Методики оценки рисков для информационных систем

Методики оценки рисков для информационных систем преследуют одну и ту же цель: понять, какие риски наиболее актуальны для информационной системы данной организации. Но следовать к этой цели они могут разными способами, соответственно, будут и заметно отличаться получаемые результаты. Мы рассмотрим несколько наиболее актуальных для российских компаний методик, которые прижились как в России, так и в мире, и могут быть легко найдены как в интернете, так и в специальной литературе.

Метод CRAMM (CCTA Risk Analysis and Managment Method) получил своё название благодаря разработавшему его учреждению ‑ Агентству по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency). Этот метод отличается комплексным подходом, сочетающим как количественные, так и качественные способы описания рисков при попытке их анализа, что, несомненно, можно отнести к его достоинствам. Этот метод заключается в описании защищаемых ресурсов с помощью выражения их денежной ценности, после чего определяется необходимый уровень защиты системы в соответствии с ценностью защищаемых данных. Далее проводится комплексная оценка угроз для каждого из ресурсов, а также уровня данных угроз, после чего используются стандартные рекомендации исходя из уровня угроз и требуемого уровня защиты данного ресурса. В реальной жизни CRAMM применяется специально обученными аудиторами, использующими обширную базу готовых примеров реализации метода для более чем тысячи ресурсов информационных систем предприятия. Основной недостаток метода, впрочем, вовсе не в необходимости привлечения сторонних аудиторов, а в том, что он разработан для аудита и анализа уже эксплуатирующихся информационных систем, в связи с чем не слишком, скажем так, подходит для этапа проектирования системы. Ну и, опять-таки, в связи с английским происхождением метода, базы и программы для него имеют англоязычную реализацию, что может вызвать затруднения во множестве российских организаций.

Другой метод с зарубежными корнями, RiskWatch, может быть использован отдельно для анализа физических и программных рисков. В отличие от CRAMM, данный метод в большей степени ориентирован на то, чтобы ещё на этапе проектирования той или иной информационной системы учесть все грозящие ей риски. Рекомендации в данном случае выдаются на основании известной аксиомы о том, что стоимость защиты не должна превышать стоимость потерь компании от реализации того или иного риска в реальной жизни. В данном методе сначала определяются категории защищаемых ресурсов, затем описываются возможные потери и классы инцидентов. Для этого используется специальный опросник, содержащий более шестисот (!) вопросов, позволяющих максимально полно и точно описать риски для информационной системы организации. Затем устанавливаются связи между ресурсами, потерями и рисками, на основании чего проводится количественный расчет ожидаемых потерь и выдаются рекомендации по конкретным мерам защиты. Метод позволяет просчитывать риски как при отсутствии средств защиты, так и при их внедрении, что делает возможным определения рентабельности внедрения того или иного технического решения в организации. К сожалению, есть у RiskWatch и свои недостатки. Первый и самый главный – это трудности учета и количественного описания административного и организационного фактора, который часто не менее важен, чем технические средства защиты от информационных рисков. Ну и как и в случае с CRAMM, есть проблема языкового барьера, от которой, к сожалению, опять-таки, никуда не деться.

Достаточно интересной альтернативой является разработка российских «безопасников», метод ГРИФ. В отличие от статичных CRAMM и RiskWatch, он анализирует движущиеся внутри компании информационные потоки, что дополняется затем уже знакомым нам по двум предыдущим методам анализом угроз и уязвимостей. При анализе информационных потоков стоится полная модель всей информационной системы организации, включающая в себя все информационные ресурсы, их пользователей и имеющиеся у этих пользователей права доступа, а также средств защиты ресурсов; на основании данной информации затем строится карта связей пользователей и ресурсов в корпоративной информационной системе. Далее с помощью специальных опросников проводится определение адекватности комплексной политики безопасности реальной структуре информационной системы, что является отправной точкой для дальнейшего анализа в терминах угроз и уязвимостей. На данном этапе определяются угрозы и уязвимости для каждого из информационных ресурсов организации, после чего обновленная модель просчитывается с помощью хорошо известных вероятностных математических моделей, что затем даёт возможность определить рекомендации для каждого из корпоративных информационных ресурсов. К плюсам данной методики, несомненно, можно отнести учет «динамики» в виде существующих внутри организации информационных потоков, а также возможность учета комплексных политик информационной безопасности, однако есть и свои минусы, заключающиеся в заметно меньшей базе типовых решений, что может заметно увеличить продолжительность и стоимость анализа информационных рисков организации, а также отсутствие достаточного числа консалтеров, которые в полной мере владеют данной методикой.