Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdf
Окончание табл. 2.10
2.10.6. Ранжирование угроз и уязвимостей с учетом значений вероятности реализации угроз и размера наносимого ущерба
На данном этапе проводится ранжирование угроз, при котором учитывается:
—показатель частоты повторяемости угроз;
—показатель легкости использования уязвимостей;
—показатель размера ущерба при реализации угроз с использованием уязвимостей.
При ранжировании угроз удобнее всего использовать количественные значения (в виде баллов) оценок. Приведем пример ранжирования угроз, который включает в себя только два фактора — показатель ущерба и вероятности реализации угрозы. Показатель простоты использования уязвимости в этом примере не учитывается (табл. 2.11).
Сначала оценивается ущерб от негативного воздействия (показатель ресурса) по заранее определенной шкале (например, от 1 до 5) для каждого ресурса, которому угрожает опасность (колонка b).
Затем по заранее заданной шкале (например, от 1 до 5) оценивается вероятность реализации каждой угрозы (колонка c).
После этого вычисляется показатель риска (путем перемножения значений колонок b è c), по которому и производится ранжирование (колонка e).
61
Таблица 2.11
Ранжирование угроз
В табл. 2.11 для наименьшего ущерба и для наименьшей вероят- |
ности реализации выбрано значение 1, для наибольших — значение 5. |
Данная процедура позволяет сравнивать и ранжировать по при- |
оритету угрозы с различными негативными воздействиями и вероят- |
ностями реализации. В определенных случаях дополнительно могут |
потребоваться стоимостные показатели. |
2.10.7. Документирование результатов |
Результаты этапа идентификации и первичной оценки угроз и |
уязвимостей организации могут быть зафиксированы в форме следую- |
щих таблиц (табл. 2.12, 2.13). |
Таблица 2.12 |
Описание выявленных угроз |
62 |
Таблица 2.13
Описание угроз с учетом используемых уязвимостей и размеров ущерба от их реализации
2.10.8. Идентификация и оценка существующих, планируемых мер безопасности
Меры безопасности (Security controls) — практические действия либо процедуры и механизмы, направленные на защиту ресурсов от угроз, уменьшение уязвимостей или снижение уровня ущерба, вызванного инцидентом.
На данном этапе выявляются и описываются средства защиты, меры защиты информации, используемые в настоящее время для уменьшения или избежания риска.
Этап анализа существующих, планируемых мер защиты необходим для того, чтобы исключить ненужную работу, лишние затраты, а также избежать дублирования мер защиты информации либо чтобы прийти к выводу, что существующих мер безопасности недостаточно. Кроме того, необходимо понять, надо ли данную меру исключить или заменить на другую, более подходящую. Также важно убедиться, что все работает верно, и меры защиты информации адекватны и эффективны. Это связано с тем, что, как правило, мера, на которую полагаются, но которая больше не отвечает возлагаемым на нее требованиям, становится возможной уязвимостью.
Итак, этап идентификации рисков помогает:
1)верно определить информацию и ее источники, которые необходимо отнести к категории критичной, верно проранжировать информационные ресурсы по степени чувствительности и значимости, а значит
—верно проставить приоритеты защиты информации;
2)прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие на-
63
несению финансового, материального и морального ущерба, нарушению нормального функционирования и развития предприятия;
3)создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
4)создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании информационных систем, эффективного пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
5)создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физи- ческих и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности;
6)в результате этапа идентификации рисков создается перечень рисков для каждого ресурса, описание этих рисков и средств защиты, используемых в настоящее время для уменьшения или избежания данных рисков.
2.11. Этап выбора контрмер
Меры по защите информации
Итак, пришло время для разработки мер защиты информации — контрмер. Этап выбора контрмер иногда называют Risk Response Planning (RRP).
Âтечение данного этапа УИР создаются средства контроля и управления, которые могли бы смягчить идентифицированные риски.
Цель рекомендуемых средств контроля и управления состоит в том, чтобы уменьшить до приемлемого уровня риск для информационной системы и используемых данных.
Âцелом, любая из принимаемых мер будет вписываться в следующие три вида:
1) профилактические меры — меры, принимаемые до возникно-
вения риска и нацеленные на упразднение возможности появления риска или снижение вероятности его возникновения;
2)меры по устранению риска (contingency plan) — меры, принимаемые в случае возникновения риска;
3)резервный план (fallback plan) — меры, принимаемые в слу-
чае, если меры по устранению риска (contingency plan) оказываются неэффективными.
64
Âчисло рассматриваемых факторов, которые необходимо учитывать при формировании рекомендаций по средствам управления и по альтернативным решениям для минимизации идентифицированных рисков, входят:
— эффективность рекомендуемых мероприятий;
— законодательство и регулирование;
— особенности и воздействие эксплуатации;
— безопасность и надежность.
Свести величины рисков к нулю невозможно. Поэтому действия по снижению риска должны быть в первую очередь направлены не на полное удаление риска, а на выбор эффективного метода управления данным риском и снижения риска до приемлемого уровня. Причем выбор контрмер должен производиться исходя из принципа разумной достаточности, то есть стоимость реализации контрмеры не должна превышать количественную величину риска.
Для каждого из рисков необходимо выбрать стратегию реагирования. Одна из стратегий может быть направлена на то, чтобы «обойти» риск, застраховаться от него или смягчить его последствия. Иногда риск можно исключить полностью, отказавшись от некоторых низкоприоритетных свойств системы. В других случаях можно попытаться использовать более зрелые или известные технологии.
Âслучае внешних рисков, на которые практически невозможно както воздействовать, единственным ответом будет резервирование дополнительных ресурсов. В этом случае законодательствами многих государств регламентированы методы страхования информационных рисков.
Существуют риски, относящиеся к категории поддающихся воздействию. Для таких рисков необходимо выбрать действия, которые помогут снизить вероятность наступления события и его возможные последствия.
Задача состоит не в том, чтобы свести возможность проявления риска или его последствия к нулю. Если такое решение и достижимо, оно может потребовать слишком много ресурсов. Реальная цель — снизить вероятность и последствия проявления риска до приемлемого уровня.
Стратегии управления рисками
Существуют следующие базовые стратегии управления рисками:
1. Избежание риска (risk avoidance). Метод заключается в том, что если риск не может быть полностью ликвидирован, то деятель-
65
ность, которая его вызывает, прекращается. Например, можно воздержаться от использования некоторых функций системы или закрыть систему, когда риски полностью идентифицированы. Наибольшая эффективность метода достигается при высоком уровне ущерба и высокой вероятности его реализации.
2.Принятие риска (risk assumption). Метод заключается в том, что ущерб покрывается из собственных средств предприятия. Потенциальный риск принимается и продолжается дальнейшее использование информационной системы, либо реализуются средства управления, позволяющие снизить риск до приемлемого уровня. Метод наиболее эффективен при высоком ущербе и низкой вероятности реализации.
3.Снижение риска (risk reduction). Метод состоит в выработке
мероприятий, направленных на снижение уровня рисков за счет снижения вероятности нанесения ущерба (реализации угроз) либо за счет снижения ущерба. Наиболее эффективен при низком ущербе и высокой вероятности реализации или при высоком ущербе и низкой вероятности реализации.
4.Ограничение риска (risk limitation). Метод состоит в том, чтобы ограничивать имеющийся риск, реализовав и применив средства управления, которые минимизируют неблагоприятное воздействие осуществления угрозы для уязвимости (например, использование поддерживающего, профилактического или тайного контроля).
5.Передача (страхование) риска (risk transference). Метод зак-
лючается в передаче ответственности по несению риска стороннему лицу, предприятию. Метод эффективен при сочетаниях: высокий ущерб — низкая вероятность, низкий ущерб — высокая вероятность.
6.Планирование риска (risk planning). Метод состоит в том, чтобы управлять риском путем разработки плана действий по уменьшению риска, который может предусматривать введение определенных приоритетов, реализацию и проведение контроля.
7.Исследование и уведомление (research and acknowledgment).
Метод состоит в том, чтобы понизить риск возможных потерь, путем уведомления о наличии уязвимости или недостатков в системе и исследования средств контроля для исправления уязвимости.
Как планировать противодействие рискам
Обычно, чтобы спланировать действия в соответствии с любым из рисков, необходимо следовать следующей достаточно очевидной процедуре [34]:
66
Øàã 1. Попытаться избежать риска. На этом шаге детально прорабатывается план проекта с целью устранения различных рисков.
Øàã 2. Попытаться снизить величину риска. На этом шаге ставится цель снижения вероятности и влияния рисков. Как правило, снижение вероятностей и степени влияния рисков связано с повышением общего уровня информационной безопасности.
Øàã 3. Определить неустранимые риски. На этом шаге ИТ-ме- неджер определяет риски, не поддающиеся упразднению (остаточные риски — residual risk). Обо всех неустранимых рисках следует знать и проводить их постоянный мониторинг.
Øàã 4. Определить владельца риска (risk owner). Для каждого неустранимого риска необходимо назначить владельца риска, то есть назначить ответственное лицо за контроль и управление рисками. Это назначение позволяет существенно снизить уровень опасности в том случае, если риск все-таки проявится. Владелец риска ответственен за управление процедурами, связанными с этим риском. Наличие владельца риска позволит избежать собраний и совещаний, если риск возникает.
Øàã 5. Создать план на случай возникновения риска (contingency plan) и резервный план (fallback plan) для всех неустранимых рисков. Хороший план — такой, при котором не только владелец риска точно знает, что необходимо делать, но продуманы и подготовлены и все необходимые вспомогательные элементы ответных действий, подписаны необходимые контракты с третьими сторонами и третья сторона находится в курсе того, что и как надо делать в случае необходимости. Резервный план создается на тот случай, если основной план не сработает. Часто резервный план может предполагать определенные дополнительные расходы. Здесь нужно убедиться, что затраты на основной и резервный планы меньше, чем величина риска. Очевидно, что планируемые действия не должны превышать потери, которые придется понести, если риск возникнет.
Øàã 6. Определить вторичные риски и создать основной и резервный планы для них. Под вторичными рисками понимаются риски, создаваемые плановыми действиями в ответ на первичный риск. Влияние вторичного риска не должно превышать масштабы первичного риска.
Øàã 7. Свести все риски в RRP-форму (табл. 2.14). Там же должны быть перечислены владельцы рисков, основной и резервный планы.
67
Таблица 2.14 |
Планирование противодействия рискам (RRP) |
Øàã 8. Создать резервы для каждого неустранимого риска. Резервы представляют собой запас времени и бюджета, добавляемые к проекту для эффективной работы с рисками. Резервы, которые запасаются для неустранимых рисков, называются contingency reserve. Резервы — необходимое условие управления и планирования.
Øàã 9. Создать резервы для неизвестных рисков. Кроме резервов, предназначенных для работы с идентифицированными и известными рисками, необходимо создать резервы для неизвестных рисков, не идентифицированных в процессе создания. Они носят название management reserve.
Резервы, оставляемые на случай появления неизвестных рисков, как правило, составляют от 2 до 15% от общей стоимости ресурса в зависимости от размера резервов на идентифицированные риски.
Øàã 10. Обсудить результаты стадий управления информационными рисками. Данный этап предназначен для контроля процесса УИР и подведения итогов, а также для обсуждения перспектив дальнейшего развития УИР.
Для обеспечения необходимого снижения ИТ-рисков и контроля безопасности можно провести следующие мероприятия:
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала предприятия, направленные на предотвращение
68
ИТ-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
2.Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах предприятия, используемых для этой цели.
3.Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4.Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5.Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:
— проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
— разработать варианты решения проблем, связанных с кадрами, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;
— подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Типовые контрмеры
Рассмотрим некоторые типовые контрмеры.
Оборудование
Для предотвращения проблем с перебоями в электропитании требуется использовать источники бесперебойного питания. Также контрмеры в отношении оборудования могут включать применение сис-
69
тем кондиционирования (в том числе резервные системы кондиционирования), резервные серверы, узлы горячей замены, запчасти, инструментарий для проведения оперативного ремонта, заслоны для оборудования в случае проникновения влаги в помещение. В Европе фактическим стандартом является создание резервных центров обра-
ботки данных.
Программное обеспечение
В отношении программного обеспечения основной контрмерой является создание резервных копий. Необходимо предусмотреть сохранение оригинальных дистрибутивов на отчуждаемом носителе. На случай утраты (выхода из строя) оригинального носителя требуется заключить с производителем коммерческого программного обеспече- ния соглашение о замене носителя. Сами носители целесообразно хра-
нить в несгораемых шкафах на отдельном макрообъекте.
Данные
На случай выхода из строя информационной системы должна быть предусмотрена возможность продолжения работы с материалами на время восстановления информационной системы. Таким образом, нельзя полностью отказываться от использования «бумажного» документооборота, чтобы при внезапном выходе информационной системы из строя была возможность продолжить работу в аварийном режиме с использованием обычных средств документооборота.
Лица, от которых зависит функционирование информационной системы, должны иметь возможность в приемлемое время прибыть к объекту информационной системы с целью предотвращения дальнейшего развития инцидента, вне зависимости от характера инцидента. Так, в договоре с охранным агентством должно быть указано время, в течение которого его сотрудники при получении сигнала тревоги должны прибыть на объект. Кроме этого, требуется таким образом регламентировать действия в случае нештатных ситуаций, чтобы сотрудники, в чью непосредственную компетенцию не входят операции по восстановлению работоспособности системы, могли бы, руководствуясь регламентом, приостановить развитие инцидента или локализовать его причину. Данные регламенты являются подлежащими документами для основного документа, описывающего политику действий в нештатных ситуациях. Подобный документ (он, как правило, носит название «План действий в чрезвычайных ситуациях») содержит перечень ответственных лиц с их координатами и перечень соответствующих регламентов.
70