь (в том числе и на работе)? Являются ли DLP-системы экономически оправданными? При каких условиях? Для каких организаций? Как оценить их экономическую эффективность?
Например, отбойный молоток – тоже очень эффективный инструмент, но им же не забивают гвозди. Безопасность должна быть экономически обоснована.
Продвижение DLP-систем осуществляется их разработчиками при помощи отчетов об инцидентах. Цель этих отчетов заключается не в предоставлении наиболее полных и достоверных данных для оценки окупаемости, а демонстрация того, что проблема утечек существует, носит достаточно общий характер и имеет тенденцию к увеличению.
Достоверных данных об утечках, особенно по России не существует. Информация берется в основном из открытых источников. Поэтому в данную статистику попадают только резонансные дела, просочившиеся в прессу. Многие инциденты не афишируются. Компании статистику своих инцидентов либо вообще не ведут, либо не предоставляют.
Тем не менее нам надо на что-то опираться. Поэтому будем опираться на наиболее свежие отчеты. Они не настолько не достоверны. Ведь сами посудите все утечки по своим последствиям можно разделить на три группы: наносящие ущерб репутации (все они попадают в официальные отчеты), наносящие прямой финансовый ущерб (как правило не очень большой и наиболее легко оцениваемый) и приводящие к утрате конкурентных преимуществ в результате утечки коммерческой тайны, защищаемой законом (такие утечки разбираются в судах и должна быть судебная статистика по делам, связанным с нарушением интеллектуальной собственности).
Так может быть эта статистика как раз и дает представление о наиболее существенных утечках?
Из наиболее громких утечек прошедшего года мы можем видеть случаи, которые могли привести к утрате конкурентных преимуществ в результате нарушения коммерческой тайны и случаи, которые могли привести к прямому финансовому ущербу (судебные издержки и компенсации), а также к репутационному ущербу, но не привели. По мнению аналитиков, готовивших отчет, во всех этих случаях «ущерб не очевиден».
Рассмотренные данные и служат обоснованием DLP-системы. Мы увидели что проблема существует по всему миру и Россия на одном из первых мест. Проблема выражается кругленькой суммой в 30 миллиардов долларов, и это только вершина айсберга. Проблема касается каждого и растет из года в год. Все, необходимость приобретения DLP-системы очевидна. Вопрос только в том, какую выбрать. Предположим выбрали вы систему. Все ли инцидента, о которых говорилось в рассмотренном отчете она позволит предотвратить? И сможет ли предотвратить? Насколько эффективно? Может быть на практике она только часть этих инцидентов позволит предотвратить и в основном только создает ложное чувство защищенности?
Рассмотрим архитектуру DLP-системы на примере КИБ SearchInform.
Модулей много. Как правило, клиенты покупают максимальную комплектацию, т.к. это значительно выгоднее по цене. Исключение могут составлять случаи, когда клиенту нужен только 1-2 модуля. Например, контролировать только устройства или только принтеры. Но в таком случае бывает дешевле найти узкоспециализированное решение от какой-то другой компании.
В первую входят те компоненты, которые поставляются всегда. То есть не купить их не получится, т.к. без оных DLP-система не будет функционировать. Это:
DataCenter – центр управления «КИБ». Контролирует работоспособность модулей, а также управляет всеми созданными индексами и базами данных.
Одна из платформ для перехвата информации. NetworkSniffer отвечает за сетевой перехват. EndpointSniffer – за перехват на конечных точках.
SoftInform SearchServer – модуль, отвечающий за индексацию перехваченной информации.
AlertCenter – «мозговой центр» всей системы безопасности. Опрашивает все модули и, при наличии в перехваченной информации заданных ключевых слов, фраз или фрагментов текста, атрибутов документов, немедленно оповещает об этом офицеров безопасности.
Общий клиент – предназначен для ручного мониторинга трафика различных каналов передачи данных (HTTP, Skype, почтовой переписки и др.), а также осуществления поиска по перехваченным данным.
ReportCenter – инструмент отчётности. Позволяет собирать статистику по активности пользователей и инцидентам, связанным с нарушениями политики безопасности, и представлять ее в виде отчетов;
В «необязательную» часть можно отнести некоторые инструменты, а также модули (сниферы) контроля отдельных каналов в рамках платформ NetworkSniffer и EndpointSniffer. В предельном случае можно купить модуль для контроля только одного канала.
В платформе NetworkSniffer:
SearchInform MailSniffer;
SearchInform IMSniffer;
SearchInform HTTPSniffer;
SearchInform FTPSniffer;
SearchInform CloudSniffer;
SearchInform ADSniffer.
В платформе EndpointSniffer:
SearchInform MailSniffer;
SearchInform IMSniffer;
SearchInform HTTPSniffer;
SearchInform MicrophoneSniffer;
SearchInform MobileSniffer;
SearchInform MonitorSniffer;
SearchInform KeyloggerSniffer;
SearchInform FileSniffer;
SearchInform FTPSniffer;
SearchInform PrintSniffer;
SearchInform DeviceSniffer;
SearchInform SkypeSniffer;
SearcInform ProgramSniffer;
SearchInform CloudSniffer;
Сервер индексации рабочих станций;
Дополнительные инструменты:
EndpointSniffer Hub – позволяет внедрять КИБ в территориально распределенные филиалы компании, в каждом из которых используется небольшое количество рабочих станций и/или «узкий» канал связи с головным офисом;
SearchInform IncidentCenter – предназначен для оказания помощи сотруднику службы безопасности в категоризации фактов нарушений информационной безопасности компании, ведении «Дел» по сотрудникам и проведении расследований
Подробнее обо всех модулях и платформах можно прочитать здесь: http://searchinform.ru/main/full-text-search-information-security-product.html
Эти соображения надо будет учесть при формировании моделей угроз и уязвимостей.
Перейдем теперь к оценке окупаемости и экономической эффективности DLP. Она характеризуется ROI, который определяется отношением ALE к TCO.
ROI = 0, сколько вложили, столько и съэкономили, ничего не выиграли и не потеряли
ROI < 0, стоимость DLP превышает оценочный ущерб, зря потеряли деньги время
0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза от DLP не очевидна
ROI = 1, мы получаем 100% экономию на вложенные средства
ROI > 10, ожидаемое сокращение потерь на порядок превышает затраты на DLP
Хоть мы и говорим об инвестициях в ИБ, не надо путать это с обычными инвестициями, которые значительно лучше просчитываются и для которых ROI = 1 – это отличный результат (100% прибыль за год). Инвестиции в безопасность – это страхование, а страховая премия обычно составляет не более 10%, очень часто меньше 1%. Для страхования 10 < ROI <100. Таким же примерно должен быть ROI для DLP системы. Если ROI < 10 – это слишком большая страховая премия. Хотели бы вы застраховать свою машину или квартиру, например, за 20% процентов ее стоимости в год?
Т.о. простая формула ROI дает нам ответы на все экономические вопросы ИБ. ROI > 10 – хорошо, ROI < 10 – плохо, ROI < 0 – отвратительно. В этой формуле TCO достаточно легко и точно считается, а ALE является нескольких нелинейных величин, носящих очень неопределенный характер, таких как частота инцидентов, величина уязвимости и ценность актива.
Основная экономическая целью ИБ – обеспечения оптимального уровня возврата инвестиций в безопасность, т.е. Максимизация ROI. Для этого надо не только оценивать риски, но также регистрировать, анализировать и считать прямые и косвенные потери в результате инцидентов.
На схеме закрашены проблемные области с отрицательным возвратом инвестиций: область недофинансирования и область избыточного финансирования. В первом случае деньги на безопасность не выделяются, либо выделяются по остаточному принципу. Для этого случае характерны проблемы с вирусами, отсутствие планов непрерывности бизнеса и легкомысленное отношение персонала к вопросам безопасности. Во втором случае, осуществляется избыточное финансирование безопасности, но большая часть средств расходуется впустую. Для этого случая характерно процветание бюрократии, избыточная формализация, приобретение дорогостоящего оборудования без принятия необходимых организационных мер.
Будем двигаться от простого к сложному, поэтому начнем с оценки TCO.
В стоимость лицензии может входить тех. поддержка, обучение, проектирование, внедрение.
Если же обозначать вилку, то цена за 1 модуль на 1 компьютер будет от 900 до 3900 рублей. Зависит от сложности модуля. К примеру, MonitorSniffer будет дешевле, т.к. его задача делать снимки экрана и отсылать их на сервер. MailSniffer, в свою очередь, будет дороже, т.к. должен уметь работать с большим количеством протоколов, разбирать множество атрибутов и т.д.
100 машин – 2,3 млн. рублей
500 машин – 8,5 млн. рублей
1000 машин – 14 млн. рублей
Цена указана для случая, когда покупаются все модули. Также покупка, эквивалентная 1,5 млн. рублей обеспечивает бесплатное обучение 1 специалиста в учебном центре SearchInform по любой из программ http://searchinform.ru/training/training-center.html
Если купили на 3 млн., можно бесплатно обучить двоих, на 6 млн. – троих и т.д. Контур информационной безопасности SearchInform (далее КИБ) по составу можно представить в виде «обязательной» и «необязательной» части.
Конфигурации серверов для 1000 агентов:
CPU от 2×2.0 GHz 8 Core
RAM от 64 Gb
HDD1 от 512Gb — ОС, ПО, очередь от агентов (рекомендуется SSD RAID 1)
HDD2 данные (базы)* (рекомендуется RAID 10 или 50, SAS 10000)
HDD3 20% от HDD2 – индексы, кеш Alert (рекомендуется RAID 10 или 50, SAS 10000)
LAN 1 Gbps
Примерно: 766 585,00 руб.
OS от Windows 2008R2 и выше
Примерно: 30000 руб.
DB от Microsoft SQL Server 2008R2 (Standard, Enterprise)
* при условии хранения данных 6 месяцев — около 20Tb
Примерно: 70000 руб.
