Контакты
Подписка
МЕНЮ
Контакты
Подписка

Основы построения системы управления рисками ИБ

Основы построения системы управления рисками ИБ

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Основы построения системы управления рисками ИБ

Необходимость проведения оценки рисков (моделирования актуальных угроз) в последнее время продиктована большим количеством законодательных и отраслевых требований. Однако многие специалисты, сталкиваясь с необходимостью проведения оценки рисков ИБ, указывают на потребность в специализированном инструменте, иначе говоря, некой программной системе по управлению рисками ИБ, которая должна обеспечить возможность удобного обобщения всей собираемой в ходе оценки рисков информации и наглядное представление итоговых результатов оценки рисков. В настоящей статье речь пойдет об основных элементах таких программных систем, о которых следует знать, если перед вами стоит задача по организации процесса управления рисками.
Александр Бондаренко
Эксперт по информационной безопасности

5 ключевых элементов системы управления рисками ИБ

 

Оценка рисков – это дисциплина, которая является неотъемлемой составляющей многих видов деятельности, в том числе и информационной безопасности.
1. Методика оценки рисков
Прежде чем создать систему управления рисками ИБ, необходимо определиться, какая методика оценки рисков будет заложена в основу данной системы. Здесь есть несколько вариантов: может быть использована одна из многочисленных, публично известных методик (OCTAVE, NIST SP-800-30, РС БР ИББС-2.2-2009, ISO 27005 и др.), либо создана собственная с использованием или без использования вышеуказанных методик. Можно также реализовать возможность оценки по разным методикам, но это повлечет за собой как сложности в реализации самой системы, так и сложности в освоении системы пользователями.

 

2. База угроз
Вторым немаловажным элементом системы, безусловно, является база угроз, которая включает в себя описание возможных источников угроз, уязвимостей, способов реализации угроз, объектов воздействия угроз и возможных защитных мер (мер по снижению, передаче, уходу от риска). Чем более полной будет эта база, тем выше точность проводимой с использованием данной базы оценки рисков.


В рамках любой более-менее серьезной оценки рисков требуется принять во внимание сочетание большого количества факторов, и именно наличие подобной базы является фундаментом, который позволит не упустить из виду аспекты, способные повлиять на картину рисков. Следует отметить, что подобная база должна представлять собой не просто список отдельных элементов, но и содержать систему связей между ними, которые определяют, какие угрозы какими источниками за счет каких уязвимостей и какими способами могут быть реализованы. Составлению подобной базы могут помочь специализированные каталоги угроз, которые содержатся в некоторых стандартах, методических документах, публикациях и других методических материалах.


3. Организация совместной работы
Любая оценка рисков подразумевает проведение работ в рамках рабочей группы, состоящей из представителей бизнеса, IT, отдела аудита и/или внутреннего контроля, специалистов по ИБ (в том числе со стороны). Редко когда оценка проводится одним экспертом. А это означает, что система по управлению рисками ИБ должна обеспечивать возможность совместной работы группы людей. Это потребует решения таких вопросов, как организация доступа, разграничение полномочий, фиксация внесенной пользователями информации, журналирование действий и пр.


4. Интеграция с другими системами
В рамках проведения оценки рисков, как правило, осуществляется сбор разного рода информации об объекте, для которого проводится оценка.

Все чаще вопросы инвентаризации, мониторинга и аудита в компаниях пытаются автоматизировать за счет применения специализированных решений (систем класса SIEM, сканеров уязвимостей, средств IT-инвентаризации), а это значит, что в идеале прикладная система по управлению рисками должна обеспечивать возможность интеграции и получения информации из подобных систем.

В частности, собирается инвентаризационная информация (типы и характеристики объектов защиты, физическое расположение объектов защиты и пр.), информация о применяемых средствах защиты, а также данные, полученные по результатам мониторинга и аудита ИБ. Все чаще вопросы инвентаризации, мониторинга и аудита в компаниях пытаются автоматизировать за счет применения специализированных решений (систем класса SIEM, сканеров уязвимостей, средств IT-инвентаризации), а это значит, что в идеале прикладная система по управлению рисками должна обеспечивать возможность интеграции и получения информации из подобных систем. Это позволит повысить оперативность сбора информации, что, в свою очередь, скажется на сроках проведения и опять же на точности оценки рисков.

5. Технологическая реализация
И последним по списку, но не последним по значимости является вопрос технической реализации системы управления рисками ИБ. Здесь может быть несколько вариантов:

  • Создание системы расчета рисков с помощью таблиц Excel. Самый примитивный вариант, что называется, дешево и сердито. Предполагает минимум финансовых затрат, однако работать с указанным файлом сможет скорее всего только его создатель. А в случае рассмотрения и оценки большого количества рисков в рамках оценки придется столкнуться с падением удобства восприятия информации из больших таблиц (на несколько сотен строк).
  • Собственная разработка программного инструмента для оценки рисков. В том случае если у вас есть в наличии группа программистов или вы сами обладаете навыками программирования и массой свободного времени, то вы можете разработать подобную систему самостоятельно. Плюсом в данном случае будет то, что вы сможете сделать инструмент, который с большой долей вероятности будет полностью отвечать всем вашим пожеланиям и который вы всегда сможете переделать, как вам вздумается. Главный минус – необходимость инвестирования в разработку собственного времени и/или времени своих коллег или подчиненных.
  • Приобретение готового программного продукта для оценки рисков. Подобных систем сейчас в мире существует уже не один десяток. Все они отличаются как по функциональности, так и по стоимости, и если вы решили остановить свой выбор на этом варианте, то потребуется уделить некоторое время тому, чтобы найти тот, который будет максимально отвечать вашим потребностям и ожиданиям.

Заключение

В завершение обсуждения вопроса создания прикладной системы по управлению рисками ИБ хотелось бы представить вам несколько примеров готовых программных решений данного класса и их возможностей (см. табл. 1 и 2).

Уже немало сказано о том, что автоматизация в ИБ жизненно необходима, а это означает, что такой вопрос, как создание собственной (или закупка и внедрение серийно выпускаемой) информационной системы по управлению рисками информационной безопасности, не должен остаться без вашего внимания.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2013
Посещений: 8683

Приобрести этот номер или подписаться
  Автор

Александр Бондаренко

Александр Бондаренко

эксперт по информационной безопасности

Всего статей:  3

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций