Риски информационной безопасности
Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование информационных ресурсов имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам. Для предотвращения этих явлений проводятся идентификация и аутентификация.
Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия – те же, что и при несанкционированном доступе.
Кроме того, существует ряд случайных угроз информации, таких как проявление ошибок программно-аппаратных средств, некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности, неправомерное включение оборудования или изменение режимов работы устройств и программ, неумышленная порча носителей информации, пересылка данных по ошибочному адресу и т.д.
Управление рисками
Управление рисками — деятельность, направленная на определение уровня защиты, который требуется для той или иной информации, а затем — на реализацию и поддержание этой защиты. Здесь поможет специальная риск-ориентированная программа — или план действий — по обеспечению ИБ.
Расставьте приоритеты
Для начала составьте список всех типов информации, которую хранит и использует компания. «Тип информации» можно определить любым способом, главное, чтобы было удобно классифицировать (см. пример в Таблице 1).
Определите ценность информации
После составления списка типов информации, ответьте на 3 вопроса:
- Как повлияет на бизнес обнародование этой информации?
- Как повлияет на бизнес ошибочность этой информации?
- Как повлияет на бизнес отсутствие доступа к этой информации — у вас и у клиентов?
Ответы помогут определить степень потенциального воздействия того или иного события.
В качестве образца для оценки можно использовать Таблицу 1:
Параметр | Пример типа информации: Контактные данные клиента | Тип информации 1 | Тип информации 2 |
---|---|---|---|
Стоимость раскрытия (Конфиденциальность) | Средняя | — | — |
Стоимость сохранности информации (Целостность) | Высокая | — | — |
Стоимость потери доступа (Доступность) | Высокая | — | — |
Стоимость потери данных (результатов работы) | Высокая | — | — |
Штрафы, пени, уведомления для клиентов | Средняя | — | — |
Другие правовые издержки | Низкая | — | — |
Стоимость репутации / связи с общественностью | Высокая | — | — |
Стоимость определения и решения проблемы | Высокая | — | — |
Общая оценка | Высокая | — | — |
Составьте перечень устройств и ПО
Теперь нужно определить, какими средствами обрабатывается информация, перечисленная в Таблице 1. В перечень могут входить стационарные и мобильные устройства (ПК, ноутбук, смартфон, планшет), приложения (почта, мессенджеры, CRM) и технологии («облако», VPN, межсетевой экран).
Пример — Таблица 2:
Номер | Описание | Местонахождение | Тип информации, с которой работает продукт | Итого потенциальное воздействие |
---|
№1
Ноутбук Петра Иванова
Модель: Lenovo E450
ID: 1234567
Интернет-подключение:
Wi-Fi, VPN
Офис, улица, дом
Электронная почта, календарь, контактная информация клиента, мессенджер, корпоративный чат, ERP-программа
Критическое (Высокое)
№2
Программа для работы с клиентами: 1С Аппаратные средства: ноутбуки сотрудников
Офис, улица, дом
Контактная и другая персональная информация клиентов
Критическое (Высокое)
№3
—
—
—
—
Изучайте свои угрозы и уязвимости
У некоторых угроз и уязвимостей своя специфика — в зависимости от отрасли, региона или вида бизнеса. Необходимо регулярно пересматривать список угроз и уязвимостей, с которыми вы можете столкнуться, и оценивать вероятность ущерба от них.
В Таблице 3 показан пример того, как определить вероятность инцидента с учетом информации из Таблиц 1 и 2.
Параметр | Пример: Контактные данные клиента в мобильном телефоне Петра Иванова; | Тип информации / Технология | Тип информации / Технология |
---|---|---|---|
Конфиденциальность | — | — | — |
Кража | Средняя (шифрование, защита паролем) | — | — |
Случайное раскрытие | Средняя (в прошлом дважды терял телефон) | — | — |
Целостность | — | — | — |
Случайное повреждение пользователем/сотрудником | Средняя | — | — |
Преднамеренное повреждение преступником/хакером | Низкая | — | — |
Доступность | — | — | — |
Случайное повреждение | Средняя (Регулярное резервное копирование) | — | — |
Преднамеренное повреждение | Низкая | — | — |
Общая оценка | Средняя | — | — |
В Таблице 4 показан пример того, как на основе данных из Таблиц 1, 2 и 3 определить приоритеты по обеспечению информационной безопасности:
Воздействие | — | Низкая вероятность | Высокая вероятность |
Воздействие | Высокая вероятность | Приоритет 3: плановые действия. Фокус на ответные и восстановительные меры | Приоритет 1: назмедлительные действия. Фокус на меры по выявлению и защите |
Воздействие | Низкая вероятность | Действия не требуются | Приоритет 2: плановые действия. Фокус на меры по выявлению и защите |
Если взять предыдущий пример, мобильный телефон Петра Иванова с контактной информацией клиентов, то его можно оценивать как устройство с приоритетом 3 — из-за высокого показателя воздействия, но низкой вероятности.
Какую роль в анализе рисков играют активы?
Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.
Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.
Активы бывают нескольких типов:
- материальные;
- человеческие;
- информационные;
- финансовые;
- процессы;
- бренд и авторитет.
Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.
На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.
На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее – другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.
Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия
Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев
Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.
Проблемы управления информационными рисками
В процессе внедрения системы управления информационной безопасностью (СУИБ) каждая организация обязана подумать и о создании мощной системы управления рисками. Сложность может возникнуть из-того, что мнения специалистов по данному вопросу несколько расходятся: одни не верят в эффективность применения количественных методов оценки ИБ рисков, другие — качественных, третьи вообще не считают нужным их как-то оценивать.
Бывает, что эксперты упрекают отечественный бизнес в недостатке внимания к проблеме информационной безопасности и из-за сложностей получения реальной информации о конкретных активах компаний. Случается, что аналитики, не зная, как обосновать издержки на поддержание корпоративной ИБ, говорят, что управление информационными рисками требует столько ресурсов, сколько предприятие способно на него выделить. Также существует подход, при котором на решение этой задачи идут средства, оставшиеся в бюджете после всех основных затрат. В итоге компании по-разному относятся к проблеме угрозы информационных рисков и используют различные способы управления ими.
Общая концепция управления рисками ИБ
ВеличинаРиска=ВероятностьСобытия*РазмерУщербаВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
- Идентифицировать активы и оценить их ценность.
- Идентифицировать угрозы активам и уязвимости в системе защиты.
- Просчитать вероятность реализации угроз и их влияние на бизнес (англ. business impact).
- Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
прямымнепрямымПрямойНепрямойкачественныекосвенныеКачественнымиКосвенныетотальный рискостаточный рискколичественнымкачественнымколичественногоSLE=AssetValue*EFALE=SLE*ARO(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) — (ALE после внедрения мер защиты) — (Ежегодные затраты на реализацию мер защиты)качественногосписок различных методологий риск-менеджмента
Оценка стоимости информации компании
Далее необходимо определить стоимость информации. Часто этот этап является самым сложным, так как стоимость информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Т.е. специалист, собирающий данные для анализа рисков, должен опросить владельцев всей ценной информации. Для облегчения задачи можно использовать следующую методику.
- Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т.е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации, учитывая другие информационные ресурсы.
-
Экспертная комиссияопределяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:
- количество уровней критичности информации (наиболее простой является шкала, имеющая 3 уровня);
-
оценку уровней
- оценка максимального уровня определяется как некоторый критичный процент от общей капитализации компании;
- оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба;
- оценка остальных уровней распределяется в выбранных границах. Например, имеем следующую шкалу:
Уровень Оценка уровня (в у.е.) Низкий 10 000 Средний 100 000 Высокий более 100 000
- По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.
Каким образом нарушаются условия конфиденциальности?
Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица
Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями
Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.
Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все «явки и пароли», а лишь навести злоумышленника на верный путь
Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации
Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.
Оценка защищенности информационной системы
Далее оцениваем защищенность нашей информационной системы. Для этого нужно
- описать угрозы и уязвимости информационной системы,
- исходя из их критичности для информационной системы и вероятности их реализации, оценить уровень защищенности.
Угрозы и уязвимости можно определить
- во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы, уязвимости через которые реализуются угрозы в информационной системе, их критичность и вероятность реализации;
- во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Чтобы помочь описать угрозы и уязвимости, существуют классификации угроз и уязвимостей, например,
- OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, США),
- BSI (Federal Office for Information Security, Германия),
- DSECCT (Digital Security Classification of Threats, Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. Кроме того, для некоторых классификаций (BSI, DSECCT) разработаны базы, содержащие наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.
Снижение рисков, недорого
Беспечность малого бизнеса в вопросах информационной безопасности (ИБ) объяснима. Большинству руководителей кажется, что риски ИБ — это абстракция, «не про нас» — дескать, ну комы мы нужны? Вдобавок, считая, что организация полноценной инфо-защиты подразумевает большие затраты, руководство рассматривает ИБ как непрофильную статью расходов. И это тоже можно понять: малому бизнесу зачастую денег едва хватает на то, чтобы свести концы с концами, особенно если речь идет об очередном многострадальном стартапе.
Меж тем управление рисками ИБ, вне зависимости от размера компании, — в первую очередь вопрос дисциплины. Об этом, в частности, говорят эксперты NIST (Национальный институт стандартов и технологий США) в своем Руководстве по информационной безопасности для малого бизнеса, выпущенном в 2016 году. Правила и рекомендации, подробно изложенные в Руководстве, вполне пригодны и для наших реалий.
В этом посте мы предлагаем выжимку из документа NIST — в виде адаптированной для российского МБ инструкции. Она поможет руководителям оценить риски и управлять ими; другими словами — повысить безопасность малого предприятия малыми средствами.
NIST SP 800-39
«Managing Information Security Risk: Organization, Mission, and Information System View»
- предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
- ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
- риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
- приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
- угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
- внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
- ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
- вероятность возникновения ущерба.
- инструменты, техники и методологии, используемые для оценки риска;
- допущения относительно оценки рисков;
- ограничения, которые могут повлиять на оценки рисков;
- роли и ответственность;
- способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
- способы проведения оценки рисков в организации;
- частоту проведения оценки рисков;
- способы получения информации об угрозах (источники и методы).
- разработку возможных планов реагирования на риск;
- оценку возможных планов реагирования на риск;
- определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
- реализацию принятых планов реагирования на риск.
- проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
- определение текущей эффективности мер реагирования на риски;
- определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
На уровне организацииНа уровне бизнес-процессовНа уровне информационных систем
- принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
- избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
- разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
- минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.
Как оценить риски информационной безопасности
На рисунке 1 показана роль процесса оценки рисков в структуре процессов информационной безопасности.
Рисунок 1. Роль процесса оценки рисков в структуре процессов информационной безопасности
Необходимость проведения оценки рисков определена в российских и международных стандартах по информационной безопасности (ГОСТ Р ИСО/МЭК 17799:2005, CRAMM, ISO 27001:2013) и нормативных документах государственных органов РФ (например, документах ФСТЭК России по защите персональных данных и ключевых систем информационной инфраструктуры).
Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.
Анализ рисков включает следующие обязательные этапы:
- идентификация ресурсов;
- идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам;
- оценивание идентифицированных ресурсов с учетом выявленных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
- идентификация значимых угроз и уязвимостей идентифицированных ресурсов;
- оценка вероятности реализации идентифицированных угроз и уязвимостей.
Оценивание рисков включает:
- вычисление риска;
- оценивание риска по заранее определенной шкале рисков.
Оценка рисков является эффективным механизмом управления информационной безопасностью в компании, позволяющим:
- идентифицировать и оценить существующие информационные активы компании;
- оценить необходимость внедрения средств защиты информации;
- оценить эффективность уже внедренных средств защиты информации.
Типовой проект по оценке рисков информационной безопасности, предлагаемый нашей компанией включает следующие стадии:
1. Подготовка проекта – определение границ проведения оценки рисков, согласование сроков проведения, определение привлекаемых специалистов со стороны Заказчика;
2. Начало проекта – получение исходных данных от Заказчика, изучение бизнес-целей компании и отраслевых особенностей, составление карты активов;
3. Проведение обследования, включающего сбор следующей информации:
- об организационных мероприятиях – изучение политик, положений, инструкций, программ и результатов обучения сотрудников, проведение интервьюирования ответственных сотрудников Заказчика, наблюдение за работой сотрудников Заказчика;
- о технических средствах – инструментальный анализ информационной инфраструктуры, изучение документов, описывающих работу технических средств, изучение существующих настроек технических средств;
- о физической безопасности – осмотр помещений, анализ существующих процедур и применяемых средств обеспечения физической безопасности.
4. Построение модели угроз
- актуальность и полнота составленной модели угроз безопасности информации является определяющим условием успешной и достоверной оценки рисков;
- модель угроз безопасности информации является уникальной для каждой компании;
- при построении модели угроз безопасности информации используются каталоги угроз, например CRAMM или BSI. Полученный перечень угроз может дополняться, угрозами, описанными в методических документах регулирующих органов, например ФСТЭК России и ФСБ России, и отраслевых регуляторов, например Банк России;
- составленный перечень угроз дополняется угрозами, выявленными при проведении обследования Заказчика.
5. Анализ рисков, включающий:
- оценку активов на основе информации, полученной на этапах начала проекта и проведения обследования. Оценка активов может быть как количественная, так и качественная;
- оценку уязвимостей, выявленных в ходе проведения обследования. Оценка уязвимостей может проводиться с использованием различных методик, например CVSS;
- оценку угроз, включенных в модель угроз. Под оценкой угроз понимается вычисление вероятности возникновения угрозы;
- расчет рисков по качественной или количественной методике;
- ранжирование рисков с целью определения очередности обработки рисков.
6. Разработка плана обработки рисков – выбор оптимальных защитных мер, оценка их стоимости и эффективности, разработка предложений по принятию, избеганию или передачи части рисков;
Политика ИБ
Документом, резюмирующим весь комплекс процедуры управления ИБ-рисками, является… Нет, не формальный отчет о ее проведении, а фактически политика ИБ, в которую внесут соответствующие поправки, учтут всевозможные недостатки в технических и организационных составляющих бизнес-процессов целевой организации. На основе отчетности анализа рисков строится картина «непаханного поля» всевозможных угроз, подавляющее большинство которых ложится на ИТ. Ознакомившись с подобным отчетом, руководящий состав делает выводы об объемах инвестиций, направленных на построение или модернизацию автоматизированной системы защиты информации. Для этого команда экспертов определяет то множество рисков, которые можно минимизировать программно-аппаратными средствами.
Эксплуатация уязвимостей в корпоративном Web-приложении, перехват конфиденциальных данных, передающихся по каналам связи в открытом виде, внедрение сторонних аппаратных средств в информационную среду с последующим копированием чего-либо, не предназначенного для ознакомления третьими лицами, – все это заставляет администраторов ИБ разворачивать корпоративные версии разноплановых продуктов, тратить временные ресурсы на их конфигурирование и, что самое трудоемкое, проводить аудит получившийся системы.