Існуючі підходи до управління ризиками

 

Оскільки ризики інформаційної безпеки є основними далеко не для всіх організацій, що практикуються три основні підходи до управління цими ризиками, що розрізняються глибиною і рівнем формалізму.

Для некритичних систем, коли інформаційні активи є допоміжними, а рівень інформатизації не високий, що характерно для більшості сучасних російських компаній, що існує мінімальна необхідність в оцінці ризиків. У таких організаціях слід вести мову про деяке базовому рівні ІБ, що визначається існуючими нормативами та стандартами, кращими практиками, досвідом, а також тим, як це робиться в більшості інших організацій. Однак, існуючі стандарти, описуючи деякий базовий набір вимог і механізмів безпеки, завжди обумовлюють необхідність оцінки ризиків та економічної доцільності застосування тих чи інших механізмів контролю для того, щоб вибрати з загального набору вимоги і механізмів ті з них, що застосовуються в конкретній організації.

Для критичних систем, в яких інформаційні активи не є основними, проте рівень інформатизації бізнес процесів дуже високий та інформаційні ризики можуть суттєво вплинути на основні бізнес-процеси, оцінку ризиків застосовувати необхідно, однак у цьому випадку доцільно обмежитися неформальними якісними підходами до вирішення цього завдання, приділяючи особливу увагу найбільш критичних систем.

Коли ж бізнес організації побудований навколо інформаційних активів і ризики інформаційної безпеки є основними, для оцінки цих ризиків необхідно застосовувати формальний підхід і кількісні методи.

У багатьох компаніях одночасно кілька видів активів можуть бути життєво важливими, наприклад, коли бізнес диверсифікований або компанія займається створенням інформаційних продуктів і для неї можуть бути однаково важливі і людські та інформаційні ресурси. У цьому випадку, раціональний підхід полягає в проведенні високорівневої оцінки ризиків, з метою визначення того, які системи схильні до ризиків у високому ступені і які мають критичне значення для ведення ділових операцій, з подальшим проведенням детальної оцінки ризиків для виділених систем. Для всіх інших некритичних систем доцільно обмежитися застосуванням базового підходу, приймаючи рішення з управління ризиками на основі існуючого досвіду, експертних висновків та кращої практики.

Оцінка ризиків

Оцінка ризиків (risk assessment) - перший етап в управлінні системи інформаційної безпеки, призначений для ідентифікації джерел ризиків і визначення його рівня значущості. Оцінку розбивають на аналіз ризиків та оцінювання ризиків.

У рамках аналізу проводиться інвентаризація і категоризація захищаються ресурсів, з'ясовуються нормативні, технічні, договірні вимоги до ресурсів у сфері ІБ, а потім з урахуванням цих вимог визначається вартість ресурсів. У вартість входять всі потенційні витрати, пов'язані з можливою компрометацією захищаються ресурсів. Наступним етапом аналізу ризиків є складання переліку значущих загроз і вразливостей для кожного ресурсу, а потім обчислюється ймовірність їх реалізації. Стандарт допускає двояке тлумачення поняття загрози ІБ: як умова реалізації вразливості ресурсу (в цьому випадку уразливості і загрози ідентифікуються окремо) і як загальне потенційне подія, здатне привести до компрометації ресурсу (коли наявність можливості реалізації вразливості і є загроза). Не забороняється поділ загроз ІБ на загрози цілісності, доступності та конфіденційності.

Оцінювання ризику проводиться шляхом його обчислення і зіставлення із заданою шкалою. Обчислення ризику полягає в збільшенні ймовірності компрометації ресурсу на значення величини збитку, пов'язаного з його компрометацією. Зіставлення ризику виконується з метою спрощення процесу використання на практиці точкових значень ризику.

BS 7799-3 допускає використання як кількісних, так і якісних методів оцінки ризиків, але, на жаль, у документі немає обгрунтування та рекомендацій з вибору математичного і методичного апарату оцінки ризиків ІБ. Додаток до стандарту містить єдиний приклад, який умовно можна віднести до якісного методу оцінки. Даний приклад використовує три-і п'ятибальні оцінні шкали:

Оцінюються рівні вартості ідентифікованого ресурсу за п'ятибальною шкалою: «незначний», «низький», «середній», «високий», «дуже високий».

Оцінюються рівні ймовірності загрози по трьохбальной шкалою: «низький», «середній», «високий».

Оцінюються рівні ймовірності уразливості: «низький», «середній», «високий».

Кількісна оцінка ризиків

Метою кількісної оцінки ризиків є обчислення об'єктивних числових значень кожного компонента, виявленого в ході оцінки ризиків і аналізу вигод і витрат. Наприклад, організація може оцінити реальну вартість кожного бізнес-активу з точки зору витрат на його заміну, збитку в показниках зниження продуктивності, збитку в показниках зниження ділової репутації і інших прямих і непрямих бізнес-цінностей. Цей же підхід слід застосовувати при визначенні схильності активу дії, вартості елементів контролю і інших величин, виявлених в ході управління ризиками.

Даний підхід містить декілька вад, які нелегко здолати. По-перше, не існує ефективного формалізованого методу, що дозволяє точно визначити вартості активів і елементів контролю. Іншими словами, не дивлячись на точність отриманих характеристик, що здається, фінансові показники фактично ґрунтуються на оцінках. Як, наприклад, точно визначити вплив проблеми з безпекою, що отримала широкий розголос, на імідж фірми? В деяких випадках цього можна добитися, проаналізувавши статистичні дані, проте частенько це неможливо.

По-друге, організації, що намагалися скрупульозно реалізувати всі аспекти кількісного підходу до управління ризиками, виявили, що це вимагає дуже великих витрат. Як правило, завершення першого повного циклу подібних проектів вимагає довгого часу, а в самі проекти залучено велике число співробітників, які не можуть погоджувати принципи обчислення конкретних фінансових показників. По-третє, організації, в яких схильність дії дорогих бізнес-активів може наводити до дуже великих збитків, можуть порахувати доцільним виділити значні додаткові кошти на зниження всіх ризиків, які можуть виникнути (хоча дана ситуація маловірогідна - організація не витрачатиме весь бюджет на захист одного активу або навіть п'яти основних активів).

Детальний розгляд кількісного підходу

На даному етапі слід скласти загальне уявлення про переваги і недоліки кількісного підходу до оцінки ризиків. У частині даного розділу, що залишилася, розглядаються деякі чинники і значення, які зазвичай визначаються при використанні кількісного підходу: вартості активів, витрати на елементи контролю і рівень повернення інвестицій в безпеку (УВІБ), а також розраховані значення очікуваного разового збитку (КРИЧУ), щорічної частоти виникнення (ЕЧВ) і очікуваного річного збитку (ОГУ). Приведений матеріал не містить повного опису всіх аспектів кількісної оцінки ризиків, а включає лише загальні відомості про цей підхід і демонструє, що числові показники, лежачі в основі всіх розрахунків, є суб'єктивними характеристиками.

Якісна оцінка ризиків

Якісний підхід до оцінки ризиків відрізняється від кількісного тим, що при використанні якісного підходу не потрібно визначати точні фінансові показники вартості активів, очікуваного збитку і вартості елементів контролю. Замість цього розраховуються відносні вартості. Як правило, аналіз ризиків виконується шляхом заповнення опитних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти по інформаційній безпеці, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів і старші менеджери. Якщо використовуються опитні листи, то вони поширюються в строк від декількох днів до декількох тижнів до початку першого обговорення. Опитні листи покликані допомогти скласти перелік вже розгорнутих активів і елементів контролю. Зібрані відомості можуть виявитися дуже корисними при проведенні подальших обговорень. В ході обговорень учасники формують перелік активів і визначають їх відносні вартості. Після цього їм необхідно з'ясувати, з якими погрозами може зіткнутися кожен актив і які типи вразливих місць можуть бути використані цими погрозами в майбутньому. Як правило, ІТ-спеціалісти системні адміністратори пропонують групі управління ризиками безпеки перелік елементів контролю для зниження ризиків і вказують орієнтовну вартість кожного елементу контролю. Після закінчення результати надаються Стандарту компанії в ході аналізу вигод і витрат.

Як видно, основний процес оцінки якісних характеристик дуже схожий на процес, використовуваний в кількісному підході. Відмінності полягають в деталях. При порівнянні вартостей різних активів використовуються відносні значення, і учасникам не доводиться витрачати багато часу на спроби точно обчислити фінансові вартості активів. Аналогічна ситуація спостерігається при визначенні можливого впливу ризиків і витрат на реалізацію елементів контролю.

Переваги якісного підходу полягають в тому, що даний підхід висуває менше вимог до співробітників і дозволяє відмовитися від складних процедур визначення точної вартості активу, витрат на елемент контролю і тому подібне Проекти, засновані на якісному підході до управління ризиками, дозволяють добитися помітних результатів вже через декілька тижнів, тоді як організації, що використовують кількісний підхід, можуть не отримати скільки-небудь значних результатів, витрачаючи зусилля протягом місяців або навіть років. Недолік якісного підходу полягає в тому, що отримані результати не мають однозначної інтерпретації, а відносні величини, визначені в ході якісної оцінки ризиків, можуть не задовольняти деяких співробітників, відповідальних за ухвалення ділових рішень (особливо співробітників, що працюють у сфері обліку або фінансів).

 

Порівняння двох підходів

Як кількісний, так і якісний підхід до управління ризиками безпеки має свої переваги і недоліки. В деяких випадках організаціям вигідно використовувати кількісний підхід, а якісний підхід може краще підійти організаціям невеликого розміру або що володіє обмеженими ресурсами. Достоїнства і недоліки обох підходів перераховані в таблиці 1.

Таблиця 1. Достоїнства і недоліки підходів до управління ризиками

	Количественный	Качественный
Достоинства	· Приоритеты рисков определя­ются на основе финансового влияния; приоритеты активов определяются на основе финансовых стоимостей. · Результаты упрощают управ­ление рисками, обеспечивая возврат инвестиций в безопасность. · Результаты могут быть сформулированы с исполь­зованием управленческой терминологии (например, с помощью финансовых показателей и вероятности, выраженной в процентах). · Точность результатов увели­чивается по мере накопления организацией статистических данных в процессе работы.	· Обеспечивает наглядность и упрощает понимание процесса ранжирования рисков. · Проще найти удовлетво­ряющее всех решение. · Не требуется количест­венная оценка частоты возникновения угроз. · Не нужно определять финансовые стоимости активов. · Упрощается вовлечение в процесс сотрудников, не имеющих подготовки в области безопасности или компьютеров.
Недостатки	· Сопоставленные рискам величины влияния осно­вываются на субъективном мнении участников. · Поиск решения, удовлетво­ряющего всех участников, и получение достоверных результатов занимают очень много времени. · Расчеты являются очень сложными и требуют значи­тельных затрат времени. · Результаты представляются только в денежном выражении, а их интерпретация может вызывать трудности у сотрудников, не имеющих технической подготовки. · Процесс требует глубоких знаний, что затрудняет подготовку участников.	· Недостаточное различие между существенными рисками. · Трудности с определением размера инвестиций в реализацию контроля вследствие отсутствия данных для анализа выгод и затрат. · Результаты зависят от квалификации созданной группы управления рисками.

 

Хоча останніми роками при управлінні ризиками в основному використовувався кількісний підхід, в даний час положення справ стало мінятися, оскільки організації все частіше стикаються з тим, що скрупульозне дотримання принципам кількісного управління ризиками, як правило, наводить до появи довгострокових проектів, що майже не приносять істотних вигод. Як буде показано в наступних главах, процес управління ризиками безпеки, пропонований корпорацією майкрософт, об'єднує достоїнства обох підходів.