Деятельность любого банка связана с рисками, а риски нарушения информационной безопасности (далее – риски нарушения ИБ) являются их составной частью. Управление рисками, их обработка и минимизация до приемлемого уровня – одна из основных областей обеспечения информационной безопасности в банках.
РИСКИ КАК ОБЪЕКТ УПРАВЛЕНИЯ
Большинство современных отечественных и международных стандартов, описывающих систему менеджмента информационной безопасности (ISO 27001, СТО БР ИББС-1.0-2010, PAS99 и т.д.), базируется на следующих принципах:
- риски – это объективная реальность, и понизить их можно лишь до определённого остаточного уровня;
- рисками необходимо управлять;
- система менеджмента информационной безопасности (далее – СМИБ) должна быть риск-ориентированной;
- риски нарушения информационной безопасности являются неотъемлемой частью операционных рисков банка.
В данной статье речь пойдет о внедрении системы управления рисками нарушения ИБ в рамках СТО БР ИББС-1.0-2010.
Стандарт Банка России (СТО БР ИББС-1.0-2010) предусматривает наличие в банке системы управления рисками и проведение оценки рисков нарушения ИБ для всех информационных активов области действия СОИБ (системы обеспечения информационной безопасности). Также наличие системы управления рисками подразумевают федеральный закон №161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», Постановление Правительства № 584 от 13 июня 2012 года и нормативные документы Банка России, в том числе Положение №379-П от 31 мая 2012 года.
Внедрение системы управления рисками нарушения ИБ в банке связано с решением определённых задач:
- выстраивание эффективного процесса управления рисками;
- подбор персонала (оценщиков рисков), обладающего необходимой квалификацией и опытом;
- взаимодействие с бизнес-подразделениями и подразделениями, занимающимися оценкой операционных рисков банка;
- определение (выбор) методики, по которой будет проводиться оценка.
Управление рисками нарушения ИБ включает в себя: определение области оценки рисков, их оценку и обработку, мониторинг и контроль, совершенствование. Это полностью соответствует модели Деминга (см. Схему 1) «планирование – реализация – проверка – совершенствование», которая является основой модели менеджмента стандартов качества.
Схема 1. МОДЕЛЬ ДЕМИНГА ПРИМЕНИТЕЛЬНО К ПРОЦЕССУ УПРАВЛЕНИЯ РИСКАМИ
Условно процесс управления рисками нарушения ИБ можно разделить на 5 последовательных этапов (далее P0–Р4) и этап контроля результатов обработки рисков. Взаимосвязь процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 2.
СХЕМА 2. ВЗАИМОСВЯЗЬ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
ПОЛИТИКА ОЦЕНКИ РИСКОВ
Политика оценки рисков должна:
- определять механизмы контроля и роли, задействованные в данном процессе, при этом, для предотвращения конфликта интересов, подразделения, осуществляющие контроль обработки рисков, должны быть максимально независимы от подразделений, выполняющих оценку рисков;
- закреплять процедуры обратной связи между всеми участниками процесса управления рисками и порядок планирования процесса;
- формулировать порядок документирования результатов оценки рисков и результатов обработки рисков.
Этап контроля результатов обработки рисков напрямую зависит от уровня зрелости информационной безопасности в банке, тесно связан с аудитом (внутренним и внешним) и мониторингом ИБ, при взаимодействии которых существенно повышается эффективность СОИБ и контролируется эффективность принятых мер обработки рисков.
Контроль результатов обработки рисков должен охватывать все этапы P0–P4 и сопоставлять результаты обработки рисков с результатами, полученными от аудиторов и подразделений, занимающихся мониторингом информационной безопасности.
Детализированная схема взаимосвязи процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 3.
Схема 3. ДЕТАЛИЗИРОВАННАЯ СХЕМА ВЗАИМОСВЯЗИ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
Рассмотрим подробнее процесс управления рисками нарушения ИБ на этапах Р0–Р4.
ЭТАП P0. Определение, анализ и изменение бизнес-процессов (см.Схему 4) – стартовый этап управления рисками.
Схема 4. ОПРЕДЕЛЕНИЕ, АНАЛИЗ И ИЗМЕНЕНИЕ БИЗНЕС-ПРОЦЕССОВ
Целью данного этапа являются формализация и детальное описание всех бизнес-процессов банка, определение критичных бизнес-процессов с позиций максимального ущерба банку в случае их нарушения (в т.ч. прерывания), а также специфических требований законодательства (ФЗ-152, ФЗ- 224, ФЗ-161, и т.д.) и стандартов (СТО БР ИББС-1.0-2010, PCI DSS и т.д.).
На данном этапе задействованы как сотрудники службы информационной безопасности, так и представители бизнес-подразделений, службы внутреннего контроля и юридической службы. Результатом является документирование информационных потоков, определение состава информации в каждом отдельном бизнес-процессе, а также дополнительных признаков информационных активов, таких как критичность процесса для непрерывности бизнеса, обработка инсайдерской информации.
После обработки недопустимых рисков (этап Р4) в случае принятия решения о внесении изменений в бизнес-процессы, например внедрения новых документов (таких как согласие на обработку персональных данных (далее – ПДн), уведомление о включении лица в список инсайдеров и т.д.), все изменения должны быть утверждены руководством банка, а этап Р0 – проведен заново.
На основании результатов этапа Р0 можно приступать к подготовке полного перечня информационных активов (см. Схему 5).
Схема 5. ПОДГОТОВКА ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
ДОКУМЕНТИРОВАНИЕ ИНФОРМАЦИОННЫХ АКТИВОВ
ЭТАП P1. Для подготовки такого перечня необходимо идентифицировать информационные активы и классифицировать их типы.
Информация, относящаяся к каждому из типов информационных активов, документируется в перечне сведений конфиденциального характера (ограниченного доступа).
Информационный актив банка – это информация:
- с реквизитами, позволяющими её идентифицировать;
- имеющая ценность для самого банка;
- находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.
Таблица 1. ПРИМЕР ОФОРМЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
Важными элементами этапа Р1 являются разработка техническо-рабочей документации:
- технических паспортов на все информационные системы с отражением основных технических средств, программных средств и средств защиты;
- матриц доступа;
- и т.д.
После составления перечня информационных активов, обрабатываемых в информационных системах, можно переходить к следующему этапу P2 (см. Схему 6).
Схема 6. РАЗРАБОТКА ЧАСТНЫХ МОДЕЛЕЙ УГРОЗ ДЛЯ КАЖДОГО ТИПА ИНФОРМАЦИОННЫХ АКТИВОВ
ЭТАП P2. Информационные активы банка рассматриваются относительно информационных систем, в которых происходит обработка данных активов, в совокупности с соответствующими объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды в разрезе каждой информационной системы. При обработке ИИ в системе данный актив рассматривается совместно с БТ и (или) КТ.
Для разных типов активов устанавливаются разные требования к информационной безопасности, в том числе с учётом действующего законодательства.
Разработка модели угроз базируется на следующих принципах:
- безопасность информационных активов при их обработке в информационных системах обеспечивается с помощью систем защиты информации;
- при формировании модели угроз учитываются как угрозы, осуществление которых нарушает безопасность информационных активов (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы);
- информационные активы обрабатываются и хранятся в информационных системах с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации;
- нарушитель может действовать на различных этапах жизненного цикла информационной системы или системы защиты.
ПЕРЕЧЕНЬ ИСТОЧНИКОВ И МОДЕЛЬ УГРОЗ
В качестве примера оформления частной модели угроз (далее – ЧМУ), может рассматриваться отраслевая модель угроз безопасности персональных данных (РС БР ИББС-2.4-2010) с указанием конкретного типа нарушителей (на основании модели нарушителя с предположениями о возможностях) и детализации способа реализации угрозы безопасности информационного актива (см. Таблицу 2).
Таблица 2. ПРИМЕР ОФОРМЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ
Формирование перечня источников угроз и моделей угроз проводится с учетом положений СТО БР ИББС-1.0-2010, информационных ресурсов, содержащих сведения централизованной базы инцидентов банка и об уязвимостях информационной безопасности.
ЭТАП P3. Оценка рисков (см. Схему 7) проводится на основе принятой методики. Для организаций банковской системы Российской Федерации, принявших стандарт СТО БР ИББС- 1.0-2010, рекомендуется использовать отраслевую методику Банка России РС БР ИББС-2.2-2009. Также стандарт разрешает использовать и иные методики.
Схема 7. ОЦЕНКА РИСКОВ НАРУШЕНИЯ ИБ
Современные методики очень подробны, содержат громоздкие формулы, используют экспертные оценки, но, к сожалению, не всегда подходят для практической работы из-за трудностей представления руководству результатов оценки рисков.
Главное требование к методике – она должна быть наглядной, охватывающей всю ИТ-инфраструктуру и все бизнес-процессы банка, утвержденной руководством и согласованной с подразделениями, занимающимися оценкой операционных рисков. Следовательно, при выборе методики необходимо убедиться, что методика и ожидаемые результаты устраивают все стороны – и того, кто считает риски (т.е. показывает объективную картину состояния ИБ), и того, кому их демонстрируют (т.е. согласована с операционными рисками и утверждена руководством).
Методика оценки рисков нарушения ИБ, подход к оценке рисков нарушения ИБ банка должны определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. То есть для оценки рисков нарушения ИБ должна использоваться качественная и (или) количественная (выраженная
в процентах или деньгах) шкала. Количественные шкалы позволяют сделать результаты оценки рисков более точными, при этом требуя более высокого уровня зрелости существующей СМИБ.
Методика, изложенная в РС БР ИББС-2.2-2009, предполагает использование обеих шкал.
КРИТИЧНОСТЬ ОПРЕДЕЛЯЕТ ПРИОРИТЕТЫ
Для управления рисками в методике должен быть закреплен порядок их обработки.
Одним из способов определения очередности является установление приоритетов рисков, которые зависят от критичности обрабатываемого информационного актива, дополнительных признаков информационных активов, опасности конкретной угрозы в конкретной системе (см. Таблицу 3).
Таблица 3. ПРИМЕР ОПРЕДЕЛЕНИЯ ПРИОРИТЕТОВ
На основе определенных приоритетов и результатов оценки рисков можно построить карту рисков (см. Таблицу 4).
Таблица 4. ПРИМЕР ОФОРМЛЕНИЯ КАРТЫ РИСКОВ
По результатам оценки рисков подготавливается отчёт о проведении оценки рисков нарушения информационной безопасности с указанием количества оценённых рисков, количественных и качественных оценок, детализацией всех недопустимых рисков и рекомендациями по их обработке.
ЭТАП P4. Целью обработки недопустимых рисков (этап Р4) является значительное уменьшение рисков при относительно низких затратах и поддержание принятых рисков на допустимом, низком уровне. По результатам оценки рисков определяется способ обработки каждого из них, являющегося недопустимым.
Возможными вариантами обработки рисков являются:
- применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
- уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска, или изменения бизнес-процессов);
- перенос риска на другие организации (например, путём страхования или передачи деятельности на аутсорсинг);
- осознанное принятие риска (решение должно приниматься руководством банка).
Решение о применении того или иного способа обработки рисков принимается, исходя из стоимости их реализации, а также ожидаемых выгод от их реализации.
Схема 8. ОБРАБОТКА НЕДОПУСТИМЫХ РИСКОВ НАРУШЕНИЯ ИБ
Порядок обработки рисков информационных систем определяется приоритетом риска нарушения ИБ. Так, риски с наивысшим приоритетом должны быть обработаны в первую очередь.
Система управления рисками нарушения ИБ даёт существенный положительный эффект при выстраивании СОИБ, выявлении уязвимостей ИБ и обосновании затрат на информационную безопасность, гарантируя принятие взвешенных решений в области СМИБ и контроль эффективности принятых при обработке рисков решений.
Внедрение системы управления рисками нарушения ИБ для банка – непростая задача, но её выполнение является первым шагом построения эффективной и комплексной системы защиты. Не следует усложнять методики, строить многоуровневые длинные формулы, гнаться за точностью оценок до долей процента и копеек. В основе управления рисками лежат экспертные оценки и статистика. Цель – не предсказание будущего, а выстраивание эффективной системы менеджмента информационной безопасности.
В заключение стоит добавить, что в настоящее время на рынке представлено много программных решений, позволяющих оптимизировать процесс управления рисками нарушения информационной безопасности (Cobra, RiskWatch, Octave, Cramm, RSA Archer Risk Management и т.д.), но вопрос применения их достаточно спорный. Потому что ключевым элементом системы управления рисками нарушения информационной безопасности являются работники банка.
BIS-СПРАВКА
ТЕРМИНЫ СТАНДАРТА БАНКА РОССИИ СТО БР ИББС-1.0-2010:
- Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
- Риск нарушения информационной безопасности, риск нарушения ИБ: риск, связанный с угрозой ИБ.
- Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.
BIS-КОММЕНТАРИЙ
Павел ХИЖНЯК,
руководитель отдела аудита и консалтинга ЗАО «Практика Безопасности»:
– В статье специалистов по информационной безопасности «Московского Индустриального банка» хорошо и подробно описан процесс управления рисками. С теоретической точки зрения в ней достаточно полно, подробно и грамотно освещены все аспекты этого сложного и трудоёмкого процесса.
Добавлю из собственного опыта: в ходе практического выстраивания риск-менеджмента в организации требуется не только хорошее знание методик, способов оценки и технического бэкграунда. Также нужны хорошо развитые коммуникационные и управленческие способности.
Перед началом внедрения процесса оценки рисков важно заручиться поддержкой высшего руководства компании, в том числе банка, вплоть до акционеров. Достижение взаимопонимания порой требует значительных усилий. Обеспечение информационной безопасности – необходимое условие достижения целей бизнеса, и это нужно объяснить понятным языком, привычной терминологией.
Каждая итерация процесса оценки рисков должна восприниматься руководством как часть корпоративного управления и быть частью глобального менеджмента организации. Ни в коем случае нельзя допустить, чтобы процесс управления рисками воспринимался руководством как часть повседневной работы подразделения информационной безопасности.
Должно присутствовать чёткое понимание: риск-менеджмент является глобальным процессом, на одном уровне с управлением персоналом и финансовой отчётностью. Настолько же важным и обеспечивающим успешность бизнеса в целом.
Источник
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
- ценность активов в денежном выражении;
- полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
- частота реализации каждой угрозы;
- потенциальный ущерб от каждой угрозы;
- рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Узнать больше
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Читайте также:
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля
Не пропустите новые
публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Источник