Немецкое качество или как оценивать риски ИБ по BSI-Standard 200-3

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

• обнаружение и защита от атак на государственную ИТ-инфраструктуру;
• тестирование, сертификация и аккредитация ИТ-продуктов и услуг;
• информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);
• разработка единых и обязательных стандартов по ИБ;
• и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

Предварительные действия

Перед началом фактического анализа рисков ИБ по BSI 200-3 должна быть выполнена работа в соответствии с BSI-Stardard 200-2 IT-Grundschutz Methodology (BSI 200-2), включающая в себя:

• регламентацию и внедрение процесса обеспечения ИБ в организации, в том числе путем утверждения концепции безопасности;
• определение области применения концепции безопасности и формирование соответствующего перечня ценных информационных активов;
• определение и внедрение базовых и стандартных мер по обеспечению ИБ данных активов.

Результатом этой работы должен стать перечень информационных активов, в отношении которых необходимо выполнить анализ рисков. При этом с целью сохранения адекватности и разумности оценки информационные активы могут быть объединены в группы. В случае, если после объединения активов в группы их количество для оценки остается крупным, то следует расставить приоритеты такой оценки:

• cтандартная защита – приоритет отдается высокоуровневой оценке бизнес-процессов и всей ИТ-инфраструктуры. Такая оценка в дальнейшем служит ориентиром для оценки рисков в отношении активов более низких уровней;
• защита ядра – приоритет отдается оценке ключевых активов, которым должны быть предъявлены самые высокие требования к защите;
• базовая защита – сначала выполняются базовые требования из BSI 200-2, и только затем выполняются мероприятия по оценке рисков.

Анализ рисков

  Анализ рисков по BSI 200-3 предусматривает следующие этапы:

1. формирование обзора угроз
2. классификация рисков
3. обработка рисков
4. консолидация концепции безопасности.

Давайте рассмотрим их подробнее.

По факту этот этап является моделированием угроз, но не только с целью формирования самого реестра угроз, но и для определения конкретных объектов воздействия информационного актива, в отношении которых проводится анализ рисков и последующее формирование дополнительных мер обеспечения ИБ.

BSI 200-3 при определении угроз использует двухэтапный подход. Сначала идентифицируются элементарные угрозы и на их основе определяются дополнительные угрозы, выходящие за рамки элементарных. При этом перечень элементарных угроз (У) уже определен в IT-Grundschutz и включает в себя 47 позиций, которые оцениваются для каждого объекта или информации в составе информационного актива по уровню возможного воздействия:

• непосредственное – напрямую может повлиять на целевой объект;
• косвенное – может повлиять на целевой объект, но не выходит за рамки эффекта непосредственных угроз;
• не применимо – не может повлиять на целевой объект.

Далее осуществляется оценка применимости элементарных угроз к объектам воздействия, например:

Если в качестве объекта проверяется конкретная серверная операционная система, то элементарная угроза У 0.25 «Отказ устройств или систем (Failure of devices or systems)» будет применимой, и против этой угрозы должны быть приняты соответствующие меры безопасности. Однако угроза У 0.1 «Пожар (Fire)» не может нанести ущерб конкретной операционной системе, поэтому ее рассмотрение в отношении операционной системы будет лишним.

После того, как проанализировали все элементарные угрозы для каждого возможного объекта воздействия, организация переходит к идентификации и оценке дополнительных угроз (Уд). Эти угрозы не входят в перечень элементарных и существуют отдельно, при этом чаще всего возникают для конкретного объекта воздействия (например, операционной системы или приложения). Если в результате идентификации дополнительных угроз организация выявила совершенно новую угрозу, не описанную ни в одном буклете или рекомендации от BSI, то авторы методики просят сообщать о ней в агентство с целью информирования других организаций о новой возможной угрозе.

Приведем пример дополнительной угрозы:

Уд 1 «Манипуляции со стороны членов семьи или посетителей» - так как члены семьи или посетители имеют временный доступ в некоторые помещения компании, существует риск того, что они используют эту возможность для внесения несанкционированных изменений в аппаратное или программное обеспечение, или информацию.

При этом такая угроза определяет элементарные угрозы, которые организация могла не учесть на предыдущем этапе: У 0.21 «Манипулирование аппаратным или программным обеспечением» и У 0.22 «Манипулирование информацией».

Этап 2 – Классификация рисков

По завершению идентификации всех элементарных и дополнительных угроз переходим к непосредственной классификации рисков. Данный этап включает две задачи, которые необходимо выполнить: оценка рисков и составление матрицы и реестра рисков.

2.1 Оценка рисков

Оценка рисков по BSI 200-3 имеет качественный характер, т.е. необходимо оценить частоту возникновения риска и степень ущерба, а затем присвоить риску уровень. При этом частоту возникновения можно определить не только на основе собственного опыта, но также с помощью анализа статистической информации в области работы организации и опыта внешних экспертов или комьюнити. BSI 200-3 предлагает 4 категории частоты возникновения:

• редко – событие может происходить не чаще 1 раза в 5 лет
• средне – событие происходит 1 раз в 5 лет или 1 раз в год
• часто – событие происходит 1 раз в год или 1 раз в месяц
• очень часто – событие происходит несколько раз в месяц.

Степень ущерба же может быть в полной мере оценена только самой организацией, при этом к оценке должны быть привлечены профильные специалисты по промышленной, экологической безопасности, бизнес-подразделения и высшее руководство организации. BSI 200-3 предлагает 4 категории степени ущерба:

• незначительный – последствия ущерба невелики и ими можно пренебречь
• ограниченный – последствия ущерба ограничены и ими можно управлять
• значительный – последствия ущерба могут быть существенными
• угроза существованию организации – последствия ущерба могут достичь катастрофического уровня, который угрожает существованию организации.

Описание уровней рисков по BSI 200-3 выглядит следующим образом:

• низкий – реализованные меры безопасности обеспечивают адекватную защиту, при этом на практике обычно принято принимать низкие риски и продолжать их мониторинг
• средний – реализованные меры безопасности могут оказаться недостаточными
• высокий – реализованные меры безопасности не обеспечивают адекватной защиты
• очень высокий – реализованные меры безопасности не обеспечивают адекватной защиты (при этом очень высокие риски принимаются очень редко).

Приведем пример того, как BSI 200-3 предлагает фиксировать результаты оценки рисков в соответствующем реестре:

Объект оценки	Угроза	Частота возникновения	Степень ущерба	Уровень риска (без дополнительных мер ИБ)
База данных	У 0.28 «Уязвимости или ошибки программного обеспечения»	Часто	Значительный	Высокий

Используя вышеописанные сведения, организация в завершении этого этапа должна сформировать реестр рисков и перейти к следующим действиям.

По методике BSI 200-3 возможны различные варианты обработки рисков в зависимости от уровня риск-аппетита организации. На практике большинство рисков с низким уровнем принимаются. Для рисков с уровнем средний, высокий и очень высокий должны быть оценены способы их обработки: избегание, уменьшение, передача, принятие. При этом такую оценку предполагает выполнить для каждой угроз, вызывающей риск, путем ответов на вопросы:

• избегание – имеет ли смысл избегать риска путем реструктуризации бизнес-процесса или информационной системы?
• снижение – имеет ли это смысл и возможно ли снизить риск путем внедрения дополнительных мер безопасности?
• передача – имеет ли смысл передавать риск другой организации, например, с помощью страхования риска или аутсорсинга?
• принятие – можно ли принять риск на основе понятных и однозначно трактуемых фактов?

Также в BSI 200-3 даны комментарии, раскрывающие данные вопросы, в том числе причины действия по выбранному сценарию, например, для принятия это:

«Причины принятия рисков могут включать:

• соответствующая угроза приводит к ущербу только в очень особых обстоятельствах
• в настоящее время неизвестны эффективные контрмеры для соответствующей угрозы
• усилия и затраты на эффективные контрмеры превышают стоимость защищаемого актива.»

Приведем пример из реестра рисков с дополнительными столбцами, описывающими варианты его обработки:

Объект оценки	Угроза	Частота возникновения	Степень ущерба	Уровень риска (без дополнительных мер ИБ)	Обработка риска	Уровень риска (с внедренными мерами ИБ)
База данных (БД)	У 0.32 «Неправомерное использование разрешений»	Средне	Значительный	Средний	Снижение: Внедрение системы управления БД для предотвращения административного доступа к критическим данным БД, а также регистрация и оповещение о действиях администраторов	Низкий

BSI 200-3, как и многие другие методики, говорит о том, что по завершению анализа часть рисков и приводящие к ним угрозы принимаются, т.к. на текущий момент они не несут существенной опасности для организации. Однако эти угрозы и риски могут возрасти в будущем. Это означает, что в отношении этих рисков и угроз необходимо производить мониторинг. При этом особенностью BSI 200-3 является то, что организация должна заранее определить и задокументировать меры безопасности, которые могут быть введены в действие, как только принятые риски станут неприемлемыми.

В целом же мониторинг рисков должен проводиться для всех рисков, находящихся в соответствующем реестре, с установленной периодичностью. Организация самостоятельно устанавливает периодичность данного мониторинга:

• по времени (раз в месяц/три/полгода/год)
• по степени обновления информационной инфраструктуры (обновление программного обеспечения на информационных ресурсах; добавление нового информационного ресурса и т.д.).

На этом основные базовые этапы оценки рисков по BSI 200-3 завершены. Но данная методика предлагает еще несколько действий, рассмотрим и их.

Консолидация концепции безопасности и связь с процессом обеспечения ИБ

Напомним, что в рамках подготовительного этапа, перед проведением оценки рисков, в организации должна быть разработана концепция безопасности в соответствии с BSI 200-2. По завершению оценки рисков по BSI 200-3 разработанную концепцию требуется доработать, т.е. оценить текущие меры безопасности и при необходимости дополнить их новыми.

При анализе существующей концепции безопасности BSI 200-3 рекомендует оценить следующие критерии (параметры):

• пригодность мер безопасности для противодействия угрозам
• взаимодействие мер безопасности друг с другом
• удобство применения (использования) мер и средств безопасности
• соответствие/гарантия качества мер безопасности
• интеграция содержания (обеспечение согласованности содержания концепции безопасности и методологии IT-Grundschutz).

После консолидации концепции безопасности в соответствии с BSI 200-2 процесс безопасности может быть возобновлен, т.е. обновленная концепция станет основной для выполнения следующих работ:

• аудит по IT-Grundschutz (эти работы выполняются в рамках предварительных действий, а после оценки рисков могут быть завершены)
• внедрение концепции безопасности (должен быть запущен процесс выполнения требований безопасности, указанных в концепции)
• анализ процесса ИТ-безопасности на всех уровнях (процесс ИТ-безопасности должен быть внедрен и регламентирован на всех уровнях)
• управление потоком информации в процессе ИБ (должны быть сформированы и внедрены четкие правила управления информационными потоками и каналами информации)
• сертификация по ISO 27001 на основе IT-Grundschutz (для независимого подтверждения внедрения IT-Grundschutz может быть пройдена сертификация по ISO 27001).

Риск-аппетит

BSI 200-3 первая из методик в рамках нашего цикла, которая вводит понятие риск-аппетит – это склонность или готовность организации идти на риск. При этом на риск-аппетит влияют различные условия, такие как:

• культурные (в зависимости от страны и менталитета склонность к риску различается)
• внутренние факторы (организационная культура, отношение руководства и т.д.)
• рыночная среда (например, консервативная или инновационная)
• способность нести риски (финансирование организации, ответственность, покрытие капитала и т.д.).

Методика также явно проговаривает, что количественно риск-аппетит сложно оценить, и чаще всего на практике его оценивают качественно. Такая оценка выполняется высшим руководством на основе матрицы, о которой рассказали ранее. Выглядит она следующим образом:

Как мы видим, на данном варианте матрицы, появились линии с низким и высоким риск-аппетитом, а также цифровые обозначения. Что же они означают:

• организация с высоким риск-аппетитом (верхняя линия) будет нести риски № 1 и 3
• организация с низким риск-аппетитом (нижняя линия) будет нести риски № 4, 5, 6
• ни одна из организация не пойдет на риск № 2.

Однако разные организации могут иметь разную склонность к разным типам рискам, например, организация может иметь низкий риск-аппетит к рискам нанесения ущерба репутации, но быть готовой к высоким финансовым рискам. В принципе, это не меняет процедуру как таковую, но различные категории (репутация, финансы и т.д.) в таком случае должны рассматриваться отдельно.

В заключительной части BSI 200-3 вводит типы организаций по отношению к тому, как они справляются с рисками. Подобное видим впервые в рамках нашего цикла. И так, давайте посмотрим на них:

• «Ковбой» - легко берет на себя риски
• «Пожиратель рисков» - берет на себя высокие риски при условии, если они компенсируются высокими возможностями
• «Консервативный» - пытается минимизировать все риски, насколько это возможно.

На этом мы закончим наш обзор BSI 200-3 и перейдем к выводам.

Выводы

Можно заметить, что методика BSI 200-3 одновременно похожа на популярные методики и, с другой стороны, совсем не похожа на них. Есть типовые сущности «частота возникновения», «степень ущерба», «реестр рисков», а есть новые – «элементарные угрозы», «риск-аппетит» и «типы организаций (ковбой и т.д.)». Потратив немало времени на анализ BSI 200-3, давайте выделим итоги.

Плюсы:

• Глубина. Весь процесс оценки рисков по BSI 200-3 проходит в отношении конкретных информационных активов (аппаратная серверная платформа, операционная система, программное обеспечение и т.д.), чтобы упустить что-то из виду.
• ИТ-риски. BSI 200-3 является одной из немногих методик, которые в том числе ориентированы на оценку ИТ-рисков, дополнительно приводя примеры ИТ-рисков в тексте.
• ISO. Как уже было сказано ранее внедрение в организации IT-Grundschutz готовит организацию к успешной сертификации по ISO 27001. Помимо этого, в качестве подтверждения в BSI 200-3 есть отдельное приложение по ее соотношению с ISO/IEC 31000.
• Каталог угроз. BSI 200-3 уже содержит полный каталог элементарных угроз, а также приводит примеры дополнительных угроз, что существенно сокращает время пользователю методики.

Минусы:

• Сложность. Оценка рисков по BSI 200-3 требует высокого уровня зрелости организации и специалистов всех направлений, участвующих в процессе. При этом перед началом работы по BSI 200-3 необходимо выполнить достаточное количество сложных и масштабных подготовительных действий, а также дополнительно учитывать при оценке рисков другие стандарты BSI, такие как BSI 200-2. Все это занимает много времени, для сокращения времени желательно использовать средства автоматизации.

• ИТ-риски. Да, эта особенность одновременно является и недостатком методики. Склонность BSI 200-3 к оценке ИТ-рисков снижает релевантность ее применения при оценке рисков по процессной части, не связанной с ИТ.