© 1995-2021 Компания «Инфосистемы Джет»
Важность оценки рисков в Информационной Безопасности
Информационная безопасность

Как часто нужно проводить оценку рисков? Какой софт целесообразно использовать для таких проектов? По каким причинам снижается продуктивность ИБ-специалистов?

Оценка рисков как must have, или перестаньте тыкать пальцем в небо

№7-8 (299) / 2019

20.08.2020

Посетителей: 468

Просмотров: 426

Время просмотра: 2.7 мин.

Как часто нужно проводить оценку рисков?

 

Какой софт целесообразно использовать для таких проектов?

 

По каким причинам снижается продуктивность ИБ-специалистов?

 

 

 — Какие угрозы кибербезопасности сегодня наиболее актуальны?

— Зависит от профиля компании. Каждая организация с помощью оценки рисков должна выявить наиболее актуальные для себя угрозы. Если этого не сделать, то их актуальность будет определяться по принципу «пальцем в небо». Например, систему ДБО банка с высокой долей вероятности будут атаковать хакеры, чтобы украсть деньги.

 

То, что у вас нет инцидентов, не значит, что угрозы неактуальны. Это может означать, что вы их не выявили и не знаете о них.

 

Если брать весь рынок, то ситуация с глобальными угрозами не меняется. Может быть, только Интернет вещей выстрелил некоторое время назад: прошла волна крупных DDoS-атак с использованием гигантского количества утюгов и пылесосов. В целом же можно повторить слова многих спикеров о том, что «количество угроз ИБ растет, все плохо, надо покупать средства защиты и т.д.».

 

При управлении рисками угрозы ранжи- руют исходя из актуальной модели нарушителя, предпосылок и потенциального ущерба, который может наступить при их реализации. Проще говоря, если угроза может повлечь за собой 6 млн руб. ущерба, то она актуальнее той, что оценивается в 200 тыс. Так их и надо ранжировать.

Лица, принимающие решения (ЛПР), считают деньги и хотят видеть, где безопасность зарабатывает или экономит. Узнать это можно только одним способом — оценить риски. Поздно оценивать ущерб, когда он уже наступил, а деньги утекли.

О рисках ИБ

— Как часто нужно проводить и пе­ресматривать оценку рисков?

— С периодичностью от года до трех лет. При соблюдении регуляторных требований, серьезном изменении инфраструктуры, процессов и продуктов в компании моделирование угроз должно быть непрерывным процессом. Нужен годичный цикл, в рамках которого будет проходить актуализация состояния конкретных систем или процессов.

 

В ряде крупных компаний оценка рисков происходит ежеквартально: группа стейкхолдеров берет предыдущую модель угроз и пересматривает ее, выявляет, что изменилось. Главное, чтобы это выполнялось не раз в несколько лет: при современной динамике за это время изменится как бизнес, так и ландшафт угроз.

 

Отмечу, что оценка рисков должна быть регулярной, но заниматься только ею нельзя. Для отдела ИБ это лишь одна из задач, поэтому надо найти приемлемый баланс: сколько времени и ресурсов вы готовы на нее тратить.

— Как найти тот же баланс между противоречивыми требованиями к киберзащите: и чтобы затраты на нее были низкими, и чтобы она обеспечивала высокую защищен­ность, функционировала прозрачно для пользователей, быстро и легко развертывалась?

— С помощью карты рисков. Она позволяет получить полную картину. Вы можете четко видеть угрозы, ущерб от них, а в сформированном плане мероприятий прописано, как снизить их до приемлемого уровня и сколько на это нужно будет потратить.

 

Другими словами, мы видим, какие риски генерируют реальный ущерб и во сколько обойдутся меры по их снижению. Карта рисков позволяет увидеть «дорогую» в плане ущерба угрозу с условно «дешевыми» мерами по ее нивелированию.

 

В целом нужно прокачать систему безопасности до определенного best-practice — базового уровня защищенности, а затем переходить к пентестам или формированию у себя Red/Blue Team. Когда вы всё реализовали по стандартам, достигли baseline, выполнили обязательную программу, тогда уже можно приглашать экспертов, которые помогут определить, где еще остались узкие места. И здесь нужны пентесты. Они покажут, над чем еще нужно работать. И это непрерывный, практически бесконечный процесс, поскольку совершенствоваться можно довольно долго. Если же система безопасности не выстроена, изначально дырявая, то пентесты бессмысленны: они за ваши деньги покажут то, что вы и так уже знаете, — кучу брешей и неработающие процессы.

