Вопросы управления рисками информационной безопасности. Анализ и управление рисками при реализации информационной безопасности

В январе 2018 года на Всемирном экономическом форуме в Давосе был представлен «Отчет о глобальных рисках для человечества 2018». Из отчета следует, что значимость рисков информационной безопасности возрастает как в связи с увеличением количества реализованных атак, так и с учетом их разрушительного потенциала.

Одними из самых распространенных в мире методик управления рисками информационной безопасности являются CRAMM, COBIT for Risk, FRAP, Octave и Microsoft. Наряду с определенными преимуществами они имеют и свои ограничения. В частности, перечисленные зарубежные методики могут эффективно использоваться коммерческими компаниями, в то время как государственным организациям при оценке и управлении рисками информационной безопасности необходимо руководствоваться положениями нормативных актов ФСТЭК России. Например, для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах следует руководствоваться приказом ФСТЭК России от 14 марта 2014 г. № 31. Вместе с тем этот документ в качестве дополнительного материала мог бы использоваться и федеральными органами исполнительной власти.

Риски информационной безопасности в современном обществе

За последнее время число атак на организации удвоилось. Атаки, ведущие к экстраординарному ущербу, становятся обычным явлением. Финансовый ущерб от атак возрастает и одни из самых больших потерь связаны с атаками вирусов-вымогателей. Ярким примером этого являются атаки вирусов-вымогателей WannaCry и NotPetya, затронувшие более 300 тыс. компьютеров в 150 странах мира и приведшие к финансовым потерям более 300 млн долл.

Еще одной тенденцией является увеличение количества атак на объекты критической инфраструктуры и стратегические промышленные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Таким образом, риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности является одним из приоритетных направлений развития организаций по всему миру и абсолютно необходимо для их дальнейшего функционирования.

Цели и подходы к управлению рисками информационной безопасности

Целью любой организации является достижение определенных показателей, характеризующих результаты ее деятельности. Например, для коммерческих компаний это извлечение прибыли, рост капитализации, доли рынка или оборота, а для правительственных организаций – предоставление государственных услуг населению и решение задач управления. В любом случае, независимо от цели деятельности организации, достижению этой цели может помешать реализация рисков информационной безопасности. При этом каждая организация по-своему оценивает риски и возможность инвестирования в их снижение.

Таким образом, целью управления рисками информационной безопасности является поддерживание их на приемлемом для организации уровне. Для решения данной задачи организации создают комплексные системы информационной безопасности (СИБ).

При создании таких систем встает вопрос выбора средств защиты, обеспечивающих снижение выявленных в процессе анализа рисков информационной безопасности без избыточных затрат на внедрение и поддержку этих средств. Анализ рисков информационной безопасности позволяет определить необходимую и достаточную совокупность средств защиты информации, а также организационных мер направленных на снижение рисков информационной безопасности, и разработать архитектуру СИБ организации, максимально эффективную для ее специфики деятельности и направленную на снижение именно ее рисков информационной безопасности.

Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от используемой методики оценки и управления рисками:

1. Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски.
2. Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.
3. Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.
4. Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:
   • Избегание риска;
   • Принятие риска;
   • Передача риска;
   • Снижение риска.
   Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:
   • Ответственный за реагирование;
   • Описание мер реагирования;
   • Оценка необходимых инвестиций в меры реагирования;
   • Сроки реализации этих мер.
5. Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.
6. Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.

Рассмотрим наиболее известные методики управления рисками информационной безопасности: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Обзор методики CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

1. Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.
2. Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:
   • Данные;
   • Программное обеспечение;
   • Физические активы.
   Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.
3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.
4. Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.
5. Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

• Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;
• Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;
• Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;
• Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

• Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;
• Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;
• Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM.

Обзор методологии COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:
• Принципы, политики, процедуры организации;
• Процессы;
• Организационная структура;
• Корпоративная культура, этика и правила поведения;
• Информация;
• ИТ-сервисы, ИТ-инфраструктура и приложения;
• Люди, их опыт и компетенции.

В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:
• Необходимый процесс;
• Информационные потоки;
• Организационная структура;
• Люди и компетенции.
Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:
• Создание и обслуживание портфелей ИТ-проектов;
• Управление жизненным циклом программы / проекта;
• Инвестиции в ИТ;
• Экспертиза и навыки персонала ИТ;
• Операции с персоналом;
• Информация;
• Архитектура;
• ИТ-инфраструктура;
• Программное обеспечение;
• Неэффективное использование ИТ;
• Выбор и управление поставщиками ИТ;
• Соответствие нормативным требованиям;
• Геополитика;
• Кража элементов инфраструктуры;
• Вредоносное программное обеспечение;
• Логические атаки;
• Техногенное воздействие;
• Окружающая среда;
• Природные явления;
• Инновации.
Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:
• Стратегические риски – риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;
• Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;
• Риски управления ИТ и предоставления ИТ-сервисов – риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.
Каждый рисковый сценарий содержит следующую информацию:
• Тип источника угрозы - внутренний/внешний.
• Тип угрозы - злонамеренное действия, природное явление, ошибка и др.
• Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.
• Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.
• Время события.
В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:
• Избегание риска;
• Принятие риска;
• Передача риска;
• Снижение риска.
Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:
• Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;
• Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;
• Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;
• Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;
• Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.
При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:
• Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;
• Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.
Данный метод применяется как в правительственных, так и в коммерческих организациях по всему миру. Метод является наиболее подходящим для крупных технологических организаций или организаций с высокой степенью зависимости основной деятельности от информационных технологий, для тех, кто уже используют (или планируют использовать) стандарты и методики COBIT для управления информационными технологиями и имеют необходимые для этого ресурсы и компетенции. В этом случае возможна эффективная интеграция процессов управления рисками информационной безопасности и процессов общего управления ИТ и достижение синергетического эффекта, который позволит оптимизировать затраты на реализацию процессов анализа и управления рисками информационной безопасности.

