Как оценивать риски информационной безопасности

Минимизация рисков и угроз информационной безопасности является одной из основных задач ИБ-отдела и компании в целом. Любыми рисками можно управлять — это помогает определить потенциальные угрозы, выработать стратегию по их предотвращению и обеспечить защиту конфиденциальной информации.

Управление рисками — это обширная тема и комплексный процесс, который включает в себя выполнение следующих задач: определение области оценки рисков, оценка рисков, обработка рисков, мониторинг и контроль, совершенствование процесса.

В этой статье мы подробнее рассмотрим ключевой этап в этом процессе — оценку рисков. В ходе оценки компания определяет риски и уровень последствий в случае инцидента, а по его результатам сотрудники ИБ-отдела могут расставить приоритеты по устранению возникающих угроз. Мы расскажем, на какие этапы делится процесс оценки рисков, а также выделим преимущества его регулярного проведения.

Оценка рисков безопасности — это процесс выявления уязвимостей в ИТ-инфраструктуре и определения уровня финансовой угрозы, которую они представляют для организации: от простоев и связанных с ними потерь прибыли до судебных издержек и штрафов за нарушение нормативных требований и потери бизнеса. Тщательная и всесторонняя оценка рисков поможет вам определить приоритеты по обеспечению безопасности в рамках всей компании.

Оценка рисков безопасности — это часть комплексного процесса оценки ИТ-рисков. При оценке ИТ-рисков учитываются не только угрозы кибербезопасности, но и множество киберрисков. Их можно определить как любой риск финансовых потерь, простоев в работе или ущерба репутации организации в результате какого-либо сбоя в работе ее ИТ-систем.

Примерами киберрисков являются:

• утечка конфиденциальных или важных данных
• компрометация учетных данных
• фишинговые атаки
• DDos-атаки
• сбои в работе оборудования
• человеческие ошибки

Этапы и преимущества, описанные ниже, применимы как к оценке ИТ-рисков, так и к оценке рисков безопасности.

Теперь пройдемся по этапам правильной оценки рисков безопасности:

• Идентификация и определение приоритетов ИТ-активов
• Определение угроз
• Выявление уязвимостей
• Анализ существующих средств контроля
• Определение вероятности инцидентов
• Оценка возможного воздействия угрозы
• Приоритезация рисков
• Составление рекомендаций
• Документация результатов оценки

Крупные компании обычно поручают этот процесс своим внутренним ИТ-командам, а организации, не имеющие специализированного ИТ-отдела, передают эту задачу внешним специалистам.

Шаг 1. Идентификация и определение приоритетов ИТ-активов

К ИТ-активам относятся серверы, принтеры, ноутбуки и другие устройства, а также данные, такие как контактная информация клиентов, сообщения электронной почты и интеллектуальная собственность. Для полного представления об используемых организацией активах важно собрать информацию со всех отделов и подразделений.

Также необходимо определить важность каждого ИТ-актива. Обычно используются такие критерии, как денежная стоимость, его роль в критически важных процессах, а также соответствие правовым нормам и требованиям. Затем можно разделить активы на категории, например, критические, основные или второстепенные.

Шаг 2. Определение угроз

Угроза - это все, что может причинить вред вашей организации. Это могут быть внешние угрозы, вредоносное ПО, злонамеренные действия пользователей или ошибки недостаточно подготовленных администраторов.

Шаг 3. Определение уязвимостей

Уязвимость - это слабое место, которое может позволить угрозе нанести вред вашей организации. Уязвимости можно выявить с помощью анализа, аудиторских отчетов, оценки информационной безопасности, тестирования на проникновение и автоматизированных средств сканирования уязвимостей.

Шаг 4. Анализ существующих средств контроля

Проанализируйте имеющиеся средства контроля для снижения вероятности использования уязвимостей. Примерами технических средств контроля являются шифрование, системы обнаружения вторжений и многофакторная аутентификация (MFA). К нетехническим средствам контроля можно отнести политики безопасности.

И те и другие средства контроля можно разделить на превентивные и детективные. Превентивные средства контроля, такие как шифрование и MFA, предназначены для предотвращения атак. Детективные средства контроля, такие как журналы аудита и системы обнаружения вторжений, используются для выявления угроз, которые либо уже произошли, либо происходят в настоящее время.

Шаг 5. Определите вероятность инцидента

Оцените вероятность использования каждой уязвимости, учитывая такие факторы, как характер уязвимости, возможности и намерения источника угрозы, а также наличие и эффективность ваших средств контроля. Вместо числовой оценки многие организации используют условные обозначения, например, высокая, средняя и низкая вероятности угрозы.

Шаг 6. Оцените возможное воздействие угрозы

Оцените потенциальные последствия инцидента, связанного с потерей или компрометацией активов. К ключевым факторам, которые необходимо учитывать, относятся:

• Роль актива и любых зависимых процессов;
• Ценность актива для организации;
• Уровень конфиденциальности актива.

Шаг 7. Расстановка приоритетов рисков

Для каждой пары угроза–уязвимость определите уровень риска для ИТ-инфраструктуры, основываясь на следующих характеристиках:

• Вероятность использования уязвимости угрозой.
• Приблизительная стоимость каждого из таких случаев.
• Адекватность средств контроля для устранения или снижения риска.

Шаг 8. Составление рекомендаций

Определите действия, необходимые для снижения риска, основываясь на его уровне. Вот некоторые общие рекомендации для каждого уровня риска:

• Высокий - план корректирующих мер должен быть разработан как можно скорее.
• Средний - план корректирующих мер должен быть разработан в разумные сроки.
• Низкий - команда должна решить, принять ли риск или реализовать корректирующие действия.

Шаг 9. Документирование результатов

Заключительным этапом процесса оценки рисков является создание комплексного отчета, который поможет руководству принять обоснованные решения по бюджету, политике, процедурам и т. д. В отчете необходимо описать каждую угрозу, связанные с ней уязвимости, активы, подверженные риску, потенциальное воздействие на вашу ИТ-инфраструктуру, а также рекомендуемые меры контроля и их стоимость. Часто в отчете об оценке рисков указываются ключевые шаги по исправлению ситуации, которые позволяют снизить многочисленные риски.

Пример такого отчета:

Находит риски, связанные с неструктурированными данными
Makves DCAP находит конфиденциальные данные в файлах различного формата от таблиц до медицинских снимков и показывает риски, связанные с ними.

Управляет доступом к корпоративным ресурсам
Система Makves помогает выявить и определить приоритетные риски, связанные с неправомерным или чрезмерным доступом пользователей (Active Directory, электронная почта и т.д.).

Тонкая настройка рисков
С помощью Makves DCAP сотрудники ИБ-отдела могут устанавливать уровни риска для любых событий, в соответствии со сферой деятельности и особенностями компании. Настройка рисков доступна как для файлов и папок, так и для пользователей и почтовых ящиков.

Предоставляет рекомендации

Система формирует список рекомендаций по пользователям, файлам и почтовым ящикам, которые помогут оценить наиболее проблемные области ИТ-инфраструктуры и принять меры по их устранению.

Оценка рисков безопасности и процессы управления рисками являются основой любой стратегии информационной безопасности, поскольку они дают подробное представление об угрозах и уязвимостях, которые могут привести к финансовому ущербу для бизнеса, и о том, как их следует устранять. Четкая оценка уязвимостей ИТ-инфраструктуры и понимание ценности информационных активов позволяют усовершенствовать политику и методы обеспечения безопасности, чтобы лучше защититься от кибератак и обезопасить свои критически важные активы.