Підготовчі етапи управління ризиками

Лекція 7: Управління ризиками. Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України

Основні поняття

2. Підготовчі етапи управління ризиками …………………. 3

3. Основні етапи управління ризиками ……………………. 5

4. Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України ……………… 8

    5. Аналіз ризиків НБУ…………………………………………………………….. 16

    6. Оцінка ризиків НБУ………………………………………………………… 20

 

Інформаційна безпека повинна досягатися економічно виправданими заходами. У лекції описується методика, що дозволяє зіставити можливі втрати від порушень ІБ з вартістю захисних засобів.

Основні поняття

Управління ризиками розглядається нами на адміністративному рівні ІБ, оскільки тільки керівництво організації здатне виділити необхідні ресурси, ініціювати і контролювати виконання відповідних програм.

Взагалі кажучи, управління ризиками, так само як і вироблення власної політики безпеки, актуально тільки для тих організацій, інформаційні системи яких і / або оброблювані дані можна вважати нестандартними. Звичайну організацію цілком влаштує типовий набір захисних заходів, вибраний на основі уявлення про типові ризики або взагалі без будь-якого аналізу ризиків (особливо це вірно з формальної точки зору, в світлі проаналізованого нами раніше законодавства в області ІБ).

Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. У першому випадку необхідно прийняти безліч рішень, оформити велику кількість паперів, в другому досить визначитися лише з декількома параметрами.

Використання інформаційних систем пов'язане з певною сукупністю ризиків. Коли можливий збиток неприйнятно великий, необхідно прийняти економічно виправдані заходи захисту. Періодична (пере) оцінка ризиків необхідна для контролю ефективності діяльності в області безпеки і для врахування змін обстановки.

З кількісної точки зору рівень ризику є функцією вірогідності реалізації певної загрози (що використовує деякі вразливі місця), а також величини можливого збитку.

Таким чином, суть заходів з управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики поміщені в прийнятні рамки (і залишаються такими).Отже, управління ризиками включає два види діяльності, які чергуються циклічно:

· (пере) оцінка (вимірювання) ризиків;

· вибір ефективних і економічних захисних засобів (нейтралізація ризиків).

По відношенню до виявлених ризиків можливі наступні дії:

· ліквідація ризику (наприклад, за рахунок усунення причини);

· зменшення ризику (наприклад, за рахунок використання додаткових захисних засобів);

· прийняття ризику (і вироблення плану дії у відповідних умовах);

· переадресація ризику (наприклад, шляхом укладення страхової угоди).

Процес управління ризиками можна розділити на наступні етапи:

 1. Вибір аналізованих об'єктів і рівня деталізації їх розгляду.

 2. Вибір методології оцінки ризиків.

 3. Ідентифікація активів.

 4. Аналіз загроз та їх наслідків, виявлення вразливих місць в захисті.

 5. Оцінка ризиків.

 6.Вибір захисних заходів.

 7. Реалізація та перевірка вибраних заходів.

 8. Оцінка залишкового ризику.

Етапи 6 і 7 відносяться до вибору захисних засобів (нейтралізації ризиків), решта - до оцінки ризиків.

Вже перерахування етапів показує, що управління ризиками - процес циклічний. По суті, останній етап - це оператор кінця циклу, що приписує повернутися до початку. Ризики потрібно контролювати постійно, періодично проводячи їх переоцінку. Відзначимо, що сумлінно виконана і ретельно документована перша оцінка може істотно спростити подальшу діяльність.

Управління ризиками, як і будь-яку іншу діяльність у галузі інформаційної безпеки, необхідно інтегрувати в життєвий цикл ІС. Тоді ефект виявляється найбільшим, а витрати - мінімальними. Раніше ми визначили п'ять етапів життєвого циклу. Коротко опишемо, що може дати управління ризиками на кожному з них.

На етапі ініціації відомі ризики слід врахувати при виробленні вимог до системи взагалі і засобів безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль у забезпеченні безпеки.

На етапі встановлення виявлені ризики слід враховувати при конфігуруванні, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками має супроводжувати всі істотні зміни в системі.

При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечним чином.

Підготовчі етапи управління ризиками

У цьому розділі будуть описані перші три етапи процесу управління ризиками.

Вибір аналізованих об'єктів і рівня деталізації їх розгляду - перший крок в оцінці ризиків. Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру; проте якщо організація крупна, всеосяжна оцінка може зажадати неприйнятних витрат часу і сил. У такому випадку слід зосередитися на найбільш важливих сервісах, заздалегідь погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі.

Ми вже вказували на доцільність створення карти інформаційної системи організації. Для управління ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси обрані для аналізу, а якими довелося знехтувати. Якщо ІС міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або істотно змінилися сервіси потребують розгляду.

Взагалі кажучи, уразливим є кожен компонент інформаційної системи - від мережевого кабелю, який можуть прогризти миші, до бази даних, яка може бути зруйнована через невмілих дій адміністратора. Як правило, у сферу аналізу неможливо включити кожен гвинтик і кожен байт. Доводиться зупинятися на деякому рівні деталізації, знову-таки віддаючи собі звіт в наближеності оцінки. Для нових систем кращий детальний аналіз; стара система, що піддалася невеликим модифікаціям, може бути проаналізована більш поверхнево.

Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є одержання відповіді на два питання: прийнятні чи існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, допускає зіставлення із заздалегідь вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типова оптимізаційна задача, і існує досить багато програмних продуктів, здатних допомогти в її вирішенні (іноді подібні продукти просто додаються до книг з інформаційної безпеки). Принципова трудність, однак, полягає в неточності початкових даних. Можна, звичайно, спробувати отримати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але великого сенсу в цьому немає. Практичний користуватися умовними одиницями. У найпростішому і цілком допустимому випадку можна користуватися трибальною шкалою. Далі ми продемонструємо, як це робиться.

При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, слід, звичайно, враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною точкою тут є уявлення про місію організації, тобто про основні напрямки діяльності, які бажано (або необхідно) зберегти в будь-якому випадку. Висловлюючись об'єктно-орієнтованою мовою, слід в першу чергу описати зовнішній інтерфейс організації, що розглядається як абстрактний об'єкт.

Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використання. Ці відомості доцільно нанести на карту ІС як грані відповідних об'єктів.

 Інформаційною основою скільки-небудь великої організації є мережа, тому в число апаратних активів слід включити комп'ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве обладнання (мости, маршрутизатори і т.п.).До програмних активів, ймовірно, будуть віднесені операційні системи (мережева, серверні та клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (у яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані за типами і ступеня конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.

 Управління ризиками - процес далеко не лінійний. Практично всі його етапи пов'язані між собою, і після закінчення майже будь-якого з них може виникнути необхідність повернутись до попереднього. Так, при ідентифікації активів може виявитися, що обрані межі аналізу слід розширити, а ступінь деталізації - збільшити. Особливо важкий первинний аналіз, коли багаторазові повернення до початку неминучі.