Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process

Мы продолжаем серию обзоров методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

• Существенное сокращение времени и усилий на проведение оценки.
• Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.
• Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.
• Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Анализ рисков

Анализ и оценка рисков ИБ по FRAP состоит из нескольких этапов. Давайте рассмотрим их.

Этап 1 – группа FRAP

Длительность: 1 день.

Начинается все с определения группы FRAP, в которую входят бизнес-менеджеры, руководитель проекта (далее – РП) и фасилитатор (ответственный за коммуникацию).

Группа FRAP осуществляет постановку цели проекта и определяет всех участников оценки рисков ИБ для проведения соответствующей сессии, среди которых могут быть:

• владельцы бизнес-процессов;
• пользователи информационных (автоматизированных) систем;
• системный и сетевой администраторы;
• разработчики программного обеспечения;
• представители отдела ИБ и службы безопасности;
• внешние аудиторы;
• юристы;
• и другие.

Конечный состав может быть определен в первой части сессии. Главное – привлечь всех заинтересованных лиц и рассмотреть все возможные сценарии, способные нарушить бизнес-процессы (цели) организации.

Этап 2 – сессия FRAP

Длительность – 1 день.

Первым делом группа FRAP представляется всем участниками сессии, а также оглашает имена, должности и роли всех присутствующих (владелец процесса, руководитель проекта, секретарь, члены сессии и другие).

Вторым важным моментом в начале сессии является оглашение повестки и утверждение базовых определений, таких как:

• риск – потенциальное событие, которое оказывает или может оказать негативное влияние на бизнес-цели;
  
  ВАЖНО! С точки зрения FRAP риски ИБ рассматриваются в разрезе и процессов управления ИБ, и систем, автоматизирующих основные бизнес-процессы организации
• меры и средства контроля и управления – меры и средства, предпринимаемые и используемые для предотвращения, обнаружения, уменьшения (снижения) или принятия риска в рамках обеспечения защиты бизнес-процессов;
• целостность – информация соответствует назначению, без несанкционированных или нежелательных изменений или искажений;
• конфиденциальность – информация не подвергалась несанкционированному или нежелательному разглашению;
• доступность – приложения, системы или информационные ресурсы должны быть доступны при их необходимости.

Затем РП инициирует мозговой штурм, приводя некоторые примеры рисков ИБ:

• Третьи лица получают доступ к конфиденциальной информации.
• Данные могут быть повреждены незавершенной транзакцией.
• Отсутствуют процессы контроля обеспечения ИБ.

Начинается МОЗГОВОЙ ШТУРМ!

ВАЖНО! Члены команды должны использовать в обсуждении не только hardskills, но и softskills, т.е. быть заинтересованными в процессе, слышать и доверять друг другу, включаться в процесс и задействовать воображение.

 В течение 3-5 минут члены группы на стикерах или на листках бумаги записывают риски, основываясь на том, что их беспокоит и что они считают важным. Далее процесс идет по следующему алгоритму:

1. Фасилитатор осуществляет сбор всех стикеров и объявляет небольшой кофе-брейк.
2. Далее из общей массы убираются повторяющиеся риски, а также дополняются новые, если за чашечкой кофе у кого-то появились еще идеи.
3. Затем следует приоритизация рисков. Это делается путем определения возможных уязвимостей, которые являются причинами возникновения рисков, а также возможного воздействия рисков на бизнес-цели организации. Обычно при этом выделяется 3 уровня уязвимостей:

• Высокий: в системе или повседневной работе существует серьезная слабость, потенциал воздействия которой на бизнес является серьезным или значительным, и меры и средства контроля и управления должны быть явно улучшены.
• Средний: существует некоторая слабость, где потенциал воздействия на бизнес является серьезным, при этом меры и средства уже частично приняты, но должны быть улучшены.
• Низкий: система работает корректно и не требует дополнительных мер и средств контроля и управления.

Далее определяется степень воздействия на бизнес-цели организации:

• Высокая: может привести к банкротству или серьезно повредить перспективам развития организации.
• Средняя: нанесет значительный ущерб, влекущий за собой серьезные траты, но в конце концов организация, скорее всего, выживет…
• Низкая: спокойно поддается управлению в обычной деятельности организации.

Затем РП все сводит в общую таблицу определения приоритета риска. Пример такой таблицы приведен ниже:

		Степень воздействий на бизнес
		Высокая	Средняя	Низкая
Уровень уязвимости	Высокий	А	В	С
	Средний	В	В	С
	Низкий	С	С	D

В этот момент члены команды выставляют приоритеты рискам, присваивая каждому из выявленных рисков соответствующие буквенные значения:

А – необходимо выполнить корректирующее действие и внедрить меры и средства контроля и управления.
В – необходимо выполнить корректирующее действие, а также рекомендуется внедрить меры и средства контроля и управления.
С – требуется периодический мониторинг.
D – никаких действий не требуется.

При этом возможно несколько вариантов выставления приоритетов рискам:

• Фасилитатор поочередно поднимает обсуждение каждого выявленного риска, в конце которого команда достигает консенсуса и фиксирует его приоритет.
• Фасилитатор обсуждает с командой 2-3 риска, чтобы убедиться, что команда имеет правильное представление о процессе присвоения приоритета. После чего каждый член команды самостоятельно расставляет приоритеты рискам. В конце принимается усредненный приоритет.
• Членам команды раздаются небольшие цветные стикеры, которые они размещают на тех рисках, которые, по их мнению, требуют внедрения мер и средств контроля и управления. Чем больше стикеров, тем выше приоритет риска.

 На этом мозговой штурм закончен. Пойдемте пить кофе!

Этап 3 – меры и средства контроля и управления

Длительность – 3-5 дней.

Группа FRAP анализирует результаты сессии и формирует перечень мер и средств контроля и управления для выявленных рисков. После чего фасилитатор повторно собирает участников сессии, чтобы обсудить обработку рисков с помощью мер и средств контроля и управления. Под руководством РП фасилитатор просит членов сессии определить, какие меры и средства контроля и управления из перечня помогут снизить риск. При этом обсуждение движется от А-рисков до D.
Важно! Не забываем про бизнес цели, иногда будет выгоднее принять риск, чем понижать его путем внедрения мер и средств контроля и управления.

В завершении определения мер и средств контроля и управления, а также опроса членов сессии, группа FRAP формирует лист перекрестных ссылок, тем самым определяя, какие же меры и средства контроля и управления помогут в минимизации наибольшего количества рисков с высоким (А) приоритетом.

Далее не будет лишним повторно проконсультироваться с собственниками идентифицированных рисков. Увидев стоимость внедрения мер и средств контроля и управления, они все еще считают их необходимыми, или риск можно принять?

И вот финал! Группа FRAP формирует заключительный отчет, в котором определены риски и их приоритеты, меры и средства контроля и управления и их рентабельность, а также кто будет нести ответственность за их внедрение данных мер и средств.

Вывод

Рассмотрев методику FRAP, ее подходы к анализу рисков ИБ и результаты, давайте выделим итоги.

Плюсы:

• Бизнес-ориентированность. На протяжении всего процесса выявление и оценка рисков проходит с точки зрения их влияния на достижение бизнес-целей организации.
• Скорость. Примерно за неделю активной работы мы получаем применимый практически результаты и отчетный документ, на которые не тратим несколько месяцев в году.
• Вовлеченность. К сессии подключается максимальное количество сотрудников, чья деятельность и бизнес-цели непосредственно зависят от процесса оценки рисков.

Минусы:

• Фасилитатор. При любой методике процесс оценки риски является непростым, в FRAP же явно необходимо наличие сильного фасилитатора, который будет способен координировать работу большой команды и который сможет корректно донести ее членам все ключевые детали.
• Число членов группы. Нередко выходит так, что владелец бизнес-процесса не знает всех его тонкостей и включенных подпроцессов, и поэтому может быть не осведомлен о некоторых (неочевидных) рисках. Поэтому потребуется привлечение дополнительных членов в группу. Представьте, если такая ситуация будет неоднократной – заявленные плюсы методики начнут сходить на нет.