Александр Дорофеев, CISSP, CISM, CISA, директор по развитию, НПО «Эшелон»
Осенью 2013 г. вышла новая версия стандарта ISO 27001, которая с октября 2015 г. полностью заменит предыдущую версию – ISO/IEC 27001:2005. С выходом новой редакции в среде экспертов разгорелись споры относительно того, что требования к процессу оценки рисков в новом стандарте стали более обобщенными, а о некоторых ключевых элементах этого важного процесса разработчики стандарта и вовсе позабыли. Попробуем разобраться в «новых» требованиях новой редакции стандарта.
Прежде чем погружаться в процесс оценки рисков, вспомним основные понятия из данной области. Риск определяется как воздействие неопределенности на достижение поставленных целей и зачастую рассматривается как комбинация вероятности события и его последствий[1]. Под оценкой рисков (risk assessment) понимается процесс, включающий в себя идентификацию рисков (risk identification), анализ рисков (risk analysis) и оценивания рисков (risk evaluation)[2]. Все три составляющие раскрываются в стандарте ISO/IEC 27001:2013 и будут рассмотрены ниже.
Важно помнить и про так называемую обработку рисков (risk treatment), которая представляет собой выбор одной из следующих четырех опций: минимизация (внедрение контрмер), принятие (согласие), передача (страхование, аутсорсинг) и избежание (изменение процесса так, чтобы риск перестал быть актуальным). В большинстве случаев выбирается вариант минимизации, влекущий за собой внедрение организационных, технических и физических мер. Идеология управления рисками также подразумевает, что остаточный риск (residual risk) – после внедрения контрмер – осознанно принимается владельцем рисков (risk owner). Причем владелец рисков – это не менеджер информационной безопасности, а человек от бизнеса, который должен быть больше всех заинтересован в безопасности информационных ресурсов, находящихся в его сфере компетенции.
Требования ISO 27001:2013
ISO 27001:2013 требует от организации, внедряющей систему менеджмента информационной безопасности (СМИБ), определить процесс оценки рисков в виде формализованной процедуры и обеспечить возможность ее периодического применения для получения сравнимых результатов.
Определение критериев для проведения оценки рисков
До оценки рисков организация должна определить критерии для ее проведения, а также критерии принятия рисков.
Как именно определять критерии оценки рисков, стандарт не указывает, поэтому здесь приведем лишь наши соображения, как лучше зафиксировать критерии для определения уровней составляющих риска – последствий и вероятности событий.
Что касается масштаба последствий реализации той или иной угрозы информационной безопасности, то имеет смысл оттолкнуться от целей, которые мы ставим перед информационной безопасностью в нашей организации. Как правило, тремя основными целями ИБ являются: минимизация финансовых потерь, сохранение/улучшение имиджа, выполнение требований законодательства и регулирующих органов. Соответственно можно предложить следующий вариант оценки уровней последствий от реализации угроз информационной безопасности (табл. 1).
Таблица 1. Пример выбора критериев для оценки последствий реализации угроз
| Финансовые потери | Удар по имиджу | Проблемы с регуляторами | |
| Высокий | Свыше 100 тыс. долл. | Более 10 тыс. человекПример: публикация в федеральном СМИ | Отзыв лицензии |
| Средний | От 10 тыс. до 100 тыс. долл. | От 100 до 10 тыс. человек.Пример: публикация в известном блоге | Штраф |
| Низкий | До 10 тыс. долл. | До 100 человек узнали негативные сведения о компании.Пример: публикация на малоизвестном форуме | Предупреждение |
Что касается критериев оценки вероятности реализации угроз, то можно рассмотреть следующие составляющие, которые могут оказать влияние на оценку:
- статистика;
- доступность средств реализации угрозы;
- наличие уязвимостей/отсутствие мер защиты;
- мотивация потенциальных злоумышленников и т. п.
Критерии такой оценки вероятности реализации угроз могут выглядеть так (табл. 2).
Таблица 2
| Статистикапо конкретной угрозе | Доступность средств реализации угрозы | Наличие уязвимостей | |
| Высокий | 1 раз в неделю | Средства реализации угрозы широко доступны.Например, имеется свободно распространяемое ПО для реализации атаки |
|
| Средний | 1 раз в месяц | Средства реализации угрозы могут быть разработаны за разумное время или приобретены |
|
| Низкий | 1 раз в год | Средства реализации угрозы отсутствуют, либо временные и финансовые затраты на их разработку огромны |
|
На данном этапе необходимо также определить сопоставление величины риска в зависимости от уровней последствий и вероятности реализации угроз. В результате может получиться вот такая табличка (табл. 3).
Таблица 3
| Уровеньвероятности |
Уровень
последствийНизкий
СреднийВысокийНизкий
НизкийСреднийСреднийСредний
СреднийСреднийВысокийВысокий
СреднийВысокийВысокий
Эксперты часто спорят, какой подход для оценки рисков лучше: количественный или качественный. Автор статьи придерживается позиции, что выбранный подход должен быть в первую очередь понятным для представителей со стороны бизнеса. Практика показывает, что чем проще подход, тем он понятнее.
Что касается критериев принятия рисков, то организация может определить для себя, например, что принимаются только риски с уровнем «низкий».
Стоит отметить, что определение рассмотренных критериев оценки рисков на данном этапе очень важно, так как фактически определяет перечень информации, который должен быть собран в ходе обследования, и соответственно методы сбора этой информации.
Идентификация рисков
Следующим этапом процесса оценки рисков, определенным стандартом ISO 27001:2013, является идентификация рисков. Причем с указанным этапом в новом стандарте связано одно заблуждение. Эксперты, внимательно прочитавшие стандарт, обратили внимание, что в описании отсутствует упоминание идентификации активов (asset), и стали спорить о необходимости такой идентификации.
В разделе стандарта 6.1.2 (с) можно увидеть следующую фразу: «Аpply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system» («Применить процесс оценки рисков информационной безопасности, связанных с потерей конфиденциальности, целостности и доступности для информации, попадающей в границы СМИБ». Теперь стоит разобраться, что подразумевается под термином информация (information) в данном контексте. Здесь нам поможет стандарт ISO27000:2014, в котором дано определение терминов, используемых в линейке стандартов ISO 27000. В разделе 3.2.2 Information стандарта ISO27000:2014 можно почерпнуть, что информация является активом (используется знакомое нам слово asset) и зависит от информационных и телекоммуникационных технологий. Таким образом, на взгляд автора статьи, корректным переводом понятия information в разделе 6.1.2 будет «информация и средства ее обработки». Соответственно идентификация активов как была предусмотрена в ISO 27001:2005, так и осталась в ISO 27001:2013. Кроме того, в перечне контролей, приведенном в приложении А стандарта, остались контроли, связанные с активами.
В ходе идентификации рисков целесообразно отталкиваться от активов, попавших в границы СМИБ.
Как правило, специалисты руководствуются следующими подходами по выявлению рисков:
- аналитический, в основе которого может лежать некий каталог угроз (например, такой как приведен в [1]) либо некая модель источника угроз (хакер, разработчик ПО, инсайдер и т. п.);
- инструментальный;
- на основе имеющей статистики инцидентов и т. п.
Для получения информации используется комбинация следующих подходов:
- проведение интервью с владельцами ресурсов/бизнес-процессов;
- проведение воркшопов (workshop), когда интервьюируемые собираются вместе, проводится некое подобие обучения, а затем идет заполнение различных опросников под руководством менеджера информационной безопасности;
- анализ отчетов об инцидентах с результатами проведенного аудита;
- обследование на уровне процессов/систем, тестирование защищенности и т. д.
Важным нововведением стандарта ISO 27001:2013 является идентификация владельцев рисков.
Анализ рисков
В ходе анализа рисков проводится определение уровней вероятности и последствий выявленных рисков, а также итоговых значений самих рисков в соответствии с конкретными критериями.
Оценивание рисков
На следующем этапе необходимо сопоставить полученные значения рисков с заданными критериями их принятия. Кроме того, проводится ранжирование рисков для выявления приоритетных направлений.
Стоит отметить, что если на данной стадии существует возможность дать оценку трудозатрат на минимизацию выявленных рисков, то можно определить и так называемые быстрые победы (quick wins), заключающиеся в том, что в первую очередь минимизируются риски с высоким уровнем критичности и с низким уровнем требуемых трудозатрат.
Вместо заключения
Хотя в ISO 27001:2013 требования к оценке рисков стали более обобщенными, по существу ничего не изменилось. Как раньше стандарт не навязывал какой-либо определенной методологии, так не делает этого и сейчас. Единственное, из нового стандарта исчезли упоминания об идентификации активов и уязвимостей в процессе оценки рисков, но эксперты согласятся, что без этого адекватная оценка невозможна. Таким образом, организации, внедрившей риск-менеджмент в области ИБ, беспокоиться о необходимости вносить изменения в свои процессы оценки рисков в связи с новым стандартом не стоит.
Литература
- IT-Grundschutz-Catalogues / Foreword by M. Hange. Bundesamt fur Sicherheit in der Informationstechnik. Federal Office for Information Security, 2013. 13th ver. 4220 p. URL: https://gsb.download.bva.bund.de/BSI/ITGSKEN/IT-GSK-13-EL-en-all_v. 940.pdf
- Дорофеев А.В. Менеджмент информационной безопасности: управление рисками // Вопросы кибербезопасности. 2014. № 2 (3). С. 66–73.
[1] ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary.
[2] ISO Guide 73:2009 Risk management – Vocabulary.
