Вебинар ISM SYSTEMS по управлению рисками информбезопасности

В блоге ISM SYSTEMS опубликована запись вебинара по системе управления рисками ISM Revision: Risk Manager.

Смотреть тут - http://ismsys.blogspot.com/2012/07/ism-revision_26.html

Вебинар по риск-менеджменту

Сегодня пятница, да еще и 13-е, поэтому сегодня никаких длиных постов писать не буду. Поделюсь некоторой информацией. Сейчас тема вебинаров начинает набирать обороты, все больше и больше компаний выходит с таким форматом в сети. Я оцениваю это очень позитивно. Так, на западе, например, уже созданы целые площадки для проведения онлайн-конференций и это, по моему мнению, формат будущего (ну ближайшего по крайней мере). Одна из наиболее известных таких площадок - это Brighttalk.com.  На ней, в том числе, хостят свои обучающие вебинары ISACA и ISC2.  

А сообщить я хотел собственно о том, что 24-го июля компания ISM SYSTEMS планирует провести вебинар на тему управления рисками информационной безопасности с использованием их программной разработки.  О системах управления рисками я уже писал ранее. Очень рад, что наконец-то и у нас в России появилось что-то на эту тему.

Участие в вебинаре бесплатное,  для всех кто интересуется данной тематикой я приглашаю зарегистрироваться по этой ссылке - http://www.ismsys.ru/?page_id=630&ee=1. 

Размышления об оценке рисков

В сегодняшнем посте я хотел бы порассуждать на тему такого спорного вопроса как "оценка рисков ИБ".

С одной стороны необходимость проведения такой оценки предписывается практически всеми стандартами/международными практиками.  Возьмем самые основные:

ISO 27001: 

Организация должна создать, внедрить, эксплуатировать, осуществлять мониторинг, анализировать, сопровождать и совершенствовать документированную СУИБ в контексте общих бизнес активностей и рисков организации.

Организация должна делать следующее:

c) Определить подход организации к оценке рисков.

d) Идентифицировать риски.

e) Проанализировать и оценить риски.

f) Идентифицировать и оценить возможности по обработке рисков.

PCI DSS:

12.1 Должна быть разработана, опубликована, утверждена и доведена до сотрудников политика информационной безопасности, которая включает описание ежегодного процесса идентификации угроз и уязвимостей, завершающегося формализованной оценкой рисков

СТО БР ИББС-1.0:

8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.

8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.

Cobit 5.0:

Процесс APO12 Manage Risk
1. Collect data.
2. Analyse risk.
3. Maintain a risk profile.
4. Articulate risk.
5. Define a risk management action portfolio.
6. Respond to risk.

и многие, многие другие..... 

Это с одной стороны. С другой стороны очень немногие организаци могут похвастаться тем, что они действительно реализуют процессы управления рисками информационной безопасности. 

Есть мнения, что оценка рисков - процесс вообще бесполезный и неочевидный. Такое мнение имеет конечно право на существование, но давайте все же разберемся. 

Я глубоко убежден, что практически каждый специалист по информационной безопасности проводит оценку рисков. Пусть даже весь этот процесс происходит в его голове и не формализуется на бумагу, но он точно происходит, причем именно по той схеме, как это описывается в стандартах. 

Возьмем пример. Вы выходите на должность руководителя отдела ИБ, какие ваши дальнейшие действия ? Варианта два: либо вы доделываете то, что уже делал ваш предшественник, но тогда это просто означает, что вы исполняете решения, принятые до вас (принятые, возможно, на основе мнения предшественника), либо вы начинаете наводить порядок, обнаруживаете наиболее проблемные места и пытаетесь их закрыть.  Это же классическая оценка рисков:

1. Вы определили основные активы (то за что, вам могут дать по голове в случае чего) 

2. Вы обнаружили проблемы (они же уязвимости)

3. Вы определили к чему эти проблемы могут привести (определили угрозы)

4. Представили свои соображения руководству, получили денег, к примеру, на половину из предложенного и расставили приоритеты по проведению мероприятий по ИБ (это и есть оценка и ранжирование рисков ИБ и закрытие их на приоритетной основе).

Сразу оговорюсь, что здесь я не учитываю необходимость проведения обязательных мероприятий. Соответствие требованиям практически никак с риск-менеджментом не пересекается. Требования могут быть либо обязательными, либо производными от оценки рисков. По другому быть не может (хотя наши регуляторы в старых НПА, вышедших под 152-ФЗ предложили именно такую нежизнеспособную схему, существовали и классы (обязательные требования) и модель угроз (оценка рисков), посмотрим что будет в новых). 

И вот что еще важно отметить. Есть принципиальное отличие в подходах к риск-менеджменту в существующих стандартах по ИБ.

Если мы возьмем стандарт ISO 27001, то увидим, что он содержит в себе минимальный набор требований к самой системе менеджмента ИБ, а выбор конкретных мер по защите как раз и производится на основании оценки рисков. 

