Методы управления рисками ИБ: чем отличаются, какие устарели и что используют в России

Оценка уязвимостей – лишь первый шаг к грамотно выстроенной информационной безопасности в компании. Второй и не менее важный – выбор стратегии управления рисками.

Зачастую этот этап вызывает множество споров в ИБ-сообществе. Кто-то утверждает, что при выборе методики нужно учитывать только приоритетные риски. Другие считают главным фактором деньги, которые руководство готово выделить на защиту бизнеса. Третьи и вовсе игнорируют все традиционные методы управления рисками.

Почему у российских ИБ-специалистов нет единого мнения? Какие методы управления рисками они считают актуальными? И чем руководствуются на практике? Подробности – в этой статье.

Управление рисками – это процесс

Причем непрерывный. Основная задача управления рисками ИБ – своевременно выявлять риски, оценивать критичность и снижать возможную угрозу их возникновения. В классическом определении речь идет об уязвимостях, которые могут привести к разглашению конфиденциальной информации и коммерческой тайны.

Если стратегию управления рисками в компании определяют верно, то чувствительные данные не появляются в сети и не попадают в руки вымогателей. Кроме того, качественный подход к делу влияет на целесообразность инвестиций в ИБ. Чем корректнее стратегия, тем меньше средств тратится впустую.

В любом случае, управление рисками – это задачи, с которыми ИБ-подразделение компании сталкивается постоянно. В их числе:

• оценка рисков, которые могут сказаться на бизнес-процессах и ИТ-инфраструктуре организации,
• определение связанных с ними нарушений и угроз,
• подготовка плана действий, которые позволят снизить вероятность наступления рисков,
• аудит уязвимостей, которые остались после принятых мер.

Каждая компания выстраивает стратегию управления рисками ИБ по-своему. Именно поэтому список задач не может быть единым для всех. Особенно много отличий бывает, когда компании используют разные методы управления рисками.

Методы актуальные и не очень

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

Опираясь на наш практический опыт, можно сделать вывод о том, что наиболее распространенными являются качественные и смешанные методики (OCTAVE, FRAP, CRAMM, Microsoft). В отличие от количественных подходов, в основе которых лежит математический расчет уровня риска, качественные предполагают оценку параметров по вербальной шкале (например: «высокий», «средний», «низкий»). Смешанные методики соединяют в себе принципы количественного и качественного подходов, — например, параметрам риска могут присваиваться численные значения, преобразуемые в качественные, и наоборот.

Многие эксперты начинают перечислять методы управления рисками с CRAMM – CCTA Risk Analysis and Management Method. Технологию разработало британское Центральное агентство связи и телекоммуникаций в 1985 году. Сегодня ей пользуются правительственные учреждения Великобритании и крупные международные компании. Несмотря на это, CRAMM часто называют устаревшим методом.

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

В CRAMM управление рисками делится на три этапа. На каждом из них работает группа экспертов. На последнем этапе формируются рекомендации, в изначальном проекте – на бумаге.

В какой-то момент метод перестал повсеместно использоваться. Например, CRAMM не применим к облачным инфраструктурам, к сервисам. Плюс этот метод не учитывает бизнес-функции, в отличие от FRAP, например. Но и FRAP – это также скорее регламент, а не метод.

FRAP – Facilitated Risk Analysis Process – в 2000 году разработали в компании Peltier and Associates. Обычно он используется для оценки и управления рисками в четко ограниченном секторе ИТ-инфраструктуры компании. Это может быть веб-приложение или бизнес-процесс, который требует повышенного внимания.

Как и в случае с CRAMM, метод часто критикуют в экспертном сообществе. Зачастую это происходит из-за того, что он не включает весь спектр задач по защите компании. 

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

Основная цель FRAP – разработка эффективного и упорядоченного процесса, обеспечивающего учет и документирование бизнес-операций, в которых используются данные (информация в целом).

С одной стороны, реализация такого метода требует большого вовлечения внутреннего персонала. С другой – нет никакой связи с уязвимостями, атаками, системами защиты.

Еще один метод управления рисками информационной безопасности принадлежит Microsoft. Его основы компания изложила в 2006 году. Согласно Руководству, в котором поясняется суть метода, здесь используются количественный и качественный подходы анализа рисков. Один помогает быстро классифицировать риски, а второй – тщательнее проработать наиболее важные из них.

Как поясняют эксперты, метод Microsoft нельзя на 100% рассматривать в рамках управления рисками ИБ в компании. Главная причина – он больше относится к разработке ПО и истории про безопасный код. Именно поэтому метод актуален только на момент создания объекта ИТ-инфраструктуры, но не после – когда он уже используется или выводится из эксплуатации.

Другое дело – COBIT for Risk, который разработали в ассоциации ISACA (Information Systems Audit and Control Association) в 2013 году. Метод основывается на COSO ERM, ISO 31000, ISO\IEC 27 и других международных практиках. Риски ИБ здесь рассматриваются совместно с основной деятельностью компании, ее процессами и особенностями управления ими. 

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

COBIT помогает в управлении рисками и оценке рисков для информационных активов организации, в том числе размещенных в облаке. Плюс в концепцию входит понятие разделение ответственности за контроль. Это больше подходит современным компаниям. COBIT – хорошая методика, уже продуманная и взвешенная, но пока чаще используется другая – OCTAVE.

По словам эксперта, необходимо различать два варианта – OCTAVE S (имеет меньше процессов, больше применим для малого бизнеса) и OCTAVE Allegro. Метод управления рисками создали в 2007 году в США по заказу Минобороны для защиты критической инфраструктуры. Однако из-за высокой детализации и сложности подхода к оценке его долго обходили стороной.  И только спустя несколько лет компании осознали, что у метода много плюсов.

Суть OCTAVE Allegro в том, что здесь все факторы рассматриваются в совокупности. Сотрудники, технологии, ПО и другие объекты – все это имеет отношение к данным и бизнес-процессам, в которых они участвуют.

Как правило, компании-приверженцы OCTAVE Allegro в управлении рисками проходят четыре этапа:

1. Определяют критерии для оценки рисков.
2. На их основе описывают профили ИТ-активов и идентифицируют их окружение (люди, процессы и т.д.).
3. Выявляют секторы и сценарии возникновения угроз, которые возникают в каждом случае.
4. Используя данные выше, приоритизируют риски и определяют подходы к их обработке.

Эксперты уточняют: метод больше подходит компаниям, которые только начинают выстраивать внутренние процессы управления рисками. Особенно если этим занимается не подрядчик, а ИБ-специалисты организации.

Как определиться с выбором

Решить, какой именно вариант подходит компании, бывает непросто. Выбор метода управления рисками зависит от многих факторов: сферы деятельности организации, уровня зрелости процессов информационной безопасности, требований нормативных документов и т.д. 

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

В развивающихся организациях, в которых отсутствуют отлаженные процессы менеджмента ИБ, популярны матричные модели оценки рисков, позволяющие эксперту определить значение риска «по таблице». По мере роста уровня зрелости осуществляется переход от качественных методик к количественным, появляется стремление кастомизации типовых методик под потребности организации.

В любом случае, по словам эксперта, выбор подхода к управлению рисками должен основываться на возможностях организации, ее потребностях и требованиях законодательства. Последний фактор часто оказывается решающим.

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

В российском сегменте основным драйвером развития риск-ориентированного подхода являются регуляторы – ФСТЭК, Банк России. Их документы зачастую задают общие принципы оценки, оставляя свободу для формирования собственных методик.

Скорее всего, эта тенденция сохранится и в будущем – по мере накопления опыта, организации будут самостоятельно разрабатывать подходы к оценке, опираясь на официальные методики и беря лучшие практики лишь за основу.

Ксения Коляда добавляет: организации без большого опыта предпочитают оперировать термином «моделирование угроз». По сути, это синоним качественной оценки рисков, в которой ценность актива – классически один из наиболее сложных аспектов для оценки – зачастую опускается. Именно поэтому организации чаще нуждаются не столько в нужной методике, сколько в каталогах угроз.

Сейчас наиболее популярным каталогом является БДУ ФСТЭК. Но эксперты не исключают, что в будущем появятся другие. В том числе на фоне растущей популярности сценарного подхода.

А что дальше

Мировой тренд в управлении рисками ИБ – учитывать максимум данных, которые влияют на вероятность инцидентов в компании. Во всяком случае, он четко прослеживается на протяжении последних десяти лет. Популярность OCTAVE в мире – тому подтверждение.

Однако, по мнению экспертов, все перечисленные методы пока имеют мало общего с российскими реалиями. Управление рисками ИБ в компаниях зачастую строится на отечественных идеях, средствах оценки и защищенности.

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

Все это нужно адаптировать. И, на самом деле, очень хорошие идеи есть в странах Азии. Они менее демократичные – нигде не звучит словосочетание «мозговой штурм» и группа экспертов несет полную ответственность за свои оценки.

Азиатские идеи все чаще рассматривают в российских компаниях, где сегодня проводят оценку рисков на объектах критической инфраструктуры. Закончится ли это исследование созданием какого-то гибридного метода – вопрос пока открытый. 

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

С учетом стремительности изменений в области ИБ, прогнозировать тренды на ближайшие десять лет довольно сложно. Однако в целом можно сказать, что на текущий момент наиболее остро звучат запросы от организаций, либо почти не имеющих опыта в области оценки рисков, либо наоборот, желающих перейти на следующий уровень зрелости. Первые нуждаются в стартовых материалах и базовых принципах, вторые смотрят в сторону автоматизации и уже давно работают со своими утвержденными методиками.

Скорее всего, по словам эксперта, компании сосредоточат усилия в этих направлениях, а не в разработке новых методических документов. А классические подходы по-прежнему будут лишь браться за основу при разработке стратегии управления рисками.