Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Риск информационной безопасности – это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации.
ВеличинаРиска=ВероятностьСобытия*РазмерУщерба, где
ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
Цели процесса анализа рисков ИБ:
1. Идентифицировать активы и оценить их ценность
2. Идентифицировать угрозы активам и уязвимости в системе защиты
3. Просчитать вероятность реализации угроз и их влияние на бизнес
4. Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
Этапы 1-3: оценка риска (risk assessment), т.е. сбор имеющейся информации.
Этап 4: анализ рисков (risk analysis), т.е. изучение собранных данных, предоставление указаний для дальнейших действий (выбор способа обработки для каждого из оцененных и актуальных киберрисков, выбор финансово приемлемого уровня рисков).
Способы обработки киберриска:
игнорировать, принять, избежать, передать, минимизировать.
Пример количественного анализа рисков:
Показатели:
ALE - annual loss expectancy, ожидаемые годовые потери, т.е. «стоимость» всех инцидентов за год.
SLE - single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента.
EF - exposure factor, фактор открытости перед угрозой, т.е. какой процент актива разрушит угроза при её успешной реализации.
ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными.
Значение SLE вычисляется как произведение расчётной стоимости актива и значения EF:
SLE=AssetValue*EF
Значение ALE вычисляется как произведение SLE и ARO:
ALE=SLE*ARO
Ценность мер защиты:
(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) - (ALE после внедрения мер защиты) - (Ежегодные затраты на реализацию мер защиты)
Пример качественного анализа рисков:
метод Дельфи (анонимный опрос экспертов в несколько итераций до достижения консенсуса), мозговой штурм, оценка «экспертным методом».
Положение ЦБ РФ от 08.04.2020 №716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе“
Содержит требование о включении рисков ИБ и рисков отказов информационных систем в список операционных рисков, от величины которых зависит требуемый размер достаточности капитала банка.
Процедуры управления операционным риском:
1. Идентификация риска:
-
анализ базы событий
-
самооценка
-
анализ динамики количественных показателей (ключевых индикаторов риска)
-
анализ результатов регуляторных проверок
-
анализ результатов внешнего аудита
-
анализ поступающих сигналов от сотрудников.
2. Сбор и регистрация информации о событиях операционного риска:
-
автоматизированное (из информационных систем), неавтоматизированное (экспертным методом), алгоритмизированное выявление информации о рисках
-
классификация рисковых событий
-
оценка потерь, стоимости возмещения потерь
-
регистрация рисковых событий в базе событий
-
обновление информации, актуализация источников информации.
3. Количественная и качественная оценка уровней операционного риска.
Организации сами разрабатывают способы оценки.
4. Выбор и применение способов реагирования на риск.
Перечень мер для минимизации рисков приведен в приложении №3 к Положению.
5. Мониторинг рисков:
-
анализ индикаторов риска и статистики
-
контроль выполнения мероприятий
- мониторинг входящей информации.
Методологии риск-менеджмента:
1. Фреймворк "NIST Risk Management Framework" на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США) включает в себя набор взаимосвязанных т.н. "специальных публикаций" (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):
1.1. Стандарт NIST SP 800-39 "Managing Information Security Risk" ("Управление рисками информационной безопасности") предлагает трехуровневый подход к управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.
1.2. Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управления рисками для информационных систем и организаций") предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.
1.3. Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Руководство по проведению оценки рисков") сфокусирован на ИТ, ИБ и операционных рисках, описывает подход к процессам подготовки и проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.
1.4. Стандарт NIST SP 800-137 "Information Security Continuous Monitoring" ("Непрерывный мониторинг информационной безопасности") описывает подход к процессу мониторинга информационных систем и ИТ-сред в целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.
2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):
2.1. Стандарт ISO/IEC 27005:2018 "Information technology - Security techniques - Information security risk management" («Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности») входит в серию стандартов ISO 27000 и является логически взаимосвязанным с другими стандартами по ИБ из этой серии. Данный стандарт отличается фокусом на ИБ при рассмотрении процессов управления рисками.
2.2. Стандарт ISO/IEC 27102:2019 "Information security management - Guidelines for cyber-insurance" («Управление информационной безопасностью. Руководство по киберстрахованию») предлагает подходы к оценке необходимости приобретения киберстраховки как меры обработки рисков, а также к оценке и взаимодействию со страховщиком.
2.3. Серия стандартов ISO/IEC 31000:2018 описывает подход к риск-менеджменту без привязки к ИТ/ИБ. В этой серии стоит отметить стандарт ISO/IEC 31010:2019 "Risk management - Risk assessment techniques" - на данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».
3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки.
4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и бизнес-процессов компании.
5. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.
6. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.
7. Методология FAIR (Factor Analysis of Information Risk) - проприетарный фреймворк для проведения количественного анализа рисков, предлагающий модель построения системы управления рисками на основе экономически эффективного подхода, принятия информированных решений, сравнения мер управления рисками, финансовых показателей и точных риск-моделей.
8. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управление рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление и культура, а также информация, коммуникация и отчетность.
Этапы процесса управления рисками ИБ по документу NIST SP 800-39 "Managing Information Security Risk" («Управление рисками информационной безопасности»):
1. На этапе определения рисков организации следует выявить:
-
предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков
-
ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
-
риск-толерантность, т.е. терпимость к рискам - приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками
-
приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
2. На этапе оценки рисков организации следует выявить:
-
угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации
-
внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.
-
ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами
-
вероятность возникновения ущерба.
В итоге организация получает детерминанты риска, т.е. уровень ущерба и вероятность возникновения ущерба для каждого риска.
Для обеспечения процесса оценки рисков организация предварительно определяет:
-
инструменты, техники и методологии, используемые для оценки риска
-
допущения относительно оценки рисков
-
ограничения, которые могут повлиять на оценки рисков
-
роли и ответственность
-
способы сбора, обработки и передачи информации об оценке рисков в пределах организации
-
способы проведения оценки рисков в организации
-
частота проведения оценки рисков
-
способы получения информации об угрозах (источники и методы).
3. На этапе реагирования на риск организация выполняет следующие работы:
-
разработка возможных планов реагирования на риск
-
оценка возможных планов реагирования на риск
-
определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации
-
реализация принятых планов реагирования на риск.
Для обеспечения возможности реагирования на риски организация определяет типы возможной обработки рисков (принятие, избегание, минимизация, разделение или передача риска), а также инструменты, технологии и методологии для разработки планов реагирования, способы оценки планов реагирования и методы оповещения о предпринятых мерах реагирования в рамках организации и/или внешних контрагентов.
4. На этапе мониторинга рисков решаются следующие задачи:
-
проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ
-
определение текущей эффективности мер реагирования на риски
-
определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
Организации описывают методы оценки нормативного соответствия и эффективности мер реагирования на риски, а также то, как контролируются изменения, способные повлиять на эффективность реагирования на риски.
Управление рисками ведется на уровнях организации, бизнес-процессов и информационных систем, при этом следует обеспечивать взаимосвязь и обмен информацией между данными уровнями в целях непрерывного повышения эффективности осуществляемых действий и коммуникации рисков всем стейкхолдерам.
Уровень организации: принятие решений, финансирование, назначение ответственных.
Уровень бизнес-процессов: архитектура рабочих процессов, в т.ч. процессов ИБ.
Уровень информационных систем: реализация мер управления рисками.
Документ NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»)
Основные парадигмы:
-
обеспечение безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла
-
непрерывный мониторинг состояния защиты ИТ систем
-
предоставления информации руководству для принятия взвешенных риск-ориентированных решений.
Типы рисков по NIST SP 800-37:
-
программный риск
-
риск несоответствия законодательству
-
финансовый риск
-
юридический риск
-
бизнес-риск
-
политический риск
-
риск безопасности и конфиденциальности (включая риск цепочки поставок)
-
проектный риск
-
репутационный риск
-
риск безопасности жизнедеятельности
-
риск стратегического планирования.
Этапы применения фреймворка управления рисками (NIST SP 800-37):
-
подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем
-
категоризация систем и информации на основе анализа возможного негативного влияния от потери информации
-
выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска
-
внедрение мер защиты и описание того, как именно применяются меры защиты
-
оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности
-
формальное согласование/утверждение использования систем или мер защиты на основе заключения о приемлемости рисков
-
непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.
Документ NIST SP 800-30 "Guide for Conducting Risk Assessments" («Руководство по проведению оценок риска») посвящен процедуре проведения оценки риска ИБ.
Процесс оценки рисков по NIST SP 800-30 включает в себя:
1. Подготовку к оценке рисков:
-
Идентификация цели оценки рисков
-
Идентификация области (англ. scope) оценки рисков
-
Идентификация специфичных предположений и ограничений
-
Идентификация источников предварительной информации, источников угроз и уязвимостей
-
Идентификация модели рисков, способа оценки рисков и подхода к анализу
2. Проведение оценки рисков:
-
Идентификация и характеризация актуальных источников угроз
-
Идентификация потенциальных событий угроз, релевантности этих событий, а также источников угроз
-
Идентификация уязвимостей
-
Определение вероятности того, что актуальные события угроз приведут к негативному влиянию
-
Определение негативного влияния, порожденного источниками угроз
-
Определение риска от реализации актуальных событий угроз
3. Коммуницирование результатов оценки и передачу информации внутри организации:
-
Коммуницирование результатов оценки рисков лицам, принимающим решения, для реагирования на риски
-
Передача заинтересованным лицам информации, касающейся рисков, выявленных в результате оценки
4. Поддержание достигнутых результатов:
-
Проведение непрерывного мониторинга факторов риска
-
Актуализация оценки рисков с использованием результатов процесса непрерывного мониторинга факторов риска
Способы анализа факторов рисков:
-
угрозо-центричный
-
ориентированный на активы
-
ориентированный на уязвимости.
Документ NIST SP 800-137 ”Information Security Continuous Monitoring for Federal information Systems and Organizations” («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»)
Рекомендуемый процессный подход к выстраиванию системы мониторинга ИБ, состоящий из:
-
определения стратегии непрерывного мониторинга ИБ
-
разработки программы непрерывного мониторинга ИБ
-
внедрения программы непрерывного мониторинга ИБ
-
анализа найденных недочетов и отчета о них
-
реагирования на выявленные недочеты
-
пересмотра и обновления стратегии и программы непрерывного мониторинга ИБ.
Рекомендации по выбору инструментов обеспечения непрерывного мониторинга ИБ:
-
поддержка ими большого количества источников данных
-
использование открытых и общедоступных спецификаций (например, SCAP - Security Content Automation Protocol)
-
интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты
-
поддержка процесса анализа соответствия применимым законодательным нормам
-
гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных
-
поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.
Стандарт ISO/IEC 27005:2018 ”Information technology - Security techniques - Information security risk management” («Информационные технологии – Техники обеспечения безопасности – Управление рисками информационной безопасности»)
Основные парадигмы:
1. Оценка рисков ведется с учетом последствий рисков для бизнеса и вероятности возникновения рисков. Осуществляются идентификация рисков, их анализ и сравнение (с учетом выбранного уровня риск-толерантности).
2. Вероятность и последствия рисков доводятся до заинтересованных сторон и принимаются ими.
3. Устанавливается приоритет обработки рисков и конкретных действий по снижению рисков.
4. В процесс принятия решений по управлению рисками вовлекаются стейкхолдеры, которые затем также информируются о статусе управления рисками.
5. Оценивается эффективность проведенной обработки рисков.
6. Контролируются и регулярно пересматриваются риски и сам процесс управления ими.
7. На основе получаемой новой информации процесс управления рисками непрерывно улучшается.
8. Проводится обучение сотрудников и руководителей относительно рисков и предпринимаемых действий для их снижения.
Процесс управления рисками по ISO/IEC 27005:2018 состоит из следующих шагов (процессов), которые соответствуют подходу PDCA (Plan - Do - Check - Act):
1. Определение контекста
Выбирается подход к управлению рисками, который должен включать в себя критерии оценки рисков, критерии оценки негативного влияния, критерии принятия рисков, оценка и выделение необходимых ресурсов.
2. Оценка рисков
2.1 Идентификация рисков (инвентаризация активов, идентификация угроз, идентификация имеющихся мер защиты, определение уязвимостей , выявление последствий реализации угроз нарушения конфиденциальности / целостности / доступности ИТ-активов).
2.2 Анализ рисков
Проводится с различной глубиной, в зависимости от критичности активов, количества известных уязвимостей, а также с учетом ранее произошедших инцидентов. Методология анализа рисков может быть как качественной, так и количественной: как правило, вначале применяют качественный анализ для выделения высокоприоритетных рисков, а затем уже для выявленных рисков применяют количественный анализ, который является более трудоемким и дает более точные результаты.
2.3 Оценка опасности рисков
Сравнение полученных на предыдущем этапе уровней рисков с критериями сравнения рисков и критериями принятия рисков, полученными на этапе определения контекста.
3. Обработка рисков ИБ
3.1. Модификация риска
3.2. Сохранение риска
3.3. Избегание риска
3.4. Передача риска
4. Принятие рисков
Формируется и утверждается руководством список принимаемых рисков.
5. Внедрение разработанного плана обработки рисков
Закупаются и настраиваются средства защиты и оборудование, заключаются договоры киберстрахования и реагирования на инциденты, ведется юридическая работа с контрагентами.
6. Непрерывный мониторинг и пересмотр рисков
Риски могут незаметно меняться со временем: изменяются активы и их ценность, появляются новые угрозы и уязвимости, изменяются вероятность реализации угроз и уровень их негативного влияния.
7. Поддержка и улучшение процесса управления рисками ИБ
Контекст, оценка и план обработки рисков должны оставаться релевантными текущей ситуации и обстоятельствам.
Стандарт IEC 31010:2019 ”Risk management - Risk assessment techniques” («Менеджмент риска - Методы оценки риска»)
Входит в серию стандартов по управлению бизнес-рисками без привязки конкретно к рискам ИБ.
В стандарте приведено более 40-ка разнообразных техник оценки риска, к каждой дано пояснение, указан способ применения для всех подпроцессов оценки риска (идентификация риска, определение источников и причин риска, анализ мер защиты, анализ последствий, вероятностей, взаимосвязей и взаимодействий, измерение и оценка уровня риска, выбор мер защиты, отчетность), а для некоторых техник приведены и практические примеры использования.
На данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».