CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1

Руслан Рахметов, Security Vision

2.1. Введение

В данной главе даётся объяснение фундаментальным принципам оценки и управления киберрисками. Оценка рисков обсуждается как с бытовой точки зрения, так и с точки зрения управления сложными системами, а также описывается ряд методик оценки рисков с указанием возможных областей их применения и ограничений. В данной главе показывается, как и почему эффективное управление киберрисками позволяет обеспечивать кибербезопасность, а также рассматривается влияние человеческого фактора на оценку рисков. Обсуждается также важность корректного реагирования на киберинцидент в случае, если реализацию риска не удалось предотвратить.

2.2. Что такое риск?

В общем случае, риск - это высокоуровневое философское понятие, которому может быть дано такое определение:

Риск - это вероятность того, что события или чьи-либо действия приведут к последствиям, которые окажут влияние на ценности (интересы, активы) человека.

Для измерения риска следует измерить ценности и оценивать показатели, которые помогут измерить уровень риска и управлять им. Для этого потребуются три абстрактных высокоуровневых элемента:

• последствия, которые повлияют на ценности;

• вероятность наступления последствий (как мера неопределенности);

• формула, которая связывает последствия и вероятность.

Основной сложностью при управлении рисками является задача формирования явных предположений и поиск баланса между субъективным восприятием риска и объективными доказательствами. Таким образом, оценка риска представляет собой процесс сбора наблюдений и предположений, которые могут быть обоснованы логическими рассуждениями или сравнениями с фактическими последствиями. С другой стороны, управление риском - это процесс разработки и оценки вариантов по устранению риска способом, который будет приемлем для людей, чьи ценности (интересы, активы) могут быть затронуты с учетом того, что различные варианты устранения риска могут получить разный уровень поддержки или неодобрения заинтересованных лиц. Управление рисками - это набор непрерывных процессов и принципов, обеспечивающий ответственность и осведомленность лиц о возможных рисках, которые могут реализоваться в случае выполнения определенных действий. Управление рисками - это основа коллективного принятия решений, охватывающая оценку и управление рисками, включая рассмотрение правовых, социальных, организационных и экономических контекстов оценки рисков.

2.3. Почему важны оценка и управление рисками?

Оценка риска включает в себя три основных компонента:

• выявление опасности и расчет её уровня (по возможности);

• оценка уровня уязвимости и/или экспозиции;

• расчет уровня риска с учетом его вероятности и уровня серьёзности.

Выявление опасности подразумевает определение негативных событий и результатов их наступления. Расчет уровня опасности подразумевает определение силы воздействия результатов наступления негативных событий. Экспозиция (exposure, подверженность воздействию или открытость перед воздействием) относится к доступным злоумышленникам аспектам системы (например, пользователи системы, устройства, базы данных). Уязвимость относится к атрибутам этих аспектов, которые могут стать объектом атаки (например, недостатки, ошибки, эксплойты). Расчет уровня риска может быть количественным (например, вероятностным) или качественным (например, основанным на сценариях). Результатом расчета уровня риска будет ожидаемое негативное влияние, которое может возникнуть в результате наступления негативных событий. При оценке риска важно использовать аналитические и структурированные процессы для получения информации, которая касается защищаемых ценностей (интересов, активов), вероятности реализации желательных и нежелательных событий, оценки вероятных результатов наступления негативных событий и их влияния. Важной и часто недооцениваемой частью оценки рисков является оценка уровня беспокойства стейкхолдеров компании в отношении вероятных опасностей, последствий воздействия риска, страхов и предрассудков руководителей, а также уровня доверия к риск-менеджерам.

Управление рисками включает в себя оценку информации, собранной на этапе оценки рисков, которая формирует основу для выбора одного из трёх вердиктов для каждого рассматриваемого риска:

• Недопустимый (Intolerable): рискованный аспект системы должен быть устранён или заменён, а если это невозможно, то нужно снизить число уязвимостей и уровень экспозиции.

• Допустимый (Tolerable): используя обоснованные и подходящие методы, риски снижаются до уровней «настолько низко, насколько это разумно и возможно» (As Low As Reasonably Possible, сокр. ALARP) или «настолько низко, насколько это разумно и допустимо» (As Low As Reasonably Allowable, сокр. ALARA). При этом методами снижения могут быть смягчение (митигация), разделение или передача риска - их выбор будет зависеть от риск-аппетита компании.

• Приемлемый (Acceptable): снижение риска не является необходимым и никакого воздействия на риск можно не оказывать. Более того, риск может использоваться для использования возможностей (т.н. «положительный риск» или «риск роста», англ. upside risk), поэтому результатом решения по риску будет принятие и использование риска, а не его снижение.

Кроме описанного подхода, для следующих четырёх типов риска следует применять отдельные методы по их управлению:

• Регулярные риски: работа с ними производится в соответствии со стандартным процессом принятия решений в компании. Предоставляются необходимые данные и статистика, определяются желаемые результаты и уровни приемлемости, внедряются и применяются меры по снижению риска.