— Что, по вашему мнению, перво­степенно: высокий уровень защи­щенности или удобство сервисов для пользователей?

— У нас все еще наблюдается неклиентоориентированность ИБ, когда во главу угла ставится безопасность, а не удобство пользователя. Это неправильно. Если компания зарабатывает деньги на предоставлении сервиса клиенту, а он уходит, то такая ИБ никому не нужна, потому что организация разорится. Безопасник обязательно должен думать об удобстве использования. Другой вопрос, что, как правило, это упирается в оптимизацию процессов. И здесь стоит работать над развитием компетенций ИБ-специалистов по этому направлению — BPM или Lean. В результате вы увидите, где слишком закручены гайки, на чем компания теряет ресурсы, что можно улучшить.

 

Наше общество сейчас — общество ленивых людей, которые привыкли к удобству сервисов. Естественно, в эту сторону развивается и информационная безопасность: инструменты становятся более удобными.

— Как это выражается в случае сис­темы управления рисками?

— В идеальном мире решение, которое используется для оценки рисков, должно автоматически поддерживать ее пересмотр и актуализацию. Например, в нашей системе информация обо всех активах, инцидентах и уязвимостях обновляется в режиме онлайн. Мы идем к тому, чтобы при инвентаризации, добавлении данных о новом средстве защиты риски пересчитывались автоматически. Не во время кампании по актуализации угроз через год, а сразу.

 

При моделировании рисков в нашем решении настраиваются связи: например, отсутствие инцидентов определенного типа, связанного с конкретными угрозами, означает, что они неактуальны. Наличие от 1 до 3 инцидентов — угроза среднего уровня, более 5 инцидентов — высокого. При появлении инцидента система автоматически пересчитывает статус угрозы.

 

В результате, если открыть карту рисков, она будет актуальной: с учетом всех средств защиты, инцидентов и уязвимостей на текущий момент.

ЛПР нужно показывать конкретные кейсы: объяснять, что есть риск, который стоит 10 млн руб. в год, мы можем снизить его до 2 млн, но для этого нужно потратить 3 млн на средства защиты. Экономия — 5 млн руб. Когда к бизнесу приходят с фактурой: конкретными цифрами, анализом рынка и кейсов в компании, — ему гораздо легче принять решение о выделении бюджета.

— Какой софт используется для оценки рисков?

Первый вариант — Excel. Это дешево, и его используют в 90% проектов по оценке рисков, даже представители «большой четверки». Обычно Excel применяется в сочетании с макросами и выглядит практически как интерфейс специальной программы. Но у такого подхода есть свои недостатки. На большом количестве данных система начинает тормозить, а чтобы отредактировать макрос, нужно найти его автора, что не всегда возможно. Зачастую вообще не получается разобраться, как именно Excel работает с макросом. Кроме того, в большинстве случаев у таких решений нет нормальной инструкции и методологии.

 

Второй вариант — GRC-системы — дорогой инструментарий для крупных компаний с высоким уровнем зрелости. Это конструкторы, с помощью которых можно создать собственный космос, свою систему, но это займет несколько лет и потребует много ресурсов. К тому же специалистов в этой области мало и стоят они дорого. Найти такого человека намного сложнее, чем того, кто напишет макрос. Из-за этого GRC не нашли широкого применения на рынке.

 

Также для оценки рисков ИБ можно использовать инструментарий Security GRC (SGRC). Это не настолько масштабный конструктор, как полноценная GRC, — он дешевле и проще.

— Сколько времени занимает раз­вертывание подобных решений?

Здесь работает принцип 80/20: 20% проекта идут быстро, потом нужно долго и тщательно работать. Волшебной таблетки, ускоряющей процесс, к сожалению, не существует. Наши решения тоже развертываются быстро, но затем начинается кропотливая работа по приведению системы в идеальное состояние.

 

Если уровень зрелости компании не очень высок, вы не сможете быстро выстроить правильную киберзащиту. Нужно сформировать стратегию развития направления хотя бы на 3 года и постепенно, год за годом, ее реализовывать. При этом важно минимизировать текучесть кадров — она может стать реальным стоппером проекта.

Правильно построенная матрица рисков, где оценена суммарная стоимость каждой меры (включая внедрение, поддержку и организационные составляющие), позволяет выбрать те варианты защиты, которые действительно актуальны и принесут больше пользы.

О кадрах

— Какие средства защиты актуаль­ны сегодня?

