Риск-ориентированный подход в ИБ помогает организациям определить и оценить риски, с которыми они сталкиваются, а также эффективно управлять этими рисками. Этот подход позволяет оптимизировать использование ресурсов и выбирать наиболее эффективные меры по обеспечению безопасности. Рациональное распределение ресурсов в соответствии с уровнем риска позволяет организациям сосредоточиться на существенных угрозах и минимизировать потенциальное воздействие уязвимостей на бизнес-процессы.
Методологии риск-ориентированного подхода отражены в различных международных стандартах и лучших практиках ИБ. Можно провести аналогию между риск-ориентированным подходом и подходом к определению недопустимых событий, поскольку недопустимые события по своей сути похожи на риски с катастрофическими последствиями. Данная статья призвана внести ясность и показать, что подход с определением недопустимых событий не исключает применения международных стандартов и практик, которые давно вошли в обиход, и не противоречит им, а является взглядом под другим углом, призванным обратить внимание высшего руководства на реальные угрозы кибербезопасности с фатальными для организации последствиями.
Из обширного числа существующих методик для рассмотрения в статье были выбраны ISO/IEC 27005 и NIST Risk Management Framework, которые предлагают структурированные подходы к процессу управления рисками. Основная цель этих стандартов — помочь организациям разработать и реализовать эффективные программы по определению и управлению рисками ИБ. Рассмотрим выбранные методики управления рисками подробнее.
Стандарт выпущен Международной организацией по стандартизации и Международной электротехнической комиссией, является частью семейства ISO/IEC 27001 и представляет рекомендации и методику по управлению рисками ИБ. Основан на принципах управления рисками стандарта ISO/IEC 31000 и уточняет их для направления информационной безопасности.
Рисунок 1. Процесс менеджмента рисков ИБ по ISO/IEC 27005
Процесс менеджмента рисков включает в себя как организационные, так и технические меры, которые применяются в функциональных процессах организации. Поскольку система менеджмента ИБ подразумевает цикличность и разработана на основе подхода PDCA (Plan, Do, Check, Act, или Планирование, Реализация, Проверка, Действие), рассмотрение процесса менеджмента рисков ИБ будем продолжать в этой же плоскости.
Планирование — то, что предлагается сделать в самом начале. Понимается, что на этом этапе собираются все основные вводные:
Реализация. Проводится внедрение мер согласно плану обработки рисков.
Проверка. Осуществляется непрерывный мониторинг свойств активов, рисков и внедренных мер.
Действие. Подразумеваются поддержание актуальности и улучшение процесса менеджмента рисков. Если в ходе проверки было выявлено изменение свойств организации, активов или рисков, то цикл повторяется с учетом новых данных.
Методология определения рисков международного стандарта ISO/IEC 27005 учитывает огромное количество активов — информацию, процессы, технологии, а также безопасность человеческих ресурсов. Подход стандарта также учитывает большое число угроз различной классификации. Это помогает охватить множество потенциальных рисков и определить наиболее значимые для организации. Такой подход способствует более полной и эффективной оценке рисков ИБ.
Кроме того, рекомендации стандарта ISO/IEC 27005 позволяют учитывать различные аспекты ИБ (технические и организационные меры защиты). Это способствует обеспечению комплексной защиты активов и позволяет определить приоритетные направления для улучшения уровня безопасности, что важно для эффективной стратегии по управлению рисками в организации.
Вывод: стандарт ISO/IEC 27005 призван помочь организациям в процессах оценки и управления рисками информационных активов. Под информационными активами понимается большое число сущностей, начиная от человеческих ресурсов и заканчивая самой информацией. Соответственно, за каждым из активов кроется определенное число рисков, которые организация должна идентифицировать, классифицировать по уровню опасности и для которых должна разработать меры по управлению. Причем среди рисков учитываются не только события, связанные с кибербезопасностью, но также угрозы естественного характера (природные явления и катаклизмы), а также человеческий фактор (пожар, аварии на производстве и другие события).
Фреймворк по управлению рисками разработан американским Национальным институтом стандартов и технологий (NIST), который специализируется на создании документов по информационной безопасности. И хотя сам стандарт разработан для госорганов США, публикации, входящие в его состав, могут использоваться без ограничений всеми, кто желает применить риск-ориентированный подход к управлению ИБ.
В состав фреймворка по управлению рисками входят следующие публикации.
Верхнеуровневая публикация NIST SP 800-39 описывает подход к управлению рисками для всей деятельности организации, разделяя ее на три уровня — уровень организации, уровень бизнес-процессов (по-английски — «уровень миссии») и уровень информационных систем. Каждый уровень имеет свои особенности и свою ответственность, что позволяет организации эффективнее управлять рисками на различных направлениях ее деятельности.
Уровень организации является ключевым для выработки стратегии управления рисками ИБ. Здесь принимаются основные решения о введении системы управления рисками, формируется бюджет, назначаются ответственные лица и утверждаются планы реагирования на риски.
Уровень бизнес-процессов фокусируется на интеграции управления рисками в бизнес-процессы организации, на создании новых процессов или реинжиниринге существующих — с учетом рисков и требований ИБ.
