Азы КиберБезопасности: Управление рисками (Risk Management)

Азы КиберБезопасности: Управление рисками (Risk Management)
Предположим, что теперь мы знаем все наши информационные активы, их ценность (либо в денежном выражении, либо в уровне критичности), возможные угрозы и существующие уязвимости. Что дальше? Ведь наличие уязвимости в системе не означает, что она обязательно будет использована. Как оценить важность этих угроз? Какая вероятность, что случится что-то “плохое”? Мы все еще не можем адекватно оценить целесообразность внедрения тех или иных средств защиты.

Здесь и появляется тема Управления Рисками (Risk Management). Этот фундаментальный раздел ИБ обычно ненавидят “технари” и обожают “бумажные безопасники”. От грамотного управления рисками зависит вся экономическая эффективность вашей ИБ стратегии. Будет ли безопасность исключительно расходами, или же их можно будет рассматривать как отличные инвестиции.  

На мой взгляд, Risk Management является чуть ли не самым сложным разделом в ИБ. Хотя, возможно, это мое предвзятое отношение, т.к. изначально я из категории “технарей”, которые ненавидят эту тему. Но все же, хочу отметить, что данная тема лучше всего (на мой взгляд) раскрывается в знаменитой книге “CISSP All-inOne Exam Guide”, 7th Edition by Shon Harris and Fernando Maymi. Очень рекомендую эту книгу любому ИБ-специалисту, как начинающему, так и опытному. Я же, как обычно, расскажу самые базовые вещи, которые необходимы для понимания экономики информационной безопасности в целом.  

Экономика безопасности (оценка рисков)

Как я уже говорил, никого не интересует ИБ ради ИБ. Чтобы понимать экономическую эффективность информационной безопасности, мы должны знать несколько важных цифр. Если заглянуть в любую более-менее популярную книгу по Risk Management, то вы увидите следующие показатели:
  • Asset Value (AV) - цена актива. Мы уже затрагивали эту тему. В данном случае нам нужна количественная оценка - в рублях (или долларах).
  • Exposure Factor (EF) - процент потерь в случае реализации угрозы. Например, на сколько снизится цена дома, если случится пожар.
  • Single Loss Expectancy (SLE) - ожидаемая стоимость потери. Рассчитывается как AV * EF
  • Annual Rate of Occurrence (ARO) - ожидаемое кол-во проявлений угрозы для нашего актива за год. Например, за год корпоративный сайт может "упасть" три раза.
  • Annual Loss Expectancy (ALE) - ожидаемые ежегодные потери. Рассчитывается как SLE x AR.
Я, честно, несколько раз пытался считать по этим формулам. Главная проблема - трудно найти величины EF и ARO. По сути, это вероятности. Для некоторых угроз найти какие-то цифры просто невозможно, потому что нет такой статистики. Тогда я выработал свою, упрощенную формулу. Давайте рассмотрим ее на примере жёсткого диска, где хранятся важные документы (чертежи, патенты, договоры и т.д.). Для этого мы будем использовать следующую табличку:

Табл. №1. Оценка потерь от угроз для жесткого диска
УгрозаЦена актива, руб Уязвимость ВероятностьОжидаемые потери за 1 год Ожидаемые потери за 3 года
Потеря данных (в результате поломки диска или шифровальщика) 1000000Нет резервных копий, нет антивирусного ПО Низкая
Здесь я ввел собственную меру - Вероятность. При этом всего может быть 5 вариантов значений:
1. Ничтожная - 2%
2. Низкая - 15%
3. Средняя - 30%
4. Высокая - 50%
5. Критическая - 70%

Эти значения - исключительно субъективная оценка, которая основывается на вашем опыте, на различных публикуемых отчетах, найденной статистике и просто новостях о последних инцидентах ИБ. В целом, вы можете вставить в табличку свое значение, которое вы возможно нашли в одном из общедоступных отчетов.  

Таким образом, мы можем рассчитать ожидаемые потери за 1 год: 1000000 * 0,15 = 150 000. Я рекомендую всегда рассчитывать минимум на 3 года. Именно этот период позволяет адекватно оценить стоимость владения любым средством защиты. Если вы думаете, что для расчета ожидаемых потерь за три года нужно всего лишь умножить 150 000 на 3, то вы явно прогуляли курс теории вероятности.

Из “тервера” у нас есть следующая формула: ????(????) = 1 − (1 − ????)???? , где p - вероятность за год, n - количество лет. Итого имеем 1 − (1 − 0,15)3 ≈ 39%

В итоге, ожидаемые потери за три года составят 390 000 рублей. Имея под рукой эту цифру и стоимость владения средством защиты (которое закрывает упомянутые угрозы), мы можем сделать вывод об экономической эффективности этого самого средства. К примеру, мы можем настроить резервное копирование этого диска в облачный сервис, который будет нам стоить 90 000 рублей за 3 года. Нехитрые математические вычисления показывают, что в данном случае “затраты” на ИБ являются отличными инвестициями. Именно поэтому, когда я слышу от “безопасника”, что организация не выделяет нужные средства на защиту, то в большинстве случаев это исключительно его вина. Тут всего лишь два варианта:
1) Он не смог донести до руководства ценность активов и последствия от их ущерба.
2) Он требует деньги на совершенно ненужные средства защиты.

Да, описанная мной методика далека от идеальной, но это лучше, чем ничего (В любом случае вы можете использовать классический вариант, который был упомянут в начале этого параграфа). Бизнесу всегда нужны аргументы и обоснование экономической эффективности. Бизнес должен зарабатывать.

Дополнительные драйверы безопасности

Помимо пяти описанных типов угроз есть еще один фактор, который заставляет компании использовать средства для защиты информации - требования регуляторов. Эти требования могут быть прописаны в виде федеральных законов (например закон о персональных данных - ФЗ 152, КИИ - 187) либо в виде отраслевых требований (PCI DSS, HIPAA и т.д.). Т.е. некоторые компании, ввиду специфики их работы или же своей отрасли, просто обязаны соблюдать некоторые правила. Невыполнение этих требований грозит штрафами, различными ограничениями в работе или же просто закрытием вашего бизнеса.  

К примеру, любой банк может быть отключен от таких платежных систем как MasterCard или Visa, если не будет соблюдать отраслевой стандарт безопасности  PCI DSS. Компании, которые занимаются обработкой персональных данных, рискуют получить гигантские штрафы за невыполнение соответствующих законов. Яркий пример - GDRP (новый европейский стандарт по защите персональных данных). Некоторые компании были оштрафованы на миллиарды долларов из-за того, что не успели привести свою безопасность в соответствие с новыми требованиями и стандартами.

Именно поэтому “безопасник” должен обязательно учитывать различные требования регуляторов, если его компания попадает под их действие.  С вашего позволения, я не буду раскрывать эту тем более подробно, т.к. она обширна и заслуживает отдельной книги. Однако я должен сделать небольшое лирическое отступление и немного рассказать про российские реалии. Большинство федеральных законов, касающихся ИБ, сводятся к одному простому правилу - использовать сертифицированные решения для защиты информации. На этом моменте для любого ИБ-специалиста безопасность разбивается на два возможных вектора:
1) Выполнять требования регуляторов;
2) Обеспечить эффективную информационную безопасность.

Для примера возьмем такую необходимую вещь как Межсетевой экран (далее МЭ). Многие компании просто обязаны использовать МЭ сертифицированные во ФСТЭК или даже ФСБ. Это сразу накладывает определенные ограничения на выбор решения. Думаю, нет нужды доказывать, что на текущий момент лидерами рынка МЭ (NGFW, UTM и т.д.) являются зарубежные производители. Несколько самых популярных вендоров: Check Point, Cisco, Fortinet, Palo Alto, Sophos, Forcepoint, Sangfor и т.д. К сожалению многие зарубежные решения не имеют сертификата ФСТЭК ввиду трудности (а иногда и невозможности) его получения. Есть исключения, но абсолютно все сертифицированные устройства как правило устаревшие (как аппаратная платформа, так и версия операционной системы). Опять же - последствия трудности сертификации для зарубежных компаний. Иногда эта процедура занимает годы. Сертификат ФСБ (для использования МЭ как средства криптографической защиты информации) на практике и вовсе может получить только отечественный производитель. Тоже самое касается и других типов средств защиты (антивирусы, ips, WAF, SIEM и т.д.).

Таким образом, “безопасник” встает перед выбором:
1) Использовать только сертифицированные средства для выполнения требований регулятора. В большинстве случаев это ухудшает защищенность компании, т.к. вынуждает использовать либо отечественные решения, либо устаревшие версии зарубежных средств защиты. К сожалению, качество российских разработок пока что оставляет желать лучшего. Есть недостатки как в наличии некоторых функций, так и в их качестве. Однако не могу не отметить позитивный тренд последних лет (особенно с февраля 2022 года). Даже среди российских производителей появляется конкуренция, что неизбежно ведет к улучшению продуктов. Если вернуться к теме МЭ, то наверно одни из самых популярных отечественных решений: Континент, UserGate, ViPNet.
2) Использовать лидирующие решения на рынке. Практически в каждом сегменте средств защиты (будь то МЭ, антивирусы, Anti-Spam решения и т.д.) есть лидеры рынка. Их можно определить по различным рейтингам, например отчет Gartner или NSS Labs. Как было сказано ранее, в большинстве случаев это зарубежные решения, которые обеспечивают наивысшее качество защиты. Но не стоит забывать, что это всего лишь инструмент, и итоговый уровень защищенности будет зависеть исключительно от эксплуатирующего персонала - человеческий фактор. Мы уже упоминали об этом в мифах об ИБ.  К сожалению, далеко не каждая компания может себе позволить такой выбор, т.к. они обязаны исполнять требования регуляторов.
3) Совмещать сертифицированные и лидирующие решения. Это компромисс между первым и вторым вариантами. К примеру, компания может защитить некоторые сегменты (согласно требованиям регулятора) с помощью сертифицированного МЭ, а уже в качестве основного решения по защите установить лидирующее решение в области NGFW. Такой подход довольно часто практикуется в российских компаниях. Однако очевидно, что в данном случае существенно возрастают финансовые затраты, которые также может себе позволить далеко не каждая компания.

В качестве резюме для данного параграфа могу сказать, что на текущий момент, практически все требования регуляторов очень сильно отстают от современных реалий и вызовов для информационной безопасности в целом. В результате процесс, который задумывался как мера по повышению общего уровня защищенности, приводит к ухудшению этого самого уровня. Бюрократия и стандартизация плохо применима в быстро меняющейся сфере ИБ. Но мы, “безопасники”, ничего с этим поделать не можем. Нам остается только учитывать эти дополнительные требования при создании своей стратегии ИБ.

Что делать дальше?

Здесь можно было бы написать про 5 шагов по управлению рисками или про очередную матрицу с анализом рисков, про дополнительные процессы, существующие стандарты (NIST, FRAP, RiskWatch, CRAMM, ...) и т.д. Но для этого уже есть соответствующая литература (я рекомендую “CISSP All-in-One Exam Guide”, 7th Edition by Shon Harris and Fernando Maymi). Мне не хочется повторять эти академические труды. Я постараюсь выделить главные, на мой взгляд, моменты.

На данном этапе у нас уже должна быть таблица, в которой приведены все активы, угрозы, уязвимости и стоимость возможных потерь. Имея эту информацию, мы должны принять решение, что делать с этими рисками. Т.е. по сути мы приступаем к управлению рисками (Risk Management). Есть четыре варианта:

1) Принимаем риски. Мы осознаем, что может воплотиться определенная угроза, которая может нанести вред нашим активам. Но ущерб является незначительным в сравнении с затратами на его устранение или уменьшение. “Ну случится, так случится. Бывает”.  
2) Устраняем риск. Устранив возможную угрозу и соответствующую уязвимость для нашего актива мы, тем самым, устраним возможный риск. Предположим, что наибольшую опасность для секретной формулы топлива представляет утечка через цифровые носители. Мы можем запретить оцифровку этой формулы и хранить ее только в виде нескольких бумажных копий, которые хранятся в сейфе. В этом случае мы устраняем риск цифровой утечки и можем сэкономить на соответствующих средствах защиты (DLP, Firewall и т.д.). Следует отметить, что такая методика допустима только если это не вредит бизнес-процессам компании.
3) Снижаем риск. Иногда устранить угрозу просто невозможно. Например мы не можем запретить сотрудникам использовать корпоративную электронную почту. Это слишком важный бизнес-инструмент. В этом случае мы вынуждены защищаться и использовать специализированные средства безопасности (Anti-Spam, Anti-Virus, DLP и т.д.). С помощью технических или административных мер мы можем снизить риски до приемлемых значений. Именно снизить. Как я уже писал, никто и ничто не может вам дать 100% гарантий. При этом стоимость защитных мер не должна превышать стоимость возможных потерь, иначе эта процедура теряет всякий смысл.
4) Транслируем риски. Иногда бывают ситуации, когда защититься от угрозы просто невозможно, либо стоимость такой защиты слишком велика. В этом случае можно переложить риски на другую компанию - страховую фирму. Яркий пример - запуск спутников. Почти все запуски спутников страхуются. Чтобы защитить себя от возможных финансовых потерь, при этом гарантируя запуск своего спутника (за обозримый срок), компаниям гораздо выгоднее застраховаться. В случае аварии им вернут деньги, что позволит произвести и запустить еще один спутник.

После того, как вы определились с рисками, необходимо обязательно выделить приоритеты. Какими рисками вы займетесь в первую очередь? Это очень важно - мало компаний, которые могут себе позволить делать все и сразу. Не хватит ни финансовых, ни трудовых ресурсов.

И уже после всех этих процедур можно приступать к планированию своей стратегии по ИБ и выбирать защитные средства, ориентируясь на стоимость возможных потерь. Теперь вы знаете что защищать, от чего защищать и сколько вы можете на это потратить.  

Еще один важный момент. Как я уже говорил, ИБ - это процесс. Поэтому все описанные действия вы должны периодически повторять:
1) Аудит ваших активов и их оценку;
2) Формирование списка возможных угроз и поиск уязвимостей;
3) Выполнение оценки рисков;
4) Принятие решения по каждому из рисков;
5) Выделение приоритетов;
6) Применение защитных мер;
7) Мониторинг результата.

После чего мы снова возвращаемся к первому пункту. Если не запустите этот процесс, считайте, что ИБ в вашей компании отсутствует.

Автор: Евгений Ольков, CTO TS Solution

Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале TS University . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.
кибербезопасность
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться