ИТ-риск

Риск информационных технологий, или ИТ риск (англ. IT risk), любой риск, связанный с использованием информационных технологий.

В то время как информация всегда являлась ценным и важным ресурсом, сейчас, в эпоху экономики знаний и цифровой революции, организации становятся всё более зависимы от информации, её обработки и, особенно, от информационных технологий. В связи с этим, события, влияющие каким-либо образом на ИТ, могут оказать неблагоприятные воздействия на бизнес-процессы[1]. Оценка вероятности правдоподобности различных типов событий с расчётом их возможных последствий это распространённый способ оценки и измерения ИТ риска[2]. Альтернативные методы измерения ИТ рисков обычно включают в себя оценивание сопутствующих факторов, таких как, например, угрозы, уязвимости и величина активов.

Определения

[править | править код]

ИСО

[править | править код]

Вероятность, что данная угроза воспользуется уязвимостью актива или группы ценных свойств и нанесёт, таким образом, вред организации. Примечание: это измерение в терминах комбинации вероятности случая и его последствия[3].

НИСТ

[править | править код]
  • В соответствии с NIST SP 800-30[4]:
    Риск является функцией вероятности того, что данный источник угрозы, использует потенциальную уязвимость организации и осуществит неблагоприятное воздействие на данную организацию
  • NIST FIPS 200[5][6]:
    Риск - уровень воздействия на деятельность организации (включая предназначение, функции, имидж или репутацию), активы организации или людей, следующие из использования информационной системы, подвергаемой потенциальному воздействию угрозы, и вероятность появления угрозы.
Риск, связанный с ИТ[7]
  1. Вероятность, что данный источник опасности использует(случайно или намеренно) конкретную уязвимость системы
  2. Результат этого воздействия. ИТ риски возникают от возможных потерь или юридической ответственности из-за:
    1. Неавторизованного (злоумышленного или случайного) раскрытия, изменения или уничтожения информации
    2. Непреднамеренных ошибок или упущений
    3. Технических сбоев в связи с природными или техногенными катастрофами
    4. Недостатка внимания при внедрении и эксплуатировании ИТ системы.

Управление ИТ риском

[править | править код]

Существуют способы управления рисками, включающие в себя идентификацию риска, процесс оценки степени риска и процесс осуществления мероприятий, направленных на уменьшение риска до приемлемого уровня. Вовремя оценивать риск и принимать меры для его снижения позволяет ИТ-менеджерам сбалансировать эксплуатационные и экономические издержки защитных мер и тем самым обеспечивать успешную работу организации и сохранность данных, важных для достижения цели. Этот процесс - распространённое явление в ИТ сфере и мы часто наблюдаем его в повседневной жизни. Как пример можно рассмотреть домашнюю безопасность. Многие люди предпочитают установить системы домашней защиты и ежемесячно платить за их обслуживание, взамен получая сохранность своей частной собственности. Видимо, владельцы взвесили стоимость установки и обслуживания охранной системы по отношению к безопасности семьи и потенциальному ущербу от потери своей собственности. [8][9]

Цель выполнения процессов управления риском состоит в том, чтобы дать возможность организации выполнить свою миссию или миссии за счёт[10]:

  1. Повышения безопасности ИТ систем, которые хранят, обрабатывают или передают информацию в пределах и вне организации
  2. Повышения информированности и осведомлённости руководства относительно принятых решений по управлению риском для получения обоснованных объёмов затрат, которые должны становиться неотъемлемой частью общего бюджета ИТ
  3. Оказания помощи руководству в авторизации (или в аккредитации) своих систем ИТ на базе документированной поддержки результатами, вытекающими из выполнения процессов управления риском.

Минимизация рисков

[править | править код]

Минимизация рисков - принятие мер с целью снижения совокупного риска для организации. Сюда часто включается выбор контрмер, которые снизят вероятность возникновения угрозы и (или) сократят ущерб. Они могут быть технические или операционные, а также включать изменения физической инфраструктуры. Риск потери данных вследствие заражения машин, например, может быть снижен путём установки антивирусного ПО. При оценке потенциала той или иной меры следует учитывать, как она работает: как мера, предотвращающая или выявляющая попытки реализации угроз. Часть риска, которая остаётся после применения мер или контрмер, зачастую называется остаточным риском, его организация может обработать отдельно.

Другой выход есть, если организация разделяет свой риск со сторонними контрагентами через страховые компании и(или) поставщиков услуг. Страхование является механизмом послесобытийной компенсации, снижая бремя потерь при наступлении события. Перенос риска — смещение риска от одной стороны к другой. Например, когда бумажные документы перемещаются за пределы организации, на место оказания услуг по хранению, то ответственность и расходы на защиту информации переходят к поставщику услуг. В стоимость хранения может быть включено обязательство по выплате компенсации в случае повреждения, утери или кражи документов.

Механизм исключения риска путём отказа от начала или продолжения деятельности, при которой может быть реализован риск. Например, организация может принять решение об отказе от бизнес-процесса, чтобы избежать ситуации, при которой организация подвергается риску.[11]

Обычно процесс минимизации рисков выглядит так[7]:

  1. Выявление возможных проблем, и затем нахождение их решения
  2. Определение сроков интеграции новых технологий
  3. Оптимизация бизнес-процессов организации.
  4. Обеспечение защиты информации(как клиентов так и самой организации)
  5. Разработка порядка действий при форс-мажорных обстоятельствах.
  6. Определение фактических потребностей информационных ресурсов.