Уровень информационных систем отражает все ключевые решения, принятые на более высоких уровнях, и представляет собой один из инструментов управления рисками ИБ. Здесь внедряются технические меры для нивелирования влияния рисков, производятся мониторинг и оценка рисков в информационных системах.
Предложенная в публикации методология управления рисками ИБ включает в себя этапы:
1. Определение рисков. Этап подразумевает определение реальных угроз, уязвимостей и последствий. Необходимо определить устойчивость организации к рискам. Провести оценку приоритетности процессов организации и определить компромиссы, на которые можно пойти при управлении рисками. 2. Оценка рисков. На данном этапе осуществляется разработка модели нарушителя и модели угроз ИБ. Основная цель — определить источники угроз ИБ, уязвимости в инфраструктуре организации, а также ее бизнес-процессах, сценарии реализации угроз и оценить ущерб от реализации угрозы. 3. Обработка рисков. На третьем этапе разрабатываются планы реагирования на риски и их реализация. Для обработки рисков публикация предлагает несколько способов:
4. Мониторинг рисков. Четвертый этап описывает то, как организация отслеживает риски на протяжении определенного срока. Организация контролирует, проводится ли проверка определенных ранее планов реагирования на риски, эффективны ли выбранные стратегии. Производится контроль изменений на всех трех уровнях (организация, бизнес-процессы, информационные системы).
Стандарт также подразумевает, что обеспечение надежного канала связи между всеми уровнями управления рисками ИБ является одним из ключевых аспектов эффективности такого управления. Это позволяет обеспечить эффективное взаимодействие между заинтересованными сторонами и обеспечить непрерывность процесса управления рисками.
Стоит сказать, что во фреймворке по управлению рисками на всех уровнях организации содержится лишь общая модель о оценки рисков. Сама методика проведения оценки вынесена в отдельную публикацию — NIST SP 800-30. Документ развернуто описывает процедуру выявления и анализа потенциальных рисков ИБ для эффективного и обоснованного управления ими в будущем.
Вывод: стандарт NIST имеет общие черты с ISO/IEC 27005. Он так же покрывает все виды деятельности организации и подразумевает аналогичный подход к управлению рисками. Однако в отличие от стандарта ISO/IEC 27005, в методике NIST Risk Management Framework основной упор делается на технологическую составляющую. Об этом говорит и сама структура фреймворка, где публикация по управлению рисками в информационных системах существует как самостоятельный документ.
Выше мы рассмотрели два стандарта, отражающие концепцию управления рисками. Однако существует и альтернативная точка зрения. Руководство каждой организации испытывает страх перед определенными событиями, которые не должны произойти ни при каких обстоятельствах. Например, в оборонно-промышленном комплексе это может быть нарушение цепочки поставок, остановка производства или несоблюдение контрактов. Для здравоохранения это могут быть сбои оборудования, прямо угрожающие жизни и здоровью граждан, а для СМИ — подмена информации в эфире. Частные компании боятся кражи средств с расчетных счетов. Все эти события являются рисками, относительно которых осуществляется только один вид управления — не допустить их наступления.
Что такое недопустимое событие? Это событие, делающее невозможным достижение операционных и (или) стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате кибератаки. Подробнее об этом можно прочесть .
Процесс определения недопустимых событий состоит из следующих этапов:
К процессу определения недопустимых событий привлекаются:
Подход имеет общие черты с фреймворком NIST, поскольку в центре внимания находится не актив, ценность которого требует подтверждения, а угрозы и их последствия. К тому же в обоих подходах основной упор делается на технологическую составляющую.
В отличие от подходов международных стандартов, основным драйверов в процессе определения недопустимых событий является именно руководство организации, а не специалисты по безопасности или управлению рисками. Смысл такого подхода заключается в том, что руководству организации, как никому больше, известно — какие инциденты способны поставить под вопрос достижение организацией операционных и стратегических целей.
Прежде чем перейти к выводам, предлагаю наглядно сравнить стандарты NIST Risk Management Framework, ISO/IEC 27005 и методику определения недопустимых событий.
Таким образом, определение недопустимых событий — это процесс, который лишен длительных процедур исследования и анализа рисков и угроз. Подход, применяемый в международных стандартах, предлагает нам рассматривать в качестве примера различные категории угроз, которые могут быть реализованы случайным, умышленным или естественным способами (природные угрозы). В методике определения недопустимых событий рассматриваются только события, которые, по мнению высшего руководства, имеют катастрофические последствия и могут быть реализованы в результате кибератак злоумышленников.
Описанные выше подходы не отменяют друг друга, а наоборот — дополняют. Международные стандарты предлагают широкий взгляд на всевозможные риски, а также инструменты для их управления. Это позволяет организациям рационально распределить ресурсы для выстраивания мер по защите от обширного числа угроз. Методика по определению недопустимых событий помогает организациям сосредоточить внимание на наиболее значимом и позволяет при участии топ-менеджмента выстроить стратегию повышения киберустойчивости организации к реализации кибератак с критическими последствиями.
Методика определения недопустимых событий несколько отличается от традиционных подходов к управлению рисками, но может дополнять существующие стандарты, позволяя выявлять те события, которые по своей сути похожи на риски с катастрофическими последствиями.