Основы построения системы управления рисками ИБ

Александр Бондаренко
Эксперт по информационной безопасности

5 ключевых элементов системы управления рисками ИБ

2. База угроз
Вторым немаловажным элементом системы, безусловно, является база угроз, которая включает в себя описание возможных источников угроз, уязвимостей, способов реализации угроз, объектов воздействия угроз и возможных защитных мер (мер по снижению, передаче, уходу от риска). Чем более полной будет эта база, тем выше точность проводимой с использованием данной базы оценки рисков.

В рамках любой более-менее серьезной оценки рисков требуется принять во внимание сочетание большого количества факторов, и именно наличие подобной базы является фундаментом, который позволит не упустить из виду аспекты, способные повлиять на картину рисков. Следует отметить, что подобная база должна представлять собой не просто список отдельных элементов, но и содержать систему связей между ними, которые определяют, какие угрозы какими источниками за счет каких уязвимостей и какими способами могут быть реализованы. Составлению подобной базы могут помочь специализированные каталоги угроз, которые содержатся в некоторых стандартах, методических документах, публикациях и других методических материалах.

3. Организация совместной работы
Любая оценка рисков подразумевает проведение работ в рамках рабочей группы, состоящей из представителей бизнеса, IT, отдела аудита и/или внутреннего контроля, специалистов по ИБ (в том числе со стороны). Редко когда оценка проводится одним экспертом. А это означает, что система по управлению рисками ИБ должна обеспечивать возможность совместной работы группы людей. Это потребует решения таких вопросов, как организация доступа, разграничение полномочий, фиксация внесенной пользователями информации, журналирование действий и пр.

4. Интеграция с другими системами
В рамках проведения оценки рисков, как правило, осуществляется сбор разного рода информации об объекте, для которого проводится оценка.

В частности, собирается инвентаризационная информация (типы и характеристики объектов защиты, физическое расположение объектов защиты и пр.), информация о применяемых средствах защиты, а также данные, полученные по результатам мониторинга и аудита ИБ. Все чаще вопросы инвентаризации, мониторинга и аудита в компаниях пытаются автоматизировать за счет применения специализированных решений (систем класса SIEM, сканеров уязвимостей, средств IT-инвентаризации), а это значит, что в идеале прикладная система по управлению рисками должна обеспечивать возможность интеграции и получения информации из подобных систем. Это позволит повысить оперативность сбора информации, что, в свою очередь, скажется на сроках проведения и опять же на точности оценки рисков.

5. Технологическая реализация
И последним по списку, но не последним по значимости является вопрос технической реализации системы управления рисками ИБ. Здесь может быть несколько вариантов:

• Создание системы расчета рисков с помощью таблиц Excel. Самый примитивный вариант, что называется, дешево и сердито. Предполагает минимум финансовых затрат, однако работать с указанным файлом сможет скорее всего только его создатель. А в случае рассмотрения и оценки большого количества рисков в рамках оценки придется столкнуться с падением удобства восприятия информации из больших таблиц (на несколько сотен строк).
• Собственная разработка программного инструмента для оценки рисков. В том случае если у вас есть в наличии группа программистов или вы сами обладаете навыками программирования и массой свободного времени, то вы можете разработать подобную систему самостоятельно. Плюсом в данном случае будет то, что вы сможете сделать инструмент, который с большой долей вероятности будет полностью отвечать всем вашим пожеланиям и который вы всегда сможете переделать, как вам вздумается. Главный минус – необходимость инвестирования в разработку собственного времени и/или времени своих коллег или подчиненных.
• Приобретение готового программного продукта для оценки рисков. Подобных систем сейчас в мире существует уже не один десяток. Все они отличаются как по функциональности, так и по стоимости, и если вы решили остановить свой выбор на этом варианте, то потребуется уделить некоторое время тому, чтобы найти тот, который будет максимально отвечать вашим потребностям и ожиданиям.

Заключение

В завершение обсуждения вопроса создания прикладной системы по управлению рисками ИБ хотелось бы представить вам несколько примеров готовых программных решений данного класса и их возможностей (см. табл. 1 и 2).

Уже немало сказано о том, что автоматизация в ИБ жизненно необходима, а это означает, что такой вопрос, как создание собственной (или закупка и внедрение серийно выпускаемой) информационной системы по управлению рисками информационной безопасности, не должен остаться без вашего внимания.