Проведение оценки рисков в соответствии с методикой Майкрософт

Процесс управления рисками, предлагаемый корпорацией Майкрософт [20], разбивает этап оценки рисков на следующие три шага:

• — планирование. Разработка основы для успешной оценки рисков;
• — координированный сбор данных. Сбор информации о рисках в ходе координированных обсуждений рисков;
• — приоритизация рисков. Ранжирование выявленных рисков на основе непротиворечивого и повторяемого процесса.

Для проведения оценки требуется собрать данные о:

• — активах организации;
• — угрозах безопасности;
• — уязвимостях;
• — текущей среде контроля (в принятой авторами перевода руководства [20] терминологии средства и меры защиты информации называются элементами контроля, соответственно, среда контроля — совокупность элементов);
• — предлагаемых элементах контроля.

Активами считается все, что представляет ценность для организации. К материальным активам относится физическая инфраструктура (например, центры обработки данных, серверы и имущество). К нематериальным активам относятся данные и другая ценная для организации информация, хранящаяся в цифровой форме (например, банковские транзакции, расчеты платежей, спецификации и планы разработки продуктов). В некоторых организациях может оказаться полезным определение третьего типа активов — ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных активов. Например, эго может быть корпоративная служба электронной почты.

Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, определяет следующие три качественных класса активов:

• — высокое влияние на бизнес (ВВБ) — влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб. Например, к этому классу относятся конфиденциальные деловые данные;
• — среднее влияние на бизнес (СВБ) — влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб нс вызывает значительных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это требует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внутренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия;
• — низкое влияние на бизнес (НВБ) — активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры. Например, это могут быть общие сведения о структуре организации.

Далее определяется перечень угроз и уязвимостей, и выполняется оценка уровня потенциального ущерба, называемого степенью подверженности актива воздействию. Оценка ущерба может проводиться по различным категориям:

• — конкурентное преимущество;
• — законы и регулятивные требования;
• — операционная доступность;
• — репутация на рынке.

Оценку предлагается проводить по следующей шкале:

• — «высокая подверженность воздействию»: значительный или полный ущерб для актива;
• — «средняя подверженность воздействию»: средний или офани- ченпый ущерб;
• — «низкая подверженность воздействию»: незначительный ущерб или отсутствие такового.

Следующий шаг — оценка частоты возникновения уфоз по шкале:

• — «высокая»: вероятно возникновение одного или нескольких событий в пределах года.
• — «средняя»: влияние (событие) может возникнуть в пределах двухтрех лет.
• — «низкая»: возникновение влияния в пределах трех лет маловероятно.

Рис. 4.13. Шаблон сбора данных

Данные собираются в шаблон (см. рис. 4.13). Набор шаблонов (в виде файлов Excel) для проведения анализа рисков доступен вместе с текстом руководства на сайте Microsoft. Для пояснения методики ниже будут приводиться скриншоты, отображающие разные этапы заполнения шаблонов.

Для угроз указывается уровень воздействия в соответствии с концепцией многоуровневой защиты (уровни — физический, сети, хоста, приложения, данных).

В столбце текущие элементы контроля описывают использующиеся средства и меры защиты, противостоящие данной угрозе. На основе собранных данных заполняется таблица, пример которой представлен на рис. 4.14.

Рис. 4.14. Пример заполненного шаблона.

Следующий шаг этапа оценки рисков — приоритезация рисков, т. е. создание упорядоченного по приоритетам списка рисков. Формирование данного списка сначала предлагается выполнить на обобщенном уровне, после чего описания наиболее существенных рисков детализируются.

Исходя из значения класса актива и оценки подверженности актива воздействию по таблице, приведенной на рис. 4.15, определяется уровень влияния.

Рис. 4.15. Определение уровня влияния по классу актива и уровню подверженности воздействию.

Итоговый уровень риска определяется исходя из уровня влияния и оценки частоты возникновения риска (рис. 4.16). Полученные оценки заносятся в таблицу, пример которой приведен на рис. 4.17.

Рис. 4.16. Определение итогового уровня риска.

Для детального изучения (составления «перечня на уровне детализации») отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из грех групп:

• — риски высокого уровня;
• — граничные риски: риски среднего уровня, которые необходимо снижать;
• — противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересованные лица оценивают этот риск по-разному.

со.

Рис. 4.17. Пример перечня рисков на обобщенном уровне.

Формирование перечня рисков па уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме. Вновь определяются:

• — величина влияния и подверженности воздействию;
• — текущие элементы контроля;
• — вероятности влияния;
• — уровень риска.

Уровень подверженности воздействию оценивается по пятибалльной шкале. Шкала для угрозы целостности и конфиденциальности приведена на рис. 4.18, а для угрозы отказа в обслуживании — на рис. 4.19. В качестве итогового уровня подверженности воздействию предлагается выбрать максимальное значение.

