Управление риском


Безопасность – примерно то же самое, что и управление риском. Без понимания угроз безопасности по отношению к информационным активам организации может быть использовано либо слишком много, либо слишком мало ресурсов, или они не будут использоваться должным образом. Управление риском обеспечивает основу для оценки информационных активов. Определяя риск, вы определяете значимость отдельных типов информации и систем, в которых эта информация хранится.


Определение риска

Риск – это концепция, формирующая фундамент того, что мы называем «безопасностью».
Риск – это вероятность потерь, которая требует защиты.
Риск – это концепция, которую понимают только те, кто работает в сфере безопасности.

При отсутствии риска не нужна и защита.
Основу риска образуют такие составляющие, как уязвимость и угроза. Если одна из составляющих отсутствует, то риск отсутствует.


Уязвимость
Уязвимость – это потенциальный путь для выполнения атаки. Уязвимость существует в компьютерных системах и сетях или в административных процедурах (делая среду открытой для атак без использования технических методов или атак социального инжиниринга).
Уязвимость характеризуется сложностью и уровнем технических навыков, необходимых для того, чтобы ею воспользоваться.
Уязвимость высокого уровня риска – это уязвимость, которой легко воспользоваться и которая позволяет злоумышленнику получить полный контроль над системой.
Уязвимость низкого уровня риска – это уязвимость, которая потребует от атакующего вложения значительных средств в оборудование и персонал и позволит лишь получить доступ к не особо ценной информации.


Угроза
Угроза – это действие или событие, способное нарушить безопасность информационных систем.

Существует три составляющие угроз:

  • Цели. Компонент безопасности, который подвергается атаке.
  • Агенты. Люди или организации, представляющие угрозу.
  • События. Действия, составляющие угрозу.


Основными целями атак являются службы конфиденциальности, целостности, доступности и идентифицируемости, т.е. службы безопасности. Почему:

  • конфиденциальность – если мотивом является добыча информации несанкционированными лицами или организациями.
  • целостность – если мотив злоумышленника модифицировать информацию.
  • доступность – при выполнении атаки на отказ в обслуживании (атаки направлены на информацию, приложения, системы или инфраструктуру).
  • идентифицируемость – атака направленная на предотвращение восстановления организации после инцидентов, с целью скрыть что-либо (изменений в базе данных или взлом механизмов безопасности).


Агентами угроз являются люди, которые стремятся нанести ущерб организации, и имеющие:

  • доступ. Способность для достижения цели.
  • знания. Уровень и тип имеющейся информации о цели.
  • мотивация. Причина для сокрушения цели.


Доступ бывает прямой (учетная запись в системе) и косвенный (получение доступа к оборудованию другим способом), и этим доступом должен владеть агент.
Чем больше агент знает о своей цели, тем больше шансов, что он знает о наличии уязвимых мест и о том, как ими воспользоваться.

У агента должен быть мотив для совершения действия. А именно:

  • привлечение внимания – желание похвастаться своими «победами»;
  • алчность – жажда выгоды (денег, товаров, услуг или информации);
  • злые намерения – желание причинить вред организации или отдельному лицу.


События– это способы, с помощью которых агенты угроз могут причинить вред организации. Необходимо учитывать следующие события:

  • злоупотребление санкционированным доступом к информации, системам или сайтам;
  • злонамеренное изменение информации;
  • случайное изменение информации;
  • несанкционированный доступ к информации, системам или сайтам;
  • злонамеренное разрушение информации, систем или сайтов;
  • случайное разрушение информации, систем или сайтов;
  • злонамеренное физическое вмешательство в системы или операции;
  • случайное физическое вмешательство в системы или операции;
  • естественные физические события, которые мешают системам или операциям;
  • ввод в действие злоумышленного программного обеспечения (намеренно или нет);
  • нарушение внутренних или внешних коммуникаций;
  • несанкционированный пассивный перехват информации внутренних или внешних коммуникаций;
  • кража аппаратного или программного обеспечения.


Угроза + Уязвимость = Риск
Риск – это сочетание угрозы и уязвимости. Угрозы без уязвимости не являются риском так же, как и уязвимости без угроз. В реальном мире ни одно из этих условий не существует. Следовательно, оценка риска – это определение вероятности того, что непредвиденное событие произойдет. Риск качественно определяется тремя уровнями.

  • - низкий. Существует маленькая вероятность проявления угрозы. По возможности нужно предпринять действия по устранению уязвимого места, но их стоимость должна быть сопоставлена с малым ущербом от риска.
  • - средний. Уязвимость является значительным уровнем риска для конфиденциальности, целостности, доступности и/или идентифицируемости информации, систем или помещений организации. Существует реальная возможность осуществления такого события. Действия по устранению уязвимости целесообразны.
  • - высокий. Уязвимость представляет собой реальную угрозу для конфиденциальности, целостности, доступности и/или идентифицируемости информации, систем или помещений организации. Действия по устранению этой уязвимости должны быть предприняты незамедлительно.


Выявление риска для организации

Для выявления риска необходимо определить уязвимости и угрозы.


Выявление уязвимых мест
При выявлении конкретных уязвимых мест начните с определения всех точек входа организации, т.е. выявите точки доступа к информации и к системам, находящимся в организации. Сюда включается следующее:

  • соединения с интернетом;
  • точки удаленного доступа;
  • соединения с другими организациями;
  • физический доступ в помещения организации;
  • точки доступа пользователей;
  • точки доступа через беспроводную сеть.


Для каждой точки необходимо произвести оценку информации и систем, затем выявить способы доступа к ним.


Выявление реальных угроз
Угроза – это всесторонняя и, в некоторых случаях, трудная задача. Существующие угрозы не проявляют себя до тех пор, пока не происходит какой-нибудь инцидент.
Направленная угроза – это сочетание известного агента, который имеет известный доступ и мотивацию, и известного события, направленного на известную цель.
Если предположить наличие общей угрозы (кто-то имеет доступ, знания и мотивацию совершить злоумышленные действия), то можно исследовать уязвимые места внутри организации, через которые возможно получение доступа. Каждая такая уязвимость превращается в риск, так как предполагается наличие угрозы, использующей эту уязвимость.


Исследование контрмер
Контрмеры против угроз:

  • межсетевые экраны;
  • антивирусное программное обеспечение;
  • контроль доступа;
  • двухфакторную систему аутентификации;
  • бейдж (идентификационную карточку);
  • биометрию;
  • устройства считывания смарт-карт при входе в помещения;
  • охрану;
  • контроль доступа к файлам;
  • шифрование;
  • сознательных, хорошо обученных работников;
  • системы обнаружения вторжений;
  • автоматизированное получение обновлений и политики управления.


Для каждой точки доступа внутри организации должна быть определена контрмера.


Оценка риска

Для оценки риска следует определить ущерб, нанесенный организации при успешном выполнении атаки. Издержки организации в случае реализации риска – это определяющий фактор для любого решения по управлению риском. И запомните, что риск нельзя полностью устранить – им можно только управлять.

Upravlenie riskom
Рис. 1. Оценка риска


Деньги

Издержки в случае выполнения успешной атаки:

  • снижение производительности;
  • похищенное оборудование или деньги;
  • стоимость расследования;
  • стоимость восстановления или замены систем;
  • стоимость помощи экспертов;
  • сверхурочная работа сотрудников.


В данном перечне наиболее трудная для оценки категория – снижение производительности, Т.к. просчитать время для восстановления в нормальное рабочее состояние производства – очень тяжело. А потери от остановки и невыполнения плана, тем более.


Время
Оценить потерянное время достаточно трудно, т.к. в него включается и то время, которого не хватило сотрудникам для выполнения своих повседневных задач из-за инцидента, связанного с нарушением безопасности. Поэтому в данном случае затраты времени вычисляются как почасовая оплата технического персонала. Плюс время на ожидание восстановления компьютерных систем.
Успешная атака приводит к замедлению в выпуске продукта или предоставления услуги, что также следует учитывать при определении затрат организации. Безусловно, возможная потеря времени должна быть включена в оценку риска.


Ресурсы
При возникновении инцидента, связанного с безопасностью, для исправления ситуации потребуется определенное количество ресурсов. Рассчитать денежные затраты – можно, нематериальные затраты, связанные с отсутствием персонала, способного выполнять другие служебные обязанности – будет проблематично.


Репутация
Репутация – это нематериальный актив, который создается и развивается в течение определенного времени. Снижение репутации измерить не просто, но оно, несомненно, влияет на организацию.


Потерянные контракты
Потерянные контракты – это нереализованный потенциал. Организация планирует обслуживать новых клиентов и дополнительно реализовать свою продукцию. И измерить потери, если эта возможность не реализована очень тяжело.


Методика оценки риска
Для каждого риска необходимо установить наилучший, наихудший и наиболее вероятный план действий, затем определить величину ущерба для каждого варианта действий (денежные средства, время, ресурсы, репутация и потерянные контракты). Сделать это можно на основе следующих критериев.

  • наилучший случай. Нарушение защиты замечено сразу же, проблема быстро устранена, и информация осталась внутри организации. Общий ущерб оказался незначительным.
  • наихудший случай. Нарушение защиты замечено клиентом, который и уведомил организацию. Проблема не была незамедлительно исправлена, информация об этом дошла до прессы. Общий ущерб оказался очень большим.
  • наиболее вероятный случай. Нарушение защиты замечено через некоторое время. Часть информации о событии «просочилась» к клиентам, и организация была в состоянии контролировать большую часть информации. Общий ущерб был смягчен.


Параметры наиболее вероятного случая меняются в зависимости от реального состояния безопасности, существующей в организации. Однако наиболее вероятный случай может оказаться и самым плохим вариантом.