Существуют базовые подходы и методики оценки рисков ИБ, описанные в книгах, стандартах и многочисленных публикациях и положенные в основу сложных аналитических систем, средств автоматизации и GRC-систем. Они всем хороши, но слишком сложны и дороги. Существует также не в чем не противоречащий им упрощенный поход к оценке рисков ИБ, который в том или ином виде и применяется в реальной практике. Рассмотрим как легко и изящно этот упрощенный подход реализуется в экспертной системе Protectiva Risk Manager.
Базовый и наиболее основательный подход к оценки рисков ИБ, который описан, в частности, в моей книге «Искусство управления информационными рисками», предполагает проведение достаточно глубокого аналитического исследования организации, включая изучение и документирование бизнес-процессов, задействованных в них организационных структурах, документарного обеспечения, ИТ-активов, информационных активов, ландшафта угроз, механизмов, процессов и мер защиты и т.п. Все это классифицируется и объединяется во взаимоувязанные аналитические модели, позволяющие классифицировать и оценивать информационные риски организации с любой степенью детализации, как качественно, так и количественно.
Мне данный подход не казался и не кажется чем-то через чур сложным, поскольку он опирается на вполне доступные международные стандарты, в частности ISO 27005, и не предполагает использование какого-либо сложного математического аппарата, кроме простой арифметики. Тем не менее, практика и теория достаточно сильно разнятся.
Основным недостатком такого подхода является практическая сложность и трудоемкость его реализации. В результате данная методика оказывается недоступной для большинства организаций, несмотря на очевидную потребность этих организаций в управлении рисками. В обычных условиях у организаций возникают значительные трудности с инвентаризацией, классификацией и оценкой стоимости информационных активов, поддержанием реестров активов в актуальном состоянии. Еще большие проблемы возникают с моделированием и оценкой угроз и уязвимостей, оценкой эффективности контролей, классификацией рисков и т.п.
Не меньшие сложности вызывает выстраивание процессов управления рисками и взаимодействия между участниками этих процессов. Помимо менеджера ИБ появляются роли риск-менеджера, риск-аналитика, инцидент-менеджера, ресурс-менеджера, комплайенс-менеджера, владельца активов и др. Соответствующие средства автоматизации данных процессов в виде Security GRC систем получаются чрезвычайно сложны и обходятся очень дорого.
Что же с этим делать на практике? Организации просто хотят соответствовать требованиям стандартов и регуляторов, а также контролировать свои риски «малой кровью» при помощи стандартных инструментов и подходов, не вдаваясь в глубокое изучение бизнес-процессов, исследование природы информационных активов, методов реализации угроз и эксплуатации уязвимостей. Фактически вся эта казуистика доступна и представляет интерес только для специализированных исследовательских организаций и разработчиков средств защиты информации.
На практике применяется более приземленный поход к оценке рисков ИБ. Инвентаризация активов в нем производиться на уровне информационных систем организации. Реестр активов — это список ИС. Для каждой ИС или группы ИС формируется отчет о соответствии требованиям, модель угроз и реестр рисков. Раз в год, а также по необходимости, эта информация актуализируется. Ценность ИС оценивается по шкале: жизненно важные, критичные, некритичные. Вероятность угроз: высокая, средняя, низкая. Величина уязвимости оценивается, исходя из степени соответствия ИС требованиям: высокая, средняя, низкая. В результате получается 9 уровней риска. Уровни 0-2 принимаются, уровни 6-7 — обрабатываются, уровни 3-5 — откладываются до времени. На этом процесс Risk&Compliance завершается до следующей итерации.
Крупные организации формируют свои реестры рисков и требований для каждой ИС, а более мелким достаточно сформировать один общий реестр рисков. Вот и все что требуется делать в этой области, исходя из передового опыта.
Практическая реализация такого упрощенного подхода не требует выстраивания сложной системы процессов и ролей. Не требуется также внедрение дорогостоящих средств автоматизации риск-менеджмента в виде SGRC-систем со сложными разветвленными системами меню, сотнями кастомизируемых форм ввода данных и шаблонами отчетов, многочисленными справочниками и внешними интерфейсами. За все эти удовольствия надо ежегодно платить десятки миллионов рублей и еще столько же на зарплату персоналу, который будет поддерживать эти тяжелые программные платформы в работоспособном состоянии.
Антиподом SGRC-системам служит разработанный нами сервис Протектива. Сначала был реализован наиболее простой компонент — Compliance Manager. Он позволяет для каждого объекта защиты (например, ИС) выбрать набор применимых стандартов. К каждому стандарту прилагается опросник, заполнение которого сводится к проставлению галочек. По результатам прохождения опросника формируется отчет о соответствии данного объекта защиты предъявляемым к нему требованиям по ИБ. Получаем замену аудитора ИБ. С его помощью любой менеджер ИБ может провести оценку подконтрольных ему ИС, сформировать отчет и план действий.
Вслед за Compliance Manager виделась разработка интегрированных с ним прочих компонентов классической SGRC-системы, включая Risk Manager, Asset Manager, Incident Manager, Threat Manager, Vulnerability Manager и т.д. В результате должен был получиться софтверный монстр типа SAP R3, который обладал бы неограниченными аналитическими возможностями и средствами автоматизации, но воспользоваться этим богатством могли бы лишь единицы (в отличие от SAP R3).
Однако выяснилось, что имея экспертную систему Protectiva Compliance Manager, в которой реализован универсальный механизм опросов и формирования отчетных документов, все, что надо сделать для упрощенного подхода, мы уже реализовали. Достаточно добавить всего один стандарт, чтобы превратить ее, например, в Risk Manager. Действительно, берем некую универсальную Модель угроз, построенную на базе Методики оценки угроз ФСТЭК от 5 февраля 2021 г. Добавляем туда классификацию угроз, модель нарушителя и виды ущербов (из той же методики). При рассмотрении сценариев реализации угроз используем Банк данных угроз безопасности информации (УБИ) ФСТЭК, в дополнение к этому используем также описание векторов атак, содержащихся в сторонних базах знаний, таких как CAPEC, ATT&CK, OWASP, STIX, WASC и др. Другими словами, берем типовую модель угроз безопасности информации, на базе которой мы лепим все остальные модели угроз под каждую конкретную организацию, путем исключения неактуальных или неприменимых угроз, сценариев и техник. Делам из этого стандарт МУ, добавляем к нему опросник для оценки угроз и шаблон отчета по оценке риска, включающего в себя и модель угроз и реестр рисков. Получаем новый сервис — Protectiva Risk Manager, позволяющий путем прохождения не очень сложного опроса сформировать для любого объекта защиты модель угроз и реестр рисков ИБ в полном соответствии с действующими нормативными документами и стандартами. А ничего больше и не требуется.
Александр Астахов, 2022