Рис. 4.18. Уровни подверженности воздействию для угроз конфиденциальности и целостности.

Рис. 4.19. Уровни подверженности воздействию для доступности.

После определения уровня подверженности воздействию производится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее величину ущерба, причиненного активу, и называемое фактором подверженности воздействию. Майкрософт рекомендует использовать линейную шкалу подверженности воздействию от 100 до 20%, которая может изменяться в соответствии с требованиями организации. Кроме того, каждой величине влияния сопоставляется качественная оценка: высокая, средняя или низкая. На рис. 4.20 показаны возможные значения для каждого класса влияния.

Рис. 4.20. Определение величин влияния.

Далее описываются «элементы контроля», используемые в организации для снижения вероятностей угроз и уязвимостей, определенных в формулировке влияния.

Следующая задача — определение вероятности влияния. Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости, исходя из эффективности текущих элементов контроля. Каждое значение изменяется в диапазоне от 1 до 5. Определение оценки проводится на основе ответов на вопросы, перечень которых представлен на рис. 4.21, с последующим переходом к результирующей оценке (рис. 4.22).

Рис. 4.21. Оценка уязвимости.

Рис. 4.22. Оценка уровня вероятности.

При этом разработчики руководства указывают, что оценка вероятности взлома имеет субъективный характер, и предлагают при проведении оценки уточнять приведенный перечень.

Рис. 4.23. Оценка эффективности текущего контроля.

На рис. 4.23 приведена шкала оценки эффективности текущих мер и средств защиты. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома.

Полученные значения суммируются и заносятся в шаблон для уровня детализации. Пример заполненного шаблона представлен на рис. 4.24 (на рисунке в предпоследнем столбце первой строки следует читать «Уязвимость: 5, Контроль: 1», в предпоследнем столбце второй строки — «Уязвимость: 5, Контроль: 5»).

Рис. 4.25. Результирующее качественное ранжирование.

На рис. 4.24 показаны уровни риска и соответствующие элементы данных. Уровень риска определяется как произведение оценок уровня влияния (со значением от 1 до 10) и уровня вероятности (со значением от 0 до 10). В результате уровень риска может принимать значения от 0 до 100. Переход от числовой оценки к оценке по шкале «высокий», «средний» или «низкий» можно сделать в соответствии с таблицей, представленной на рис. 4.25.

Рис. 4.24. Перечень рисков на уровне детализации.

В заключение процедуры оценки рисков проводится количественный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи:

• — сопоставить каждому классу активов в организации денежную стоимость;
• — определить стоимость актива для каждого риска;
• — определить величину ожидаемого разового ущерба (англ, «single loss expectancy» — SLE);
• — определить ежегодную частоту возникновения (англ, «annual rate of occurrence» — ARO);
• — определить ожидаемый годовой ущерб (англ, «annual loss expectancy» — ALE).

Количественную оценку предлагается начать с активов, соответствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации. Также учитываются:

• — стоимость замены;
• — за траты на обслуживание и поддержание работоспособности;
• — затраты на обеспечение избыточности и доступности;
• — влияние на репутацию организации;
• — влияние на эффективность работы организации;
• — годовой доход;
• — конкурентное преимущество;
• — внутренняя эффективность эксплуатации;
• — правовая и регулятивная ответственность.

Процесс повторяется для каждого актива в классах СВБ и НВБ. Каждому классу активов сопоставляется одно денежное значение, которое будег представлять ценноегь класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьшает затраты времени на обсуждение стоимости конкретных активов.

После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска.

Следующей задачей является определение степени ущерба, который может быть причинен активу. Для расчетов предлагается использовать ранее определенный уровень подверженности воздействию, на основе которого определяется фактор подверженности воздействию (рекомендуемая формула пересчета — умножение значения уровня в баллах на 20%, см. рис. 4.26).

Рис. 4.26. Количественная оценка ожидаемого разового ущерба.

Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженности воздействию. В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE). На рис. 4.27 приведен пример реализации такого подхода.

Рис. 4.27. Пример определения ожидаемого разового ущерба (в примере суммы указаны в миллионах долларов).

Далее делается оценка ежегодной частоты возникновения (ARO). В процессе оценки ARO используются ранее полученные качественные оценки рис. 4.28.

Рис. 4.28. Количественная оценка ежегодной частоты возникновения.

Для определения ожидаемого годового ущерба (ALE) значения SLE и ARO перемножаются:

Величина ALE характеризует потенциальные годовые убытки от риска. Хотя данный показатель может помочь в оценке ущерба заинтересованным лицам, имеющим финансовую подготовку, группа управления рисками безопасности должна напомнить, что влияние на организацию не ограничивается величиной годовых издержек — возникновение риска может повлечь за собой причинение ущерба в полном объеме.

Подводя итог, можно еще раз отметить, что процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, использует комбинированный подход, включающий оценку рисков на качественном уровне на начальном этапе и количественную оценку — на заключительном.