Здравствуйте! Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.
Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).
При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.
Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:
- Установление контекста: определение области оценки рисков ИБ, установление внешних и внутренних факторов.
- Оценка рисков ИБ, включающая в себя:
- идентификацию риска ИБ;
- анализ риска ИБ;
- сравнительную оценку риска ИБ;
- оценку остаточного риска (при необходимости).
- Обработка рисков ИБ (снижение, перенос, уклонение, принятие).
- Мониторинг и пересмотр рисков ИБ.
- Документирование и отчетность.
Для наглядного понимания процесса управления рисками приведем упрощенный жизненный пример, не связанный с ИБ.
Представим ситуацию. Январь 2022-го года, вы живете в Сочи, работаете в ИТ-компании и каждый будний день ходите в офис – установили контекст. Допустим, у вас низкий иммунитет (ваша уязвимость) и для вас самый актуальный риск – заболеть. Идентификация риска – done. Одна из угроз, из-за которой вы можете заболеть, – это промокнуть под дождем. Вы отправились утром на работу, надев обычную одежду, не имеющую водонепроницаемых свойств. Одежда по сути является вашей защитой мерой, но недостаточной для защиты от дождя. Пройдя 5 минут, вас озарило: «Это же Сочи! Дождь пойдет в любой момент!». Так вы оценили, что вероятность возникновения угрозы, которая приведет к риску заболеть, – высокая. И следующая мысль: «Если я заболею, то не выполню проект вовремя и меня уволят». Так риск обретает ущерб и его анализ выполнен полностью. И вот вы остановились, чтобы определиться: идти дальше или вернуться домой за зонтиком. Это уже сравнительная оценка риска, вы принимаете решение – ничего не предпринимать (принять риск) или рассмотреть иные варианты обработки риска.
Но процесс еще не завершен. Скажем, что вы приняли решение вернуться за зонтиком. С риском заболеть вы справились, но появился остаточный риск – опоздать на работу. В нашем случае, как во многих современных ИТ-компаниях, никто даже и не заметит вашего опоздания (гибкий график hello!), поэтому смело принимаете остаточный риск.
Мы осуществили оценку и обработку риска, а также принятие остаточного риска. Не будем забывать о мониторинге и пересмотре рисков. Завтра Вас отправят в командировку в Екатеринбург, и риск заболеть будет зависеть уже совершенно от других факторов.
Для чего же оценивать риски ИБ? Эта оценка послужит обоснованием руководству организации при определении мероприятий по обработке рисков ИБ, которые являются составляющей обеспечения ИБ, и затрат на них. Понятно, что оценка рисков ИБ не столь очевидна, как понимание того, нужно взять с собой зонтик или нет. Как же быть? На сегодняшний день существует достаточное количество методик оценки рисков ИБ. Давайте выберем некоторые из них и проведем сравнение:
| Критерий сравнения | ISO 27005 | FRAP | СТО БР ИББС + 716-П | OCTAVE | FAIR |
| Область деятельности организации (сфера применения) | Стандарт применим к организациям любых масштабов и областей деятельности | Стандарт применим к организациям любых масштабов и областей деятельности | Стандарт применим к организациям финансового сектора | Стандарт применим к организациям любых масштабов и областей деятельности | Стандарт применим для крупных организаций |
| Сложность применения | Требует больших затрат и высокой квалификации персонала | Не требует больших затрат, но требует высокой квалификации сотрудников отдела ИБ | Требует больших затрат и высокой квалификации персонала | Не требует больших затрат, но требует высокой квалификации персонала, поскольку оценка рисков осуществляется силами организации без привлечения сторонних лиц | Требует больших затрат и высокой квалификации персонала |
| Наличие шкал для оценки рисков ИБ | Присутствуют примеры | Присутствуют примеры | Стандарт содержит примеры | Присутствуют примеры | Присутствуют примеры |
| Наличие методик обработки рисков ИБ | Присутствует пример методики | Отсутствуют методики обработки риски | Стандарт содержит примеры | Отсутствуют методики обработки риски | Присутствует пример методики |
| Согласованность с НПА РФ | Требует адаптации для применения в рамках исполнения НПА. Российский ГОСТ не обновлялся с 2010 года, требует актуализации | Требует сильной адаптации с целью исполнения НПА | СТО БР ИББС входит в перечень стандартов РФ (добровольных). 716-П является обязательным положением для кредитных организаций и банковской группы | Требует сильной адаптации с целью исполнения НПА | Требует сильной адаптации с целью исполнения НПА |
| Связанность со смежными методологиям (IT, общие риски, экономические риски и др.) | Входит в серию стандартов ISO по управлению рисками | Не имеет прямой связи со смежными методологиями, требуется адаптация | Входит в серию не поддерживаемых стандартов СТО БР. 716-П предъявляет требования к системе управления операционными рисками, в том числе рисками ИБ | В контуре методологий OCTAVE существует несколько методик оценки рисков, которые применяются в зависимости от масштаба организации и целей оценки рисков | Не имеет прямой связи со смежными методологиями, требуется адаптация |
| Возможность использования методики для коммерческих целей | Возможно использование для проведения внутренней оценки рисков после приобретения эталонного экземпляра | Возможно использование для проведения внутренней оценки рисков | Возможно использование для проведения внутренней оценки рисков, в том числе при реализации требований 716-П | Методика общедоступна, но ее коммерческое использование ограничено | Методика общедоступна, но ее коммерческое использование ограничено |
Чтобы вы смогли принять решение, какую из приведенных методик оценки рисков ИБ использовать в вашей организации, мы подготовили серию обзоров. Ознакомиться с ними вы сможете в ближайшее время.
Если у вас останутся вопросы, вы можете проконсультироваться с нашими экспертами. Если вы поймете, что ни одна из этих методик не подходит для вашей организации или у вас просто нет ресурсов, чтобы самостоятельно провести оценку рисков ИБ, вы можете воспользоваться нашими услугами.
Обращаем внимание, что в нашей таблице фигурируют методики ограниченного коммерческого использования (OCTAVE и FAIR). Обзоры этих методик будут опубликованы в случае получения согласия на их публикацию от авторов методик. Если ответ авторов будет отрицательный, то мы готовы рассмотреть другие методики взамен OCTAVE и FAIR. Присылайте ваши пожелания по подготовке обзоров методик оценки рисков ИБ в комментарии или на почту compliance@ussc.ru.