• Комплексные риски: если риски не очевидны, то может возникнуть необходимость включить более широкий набор доказательств и использовать сравнительные подходы, такие как анализ затрат и выгод (cost-benefit analysis) или анализ экономической эффективности.

• Неопределенные риски: если присутствует высокая доля неопределенности, то следует применять непрерывный и управляемый подход к разработке систем, при котором можно сдерживать и откатывать негативные побочные эффекты. Важно обеспечить устойчивость системы к неопределенным результатам наступления событий.

• Неоднозначные риски: если большое число стейкхолдеров интерпретируют риск по-разному (например, существуют разные точки зрения или отсутствует согласие по вопросам менеджмента), то управление рисками должно включать в себя работу с причинами возникновения разных мнений.

Авторы книги подчеркивают, что важно адекватно и объективно оценивать риски - особенно с учетом когнитивных искажений, недостатка экспертных знаний и субъективного восприятия потенциально опасных ситуаций. Например, людям свойственно придавать большее значение крайне опасным, но редким ситуациям (например, авиакатастрофы или техногенные аварии), при этом вероятность реализации более распространенных рисков гораздо выше (автомобильная авария или бытовая травма). В контексте бизнес-среды грамотное управление рисками даёт лицам, принимающим решения, возможность принимать риск-ориентированные решения с опорой на прозрачную и понятную информацию о состоянии рисков. Кроме руководителей, важность риск-менеджмента должна быть донесена и до рядовых сотрудников, которые должны понимать цели и задачи реализуемого плана управления рисками, включая безопасную настройку систем, за которые они отвечают. Вместе с тем, риски не всегда могут быть устранены полностью, поэтому останется некий уровень остаточного риска (residual risk). Лица, принимающие решения и несущие ответственность за ошибки при работе с рисками, определяют уровень толерантности к риску и выбирают способ обработки риска (принятие, избежание, снижение, разделение, передача). Однако руководители и рядовые сотрудники (администраторы и операторы конкретных ИТ-систем) могут иметь разное представление о критичности и ценности системы, её рисках и методах её защиты, поэтому в рамках оценки и управления рисками важно донести принятые решения до всех ответственных лиц, что повысит уровень их вовлеченности в процесс риск-менеджмента. Кроме того, важно, чтобы процесс риск-менеджмента не основывался лишь на выполнении комплаенс-требований и простановке «галочек» в опросниках - такой формальный подход не принесет пользы компании, а даст лишь ложное чувство защищенности.

2.4. Что такое оценка и управление киберрисками?

В предыдущих параграфах речь шла об общих понятиях, которые относятся к любым типам рисков. Киберриски же описываются с точки зрения их компонентов:

• Угрозы и опасности: под угрозами понимаются злоумышленники (внешние и внутренние нарушители), а под опасностями - события, которые могут произойти и причинить ущерб ценностям (интересам, активам).

• Компоненты угрозы: возможности (навыки, техники, ресурсы злоумышленников), цели (чего хочет достичь злоумышленник - от кражи данных до нарушения технологических процессов), мотивация (то, что движет атакующим - например, желание незаконного обогащения, удовлетворение собственного тщеславия или политическое заявление), возможности (например, доступность метода атаки, наличие уязвимости, легальный доступ инсайдера к системе).

• Вероятность: возможность того, что что-то плохое случится.

• Уязвимость: слабость в системе, которая может быть проэксплуатирована атакующим или на которую может воздействовать опасность.

• Мера защиты: технические и нетехнические методы, применяемые для митигации выявленных рисков. Меры бывают: процедурные (организационные), физические, кадровые, технические.

• Бизнес-влияние: последствия реализации риска, которые могут заключаться в нарушении целостности, конфиденциальности, доступности информации, а также в причинении иного вреда (например, вывод оборудования из строя или ущерб репутации).

• Риск-аппетит: величина риска, которую компания готова принимать для достижения целей (условный уровень, выше которого риск не должен подниматься).

• Оценка риска: выявление компонентов риска (угрозы, опасности, уязвимости, вероятность реализации), анализ потенциального влияния риска на бизнес, определение возможных способов обработки риска и выбор наиболее подходящих из них, передача результатов и рекомендаций стейкхолдерам.

2.5. Стратегическое управление рисками

2.5.1. Что такое стратегическое управление рисками и почему оно необходимо?

Процедуры оценки и управления рисками будут эффективны только при наличии модели стратегического управления рисками (risk governance). Модели стратегического управления рисками бывают:

• Технократическими (Technocratic): политика управления рисками опирается на научные данные и объективные свидетельства;

• Децизионистскими (Decisionistic, основанными на решениях): политика управления рисками опирается не только на объективные данные, но и на иные факторы (например, социальные и экономические);

• Транспарентными (Transparent): контекст для управления рисками опирается на широкий спектр различных входных данных от разных заинтересованных групп.

При принятии решений по оценке восприятия рисков участники опираются на четыре элемента:

• Интуитивные суждения о вероятностях и уровнях ущерба;

• Контекстуальные факторы воспринимаемых характеристик риска (например, понимание природы риска, возможность контроля риска);

• Смысловые ассоциации, связанные с источником риска, людьми, обстоятельствами столкновения с риском;

• Доверие и компетентность лиц, участвующих в дискуссии о рисках.

Авторы делают вывод о том, что для выработки корректной политики стратегического управления рисками группа обсуждения должна быть представлена сотрудниками разных заинтересованных подразделений, а сама политика должна быть прозрачной и понятной. Процесс управления рисками должен стать обыденным и понятным, таким же как типичные бизнес-процессы, и прочно войти в корпоративную культуру.

2.5.2. Человеческий фактор и коммуникация риска

На управление кибербезопасностью могут повлиять определенные человеческие факторы, например, люди могут не понимать, как использовать СЗИ, не понимать важность ПО и данных, не верить в возможность кибератаки или не понимать, что их безответственное или халатное поведение может принести к ущербу для компании. Если персонал воспринимает киберриски как нечто абстрактное и думает, что активы не могут быть атакованы, даже несмотря на доводы и статистику киберинцидентов, то в компании существует проблема с культурой кибербезопасности. В общем случае, сотрудники будут идти по пути наименьшего сопротивления или искать способы наиболее быстро решить рабочую задачу. Как правило, работники не соблюдают правила кибербезопасности либо потому, что не могут работать в соответствии с ИБ-требованиями (например, отсутствует техническая возможность или политики и процедуры ИБ слишком объемны и непонятны), либо потому, что не видят смысла вести себя корректно с точки зрения ИБ (например, им проще обойти наложенные ресурсозатратные правила или они в принципе не согласны с установленной ИБ-политикой). Таким образом, риск нельзя минимизировать только с помощью технологий, поэтому важно проводить обучение работников и внедрять культуру кибербезопасности.

Коммуникация рисков играет важную роль в стратегическом управлении рисками и может включать в себя следующие аспекты:

• Обучение: важно повышать осведомленность персонала в контексте повседневной работы с рисками, включая оценку и управление ими;

• Подготовка и побуждение к изменению поведения: полученные во время обучения знания о рисках должны привести к изменению внутренних практик и процессов для их соответствия политиками ИБ;

• Создание уверенности: следует создавать атмосферу доверия к процессам управления рисками и ключевым лицам, а также поддерживать её за счет эффективной обработки рисков;

• Вовлеченность: следует обеспечить участие стейкхолдеров в процессах принятия решений по рискам, привлекая их к оценке рисков, разрешению конфликтов, оценке уровня беспокойства стейкхолдеров компании;

• Применение правил и принципов риск-менеджмента ко всем без исключения: очевидное вовлечение топ-менеджеров в выполнение политик ИБ и правил управления рисками благотворно повлияет на культуру кибербезопасности в компании.

2.5.3. ИБ-культура и осведомленность

Важно совместить ответственность и подотчетность за выполнение требований ИБ с непрерывным обучением и улучшением состояния защищенности компании. Важно, чтобы сотрудники всегда могли сообщить о своих сомнениях, проблемах или допущенных ошибках без страха наказания или осуждения - конечной целью сотрудников должна быть помощь компании в обеспечении её безопасности. К сожалению, зачастую составители ИБ-политик не всегда могут предусмотреть, как эти требования будут выполнены в реальных условиях, а причиной киберинцидента могут стать в том числе и непродуманные процессы и практики ИБ. Можно сформировать независимую команду, которая будет обрабатывать сообщения о возможных нарушениях ИБ или киберинцидентах от сотрудников напрямую (без вовлечения непосредственного руководителя работника). Кроме того, понимание способов реагирования и возможных последствий от киберинцидентов позволит снизить уровень беспокойства персонала и повысить открытость культуры кибербезопасности в компании.

Внедрение следующих ИБ-метрик может помочь оценить уровень ИБ-осведомленности и культуры кибербезопасности:

• Процент новых сотрудников, проходящих ИБ-обучение;

• Процент действующих сотрудников, прошедших переобучение по ИБ;

• Процент ИБ-специалистов, имеющих профессиональные сертификации;

• Показатель получения новых навыков и знаний ИБ-специалистами (например, среднее количество полученных ИБ-навыков на каждого члена команды ИБ, результаты прохождения семинаров и тренингов специалистами по ИБ);

• Показатель эффективности ИБ-обучения сотрудников (например, процент работников, перешедших по тестовым фишинговым ссылкам через несколько дней после обучения).

2.5.4. Принятие политики по ИБ

В рамках оценки рисков следует определить все цели и задачи, решаемые оцениваемой системой, с перечислением соответствующих бизнес-процессов. Описание рисков должно содержать перечисление взаимосвязей между уязвимостями, угрозами, вероятностями и последствиями (причинами и следствиями) для каждого риска. В политике по ИБ должны быть перечислены лица и их действия по минимизации выявленных рисков. Для того, чтобы политика по ИБ реально работала, требуется, чтобы необходимые действия были взаимосвязаны с процессами операционного управления компанией (по аналогии с финансовыми и кадровыми процессами). Частью итогов оценки и управления рисками должен стать список рисков, принятых соответствующими риск-владельцами, ответственными за управление рисками.