А если мы возьмем стандарт PCI DSS (который, кстати, многие хвалят) или СТО БР ИББС-1.0, то там оценка рисков - это всего лишь один из элементов безопасности наряду с массой других, определенных в стандарте.  Именно это и приводит к тому, что многие специалисты по ИБ задают вопрос, а зачем вообще проводить оценку рисков.  Мы же уже реализовали огромное количество требований, написанных в стандарте, т.е. мы практически все риски перекрыли, зачем теперь еще и оценку проводить ?  Ответ прост - стандарт определяет набор базовых требований и поэтому оценку рисков ИБ следует проводить для того, чтобы определить необходимость реализации дополнительных защитных мер для конкретных активов, защита которых не обеспечивается выполнением базовых требований, определенных в стандарте.

Следует еще отметить, что формализованное проведение оценки рисков ИБ - процесс действительно непростой. Любая оценка рисков предполагает довольно серьезную комбинаторику (нужно сопоставить между собой активы, уязвимости, источники угроз, угрозы, способы реализации угроз,  защитные меры). Именно поэтому проведение такой оценки без средств автоматизации практически невозможно, но об этом еще поговорим в последующих постах. 

Киберпреступность отнесена к одному из ключевых рисков 2012 года

Известная организация The World Economic Forum подготовила доклад под названием Global Risks 2012 (скачать доклад можно здесь). 

В результате проведенных исследований кибер-атаки были отнесены на 1-е место в групппе технологических рисков:

Это, кстати, первый раз за 6 лет (в течение которых публикуются подобные доклады) когда кибер-риски попали в доклад и сразу далеко не на самое последнее место. 

Причина проста - современный мир все больше и больше зависит от коммуникаций, наличие доступа в сеть Интернет в некоторых странах уже собираются отнести к неотъемлемым конституционным правам каждого человека, а это значит что серьезные кибер-атаки способны серьезно повлиять на экономическую и социальную составляющую жизни многих людей. 

А вот кстати как выглядит полная карта мировых рисков (технологические риски слева):

Возвращаясь к кибер-атакам, основной причиной растущих кибер-рисков названа "гиперконнективность" (hypperconnectivity), т.е то, что к глобальной сети подключается все большее количество устройств (к Интернет уже подключают холодильники, системы управления "умными домами" и многое, многое другое....). При этом к основным негативным последствиям отнесены:

• сбои в работе критичных систем (системы электро-, водоснабжения и др. подобные системы), способные привести к технологическим катастрофам и человеческим жертвам;
• взлом и хищение корпоративных секретов/шпионаж (в докладе в качестве примера упоминается хакерская группа Anonymous). 

Понятно, что сам по себе документ расчитан на политиков, бизнесменов, экономистов, и других людей, не имеющих отношения к инфобезопасности. Однако написано, на мой взгляд, по делу. 

Программное обеспечение для проведения оценки рисков

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков.   Зачем вообще нужно это программное обеспечение ?  Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk. Программное обеспечение от британской компании Vigilant Software. Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ).  Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро ?! 8-). 

PTA. Разработка компании PTA Technologies. Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!).  Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании  чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры. 

На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный :) ).

RSA Archer. Разработка компании Archer, с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA :)

Modulo Risk Manager. Разработка компании Modulo. На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться. 

RM Studio. Продукт одноименной организации (сайт). Для скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки". 

Гриф. Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же.... 

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.


Важное обновление !  Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73. Продукт выглядит многообещающе. Более подробный обзор сделаю позже.

Детальное руководство по оценке рисков информационной безопасности из Канады

Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC (сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:

• Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
• Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
• Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
• Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
• Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
• Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам

... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.

P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным. 

Автоматизация управления ИБ в Банках

Разбираясь с результатами опроса по оценке рисков ИБ, заинтересовался тем, что же есть сейчас в плане программного обеспечения, которое можно использовать для проведения оценки рисков. Западных программ полно, а вот наших кроме древнего и по моему мнению очень неудобного ГРИФа от Digital Security больше ничего нет. И он, понятно дело, для банков не годится.

Коллеги скинули ссылку на сайт компании ISM SYSTEMS. Судя по описанию, компания занимается разработкой специализированного софта ISM Revision, который предназначен для автоматизации процессов управления ИБ (в том числе и управления рисками). Вот что они пишут о продукте:

«ISM Revision – комплексный программный продукт, предназначенный для автоматизации процессов управления информационной безопасностью. Каждый из модулей нашего решения обеспечивает автоматизацию управления определенным процессом: аудит информационной безопасности, риск-менеджмент, инцидент-менеджмент и другие.

Наш продукт разработан на базе веб-технологий, поэтому для его использования достаточно наличия на компьютере веб-браузера. Стоимость ISM Revision фиксирована для любой организации и не зависит от количества пользователей.

Еще одним преимуществом нашего программного продукта является возможность создавать документы, содержащие результаты деятельности по управлению информационной безопасностью. Эти документы могут быть использованы как для отчетности перед руководством, так и при проведении проверок со стороны Банка России.»

Пока для ознакомления доступен только модуль для проведения самооценки на соответствие СТО БР ИББС, модуль по рискам в разработке и в ближайшее время обещан его релиз. Посмотрим, что у них получится.

Ситуация с оценкой рисков ИБ в банках

Как и обещал выкладываю результаты проведенного опроса по оценке рисков ИБ в банках. Всего в опросе приняло участие 67 банков, что составляет примерно 7-8% от общего числа.

Первый вопрос касался того, проведена ли в банке оценка рисков, и вот его результаты:

Я честно говоря ожидал худшего, но судя по ответам в 43% банков оценка рисков ИБ уже проведена и почти 15% проводят ее сейчас.

Следующий вопрос касался того, кому в банке поручен процесс оценки рисков

В подавляющем большинстве это служба информационной безопасности. Реже всего - служба ИТ.

Следующий вопрос касался того, какая методика применяется при оценке рисков. И тут снова в общем ожидаемая ситуация - большинство выбирает методику Банка России. (в описании методики у меня вкралась ошибка, конечно же это РС БР ИББС-2.2-2009, а не тот документ, который указан в опросе, но видимо все поняли правильно :) )

Последний вопрос касался территориальной принадлежности банка. Надо сказать здесь несколько смутило, что московских банков оказалось меньше половины, но зато выборка получилась равномерной с точки зрения территориального распределения (есть по крайней мере повод так думать)

Все спасибо за участие в опросе. Для начала получилось совсем неплохо. Есть над чем поразмыслить.

Риски в банковской отрасли

Продолжая тематику рисков в банковской отрасли (кстати, опрос по ИБ-рискам пока еще продолжается) хотелось бы рассказать об исследовании, которое ежегодно проводит Pricewatehousecoopers - Banking banana skins. Текущая версия отчета относится к 2010 г. и в том числе отдельно описывает ситуацию в России. Что же мы видим:

Я обвел красным цветом то, что косвенно имеет отношение к вопросам информационной безопасности. Напрямую риски информационной безопасности в списке не представлены, что видимо свидетельствует о том, что они не способны привести к критическим последствиям для банков (точнее так это видится банкам).

Можно также отметить интересные тенденции. По сравнению с 2008 г. выросли риски непрерывности работы организаций, но снизились риски высокой зависимости от технологий.

Новый стандарт по управлению рисками ИБ

Несколько незаметно для многих (по понятным для России причинам :) ) примерно месяц назад свет увидела новая редакция стандарта ISO 27005, посвященная риск-менеджменту (официальная страница на сайте ISO).

Вот как о ней отзывается CEO довольно известной британской компании IT Governance:

“The new ISO/IEC 27005:2011 is a much better standard than was the 2008 version. First, it is a better written, more coherent standard. Second, it is aligned with the risk management standard ISO 31000, which makes it easier to integrate Enterprise Risk Management approaches with information security risk management. Third, it provides good, practical guidance on carrying out the risk assessment required by ISO 27001, together with clear guidance on risk scales. Fourth, it has good guidance on threats, vulnerabilities, likelihoods and impacts. ISO 27005 should become standard additional guidance on risk assessment – the ISMS core competence – for all organisations tackling ISO 27001.”

Честно говоря сам я пока еще не успел ознакомиться с текстом этого документа, но планирую сделать в ближайшее время. В интернете удалось найти небольшой фрагмент, содержащий структуру стандарта.

Действительно, исходя из названий разделов документа видно, что стандарт изменился. Так, например, можно увидеть как изменилась терминология в части методов обработки рисков.

Помимо этого в стандарте присутствуют приложения, содержащие примеры описаний различных элементов, составляющих риск.

Купить стандарт (английскую версию) можно, например, здесь. Когда появится русскоязычный перевод мне не известно.

Оценка рисков ИБ (методики, инструментарий)

Оценка рисков - это безусловно краеугольный камень эффективной и экономически оправданной безопасности. За последние годы было много рассказано про различные подходы к проведению оценки рисков, а сейчас на фоне волны, поднятой законом "О персональных данных", вопрос оценки рисков несколько ушел в тень, сменившись более формальным (хотя и не формализованным !) составлением модели угроз. Однако, рано или поздно специалистам по инфобезопасности все же придется вернуться в своей работе к риск-ориентированным стратегиям обеспечения ИБ и вновь придется озаботиться вопросом о том, каким же способом эти самые риски оценивать.

Конечно же каждая организация выбирает свой путь и именно поэтому в мире существуют десятки методов оценки рисков (количественные/качественные). Какое-то время назад мне попался довольно интересный европейский веб-ресурс организации ENISA (European Network and Information Security Agency), на котором собран наиболее широкий (на мой взгляд) перечень различных методик и инструментов по оценке рисков.

Там же опубликован очень интересный материал (PDF), описывающий общий порядок управления рисками, а также методики и инструменты оценки.

В таблице ниже, взятой из указанного документа, представлено сравнение существующих методов: