ИСА РАН предлагает методику управления рисками
Для информационной системы определение риска звучит примерно так: сумма по всем угрозам произведений вероятности события на потенциальный ущерб. Однако на практике редко удается точно определить как вероятность аварии или атаки, так и потенциальный ущерб от нее. При этом методологии, заложенные в стандартах управления информационными рисками, опираются на экспертную оценку обоих компонентов риска. Понятно, что в таком важном деле как оценка риска доверить все одному эксперту было бы опрометчиво, поэтому процедура выполняется несколькими специалистами.
Одну из методик оценки риска предлагает в своем продукте Институт системного анализа РАН, в котором разработана система «РискМенеджер». Эта система позволяет определять информационные риски, подбирать для них защитные механизмы, моделировать внедрение защиты, вырабатывать требования к корпоративной системе информационной безопасности, проводить опрос администраторов безопасности о внедренных на предприятии механизмах защиты и по его результатам вычислять остаточные риски. Собственно именно выделение в процедуре оценки риска нескольких этапов позволяет распределить его между экспертами и тем самым минимизировать ошибку. При этом один эксперт публикует свои выводы об угрозах и вариантах ее реализации, а все остальные корректируют его выводы в случае необходимости.
Прежде всего в «РискМенеджер» нужно ввести инфраструктуру компании с перечислением ресурсов, которые требуют защиты, и устройств, обеспечивающих их безопасность. По введенным данным строится комплексная модель угроз, которым может подвергнуться предприятие, и модель защиты. По этим двум моделям вычисляются варианты различных событий и определяются их так называемые «рискообразующие потенциалы». Анализ потенциалов позволяет выделить подсистемы, которые требуют максимального внимания со стороны сотрудников отдела информационной безопасности. Поддержание баланса между угрозами и защитными механизмами, минимизирующего рискообразующий потенциал системы, и является основной задачей управления информационными рисками.
С целью снижения рисков строятся модели мероприятий по защите корпоративной системы, для которых определяются потенциалы понижения риска. Мероприятия с самым высоким потенциалом реализуются максимально оперативно. Система также помогает строить оценку остаточного риска, который сохранится после проведения всех запланированных на предыдущем этапе мер. Также система позволяет оценить риск того, что подготовленные экспертами требования не будут приняты рядовыми сотрудниками предприятия. На этом этапе вырабатывается стратегия построения информационной защиты предприятия.
После проведения анализа всех возможных вариантов развития событий, вырабатываются требования к системе информационной безопасности или профили защиты. Их соблюдение должны обеспечить сотрудники компании — системные администраторы или работники отдела информационной безопасности. При этом для каждого средства защиты в «РискМенеджер» определяется степень его важности, которая позволяет устанавливать приоритеты при внедрении механизмов защиты. В результате сформулированные на этом этапе требования одновременно являются и планом внедрения средств обеспечения информационной безопасности в удаленных филиалах. Кроме того, по этим требованиям готовятся опросные листы, которые должны заполняться сотрудниками, отвечающими за внедрение механизмов информационной защиты на предприятии, что помогает представить реальную картину состояния средств защиты.
Немаловажным компонентом системы управления информационными рисками является мониторинг текущего положения дел на предприятии. Именно для этого и используются опросные листы, которые пока в «РискМенеджер» заполняются вручную. При этом процедура заполнения регулярно должна повторятся, чтобы контролировать все изменения, происходившие за отчетный период в корпоративной сети. В этих отчетах выделяются потенциально опасные ситуации, которые многократно увеличивают вероятность совершения нападения.