6.2Управління ризиками

Управління ризиками розглядається нами на адміністративному рівні ІБ, оскільки тільки керівництво організації здатне виділити необхідні ресурси, ініціювати і контролювати виконання відповідних програм.

Взагалі кажучи, управління ризиками, так само як і вироблення власної політики безпеки, актуально тільки для тих організацій, інформаційні системи яких та/або оброблювані дані можна вважати нестандартними. Звичайну організацію цілком влаштує типовий набір захисних заходів, вибраний на основі уявлення про типові ризики або взагалі без жодного аналізу ризиків. Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. У першому випадку необхідно прийняти безліч рішень, оформити велику кількість паперів, в другому досить визначитися лише з декількома параметрами.

Використання ІС пов'язано з певною сукупністю ризиків. Коли можливий збиток неприйнятно великий, необхідно вжити економічно виправданих заходів захисту. Періодична (пере)оцінка ризиків необхідна для контролю ефективності діяльності у області ІБ і для обліку змін обстановки.

З кількісної точки зору рівень ризику є функцією вірогідності реалізації певної загрози (що використовує деякі вразливі місця), а також величини можливого збитку.

Таким чином, суть заходів щодо управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики знаходяться в прийнятних межах (і залишаються такими). Отже, управління ризиками включає два види діяльності, які чергуються циклічно:

• (пере)оцінювання ризиків;

• вибір ефективних і економічних захисних засобів (нейтралізація ризиків).

По відношенню до виявлених ризиків можливі наступні дії:

• ліквідація ризику (наприклад, за рахунок усунення причини);

• зменшення ризику (наприклад, за рахунок використання додаткових захисних засобів);

• прийняття ризику (і вироблення плану дії у відповідних умовах);

• переадресація ризику (наприклад, шляхом укладення страхової угоди).

Процес управління ризиками можна розділити на наступні етапи (рис. 6.1):

Рисунок 6.1 – Етапи управління ризиками

1. Вибір об'єктів і рівня деталізації їх розгляду.

Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру; проте якщо організація крупна, всеосяжна оцінка може зажадати неприйнятних витрат часу і сил. У такому разі слід зосередитися на найбільш важливих сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливі сервісів все ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі. Для управління ризиками карта ІС особливо важлива, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося нехтувати. Якщо ІС міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або істотно змінені сервіси, потребують розгляду.

2. Вибір методології оцінки ризиків.

Метою оцінки є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, що допускає зіставлення з наперед вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типове оптимізаційне завдання, і існує досить багато програмних продуктів, здатних допомогти в її рішенні.

3. Ідентифікація активів.

При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, необхідно, враховувати не тільки компоненти ІС, але і інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною крапкою тут є уявлення про місію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використання. Інформаційною основою крупної організації є мережа, тому в число апаратних активів слід включити комп'ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве устаткування (мости, маршрутизатори і т.п.). До програмних активів, ймовірно, будуть віднесені операційні системи (мережева, серверні і клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (у яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані за типами і ступенем конфіденційності, виявити місця їх зберігання і обробки, способи доступу.

4. Аналіз загроз, їх наслідків, вразливих місць захисту.

Ризик з'являється там, де є загрози. Короткий перелік найбільш поширених загроз був розглянутий нами раніше. На жаль, на практиці загроз значно більше, причому далеко не всі з них носять комп'ютерний характер. Так, цілком реальною загрозою є наявність мишей і тарганів в займаних організацією приміщеннях. Перші можуть пошкодити кабелі, другі викликати коротке замикання. Як правило, наявність тієї або іншої загрози є наслідком пропусків в захисті інформаційної системи, які, у свою чергу, пояснюються відсутністю деяких сервісів безпеки або недоліками в тих, що реалізовують їх захисних механізмах. Види загроз слід вибирати виходячи з міркувань здорового глузду (виключити, наприклад, цунамі, проте не забувати про можливості захоплення організації терористами), але в межах вибраних видів провести максимально докладний аналіз. Доцільно виявляти не тільки самі загрози, але і джерела їх виникнення - це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід в систему може стати слідством відтворення початкового діалогу, підбору пароля або підключення до мережі неавторизованого устаткування. Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) вірогідність). Окрім вірогідності здійснення, важливий розмір потенційного збитку. Наприклад, пожежі бувають нечасто, але втрати від кожної з них, як правило, великі. Тяжкість втрат також можна оцінити за трибальною шкалою. Оцінюючи розмір втрат, необхідно мати на увазі не тільки безпосередні витрати на заміну устаткування або відновлення інформації, але і віддаленіші, такі як підривши репутації, ослаблення позицій на ринку і т.п.

5. Оцінка ризиків.

Після того, як накопичені початкові дані і оцінена ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінки ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачувані втрати. Якщо для вірогідності та втрат використовувати трибальну шкалу, то можливих добутків буде шість: 1, 2, 3, 4, 6 і 9. Перші два результати можна віднести до низького ризику, третій і четвертий - до середнього, два останніх - до високого, після чого з'являється можливість знову привести їх до трибальної шкали. За цією шкалою і слід оцінювати прийнятність ризиків. Правда, граничні випадки, коли обчислена величина співпала з прийнятною, доцільно розглядати ретельніше із-за наближеного характеру результату.

6. Вибір захисних заходів.

Якщо які-небудь ризики опинилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, що зробило загрозу реальніше, існує декілька механізмів безпеки, різних за ефективністю та вартістю. Наприклад, якщо велика вірогідність нелегального входу в систему, можна зажадати, щоб користувачі вибирали довгі паролі (скажімо, не менші вісім символів), задіювати програму генерації паролів або купити інтегровану систему автентифікації на основі інтелектуальних карт. Якщо є вірогідність умисного пошкодження сервера баз даних, що може мати серйозні наслідки, можна врізати замки в двері серверної кімнати або поставити біля кожного сервера охорону.

Оцінюючи вартість заходів захисту, доводиться, зрозуміло, враховувати не тільки прямі витрати на закупівлю устаткування та/або програм, але і витрати на впровадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім зіставити її з різницею між обчисленим і допустимим ризиком. Вибираючи відповідний спосіб захисту, доцільно враховувати можливість одним механізмом забезпечення безпеки відразу декількох прикладних сервісів. Важливою обставиною є сумісність нового засобу з організаційною і апаратний-програмною структурою, що склалася, з традиціями організації.

Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжіння на пом'якшення наслідків і вироблення планів відновлення після аварій, стихійних лих і інших подій.

7. Реалізація і перевірка вибраних заходів.

Як і всяку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. У плані необхідно врахувати наявність фінансових коштів і терміни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування (автономного і комплексного).

8. Оцінка залишкового ризику.

Коли накреслені заходи прийняті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Якщо це насправді так, значить, можна спокійно намічати дату найближчої переоцінки. Інакше доведеться проаналізувати допущені помилки і провести повторний сеанс управління ризиками негайно.

Етапи 6 і 7 відносяться до вибору захисних засобів (нейтралізації ризиків), інші - до оцінки ризиків.

Вже перелік етапів показує, що управління ризиками - процес циклічний. По суті, останній етап - це оператор кінця циклу, що повертає до початку. Ризики потрібно контролювати постійно, періодично проводячи їх переоцінку. Відзначимо, що сумлінно виконана і ретельно документована перша оцінка може істотно спростити подальшу діяльність.

Управління ризиками, як і будь-яку іншу діяльність у області ІБ, необхідно інтегрувати в життєвий цикл ІС. Тоді ефект виявляється найбільшим, а витрати - мінімальними. Раніше ми визначили п'ять етапів життєвого циклу. Стисло опишемо, що може дати управління ризиками на кожному з них.

На етапі ініціації відомі ризики слід врахувати при виробітку вимог до системи взагалі і засобам безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль в забезпеченні безпеки.

На етапі установки виявлені ризики слід враховувати при конфігурації, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками повинно супроводжувати всі істотні зміни в системі.

При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечним чином.