В этой части рассмотрены следующие вопросы:

• Управление безопасностью
• Распределение обязанностей по управлению безопасностью
• Подход "сверху-вниз"
• Администрирование безопасности и защитные меры
• Основные принципы безопасности (AIC-триада)
• Доступность
• Целостность
• Конфиденциальность
• Определения безопасности (уязвимость, угроза, риск, воздействие, контрмеры)
• Безопасность посредством неизвестности

Обновлено: 21.02.2010

Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности. Эти ключевые аспекты служат основой корпоративной программы безопасности. Целью безопасности и программы безопасности является защита компании и ее активов. Анализ рисков позволяет идентифицировать эти активы, выявить угрозы, вызывающие риски для них, оценить возможные потери и потенциальные убытки, которые компания может понести в случае реализации любой из этих угроз. Результаты анализа рисков помогают руководству подготовить бюджет, учитывающий все необходимые затраты для защиты идентифицированных активов от выявленных угроз, и разрабатывать применимые на практике политики безопасности, которые направляют деятельность по обеспечению безопасности. Обучение и повышение осведомленности по вопросам безопасности позволяет довести необходимый объем информации до сведения всех и каждого сотрудников компании, что упрощает их работу и позволяет достичь целей безопасности.

Процесс управления безопасностью является непрерывным. Он начинается с оценки рисков и определения потребностей, затем следует мониторинг и оценка систем и применяемых методов работы. После этого проводится повышение осведомленности сотрудников компании, которое обеспечивает понимание вопросов, которые должны учитываться. Последним шагом является внедрение политик и защитных мер, направленных на снижение рисков и реализацию потребностей, определенных на первом шаге. Затем цикл начинается сначала. Таким образом, этот процесс постоянно анализирует и контролирует безопасность компании, позволяет ей адаптироваться и развиваться с учетом потребностей в обеспечении безопасности и тех условий, в которых компания существует и работает.

Управление безопасностью со временем меняется, так как меняется сетевое окружение, компьютеры и приложения, обрабатывающие информацию. Интернет, сети экстранет (сети бизнес-партнеров), сети интранет делают безопасность не только более сложной, но и более критичной. Ядро сетевой архитектуры изменилось с локализованных автономных вычислений на среду распределенных вычислений, что многократно увеличило ее сложность. Хотя доступ из внутренней сети в Интернет дает пользователям ряд важных возможностей и удобств, он увеличивает уязвимость компании из Интернета, что может стать источником дополнительных рисков безопасности.

Сегодня большинство организаций не смогут работать без компьютеров и их вычислительных возможностей. Многие крупные корпорации уже осознали, что их данные – это важнейший актив, который нужно защищать наравне со зданиями, оборудованием и другими физическими активами. Безопасность должна меняться одновременно с изменениями сетей и окружения. Безопасность – это больше, чем просто межсетевой экран и маршрутизатор со списком контроля доступа. Эти системы несомненно важны, но гораздо большее значение для безопасности имеет управление действиями пользователей и процедурами, которым они следуют. Это приводит нас к практике управления безопасностью, которая сосредоточена на постоянной защите активов компании.

В мире безопасности, в функции руководителя входит определение целей, границ, политик, приоритетов и стратегий. Руководству нужно определить четкие границы и актуальные цели, достижение которых ожидается в результате выполнения программы безопасности. Также руководству нужно оценить цели бизнеса, риски безопасности, продуктивность пользователей, функциональные требования и цели. Наконец, руководство должно определить шаги, обеспечивающие правильное распределение и решение этих задач.

Многие компании смотрят на бизнес как на элементы уравнения и полагают, что обеспечение информационной и компьютерной безопасности входит в обязанности ИТ-администратора. Руководство таких компаний не воспринимает информационную и компьютерную безопасность всерьез, в результате чего безопасность в таких компаниях выглядит недоразвитой, плохо поддерживаемой, недостаточно финансируемой и неудачной. Безопасность должна учитываться на уровне высшего руководства. ИТ-администратор (или администратор безопасности) может консультировать руководство по вопросам безопасности, но безопасность компании не должна быть полностью делегирована ИТ-администратору (администратору безопасности).

Управление безопасностью основывается на четко идентифицированных и оцененных активах компании. После идентификации и оценки активов внедряются политики безопасности, процедуры, стандарты и руководства по обеспечению целостности, конфиденциальности и доступности для этих активов. Для классификации данных, выполнения анализа и оценки рисков используются различные инструменты. Эти инструменты помогают выявить уязвимости и показывают уровень их критичности, что позволяет внедрить эффективные контрмеры для снижения рисков наиболее оптимальным способом. В обязанности руководства входит обеспечение защиты ресурсов компании в целом. Этими ресурсами являются люди, капитал, оборудование и информация. Руководство должно принимать в этом участие, чтобы убедиться, что программа безопасности внедрена, угрозы, которые влияют на ресурсы компании, учтены, а также чтобы иметь уверенность в том, что необходимые защитные средства эффективны.

Должна быть обеспечена доступность необходимых ресурсов и финансирования, ответственные лица должны быть готовы принять участие в программе безопасности. Руководство должно распределить обязанности и определить роли, необходимые для начала выполнения программы безопасности, обеспечения ее успешного развития и эволюционирования по мере изменения окружения. Руководство также должно интегрировать программу безопасности в имеющуюся бизнес-среду и контролировать их работу. Поддержка руководства – одна из важнейших частей программы безопасности.

В процессе планирования и внедрения программы безопасности специалист по безопасности должен определить выполняемые функции и ожидаемый конечный результат. Часто компании просто начинают блокировать компьютеры и устанавливать межсетевые экраны , не понимая требования безопасности в целом, цели и уровни доверия, которые они хотели бы получить от безопасности в рамках всего окружения. Группе, вовлеченной в данный процесс, следует начать сверху, с очень широких идей и терминов, и двигаться вниз к детальным конфигурациям и системным параметрам. На каждом этапе члены группы должны держать в уме основные цели безопасности, чтобы каждый новый компонент добавлял больше деталей к соответствующей цели.

Политика безопасности является своеобразным фундаментом для программы безопасности компании. К этой политике нужно относиться серьезно с самого начала, в нее должны быть заложены идеи постоянной актуализации, обеспечивающие постоянное функционирование всех компонентов безопасности и работу по достижению целей, соответствующих целям бизнеса.

Следующим шагом является разработка и внедрение процедур, стандартов и руководств, поддерживающих политику безопасности и определяющих контрмеры и методы, которые должны применяться для обеспечения безопасности. Когда эти элементы разработаны, программу безопасности следует детализировать, разработав базисы и конфигурации для выбранных средств и методов безопасности.

Если безопасность основана на прочном фундаменте и разработана с учетом целей и задач, компании не придется вносить в нее существенные изменения. В этом случае процесс может быть более методичным, требующим меньше времени, денег и ресурсов, обеспечивая при этом правильный баланс между функциональностью и защитой. Это не является обязательным требованием, но понимание этого может сделать подход вашей компании к безопасности более управляемым. Вы можете объяснить компании каким образом следует планировать, внедрять и обеспечивать безопасность организованными способами, позволяющими избежать гигантской кучи средств безопасности, разрозненных и полных недостатков.

Для программы безопасности следует использовать подход "сверху-вниз" , означающий, что инициатива, поддержка и определение направления исходит от топ-менеджмента и идет через руководителей среднего звена к сотрудникам. Противоположный подход "снизу-вверх" относится к ситуации, когда ИТ-департамент пытается самостоятельно разработать программу безопасности, без должных указаний и поддержки руководства. Подход "снизу-вверх", как правило, менее эффективен, достаточно узок, и обречен на провал. Подход "сверху-вниз" гарантирует, что движущей силой программы являются люди (высшее руководство), которые действительно ответственны за защиту активов компании.

Если роль администратора безопасности отсутствует, руководство должно создать ее. Роль администратора безопасности напрямую отвечает за контроль основных аспектов программы безопасности. В зависимости от организации, ее размеров и потребностей в безопасности, администрированием безопасности может заниматься один сотрудник или группа сотрудников, работающих централизованно или децентрализовано. Независимо от размеров, администрирование безопасности требует четкой структуры отчетности, понимания обязанностей, а также возможностей проверки и мониторинга, чтобы убедиться в отсутствии нарушений безопасности, вызванных недостатками взаимодействия или понимания.

Владельцы информации должны указывать, какие пользователи могут иметь доступ к их ресурсам и что они могут делать с этими ресурсами. Задача администратора безопасности - убедиться, что этот процесс внедрен. Следующие зашитные меры следует использовать для выполнения указаний руководства по вопросам безопасности:

• Административные меры включают в себя разработку и публикацию политик, стандартов, процедур и руководств, управление рисками, подбор персонала, проведение тренингов по вопросам безопасности, внедрение процедур управления изменениями.
• Т ехнические (логические) меры включают внедрение и поддержку механизмов управления доступом, управления паролями и ресурсами, методами идентификации и аутентификации, устройствами безопасности, а также настройками инфраструктуры.
• Ф изические меры включают в себя контроль доступа людей в здание и различные помещения, использование замков и удаление неиспользуемых дисководов и приводов CD-ROM, защиту периметра здания, выявление вторжений, контроль окружения.

Рисунок 1-1 иллюстрирует совместную работу административных, технических и физических мер безопасности, обеспечивающую необходимый уровень защиты.

Рисунок 1-1 Административный, технический и физический уровни защитных мер должны работать совместно для защиты активов компании

Владельцем информации обычно является ответственный сотрудник, входящий в руководящий состав компании или руководитель соответствующего департамента. Владелец информации обязан обеспечить надлежащую защиту данных, он несет единоличную ответственность за любую халатность в отношении защиты информационных активов компании. Сотрудник, который выполняет эту роль, несет ответственность за классификацию информации, он указывает, как эта информация должна быть защищена. Если защита данных не основана на требованиях владельца информации, если он не контролирует выполнение своих требований, может быть нарушена концепция due care (должной заботы).

Следует обеспечить постоянное взаимодействие между группой администраторов безопасности и высшим руководством, чтобы гарантировать, что программа безопасности получает достаточную поддержку, а руководство принимает необходимые решения по ее реализации. Часто высшее руководство полностью исключает свое участие в вопросах безопасности, не принимая во внимание, что в случае возникновения серьезных инцидентов, связанных с безопасностью, именно высшее руководство будет объяснять их причины бизнес-партнерам, акционерам и публике. После такого случая отношение коренным образом изменяется, руководство максимально включается в вопросы безопасности. Следует обеспечить процесс постоянного взаимодействия между группой администраторов безопасности и высшим руководством, обеспечивающий двусторонние взаимоотношения.

Неадекватное руководство может свести на нет все усилия компании в области безопасности. Возможными причинами неадекватного руководства может быть недостаточное понимание руководством потребностей компании в обеспечении безопасности, конкуренция безопасности с другими целями руководства, взгляд руководства на безопасность как на дорогую и ненужную затею, поддержка безопасности руководством компании только на словах. Мощные и полезные технологии, устройства, программное обеспечение, процедуры и методология обеспечивают определенный уровень безопасности, но без полноценного управления безопасностью и поддержки руководства они не имеют никакого значения.

Существует несколько маленьких и больших задач программы безопасности, но 3 основных принципа есть во всех программах: доступность, целостность и конфиденциальность. Это называется AIC-триадой (Availability, Integrity, Confidentiality). Уровень безопасности, необходимый для реализации этих принципов, отличается в различных компаниях, так как каждая компания имеет собственное уникальное сочетание целей бизнеса и безопасности, а также потребностей. Все защитные меры и механизмы безопасности внедряются для реализации одного (или нескольких) из этих принципов, а все риски, угрозы и уязвимости измеряются по их потенциальной способности нарушения одного или всех принципов AIC. AIC-триада показана на Рисунке 1-2.

Рисунок 1-2 AIC-триада

Доступность

Системы и сети должны обеспечивать достаточный уровень предсказуемости в сочетании с приемлемым уровнем производительности. Они должны иметь возможность восстанавливаться после сбоев быстро и безопасно, чтобы это не оказывало негативного воздействия на производительность работы компании. Следует избегать "единых точек отказа", осуществлять резервное копирование, при необходимости обеспечивать определенный уровень избыточности, предотвращать негативное влияние со стороны внешней среды. Необходимо внедрить механизмы защиты от внутренних и внешних угроз, которые могут сказаться на доступности и производительности сети, систем и информации. Доступность обеспечивает уполномоченным лицам надежный и своевременный доступ к данным и ресурсам.

На доступность системы может повлиять сбой аппаратного или программного обеспечения. Следует использовать резервное оборудование для возможности оперативной замены критически важных систем. Обслуживающий персонал должен обладать всеми необходимыми знаниями и быть доступен для своевременного перехода на резервные системы и выполнения соответствующих настроек. Внешние факторы, такие как температура, влажность, статическое электричество, пыль могут также повлиять на доступность системы. Эти вопросы подробно рассматриваются в Домене 04.

DoS-атаки являются популярной методикой хакеров, нарушающей работу компании. Такие атаки снижают возможности доступа пользователей к ресурсам систем и информации. Чтобы защититься от них, следует ограничивать количество доступных портов, использовать системы IDS , контролировать сетевой трафик и работу компьютеров. Правильная настройка межсетевых экранов и маршрутизаторов также может уменьшить угрозу DoS-атак.

Целостность

Целостность обеспечивает гарантии точности и надежности информации и предоставляющих ее информационных систем, предотвращает возможность несанкционированных изменений. Аппаратные средства, программное обеспечение и коммуникационное оборудование должны работать совместно для надлежащего хранения и обработки данных, их правильного перемещения до места назначения в неизменном виде. Системы и сети должны быть защищены от вмешательства извне.

Атаки на системы или ошибки пользователей не должны влиять на целостность систем и данных. Если злоумышленник установит вирус , логическую бомбу или скрытый вход (backdoor) , целостность системы будет нарушена. Это может негативно повлиять на целостность информации, хранящейся в системе, и привести к мошенничеству, несанкционированным изменениям программного обеспечения и данных. Для борьбы с этими угрозами необходим строгий контроль доступа, системы выявления вторжений.

Пользователи, как правило, влияют на целостность систем или данных в результате ошибок (хотя внутренние пользователи также могут совершать мошеннические или злоумышленные действия). Например, случайное удаление конфигурационных файлов, ввод ошибочной суммы операции и т.д.

Меры безопасности должны ограничить возможности пользователей только минимально необходимым набором функций, что снизит вероятность и последствия их ошибок. Доступ к критичным системным файлам должен быть ограничен для пользователей. В приложениях следует предусмотреть механизмы контроля входящей информации, проверяющие ее корректность и адекватность. Права изменения данных в базах данных должны быть предоставлены только уполномоченным лицам, передаваемые по каналам связи данные должны быть защищены с помощью шифрования или других механизмов.

Конфиденциальность

Конфиденциальность обеспечивает необходимый уровень секретности в каждой точке обработки данных и предотвращает их несанкционированное раскрытие. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи.

