[МУЗЫКА] Рассмотрим подробнее управление рисками,
как одно из мероприятий, входящих в административные меры защиты информации.
Прежде всего дадим определение ряду понятий на основе еще одного действующего
государственного стандарта Российской Федерации — на основе
международного стандарта, а именно, стандарта «Информационные технологии.
Методы и средства обеспечения безопасности» и конкретно его первой части
— концепции и модели менеджмента безопасности информационных и
телекоммуникационных технологий.
Первое понятие, которое нам потребуется, это понятие активов.
Под активами следует понимать всё, что имеет ценность для организации.
То есть, по сути, любые объекты,
которые могут стать целью воздействия нарушителя или целью реализации угроз.
Далее, понятие риска определяется в данном государственном стандарте,
и под ним понимается потенциальная опасность нанесения ущерба организации в
результате реализации некоторой угрозы с использованием уязвимости
актива или группы активов.
По сути, риск по данному определению — это некий аналог угрозы,
но в чем различаются эти понятия, будет ясно чуть далее.
Риск определяется как сочетание вероятности события и его последствий.
Если мысленно обратиться к методике определения актуальности угроз,
которую мы рассматривали в одной из первых лекций,
то снова будет видна вполне очевидная аналогия.
Риск определяется как вероятность некоего события и его последствий.
А для того чтобы определять актуальность угрозы,
мы тоже смотрели вероятность угрозы в одном из случаев,
либо возможность ее реализации и ее последствия.
Далее сочетание этих двух факторов давало вывод о том,
является ли та или иная угроза актуальной.
В случае же с риском на основе этих двух факторов, по сути, оценивается,
какую финансовую потерю может понести организация в случае реализации рисков.
То есть риск, по сути, это не что иное,
как угроза потери некоей суммы денежных средств, у которой есть некая вероятность.
Далее, в зависимости от размера этой потенциальной суммы потерь и вероятности,
можно принимать различные решения относительно того,
как следует с данным риском поступить.
Менеджмент риска, или управление риском, еще одно понятие, которое определяется в
данном государственном стандарте, — это полный процесс идентификации, контроля,
устранения или уменьшения последствия опасных событий,
которые могут оказать влияние на ресурсы информационно-телекоммуникационных
технологий.
То есть, по сути, вся последовательность действий от определения источника угрозы,
если мы продолжаем аналогично сравнивать риск и угрозу,
до момента, когда мы принимаем какие-то конкретные осмысленные действия,
которые данную угрозу минимизируют.
Или принимаем решение, что нам делать в ситуации,
если эта угроза будет реализована.
Оценка риска, еще одно определение, — это процесс, объединяющий идентификацию риска,
анализ риска и оценивание риска.
Это некий аналог оценки угрозы до построения ее модели из компонент и,
собственно, понимание того, какими последствиями данная угроза грозит.
Не оценки еще уровня этой угрозы — насколько она опасна,
насколько ее последствия опасны, а именно формулировки,
какие последствия данная угроза может иметь.
И анализ риска — это систематический процесс определения величины риска.
То есть это, по сути, как раз аналог оценки опасности угрозы,
то есть оценки уровня опасности ее последствий.
Риск в этом смысле получается очень аналогичным понятием,
но его отличие именно в том, что риск предполагает расчеты с финансами,
расчеты в терминах денежных потерь организации.
Обработка риска, еще одно понятие, — это процесс выбора и осуществления мер по
модификации риска, то есть по сути наши ответные действия, что мы будем делать,
когда риск уже определен и проанализирован.
А остаточный риск — это риск, остающийся после его обработки.
Не всегда удается полностью ликвидировать угрозу реализации какого-то события,
но возможно снизить ее вероятность либо снизить ущерб от нее.
То, что получается после того,
как мы реализовали какие-то конкретные меры, и есть остаточный риск.
То есть, например, угроза со сниженной вероятностью,
которая случается уже не раз в год, а допустим, раз в несколько лет.
Или вероятность реализации угрозы мы сильно снизили, потому что теперь
нарушитель не со средним потенциалом может ее реализовать, а только лишь с высоким,
потому что мы предприняли дополнительные меры защиты информации.
Управление рисками, как правило, включает в себя две категории
мероприятий — это оценку или измерение рисков,
то есть оценку вероятности реализации угрозы, ее возможного ущерба, возможно,
выраженного в финансовых потерях, и нейтрализацию рисков,
то есть выбор эффективных мер защиты или реагирования на реализацию угрозы.
По сути, это построение модели угроз и выбор конкретных мер
противодействия угрозам, которые мы признали актуальными.
В случае с рисками, опять же, не только про актуальные угрозы идет речь,
а вообще про все, только в зависимости от того, какова их вероятность,
предпринимаются различные ответные меры.
Как раз понятие защитная мера определено в данном государственном стандарте, и под
ним подразумевается сложившаяся практика, либо процедура и механизм обработки риска.
То есть некое действие, которое мы осознанно предпринимаем для того,
чтобы данный риск не был бы для нас критичным,
для того чтобы минимизировать потери от него.
Необязательно это предполагает устранение риска.
О том, какие могут быть меры, мы чуть далее поговорим.
Этапы управления рисками, таким образом, включают следующие действия.
Во-первых, это выбор анализируемых объектов и уровня детализации их
рассмотрения.
Снова, смотрите, есть некая аналогия с анализом угроз.
Выбор методики оценки рисков, идентификация активов,
анализ угроз и их последствий, выявление уязвимых мест в защите.
Мы определяем, что у нас может быть уязвимым,
то есть производим идентификацию активов, определяем все объекты,
которые представляют некую ценность для организации,
выбираем методики оценки рисков, то есть по какой шкале или по каким математическим
принципам мы будем оценивать вероятности реализации тех или иных рисков,
и анализируем угрозы и их последствия, выявляем уязвимые места в защите.
По сути, можно сказать, что управление рисками опирается на построение модели
угроз и берет результаты оценки актуальности угроз как исходный материал.
Далее каждая угроза рассматривается как риск, и как раз показатель ее
актуальности позволяет сделать вывод о том, насколько актуален тот или иной риск,
насколько он вероятен, и принять решения о том, что с ним делать.
Далее всё продолжается оценкой рисков, выбором защитных мер,
реализацией и проверкой выбранных мер и оценкой остаточных рисков.
Среди возможных мер защиты, которые могут быть предприняты по отношению к рискам,
можно выделить следующие.
Во-первых, ликвидация риска, и чаще всего это связано с ликвидацией непосредственно
угрозы, например, путем ликвидации источника угрозы,
то есть ликвидации некоей уязвимости в системе, если ее удалось успешно закрыть,
то можно говорить о том, что риск ликвидирован.
Уменьшение риска — это еще одна из возможностей.
Она заключается в повышении уровня защищенности и таким образом в снижении
вероятности реализации угрозы.
То есть, как уже было сказано, если мы предпринимаем дополнительные меры защиты,
то, например, нарушитель должен обладать более высоким потенциалом нападения для
успешной реализации такой угрозы.
Кроме того, риск может быть принят.
То есть мы можем решить, что этот риск настолько, допустим,
низко вероятный, что ситуация, когда он реализуется,
считается нами достаточно маловероятной, малореальной.
Мы просто смиряемся с тем, что она может однажды случиться,
и на случай ее реализации, разрабатываем некую последовательность действий,
позволяющих минимизировать последствия.
Последняя возможность — это переадресация риска, по сути,
это заключение страхового договора.
В этом случае, например, если будут повреждены какие-то аппаратные средства
или системы организации, то страховая компания выплачивает возмещение и,
по сути, финансовых потерь не происходит.
В этом случае можно говорить, что риск переадресован.
Управление рисками для достижения наибольшей эффективности рекомендуется
включать в жизненный цикл информационной системы и реализовывать защитные меры
различных категорий на всех этапах жизненного цикла информационной системы.
На этапе проектирования можно выработать адекватные требования к системе и к ее
подсистеме безопасности.
На этапе разработки информационной системы можно
выбрать наименее уязвимые решения и минимизировать уязвимости.
То есть на первом этапе заранее выработать требования, которые бы минимизировали
уязвимости, а на втором этапе выбрать конкретные аппаратные решения,
конкретное программное обеспечение, у которого есть, например,
минимальное количество известных уязвимостей, отказавшись от других,
может быть более популярных, но зато и более уязвимых решений.
На этапе установки и внедрения информационной системы следует произвести
учет рисков при конфигурировании и настройке информационной системы,
а также ее протестировать, то есть не допустить новых уязвимостей,
которые появляются в результате настройки и администрирования системы.
И наконец, на этапе эксплуатации информационной системы учет рисков следует
проводить при всех существенных изменениях в информационной системе.
Это также вполне аналогично требованию проводить анализ угроз каждый раз,
когда информационная система претерпевает любые существенные изменения.
[МУЗЫКА]