Ограничения для снижения риска

[править | править код]

Снижение риска может и должно быть обеспечено через выбор контролей безопасности так, чтобы остаточный риск воспринимался как приемлемый. Но выбор этих контролей может быть довольно труден, так как существуют такие ограничения[12]:

  1. Временные
  2. Финансовые
  3. Технические
  4. Эксплуатационные
  5. Культурные
    Что может быть возможным в одном регионе(Европе), например досмотр сумок, невозможно в другом(Ближнем Востоке).
  6. Этические
    Разные представления о доступности информации о частной жизни, в зависимости от этики региона, правительства. Также есть разница в отраслях, таких как промышленность или здравоохранение.
  7. Экологические
    Обычно связаны с климатом и природными рисками конкретного региона.
  8. Юридические
  9. Лёгкость в использовании и квалификация персонала.

Идентификация уязвимостей

[править | править код]

Уязвимость не несёт вред сама по себе, должна быть угроза, которая даёт возможность эксплуатировать эту уязвимость. Уязвимость без наличия угрозы эксплуатации, возможно, и не требует контроля, но она должна быть найдена и необходим мониторинг на предмет изменений. Напротив, угроза без сопутствующих ей уязвимостей, возможно, не приведёт к риску. Уязвимости могут быть идентифицированы в следующих областях: персонале, организации, процессах и процедурах, конфигурации информационной системы, аппаратных средствах, ПО, оборудовании связи.[13]

Примеры уязвимостей
Аппаратные средства
Уязвимости Угрозы
Восприимчивость к влажности и пыли Пыль, коррозия, обледенение
Незащищенное хранение Кража носителей или документов
Неконтролируемое копирование Кража носителей или документов
Неосторожность при уничтожении Кража носителей или документов
Недостаточное обслуживание Неремонтоспособность ИТ системы
Восприимчивость к изменениям напряжения Выход из строя источника питания
Персонал
Уязвимости Угрозы
Недостаточное обучение безопасности Ошибка в использовании
Нехватка механизмов мониторинга Незаконная обработка данных
Неконтролируемая работа внешним штатом Воровство носителей или документов
Изъяны надлежащего распределения обязанностей информационной безопасности Отрицание действий
Сеть
Уязвимости Угрозы
Плохой менеджмент паролями Подделывание прав
Запущены ненужные службы Незаконная обработка данных
Недоработанное или новое ПО Программный сбой
Незащищенные линии связи Прослушивание
Опасная сетевая архитектура Удаленный шпионаж
Передача паролей в открытом виде Удаленный шпионаж
Незащищенные подключения общедоступной сети Несанкционированное использование оборудования
ПО
Уязвимости Угрозы
Недостаточное программное тестирование Злоупотребление правами
Нет 'выхода из системы' при оставлении рабочей станции Злоупотребление правами
Малое число ревизий Злоупотребление правами
Неправильное распределение прав доступа Злоупотребление правами
Широко распространенное ПО Искажение данных
Неправильная документация Ошибка в использовании
Некорректные даты Ошибка в использовании

Подходы к оценке рисков информационной безопасности

[править | править код]

Поверхностная оценка рисков позволяет определить приоритет закрытия уязвимостей. В силу ограничений по снижению рисков, зачастую бывает невозможно закрыть все уязвимости, тогда требуется устранять только особо важные из них. Источники можно разделить на три категории:[14][15]

  1. Высокий
    Источник угрозы является высокоактивным и обладает высокими возможностями, в то время как предотвращение использования уязвимости является неэффективным. Может окончиться серьёзными потерями активов, нарушить миссию организации.
  2. Средний
    Источник угрозы достаточно активен и располагает широкими возможностями, но средства управления, обязанные воспрепятствовать использованию уязвимости действуют эффективно. Существует вероятность потери материальных активов, нанесение вреда репутации организации, помешать её работе.
  3. Низкий
    У источника угроз отсутствуют мотивации для осуществления угроз и средства противодействия действуют эффективно. Может привести к незначительным потерям ресурсов и помешать работе организации.

Примечания

[править | править код]
  1. Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. E1-E8. Архивировано 11 февраля 2017 года.
  2. "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
  3. Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 1. Архивировано 17 февраля 2017 года.
  4. Gary Stoneburner, Alice Goguen, and Alexis Feringa. Risk Management Guide for Information Technology Systems (англ.) // National Institute of Standards and Technology NIST Special Publication 800-30. — 2002. — Вып. 1. — С. 8. Архивировано 27 сентября 2011 года.
  5. FIPS PUB 200 ПУБЛИКАЦИЯ СТАНДАРТОВ ОБРАБОТКИ ФЕДЕРАЛЬНОЙ ИНФОРМАЦИИ. Дата обращения: 16 февраля 2017. Архивировано 21 февраля 2017 года.
  6. Minimum Security Requirements for Federal Information and Information Systems (англ.) // National Institute of Standards and Technology FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION 200. — 2006. — Вып. 1. — С. 8. Архивировано 19 октября 2013 года.
  7. 1 2 Исаев И.В. ИТ РИСКИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (рус.) // Современные наукоемкие технологии. — 2014. — Вып. 1, № 7-1. — С. 184. Архивировано 20 марта 2022 года.
  8. Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 4-5. Архивировано 11 февраля 2017 года.
  9. Gary Stoneburner, Alice Goguen, and Alexis Feringa. Risk Management Guide for Information Technology Systems (англ.) = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. — 2002. — Вып. 1. — С. 4. Архивировано 27 сентября 2011 года.
  10. Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 4-6. Архивировано 11 февраля 2017 года.
  11. Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 29-39. Архивировано 11 февраля 2017 года.
  12. Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 53-54. Архивировано 17 февраля 2017 года.
  13. Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 50-53. Архивировано 17 февраля 2017 года.
  14. Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 47-53. Архивировано 17 февраля 2017 года.
  15. Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 5-6. Архивировано 11 февраля 2017 года.