Управление рисками информационной безопасности

Руслан Рахметов, Security Vision

При выборе и реализации мер защиты информации часто говорят об их целесообразности и эффективности для минимизации киберрисков, а анализ рисков ИБ выступает основополагающим процессом для построения корпоративной системы управления ИБ (СУИБ). Различные кибератаки и киберинциденты служат примерами реализации (наступления) киберрисков, при этом сами киберриски являются частным случаем общих рисков, с которыми может столкнуться организация. В данной статье расскажем об основных понятиях риск-ориентированного подхода к кибербезопасности, обсудим способы управления киберрисками, а также перечислим различные методологии и стандарты по риск-менеджменту.

Управление рисками ИБ дает возможность заложить надежный фундамент для построения комплексной СУИБ и обосновать необходимые затраты на различные организационные и технические меры защиты с использованием финансовой аргументации. Иначе говоря, риск-ориентированный подход к кибербезопасности помогает говорить с топ-менеджментом и лицами, принимающими решения, на финансовом языке инвестиций, затрат и ущерба. Моделирование киберугроз, процессные и технические мероприятия также способствует построению СУИБ, однако переход на более зрелый уровень управления киберрисками позволяет:

• логически связать технические термины (угрозы, инциденты, уязвимости и т.д.) с бизнес-терминами и денежными единицами;

• сформировать приоритизированный перечень киберугроз на основе оценки рисков ИБ и с использованием качественных/количественных проверяемых методов, исключающих субъективность при оценке киберугроз;

• обосновать расходы на систему кибербезопасности с использованием финансовой оценки ущерба и экономической эффективности мер защиты, выбрать целесообразные и соразмерные угрозам контрмеры, оценивать результативность СУИБ с финансовой точки зрения.

Дадим общее определение: риск – это неопределённость (в виде события или условия), которая в случае возникновения окажет воздействие на интересы организации (достижение бизнес-целей, выручка, реализация проектов, оказание услуг, выполнение государственных функций и т.д.).

Реализация риска может приводить к ущербу (потерям), который бывает двух типов:

• прямой ущерб – непосредственные очевидные и легко прогнозируемые потери компании (простой производства, хищение денег и интеллектуальной собственности, шифрование данных и вывод из строя инфраструктуры);

• непрямой ущерб – потери качественные (демотивация персонала, снижение эффективности деятельности и процессов, потеря клиентов) и косвенные (недополученная прибыль, срыв продажи компании или вывода на биржу, потеря деловой репутации – т.е. снижение стоимости "гудвил").

Перечислим основные типы рисков:

• Рыночные – связанные с экономикой риском, например, подорожание сырья, падение спроса на товар, макроэкономические проблемы;

• Юридические – связанные с нарушением требований законодательства, например, штрафы, пени, претензии;

• Производственные – связанные с производством товаров и услуг, например, выход из строя оборудования или аварии на заводе;

• Финансовые – связанные с возможной потерей финансовых ресурсов, включая кредитный риск, инвестиционный риск, риск ликвидности;

• Налоговые – связанные с налогообложением и налоговым учетом;

• Организационные – связанные с управлением организацией и бизнесом, например, управленческие ошибки, неверно выбранная стратегия и неверные решения, кадровые проблемы;

• Операционные – связанные с ошибками информационных систем, например, технические сбои, недоступность сервисов, ошибки в работе бизнес-приложений;

• Киберриски – связанные с реализацией киберугроз.

Далее будем говорить подробнее уже о киберрисках и начнём с определения: киберриск (риск ИБ) – это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Величина киберриска зависит от угрозы, уязвимости и ущерба – и поскольку ущерб выражается в денежном эквиваленте, появляется возможность финансовой оценки уровня рисков ИБ.

Логику расчета величины риска ИБ можно выразить концептуальной формулой:

ВеличинаРиска=ВероятностьСобытия*РазмерУщерба,

где

ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости

Перечислим основные способы обработки киберрисков:

• Игнорировать – это плохая практика не обращать внимания на выявленные сложности, требующие решения, поэтому как таковым способом обработки риска игнорирование назвать нельзя.

• Принять – согласованное и документально подтвержденное ответственными работниками (руководителями) решение о том, что в случае реализации идентифицированный риск принесёт определенные последствия и ущерб, но его величина не будет значительной для компании (данная пороговая сумма называется риск-аппетитом и определяет, какие риски компания готова принимать для достижения целей). Например, принять риск кратковременного простоя некритичной системы из-за установки некорректного обновления, которое можно откатить.

• Избежать – если выявленный риск повлечет значительные последствия (данная пороговая сумма называется уровнем толерантности к риску, превышение которого принесет значительный ущерб компании), то принимается согласованное и документально подтвержденное решение о том, что связанная с таким риском бизнес-активность вестись не будет. Например, можно избежать риск наложения оборотных штрафов за некорректную обработку ПДн в информационной системе путём отказа от обработки таких данных в ней, а риск DDoS-атаки на критичную систему удастся избежать путём отказа от её публикации в интернет напрямую (и сделать её доступной только через локальное подключение, например).

• Передать – если процесс можно передать на аутсорс или привлечь к выполнению подрядчика/поставщика, то считается, что риск также передаётся контрагенту, при этом штрафные санкции, ответственность перед клиентами и последствия за реализацию риска всё равно лягут на плечи исходной компании. Например, некоторые свои сервисы компания может разместить в облаке, и тогда за непрерывность функционирования и обновления инфраструктурных компонент, системы виртуализации и ОС и ПО будет отвечать облачный провайдер. Киберстрахование также является одним из ярких примеров передачи риска, однако данный вид страхования достаточно новый, и при его применении возникает множество неочевидных нюансов.

• Минимизировать – принимается решение о выделении ресурсов на внедрение, администрирование и эксплуатацию определенных мер и средств ИБ (технических, физических, организационных) в целях минимизации идентифицированного риска до определенного уровня. Снизить вероятность реализации риска до нуля невозможно, и после внедрения всех контрмер всё равно сохраняется некоторый остаточный риск (который можно застраховать).

В качестве дополнительных способов обработки киберрисков также иногда указываются:

• Сохранение / удержание риска на приемлемом уровне (англ. risk retention) – риск не минимизируется, но выполняются мероприятия по контролю уровня риска для того, чтобы он не стал выше определенного уровня.

• Устранение риска (англ. risk remediation) – устранение одного или всех компонентов угрозы: источника (внешнего или внутреннего нарушителя), уязвимости (недостатка, ошибки системы, процесса, защитного средства), способа реализации киберугрозы.

• Капитализация риска (англ. risk capitalization) – использование выявленных рисков для создания возможностей роста бизнеса и развития конкурентных преимуществ.

Кроме того, существуют также такие понятия, как:

• тотальный риск (англ. total risk), который присутствует, если вообще никаких мер защиты не внедряется;

• остаточный риск (англ. residual risk), который присутствует, если угрозы реализовались, несмотря на внедренные меры защиты (остаточный риск можно застраховать).

Оценка киберрисков проводится для каждой рассматриваемой информационной системы и для каждой из идентифицированных угроз (список киберугроз может быть получен из разработанной модели угроз: DDoS, утечка данных, атака шифровальщика и т.д.). Методы оценки рисков делятся на качественные и количественные:

1) Качественная оценка рисков ИБ предполагает использование оценочных характеристик для описания компонентов риска. Примерами методов качественной оценки могут быть построение "светофорной модели", мозговой штурм, оценка экспертным методом, метод Дельфи (анонимный опрос экспертов в несколько итераций до достижения консенсуса). Например, при построении "светофорной модели" для качественной оценки используется оценка уровня влияния угрозы на бизнес (опасность угрозы: низкая, средняя, высокая) и вероятность реализации сценария угрозы (низкая, средняя, высокая). В результате пересечение опасности угрозы и вероятности реализации сценария даёт итоговый уровень конкретного риска (низкий риск, средний риск, высокий риск).

2) Количественная оценка рисков ИБ позволяет вычислить прогнозируемый уровень ущерба в денежном эквиваленте в течение определенного периода (например, 1 год), оценить экономическую эффективность внедрения СЗИ и предполагает использование следующих статистических данных:

   ·  число инцидентов каждого типа (соответствующих определенной угрозе) за несколько прошлых лет;

   ·  ущерб от каждого инцидента;

   ·  оценочная стоимость информации (актива, информационной системы);

   ·  оценочная характеристика опасности угрозы и эффективности защитного решения;

   ·  совокупная стоимость владения СЗИ.

Для количественной оценки киберрисков используются следующие характеристики:

• ALE – annual loss expectancy, ожидаемые годовые потери, т.е. ущерб от всех инцидентов за 1 год (в результате реализации определенной угрозы);

• SLE – single loss expectancy, ожидаемые разовые потери, т.е. ущерб от одного инцидента (в результате реализации определенной угрозы);

• AssetValue – стоимость актива (информационной системы), может быть прописана в положении о коммерческой тайне компании;

• EF – exposure factor, фактор открытости перед угрозой, т.е. какую часть актива разрушит определенная угроза при её успешной реализации (при полном разрушении значение = 1.0, т.е. 100%);

• ARO – annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными.

Значение SLE вычисляется как произведение расчётной стоимости актива и значения EF:

SLE=AssetValue*EF

Значение ALE вычисляется как произведение SLE и ARO:

ALE=SLE*ARO

Полученное значение ALE в денежном эквиваленте характеризует уровень киберриска на один год для определенного актива (информационной системы) для определенной угрозы.

2.1) Для учёта экспертного мнения риск-менеджера значения SLE и ARO можно считать с помощью метода PERT (Project Evaluation and Review Technique, метод оценки проектов при наличии неопределенности). Для этого значение ущерба берётся в пессимистичном (П), наиболее вероятном (Н), оптимистичном (О) сценариях для разовой потери (в денежном эквиваленте):

SLEpert = (П + 4Н + О) / 6

(где 4Н – это вес "4" для наиболее вероятного сценария).

Для расчета ARO аналогичным образом применяется метод PERT. Соответственно, ALEpert = SLEpert * AROpert

2.2) Оценить экономическую эффективность внедрения СЗИ можно с использованием следующей логической формулы:

(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) – (ALE после внедрения мер защиты) – (Ежегодные затраты на реализацию мер защиты)

Кроме того, можно использовать расчет коэффициента ROSI (Return on Security Investment, возврат инвестиций в безопасность), который характеризует экономическую эффективность систем защиты информации. Если показатель ROSI больше 1, то вложение в СЗИ оправдано, а чем большее значение принимает параметр ROSI, тем выше будет экономическая эффективность использования того или иного СЗИ.

Для расчета параметра ROSI можно воспользоваться формулой:

ROSI = (ALE*MF – TCO) / TCO

где:

• MF – Mitigation Factor, фактор (коэффициент) снижения риска с помощью СЗИ (в %);

• TCO – Total Cost of Ownership, совокупная стоимость владения СЗИ (за рассматриваемый период времени – 1 год), включая: стоимость СЗИ (подписка или бессрочная лицензия), ФОТ администраторов/инженеров, затрат на внедрение, поддержку, обновление (затраты могут быть единовременные и регулярные).

2.3) Еще одним способом количественной оценки киберрисков является метод Монте-Карло, который позволяет проводить множество итераций сценариев, используя случайные величины для учета возможных изменений и вариаций в данных. Метод Монте-Карло характеризуется следующими особенностями:

• для его функционирования требуются исторические данные, как минимум данные о числе инцидентов по годам и ущерб от них;

• позволяет выполнять моделирование последствий с определенной вероятностью (чем больше данных, тем точнее);

• позволяет оценить количество инцидентов и ущерба от них в будущем;

• позволяет выстраивать линии тенденций (тренды);

• позволяет выполнять анализ "что если" (англ. what-if analysis): как контрмера (СЗИ) повлияет на уровень риска в течение определенного периода с учётом данных о том, как контрмера снижает вероятность инцидента (контрмеры директивного или превентивного типа) или как контрмера снижает уровень последствий (контрмеры сдерживающего, корректирующего, восстановительного, расследовательного, компенсирующего типа).

Для внедрения процесса управления киберрисками в компании целесообразно воспользоваться различными методологиями и фреймворками риск-менеджмента. Одним из основных методических документов является стандарт ISO/IEC 27005:2022 "Information security, cybersecurity and privacy protection. Guidance on managing information security risks". В России готовится к выходу выпуск данного документа в виде стандарта ГОСТ Р ИСО/МЭК 27005 "Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками ИБ". 

Процесс управления рисками по стандарту ISO/IEC 27005 состоит из нескольких шагов (процессов), которые соответствуют подходу PDCA (Plan – Do – Check – Act, Планирование – Выполнение – Оценка – Корректировка), цикл Деминга:

1. Определение контекста.

2. Оценка рисков:

     2.1. Идентификация рисков;

     2.2. Анализ рисков;

     2.3. Оценка опасности рисков.

3. Обработка рисков ИБ:

     3.1. Модификация (минимизация) риска;

     3.2. Сохранение (принятие) риска;

     3.3. Избежание риска;

     3.4. Передача риска.

4. Согласование рисков.

5. Внедрение разработанного плана обработки рисков.

6. Непрерывный мониторинг и пересмотр рисков.

7. Поддержка и улучшение процесса управления рисками ИБ.

Другими методологиями риск-менеджмента являются:

1) ГОСТ Р МЭК 31010-2021 "Надежность в технике. Методы оценки риска", который соответствует стандарту IEC 31010:2019 "Risk management – Risk assessment techniques";

2) Фреймворк NIST Risk Management Framework института NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США), включает в себя набор взаимосвязанных публикаций:

• NIST SP 800-39 "Managing Information Security Risk" ("Управление рисками информационной безопасности");

• NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управления рисками для информационных систем и организаций");

• NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Руководство по проведению оценки рисков").

3) Методология FAIR (Factor Analysis of Information Risk);

4) Фреймворк COSO ERM (Enterprise Risk Management);

5) Методология FMEA (Failure Modes and Effect Analysis);

6) Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method).