Управління ризиками

Основні поняття

Управління ризиками розглянемо на адміністративному рівні інформаційної

безпеки, оскільки тільки керівництво організації може виділити необхідні ресурси,
ініціювати і контролювати виконання відповідних програм.
Управління ризиками, так само як і вироблення власної політики безпеки, є
актуальним тільки для тих організацій, інформаційні системи котрих і/або
оброблювані дані можна вважати нестандартними. Звичайну організацію
цілковито влаштує типовий набір захисних заходів, вибраний на підставі
уявлення про типові ризики або взагалі без всякого аналізу ризиків. Можна
провести аналогію між індивідуальним будівництвом і отриманням квартири в
районі масової забудови. У першому випадку необхідно прийняти багато рішень,
оформити велику кількість документів, в другому досить визначитись лише з
кількома параметрами.
Використання інформаційних систем є пов’язаним з певною сукупністю ризиків.
Коли можливі збитки є неприйнятно великими, необхідно вжити економічно
виправданих заходів захисту. Періодична переоцінка ризиків є необхідною для
контролю ефективності діяльності в галузі інформаційної безпеки і для
врахування змін обстановки. З кількісної точки зору рівень ризику є функцією
ймовірності реалізації певної загрози, що використовує деякі вразливі місця, а
також розмірів можливих збитків.
Отже, суть заходів з управління ризиками полягає в тому, щоб оцінити їх
розмір, виробити ефективні і економічні заходи зниження ризиків, а потім
пересвідчитися, що ризики лежать в прийнятних межах і залишаються такими.
Таким чином, управління ризиками передбачає два види діяльності, які циклічно
чергуються:
 переоцінка (вимірювання) ризиків;
 вибір ефективних і економічних заходів захисту (нейтралізація ризиків).
Стосовно виявлених ризиків можливими є такі дії:
 ліквідація ризику (наприклад, за рахунок усунення причини);
 зменшення ризику (наприклад, за рахунок використання додаткових заходів
захисту;
 прийняття ризику (і вироблення плану дії у відповідних умовах);
 переадресація ризику (наприклад, шляхом укладення страхової угоди).
Процес управління ризиками можна поділити на такі етапи:
1. Вибір аналізованих об’єктів і рівня деталізації їх розгляду.
2. Вибір методології оцінки ризиків.
3. Ідентифікація активів.
 4. Аналіз загроз та їх наслідків, виявлення вразливих місць в захисті.
5. Оцінка ризиків.
6. Вибір засобів захисту засобів захисту захисту.
7. Реалізація і перевірка вибраних заходів захисту.
8. Оцінка залишкового ризику.
Етапи 6 управління ризиками є циклічним процесом. По суті, останній етап – це
оператор і 7 відносяться до вибору засобів захисту (нейтралізації ризиків),інші –
до оцінки ризиків. Перелік ризиків показує, що кінця циклу, що передбачає
повернення до початку. Ризики необхідно контролювати постійно, періодично
здійснювати їх переоцінку. Зазначимо, що сумлінно виконана і старанно
задокументована перша оцінка може істотно спростити подальшу діяльність.
Управління ризиками, як і будь-яку іншу діяльність в галузі інформаційної
безпеки, необхідно інтегрувати в життєвий цикл інформаційної системи. Тоді
ефект є найбільшим, а затрати – мінімальними. Раніше було визначено п’ять
етапів життєвого циклу. Зупинимось на тому, що дасть управління ризиками на
кожному з них.
На етапі ініціації відомі ризики слід враховувати при виробленні вимог до
системи в цілому і засобів безпеки зокрема.
На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні
архітектурні рішення, які відіграють вирішальну роль в забезпеченні безпеки.
На етапі встановлення виявлені ризики слід враховувати при конфігуруванні,
тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління
ризиками повинен передувати впровадженню системи в експлуатацію.
На етапі експлуатації управління ризиками повинно супроводжувати всі істотні
зміни в системі.
При виведенні системи з експлуатації управління ризиками допомагає
переконатись в тому, що міграція даних відбувається безпечно.

Підготовчі етапи управління ризиками

Розглянемо перші три етапи процесу управління ризиками.

Першим етапом оцінки ризиків є вибір аналізованих об’єктів і рівня їх розгляду.
Для невеликої організації припустимо розглядати всю інформаційну
інфраструктуру. Якщо організація є великою, всеохоплююча оцінка може
вимагати неприйнятних затрат часу і сил. В цьому випадку необхідно зосередити
увагу на найважливіших сервісах, заздалегідь погоджуючись з наближеністю
підсумкової оцінки. Якщо важливих сервісів все ще надто багато, вибирають ті з
них, ризики для яких є завідомо великими або невідомими.
Взагалі, вразливим є кожна компонента інформаційної системи – від
мережного кабеля , який можуть прогризти миші, до бази даних, яка може бути
зруйнована через невмілі дії адміністратора. Звичайно в сферу аналізу ризиків
неможливо включити кожен елемент системи. Зупиняються на деякому рівні
деталізації, усвідомлюючи наближеність оцінки. Для нових систем віддають
перевагу детальному аналізу, стара система, яка піддавалась невеликим
модифікаціям, може бути проаналізована більш поверхнево.
Дуже важливо обрати розумну методологію оцінки ризиків. Метою оцінки є
отримання відповіді на два питання: чи прийнятними є існуючі ризики, і якщо ні,
то які засоби захисту варто використати. Отже, оцінка має бути кількісною, для
можливості порівняння з попередньо вибраними межами допустимості і видатків
на реалізацію нових регуляторів безпеки. Управління ризиками є типовою
оптимізаційною задачею. Існує досить багато програмних продуктів, здатних
допомогти в її вирішенні. Принципові труднощі полягають в неточності
початкових даних. Не має сенсу намагатись отримати для всіх аналізованих
величин грошове вираження. Практичніше користуватись умовними одиницями. В
найпростішому і цілком прийнятному випадку можна користуватись трибальною
шкалою.
При ідентифікації активів, тобто ресурсів і цінностей, які організація прагне
захистити, слід враховувати не тільки компоненти інформаційної системи, але і
підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як
репутація організації. Відправною точкою тут є уявлення про місію організації,
тобто про основні напрями діяльності, котрі бажано (або необхідно) зберегти в
будь-якому випадку.
Одним з головних результатів процесу ідентифікації активів є отримання
детальної інформаційної структури організації і способів її використання.
Інформаційною основою скільки-небудь великої організації є мережа, тому до
числа апаратних активів слід включити комп’ютери, периферійні пристрої,
зовнішні інтерфейси, кабельне господарство, активне мережне обладнання
(маршрутизатори, мости, тощо). До програмних активів відносять операційні
системи (мережні, серверні, клієнтські), прикладне програмне забезпечення,
інструментальні засоби, засоби управління мережею і окремими системами.
Важливо зафіксувати, де (в яких вузлах мережі) зберігається програмне
забезпечення, та з яких вузлів воно використовується. Третім видом
інформаційних активів є дані, що зберігаються, обробляються і передаються
мережею. Дані слід класифікувати за типами і ступенем конфіденційності,
виявити місця їх зберігання і обробки, способи доступу до них. Це є важливим для
оцінки наслідків порушень інформаційної безпеки.
Управління ризиками є нелінійним процесом. Практично всі його етапи є
пов’язаними між собою, і після завершення майже кожного з них може виникнути
потреба повернення до попереднього. Наприклад, при ідентифікації активів може
виявитись, що вибрані межі аналізу слід розширити, а ступінь деталізації –
збільшити. Особливо важким є первісний аналіз, коли багаторазові повернення до
початку є неминучими.
 Основні етапи управління ризиками

Етапи, що передують аналізу загроз, можна вважати підготовчими, оскільки,

строго кажучи, вони безпосередньо не є пов’язаними з ризиками. Ризики
з’являються там, де є загрози.
Першим кроком при аналізі загроз є їх ідентифікація. Види загроз, що
розглядаються, слід вибирати виходячи з міркувань здорового глузду
(відкинувши, наприклад, землетруси, але не забуваючи про можливість
проникнення зловмисників), але в межах вибраних видів провести максимально
детальний аналіз. Доцільно виявляти не тільки самі загрози, але й джерела їх
виникнення – це допоможе у виборі додаткових засобів захисту. Наприклад,
нелегальний вхід до системи може бути наслідком спроби підбирання паролю або
під’єднання до мережі неавторизованого обладнання. Очевидно, для протидії
кожному з можливих способів нелегального входу до системи потрібні свої
механізми безпеки.
Після ідентифікації загрози необхідно оцінити ймовірність її здійснення.
Припустимо застосовувати при цьому трибальну шкалу (низька (1), середня (2) і
висока (3) імовірність).
Крім ймовірності здійснення загрози, важливим є розмір потенційних збитків.
Наприклад, пожежі бувають нечасто, але збитки від кожної з них, є як правило,
великими. Важкість збитків можна оцінювати також за трибальною шкалою.
Оцінюючи розмір збитків, мати на увазі не тільки безпосередні видатки на
заміну обладнання або відновлення інформації, але і віддаленіші, такі як підрив
репутації, послаблення позицій на ринку, тощо. Наприклад, внаслідок дефектів в
управлінні доступом до бухгалтерської інформації співробітники отримали
можливість коригувати дані про власну заробітну платню. Наслідком такого стану
справ може стати не тільки перевитрата бюджетних чи корпоративних коштів, але
й повне розкладення колективу, що грозить розвалом організації.
Вразливі місця мають властивість приваблювати не тільки зловмисників, але
й відносно чесних людей. Не кожен зможе встояти перед спокусою дещо
збільшити свою заробітну платню, якщо є певність, що це зійде з рук. Тому,
оцінюючи ймовірність здійснення загроз, доцільно виходити не тільки з
середньостатистичних даних, але і враховувати також специфіку конкретних
інформаційних систем. Якщо, наприклад, в підвалі будівлі, займаного
організацією, розміщено сауну, а сама будівля має дерев’яні перекриття, то
ймовірність пожежі ймовірність, на жаль, є набагато вищою від середньої.
Після нагромадження початкових даних і оцінки ступеня невизначеності
можна переходити до обробки інформації, тобто власне до оцінки ризиків. Цілком
допустимо застосувати такий ризиками простий метод, як помноження
ймовірності здійснення загрози на передбачувані збитки. Якщо для ймовірності і
збитків використовувати трибальну шкалу, то можливих добутків буде шість:
1,2,3,4, 6 і 9. Перші два результати можна віднести до низького ризику, третій і
четвертий – до середнього, два останніх – до високого, після чого з’являється
можливість знову привести їх до трибальної шкали. За цією шкалою і слід
оцінювати прийнятність ризиків. Граничні випадки, коли обчислена величина
збігається з прийнятною, доцільно розглядати ретельніше через наближеність
результату. Якщо які-небудь ризики виявились неприпустимо великими,
необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Переважно
для ліквідації або нейтралізації вразливого місця, яке робить загрозу реальною,
існує кілька механізмів безпеки, різних за вартістю і ефективністю. Наприклад,
якщо великою є ймовірність нелегального входу до системи, можна поставити
вимогу, щоб користувачі вибирали довгі паролі, задіяти програму генерації
паролів або закупити інтегровану систему автентифікації на основі
інтелектуальних карт. Якщо є ймовірність навмисного пошкодження сервера баз
даних, що може мати серйозні наслідки, можна врізати замок в двері серверної
кімнати або поставити охорону.
Оцінюючи вартість заходів захисту доводиться враховувати не тільки прямі
видатки на закупівлю обладнання і/або програм, але і видатки на впровадження
новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також
можна оцінити за трибальною шкалою, а потім порівняти її з різницею між
обчисленим і допустимим ризиком. Якщо за цим показником новий засіб
виявляється економічно вигідним, його можна взяти до уваги (таких засобів може
бути кілька). Проте, якщо засіб виявиться надто дорогим, його не слід відразу
відкидати, пам’ятаючи про наближеність розрахунків.
Вибираючи придатний спосіб захисту, доцільно враховувати можливість
екранування одним механізмом забезпечення безпеки відразу кількох прикладних
сервісів. Так поступили в Масачусетському технологічному інституті, захистивши
відразу кілька тисяч комп’ютерів сервером автентифікації Kerberos.
Важливою є сумісність нового засобу з організаційною і апаратно-
програмною структурою, що склалася, і традиціями організації. Заходи безпеки,
як правило мають недружній характер, що може негативно відбитись на ентузіазмі
співробітників. Інколи збереження духу відкритості є важливішим від мінімізації
матеріальних втрат. Такі орієнтири повинні бути розставлені в політиці безпеки
верхнього рівня.
Можна уявити собі ситуацію, коли для нейтралізації ризиків не існує
ефективних і прийнятних за ціною заходів. Наприклад, компанія, що базується в
сейсмічній зоні, не завжди може дозволити собі будівництво захищеної штаб-
квартири. В такому випадку доводиться підіймати планку прийнятного ризику і
переносити центр ваги на пом’якшення наслідків і вироблення планів відновлення
після аварій, стихійних лих і інших подій. На прикладі з сейсмонебезпекою можна
рекомендувати регулярне тиражування даних до іншого міста і оволодіння
засобами відновлення первісної бази даних. Реалізацію і перевірку нових
регуляторів безпеки слід попередньо планувати. В плані необхідно врахувати
наявність фінансових засобів і терміни навчання персоналу. Якщо мова йде про
програмно-технічний механізм захисту, потрібно скласти план тестування
 Коли намічені заходи прийнято, необхідно перевірити їх дієвість, тобто
пересвідчитись, що залишкові ризики стали прийнятними. Якщо це так, то можна
призначати дату найближчої переоцінки. В протилежному випадку доведеться
проаналізувати допущені помилки і негайно провести повторний сеанс управління
ризиками.