Атакующие могут нарушить конфиденциальность, перехватывая сетевой трафик, подглядывая за работой сотрудников, похищая файлы с паролями, применяя методы социальной инженерии. Пользователи могут преднамеренно или случайно разглашать конфиденциальную информацию, забывая зашифровать ее перед отправкой другому лицу, став жертвой атаки с использованием социальной инженерии , предоставляя доступ к секретной информации компании, не обеспечивая необходимой защиты при обработке конфиденциальной информации.

Конфиденциальность может быть обеспечена путем шифрования данных при их хранении и передаче, применения строгой системы контроля доступа, классификации данных, а также обучения персонала правильным методам работы с конфиденциальной информацией.

Важно понимать значение слов "уязвимость", "угроза", "риск", "воздействие", а также взаимосвязь между ними.

Уязвимость - это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании. Уязвимость - это отсутствие или слабость защитных мер. Уязвимостью может являться служба, запущенная на сервере, "непропатченное" приложение или операционная система, неограниченный вход через модемный пул, открытый порт на межсетевом экране, слабая физическая безопасность, позволяющая любому войти в серверную комнату, отсутствие управления паролями на серверах и рабочих станциях.

Угроза - это потенциальная опасность для информации или системы. Угрозой является, если кто-то или что-то выявит наличие определенной уязвимости и использует ее против компании или человека. Нечто, дающее возможность использования уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; торнадо, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов.

Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных и неумышленных ошибок, которые могут привести к уничтожению данных. Если в сети не внедрена система IDS, существует высокая вероятность того, что факт проведенной атаки останется не выявленным, пока уже не будет слишком поздно.

Воздействие (exposure) - это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба. Если управление паролями слабое, а требования к паролям не внедрены, компания подвержена возможному воздействию в результате компрометации паролей пользователей и их использования для несанкционированного доступа. Если компания не следит за своей электропроводкой и не предпринимает шагов для предотвращения пожара, она подвержена потенциальному воздействию пожара.

Контрмеры (или защитные меры ) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, охрана, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей по вопросам безопасности.

Если компания использует антивирусное программное обеспечение, но не обновляет базы вирусных сигнатур, это уязвимость. Компания уязвима для вирусных атак. Угрозой является то, что вирус проникнет в сеть компании и парализует ее работу. Риск в данном случае - это вероятность проникновения вируса в сеть компании и нанесения ей ущерба. Если вирус проникнет в сеть компании, уязвимость будет использована и компания окажется под воздействием нанесенного им ущерба. Контрмерами в этой ситуации будет установка антивирусного программного обеспечения на все компьютеры компании и поддержка актуальности их баз вирусных сигнатур. Взаимосвязь между рисками, уязвимостями, угрозами и контрмерами показана на Рисунке 1-3.

Рисунок 1-3 Взаимосвязь между различными компонентами безопасности

Ссылки

Риск информационной безопасности (information security risk) - «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации» .

В соответствии с ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001-2013 «Система управления информационной безопасностью» - процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Базовый уровень безопасности (baseline security) - обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - ССТА Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI.

Существуют критерии ряда организаций - NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.

Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.

Базовый (baseline ) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

Полный (full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ состоит из этапов, представленных на рис. 1.

Оценка риска

Анализ риска

Идентификация риска

Количественная оценка риска

• 0 х:
  • (Ъ о;

Оценка риска

Вторая точка принятия решения. . Результат обработки риска удовлетворительный?

Рис. 1.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.

Анализ риска включает: идентификацию риска (определение активов, определение угроз, определение существующих мер и средств контроля и управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, установление значений уровня рисков).

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации.

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012 оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, компания должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста .

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

• - определить угрозы и их источники;
• - определить существующие и планируемые меры и средства контроля и управления;
• - определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
• - определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;
• - оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
• - оценить вероятность чрезвычайных сценариев;
• - оценить уровень риска;
• - сравнить уровни риска с критериями оценки и приемлемости рисков.

Применяемая для оценки риска методология должна предусматривать действия, указанные ниже.

• 1. Определение активов.
• 2. Определение угроз.
• 3. Выявление уязвимостей.
• 4. Определение последствий.
• 5. Оценка вероятности инцидента.
• 6. Установление значений уровня рисков.
• 7. Соотнесение рисков с критериями.
• 8. Определение мер обработки риска.

Схема деятельности по обработке риска показана на рис. 2.

Удовлетворительная

Первая точка принятия решения. Результат оценки риска удовлетворительный?

ОБРАБОТКА РИСКА

Рис. 2.

с ГОСТ Р ИСО/МЭК 27005-2010

Помимо указанных действий в организации должен предусматриваться и мониторинг рисков.

Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.

При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:

• - снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;
• - сохранен (принят), как приемлемый для рассматриваемого объекта оценки;
• - предотвращен, за счет отказа от использования подверженного угрозе ресурса;
• - перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса.

Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска .

На рис. 3 схематично изображен процесс оценки рисков информационной безопасности . Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.

Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей.

В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

• - возможного ущерба, наносимого организации в результате нарушений безопасности активов;
• - вероятности наступления такого нарушения;
• - величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются

Рис. 3.

все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После того, как были определены величина возможного ущерба и вероятность реализации угроз, определяется величина риска.

Вычисление рисков производится путем комбинирования возможного ущерба, выражающего вероятные последствия нарушения безопасности активов, и вероятности реализации угроз.

Такое комбинирование часто осуществляется при помощи матрицы, где в строках размещаются возможные значения ущерба, а в столбцах - вероятности реализации угрозы, на пересечении - величина риска.

Далее производится сравнение вычисленных уровней риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Результаты оценки рисков используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков, позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

Существует множество методик анализа и оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие наоборот, активно его используют.

Несмотря на повышение интереса к управлению рисками, большинство из используемых в настоящее время методик относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

Для решения задачи оценки рисков информационной безопасности классическими являются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других. Все известные методики можно классифицировать следующим образом :

• - методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»), к таким методикам, в частности, относится FRAP;
• - количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь), к этому классу относится методика RiskWatch;
• - методики, использующие смешанные оценки (такой подход используется в CRAMM, методике MSAT).

До принятия решения о внедрении той или иной методики управления рисками ИБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В табл. 1 представлен сравнительный анализ классических методик (CRAMM, ГРИФ, RiskWatch, CORAS, MSAT).

Таблица 1

Сравнение программного инструментария для управления рисками ИБ

Критерии сравнения		ГРИФ	RiskWatch
Риски
Использование понятия максимально допустимого риска
Подготовка плана мероприятий по снижению рисков
Управление
Информирование руководителя
План работ по снижению рисков
Включает проведение тренингов, семинаров, собраний
Оценка бизнес-рисков/операционных рисков/ИТ-рисков
Оценка рисков на организационном уровне
Оценка рисков на техническом уровне
Предлагаемые способы снижения рисков
Обход (предотвращение) риска
Снижение риска
Принятие риска
Процессы
Использование элементов риска
Материальные активы
Нематериальные активы
Ценность активов
Уязвимости
Меры безопасности
Потенциальный ущерб
Вероятность реализации угроз

Критерии сравнения
Рассматриваемые типы рисков
Бизнес-риски
Риски, связанные с нарушением законодательных актов
Риски, связанные с использованием технологий
Коммерческие риски
Риски, связанные с привлечением третьих лиц
Риски, связанные с привлечением персонала
Способы измерения величин рисков
Качественная оценка
Количественная оценка
Способы управления
Качественное ранжирование рисков
Использование независимой оценки
Расчет возврата инвестиций
Расчет оптимального баланса между различными типами мер безопасности, такими как:
Меры предотвращения
Меры выявления
Меры по исправлению
Меры по восстановлению
Интеграция способов управления
Описание назначения способов управления
Процедура принятия остаточных рисков
Управление остаточными рисками
Мониторинг рисков
Применение мониторинга эффективности мер ИБ
Проведение мероприятий по снижению рисков
Использование процесса реагирования на инциденты в области ИБ
Структурированное документирование результатов оценок рисков

Примечание: Таблица сравнения программного инструментария для анализа и оценки рисков приводится по материалам статьи: Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. -

2014.-№4.- С. 160-168.

Оценка С RAMM

Данная методика не учитывает сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам рисков. В отношении стратегии работы с рисками, CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как обход или принятие, не рассматриваются. В методике отсутствуют:

процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.

Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков. Кроме того, следует отметить высокую стоимость лицензии.

Оценка ГРИФ

Методика ГРИФ использует количественные и качественные способы оценки рисков, а также определяет условия, при которых последние могут быть приняты компанией, включает в себя расчет возврата инвестиций на внедрение мер безопасности. В отличие от других методик анализа рисков, ГРИФ предлагает все способы снижения рисков (обход, снижение и принятие). Данная методика учитывает сопроводительную документацию, такую как описание бизнес-процессов или отчетов по проведенным оценкам рисков ИБ.

Оценка RiskWatch

Эта методика использует количественные и качественные способы оценки рисков. Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Существенным достоинством RiskWatch является интуитивно понятный интерфейс и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д.

Оценка CORAS

CORAS не предусматривает такой эффективной меры по управлению рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки рисков и обновление их величин, что свидетельствует о том, что методика пригодна для выполнения разовых оценок и не годится для регулярного использования.

Положительной стороной CORAS является то, что программный продукт, реализующий эту методику, распространяется бесплатно и не требует значительных ресурсов для установки и применения.

Оценка MSA Т

Ключевыми показателями для данного программного продукта являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценке уровня защищенности системы в организациях разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности). MS АТ не дает количественной оценки уровня рисков, однако, качественные оценки могут быть привязаны к ранговой шкале.

MS АТ позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, но не дает возможности найти оптимальный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов.

Рассмотренные методики хорошо соответствуют требованиям групп «Риски» и «Процессы (Использование элементов риска)», но некоторые из них (CRAMM, CORAS) имеют недостатки в соответствии с разделами «Мониторинг» и «Управление», а также со многими подразделами «Процессы». Немногие (ГРИФ, RiskWatch, MSAT) дают подробные рекомендации по поводу составления расписания проведения повторных оценок рисков.

В тех случаях, когда требуется выполнить только разовую оценку уровня рисков в компании среднего размера, целесообразно рекомендовать использование методики CORAS. Для управления рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методики Microsoft Security Assessment Tool и RiskWatch предпочтительны для использования в крупных компаниях, где предполагается внедрение управления рисками ИБ на базе регулярных оценок, на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.

ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. - 2009. - № 1(49). - С. 15-26.

Баранова Е. К. Методики анализа и оценки рисков информационной безопасности// Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. - 2015. - № 1(9). - С. 73-79.

Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности (рис. 4.11).

Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценка рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы [Галатенко В. А., 2006]:

• идентификация активов и ценности ресурсов, нуждающихся в защите;
• выбор анализируемых объектов и степени детальности их рассмотрения;
• анализ угроз и их последствий, определение слабостей в защите;
• классификация рисков, выбор методологии оценки рисков и проведение оценки;
• выбор, реализация и проверка защитных мер;
• оценка остаточного риска.

Рис. 4.11. Неопредленнось как основа формирования риска

Политика ИБ включает разработку стратегии управления рисками разных классов.

Краткий перечень наиболее распространенных угроз приводился выше (см. п. 17.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного пользователя или оборудования.

Очевидно, что для противодействия каждому способу нелегального входа нужны свои механизмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации компании, ослабление её позиций на рынке и т. п.

После проведения идентификации и анализа угроз, их возможных последствий имеется несколько подходов к управлению: оценка риска, уменьшение риска, уклонение от риска, изменение характера риска, принятие риска, выработка корректирующих мероприятий (рис. 4.12).

Рис. 4.12. Схема управления рисками

При идентификации активов и информационных ресурсов - тех ценностей, которые нужно защитить - следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Выбор анализируемых объектов и степень детальности их рассмотрения - следующий шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной - следует сосредоточиться на наиболее важных (критичных) сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или неизвестны. Если информационной основой организации является локальная сеть, то в число аппаратных объектов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование.

К программным объектам следует отнести операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать в каких узлах сети хранится программное обеспечение, где и как используется. Третьим видом информационных объектов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.

Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому. По этой шкале можно оценивать приемлемость рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью. Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения серверов различного назначения, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.

Технология оценки рисков должна сочетать формальные метрики и формирование реальных количественных показатели для оценки. С их помощью необходимо ответить на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

Рис. 4.13. Схема оценки и снижения рисков

Методология снижения рисков. Многие риски можно существенно уменьшить путем использования простых и недорогих контрмер. Например, грамотное (регламентированное) управление доступом снижает риск несанкционированного вторжения. От некоторых классов рисков можно уклониться - вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Некоторые риски не могут быть уменьшены до малой величины, однако после реализации стандартного набора контрмер их можно принять, постоянно контролируя остаточную величину риска (рис. 4.13).

Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и/или программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость можно выразить в некоторой шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю средство защиты оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению.

Рис. 4.14. Итерационный процесс управления рисками

Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность - убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.

Управление рисками является многоступенчатым итерационным процессом (рис. 4.14).

Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками - типичная оптимизационная задача, принципиальная трудность состоит в её грамотной постановке на уровне высшего менеджмента, сочетании оптимальных методик и описания исходных данных (рис. 4.15).

Рис. 4.15. Формирование деятельности по управлению ИТ-рисками

Методологии "Оценка рисков" (Risk Assessment) и "Управление рисками" (Risk Management) стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security). Программа реализации ИБ и наборы политик базируются на совокупности системных действий и практических шагов (рис. 4.16-рис. 4.19).

Рис. 4.16. Совокупности системных действий и практических шагов (1)

Рис. 4.17. Совокупности системных действий и практических шагов (2)

Рис. 4.18. Совокупности системных действий и практических шагов (3)

Рис. 4.19. Совокупности системных действий и практических шагов (4)

Подготовлено и активно используются более десятка различных международных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками: ISO 15408: 1999 ("Common Criteria for Information Technology Security Evaluation"), ISO 17799:2002 ("Code of Practice for Information Security Management"), NIST 80030, SAS 78/94, COBIT.

Методика и инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях руководств Британского национального института стандартов (BSI) - PD 3002 ("Руководство по оценке и управлению рисками"), PD 3003 ("Оценка готовности компании к аудиту в соответствии с BS 7799"), PD 3005 ("Руководство по выбору системы защиты").

На практике такие методики управления рисками позволяют:

• создавать модели информационных активов компании с точки зрения безопасности;
• классифицировать и оценивать ценности активов;
• составлять списки наиболее значимых угроз и уязвимостей безопасности;
• ранжировать угрозы и уязвимости безопасности;
• оценивать и отрабатывать риски;
• разрабатывать корректирующие меры;
• обосновывать средства и меры контроля рисков;
• оценивать эффективность/стоимость различных вариантов защиты;
• формализовать и автоматизировать процедуры оценивания и управления рисками.

Отработка рисков включает в себя ряд важных этапов, которые в обязательном порядке включаются в плановую работу по обеспечению информационной безопасности (рис. 4.20).

Применение соответствующих программных средств позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время разработано более десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Примером достаточно простого средства является программный пакет BSS (Baseline Security Survey, UK).

Программные продукты более высокого класса: CRAMM (компания Insight Consulting Limited, UK), Risk Watch, COBRA (Consultative Objective and Bi-Functional Risk Analysis), Buddy System. Наиболее популярный из них - CRAMM (Complex Risk Analysis and Management Method), реализующий метод анализа и контроля рисков. Существенным достоинством метода является возможность проведения детального исследования в сжатые сроки с полным документированием результатов.

Рис. 4.20. Этапы отработка риска

В основе методов, подобных CRAMM, лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора.

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• в основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

Для коммерческих организаций имеется коммерческий профиль стандартов безопасности (Commercial Profile), для правительственных организаций - правительственный (Government Profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта TCSEC ("Оранжевая книга").

История доказывала много раз, что стабильность, какой бы идеальной и хорошей она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценки возможностей и решений, приводящих к успеху или поражению. Но многое зависит от нас. Благополучно ли закончится прыжок с парашютом? Зависит от того, правильно ли он был уложен, знаете ли вы порядок действий при прыжке и т.д. Теперь риск равен нулю? Нет, но своими действиями вы смогли существенно снизить его. Помимо индивидуальных рисков, выделяют риски социальные, технологические и многие другие. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.

Антон Макарычев
Руководитель направления ИБ Группы компаний “Компьюлинк"

Стандарт управления рисками ISO 31000:2009 дает определение риска как результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанное с пониманием события или знаниями о нем, его последствиями или вероятностью. Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность принятых мер также отдается на волю случая. Все равно что использовать бензопилу в качестве топора, не удосужившись прочитать инструкцию по применению. Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с существующими наработками и стандартами в этой области.

От общего к частному

Рассматривая управление рисками в фокусе информационной безопасности, полезно иметь представление о следующих документах:

• международный стандарт ISO 31000:2009;
• концептуальные основы управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея (COSO ERM);
• стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в общественном секторе Великобритании.

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым.

ISO 31000:2009 является основным международным стандартом по управлению рисками для организаций и дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.

Более подробные инструкции содержатся в Концептуальных основах управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея. В частности, практическую пользу, помимо самого документа, представляют дополнительные материалы, выпущенные Комитетом COSO:

• ERM Risk Assessment in Practice (практика проведения оценки рисков в системе управления рисками);
• Enterprise Risk Management for C
• oud Computing (управление рисками для систем облачных вычислений);
• Enterprise Risk Management – Understanding and Communicating Risk Appetite (понимание и коммуникация риск-аппетита в системе управления рисками);
• Embracing Enterprise Risk Management: Practica
• Approaches for Getting Started (практические подходы для начала внедрения системы управления рисками) и др.

Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.

Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов, – различия в определениях. Например, определение понятия "риск" в стандарте ISO – это вероятность и положительного и негативного последствия, в стандарте COSO – это только вероятность негативного последствия, для положительного, есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.

Еще одним полезным документом является стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в Общественном секторе Великобритании. Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками (рис. 2).

Он будет крайне полезен для малого и среднего бизнеса, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.

Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:

• ISO 31000:2009 подойдет в качестве основного для любой организации;
• AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний;
• COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.

Управление рисками информационной безопасности

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым. Доступность ЦОД измеряется в пяти и шести "девятках", а сбои в информационных системах крупных компаний становятся новостями мирового масштаба.

Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IТ-рискам, которые занимаются выявлением и управлением рисками в данной сфере.

Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками информационной безопасности в организации – ISO 27005:2008 "Информационные технологии – техники безопасности – управление рисками информационной безопасности". Однако, помимо него, существуют и другие не менее полезные документы, например:

• рабочая среда по управлению IТ-рисками (The Risk IT Framework) и инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA;
• авторская методика по управлению рисками информационных систем Кена Джаворски (Ken Jaworski).

Рассмотрим каждый из них подробнее.

В стандарте ISO 27005:2008 дается определение риска информационной безопасности – вероятность того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации.

В соответствии со стандартом процесс управления рисками информационной безопасности позволяет организовать следующее:

• идентификацию рисков;
• оценку рисков в терминах последствий для бизнеса и вероятности их появления;
• сообщение и осознание вероятности и последствий рисков;
• выстраивание порядка приоритетов для обработки рисков;
• выстраивание приоритета для действий по уменьшению вероятности возникновения рисков;
• вовлечение заинтересованных лиц в процесс принятия решений по управлению рисками и информирование о статусе процесса управления рисками;
• мониторинг эффективности обработки рисков;
• регулярное отслеживание и пересмотр рисков и процесса управления рисками;
• выявление информации для улучшения подхода к управлению рисками;
• обучение менеджеров и сотрудников рискам и действиям для их снижения.

В области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Примечательно, что схема процесса управления рисками информационной безопасности совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.

Рабочая среда по управлению IТ-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению – методологию и практические примеры.

В данном документе дается определение IТ-риска – это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией IТ в организации.

Процессная модель данной среды состоит из трех доменов:

• управление риском (Risk Governance);
• оценка риска (Risk Evaluation);
• реагирование на риск (Risk Response).

В документе тщательно разобрана эта трехдоменная модель. Приведены все необходимые определения, разобрана ролевая модель по перечисляемым процессам, а также порядок внедрения.

Инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены необходимые шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Также дается описание лучших практик внедрения систем IТ-рисков.

Методика по управлению рисками информационных систем Кена Джаворски основана на стандарте ISO и акцентирует свое внимание на практических аспектах внедрения системы управления рисками, а также содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.

Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Заключение

Система управления рисками как часть корпоративного управления уже показывает свою эффективность в тех компаниях, в которых она начинает внедряться или уже внедрена. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки. Принципиальным моментом является тот факт, что, помимо "общих" документов, существуют отраслевые стандарты управления рисками, в частности управления рисками IТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый административный ресурс, недостаточно уделяя внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.