Для кредитно-финансовой сферы понятия "оценка и управление рисками" сложились достаточно давно, и под рисками, прежде всего, понимались финансовые риски (кредитный риск, риск потери ликвидности и т.п.). В этой области проведена большая работа и накоплен значительный опыт. При рассмотрении рисков информационной безопасности (ИБ) возникает естественное желание воспользоваться указанным опытом.
Обычно исходят из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба. Таким образом, суть управления рисками состоит в оценке их размера, выработке эффективных и экономичных мер их снижения, а также в установлении приемлемых рамок для них. Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
- (пере)оценка (измерение) рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
ЭТАПЫ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ
Процесс управления рисками можно разделить на следующие этапы:
- выбор анализируемых объектов и уровня детализации их рассмотрения;
- выбор методологии оценки рисков;
- идентификация активов;
- анализ угроз и их последствий, выявление уязвимых мест в защите;
- оценка рисков;
- выбор ответных мер;
- реализация и проверка выбранных мер;
- оценка остаточного риска.
От последнего этапа в случае неприемлемости остаточного риска происходит возврат к началу.
МЕТОДИКИ ОЦЕНКИ РИСКОВ
Ключевым является выбор методики оценки рисков. Многие документы содержат рекомендации по выбору методики (например, ГОСТ Р ИСО/МЭК 13335-3-2007) или просто вариант методики (например, готовятся к выходу "Рекомендации в области стандартизации Банка России" PC БР ИББС-2.2, "Методика оценки рисков нарушения ИБ").
В этих и других методиках, хорошо известных специалистам, предлагаются различные способы сопоставления возможных последствий реализации угрозы с вероятностью ее реализации и получения соответствующих выводов.
В зависимости от "математизации" этой процедуры сопоставления и выводов методики иногда делят на качественные, полуколичественные и количественные.
При этом можно встретить точку зрения, что количественные методы в принципе лучше качественных, и лишь недостаток точных данных (например, статистики инцидентов) не дает пока возможности полностью перейти на их использование, а если бы удалось еще сделать оценку последствий в денежных единицах, то проблема оценки рисков вообще перестала бы быть проблемой.
ЧТО И ЗАЧЕМ МЫ ОЦЕНИВАЕМ
В связи с этим хотелось бы обратить внимание на два обстоятельства.
Первое вытекает из того, что классические вероятностно-статистические методы предназначены для описания повторяющихся экспериментов, проводимых в стабильных условиях. В большинстве методов "точной количественной" оценки риска явно или неявно используется среднее значение (математическое ожидание) ущерба, что, по-видимому, было бы оправдано при оценке результатов одинаковых атак на большое число объектов, например, для определения параметров страхования. В практике работы страховых компаний подобные подходы достаточно давно и успешно используются, и создается впечатление, что этот опыт был некритически перенесен в разработку методов оценки рисков ИБ.
Адекватность применения этих методов по отношению к объектам информационной инфраструктуры требует как минимум дополнительного обоснования. Так, в ситуации, когда имеется единичный объект и в отношении его рассматривается угроза, реализация которой приведет к недопустимо большому ущербу, и в то же время вероятность мала настолько, что "средний ущерб" (произведение ущерба на вероятность) невелик, размер этого среднего ущерба, как представляется, не может служить ориентиром для принятия решений. В случае, когда ущерб не имеет непосредственной численной оценки, также возникают понятные сложности. В то же время все это не означает, что данный подход вообще неприменим, это означает только, что необходимо определить границы его применимости.
Второе обстоятельство связано с тем, что оценка рисков - не самоцель, а шаг на пути к выдвижению требований информационной безопасности. Конечной стадией оценки является принятие решения о достаточности используемых мер и средств защиты (принятие остаточного риска) или об их недостаточности. В последнем случае, как было показано выше, предлагаются дополнительные меры (средства), и оценка повторяется.
ПОДВЕДЕМ ИТОГ
Нужно ли для принятия решения о достаточности защиты знать "средний ущерб"? И если да, то с какой точностью? Предположим, что мы знаем откуда-то точные значения ущербов и вероятностей. Если вероятность немного изменить, повлияет ли это на окончательный вывод о достаточности/недостаточности защиты? Ясно, что при малом изменении вероятности вывод будет прежним. Насколько она должна измениться, чтобы изменился и вывод? Ответ на последний вопрос показывает, с какой точностью на самом деле нужно знать вероятность. Аналогичные вопросы можно задать и по поводу ущерба.
Это показывает, что в конечном счете от процедуры оценки рисков требуется дать ответ, является ли приемлемым (да/нет) остаточный риск, а не числовой параметр со сколькими-то значащими цифрами.
Поэтому, выбирая методику и подход к оценке рисков, необходимо сформулировать требования к этой методике, цель которых - обеспечить уверенность в выводе о приемлемости остаточного риска. Приемлемость целесообразно формулировать в терминах поддержания определенного уровня бизнес-процессов основной деятельности организации и соответственно уровня ИТ-сервисов, поддерживающих эти бизнес-процессы. Какие формулы и таблицы будут или не будут использоваться в методике - это уже следующий вопрос.
Кроме указанных выше, существующие методики оценки рисков не учитывают еще ряд факторов, рассмотрение которых выходит за рамки настоящей статьи.
Современные методы оценки рисков имеют ряд ограничений. Вместе с тем сам риск - ориентированный подход к управлению ИБ представляется перспективным, в связи с чем необходимо, во-первых, использовать имеющиеся методики в качестве источника информации для принятия решений; во-вторых, совершенствовать методы оценки рисков в направлении преодоления тех ограничений и недостатков, которыми они обладают в настоящее время.
Автор - председатель комитета по информационной безопасности Ассоциации российских банков, заместитель генерального директора ООО "Андэк технолоджиз", кандидат физико-математических наук, CISA.
Журнал «Информационная безопасность»