Статьи
Як встановити пріоритети при забезпеченні інформаційної безпеки
АНАЛІЗ РИЗИКІВ
Розглянемо задачу забезпечення інформаційної безпеки (ІБ) з точки зору вищого керівництва компанії та керівника ІТ-підрозділу (або керівника відокремленого підрозділу, відповідального за її забезпечення).
Які загальні вимоги до стану захищеності інформаційної системи (ІС) у топ-менеджерів компанії і у керівника бізнес-підрозділу? Це в першу чергу забезпечення:
· Конфіденційності фінансової інформації, особистої поштової переписки, інформації про проекти та / або замовників;
· Безперервності ведення бізнесу;
· Виконання зобов'язань перед клієнтами;
· Вимог законодавства.
І все це бажано задовольнити при мінімальних витратах.
Однак керівники, відповідальні за ІБ, часто говорять на мові технологій, не зовсім зрозумілою топ-менеджерам. В результаті складається ситуація певного невідповідності між очікуваннями керівництва бізнес-підрозділів і пропозиціями тих, хто відповідає за ІБ. Це призводить до відсутності кореляції між бізнес-потребами, які є первинними, і технологічними потребами щодо забезпечення ІБ, які за визначенням повинні підтримувати бізнес. Як наслідок - не вдається виявити всі критичні для бізнесу організації ресурси і акцентувати увагу саме на їх захист.
Аналіз співвідношення бізнес-ризиків і ризиків технологічних дозволяє домогтися взаєморозуміння між вищим керівництвом компанії і керівниками ІБ, що в результаті веде до оптимізації та прозорості витрат на забезпечення інформаційної безпеки. Іншими словами, така робота дозволяє зіставити низькорівневі (технологічні) ризики, пов'язані, зокрема, з настройками будь-якого сервера в ІС або відсутністю засобів захисту, з високорівневими бізнес-ризиками, наприклад з розголошенням інформації про клієнтів. Подібне зіставлення дозволяє виявити критичні ресурси ІС і визначити вимоги до забезпечення ІБ для даних ресурсів, співвіднести витрати на виконання цих вимог з потенційними втратами для бізнесу.
Ризик - це можливість того, що через вразливі місця ІС буде реалізована загроза інформаційній безпеці і станеться втрата або пошкодження активів (ресурсів). Ризик вимірюється величиною потенційного збитку і ймовірністю нанесення такого збитку (ISACA). Аналіз та управління ризиками - це процес ідентифікації вразливих місць і загроз щодо ресурсів ІС і вироблення контрзаходів для зниження ризиків до прийнятного рівня, з урахуванням цінності ресурсів для організації.
Не завжди між фахівцями бізнес, ІТ та ІБ-підрозділів існує налагоджене взаємодія. Але без об'єднання зусиль для системного підходу до вирішення завдання по співвідношенню бізнес-ризиків з технологічними не можна гарантувати, що будуть враховані всі ризики і відповідно виявлені всі критичні ресурси в ІС.
Забезпечення ІБ вимагає фінансових вкладень. При цьому повернення інвестицій від таких вкладень не завжди очевидний. Зіставлення бізнес-ризиків з ризиками технологічними, виявлення найбільш критичних ресурсів в ІС, загроз порушення ІБ, оцінка наслідків від реалізації загроз для діяльності організації, іншими словами - аналіз ризиків може стати обґрунтуванням фінансових вкладень в забезпечення безпеки.
Сьогодні для обгрунтування придбання, наприклад, системи антивірусного захисту не потрібно будь-яких глибоких викладень. Публікації про багатомільярдні збитки від атак комп'ютерних вірусів все частіше і частіше з'являються в ЗМІ. Нікому не хочеться робити свій внесок в ці мільярди. Фактично такі публікації виконують роль сполучної ланки між інформаційними технологіями та бізнес-діяльністю і є свого роду обґрунтуванням фінансових вкладень в ІБ. У менш очевидних ситуаціях, але не менш важливих з точки зору забезпечення інформаційної безпеки таким сполучною ланкою можуть виступати результати аналізу ризиків.
При проведенні аналізу ризиків виконуються наступні основні роботи.
Інвентаризація та класифікація ресурсів (активів). Складається перелік всіх ресурсів в ІС і визначається їх значимість в якісному або кількісному вигляді.
Побудова моделі загроз і моделі потенційного зловмисника. На цьому етапі складається перелік загроз, проводиться їх формалізоване опис, опис джерел цих загроз (потенційного зловмисника) і механізмів реалізації. Від того, яка буде прийнята модель загроз і зловмисника, залежить дуже багато чого, і в першу чергу вартість системи захисту. Дійсно, різниця в побудові і витратах на систему ІБ очевидна, якщо в якості потенційного зловмисника приймається: 1) зовнішня персона, яка не має будь-якої певної мотивації на несанкціоновані дії, але здатна використовувати загальнодоступний інструментарій для реалізації атак, і 2) конкуруюча організація, зацікавлена в конкурентній розвідці. Будувати ж систему захисту, орієнтуючись на всі можливі загрози, безглуздо як з технологічної, так і з фінансової точок зору.
Ідентифікація вразливих місць в ІС. Орієнтуючись на обрану модель загроз і потенційного зловмисника, здійснюється ідентифікація і опис вразливостей, існуючих в ІС. Необхідно розуміти, наявність якої уразливості пов'язане з реалізацією певної загрози, так як цей взаємозв'язок буде використовуватися на двох наступних етапах аналізу ризиків.
Оцінка наслідків від реалізації загроз. Етап, результати якого повинні стати основою для технологічного і фінансового обгрунтування системи захисту. Проводиться оцінка впливу порушень, пов'язаних з роботою ІС і викликаних реалізацією загроз, на діяльність організації (Business Impact Analysis). Тобто проводиться аналіз сценаріїв типу "якщо, то", що дозволяє отримати уявлення про те, наскільки сильна залежність діяльності організації від функціонування ІС. Результатами етапу є перелік ризиків та їх якісна або кількісна оцінка. На малюнку приведена графічна залежність між основними поняттями, використовуваними при проведенні аналізу ризиків.
Інтернет-ресурси з аналізу ризиків
- www.cert.org/octave, методологія аналізу ризиків, розроблена CarnegieMelon SEI (за підтримки CERT).
- Risk Management Guide for Information Technology Systems (csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf).
- www.isaca.org, Web-сайт організації Information Systems Audit and Control Association (ISACA).
Формування вимог щодо забезпечення ІБ. Знаючи вразливі місця, загрози, маючи уявлення про їх наслідки, приступають до формування вимог до системи забезпечення інформаційної безпеки (СОІБ). Дані вимоги повинні згодом стати основою при складанні технічного завдання на побудову СОІБ. Виконання вимог з інформаційної безпеки, сформульованих на цьому етапі, повинно знизити ризики порушення ІБ до прийнятного рівня.
Взаємозв'язок між основними поняттями аналізу ризиків
Повторимо: для того щоб результати аналізу ризиків були об'єктивними і охоплювали інтереси щодо захисту інформації всій організації, необхідна активна спільна участь представників бізнес- і технологічних підрозділів на всіх етапах аналізу ризиків. Дуже часто аналіз ризиків порушення ІБ розуміється як суто технологічна задача, і це є однією з причин того, що результати такого аналізу не задовольняють осіб, відповідальних за прийняття рішень.
При проведенні інвентаризації та класифікації ресурсів оцінку їх значимості для організації необхідно давати на підставі всебічного аналізу даних власників і споживачів ресурсу. Для різних категорій ресурсів (інформаційних, сервісних, програмно-апаратних, людських) їх значимість може визначатися виходячи з різних критеріїв. Наприклад, якщо за працездатність Інтернету відповідає відділ системного адміністрування, для якого критичне час простою цього сервісу становить 48 год, то для відділу, котрий використовує Інтернет для виконання щоденних виробничих завдань, допустимий час простою даного сервісу може бути істотно менше. Також необхідно враховувати взаємозв'язок між ресурсами. Якщо для сервісу електронної пошти, що реалізується в тому числі з використанням Інтернету, пред'являються більш суворі вимоги, це повинно знайти відображення і для всіх ресурсів, пов'язаних з електронною поштою. Формування єдиної шкали цінностей ресурсів ІС, яка може залежати від рівня конфіденційності інформаційного ресурсу, максимального допустимого часу простою, витрат на отримання ресурсу і т. Д. І яка приймається всіма зацікавленими підрозділами, є основним завданням етапу інвентаризації та класифікації ресурсів.
Оцінка наслідків від реалізації загроз - ключовий етап аналізу ризиків. І тут, з одного боку, підрозділ, що відповідає за інформаційну безпеку, має чітко визначити, які ресурси ІС потенційно схильні до зовнішнього або внутрішнього негативного впливу і які можуть бути результати такого впливу. Підрозділ, що відповідає за ІБ, має визначити можливість кожної загрози на підставі аналізу вразливих місць в ІС і моделі потенційного зловмисника. З іншого боку, підрозділи, які мають безпосереднє відношення до бізнес-діяльності організації, повинні визначити результати негативного впливу на ресурс вже в термінах бізнесу (фінансові втрати, погіршення іміджу компанії, догляд поточних і потенційних замовників та ін.). При цьому можливість реалізації та оцінка результатів може здійснюватися як за якісною шкалою, так і в кількісному вигляді.
