Аналіз ризиків інформаційної безпеки

Аналіз ризиків інформаційної безпеки використовують для виявлення уразливостей і загроз, оцінювання можливого впливу на інформаційні активи компанії, що дає змогу обирати адекватні захисні заходи (контролі) саме для тих систем і процесів, в яких вони необхідні. Аналіз ризиків ІБ є механізмом обгрунтування економічної ефективності, актуальності, своєчасності і здатності реагувати на загрози. Такий аналіз допомагає компанії здійснити ранжування ризиків і на його основі сформувати пріоритетний перелік ризиків для першочергової їх мінімізації або уникнення, а також визначити та обґрунтувати оптимальну вартість захисних заходів.

Основні цілі аналізу ризиків ІБ:

1. ідентифікація активів та їх цінності для компанії;

2. ідентифікація загроз та уразливостей;

3. кількісна/якісна оцінка ймовірності і впливу на бізнес таких потенційних загроз;

4. забезпечення економічного балансу між шкодою від впливу загроз (збитку) і вартістю контрзаходів.

Аналіз ризиків ІБ також дає змогу порівняти річну вартість захисних заходів з потенційним збитком. Аксіомою є те, що річна вартість захисних заходів компанії не повинна перевищувати потенційний її річний збиток. Окрім того, коректно проведений аналіз ризиків ІБ дає змогу органічно зв’язати програму інформаційної безпеки компанії з цілями і вимогами її бізнесу, що вкрай важливо для загального успіху компанії при вирішенні основної своєї мети – отримання максимального прибутку.

Необхідно зазначити, що перед початком роботи з виявлення та аналізу ризиків ІБ компанії важливо зрозуміти мету даної роботи, її обсяг та очікуваний результат. З іншого боку, необхідно пам’ятати і готуватися до того, що спроба аналізу всіх ризиків ІБ у всіх областях за один раз може виявитися нереальною.

Одним з ключових та першочергових завдань групи аналізу ризиків ІБ є підготовлення детального звіту щодо вартості інформаційних активів компанії. Вище керівництво повинно проаналізувати цей звіт і визначити сферу діяльності для IRM-проекту (обсяг роботи – обсяг фінансування), виключивши з нього ті активи, які не є важливими (не є критичними) для роботи компанії на даному етапі. При визначенні обсягу робіт необхідно також враховувати бюджет проекту, а також вимоги чинного законодавства. У ході обговорень з керівництвом, всі учасники повинні мати чітке розуміння цінності забезпечення AIC-тріади (доступність, цілісність і конфіденційність) та її безпосереднього зв’язку з потребами бізнесу.

Досвід успішних на ринку компаній показує, що аналіз ризиків ІБ повинен здійснюватися за підтримки та управлінні з боку вищого керівництва компанії. Лише у цьому випадку проведений аналіз буде успішним та мати наступне логічне продовження – вживання заходів та засобів щодо доведення встановленого рівня ризику до прийнятного. Керівництво компанії повинне визначити цілі і масштаби аналізу, призначити членів групи для проведення оцінки, а також виділити необхідний час і ресурси для проведення цієї роботи. Важливим, є те, щоб вище керівництво компанії уважно поставилося до результатів проведеної оцінки.

Метод CORAS

CORAS – це метод для проведення аналізу ризиків інформаційної безпеки. Даний метод характеризується розробленою мовою моделювання загроз та ризиків, яка використовується для збору і моделювання відповідної інформації на різних етапах аналізу захищеності. Для документування проміжних результатів, а також для представлення спільних висновків використовуються спеціальні CORAS діаграми. Метод CORAS реалізований у вигляді програмного забезпечення, яке призначене для підтримки документування, збереження та аналізу результатів звітності протягом моделювання ризиків.

Метод CORAS передбачає такі основні етапи:

Етап 1. Початкова підготовка до аналізу ризиків ІБ. Основною метою даного етапу є отримання загального розуміння того, що повинно бути метою і якою буде область такого аналізу.

Етап 2. На другому етапі проводиться ознайомча зустріч з клієнтом, від імені якого проводиться аналіз. Основним пунктом порядку денного для цієї зустрічі є формулювання основних цілей аналізу та окреслення цільового об’єкту.

Етап 3. Третій етап спрямований на забезпечення загального розуміння мети аналізу, в тому числі діяльності, масштабів і основних засобів. Група з аналізу ризиків окреслює своє розуміння ситуації, про яку вони дізналися на першому засіданні та від вивчення документації, яка була надана їм замовником. На основі взаємодії з замовником, група з аналізу ризиків також визначає основні активи, що підлягають захисту. Крім цього, група з аналізу ризиків проводить виявлення основних сценаріїв загроз, вразливостей та ризиків ІБ, які повинні стати предметом подальшого аналізу.

Етап 4. На четвертому етапі здійснюється затвердження критеріїв оцінки ризику для кожного активу.

Етап 5. Ідентифікації ризиків ІБ. Для виявлення ризиків, CORAS використовує підхід мозкового штурму. Виявлення ризиків включає в себе систематичне виявлення загроз, небажаних інцидентів, сценаріїв загроз та уразливостей щодо виявлених активів. Результати документуються за допомогою діаграм загроз CORAS.

Етап 6. Шостий етап спрямований на визначення рівня ризику виявлених небажаних інцидентів ІБ. Небажані інциденти ІБ були зафіксовані в діаграмах загроз на етапі 5 і ці графіки є основою для оцінки ризику.

Етап 7. Сьомий етап спрямований на вирішення того, які з виявлених ризиків ІБ є прийнятними, а які ризики ІБ мають бути оцінені для подальшого оброблення. Так чи інакше, ризики ІБ визначаються прийнятними на основі вже встановлених критеріїв оцінки ризиків і результатів оцінки.

Етап 8. Восьмий етап пов’язаний з виявлення й аналізом процедур. Ризики ІБ, які будуть визнані неприйнятними підлягають обробленню. Оброблення ризиків має сприяти зниженню ймовірності і/або наслідків небажаних інцидентів.