Как оценивать риски информационной безопасности

Управление рисками – это масштабная тема и многогранный процесс, который подразумевает реализацию следующих этапов: установление границ оценки, проведение анализа, оценку рисков, непрерывное наблюдение и контроль, а также плановое улучшение процесса.

В данном материале мы сфокусируемся на критическом этапе – оценке рисков. Именно в ходе этого процесса организация определяет вероятность возникновения инцидентов и масштаб их последствий. Результаты оценки позволяют ИБ-специалистам грамотно расставить приоритеты и сфокусировать ресурсы на самых опасных участках. Мы расскажем, на какие этапы делится процесс оценки рисков, а также выделим преимущества его регулярного проведения.

Что подразумевает оценка рисков безопасности?

Оценка рисков безопасности – это процедура обнаружения уязвимых мест в ИТ-инфраструктура и расчет уровня финансовых угроз, которую они несут для бизнеса: от простоев и сопутствующих потерь дохода до штрафных санкций за несоблюдение требований регуляторов и даже потери бизнеса. Глубокая и детальная оценка поможет вам верно выстроить приоритеты по защите ресурсов в рамках всей структуры.

Данный процесс является неотъемлемой частью управления общими ИТ-рисками, где учитываются не только кибератаки, но и любые сбои в работе систем, способные привести к убыткам.

Примерами киберрисков выступают:

• утечка конфиденциальных или важных данных

• компрометация учетных данных

• фишинговые атаки

• DDoS-атаки

• сбои в работе оборудования

• человеческие ошибки

Действия и преимущества, представленные ниже, актуальны как для анализа ИТ-рисков, так и для оценки рисков кибербезопасности.

Ключевые шаги в процессе оценки рисков

Процедура качественной оценки строится на последовательном выполнении следующих этапов:

1. Идентификация и ранжирование ИТ-активов

2. Определение перечня угроз

3. Поиск существующих уязвимостей

4. Изучение действующих средств контроля

5. Расчет вероятности возникновения инцидентов

6. Оценка возможного ущерба от реализации угрозы

7. Расстановка приоритетов по рискам

8. Формирование перечня рекомендаций

9. Фиксация и документирование результатов

Крупный бизнес, как правило, реализует эти задачи силами собственных департаментов ИБ, в то время как небольшие компании часто привлекают внешних экспертов для проведения независимого аудита.

Подробный разбор этапов:

• Шаг 1. Идентификация и ранжирование ИТ-активов

  К ним относятся не только сервера и ноутбуки, но и сама информация: клиентские базы, интеллектуальная собственность, переписка. Для формирования полной картины используемых ресурсов важно собрать данные из всех филиалов и отделов.

  Также требуется установить степень важности каждого ресурса. Как правило, применяются такие параметры, как рыночная стоимость, значимость для критических процессов и соответствие законодательным нормам. В дальнейшем можно распределить активы по категориям: критические, базовые или вспомогательные.

• Шаг 2. Определение перечня угроз

  Угроза – это любой фактор, способный нанести вред вашей компании. Сюда могут относиться внешние атаки, вирусное ПО, неправомерные действия сотрудников или ошибки некомпетентных системных администраторов.

• Шаг 3. Поиск существующих уязвимостей

  Уязвимость – это «прореха» в защите, позволяющая причинить ущерб вашей организации. Их можно обнаружить посредством аналитики, аудиторских проверок, тестов на проникновение и автоматизированных средств сканирования уязвимостей.

• Шаг 4. Изучение действующих средств контроля

  Проведите ревизию текущих инструментов защиты для минимизации шансов на использование уязвимостей. Примерами технических мер являются шифрование, системы предотвращения вторжений и многофакторная аутентификация (MFA). К организационным мерам относятся регламенты и политики безопасности.

  Все инструменты контроля подразделяются на превентивные и детективные. Превентивные (шифрование, MFA) нацелены на блокировку атак. Детективные (логи аудита, системы обнаружения вторжений) служат для фиксации угроз, которые уже реализовались или происходят в текущий момент.

• Шаг 5. Расчет вероятности возникновения инцидентов

  Проанализируйте вероятность использования каждой уязвимости, принимая во внимание её характер, ресурсы и цели атакующего, а также наличие и надежность ваших мер защиты. Часто вместо точных цифр компании используют качественные метрики: высокая, средняя или низкая вероятность.

• Шаг 6. Оценка возможного ущерба от реализации угрозы

  Рассчитайте потенциальный урон от инцидента, связанного с потерей или компрометаций информационных активов. К ключевым аспектам анализа относятся:

  • Роль ресурса в обеспечении работы зависимых систем;

  • Материальная ценность актива для бизнеса;

  • Степень конфиденциальности данных.

• Шаг 7. Расстановка приоритетов по рискам

  Для каждой пары угроза–уязвимость определите уровень риска для ИТ-инфраструктуры, основываясь на следующих характеристиках:

  Вероятность использования уязвимости угрозой;

  Приблизительная стоимость каждого из таких случаев;

  Адекватность средств контроля для устранения или снижения риска.

• Шаг 8. Формирование перечня рекомендаций

  Определите меры, требуемые для минимизации рисков, исходя из их критичности. Типовые рекомендации для разных уровней:

  Высокий – план по исправлению ситуации должен быть утвержден в кратчайшие сроки;

  Средний – меры по коррекции внедряются в течение планового периода;

  Низкий – ответственные лица должны решить: принять риск «как есть» или реализовать защитные действия.

• Шаг 9. Фиксация и документирование результатов

  Финальным действием в цикле оценки является подготовка детального отчета, который станет базой для принятия управленческих решений по бюджетам, регламентам и процедурам. В документе следует отразить каждую угрозу, коррелирующие с ней уязвимости, затронутые активы, потенциальное влияние на инфраструктуру, а также предлагаемые инструменты защиты и их бюджет. Часто в отчет включают дорожную карту по исправлению, позволяющую закрыть сразу несколько групп рисков.

  Пример такого отчета:

  

Преимущества проведения оценки рисков безопасности

• Определение ценности – разные ИТ-ресурсы имеют неодинаковую значимость, и так как их состав и важность меняются, следует регулярно повторять процесс оценки рисков.

• Понимание ландшафта угроз – выявление и анализ потенциальных опасностей помогает сфокусироваться на тех событиях, которые наиболее вероятны и несут максимальный потенциальный урон.

• Ликвидация уязвимостей – методика оценки, нацеленная на устранение дефектов, помогает найти и закрыть уязвимости до того, как ими воспользуются хакеры (устаревший софт, избыточные права доступа или отсутствие шифрования).

• Оптимизация затрат – аудит не только оберегает бизнес от финансовых потерь при утечках, но и позволяет эффективно распределять бюджет на те проекты, которые приносят наибольшую пользу.

• Соответствие требованиям регуляторов – систематическая оценка помогает организациям подтверждать соответствие требованиям таких нормативных актов, как 152-ФЗ, PCI DSS и GDPR, избегая крупных штрафов.

• Принятие обоснованных управленческих решений – сведения, полученные по итогам аудита, способствуют принятию обоснованных инвестиционных решений в области информационной безопасности, ИТ-инфраструктуры и кадров.

Роль Гарда DCAP в управлении рисками

Система Гарда DCAP значительно упрощает и автоматизирует процесс оценки рисков:

• Обнаруживает риски в неструктурированных данных

• Гарда DCAP идентифицирует конфиденциальные данные в файлах разных типов – от таблиц до медицинских снимков – и подсвечивает риски, связанные с их хранением.

  

• Управляет правами доступа к ресурсам

• Продукт помогает найти и ранжировать риски, вызванные некорректными или излишними полномочиями пользователей (в Active Directory, почте и т.д.).

  

• Позволяет детально управлять рисками

• С помощью Гарда DCAP офицеры ИБ могут задавать уровни риска для любых инцидентов, учитывая специфику деятельности фирмы. Настройка доступна как для документов и папок, так и для учетных записей или почтовых ящиков.

  

• Формирует рекомендации

• Система создает перечень рекомендаций по пользователям, файлам и почтовым ящикам, которые помогают локализовать наиболее уязвимые зоны инфраструктуры и предпринять меры по защите.

  

Заключение

Процессы оценки и управления рисками являются фундаментом любой стратегии кибербезопасности, так как они обеспечивают детальное видение угроз, способных нанести экономический вред бизнесу. Понятный анализ уязвимостей и знание реальной ценности информационных ресурсов позволяют совершенствовать защитные методы, чтобы эффективнее противостоять атакам и надежно защищать критически важные активы компании.