Осознавая необходимость анализа и управления рисками и даже внося требования по проведению управления рисками в корпоративные стандарты, многие специалисты выполняют такую процедуру весьма формально
Осознавая необходимость анализа и управления рисками и даже внося требования по проведению управления рисками в корпоративные стандарты, многие специалисты выполняют такую процедуру весьма формально
В настоящее время у большинства профессионалов, видимо, уже нет сомнения в том, что управление информационными рисками является важнейшей частью построения системы управления информационной безопасностью. Об этом говорят и текущие отраслевые стандарты — ISO 17799, 27001, выносящие вопросы управления рисками в первые тематические разделы. Да и простая логика подсказывает, что для ответа на вопросы «на каком направлении информационной безопасности требуется сосредоточить внимание?», «сколько времени и средств можно потратить на данное техническое решение для защиты информации?» и т. д., необходимо произвести анализ и управление рисками.
Однако, осознавая необходимость таких работ и даже внося требования по проведению управления рисками в корпоративные стандарты, многие специалисты выполняют такую процедуру весьма поверхностно, не формируя реальной основы и инструмента для выполнения последующих работ по созданию системы информационной безопасности.
В первую очередь это касается правильного выбора метода анализа рисков — «качественного» или «количественного». Иначе говоря, выбора между формулировками типа «угроза нанесения высокого ущерба объекту оценивается как средневероятная» (качественная оценка) или «угроза нанесения ущерба объекту в 1 млн. долл. может произойти с вероятностью 0,65» (количественная оценка). Качественную оценку можно реализовать проще и быстрее, но реальной пользы, кроме осознания направления концентрации усилий, такой метод не дает.
Количественный способ дает гораздо больше преимуществ, но сложен для реализации. Если вероятность наступления угрожающих событий еще можно сформировать, изучая статистику реализации угроз в мире, стране и отрасли, то расчет возможного материального ущерба тому или иному ресурсу представляется порой довольно затруднительным.
Критичность данных
Рассмотрим подробнее стадию управления рисками, которая называется «Анализ рисков». Предположим, что мы уже провели инвентаризацию своих информационных активов. Это достаточно просто сделать на предприятии, где производится грамотное управление информационной инфраструктурой, и имеются политики управления релизами, изменениями в системах и другие инструменты ИТ-управления. Предположим также, что угрозы информационным ресурсам тоже идентифицированы (этот процесс достаточно подробно описан в литературе), да и сами угрозы схожи для большинства современных организаций. Далее нам необходимо соотнести угрозы с активами, но тут и начинаются основные проблемы.
Для определения потенциального ущерба необходимо знать уровень чувствительности, «критичности» ресурса к информационным угрозам, а для этого ресурс должен быть проклассифицирован согласно принятым корпоративным правилам. Поскольку наиболее ценный ресурс практически любой организации — это данные, то именно на формирование классификатора данных необходимо обратить пристальное внимание.
Иногда под информационным ресурсом понимают крупные объекты типа информационной системы, например, сервис электронной почты. Это тоже допустимо для качественного анализа рисков более общего уровня. Но углубляясь в анализ рисков, понимаешь, что недоставка личного электронного сообщения младшему работнику отдела кадров и недоставка сообщения о принципиальном решении по приобретению пакета акций топ-менеджеру имеют различные последствия. Поэтому мы будем говорить именно о ресурсе в виде данных и о его классификации.
Многие предприятия до сих пор пользуются классификаторами, доставшимися нам от доэлектронной эры. Обычно он включает три-четыре позиции типа «открыто для всех», «для служебного пользования», «конфиденциально» и «секретно». Однако то, что было достаточно для бумажного документа, для электронного не покрывает всего спектра возможных проблем. Рассмотрим это на примере.
Специалистам по безопасности известен нашумевший случай разглашения информации базы банковских платежей (проводок) юридических лиц годичной давности. Уровень классификации такого рода информации должен быть никак не ниже конфиденциального. Однако массовой паники среди предприятий, чья информация была разглашена, почему-то не наблюдалось. Теперь представим, что разглашена информация по проводкам не годичной давности, а за вчерашний день. Видимо, ситуация была бы несколько иной. Сделаем первый вывод: классификация данных имеет свои жизненные циклы: то, что было секретно вчера, завтра может быть открыто.
Рассмотрим другой аспект. В описанной ситуации к сведениям о клиентах получили доступ покупатели базы данных, но саму информацию они изменить не могли. Это, скорее всего, принесло косвенный ущерб.
Однако ситуация резко изменилась бы, если бы покупатели могли изменять данные по проводкам клиентов в исходной базе или просто удалить их все. Напрашивается второй вывод: оценка данных лишь относительно конфиденциальности не покрывает весь спектр проблем, необходимый для анализа рисков.
Попытка построения модели классификатора данных, учитывающего описанные проблемы, была предложена еще в 2000 году («Классификатор данных с точки зрения безопасности», «Директор ИС», №7-8/2000 г.).
Наряду с упомянутыми выше жизненными циклами критичности информации, предлагалось оценивать данные также по уровням конфиденциальности (чувствительности к раскрытию), по целостности (чувствительности к модификации) и доступности (чувствительности к востребованному наличию).
Приведем примеры того, как могут различаться требования по защите данных в разрезе этих категорий для различных отраслей:
- Результаты исследований организации, работающей с государственной тайной, могут быть уничтожены, но ни в коем случае не должны быть разглашены.
- Информация об остатке (сумме) на счетах клиента в банке может быть разглашена либо временно недоступна, но ни при каких условия не изменена несанкционированно.
- Торговый Internet-портал может допустить разглашение данных по клиенту, возможно даже несанкционированное списание средств клиента, но пользователи не должны терять доступа к нему более чем на 5-10 минут.
Перечисленные примеры условны, например, допустимость разглашения информации не означает, что не нужно принимать никаких мер к защите от разглашения. Они просто показывают, что приоритеты критичности данных могут быть расставлены по-разному.
Это означает, что планирование противодействующих мероприятий может реализовываться различными инструментами. Например, для данных, критичных по конфиденциальности — сильным шифрованием, для данных, чувствительных к модификациям, — контрольными суммами и электронно-цифровой подписью, для данных с повышенными требованиями к доступности — дублированием аппаратного обеспечения, частым резервным копированием и т. д.
Казалось бы, достаточно очевидно, что разнесение классификации данных хотя бы по отдельным категориям, без дальнейшего разделения их на подуровни, — это уже удобный инструмент анализа. Однако опыт общения с представителями служб информационной безопасности различных организаций показывает, что на предприятиях продолжают использоваться старые схемы из 3-4 разделов.
Очевидно, что разнесение данных по развернутому классификатору — не тривиальная задача. Более того, ее невозможно осуществить лишь силами специалистов по безопасности или ИТ. Только уполномоченные представители бизнеса либо производственного процесса в состоянии оценить уровень критичности тех или иных данных. Но и они не способны сделать это в одиночку, так как могут не понять разницы между конфиденциальностью, целостностью и доступностью, особенностями электронного хранения или транспортировки данных и другими вопросами.
Таким образом, мы видим необходимость масштабного проекта по формированию самого классификатора, включая проведение первичной систематизации данных, разработку процедур и методик внесения новых сведений или поддержания актуального состояния (с учетом жизненных циклов) и т. д. Скорее всего, необходимо создание отдельного Комитета по информационной безопасности, который будет осуществлять стратегические виды деятельности по защите информационных систем.
Классификация пользователей
Обозначим еще одну проблему, которую необходимо решить перед началом анализа рисков. Выше уже рассматривалось формирование списка угроз. Есть различные модели составления списка таких угроз или построения модели злоумышленника, но все они учитывают разделение угроз на внешние и внутренние (в самой организации). Обычно, что весьма разумно, внутренним угрозам придают особое значение. Далее угрозы разделяют на «технические» и «человеческие». Человеческим уделяют повышенное внимание именно потому, что их трудно нейтрализовать техническими средствами. Человеческие угрозы, относящиеся к внутренним (со стороны собственных сотрудников), иногда разделяют на угрозы от субъектов с расширенными (администраторы) и сокращенными полномочиями (рядовые пользователи). Это самый глубокий уровень детализации, который можно встретить в большинстве организаций.
Понятно, что угрозы, исходящие от рядовых пользователей и администраторов, могут серьезно различаться. Пользователи, имеющие возможность распечатать лишь 2-3 второстепенных отчета и корректирующие данные по ключевым клиентам, представляют различные потенциальные опасности. Администратор центральной базы данных либо операционной системы сервера той же базы могут при желании реализовывать совершенно различные угрозы. Так же разнятся угрозы, которые можно ожидать от администратора почтового сервера и межсетевого экрана.
Осознавая проблему, мы подходим к следующему масштабному проекту — созданию и управлению профилями доступа пользователей (в данном случае сюда можно включить и администраторов).
Иначе говоря, имея классифицированные по уровням и аспектам критичности данные, мы должны провести работу по соотнесению прав доступа к этим данным для всех пользователей, которые так или иначе задействованы в процессе их ввода, обработки, хранения, транспортировки и уничтожения. Кроме того, необходимо разработать соответствующие процедуры и методики по расширению круга пользователей и изменению профилей текущих пользователей, контроля соответствия текущих прав доступа функциональным обязанностям пользователя и многое другое.
Только завершив проект по профилированию пользователей, можно точно оценить возможные угрозы с их стороны, а также успешно применять результаты профилирования в процессе управления рисками.
Классификация данных и профилирование пользователей — это два существенных этапа для успешного анализа рисков и дальнейшего управления информационными рисками.
Насколько возможно выполнение таких работ собственными силами специалистов предприятия? Руководитель организации должен оценить ситуацию и, возможно, привлечь для этих работ сторонних консультантов, обладающих необходимыми навыками в классификации и профилировании. Однако, в обоих случаях необходимо привлечение бизнес-представителей организации, в том числе руководителей верхнего уровня, способных принимать решения относительно важности информации для предприятия или роли ключевых пользователей.
Искандер Конеев - CISSP, ведущий консультант компании Deloitte, ikoneev@deloitte.ru