Сами по себе средства защиты не могут обеспечить кибербезопасность. Она строится на связке из технологий, людей и процессов. Помимо самой системы, нужны квалифицированные кадры, которые ее внедрят, будут использовать и поддерживать, нужен воспроизводимый, непрерывный и правильно задокументированный процесс. Без любого из этих элементов реальной безопасности в вашей компании не будет.

— Как вы решаете проблему недо­статка квалифицированных кадров?

Лучше искать долго и придирчиво, но найти действительно классного специалиста, обладающего необходимым набором hard и soft skills. Как показывает опыт, личностные качества развивать сложнее, чем технические компетенции. Знания можно нарастить, а отношение к работе у человека меняется редко.

 

Готовых специалистов на рынке мало, к тому же такой сотрудник даже на новом месте будет стараться работать, используя уже знакомые ему подходы, и не факт, что его удастся переучить. Нужно не бояться подтягивать и выращивать экспертов. Это не всегда возможно, особенно если результат нужен «вчера» и человек, выходя на работу, должен сразу его показать. В остальных случаях стоит брать людей «на вырост» и давать им задачи чуть сложнее привычных, чтобы они развивались.

— Насколько важно вкладываться в обучение специалистов?

Будучи CISO, я всегда считал обучение важным. Оно играет огромную роль, когда в компании появляются новые системы или процессы, эффективность которых напрямую зависит от компетенций сотрудников. Некоторые считают, что хороший специалист обучится сам. Возможно, но он потратит существенно больше времени и наверняка что-то упустит. Есть приемы, позволяющие даже при отсутствии HR-бюджета закладывать расходы на обучение в проект, если руководитель в этом заинтересован. При этом узкие технические скиллы легко получить на курсах, а вот тренинги по процессам ИБ или оценке рисков на рынке представлены слабо. Бывает и такое, что желание обучить специалиста есть, а качественного курса нет.

— Как повышать продуктивность сотрудников?

Первая причина потери продуктивности — отсутствие порядка, того, что мы называем инвентаризацией. Когда есть четкое понимание того, что происходит с ИТ-активами компании и кто за них отвечает, любые вопросы решаются быстро. Яркий пример — задача обновления ПО. Ничего сложного в ней нет, но, если инвентаризация не проводится, ответственному сотруднику сначала придется долго разбираться, где что стоит и как используется. Это особенно актуально для больших компаний.

 

Второе, на чем теряется время сотрудников, — рутинные операции. Не надо бояться их автоматизировать: 5 раз выполнил задачу руками — на 6-й стоит задуматься и написать скрипт. Такие вещи сильно повышают продуктивность и мотивацию. Человек, который полдня занимается рутиной, гораздо менее «заряжен», чем тот, кто тратит на нее 20% времени.

Многие с удовольствием потратят 10 млн руб. на новую систему, но не выделят и 100 тыс., чтобы научить людей с ней работать. В результате компания будет использовать всего 20% потенциала нового решения, потому что инженеры просто не умеют им пользоваться. Это смешно, ведь стоимость обучения ничтожно мала по сравнению с расходами на инструментарий.

Уведомления об обновлении тем – в вашей почте

Информационная безопасность - обзор основных положений. Часть 3

Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.  Управление рисками   Суть работы по управлению рисками состоит в том, чтобы ...

Как оценить риски информационной безопасности

Задача оценки рисков информационной безопасности сегодня воспринимается экспертным сообществом неоднозначно, и тому есть несколько причин

Подушка безопасности

Режим коммерческой тайны – когда нужно о нем задуматься и как его внедрить

Управление рисками: обзор употребительных подходов (часть 1)

В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы

Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности

Информация является одной из разновидностей таких ценностей, стоимость ее может оказаться настолько высокой, что ее потеря или утечка, даже частичная, способна поставить под вопрос само существование компании.

Профили защиты на основе «Общих критериев»

В статье анализируются профили защиты и их проекты, построенные на основе международного стандарта ISO/IEC 15408, описывающие сервисы безопасности, их комбинации и приложения. Выделяются общие требования, которые могут войти в состав ...

Анализ рисков, управление рисками

Вопросы обеспечения информационной безопасности (ИБ) исследуются в разных странах достаточно давно. Можно констатировать, что к настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что ...

Методология оценки безопасности информационных технологий по общим критериям

  В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии в дальнейшем государственных организаций США, Канады, Великобритании, Франции, Германии и Нидерландов были развернуты работы по созданию ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня