Подготовка к ССК (2). Менеджмент информационной безопасности. Оценка рисков информационной безопасности

В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ.

Ключевые понятия

Для начала нам необходимо подробно разобраться с такими ключевыми понятиями, как угроза и риск, которые определены, в частности, в ГОСТ Р ИСО/МЭК 27000 — по сути, глоссарии для всей линейки стандартов серии 27000. Угроза (threat) определяется как «потенциальная причина нежелательного инцидента, который может нанести вред системе или организации», а риск — как «влияние неопределенности на достижение целей». В примечании отдельно обращается внимание на то, что риск обычно описывается сочетанием последствий события и вероятности их возникновения. Если говорить простым языком, угроза — это «что может случиться», а риск — это «насколько вероятно, что это случится и какие будут последствия».

Рассмотрим пример из области физической безопасности. Допустим, у бизнесмена Васи есть ювелирный магазин, расположенный в неблагополучном районе города N. Вася знает, что существует угроза ограбления ювелирных магазинов. Он начинает «примерять» эту угрозу к своему магазину. Вероятность реализации данной угрозы он оценивает как высокую, поскольку район считается небезопасным, а на прошлой неделе произошел подобный инцидент с магазином конкурента. Последствия Вася также оценивает как значительные, ведь он знает, на какую сумму хранится товар в магазине. Осознав угрозу в отношении своего актива и оценив вероятность её реализации и возможные последствия, наш герой начинает задумываться уже о риске.

Оценка рисков

Каким образом можно провести оценку рисков информационной безопасности? Давайте посмотрим, какие требования к оценке рисков предъявляет ГОСТ Р ИСО/МЭК 27001.

Стандарт определяет, что в рамках системы менеджмента информационной безопасности (СМИБ) необходимо выполнить следующие шаги:

1. Определить критерии оценки и принятия рисков.

2. Обеспечить повторяемость процесса оценки.

3. Идентифицировать риски.

4. Провести их анализ.

5. Выполнить оценивание рисков.

Критерии

Как определить критерии для оценки и принятия рисков?

Мы помним, что риск — это комбинация вероятности реализации угрозы и последствий:

R = P * I

Также мы знаем, что риск представляет собой влияние неопределенности на достижение целей. Соответственно, мы можем оценивать масштаб последствий в зависимости от того, как реализация угрозы влияет на достижение этих целей.

Каковы цели информационной безопасности?

Основные цели включают:

• Предотвращение финансовых потерь от реализации угроз;

• Выполнение требований регуляторов;

• Сохранение положительного имиджа организации.

Следовательно, мы можем установить, например, следующее соответствие между уровнем последствий и их влиянием на цели:

С последствиями разобрались. Подобную таблицу можно составить и для второй составляющей — вероятности. Здесь нам поможет ответ на вопрос: как определить вероятность реализации угрозы?

Допустим, у нас есть учебный компьютерный класс, в котором мы проводим курсы. Как оценить, насколько вероятно заражение компьютерного класса вирусом? Сразу приходят на ум следующие вопросы:

• Есть ли антивирус и блокировка подключения USB-носителей?

• Обновляетсяли операционная система (устраняются ли уязвимости)?

• Какая статистика по аналогичным инцидентам?

• Есть ли у злоумышленников мотивация целенаправленно заразить систему?

На основе этих вопросов можно сформулировать общие критерии для оценки вероятности реализации угроз информационной безопасности:

• наличиемотивации у злоумышленников;

• простотареализации угрозы;

• наличиеуязвимостей;

• наличиесредств защиты;

• статистика инцидентов.

В итоге все или часть этих критериев можно формализовать в виде таблицы, например, следующего вида:

Определить критерии для оценки рисков теперь можно, просто сопоставив значения уровней вероятности и последствий, используя формулу R = P * I. Например, следующим образом:

Критерии принятия рисков могут быть сформулированы следующим образом: принимаются только риски с низким уровнем опасности, тогда как риски со средним и высоким уровнем требуют обработки.

Повторяемость процесса

Чтобы обеспечить повторяемость процесса и получение сравнимых результатов, необходимо зафиксировать методику оценки рисков в виде документа.

Идентификация рисков (risk identification)

Каким образом можно определить, какие угрозы следует рассматривать? Существует несколько подходов к выявлению актуальных угроз информационной безопасности:

1. Использование перечней угроз от регуляторов. Регуляторы в области информационной безопасностиведущих стран публикуют официальные перечни угроз, которые необходимо учитывать организациям. Например, в России такой перечень опубликовал ФСТЭК России: https://bdu.fstec.ru, а в Германии — BSI: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/International/bsi_it_gs_comp_2021.pdf

2. Проведениемоделирования угроз. Моделирование угроз позволяет систематически выявитьпотенциальные риски, связанные с конкретными активами или процессами.

3. Анализ статистики инцидентов и исследовательских отчетов. Важнымисточником информации являются:

   • Собственнаястатистика инцидентов организации.

   • Данные из исследовательских отчетов, таких как:

     • Обзор основных типов компьютерных атак в финансовой сфере за 2024 год.

     • Threat Zone 2024

Анализ рисков (risk analysis)

Анализ рисков заключается в понимании природы риска и определении его уровня.

Рассмотрим пример. Компания ООО «Ромашка» хранит описание своих ноу-хау по выращиванию целебной ромашки в расшаренной сетевой папке на файловом сервере. Директор опасается, что конкуренты могут нанять хакера, который взломает сеть и украдет ценные документы.

Cпециалист по кибербезопасности начинает анализ с оценки возможного ущерба от реализации данной угрозы. Директор объясняет, что, если конкурент получит уникальную технологию, он сможет выйти на рынок и занять до 50%, соответственно, ООО «Ромашка» потеряет существенную долю выручки. На основании этого уровень последствий оценивается как высокий.

Далее ИБ-специалист изучает отчеты пентестеров и сканеров уязвимостей. Он фиксирует наличие критических уязвимостей. Затем проверяет настройки средств защиты информации: межсетевой экран (FW), системы обнаружения вторжений (IDS), антивирусы, а также настройки разграничения доступа на файловом сервере. В результате этого анализа ИБ-специалист убеждается, что текущие меры защиты недостаточны, и делится своими выводами с директором. Соответственно, вероятность реализации угрозы оценивается как высокая.

Учитывая оценки составляющих риска (вероятности и последствий), сам риск также оценивается как высокий.

Оценивание рисков (risk evaluation)

После того как уровень риска определен, необходимо провести его оценивание, то есть сравнить с установленными критериями для принятия решения. При рассмотрении кейса с ООО «Ромашка» становится ясно, что высокий риск принять нельзя и его требуется обработать.

Оценивание рисков позволяет сформировать перечень рисков, требующих конкретных действий для их снижения до приемлемого уровня.

Обработка рисков (risk treatment)

Что можно сделать с риском? Вариантов не так уж и много. Риск можно:

• Минимизировать, внедрив меры безопасности.

• Передать, например, воспользовавшись аутсорсингом или застраховав его.

• Избежать, отказавшись от процесса или технологии, которые делают возможной реализацию риска.

• Принять, сознательно согласившись с его уровнем и существованием.

В ООО «Ромашка» решили минимизировать риск, внедрив различные меры. Было принято решение:

• Запретить хранить самую чувствительную информациюо технологиях компании на файловом сервере. Её следует хранить в зашифрованном виде на отчуждаемом носителе, который будет находиться в сейфе директора.

• Необходимоустранить уязвимости и внедрить полноценный мониторинг событийинформационной безопасности с помощью SIEM.

Соответственно, эти меры снижают как потенциальный размер ущерба (хакер не получит секретов, даже если доберется до сетевой папки), так и вероятность реализации угрозы (уязвимости устранены, контроль усилен).

После внедрения всех мер директор ООО «Ромашка» сознательно принимает остаточный риск.

Качественная и количественная оценка рисков

В примерах, приведенных выше, мы работали с качественной оценкой риска. Мы определяли значение риска, используя прилагательные: «высокий», «средний», «низкий». Однако существуют также подходы количественной оценки риска, при которых значения выражаются в виде чисел. Рассмотрим один из самых популярных подходов, который широко используется в учебной литературе по информационной безопасности, но изначально появился в области страхования, — формулу ALE = ARO × SLE, где

• ALE(Annualized Loss Expectancy) — ожидаемые годовыепотери. Этосредняя сумма ущерба, которую организацияможет понести за год. Посути, это оценка риска в денежныхединицах.

• ARO (Annualized Rate of Occurrence) — годовая частотавозникновения. Этовероятность того, что конкретное событие(например, кибератака или пожар)произойдет за год.

• SLE(SingleLossExpectancy)— однократные ожидаемые потери. Этосумма ущерба, которая будет нанесенапри однократном инциденте.

Для лучшего понимания формулы разберем шуточный пример. Допустим, у нас есть ценный актив — яблоко, которое мы каждый день берем с собой на работу, чтобы перекусить. Пусть яблоко стоит 30 рублей. Нашему яблоку раз в месяц утром угрожает наша вторая половинка, которая может его надкусить, нанеся ущерб в размере 10%. В итоге мы вынуждены довольствоваться оставшимися 90% яблока.

Используя эти данные, мы можем рассчитать оценку годовых потерь по данному риску:

ALE=ARO×SLE=12×(30×0,1)=12×3=36 рублей.

Посчитав, что риск для нас неприемлем, мы решаем внедрить сдерживающую контрмеру (deterrent control) для его минимизации. Мы печатаем записку «не помыл» и держим ее рядом с нашим яблоком. Наличие такой записки уменьшает как размер разового ущерба, так и частоту реализации угрозы. Теперь яблоко надкусывается всего на 5% и только один раз в два месяца. Соответственно, новая оценка годовых потерь будет следующей:

ALEnew =AROnew×SLEnew =6×(30×0,05)=6×1,5=9 рублей.

Зная затраты на контрмеру (2 рубля за лист А4 с напечатанным текстом, которого хватит на год), мы можем провести так называемый анализ «затраты—выгоды» (cost–benefit analysis):

CBA=ALE−ALEnew −затраты на контрмеру=36−9−2=25 рублей.

Нас можно поздравить: мы получили 25 рублей выгоды от внедрения контрмеры.

При применении данного подхода в сфере кибербезопасности очень важно получить адекватную оценку ценности актива и оценки размера ущерба от единичной реализации угрозы.

ГОСТ Р ИСО 31000-2019 и ГОСТ Р МЭК 31010-2021

Более глубокое погружение в тему оценки рисков можно осуществить, прочитав актуальные версии стандартов: ГОСТ Р ИСО 31000-2019 “Менеджмент риска. Принципы и руководство” и ГОСТ Р МЭК 31010-2021 “Надежность в технике. Методы оценки риска.” Первый стандарт задает общую структуру и процесс управления рисками, а второй предоставляет практические инструменты и методы для выполнения ключевых этапов этого процесса, таких как анализ и оценка рисков.

Вместо заключения

Оценка рисков информационной безопасности является ядром системы менеджмента информационной безопасности (СМИБ). Подходы к её осуществлению варьируются по сложности реализации, но достаточно подробно описаны в литературе и стандартах.

Необходимо помнить, что остаточные риски принимаются их владельцами — людьми «от бизнеса», которые не всегда являются техническими специалистами. Поэтому прозрачность и простота подходов играют ключевую роль в успехе всего мероприятия.

Основную идею риск-менеджмента можно сформулировать следующим образом: организация должна постоянно выявлять риски, обрабатывать их и сознательно соглашаться только с теми, уровень которых является приемлемым.

Три типовых вопроса для подготовки к экзамену ССК:

Что в ходе оценки рисков, связанных с нарушением деятельности организации, Василий не будет делать?

А) Идентифицировать риски

Б) Проводить анализ рисков

В) Проводить оценивание рисков

Г) Обрабатывать риски

Ответ: Г. В оценку рисков входит идентификация, оценка и оценивание.

Согласно ГОСТ Р ИСО/МЭК 27001 методика оценки рисков информационной безопасности должна:

А) Быть утверждена генеральным директором

Б) Иметь дату пересмотра не более года от момента проверки

В) Быть доступной в виде печатного документа

Г) Быть представлена в виде документированной информации

Ответ: Г. Требование раздела 6.1.2 ГОСТ Р ИСО/МЭК 27001.

21. Какой подход к оценке рисков лучше всего подойдет для оценки риска недоступности интернет-магазина:

А) качественный

Б) количественный

В) комбинированный

Г) экспертный

Ответ: Б. Ущерб от недоступности интернет-магазина легко посчитать в виде упущенной выручки (при условии, что он не занимает монопольное положение на рынке, конечно).

Литература

1. ГОСТ Р ИСО 31000-2019 “Менеджмент риска. Принципы и руководство”

2. ГОСТ Р МЭК 31010-2021 “Надежность в технике. Методы оценки риска.”

3. Канал в телеграм с примерными вопросами ССК: https://t.me/sskquestions