У разі, якщо в організації ведеться докладна статистика по інцидентах, пов'язаних з порушеннями ІБ, то, використовуючи її дані і результати кількісного аналізу ризиків, неважко спрогнозувати потенційний збиток для певного проміжку часу. Очевидно, що вкладення в ІБ не повинні перевищувати суму потенційних збитків.
У деяких випадках прийнято закінчувати аналіз ризиків на оцінці допустимих негативних наслідків. Але при такому підході відсутній елемент, що зв'язує результати аналізу ризиків з подальшими роботами по забезпеченню ІБ. А так як за проведенням аналізу ризиків має слідувати проектування і впровадження СОІБ, то, використовуючи результати етапу "Оцінка наслідків від реалізації загроз", можна сформувати вимоги до СОІБ. Останні слід формувати виходячи з того, що всі ідентифіковані ризики повинні бути знижені (перенесені, усунені) до деякого рівня, прийнятного для організації.
Роботи з аналізу ризиків порушення ІБ можуть проводитися як власними силами, так і з залученням зовнішніх консультантів. При проведенні аналізу ризиків власними силами необхідно враховувати завантаженість своїх співробітників і, можливо, брак у них часу на адаптацію методик аналізу ризиків та вивчення існуючих стандартів в цій галузі. Додатково в складі робочої групи, яка проводить аналіз ризиків, необхідний менеджер досить високого рівня, який би мав можливість узгоджувати роботу на рівні керівників ІТ, ІБ і бізнес-підрозділів. Відсутність у складі робочої групи таку людину може ускладнити отримання необхідної інформації і знизити довіру до результатів аналізу. З позитивних моментів можна відзначити відносно невисоку вартість такої роботи і збереження всередині організації інформації про вразливі місця ІС, які використовуються заходи та засоби захисту.
При проведенні аналізу ризиків із залученням зовнішнього консультанта до задачі вибору компанії-консультанта потрібно підходити дуже ретельно і в першу чергу виходити із специфіки діяльності компанії і використовуваних інформаційних технологій. У компанії-консультанта повинен бути штат співробітників необхідної кваліфікації і досвід роботи з організаціями в вашій галузі. При такому підході до проведення роботи інформація про використовувані технології ІБ буде доступна сторонньої компанії, і цей аспект слід враховувати при формуванні договірних відносин. З позитивних моментів можна відзначити те, що консультант має досвід роботи з багатьма замовниками, що допоможе уникнути загальновідомих помилок і використовувати тільки добре себе зарекомендували рішення. Консультант має методиками, здатний виділити на роботу необхідні ресурси, що дозволить підвищити якість і скоротити терміни проекту. Найчастіше рекомендації зовнішнього консультанта мають більшу вагу для керівництва компанії, так як вони претендують на незалежність і об'єктивність.
На закінчення хотілося б відзначити аспект, пов'язаний з затребуваністю аналізу ризиків. Процес забезпечення ІБ носить циклічний характер. При цьому для організацій з різним рівнем розвитку ІТ кількість етапів в такому циклі може мати відчутні відмінності. Для деяких організацій цілком достатньо базових механізмів безпеки. Дійсно, якщо невеликої компанії, в якій використовується електронна пошта та Інтернет, є кілька файлових серверів і невелика бухгалтерська система, а весь ІТ-персонал - це два системних адміністратора, запропонувати роботу по проведенню аналізу ризиків, то така пропозиція може не знайти розуміння. А дати будь-які чіткі критерії ідентифікації організації, для якої проведення аналізу ризиків доцільно, досить складно. Єдине, що можна сказати впевнено: якщо у вашій компанії існує розуміння високої залежності вашого бізнесу від використовуваних інформаційних технологій (незалежно від розміру організації), то результати аналізу ризиків будуть цікаві і допоможуть побудувати систему забезпечення ІБ, адекватну реальним загрозам, дозволять оптимізувати фінансові вкладення в даний напрямок.
З автором, експертом з інформаційної безпеки (CISSP, CISA), можна зв'язатися за адресою: [email protected]
Версія для друку
Тільки зареєстровані користувачі можуть залишати коментарі.
Які загальні вимоги до стану захищеності інформаційної системи (ІС) у топ-менеджерів компанії і у керівника бізнес-підрозділу?