Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»
№7-8 (299) / 2019
Информационная безопасность

Как справиться с неопределенностью при оценке рисков ИБ

Автор
Ирина Павлова Старший консультант Центра информационной безопасности компании «Инфосистемы Джет»

219

0

12

0

3

Какие виды неопределенности подстерегают компанию при оценке рисков ИБ?

 

Как лучшие практики в области ИБ рекомендуют оценивать киберриски?

 

Оценка рисков ИБ при использовании облачных сервисов: 15 способов минимизации неопределенности для банков и не только

 

Неопределенность приносит нема­ло головной боли ИТ- ­ и ИБ-­специ­алистам при оценке киберрисков. Как правильно вычислить стои­мость актива, приняв во внимание все его компоненты: оборудование, ПО и др.? Как объективно оценить потенциальный ущерб от реализации угрозы? Например, для ИБ-­специалиста ущерб от подделки записей журнала регистрации событий, скорее всего, будет существенным, а вот бизнес­-владельцу актива угроза может пока­заться незначительной. Как быть с оценкой вероятности реализации угроз? Ее точно так же, как и ущерб, различные специалис­ты определяют по-­разному. Все это важ­но, так как неучтенные или некорректно оцененные угрозы и уязвимости влекут за собой серьезные риски для безопасности организации.

 

Первый шаг к исключению подобных сценариев — определение типа, характера и значения неопределенности для достоверности результатов оценки риска ИБ. Чтобы разобраться в этом, задайте себе несколько вопросов:

  • Все ли сведения об активах и источники информации учтены при анализе?
  • Насколько достаточна и достоверна ана­лизируемая информация?
  • Каковы планы развития организации? Предусматривают ли они какие­-либо из­менения ИТ-инфраструктуры?
  • Зависит ли компания от сторонних орга­низаций: головной компании, облачных провайдеров, партнеров и т.д.?
  • Учтены ли ранее возникавшие в орга­низации угрозы и уязвимости ИБ? А те, что могут возникнуть в будущем?

Неопределенность

Состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности

 

ISO Guide 73 «Risk management — Vocabulary — Guidelines for use in standards» (2009)

Обработка неопределенности: ищем ответы в лучших практиках

 

При обработке неопределенности можно руководствоваться международными стан­дартами NIST Special Publication 800­хх, ISO серии 310хх, 27ххх и их российскими анало­гами. Рассмотрим ключевые рекомендации этих документов.

 

ISO/IEC 31010:2009 «Risk management – Risk assessment techniques» / ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Cо­гласно этим стандартам, для получения наиболее полной информации к оценке рисков нужно подключать как можно боль­ше заинтересованных лиц: ИТ-специалис­тов, владельцев активов, юристов, эконо­мистов и т.д. Оценивать риски следует c использованием сразу нескольких ме­тодов — например, с помощью мозгового штурма, контрольных листов и метода Дельфи, основанного на обобщении экс­пертных мнений. В ранжировании рисков должны участвовать высококвалифици­рованные специалисты: владельцы ак­тивов, юристы и экономисты. При этом необходимо учитывать всю доступную информацию, включая хронологические данные, сведения об особенностях систе­мы, специфике организации, эксперимен­тальные данные и т.д.

ISO/IEC 27005:2018 «Information technology – Security techniques – Information security risk management» / ГОСТ Р ИСО/МЭК 27005-2010 «Ин- формационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Эти стандарты рекомен­дуют обращаться за квалифицированной консультацией как к заинтересованным специалистам из самой организации, так и к внешним экспертам до принятия ре­шений по вопросам оценки рисков (идентификация активов, ранжирование рисков, возможные угрозы в отношении активов и др.). Следует идентифицировать угрозы как в общем, так и по их типу, а затем, где применимо, выявлять отдельные угрозы для исключения неожиданных. Например, к общим можно отнести угрозу нарушения установленных правил разграничения дос­тупа, к отдельным — угрозу неправомерно­го ознакомления с защищаемой информаци­ей, подмены действия пользователя путем обмана, обхода некорректно настроенных механизмов аутентификации и пр. Реко­мендуется учитывать внутренний опыт организации, полученный по итогам ра­нее выявленных инцидентов, и прошлые результаты оценки рисков. Помимо этого, следует ориентироваться на базы дан­ных угроз и уязвимостей, которые ведут госорганы, научно­-исследовательские институты и другие организации. Так­ же важно учитывать стоимость восста­новления информации либо ее зачист­ки и последствия для бизнеса от потери или компрометации актива. Среди зна­чимых факторов стандарт выделяет так­ же распространяющиеся на организацию правовые и регулирующие требования, а также применимые к ней ограничения: временные, финансовые, технические, операционные, культурные, этические, связанные с окружающей средой, юриди­ческие, кадровые, касающиеся интеграции новых и существующих средств защиты. Нельзя забывать и о различиях в пред­положениях, понятиях, потребностях и проблемах заинтересованных сторон, связанных с риском или обсуждаемыми проблемами. Важно, чтобы все они, будь то владелец актива, юрист или экономист, осознавали риски и причины их возник­новения, а также понимали, какие выгоды им дают имеющиеся активы. Наконец, необходимо учитывать ценность актива исходя из его вида.

NIST Special Publication 800-30 «Guide for conducting risk assessments» (2012), NIST Special Publication 800-37 «Risk management framework for information systems and organizations. A system life cycle approach for security and privacy» (2018), NIST Special Publication 800-39 «Managing information security risk: organization, mission, and information system view» (2011). Эта группа стандартов при выборе методологии оценки рисков рекомендует исходить из сроков планиро­вания бюджетирования или планирования изменений политик организации, а также из сложности и зрелости бизнес­-процессов (по сегментам архитектуры организации). Кроме того, следует ориентироваться на фа­зу информационной системы (ИС) в жиз­ненном цикле разработки, на критичность и чувствительность информации в ИС, под­держивающих основные организационные задачи и бизнес-­функции. Необходимо учи­тывать оценку рисков не только в отноше­нии ИС, но и в отношении бизнес­-процес­сов и основной деятельности организации. При оценке рисков важно принимать во вни­мание расчеты иных рисков организации, определять, как долго результаты конкрет­ных оценок можно использовать для закон­ного обоснования решений, основанных на риске. В целом данная группа стандартов рекомендует применять трехуровневый подход к оценке, направленный на устра­нение рисков на уровнях организации, биз­нес­процесса и ИС.

На заметку

Метод Дельфи предполагает получение экспертных оценок, которые могут помочь при идентификации источников и воздействии опасности, при количественной оценке вероятности и последствий и общей оценке риска. Этот метод обобщения мнений экспертов предполагает их независимый анализ и голосование.

Регулятор рекомендует: бонус для банков

 

Для кредитных организаций, помимо перечисленных стандартов, актуальны также банковские стандарты СТО БР ИББС. Например, стандарт СТО БР ИББС 2.2-2009 «Методика оценки рисков нарушения информационной безопасности» пред­лагает привлекать нескольких экспертов для получения разных экспертных оценок. А согласно положениям стандарта СТО БР ИББС 1.4-2018 «Управление риском нарушения информационной безопасности при аутсорсинге», провайдер должен принять такой же уровень риска, как и сама организация, передающая ему функцию ИБ на аутсорсинг.

На этапе утверждения сейчас нахо­дится еще один немаловажный доку­мент, разработанный Банком России, — «Положение о требованиях к системе управления операционным риском в кредитной организации и банковской группе». Нормативный акт предполага­ет, что при расчете операционных рисков кредитная организация должна также учитывать риски ИБ и риски информаци­онных систем. Этими же требованиями можно руководствоваться и при обработке неопределенности.

Так, при управлении риском ИБ банк должен вести журнал учета реализован­ных рисков ИБ и классифицировать регис­трируемые события с учетом всех источ­ников рисков и результатов их реализации (потери от рисков). Помимо этого, необ­ходимо определять во внутренних доку­ментах и обеспечивать функционирование системы обеспечения ИБ, разрабатывать и соблюдать политику ИБ, проводить ре­гулярную независимую оценку не реже одного раза в год.

Примерами риска ИС служат отказ или нарушение функционирования, а так­же недостаточность функциональных воз­можностей информационной системы. Для их нивелирования рекомендуется определять систему управления риском ИС. Необходимо утверждать политику по использованию ИС и применять ее на практике, выявлять и оценивать ри­ски ИС, а также сопряженные с ними риски ИБ и проводить мероприятия по снижению уровня выявленных рисков. Следует опреде­лять и соблюдать требования к ИС, в том числе дополнительные, и пересматривать их не реже 1 раза в год. Кроме того, документ рекомендует разрабатывать, соблюдать и отражать во внутренних документах требования по обеспечению непрерывности, безопасности и качества функци­онирования ИС.

На заметку

Что делать перед размещением активов
в инфраструктуре облачного провайдера

 

В первую очередь нужно разобраться, какие первичные активы и активы поддержки планируется размещать в облачных сервисах. Согласно ГОСТ Р ИСО/МЭК 27005-2010, к первичным относятся бизнес-процессы, действия и информация, к активам поддержки — аппаратные средства, программное обеспечение, сеть, удаленные рабочие места, сайт и организационная структура организации. Также необходимо определить категории защищаемой информации: персональные данные, банковская тайна, платежная или иная конфиденциальная информация. Следующим шагом должна стать оценка рисков ИБ.

Наиболее оптимальный подход

 

Как же справиться с неопределенностью при оценке рисков и какие именно рекомен­дации лучших практик и регуляторов взять на вооружение? По нашему опыту, прежде всего стоит поменять подход к сбору дан­ных на более эффективный — например, применять метод Дельфи и формировать фокусные группы. Помимо этого, мы ре­комендуем вести внутреннюю отчетность об инцидентах ИБ и собирать сведения об актуальных угрозах для конкретной отрасли организации из общедоступных источников. Так, ФинЦЕРТ выпускает обзоры инцидентов в финансовой сфере. Владея подобной информацией, можно оценить применимость угроз для отдельной ор­ганизации и учесть их при оценке рисков ИБ, что поможет предотвратить вероятные потери от ущерба.

Какие неопределенности и риски несут облака

 

Размещение активов в облачных сервисах — одна из наиболее распространенных ситуаций, когда риски ИБ возникают из-за неопределенности. Чем это грозит? Аналитики Cloud Security Alliance (CSA) приводят огромный список рисков. В него входят, например, потеря данных, незащищенные интерфейсы и API, недоступность сервиса, несанкционированный доступ к активам через клиентов облачного провайдера, размещенных в той же инфраструктуре. И это далеко не всё: нельзя исключать возможность контроля доступа к чувствительным данным на уровне инфраструктуры облачного провайдера или самой организации, неопределенность ответственности между провайдером и организацией и др.


Рассмотрим риски на примере типового банка, передавшего данные на обработку в облако. Кредитная организация недооценила критичность информационного актива и активов поддержки, в том числе на стороне провайдера. Как следствие, она недооценит и ущерб от потери данных. Забыв о ком-либо, кто имеет доступ к защищаемым данным, банк тоже получит риски ИБ. То же может случиться, если вам неясно, как провайдер разграничивает права доступа клиентов к своим сервисам. Большое значение имеют и особенности выбранной модели размещения в облаке. По нашему опыту, возможность доступа работников облачного провайдера к данным в ЦОДе недооценивается многими организациями. Отдельный блок неопределенностей связан с особенностями российского рынка страхования киберрисков. Речь идет о небольшом числе игроков и нехватке у многих из них ресурсов и компетенций. К тому же риски ИБ могут быть вызваны и отсутствием прозрачности в расчете страховых выплат в случае возникновения инцидента и последующего ущерба.

Послесловие

 

Несмотря на то, что при оценке рисков ИБ нельзя полностью исключить неопределенность, можно по крайней мере свести ее к минимуму, применяя предложенные рекомендации. Нужно комбинировать способы идентификации активов, выбирать применимые именно для вашей организации методы оценки рисков, привлекать квалифицированных специалистов для проведения независимой оценки и пересматривать риски ИБ не реже 1 раза в год.

Чек-лист
15 способов минимизации рисков ИБ при использовании облачных сервисов

01

Адаптация опросных листов под особенности актива и специфику организации.

02

Сбор информации по методам мозгового штурма или Дельфи.

03

Проведение встречь с бизнес-владельцами для определения критичности активов

04

Анализ влияния человеческого фактора.

05

Опрос максимального числа заинтересованных подразделений и оценка с учетом принимаемых мер безопасности.

06

Проведение встреч с бизнес-владельцами, ИТ-подразделениями, обслуживающими систему или сервис, с провайдером услуг для получения полной информации о системах и сервисах, а также связанных с ними бизнес-процессах.

07

Изучение инцидентов ИБ в общедоступных источниках, применимых к активам или выбранной модели размещения в облаке.

08

Предварительный анализ угроз и уязвимостей, анализ методом «что, если?» с подключением специалистов, которые смогут дать квалифицированную консультацию. Например, что будет, если злоумышленники предпримут попытку атаки на интерфейс? Каковы будут последствия?

09

Оценка рисков нарушения ИБ, описанных в СТО БР ИББС 1.4-2018 «Управление риском нарушения информационной безопасности при аутсорсинге».

10

Оценка репутации провайдера и изучение материалов о нем в интернете (новости, отзывы).

11

Оценка мер безопасности, принимаемых провайдером.

12

Выбор страховой компании с опытом страхования рисков ИБ, которая имеет группу реагирования на инциденты.

13

Учет расходов на восстановление и оценка периода восстановления рабочих процессов.

14

Детальная проработка условий договора в отношении рисков ИБ, возможного ущерба и последующих выплат.Помимо управления безопасности, к обсуждению условий рекомендуется подключить ИТ-подразделения и бизнес-владельцев.

15

Своевременное обновление условий договора при изменениях внутри организации (внедрение новых ИС, обновление ИТ-инфраструктуры), а также при принятии новых законов, устанавливающих штрафы в случае инцидентов ИБ.

Следите за нашими обновлениями

Кластерные СУБД

Направление развития информационных технологий все чаще затрагивает кластеризацию или разделение БД по нескольким серверам.

Как изменится ритейл в 2020 году

Какие тренды характерны для отечественного ритейла, и как мировые гиганты справляются с вызовами рынка

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Спасибо!
Ваш материал отправлен.
Мы с вами свяжемся
Предложить
авторский материал
Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на наши новости.
Оформить
подписку на Новости
Спасибо!
Ваша заявка отправлена.
Мы с вами скоро свяжемся.
Задать вопрос
редактору

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня