Недопустимые события и классический риск-ориентированный подход. Сравнение методологий и особенности их применения

1. Вводная часть

Риск-ориентированный подход в ИБ помогает организациям определить и оценить риски, с которыми они сталкиваются, а также эффективно управлять этими рисками. Этот подход позволяет оптимизировать использование ресурсов и выбирать наиболее эффективные меры по обеспечению безопасности. Рациональное распределение ресурсов в соответствии с уровнем риска позволяет организациям сосредоточиться на существенных угрозах и минимизировать потенциальное воздействие уязвимостей на бизнес-процессы.

Методологии риск-ориентированного подхода отражены в различных международных стандартах и лучших практиках ИБ. Можно провести аналогию между риск-ориентированным подходом и подходом к определению недопустимых событий, поскольку недопустимые события по своей сути похожи на риски с катастрофическими последствиями. Данная статья призвана внести ясность и показать, что подход с определением недопустимых событий не исключает применения международных стандартов и практик, которые давно вошли в обиход, и не противоречит им, а является взглядом под другим углом, призванным обратить внимание высшего руководства на реальные угрозы кибербезопасности с фатальными для организации последствиями.

2. Общепринятые мировые практики и стандарты

Из обширного числа существующих методик для рассмотрения в статье были выбраны ISO/IEC 27005 и NIST Risk Management Framework, которые предлагают структурированные подходы к процессу управления рисками. Основная цель этих стандартов — помочь организациям разработать и реализовать эффективные программы по определению и управлению рисками ИБ. Рассмотрим выбранные методики управления рисками подробнее.

2.1. Стандарт ISO/IEC 27005 (ИСО/МЭК 27005) «Менеджмент риска информационной безопасности»

Стандарт выпущен Международной организацией по стандартизации и Международной электротехнической комиссией, является частью семейства ISO/IEC 27001 и представляет рекомендации и методику по управлению рисками ИБ. Основан на принципах управления рисками стандарта ISO/IEC 31000 и уточняет их для направления информационной безопасности.

Процесс менеджмента рисков ИБ по ISO/IEC 27005 Рисунок 1. Процесс менеджмента рисков ИБ по ISO/IEC 27005

Процесс менеджмента рисков включает в себя как организационные, так и технические меры, которые применяются в функциональных процессах организации. Поскольку система менеджмента ИБ подразумевает цикличность и разработана на основе подхода PDCA (Plan, Do, Check, Act, или Планирование, Реализация, Проверка, Действие), рассмотрение процесса менеджмента рисков ИБ будем продолжать в этой же плоскости.

Планирование — то, что предлагается сделать в самом начале. Понимается, что на этом этапе собираются все основные вводные:

устанавливается контекст менеджмента рисков (необходимо определить цель и ценности организации, имеющиеся ограничения, определить активы и их ценность);
проводятся анализ и оценка рисков (необходимо идентифицировать риски, определить их значимость);
разрабатывается план по обработке рисков (необходимо выбрать один из четырех вариантов обработки рисков — снижение, сохранение, предотвращение, перенос).

Реализация. Проводится внедрение мер согласно плану обработки рисков.

Проверка. Осуществляется непрерывный мониторинг свойств активов, рисков и внедренных мер.

Действие. Подразумеваются поддержание актуальности и улучшение процесса менеджмента рисков. Если в ходе проверки было выявлено изменение свойств организации, активов или рисков, то цикл повторяется с учетом новых данных.

Методология определения рисков международного стандарта ISO/IEC 27005 учитывает огромное количество активов — информацию, процессы, технологии, а также безопасность человеческих ресурсов. Подход стандарта также учитывает большое число угроз различной классификации. Это помогает охватить множество потенциальных рисков и определить наиболее значимые для организации. Такой подход способствует более полной и эффективной оценке рисков ИБ.

Кроме того, рекомендации стандарта ISO/IEC 27005 позволяют учитывать различные аспекты ИБ (технические и организационные меры защиты). Это способствует обеспечению комплексной защиты активов и позволяет определить приоритетные направления для улучшения уровня безопасности, что важно для эффективной стратегии по управлению рисками в организации.

Вывод: стандарт ISO/IEC 27005 призван помочь организациям в процессах оценки и управления рисками информационных активов. Под информационными активами понимается большое число сущностей, начиная от человеческих ресурсов и заканчивая самой информацией. Соответственно, за каждым из активов кроется определенное число рисков, которые организация должна идентифицировать, классифицировать по уровню опасности и для которых должна разработать меры по управлению. Причем среди рисков учитываются не только события, связанные с кибербезопасностью, но также угрозы естественного характера (природные явления и катаклизмы), а также человеческий фактор (пожар, аварии на производстве и другие события).

2.2. NIST Risk Management Framework

Фреймворк по управлению рисками разработан американским Национальным институтом стандартов и технологий (NIST), который специализируется на создании документов по информационной безопасности. И хотя сам стандарт разработан для госорганов США, публикации, входящие в его состав, могут использоваться без ограничений всеми, кто желает применить риск-ориентированный подход к управлению ИБ.

В состав фреймворка по управлению рисками входят следующие публикации.

	NIST Risk Management Framework	Оригинал	Перевод
1.	NIST SP 800-39	Managing Information Security Risk: Organization, Mission, and Information System View	Управление риском информационной безопасности: уровень организации, миссии, информационной системы
2.	NIST SP 800-37	Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy	Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности
3.	NIST SP 800-30	Guide for Conducting Risk Assessments	Руководство по проведению оценки риска
4.	NIST SP 800-53	Security and Privacy Controls for Information Systems and Organizations	Контроль безопасности и конфиденциальности в информационных системах и организациях

Верхнеуровневая публикация NIST SP 800-39 описывает подход к управлению рисками для всей деятельности организации, разделяя ее на три уровня — уровень организации, уровень бизнес-процессов (по-английски — «уровень миссии») и уровень информационных систем. Каждый уровень имеет свои особенности и свою ответственность, что позволяет организации эффективнее управлять рисками на различных направлениях ее деятельности.

Уровень организации является ключевым для выработки стратегии управления рисками ИБ. Здесь принимаются основные решения о введении системы управления рисками, формируется бюджет, назначаются ответственные лица и утверждаются планы реагирования на риски.

Уровень бизнес-процессов фокусируется на интеграции управления рисками в бизнес-процессы организации, на создании новых процессов или реинжиниринге существующих — с учетом рисков и требований ИБ.

Уровень информационных систем отражает все ключевые решения, принятые на более высоких уровнях, и представляет собой один из инструментов управления рисками ИБ. Здесь внедряются технические меры для нивелирования влияния рисков, производятся мониторинг и оценка рисков в информационных системах.

Предложенная в публикации методология управления рисками ИБ включает в себя этапы:

1. Определение рисков. Этап подразумевает определение реальных угроз, уязвимостей и последствий. Необходимо определить устойчивость организации к рискам. Провести оценку приоритетности процессов организации и определить компромиссы, на которые можно пойти при управлении рисками. 2. Оценка рисков. На данном этапе осуществляется разработка модели нарушителя и модели угроз ИБ. Основная цель — определить источники угроз ИБ, уязвимости в инфраструктуре организации, а также ее бизнес-процессах, сценарии реализации угроз и оценить ущерб от реализации угрозы. 3. Обработка рисков. На третьем этапе разрабатываются планы реагирования на риски и их реализация. Для обработки рисков публикация предлагает несколько способов:

Принятие. Руководство берет на себя ответственность и принимает риски, инфраструктура организации продолжает функционировать.
Избегание. Риск устраняется путем устранения причин его возникновения или существования.
Минимизация. В организации применяются компенсирующие организационные и технические меры для снижения влияния риска до допустимого уровня.
Разделение. Стратегия подразумевает распределение угроз и ответственности между разными уровнями инфраструктуры — или привлечение третьей заинтересованной стороны для уменьшения влияния риска.
Передача. Ответственность за реализацию и последствия риска полностью передается на сторону, способную обработать риск эффективнее. В качестве примера можно выделить страхование рисков или привлечение сторонних сервисов, например SOC.

4. Мониторинг рисков. Четвертый этап описывает то, как организация отслеживает риски на протяжении определенного срока. Организация контролирует, проводится ли проверка определенных ранее планов реагирования на риски, эффективны ли выбранные стратегии. Производится контроль изменений на всех трех уровнях (организация, бизнес-процессы, информационные системы).

Стандарт также подразумевает, что обеспечение надежного канала связи между всеми уровнями управления рисками ИБ является одним из ключевых аспектов эффективности такого управления. Это позволяет обеспечить эффективное взаимодействие между заинтересованными сторонами и обеспечить непрерывность процесса управления рисками.

Стоит сказать, что во фреймворке по управлению рисками на всех уровнях организации содержится лишь общая модель о оценки рисков. Сама методика проведения оценки вынесена в отдельную публикацию — NIST SP 800-30. Документ развернуто описывает процедуру выявления и анализа потенциальных рисков ИБ для эффективного и обоснованного управления ими в будущем.

Вывод: стандарт NIST имеет общие черты с ISO/IEC 27005. Он так же покрывает все виды деятельности организации и подразумевает аналогичный подход к управлению рисками. Однако в отличие от стандарта ISO/IEC 27005, в методике NIST Risk Management Framework основной упор делается на технологическую составляющую. Об этом говорит и сама структура фреймворка, где публикация по управлению рисками в информационных системах существует как самостоятельный документ.

3. Недопустимые события

Выше мы рассмотрели два стандарта, отражающие концепцию управления рисками. Однако существует и альтернативная точка зрения. Руководство каждой организации испытывает страх перед определенными событиями, которые не должны произойти ни при каких обстоятельствах. Например, в оборонно-промышленном комплексе это может быть нарушение цепочки поставок, остановка производства или несоблюдение контрактов. Для здравоохранения это могут быть сбои оборудования, прямо угрожающие жизни и здоровью граждан, а для СМИ — подмена информации в эфире. Частные компании боятся кражи средств с расчетных счетов. Все эти события являются рисками, относительно которых осуществляется только один вид управления — не допустить их наступления.

Что такое недопустимое событие? Это событие, делающее невозможным достижение операционных и (или) стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате кибератаки. Подробнее об этом можно прочесть в одноименной статьев одноименной статьев одноименной статье.

Процесс определения недопустимых событий состоит из следующих этапов:

формирование перечня недопустимых событий;
моделирование сценариев реализации недопустимых событий;
наложение сценариев реализации на уровень IT-инфраструктуры;
определение целевых и ключевых систем, атака на которые может привести к реализации недопустимого события.

К процессу определения недопустимых событий привлекаются:

члены высшего руководства организации, поскольку они имеет широкое понимание целей организации и знают, какие события могут нанести критический ущерб;
руководители функциональных подразделений, так как они имеют представление о возможности реализации недопустимого события через функции их подразделений;
эксперты из отделов ИТ и ИБ, которые знают, воздействие на какие элементы инфраструктуры организации может привести к реализации недопустимого события.

Подход имеет общие черты с фреймворком NIST, поскольку в центре внимания находится не актив, ценность которого требует подтверждения, а угрозы и их последствия. К тому же в обоих подходах основной упор делается на технологическую составляющую.

В отличие от подходов международных стандартов, основным драйверов в процессе определения недопустимых событий является именно руководство организации, а не специалисты по безопасности или управлению рисками. Смысл такого подхода заключается в том, что руководству организации, как никому больше, известно — какие инциденты способны поставить под вопрос достижение организацией операционных и стратегических целей.

Прежде чем перейти к выводам, предлагаю наглядно сравнить стандарты NIST Risk Management Framework, ISO/IEC 27005 и методику определения недопустимых событий.

	NIST RMF	ISO/IEC 27005	Недопустимые события
Отрасли применения	Применимо в различных отраслях и сферах деятельности, где безопасность информации является важным аспектом	См. NIST RMF	См. NIST RMF
Основная сущность	Риски и уязвимости операционных процессов и технологий	Риски и уязвимости человеческих ресурсов, операционных процессов, технологий	Недопустимые события с катастрофическими для организации последствиями
Методы обработки рисков или недопустимых событий	1. Принятие 2. Избегание 3. Минимизация 4. Разделение 5. Передача	1. Модификация 2. Сохранение 3. Избегание 4. Передача	Исключение
Ответственный за определение рисков или недопустимых событий	Вендоры, руководитель ИБ, риск-менеджеры	Руководитель ИБ, риск-менеджеры	Высшее руководство организации
Методы идентификации рисков или недопустимых событий	1. Идентификация источников угроз. 2. Определение существующих уязвимостей в активах (средства защиты информации, операционные процессы, информационная инфраструктура). 3. Оценка вероятности возникновения угроз. 4. Определение последствий от реализации	1. Определение активов (что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите) и их важность. 2. Определение угроз и уязвимостей. 3. Определение и оценка последствий. 4. Оценка вероятности инцидента	1. Определение недопустимых для организации событий на бизнес-уровне с высшим руководством организации. 2. Уточнение недопустимых событий с руководителями функциональных направлений. (Определение сценариев реализации недопустимого события). 3. Наложение сценариев реализации на информационную инфраструктуру организации экспертами по ИТ и ИБ
Время реализации цикла определения и обработки рисков	Стандарт предполагает идентификацию большого числа потенциальных рисков по всем направлениям работы организации, а также проведение экспертной оценки опасности рисков. Подсчитать временные затраты затруднительно или невозможно	См. NIST RMF	Определение недопустимых событий проводится на встрече с высшим руководством и может занимать 2–3 часа в зависимости от степени проработки гипотез

Таким образом, определение недопустимых событий — это процесс, который лишен длительных процедур исследования и анализа рисков и угроз. Подход, применяемый в международных стандартах, предлагает нам рассматривать в качестве примера различные категории угроз, которые могут быть реализованы случайным, умышленным или естественным способами (природные угрозы). В методике определения недопустимых событий рассматриваются только события, которые, по мнению высшего руководства, имеют катастрофические последствия и могут быть реализованы в результате кибератак злоумышленников.

4. Вывод

Описанные выше подходы не отменяют друг друга, а наоборот — дополняют. Международные стандарты предлагают широкий взгляд на всевозможные риски, а также инструменты для их управления. Это позволяет организациям рационально распределить ресурсы для выстраивания мер по защите от обширного числа угроз. Методика по определению недопустимых событий помогает организациям сосредоточить внимание на наиболее значимом и позволяет при участии топ-менеджмента выстроить стратегию повышения киберустойчивости организации к реализации кибератак с критическими последствиями.

Методика определения недопустимых событий несколько отличается от традиционных подходов к управлению рисками, но может дополнять существующие стандарты, позволяя выявлять те события, которые по своей сути похожи на риски с катастрофическими последствиями.