В сегодняшнем посте я хотел бы порассуждать на тему такого спорного вопроса как "оценка рисков ИБ".
С одной стороны необходимость проведения такой оценки предписывается практически всеми стандартами/международными практиками. Возьмем самые основные:
ISO 27001:
Организация должна создать, внедрить, эксплуатировать, осуществлять мониторинг, анализировать, сопровождать и совершенствовать документированную СУИБ в контексте общих бизнес активностей и рисков организации.
Организация должна делать следующее:
c) Определить подход организации к оценке рисков.
d) Идентифицировать риски.
e) Проанализировать и оценить риски.
f) Идентифицировать и оценить возможности по обработке рисков.
PCI DSS:
12.1 Должна быть разработана, опубликована, утверждена и доведена до сотрудников политика информационной безопасности, которая включает описание ежегодного процесса идентификации угроз и уязвимостей, завершающегося формализованной оценкой рисков
СТО БР ИББС-1.0:
8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.
Cobit 5.0:
Процесс APO12 Manage Risk
1. Collect data.
2. Analyse risk.
3. Maintain a risk profile.
4. Articulate risk.
5. Define a risk management action portfolio.
6. Respond to risk.
1. Collect data.
2. Analyse risk.
3. Maintain a risk profile.
4. Articulate risk.
5. Define a risk management action portfolio.
6. Respond to risk.
и многие, многие другие.....
Это с одной стороны. С другой стороны очень немногие организаци могут похвастаться тем, что они действительно реализуют процессы управления рисками информационной безопасности.
Есть мнения, что оценка рисков - процесс вообще бесполезный и неочевидный. Такое мнение имеет конечно право на существование, но давайте все же разберемся.
Я глубоко убежден, что практически каждый специалист по информационной безопасности проводит оценку рисков. Пусть даже весь этот процесс происходит в его голове и не формализуется на бумагу, но он точно происходит, причем именно по той схеме, как это описывается в стандартах.
Возьмем пример. Вы выходите на должность руководителя отдела ИБ, какие ваши дальнейшие действия ? Варианта два: либо вы доделываете то, что уже делал ваш предшественник, но тогда это просто означает, что вы исполняете решения, принятые до вас (принятые, возможно, на основе мнения предшественника), либо вы начинаете наводить порядок, обнаруживаете наиболее проблемные места и пытаетесь их закрыть. Это же классическая оценка рисков:
1. Вы определили основные активы (то за что, вам могут дать по голове в случае чего)
2. Вы обнаружили проблемы (они же уязвимости)
3. Вы определили к чему эти проблемы могут привести (определили угрозы)
4. Представили свои соображения руководству, получили денег, к примеру, на половину из предложенного и расставили приоритеты по проведению мероприятий по ИБ (это и есть оценка и ранжирование рисков ИБ и закрытие их на приоритетной основе).
Сразу оговорюсь, что здесь я не учитываю необходимость проведения обязательных мероприятий. Соответствие требованиям практически никак с риск-менеджментом не пересекается. Требования могут быть либо обязательными, либо производными от оценки рисков. По другому быть не может (хотя наши регуляторы в старых НПА, вышедших под 152-ФЗ предложили именно такую нежизнеспособную схему, существовали и классы (обязательные требования) и модель угроз (оценка рисков), посмотрим что будет в новых).
И вот что еще важно отметить. Есть принципиальное отличие в подходах к риск-менеджменту в существующих стандартах по ИБ.
Если мы возьмем стандарт ISO 27001, то увидим, что он содержит в себе минимальный набор требований к самой системе менеджмента ИБ, а выбор конкретных мер по защите как раз и производится на основании оценки рисков.
А если мы возьмем стандарт PCI DSS (который, кстати, многие хвалят) или СТО БР ИББС-1.0, то там оценка рисков - это всего лишь один из элементов безопасности наряду с массой других, определенных в стандарте. Именно это и приводит к тому, что многие специалисты по ИБ задают вопрос, а зачем вообще проводить оценку рисков. Мы же уже реализовали огромное количество требований, написанных в стандарте, т.е. мы практически все риски перекрыли, зачем теперь еще и оценку проводить ? Ответ прост - стандарт определяет набор базовых требований и поэтому оценку рисков ИБ следует проводить для того, чтобы определить необходимость реализации дополнительных защитных мер для конкретных активов, защита которых не обеспечивается выполнением базовых требований, определенных в стандарте.
Следует еще отметить, что формализованное проведение оценки рисков ИБ - процесс действительно непростой. Любая оценка рисков предполагает довольно серьезную комбинаторику (нужно сопоставить между собой активы, уязвимости, источники угроз, угрозы, способы реализации угроз, защитные меры). Именно поэтому проведение такой оценки без средств автоматизации практически невозможно, но об этом еще поговорим в последующих постах.