Стратегическое управление и обоснование затрат на ИБ: IT GRC вам в помощь

Дмитрий Моисеев
Руководитель практики аналитических систем ИБ,
“Астерос Информационная безопасность"

Что получим, если потратим? Основы риск-ориентированного подхода

Одним из возможных инструментов для решения проблем ИБ-служб является риск-ориентированный подход к обоснованию инвестиций в информационную безопасность, а также к вопросам планирования ресурсов и приоритезации ИБ-проектов.

Управление рисками информационной безопасности – один из основополагающих процессов управления ИБ, поэтому многие компании уже выстроили у себя подобные процессы с той или иной степенью успешности. Как правило, эти процессы выполняются вручную, без использования специализированных систем. То есть большинство компаний проводят оценку рисков на бумаге либо с помощью Microsoft Excel. Зачастую такая оценка носит субъективный характер и требует значительных трудозатрат. Кроме того, актуальность ее теряется при первых же изменениях в бизнес-процессах компании или IТ-инфраструктуре. В результате возникает ряд вопросов, связанных с управлением рисками ИБ. Например, таких:

• Как обеспечить поддержание результатов оценки рисков ИБ в актуальном состоянии, ведь это требует значительных человеческих ресурсов?
• Как своевременно реагировать на изменения в IТ-инфраструктуре компании и своевременно переоценивать затронутые этими изменениями риски?
• Для достоверности результатов оценки рисков ИБ необходимо постоянно иметь актуальную информацию об уровне критичности активов компании, а также о вероятности реализации тех или иных угроз ИБ. Как этого добиться?
• Как связать активы и угрозы информационной безопасности с конкретными бизнес-процессами и поддерживать эту связь в актуальном состоянии?

Найти ответы на эти вопросы можно с помощью автоматизации процесса управления рисками – посредством интеллектуальных систем класса IT GRC.

Необходимо понимать, что функциональные возможности систем класса IT GRC не ограничиваются оценкой и анализом рисков ИБ. В качестве своеобразных бонусов, внедряя IT GRC, мы сможем автоматизировать следующие аспекты управления ИБ:

• оценка соответствия техническим и организационным требованиям;
• оценка уровня зрелости процессов ИБ;
• оценка эффективности процессов ИБ.

Почему IT GRC? Путь к эффективному управлению рисками ИБ

Построение модели активов компании
Давайте разберемся, как работают системы класса IT GRC в привязке к нашим задачам. Прежде всего IT GRC позволяют построить модель активов компании, привязав бизнес-процессы компании к компонентам IТ-инфраструктуры. Таким образом, на верхнем уровне модели находятся бизнес-процессы и бизнес-подразделения компании, ниже – информационные системы, связанные с конкретными бизнес-процессами, далее компоненты IТ-инфраструктуры, из которых состоят эти информационные системы (например, база данных, сервер приложений и т.п.), а также информация, документы, "люди" и дальнейшая детализация вплоть до конкретных IP-адресов. Данная модель строится посредством интеграции CMDB- и SIEM-системы компании с системой IT GRC: из CMDB- и SIEM-систем выгружается информация о компонентах IТ-инфраструктуры, и затем они привязываются в IT GRC-системе к конкретным бизнес-процессам. Такая интеграция позволяет оперативно отслеживать изменения в IТ-инфраструктуре компании и получать полную информацию о каждом активе компании, например его владельце, физическом расположении, типе и т.д.

Идентификация актуальных угроз ИБ
Следующий шаг – определение актуальных для компании угроз ИБ. В системах класса IT GRC реализован функционал создания справочника актуальных угроз ИБ с привязкой к потенциальным источникам этих угроз. Таким образом, у компании появляется возможность регулярно, например раз в полгода, пересматривать перечень актуальных угроз ИБ и их источников и при необходимости актуализировать его непосредственно в системе IT GRC.

Идентификация уязвимостей активов
Информация о существующих уязвимостях выгружается в систему IT GRC из имеющихся в компании сканеров безопасности и в дальнейшем используется для формирования итоговой оценки рисков. Эта информация постоянно актуализируется за счет периодического сканирования IТ-инфраструктуры и выгрузки информации о найденных уязвимостях в IT GRC-систему.

Оценка уровня критичности активов
При построении модели активов компании в системе класса IT GRC задается уровень критичности каждого из них. При этом уровень детализации может быть различным:

• если требуется высокоуровневая оценка рисков ИБ, то достаточно оперировать активами на уровне информационных систем и информации;
• если требуется более детализированная оценка рисков, то можно опуститься до уровня конкретных компонентов IТ-инфраструктуры (серверов, баз данных, приложений и т.п.).

Сопоставление активов и угроз
После формирования модели активов компании и справочника актуальных угроз ИБ в системе IT GRC задается привязка конкретных угроз ИБ к активам для того, чтобы отсеять неактуальные для конкретного актива угрозы.

Оценка рисков ИБ
Модель для оценки рисков в системах IT GRC, как правило, можно кастомизировать под собственную методологию, однако в большинстве случаев оценка рисков в системах IT GRC производится по матрице рисков (согласно ISO 27005). Исходными данными для оценки рисков в системе IT GRC являются:

• оценка потенциального ущерба от реализации угрозы: финансовый, репутационный ущерб, ущерб продуктивности деятельности и др. (производится вручную);
• оценка вероятности реализации угрозы (производится вручную либо на базе статистики инцидентов в SIEM-системе);
• критичность актива (задана в модели активов компании);
• наличие уязвимостей актива и уровень их критичности (информация поступает от корпоративных сканеров безопасности).

При этом также указываются реализованные меры, снижающие оцениваемый риск.

Дальнейшая обработка рисков ИБ
После проведения оценки каждого риска системы IT GRC возможно автоматизировать процесс обработки рисков, а именно: выбирать способ обработки риска ИБ, формировать перечень необходимых мер для обработки риска ИБ, назначать ответственных и контролировать реализацию данных мер.

Факторы успеха

По данным аналитического отчета агентства Forrester (What The Business Doesn’t Understand About IT GRC), 50% зарубежных компаний, внедривших системы класса IT GRC, отметили положительное влияние на бизнес. Это возможно, но при правильном подходе к построению системы. Эффективная IT GRC-система – это всегда гармоничная совокупность из правильно выстроенных процессов и технологий. А это, в свою очередь, в основном зависит от трех основных факторов: уровня зрелости компании, правильного выбора исполнителя и правильного выбора технического решения. Так, внедрять системы класса IT GRC имеет смысл компаниям с высоким уровнем зрелости ИБ- и IТ-процессов, в противном случае систему будет невозможно встроить в информационную среду компании. Выбирая исполнителя, важно учитывать глубину его консалтинговой экспертизы, поскольку от корректности разработки и выстраивания процессов управления рисками ИБ, правильности создания моделей активов, угроз, сценариев автоматизации процессов, во многом зависит как конечная эффективность IT GRC-решения, так и в целом процесс управления рисками ИБ. При рассмотрении технического решения следует обратить внимание на поддерживаемую методику оценки рисков ИБ и ее соответствие принятой в компании методике оценки рисков ИБ, а также на возможности ее кастомизации в системе. На рынке нередко можно столкнуться с решениями, предлагающими избыточный функционал. Чтобы не переплачивать, необходимо четко определить, какие именно области целесообразно автоматизировать. Также следует обращать внимание на возможности интеграции IT GRC-решения с имеющимися в компании CMDB-, SIEM-системами и сканерами безопасности.