Итого: 866585 рублей
При покупке КИБ первый год техподдержки входит в стоимость. В дальнейшем каждый год оплата составляет 30% от стоимости лицензий (см. п.1).
В техподдержку входит:
обновление софта (выпуск новых версий, расширение функционала, оптимизация работы, исправление багов и т.д.);
обслуживание по инженерной части (к примеру, если клиент по какой-то причине не может или не знает, как разбить индексы, настроить автоматический запуск компонент, прописать альтернативные адреса серверов и т.д.);
первичное обучение по части аналитики (создание и настройка политик, составление отчётов и т.д.) и дальнейшая поддержка со стороны отдела внедрения;
бесплатное обучение в учебном центре по любой программе. В том случае, если сумма техподдержки кратна 1,5 млн. рублей.
Количество этапов рознится и зависит от требований заказчика. По цене можно сказать, что полный цикл внедрения DLP-системы стоит порядка 10% от стоимости покупки. У нашей компании стоимость всех этапов уже заложена в итоговую цену (см. п.1), поэтому они «бесплатны». Как правило, клиенты более позитивно воспринимают тот, факт, что озвученная стоимость окончательна и «вдруг» в большую сторону не увеличивается.
План внедрения DLP-системы «На пальцах» план таков:
Клиент заполняет типовую анкету, в которой указывает, что хочет контролировать, в каком объёме и каким мощностями (оборудованием) на данный момент он планирует это обеспечить. Часто бывает так, что «коробочное» решение (предустановленное на сконфигурированное железо) не нужно клиенту, т.к. оно либо не вписывается в существующую инфраструктуру, либо у клиента есть свои мощности (сервер или виртуальные мощности под него, SQL-сервер и т.д.)
Технический отдел проверяет анкету и даёт свои рекомендации по оборудованию и необходимым действиям (внести исключения в антивирус, создать учётные записи с определёнными правами и т.д.)
Клиент выполняет рекомендации и рапортует, что он готов к тестовому внедрению.
Тестовое внедрение бесплатно. Так как DLP-система – штука дорогая, мало кто хочет брать «кота в мешке». Одни хотят посмотреть, что происходит внутри компании и понять, нужно ли им вообще её покупать (до последнего надеются, что у них всё хорошо, сотрудники не воруют, конфликтов нет и т.д.). Другие точно знают, зачем им DLP и хотят выбрать лучшую под их задачи. Для этого могут одновременно развернуть несколько систем от разных вендоров, запросить проведение сравнительных испытаний, нагрузочных тестирований и т.д. В начале нулевых преобладала первая группа. В последние лет 5 больше заказчиков из второй.
Назначается дата развёртывания КИБ. В оговоренное время инженеры подключаются удалённо или приезжают непосредственно к заказчику.
После установки подключается отдел внедрения для проведения первичного обучения работы с софтом, оказания помощи в настройке политик безопасности, анализе перехваченной информации, составлении отчётов и т.д.
Такая документация в каждой компании своя. Её состав и содержание «на совести» компании. В предельном случае можно внедрить систему неофициально, без внесения соответствующих пунктов в трудовой договор и прочего. Вот только использование такой системы будет незаконно.
Стоимость человеко-дня = 20 т.р. Без правильного комплекта ОРД DLP будет конфликтовать с законодательством защищающим права на частную жизнь и, не будучи поддержана орг. Мерами, останется просто дорогой игрушкой.
TCO = 9 070 т.р. в год.
Теперь переходим к оценке вероятного среднегодового ущерба.
Для расчета ALE используется следующая знакомая многим формула. В этой формуле:
Вероятность угрозы – частота инцидентов ИБ
Величина уязвимости — % успешных инцидентов
Размер ущерба – совокупная стоимость скомпрометированных информационных активов
Угрозы будем рассматривать те, от которых защищается DLP-система, группа активов, критичных с точки зрения конфиденциальности (различные виды тайн, ПДн, финансовая информации).
Для оценки этих факторов риска нам необходимо будет пройти все этапы, предусмотренные методикой управления рисками ИБ, которая изначально была описана BSI в 3-й части стандарта BS 7799-3, затем была заложена в стандарты ISO 27000, и была адаптирована GlobalTrust для практического применения.
Все эти этапы управления риском мы разбираем на практическом тренинге, который будет проходить в конце июля в рамках учебного курса SearchInform «DLP от А до Я» и начнется как-раз с буквы А, т.е. с нашего тренинга по оценки рисков и эффективности DLP-систем.
Основной документ, который формируется по результатам применения данной методики — рисков ИБ (ПР) — документ, характеризующий риски ИБ объекта защиты (ОЗ).
Там есть все составляющие риска ИБ, в том числе и ROI DLP. Но пойдем дальше. Первое, что нам необходимо сделать для оценки риска – разобраться с активами. Нужна инвентаризация активов и оценка их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Для оценки этого ущерба необходим анализ последствий инцидентов (в нашем случае — утечек информации).
Все последствия утечек можно разделить на три группы. Рассмотреть соответствующие сценарии для каждой группы критичных активов, дать свои оценки наихудшему сценарию и наиболее вероятному сценарию развития событий. Далее сопоставить свои результаты с усредненными оценками, полученным различными исследователями.
В качестве примера посмотрим на расчеты Forrester Research.
В данному примере оцениваются прямые убытки, связанные с утечкой ПДн клиентов, в расчете на одну порцию данных. Если утекла клиентская база насчитывающая 100 000 записей, то прямой ущерб составит $21,8 млн.
Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в $1 млрд. В данном случае он может составлять более 60% маржи (валовой прибыли) – $120 млн.
Далее прямые и косвенные последствия утечки суммируются. Получаем цифры по недополученной прибыли на периоде 5 лет.
На графике показана прибыль компании до и после инцидента.
Теперь размер ущерба сопоставляется со стоимостью DLP. Вобщем-то страховка от угроз ИБ столько и должна стоить. Если учесть еще вероятность реализации рассматриваемого инцидента, то эти проценты возрастут на порядок и ROI DLP как раз попадет в интервал 10-100. Но как оценить эту вероятность угроз? Далее покажем как это можно сделать.
После того, как мы разобрались с активами и их ценностью, можно переходить к анализу угроз и уязвимостей для DLP. Модель угроз DLP в конечном счете находит отражение в политиках.
DLP-система ограничена своими политиками. Половина политик направлены не на выявление утечек, а на мониторинг действий сотрудников. Т.е. DLP обеспечивает значительный ROI не связанный с утечками.
DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки.
Нужна статистика по организации: сколько было инцидентов, сколько утечек предотвращено, как оценивается ущерб. Сопоставляя это с общей и отраслевой статистикой, можно достаточно точно оценивать вероятность угроз, потенциальный ущерб и ценность активов.
Поскольку у нас нет сейчас такой статистики, воспользуемся очередным отчетом об утечках. Например, для банков имеем 21 зарегистрированный инцидент
Это подтверждается картиной распределения утечек по типам информации.
Примерно 20 инцидентов год связаны с утечкой банковской тайны, если эту цифру разделить на 1000 банков то получится 0,02 или 2% — вероятность инцидента в течение года. Ожидаемая частота угрозы – 1 раз в 50 лет.
Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15.
Теперь рассчитаем ALE до и после внедрения DLP. В качестве среднего размера ущерба возьмем «среднее по больнице» из статистики инцидентов 2015 – $33 млн.
Величина уязвимости показывает эффективность DLP. Предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются.
В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP в данном случае в 3.5 раза превышает ее стоимость. Хороший результат для инвестиций, плохой – для страховки.
ALE и ROI носят вероятностный характер.
ROI = (-2 ; 50) слишком большая неопределенность метода оценки.
ROI = (2;5) – нормальная неопределенность. Например:
ROI = 3.5 с вероятностью 80%, =2 с вероятностью 4%, =5 с вероятностью 7% и т.п.
Эта презентация в формате pdf выложена на сайте GlobalTrust по адресу:
Основной целью обработки риска является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности при максимальном возврате инвестиций. Величина возврата инвестиций представляет собой разницу между полученной выгодой и вложенными средствами. В качестве полученной выгоды выступает оценочное значение сокращаемых среднегодовых потерь, а в качестве вложенных средств – денежные средства, прямо или косвенно затраченные на механизмы безопасности и обеспечивающие такое сокращение потерь.
Максимизация возврата инвестиций – основная экономическая задача информационной безопасности. Бюджет на безопасность всегда ограничен, поэтому стоит задача выбора наиболее эффективных контрмер, т.е. таких контрмер, которые дают наибольший возврат инвестиций при наименьших вложениях.
Для определения того, насколько эффективно защитные меры сокращают потери, используется коэффициент возврата инвестиций (ROI), который определяется как отношение величины возврата инвестиций к стоимости реализации контрмер, которая включает в себя расходы на их планирование, проектирование, внедрение, эксплуатацию, мониторинг и совершенствование.
ROI показывает, во сколько раз величина возврата инвестиций превышает расходы на безопасность.
График изменения ROI в зависимости от объема инвестиций в информационную безопасность показан на рисунке.
Мы видим, что сначала ROI находится в отрицательной области (области недофинансирования). При увеличении вложений в безопасность, начиная с определенного уровня инвестиций ROI выходит в положительную область (область оптимального финансирования) и постепенно достигает своего максимального значения, а затем начинает уменьшаться и опять входит в отрицательную область (область избыточного финансирования).
Отрицательный возврат инвестиций (ROI < 0) означает, что организация тратит на безопасность больше, чем получает от этого выгод. В этом случае безопасность является затратной статьей для организации, а предпринимаемые защитные меры обходятся дороже приобретаемых выгод либо только ослабляют реальную защиту и приводят к возрастанию рисков.
На схеме закрашены проблемные области с отрицательным возвратом инвестиций: область недофинансирования и область избыточного финансирования. В первом случае деньги на безопасность выделяются в недостаточном объеме по остаточному принципу. Предпринимаемые фрагментарные меры не дают желаемого эффекта. Для этого случая характерны проблемы с вирусами, отсутствие планов непрерывности бизнеса и легкомысленное отношение персонала к вопросам безопасности.
Во втором случае осуществляется избыточное финансирование безопасности, но большая часть средств расходуется впустую. Для этого случая характерно процветание бюрократии, избыточная формализация, приобретение дорогостоящего оборудования и/или программного обеспечения без принятия необходимых организационных мер.
При выборе способов обработки рисков для каждого рассматриваемого механизма безопасности (способа обработки риска) производится оценка ROI. При этом надо учитывать, что многие механизмы безопасности взаимосвязаны и в отрыве от остальных не дают требуемого эффекта, т.е. не обеспечивают желаемого возврата инвестиций. Так, политики безопасности или технические средства защиты не работают без соответствующего обучения и контрольных процедур. Поэтому при оценке ROI чаще всего рассматривается сразу группа взаимосвязанных механизмов безопасности, которые поддерживают и дополняют друг друга, обеспечивая максимальный эффект.
Поясним концепцию использования ROI для оценки эффективности контрмер на примере системы антивирусной защиты. Для этого оценим затраты на внедрение и эксплуатацию системы антивирусной защиты для организации, в офисе которой имеется 1000 рабочих мест. Эти затраты складываются из следующих составляющих:
первоначальной стоимости лицензий на антивирусное ПО (единоразовый платеж – 100 тыс. долл.);
стоимости подписки на обновление антивирусных баз (ежегодный платеж, начиная со второго года, – 30 тыс. долл.);
стоимости серверного оборудования (единоразовый платеж – 10 тыс. долл.);
стоимости трудозатрат технических специалистов на внедрение и администрирования системы (~50 человекодней в год – 10 тыс. долл. и еще 10 тыс. долл. – в первый год на внедрение);
стоимости обучения и повышения осведомленности пользователей и администраторов антивирусной защиты (разработка антивирусной политики и инструкций, проведение обучающих семинаров для пользователей и администраторов обойдется ~ 10 тыс. долл. единоразово и 4 тыс. долл. – в последующие годы).
Таким образом, средняя ежегодная стоимость эксплуатации системы антивируснойзащиты корпоративной сети на 1000 рабочих мест на пятилетнем периоде составляет 100000 + 30000 × 4 + 10000 + 10000 × 4 + 10000 + 4000 × 4) / 5 = 59200 ~ 60 тыс. долл.
В случае если корпоративная сеть организации подключена к Интернет, построена на платформе Windows, содержит конфиденциальную информацию, утечка которой может нанести значительный ущерб репутации и прочим интересам организации, а также реализует информационные сервисы, критичные с точки зрения доступности, тогда оценочный среднегодовой ущерб может быть очень значительным, вплоть до того, что организации вообще не сможет нормально работать, со всеми вытекающими отсюда последствиями. Среднегодовой ущерб (ALE) в этом случае вполне может исчисляться миллионами долларов.
Предположим, что по результатам оценки рисков мы получили ALE ~ 1 млн. долл. В этом случае ежегодный возврат инвестиций в систему антивирусной защиты составит:
∆ ALE = 1000000 – 60000 = 940000 долл.
Коэффициент возврата инвестиций для системы антивирусной защиты будет равен:
ROI = 940000 / 60000 ~ 15,7.
Конечно, наша оценка возврата инвестиций (ALE) может принципиально различаться в зависимости от следующих факторов:
оценки возможного ущерба для организации в случае антивирусных инцидентов, определяемой ценностью ее информационных активов;
наличия механизмов безопасности, оказывающих влияние на реализацию данной угрозы, например, использования шифрования конфиденциальной информации, наличия системы автоматической установки программных коррекций и т.п.;
наличия подключения к Интернет и разрешенных сетевых протоколов;
используемой программной платформы (для UNIX-систем вероятность вирусной угрозы во много раз ниже);
квалификации пользователей и технического персонала, возможности использования мобильных устройств и носителей и т.п.
Совокупность всех этих факторов может давать совершенно различные значения ROI. Кроме этого, надо учитывать, что наши оценки угроз, уязвимостей и ценности активов являются весьма приблизительными и допускают весьма существенные погрешности. Минимальное и максимальное значения ALE могут различаться в несколько раз (но все же не в десятки раз при условии, что оценку рисков проводят квалифицированные эксперты).
Поэтому значения ROI, не превышающие 10, как правило, являются не самыми лучшими решениями для информационной безопасности (т.к. с учетом возможной погрешности оценки реальный ROI при этом может оказаться близок к 0). Эффективные механизмы контроля как правило должны иметь более высокий коэффициент возврата инвестиций.
По прогнозам ряда экспертов российский рынок кибер-страхования к 2025 году достигнет 1 млрд. рублей. Под кибер-страхованием понимается страхование от убытков, связанных с реализацией кибер-угроз в отношении застрахованного. Другими словами, речь идет о страховании кибер-рисков, а точнее остаточных кибер-рисков, а еще точнее остаточных информационных рисков или рисков ИБ (терминология никак не устоится).
Предпосылки страхования кибер-рисков
Тема страхования рисков ИБ мусолится с начала нынешнего века. На памяти автора за последние лет 10-15 неоднократно делались попытки запуска подобного бизнеса страховыми компаниями совместно с ИБ-интеграторами, но дальше 1-2 страховых договоров дело не шло по понятным причинам, главным образом, из-за сложности объективной количественной оценки риска ИБ. Страхователи используют статистические методы оценки, а оценка рисков ИБ в основном носит экспертный характер.
Кроме этого, в России законодательство в части определения ответственности за нарушения и преступления в сфере ИБ (кибер-преступления) развито слабо, а исполняется еще слабее. Сумма штрафов варьируется от 1 до 50 тыс. рублей. Т.е. компании не испытывают достаточного «регулятивного» давления для движения в сторону страхования кибер-рисков.
В то же время потребность в страховании кибер-рисков начинает обществом осознаваться, по мере осознания эфемерности и неэффективности большинства реализуемых компаниями мер по защите информации и по мере экспоненциального возрастания соответствующих рисков. Поскольку большинство компаний не только не в состоянии защититься от кибер-угроз, но и хотя бы осознать эти кибер-угрозы, то единственным выходом становится страхование своей ответственности и возможных убытков.
Ситуация должна измениться уже в ближайшие годы. В рамках программы «Цифровая экономика»государство реализует меры, направленные на формирование цивилизованного рынка кибер-страхования в России.Одной из таких мер может стать обязательная покупка полиса страхования кибер-рисков.
В настоящее время объем страховых премий в России на данном рынке не превышает 10 млн рублей. Однако согласно оценкам Mains Insurance Brokers & Consultants, уже в 2019 году начнется экспоненциальный рост рынка, а в 2025 году его объем достигнет 1 млрд рублей. В подразделениях риск-менеджмента корпоративных клиентов наблюдается активность, связанная с подготовкой стратегии сокращения ущерба от киберрисков через инструменты страхования.
Механизм страхования кибер-рисков
Процедура страхования кибер-рисков значительно сложнее и дороже любой другой процедуры страхования и это еще одна причина отсутствия данного рынка в России. Компании, желающей застраховать свои кибер-риски, надо пройти следующие стадии.
Предварительная стадия:
Предварительное анкетирование (проводится страховой компанией или страховым брокером)
Выбор экспертной организации для проведения предварительного аудита (из числа организаций, аккредитованных страховой компанией)
Предварительный аудит и оценка рисков ИБ (проводится экспертной организацией)
Реализация мер по уменьшению рисков, внедрение СЗИ и процессов ИБ (проводится интегратором, лицензиатом ФСТЭК/ФСБ)
Пост-аудит и оценка остаточных рисков ИБ (проводится той же экспертной организацией-аудитором)
Заключение договора страхования:
Определение областей страхования
Определение размеров страхового покрытия
Определение размеров страховых взносов
Формирования комплексного договора (учитывающего специфику конкретного клиента)
Страховое покрытие может включать в себя:
Расходы страхователя на защиту в суде
Расходы на восстановление репутации
Расходы на управление кризисными ситуациями
Расходы на восстановление данных
Расходы на кибер-вымогателей
Ущерб, причиненный третьим лицам
Убытки от прерывания производственного процесса
Урегулирование инцидента и получение страховых выплат:
Обнаружение инцидента ИБ и реагирование на него (от скорости реагирования, как правило, зависит размер ущерба и соответствующие страховые выплаты)
Расследование инцидента ИБ (определение того, является ли данный инцидент страховым случаем, оценка ущерба). Расследование проводится специализированной экспертной организацией, аккредитованной страховой компанией.
Получение страхового возмещения
Нужен мега-интегратор ИБ?
Если посмотреть на описанную выше процедуру страхования кибер-рисков, то можно заметить, что услуга по страхованию там даже не основная, т.к. помимо страховой компании в ней задействованы еще не менее трех экспертных организаций: «аудитор», «интегратор» и «следователь». Т.е. страхование кибер-риска — это часть набора сервисов ИБ, которые необходимы любой организации для того, чтобы обеспечить адекватную защиту своих активов в так называемом «цифровом мире». Собрать эту всю мозайку воедино (брокера, страховщика, аудитора, интегратора, следователя и т.п.) и предложить клиентам интегрированный набор сервисов ИБ может только некий глобальный провайдер ИБ-сервисов (мега-интегратор) , т.к. страховщикам эта задача вряд ли по силам. Мега-интегратор ИБ не должен сам оказывать никаких услуг по обеспечению ИБ из перечисленного выше набора. Его задача — управление взаимодействием между поставщиками и потребителями сервисов ИБ, включая страхование, а также аккредитация и контроль участников процесса.
Выводы
Такая вот сложная и дорогая процедура страхования кибер-рисков получается. Но что же тут поделаешь, когда стоимость кибер-инцидентов может составлять миллиарды долларов, как при взломе хакерами сети Sony PlayStation, и совокупный годовой доход только российских хакеров стремится к той же величине. Эффективных же способов минимизации кибер-рисков либо не существует, либо они недоступны большинству компаний, в связи с чем, они тратят значительные средства на защиту информации, не получая реальной защиты и оставаясь лицом к лицу со своими кибер-рисками.
Первоисточник
А написан этот материал был по следам роскошного бизнес-завтрака, организованного страховым брокером Mains Insurance Brokers & Consultants, на котором были анонсированы материалы исследования рынка страхования кибер-рисков в России.
По мнению Роберта Кийосаки, автора знаменитого бестселлера«Богатый папа, бедный папа», основное отличие в ментальной установкемежду богатыми и бедными заключается в том,что бедные стремятся любыми способами избегать финансовых рисков,а богатые стремятся эти риски контролировать.
Прежде чем планировать расходы на уменьшение или передачу риска, возможно, стоит задуматься, нельзя ли избежать риска путем реорганизации бизнес-процесса, например путем выбора иных способов передачи, хранения или обработки информации.
Избежание рискаозначает любые действия, при которых изменяются способы ведения бизнеса для того, чтобы избежать осуществления риска. Например, избежание риска может быть достигнуто путем:
отказа от определенных бизнес-активностей (например, неиспользования возможностей, предоставляемых электронной коммерцией, или неиспользования Интернет для осуществления некоторых операций);
перемещения ресурсов из зоны риска (например, отказ от хранения конфиденциальных файлов в Интранет-сети организации или перемещение ресурсов из зон, недостаточно защищенных физически);
принятия решения о том, чтобы не обрабатывать конкретную конфиденциальную информацию, например, совместно с третьей стороной в случае, если адекватный уровень защиты не может быть гарантирован.
Избежание риска должно быть сбалансировано с потребностями бизнеса и финансовыми целями. Например, использование Интернет или электронной коммерции может являться неизбежным для организации в связи с деловой необходимостью, несмотря на озабоченность по поводу хакеров, или с точки зрения бизнеса может быть неосуществимо перемещение определенных ресурсов в более надежное место. В таких ситуациях должны рассматриваться другие варианты, такие как передача или уменьшение риска.
«Самое важное, чему я научился как менеджер,что работу должны делать другие».
АльфредСлоун, президент корпорации «Дженерал Моторс»
Передача риска может быть выбрана в случае, если сложно уменьшить риск до приемлемого уровня либо если передача этого риска третьей стороне экономически более оправдана.
Основными механизмами передачи риска являются страхование и аутсорсинг. Для передачи риска годятся также любые договорные отношения, позволяющие разделять ответственность и перекладывать риск на внешнюю сторону (партнеров, клиентов и т.п.). Не стоит, однако, рассматривать государство в качестве такой внешней стороны. Передать риск государству достаточно проблематично. Предлагая, а чаще всего навязывая, бизнесу систему лицензирования, сертификации и аттестации, государство при этом не принимает на себя соответствующие риски бизнеса. Для аттестованных систем никаких дополнительных гарантий и компенсации ущерба не предоставляется, наличие лицензий и сертификатов не является гарантией безопасности. Не получится разделить ответственность также и с независимыми негосударственными органами по сертификации, т.к. эти органы лишь декларируют соответствие определенным требованиям.
Традиционным механизмом передачи риска является страхование. Страховщики делают бизнес на чужих рисках, принимая на себя эти риски и получая за это страховую премию. Компенсация убытков предоставляется в том случае, если осуществляется риск, который укладывается в рамки страхового покрытия. Успех их бизнеса определяется точностью прогнозирования среднегодового ущерба, которые должен быть существенно меньше страховой премии.
Однако даже при страховании присутствует элемент остаточного риска, поскольку будут существовать условия и исключения, применяемые в зависимости от типа происшествия, для которых компенсация не будет предоставляться. Поэтому необходимо тщательно анализировать передачу риска при помощи страхования для того, чтобы определить, какая часть риска реально передается. Следует также учитывать, что страхование обычно не имеет дело с нефинансовыми последствиями и не предоставляет немедленной компенсации в случае инцидента.
Другой возможностью является использование третьих сторон или партнеров по аутсорсингу для управления неосновными бизнес-процессами организации. В этом случае необходимо позаботиться о получении гарантий того, что все требования безопасности, цели и механизмы контроля включены в соответствующие договора для обеспечения достаточного уровня безопасности.
Кроме того, следует определить требования безопасности вместе с конкретными показателями эффективности в соглашениях об уровне сервиса таким образом, чтобы эффективность предпринимаемых мер безопасности могла быть измерена. Необходимо принимать во внимание, что здесь также присутствует остаточный риск, заключающийся в том, что окончательная ответственность за безопасность аутсорсинговой информации и средств ее обработки остается за вашей организацией, а также, что через аутсорсинг могут привноситься новые риски, которые также должны оцениваться и контролироваться.
Если риск неприемлем, то обычно в первую очередь рассматривается вопрос о его уменьшении до уровня, который был определен как максимально допустимый, путем применения соответствующих механизмов контроля.
Одним из наиболее авторитетных источников для выбора механизмов контроля служат международные стандарты ISO 27001 (Приложение А) и ISO 27002, предоставляющие описание и руководство по внедрению для каждого механизма контроля. В стандарте ISO 15408 «Общие критерии оценки безопасности информационных технологий» и разработанных на его основе профилях защиты можно найти соответствующие требования и подобрать спецификацию практически для любых программно-технических механизмов контроля. Заслуживает также внимания немецкий стандарт в области ИТ безопасности BSI/IT Baseline Protection Manual.
Список источников информации о контрмерах, применяемых для уменьшения рисков не исчерпывается названными стандартами. Подробную информацию по отдельным областям контроля можно почерпнуть из других международных стандартов, которых насчитывается несколько десятков наименований. Перечислим лишь некоторые из них:
ISO 13335 – группа стандартов «Информационные технологии. Руководство по управлению ИТ безопасностью»;
ISO 18044 – стандарт «Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности»;
ISO 18043 – стандарт «Информационные технологии. Методы обеспечения безопасности. Выбор, развертывание и эксплуатация систем обнаружения вторжений»;
ISO 13569 – стандарт «Финансовые сервисы. Руководство по обеспечению информационной безопасности»;
ISO 13888 – группа стандартов «Методы обеспечения ИТ безопасности. Неотказуемость. Общие положения»;
ISO 19794 – группа стандартов «Информационные технологии. Форматы обмена биометрическими данными»;
ISO 18028 – группа стандартов «Информационные технологии. Методы обеспечения безопасности. Безопасность ИТ сетей»
Международные и национальные стандарты можно приобрести в интернет-магазине shop.globaltrust.ru, являющемся официальным дистрибьютором Британского института стандартов.
Механизмами контроля в международных стандартах называют любые меры, направленные на уменьшение риска. Уменьшать риски можно следующими способами:
уменьшением вероятности воздействия угрозы на активы;
ликвидацией имеющихся уязвимостей;
уменьшением вероятности использования уязвимости;
уменьшением возможного ущерба в случае осуществления риска путем обнаружения нежелательных событий, реагирования и восстановления после них.
Какой из этих способов (или их комбинацию) организация выбирает для защиты своих активов, зависит от требований бизнеса, внешней среды и обстоятельств. Выбор механизмов контроля должен быть обоснован. Основными критериями такого выбора служат его реализуемость, эффективность в достижении целей контроля и экономическая целесообразность, измеряемая коэффициентом возврата инвестиций (ROI). Каким образом определяется ROI, мы рассмотрим ниже в разделе «Оценка возврата инвестиций в информационную безопасность».
Не существует универсального или достаточно общего подхода к выбору целей и механизмов контроля. Процесс выбора, вероятно, будет включать в себя большое количество этапов принятия решения, консультации и обсуждения с представителями бизнеса и ключевыми лицами, а также анализ целей бизнеса. Процесс выбора должен базироваться на четко определенном наборе целей и задач бизнеса или его миссии и произвести результаты, которые наилучшим образом подходят для организации в терминах требований бизнеса по защите его активов и инвестиций, культуры организации и ее терпимости к риску.
Выбор механизмов контроля опирается на результаты оценки риска. Анализ уязвимости или угрозы может показать, где требуется защита и какие формы она должна принимать. Любые подобные ссылки на оценку рисков должны быть документированы с целью обоснования выбора (либо исключения) механизмов контроля. Документирование выбранных механизмов контроля, наряду с целями контроля, для достижения которых они предназначены, в декларации о применимости и в плане обработки рисков (об этих документах пойдет речь ниже) является важным условием для сертификации по стандарту ISO 27001, а также помогает организации далее непрерывно отслеживать ход внедрения и эффективность механизмов контроля.
При выборе механизмов контроля должно учитываться большое количество других факторов, включая:
простоту внедрения и эксплуатации механизма контроля;
надежность и воспроизводимость механизма контроля (является ли он документированным, исполняется он вручную или запрограммирован);
относительную силу механизмов контроля по сравнению с другими мерами;
типы выполняемых функций (предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг или оповещение).
На выбор механизмов контроля могут повлиять следующие ограничения:
время реализации– может быть неприемлемым, например, превышать жизненный цикл процесса, для которого требуется уменьшить риск;
законодательные– ограничения на использование средств шифрования;
этические– не во всех организациях уместна перлюстрация почты, а сообщения о подозрительных действиях в ряде случаев могут трактоваться как доносительство;
культурные– досмотр сумок можно ввести в Европе, но это недопустимо в странах Ближнего Востока. Успешность внедрения в значительной степени зависит от поддержки со стороны персонала;
операционные– необходимость обеспечения непрерывной доступности системы 24 часа в сутки.