Оценка рисков: выгоды, лучшие практики и подводные камни

Плюсы оценки рисков ИБ, которые мы часто упускаем из виду

Хотя большинство организаций ставят ключевой целью оценки рисков выявление главных рисков для бизнеса, немаловажным результатом проведения грамотной оценки является обучение работников, которое происходит во время процесса оценки. В процессе интервью с отдельными работниками или группами людей у специалистов появляется лучшее осознание бизнес-процессов в их подразделениях, а также лучшее понимание процессов, происходящих в смежных подразделениях. По мере увеличения знаний среди сотрудников организации увеличивается и эффективность их работы.

Также оценка рисков заставляет ключевых сотрудников организации думать в терминологии бизнес рисков, а не только об уровне их ответственности. Если они научатся правильно понимать риски ИБ, это будет должным образом транслироваться на все их бизнес решения, и, естественно, это будет выгодно всей компании.

Лучшие практики для проведения успешной оценки рисков

Прежде всего, надо понимать, что оценки рисков не проводятся изолированно. Требуется вовлечение разных групп специалистов со всей компании для того, чтобы быть уверенным в точности получаемой информации. Часто бывает так, что делаются неверные выводы из-за того, что специалист, проводящий оценку, не общался с действительным владельцем актива или человеком, ответственным за определенную область бизнеса. Делая выводы о бизнес процессах или информационных системах не имея соответствующих подтверждений, мы тем самым можем упустить критические для компании риски.

Что же касается лучших практик, то здесь нет необходимости изобретать велосипед, так как в мире и в РФ в частности существует достаточно большое количество методологий и стандартов в области оценки рисков ИБ (например, ISACA’s Risk IT Framework, OCTAVE, NIST’s Risk Management Framework (RMF), ISO 27005, РС БР ИББС-2.2, методика определения угроз безопасности информации ФСТЭК).

Однако, некоторые методики могут оказаться слишком нагруженными для определенных компаний или недостаточно подробными для других.

При проведении оценки рисков, нацеленной на то, чтобы впоследствии снизить недопустимые риски, есть основные действия, которые должны быть включены в область проведения каждой оценки рисков ИБ и должны быть тщательно обработаны:

  • Определение уязвимостей технического характера. Необходимо провести внешнее или внутреннее сканирование, аудит сетей WiFi и веб-сервисов.

  • Проведение аудита прав в критических системах компании, входящих в область проведения оценки

  • Изучение проводимых в компании оценок соответствия по требованиям различных документов в области информационной безопасности

Оценка рисков будет являться наиболее эффективной, когда главной целью ставится определение ключевых рисков, которые могут серьезным образом отразиться на компании. Когда в процессе оценки открывается нужная информация, есть множество способов углубиться в изучение тех или иных аспектов, но заострять внимание необходимо лишь на тех областях, которые действительно могут влиять на бизнес процессы. Нет смысла тратить свое время и время ваших коллег на изучение тех деталей, которые не повлияют в итоге на снижение уровня рисков.

Одной из главных ошибок, которые допускают компании при анализе рисков информационной безопасности, это выделение ресурсов для проведения оценки без выделения ресурсов на снижение уровня риска. Оценка дает нам полезную информацию, которая показывает области, в которых необходимо провести улучшения, но оценка сама по себе не решает проблем компании. Если вы проводите оценку рисков, необходимо понимать, что картина и останется такой до тех пор, пока не вы не определите и не внедрите меры по обработке рисков.

Стереотипы работников IT по отношению к результатам оценки рисков ИБ

Некоторые IT специалисты до сих пор полагают, что ИБ риски связаны только с безопасностью информационных систем, и эти люди всегда ожидают только выводов технического характера по результатам оценок. С такой точкой зрения они уверены в том, что оценка проводится лишь для того, чтобы разработать план мероприятий технического характера для решения всех проблем. Это далеко не так. Получаемая картина рисков ИБ часто тесно связана с бизнес-процессами и требует довольно жестких действий по их преобразованию. Также не надо забывать и про действия организационного характера, которые необходимо организовать по результатам оценки рисков ИБ.

