Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность. На Западе законодательство предписывает компаниям управлять ИТ-рисками, к примеру, в США этого требует закон Сарбейнса-Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799, ISO27001, также предусматривают механизмы управления ИТ-рисками. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно спланировать мероприятия по ее поддержке.
К сожалению, не существует очевидных правил, утверждающих, в каком конкретном случае следует применять ту или иную методологию управления ИТ-рисками, например CORAS [1], OCTAVE (www.cert.org/octave) или CRAMM (www.cramm.com). В российских компаниях ситуация осложняется ограничениями отечественных программных продуктов, предназначенных для оценки и управления ИТ-рисками. Большинство из них, увы, базируются не на методологиях управления ИТ-рисками, а на стандартах информационной безопасности, например BS7799 или ISO17799, а потому позволяют определить не уровень ИТ-рисков, а степень соответствия тому или иному стандарту. Кроме того, обычно они не учитывают мнения владельцев информационных активов при определении величин потенциального ущерба.
Методологии управления ИТ-рисками
coras. Методология CORAS [1] разработана в рамках программы Information Society Technologies. Ее суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA [1].
CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management. В этом стандарте учтены рекомендации, изложенные в документах ISO/IEC TR 13335-1: 2001 Guidelines for the Management of IT Security и IEC 61508: 2000 Functional Safety of Electrical/Electronic/Programmable Safety Related.
В соответствии с CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, но с нескольких сторон, а именно как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений [6].
OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Ключевые элементы OCTAVE:
- идентификация критичных информационных активов;
- идентификация угроз для критичных информационных активов;
- определение уязвимостей, ассоциированных с критичными информационными активами;
- оценка рисков, связанных с критичными информационными активами.
OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий. Имеются коммерческие программные продукты, реализующие положения OCTAVE.
CRAMM. Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, различаются своими базами знаний, или «профилями».
CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер. Имеются коммерческие программные продукты, реализующие положения CRAMM. В частности, компания Siemens предлагает продукты CRAMM Expert и CRAMM Express.
Оценка методологий
До принятия решения о внедрении той или иной методологии управления ИТ-рисками следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий. В качестве критериев оценки при сравнении методологий управления ИТ-рисками целесообразно воспользоваться стандартом COBIT (www.isaca.org/cobit).
Аббревиатура COBIT (Control Objectives for Information and Related Technologies) подразумевает под собой набор документов, в которых изложены принципы управления и ИТ-аудита, основанные на лучших мировых практиках. В качестве критериев оценки методологий управления ИТ-рисками можно использовать инструкции COBIT по аудиту ИТ-процесса «Оценка рисков».
Используя COBIT для анализа методологий управления ИТ-рисками, следует учитывать, что существуют некоторые ограничения. Например, методология OCTAVE предусматривает адаптацию к конкретным условиям применения, а COBIT нет. При выборе методологии управления рисками не последнюю роль играют стоимость и время внедрения. Эти параметры не включены в оценку, так как они субьективны и могут сильно варьироваться в разных компаниях. Метод сравнительного анализа не учитывает объем, в котором компания планирует внедрение методологии, то есть, организация может поставить своей целью только выявление и оценку величины рисков без управления ими или без мониторинга. Согласно стандарту COBIT, концепция управления рисками подразумевает обход риска, его снижение или принятие. Такой способ управления рисками, как их перенос (т.е. страхование), не рассматривается. Перенос риска обычно используется в тех случаях, когда вероятность наступления нежелательного события мала, а потенциальный ущерб относительно высок.
Сравнение методолгий управления ИТ-рисками |
Примечание. + отвечает критерию; – не отвечает критерию; ? соответствие критерию зависит от других факторов.
Методологии оценивались (см. таблицу) согласно рекомендациям COBIT по аудиту ИТ-процесса «Оценка рисков».
Оценка CORAS
При оценке степени соответствия методологии CORAS выбранным критериям CobiT выяснилось [1, 4, 6], что она не предусматривает такой эффективной меры по управлению ИТ-рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить ИТ-риски, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки ИТ-рисков и обновление их величин, что свидетельствует о том, что методология пригодна для выполнения разовых оценок и не годится для регулярного использования.
Несмотря на то, что в CORAS заложена возможность разработки рекомендаций для выбора тех или иных мер по снижению рисков, она не позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, так же как не дает возможности найти правильный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов. Кроме того, в CORAS не предусмотрены механизмы оценки эффективности способов управления и отсутствует формализованная процедура принятия остаточных рисков.
Положительной стороной CORAS является то, что программный продукт, реализующий эту методологию, распространяется бесплатно и не требует значительных ресурсов для установки и применения.
Оценка OCTAVE
Мониторинг рисков не является сильной стороной OCTAVE [2, 3], несмотря на то что так же, как и две другие методологии, полностью отвечает критериям категории «Риски». OCTAVE предусматривает регулярное проведение оценки ИТ-рисков и обновление их величин как части процесса оценки рисков. В случае когда стратегия управления рисками определена, OCTAVE предполагает использование в качестве способов снижения рисков только его снижение и принятие. Такой способ управления рисками, как обход (исключение), не используется.
OCTAVE подразумевает адаптацию методологии к конкретным условиям применения, например к размеру компании, виду бизнеса, требованиям законодательства и тех или иных стандартов и пр.
OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.
Данная методология не дает четких инструкций по организации мониторинга состояния рисков, но подчеркивает важность его наличия. Методология полностью удовлетворяет требованиям по оценке эффективности мер по снижению рисков и структурированному подходу к управлению рисками.
Оценка CRAMM
Эта методология не учитывает, например, наличие или отсутствие «программ по повышению информированности сотрудников в области информационной безопасности», сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам ИТ-рисков [5]. В отношении стратегии работы с рисками CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как «обход» или «принятие», не рассматриваются.
Сильная сторона методологии — идентификация элементов риска: материальных и нематериальных активов и их ценности, угроз, мер безопасности, величины потенциального ущерба и вероятности реализации угрозы. Методология CRAMM использует количественные и качественные способы оценки ИТ-рисков, однако не определяет условий, при которых последние могут быть приняты компанией, и не включает в себя расчет возврата инвестиций на внедрение мер безопасности, несмотря на то, что принятие решения о применении той или иной меры должно базироваться не только на величине риска, но и на стоимости ее реализации и владения.
Методология CRAMM имеет существенные недостатки. В ней отсутствуют: процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.
Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков, который может потребовать многих месяцев непрерывной работы высококвалифицированных специалистов; необходимостью обработки вручную сотен страниц отчетной документации, генерируемых программным инструментарием CRAMM; проблемой русификации программного обеспечения и выходных форм. Кроме того, следует отметить высокую стоимость лицензии.
***
Рассмотренные методологии хорошо соответствуют требованиям групп «Риски» и «Менеджмент», но все они имеют недостатки в соответствии с разделами «Мониторинг» и «Управление». Все три метода не предполагают расчета оптимального баланса различных способов управления, не имеют средств интеграции способов управления и не дают механизмов управления рисками остаточного уровня. Так же во всех трех методологиях не производится оценка качества процесса реагирования на инциденты в области информационной безопасности.
Ни одна из методологий не дает подробных рекомендаций по поводу составления расписания проведения повторных оценок ИТ-рисков, и в двух методологиях совершенно упущено из виду обновление величин рисков.
В случае если требуется выполнить только разовую оценку уровня ИТ-рисков в компании любого размера, целесообразно применять методологию CORAS. Для управления ИТ-рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методология OCTAVE предпочтительна для использования в крупных компаниях, где предполагается внедрение управления ИТ-рисками на базе регулярных оценок на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.
Построение системы управления ИТ-рисками является более сложной задачей, нежели выбор методологии, и требует не только хороших теоретических знаний, но и практического опыта внедрения. Следует заранее предпринять действия, чтобы не допустить типичных ошибок, которые состоят в отсутствии доверия к полученным результатам оценки ИТ-рисков со стороны руководства, недостаточной обоснованности расходов на снижение ИТ-рисков, а также в сопротивлении внедрению мер снижения ИТ-рисков в бизнес-подразделениях и технических службах.
На практике заказчик всегда хочет получить не только результаты первоначальной оценки ИТ-рисков и рекомендации по их снижению, но и простой в использовании инструмент такой оценки. Большое внимание он уделяет ясности получаемых результатов оценки ИТ-рисков и их связи с рекомендуемыми действиями по снижению последних. Инструмент оценки ИТ-рисков должен позволять отследить связи между выявленными рисками и причинами, которые ведут к ним. По моему мнению, этим требованиям лучше всего отвечает OCTAVE.
Литература
- Bjorn, A.G. (January 2002). CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security (www.nr.no/coras)
- Alberts, C.J. & Dorofee, A.J. (June 2001). OCTAVE Method Implementation Guide Version 2.0. Carnegie Mellon University (www.cert.org/octave/omig.html)
- Alberts, C.J. & Dorofee, A.J. (June 2002). Managing Information Security Risks — The OCTAVE Approach. Pearson Education Ltd.
- Model Based Security Risk Analysis for Web Applications:The CORAS Approach. EuroWeb2002.
- Insight Consulting. (2003). CRAMM Expert Walkthrough and Overview — Flash Presentation.
- Программы CORAS Tool 2.0 (coras.sourceforge.net/downloads.html).
Алексей Пастоев (apastoev@kerberus.ru) — генеральный директор, компания «Керберус» (Москва).
Терминология COBIT
Риски
- Типы рисков — классификация рисков по источнику или их природе. Примером могут послужить риски, связанные с нарушением законодательных актов, использованием той или иной технологии, нарушением бизнес-процессов.
- Приемлемый уровень риска — его пороговое значение. Риски ниже приемлемого уровня или равные ему должны быть приняты руководством компании, а оставшиеся — минимизированы.
- Стандарт управления рисками — схема, позволяющая определить, каким образом компания производит снижение тех или иных рисков, какие механизмы при этом использует, в каких случаях и как происходит принятие рисков или их снижение.
- Матрица ИТ рисков — таблица, представляющая собой картину рисков, «снимок» величин ИТ-рисков на момент проведения оценки.
Руководство рисками
- Владелец процессов оценки рисков — ответственный за все процессы и мероприятия, из которых состоит управление рисками.
- План работ по снижению рисков — методология управления рисками, содержит правила разработки рекомендаций для снижения рисков, а план должен включать в себя задачи по улучшению процессов оценки рисков.
- Политики и процедуры — утвержденные корпоративные правила. Политики и процедуры определяют, каким образом должно осуществляться управление рисками на различных уровнях иерархии компании.
- Обновление величин рисков — механизм, позволяющий на регулярной основе проводить оценку рисков и отслеживать их динамику, поскольку величины рисков постоянно находятся в движении, что может обеспечивать появление новых рисков.
- Глобальный и системный уровни оценки ИT- рисков — уровни, на которые методология оценки ИТ-рисков должна разделять свои задачи. Системный уровень — это уровень оборудования и операционной системы, базы данных, приложения, в то время как глобальный — это уровень организации процессов.
- Резюме для руководителя — оповещение, которое должно быть включено в методологию управления ИТ-рисками и преследует цель донести до руководства своевременную и точную информацию для управления компанией..
- Стратегия управления ИТ-рисками — методология управления рисками, предусматривающая способы управления рисками, например исключение (обход), снижение, принятие и страхование.
Идентификация
- Определение компонентов риска — материальные и нематериальные активы, степень их защищенности, ценность, угрозы, потенциальный ущерб и вероятность реализации угроз.
- Области рисков — бизнес-риски, нарушение законодательства, коммерческие, технологические и та область рисков, которая связана с человеческим фактором.
- Обновление матрицы рисков — проведение компанией повторных оценок величин рисков на регулярной основе для принятия адекватных мер по управлению ИТ-рисками, поскольку последние обладают свойством меняться во времени по величине.
Меры оценки
- Количественная оценка –величины рисков, выражающиеся в цифрах, например, деньгах, времени простоя сервера, упущенной выгоде.
- Качественная оценка — величины рисков, характеризующиеся относительно, например «высокий», «средний», «низкий» риск.
Способы управления
- Независимое мнение — обращение компании к услугам третьих лиц для проверки эффективности некоторых процессов.
- Возврат инвестиций — процедура, используемая руководством компании для оценки эффективности инвестиций.
- Баланс способов управления — набор мер по снижению рисков, имеющий минимально возможную стоимость, которая достигается путем рационального сочетания предотвращающих, выявляющих, корректирующих и восстанавливающих способов управления.
- Управление конфликтами — процесс выявления и решения возникающих время от времени конфликтов (например, сетевой экран может блокировать трафик Internet-приложения).
Мониторинг
- Мониторинг используемых способов управления — наблюдение за примененным способом управления с целью достижения его эффективности.
- Процедура реагирования на инциденты — анализ происходящих событий и вынесение решений по этому поводу. Инциденты могут представлять собой негативные или позитивные события, например, действия хакера, обнаруженные одним из способов управления, могут дать столько же полезной информации для составления плана по минимизации рисков, сколько и успешное проникновение злоумышленника.
- Согласование плана работ по снижению рисков — своевременное устранение обнаруженных недостатков в плане работ по минимизации рисков. Согласование необходимо, чтобы достичь уверенности в том, что план включает только правильные мероприятия.