30 августа 2017

Просто и доступно об оценке рисков
информационной безопасности

Часто процесс оценки рисков представляется чем-то громоздким и сложным. На выходе получаются многостраничные документы, а для того, чтобы со всем этим работать, нужен большой департамент информационной безопасности. Кажется, все это стоит дорого и является прерогативой больших компаний. Однако это не всегда так. Все, как всегда, зависит от целей.

Оценкой рисков занимаются все без исключений

На самом деле оценкой рисков занимается каждый руководитель/владелец бизнеса. Как минимум в формате анализа «что, если»:
  • что, если изменится законодательство;
  • что, если произойдут серьезные изменения на нашем сегменте рынка;
  • что, если уволится ценный сотрудник;
  • что, если кто-то подаст жалобу и придет проверка;
  • что, если завтра по всей сети расползется вирус-шифровальщик;
  • что, если сайт, который является важной частью бизнеса, ляжет под DDoS-атакой;
  • что, если «троян» украдет деньги со счета.
Последние «что, если» с каждым годом становятся все актуальнее. Абсолютно нормальна ситуация, когда нематериальные активы составляют более половины стоимости компании. Даже если вы не интересуетесь исследованиями по кибербезопасности, то попробуйте вспомнить, как часто СМИ сообщали об инцидентах информационной безопасности десять лет назад, пять лет назад и последние год-два.
Специалисты по защите информации также не стоят на месте. Причем, не только в части разработки эффективных методов защиты, но и технологии организации работ. Производительность труда узкопрофильных организаций растет. В нашей практике нередки случаи, когда основную часть стоимости контракта составляет разработка необходимых форм представления результатов и выработка совместно с заказчиком планов действий. Процесс принятия решения о совершении действия порой сложнее самого действия.

Оценка рисков в помощь в принятии решений и реальной экономии

В информационной безопасности оценка рисков — это способ принятия решений. Рассмотрим самый распространенный кейс принятия решений — обоснование затрат на внедрение какого-нибудь продукта по защите информации.
Какова цель внедрения? Очевидно, защита внедряется, чтобы избежать ущерба ценным активам. Стремление к иным целям вроде соблюдения законодательства и иных compliance-целей в большинстве случаев также сводится к избеганию ущерба. Недопущение ущерба происходит путем нейтрализации рисков (за счет внедрения и управления мерами и средствами защиты). Таким образом, нужно потратить меньшее количество усилий и денег, чтобы не допустить потерю большего количества денег и нематериальных ценностей. Можно сказать, что есть две чаши весов: на одной затраты, на другой потери. Оценка рисков как раз и нужна, чтобы эти весы продемонстрировать. Для реализации этого механизма нужно:


  1. Понять, что ценно и насколько.
  2. Понять, как и какой может быть нанесен ущерб.
  3. Понять, как защититься и сколько это стоит.
  4. Принять решение о целесообразности защиты.
  5. В случае положительного решения внедрить систему защиты и управлять ею.
Оценка рисков дает необходимую информацию для принятия решений, возможность управлять. Она дает обоснованность и уверенность в том, что решение верное, вместо того, чтобы предпринимать спорные действия, когда вокруг сплошная неопределенность. Вопрос о том, с какой тщательностью и методичностью оценивать риски — тема отдельной статьи. Пока скажем, что если владелец актива легко может ответить на вопрос о нужности того или иного решения/меры/средства защиты, значит риски оценены на достаточном уровне. Если у вас не возникает вопросов о том, чтобы потратить некоторую сумму на защиту бухгалтерии, и Вы обоснованно уверены, что это снизит риск до приемлемого уровня, то, значит, основной результат оценки рисков у вас уже получен. И наоборот, если у вас есть сомнения, то правильно проведенная оценка рисков разрешит их.

Пара слов об организации оценки рисков

Оценка рисков стоит сил и денег, поэтому целесообразно ее делать итеративно. Причем первая итерация, как было указано, скорее всего, у вас уже пройдена или может быть пройдена за небольшое время. Она дает общую картину и понимание эффекта от снижения рисков. Это могут быть даже 2−3 страницы текста, которые определят дальнейшие шаги и окажут значительное влияние на все дальнейшие работы.
После такого экспресс-анализа исходя из контекста станет понятно, насколько глубокая проработка необходима в отношении отдельных активов/угроз/рисков. Например, нужна ли Вам модель угроз, анализ рисков верхнего уровня, глубокий количественный анализ, аудит или анализ защищенности и т. д. Может возникнуть, например, потребность количественно оценить риски для репутации компании или провести серию аудитов компаний-партнеров, которые интегрированы в бизнес-процессы вашей компании. В этих случаях существуют специализированные методики, которые могут адаптироваться под особенности конкретной организации.

Стоит ли привлекать стороннюю организацию? Во многих статьях вы можете прочитать что-то вроде «доверьтесь профессионалам, они лучше знают». Для оценки рисков необходимо очень хорошо понимать, как работает организация, ее бизнес-процессы, ее бизнес-модель. В данном случае есть нюанс — никто не знает компанию лучше ее сотрудников. Привлекать стороннюю организацию имеет смысл для следующего:

  1. Отдельные этапы, требующие специализированных знаний и технологий. Например, аудит или обследование, оценка уязвимостей, расчеты и пр.
  2. Анализ данных для принятия решений.
  3. Компании с хорошим уровнем компетенций могут помочь также с организацией работ и оптимизацией всего комплекса по оценке рисков.
Однако в любом случае цель должна состоять в том, чтобы сформировать целостную картину, чтобы легко можно было принять решение и быть уверенным в оптимальности этого решения.
Сергей Иванов,
Генеральный директор, Акрибия
Другие публикации по теме