Как справиться с неопределенностью при оценке рисков ИБ

Обработка неопределенности: ищем ответы в лучших практиках

При обработке неопределенности можно руководствоваться международными стан­дартами NIST Special Publication 800­хх, ISO серии 310хх, 27ххх и их российскими анало­гами. Рассмотрим ключевые рекомендации этих документов.

ISO/IEC 31010:2009 «Risk management – Risk assessment techniques» / ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Cо­гласно этим стандартам, для получения наиболее полной информации к оценке рисков нужно подключать как можно боль­ше заинтересованных лиц: ИТ-специалис­тов, владельцев активов, юристов, эконо­мистов и т.д. Оценивать риски следует c использованием сразу нескольких ме­тодов — например, с помощью мозгового штурма, контрольных листов и метода Дельфи, основанного на обобщении экс­пертных мнений. В ранжировании рисков должны участвовать высококвалифици­рованные специалисты: владельцы ак­тивов, юристы и экономисты. При этом необходимо учитывать всю доступную информацию, включая хронологические данные, сведения об особенностях систе­мы, специфике организации, эксперимен­тальные данные и т.д.

ISO/IEC 27005:2018 «Information technology – Security techniques – Information security risk management» / ГОСТ Р ИСО/МЭК 27005-2010 «Ин- формационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Эти стандарты рекомен­дуют обращаться за квалифицированной консультацией как к заинтересованным специалистам из самой организации, так и к внешним экспертам до принятия ре­шений по вопросам оценки рисков (идентификация активов, ранжирование рисков, возможные угрозы в отношении активов и др.). Следует идентифицировать угрозы как в общем, так и по их типу, а затем, где применимо, выявлять отдельные угрозы для исключения неожиданных. Например, к общим можно отнести угрозу нарушения установленных правил разграничения дос­тупа, к отдельным — угрозу неправомерно­го ознакомления с защищаемой информаци­ей, подмены действия пользователя путем обмана, обхода некорректно настроенных механизмов аутентификации и пр. Реко­мендуется учитывать внутренний опыт организации, полученный по итогам ра­нее выявленных инцидентов, и прошлые результаты оценки рисков. Помимо этого, следует ориентироваться на базы дан­ных угроз и уязвимостей, которые ведут госорганы, научно­-исследовательские институты и другие организации. Так­ же важно учитывать стоимость восста­новления информации либо ее зачист­ки и последствия для бизнеса от потери или компрометации актива. Среди зна­чимых факторов стандарт выделяет так­ же распространяющиеся на организацию правовые и регулирующие требования, а также применимые к ней ограничения: временные, финансовые, технические, операционные, культурные, этические, связанные с окружающей средой, юриди­ческие, кадровые, касающиеся интеграции новых и существующих средств защиты. Нельзя забывать и о различиях в пред­положениях, понятиях, потребностях и проблемах заинтересованных сторон, связанных с риском или обсуждаемыми проблемами. Важно, чтобы все они, будь то владелец актива, юрист или экономист, осознавали риски и причины их возник­новения, а также понимали, какие выгоды им дают имеющиеся активы. Наконец, необходимо учитывать ценность актива исходя из его вида.

NIST Special Publication 800-30 «Guide for conducting risk assessments» (2012), NIST Special Publication 800-37 «Risk management framework for information systems and organizations. A system life cycle approach for security and privacy» (2018), NIST Special Publication 800-39 «Managing information security risk: organization, mission, and information system view» (2011). Эта группа стандартов при выборе методологии оценки рисков рекомендует исходить из сроков планиро­вания бюджетирования или планирования изменений политик организации, а также из сложности и зрелости бизнес­-процессов (по сегментам архитектуры организации). Кроме того, следует ориентироваться на фа­зу информационной системы (ИС) в жиз­ненном цикле разработки, на критичность и чувствительность информации в ИС, под­держивающих основные организационные задачи и бизнес-­функции. Необходимо учи­тывать оценку рисков не только в отноше­нии ИС, но и в отношении бизнес­-процес­сов и основной деятельности организации. При оценке рисков важно принимать во вни­мание расчеты иных рисков организации, определять, как долго результаты конкрет­ных оценок можно использовать для закон­ного обоснования решений, основанных на риске. В целом данная группа стандартов рекомендует применять трехуровневый подход к оценке, направленный на устра­нение рисков на уровнях организации, биз­нес­процесса и ИС.

Регулятор рекомендует: бонус для банков

Для кредитных организаций, помимо перечисленных стандартов, актуальны также банковские стандарты СТО БР ИББС. Например, стандарт СТО БР ИББС 2.2-2009 «Методика оценки рисков нарушения информационной безопасности» пред­лагает привлекать нескольких экспертов для получения разных экспертных оценок. А согласно положениям стандарта СТО БР ИББС 1.4-2018 «Управление риском нарушения информационной безопасности при аутсорсинге», провайдер должен принять такой же уровень риска, как и сама организация, передающая ему функцию ИБ на аутсорсинг.

На этапе утверждения сейчас нахо­дится еще один немаловажный доку­мент, разработанный Банком России, — «Положение о требованиях к системе управления операционным риском в кредитной организации и банковской группе». Нормативный акт предполага­ет, что при расчете операционных рисков кредитная организация должна также учитывать риски ИБ и риски информаци­онных систем. Этими же требованиями можно руководствоваться и при обработке неопределенности.

Так, при управлении риском ИБ банк должен вести журнал учета реализован­ных рисков ИБ и классифицировать регис­трируемые события с учетом всех источ­ников рисков и результатов их реализации (потери от рисков). Помимо этого, необ­ходимо определять во внутренних доку­ментах и обеспечивать функционирование системы обеспечения ИБ, разрабатывать и соблюдать политику ИБ, проводить ре­гулярную независимую оценку не реже одного раза в год.

Примерами риска ИС служат отказ или нарушение функционирования, а так­же недостаточность функциональных воз­можностей информационной системы. Для их нивелирования рекомендуется определять систему управления риском ИС. Необходимо утверждать политику по использованию ИС и применять ее на практике, выявлять и оценивать ри­ски ИС, а также сопряженные с ними риски ИБ и проводить мероприятия по снижению уровня выявленных рисков. Следует опреде­лять и соблюдать требования к ИС, в том числе дополнительные, и пересматривать их не реже 1 раза в год. Кроме того, документ рекомендует разрабатывать, соблюдать и отражать во внутренних документах требования по обеспечению непрерывности, безопасности и качества функци­онирования ИС.

Наиболее оптимальный подход

Как же справиться с неопределенностью при оценке рисков и какие именно рекомен­дации лучших практик и регуляторов взять на вооружение? По нашему опыту, прежде всего стоит поменять подход к сбору дан­ных на более эффективный — например, применять метод Дельфи и формировать фокусные группы. Помимо этого, мы ре­комендуем вести внутреннюю отчетность об инцидентах ИБ и собирать сведения об актуальных угрозах для конкретной отрасли организации из общедоступных источников. Так, ФинЦЕРТ выпускает обзоры инцидентов в финансовой сфере. Владея подобной информацией, можно оценить применимость угроз для отдельной ор­ганизации и учесть их при оценке рисков ИБ, что поможет предотвратить вероятные потери от ущерба.

Какие неопределенности и риски несут облака

Размещение активов в облачных сервисах — одна из наиболее распространенных ситуаций, когда риски ИБ возникают из-за неопределенности. Чем это грозит? Аналитики Cloud Security Alliance (CSA) приводят огромный список рисков. В него входят, например, потеря данных, незащищенные интерфейсы и API, недоступность сервиса, несанкционированный доступ к активам через клиентов облачного провайдера, размещенных в той же инфраструктуре. И это далеко не всё: нельзя исключать возможность контроля доступа к чувствительным данным на уровне инфраструктуры облачного провайдера или самой организации, неопределенность ответственности между провайдером и организацией и др.

Рассмотрим риски на примере типового банка, передавшего данные на обработку в облако. Кредитная организация недооценила критичность информационного актива и активов поддержки, в том числе на стороне провайдера. Как следствие, она недооценит и ущерб от потери данных. Забыв о ком-либо, кто имеет доступ к защищаемым данным, банк тоже получит риски ИБ. То же может случиться, если вам неясно, как провайдер разграничивает права доступа клиентов к своим сервисам. Большое значение имеют и особенности выбранной модели размещения в облаке. По нашему опыту, возможность доступа работников облачного провайдера к данным в ЦОДе недооценивается многими организациями. Отдельный блок неопределенностей связан с особенностями российского рынка страхования киберрисков. Речь идет о небольшом числе игроков и нехватке у многих из них ресурсов и компетенций. К тому же риски ИБ могут быть вызваны и отсутствием прозрачности в расчете страховых выплат в случае возникновения инцидента и последующего ущерба.

Чек-лист
15 способов минимизации рисков ИБ при использовании облачных сервисов