Технические специалисты часто уверены, что для снижения уровня риска достаточно поменять конфигурацию оборудования или настройки прикладного программного обеспечения, но вся суть может крыться в правильности построения самого бизнес процесса. Поэтому, для достижения целей оценки рисков ИБ, специалист по оценке рисков внутри компании должен обладать достаточным авторитетом, чтобы внедрить действительно правильные меры по снижению рисков.

Как правильно интерпретировать результаты оценки рисков и впоследствии правильно принять решение по снижению уровней рисков

Главное это согласованность действий. Все равно, оцениваете ли вы риски в качественном отношении или же в денежном эквиваленте, подход к оценке должен быть одинаков. Критерии, по которым оценивается степень возможности реализации и степень тяжести последствий, должны быть одинаковыми для того, чтобы быть уверенными в том, что ущерб от реализации разных рисков правильным образом сравнивается. В противном случае мы можем получить не правильно выставленные приоритеты по снижению рисков.

Привлекать третьи стороны для оценки рисков – хороший способ для объективности получаемых результатов и их правильной интерпретации.

Кроме того, в компании должна быть унифицированная политика по оценке рисков, что поможет в краткие сроки организовать процедуру оценки и собрать нужных людей для интервьюирования.

Использование специализированных инструментов для оценки рисков ИБ

В настоящее время на рынке существуют программные инструменты, помогающие специалистам в проведении анализа и оценки рисков информационной безопасности и построении соответствующих моделей угроз. Хотя некоторые менеджеры по информационной безопасности до сих пор проводят эту работу при помощи электронных таблиц и утверждают, что для них это удобно.

Основные плюсы при проведении оценки рисков с помощью программного инструментария:

  • Все созданные оценки агрегированы в одном месте. Это удобно для отображения результатов проведенного анализа и оценки рисков, а также отслеживания динамики изменения актуальной картины рисков.

  • Некоторые продукты содержат готовые базы угроз ИБ. Это очень полезно для тех, кто только начинает заниматься оценкой рисков. Как показывает практика, с каждой новой оценкой появляются какие-либо угрозы, специфичные для конкретной компании. Таким образом, взяв за основу готовую базу угроз, мы в конечном итоге получаем модель угроз информационной безопасности именно для нашей организации.

  • Большинство систем предоставляют возможность контроля тех требований, которые характерны для области вашего бизнеса и влияют на конечную картину по рискам. Таким образом, закрывается также вопрос, связанный с процедурами в области Compliance.

  • Очень удобен функционал «work flow» для оперативной оценки активов, задействованных при проведении оценки рисков ИБ. То есть нам достаточно провести общее собрание со всеми лицами, входящими в рабочую группу, провести при необходимости тренинг, после чего взаимодействовать в рамках инструментария, получая от необходимых лиц их оценки. Это существенно экономит время на сбор информации.

  • Также полезен функционал планирования бюджета на снижение уровней критичных рисков и добавления соответствующих мероприятий. Опять же, все сосредоточено в одном месте и может легко управляться.

  • Практически все инструменты по оценке рисков предоставляют возможность отображения различных дашбордов, что оказывается полезным при защите бюджета на ИБ или оперативного предоставления какой-либо относящейся к рискам ИБ информации.

При выборе решения по автоматизации процесса оценки рисков необходимо удостовериться, что оно предоставляет возможность выстраивания процесса оценки в соответствии с той методикой, которую вы определили для себя. В некоторых программных продуктах даже присутствует возможность создания собственных схем оценки или выбора из нескольких предустановленных.

Публикация подготовлена Андреем Чечёткиным с использованием материалов с сайта net-security.org.

Поделиться записью:
Scroll Up