1.3.10. Интерпретация характеристик риска для управления ИБ
Универсальной моделью измерения уровня ИБ, позволяющей сравнивать результаты оценок ИБ для разных видов целенаправленной деятельности, — модель, основанная на измерении совокупности характеристик риска или риск-факторов.
Будем считать, что оценка уровня ИБ построена на основе некоторой полной модели (модели нулевого риска), описывающей объект некоторой совокупностью реализуемых им процессов деятельности. Отклонения в реализации процессов будут порождать риски, связанные с их неправильным функционированием (из-за некачественных входных данных или исходного сырья, ошибок персонала, отсутствия должного обеспечения процессов, неправильной поддержки жизненного цикла используемого оборудования и программного обеспечения, злоумышленных действий и т. п.), приводящие в конечном итоге к снижению качества вырабатываемого продукта и другим потерям и негативным последствиям. Оценка ИБ при этом получается двухуровневой:
— характеристики риска каждого процесса, измеряемые по отклонению (отличиям) параметров этого процесса от параметров модели нулевого риска;
— интегральная характеристика совокупного или агрегированного риска, вычисляемая некоторым способом по характеристикам риска отдельных процессов с учетом пересечения множеств факторов.
Эти характеристики риска (т. е. полученные цифровые оценки) ничего не означают до тех пор, пока не накоплено определенное эмпирическое знание о процессах. Идея накопления такого знания в области ИБ состоит в привязывании к этим характеристикам происходящих инцидентов и связанного с ними ущерба. Таким образом, полученная оценка интерпретируется как некий связанный с ней прямой ущерб или негативные последствия, также оцененные по некоторой методике в виде ущерба. Связь оценки с потерями может быть пропорциональной или нет, все зависит от способа агрегирования риска. Описанный процесс интерпретации для случая агрегированного риска иллюстрируется рис. 10.
Обобщенные данные по инцидентам формируются с некоторой периодичностью и оформляются в виде отчетов, содержащих результаты расследования и анализа происшедших инцидентов. Эти результаты, среди прочего, содержат суммарную величину ущерба за отчетный период, полученного от инцидентов. Сопоставляя эту величину с интегральной оценкой, характеризующей риск и вычисленной в начале отчетного периода, можно получить множество точек в координатах «ущерб, риск», по которым может быть построена соответствующая зависимость. С использованием полученной зависимости возможно выполнить прогноз ущерба для следующего интервала отчетности. Риск принимается, если прогнозируемый ущерб будет меньше допустимого значения. В противном случае риск должен обрабатываться.
Предполагается, что интервалы отчетности одинаковы по величине. При необходимости прогноза ущерба на более короткий или более длинный интервал по сравнению с интервалом отчетности зависимость должна соответствующим образом трансформироваться. Если говорить о тенденциях, то при более длинных интервалах ущерб при одной и той же интегральной оценке риска будет возрастать, а при более коротких интервалах сокращаться (см. графики на рис. 10 справа).
Обработка риска предполагает воздействие на объект, в результате которого должна происходить некоторая его реструктуризация. Сила этого воздействия может быть измерена величиной инвестиций, необходимых для реструктуризации и улучшения функционирования процессов, приводящих в конечном счете к уменьшению ущерба. При этом можно использовать разные стратегии: инвестировать понемногу во все процессы или выбрать для инвестирования какую-то группу процессов. Один из подходов, иллюстрация которого приведена на рис. 11, предполагает накопление ряда значений оценок ущерба для каждого из процессов с учетом инвестиций. В результате может быть построена зависимость, характеризующая чувствительность процесса к инвестициям. Разные процессы могут находиться в разном состоянии и поэтому иметь разную чувствительность к инвестициям. Одни процессы имеют линейную зависимость (см. рис. 11, верхний график), другие требуют для получения нужного эффекта больших начальных вложений (нижний график), третьи процессы близки к насыщению, и слишком большие инвестиции в них не дадут нужного эффекта (средний график на рис. 11).
Например, установка сетевого экрана с функциями обнаружения вторжений в условиях, когда его не было и для защиты компьютеров во внутренней сети использовались средства, штатно имеющиеся в составе их ОС, потребует сразу больших инвестиций. Когда же этот экран установлен и необходима лишь корректировка правил фильтрации и настройка системы обнаружения вторжений, то вложения будут относительно небольшими, причем эффект от этого мероприятия будет ограничен теми возможностями по настройке, которые есть в имеющемся оборудовании. Затраты на сверхтонкую настройку при ограниченности возможностей, как правило, не оправдывают себя.
Размер инвестиций определяется величиной прогнозируемого ущерба, поскольку если на преодоление риска требуется ресурс больший, чем потери, то нет смысла обрабатывать риск. В приводимом на рис. 11 примере размер инвестиций таков, что в нижний процесс на рисунке его не имеет смысла вкладывать. Второй процесс имеет смысл инвестировать в небольшом объеме. Оставшуюся часть целесообразно инвестировать в первый процесс.
В рассмотренных иллюстрациях цикл накопления знаний вырождается в совершенствование обработки риска. Отметим, что построение использованных в примерах зависимостей по эмпирическому опыту чаще всего окажется невозможным. Назначение рассмотренных примеров — облегчить понимание природы связи абстрактных оценок риска с имеющейся практикой. Это понимание облегчит и позволит совершенствовать обработку риска даже в том случае, когда она делается на основе экспертных оценок.
1.3.11. Общая модель обеспечения ИБ бизнеса
Теперь можно сформулировать основные требования к архитектуре (структуре) модели. Понятно, что ее ядром должны стать процедуры и механизмы накопления и обобщения знаний, и прежде всего эмпирических. Предметная область (о чем знания) — факторы и обстоятельства, препятствующие и способствующие достижению поставленных целей, отображенные в информационную сферу (все, что существует и используется в виде описаний). Необходимая направленность (применимость) знаний — эффективное противодействие рискам в информационной сфере независимо от их природы.
Риск рассматривается как сущность, определяемая в пространстве факторов «А, П, И, С, Р». Он же (риск) является сущностью, посредством которой осуществляется отображение ИБ на базовые риски бизнеса и далее на его потенциальные ущербы и негативные последствия. С учетом этих соображений общая модель обеспечения ИБ бизнеса представлена на рис. 12.
Эта модель представляет собой одну из разновидностей модели Деминга — Шухарта, а именно модель с центральным фокусом. В фокусе модели размещаются аналитический функционал и база лучших практик, обеспечивающие накопление и обобщение знаний, а также настройку параметров функций и процессов, размещенных непосредственно в кольце, и управление ими (прежде всего запуском).
Видно, что процесс идентификации факторов влияния на заданные цели, являющийся стартом кольца, реализуется непрерывно и отражает потребность в выявлении новых факторов и обстоятельств, способных повлиять на цели деятельности. Для этого фокус использует любую доступную для него информацию, как внутреннюю, так и внешнюю. Любые зафиксированные изменения (изменчивость) приводят к запуску процессов оценки (вершина «Оценка» на рис. 12), второе условие запуска — «по интервалу времени» принудительно. Измеряются допустимые значения идентифицированных рисков ИБ. Если изменения значимы, как показано на рис. 12, то запускаются процессы обработки рисков (вершина «Обработка»), в противном случае кольцо замыкается.
Процессы обработки рисков в качестве результата вырабатывают комплекс мер реагирования на изменившееся распределение рисков ИБ с учетом накопленного знания. Далее процессы оптимизации (вершина «Оптимизация» на рис. 12) интегрируют новые меры реагирования в систему уже имеющихся с учетом ограничений на ресурсы и величины принимаемого риска для целей деятельности. При этом каждый раз рассматривается вся действующая система мер реагирования в контексте «цель; принятый риск; ресурс» и вырабатывается наилучшая в смысле накопленного знания система мер. Далее осуществляется ее экспорт в пространство «А, П, И, С, Р», на чем процесс улучшений завершается, а кольцо Деминга замыкается по полному циклу.
Видно, что приведенная на рис. 12 общая модель обеспечения ИБ организации есть некоторая рациональная композиция процедур, механизмов и методов, рассмотренных выше, почему и нет необходимости подробно ее описывать. Это в известном смысле «идеальная» модель обеспечения ИБ организации. Реальные потребности организации могут ее изменять, усиливая одни компоненты и ослабляя либо исключая другие компоненты. Однако основная проблема практической реализации модели состоит не в этом, а в сложности ее интеграции в сложившийся в организации набор практик менеджмента различными аспектами ее деятельности.
1.3.12. Проблемы практической реализации модели обеспечения ИБ организации
Любая организация в процессе своей деятельности накапливает набор практик, обеспечивающих реализацию тех или иных ее потребностей. В совокупности они составляют сбалансированную естественным образом самой организацией систему менеджментов. Как правило, это уникальная система, отражающая конкретную практику конкретной организации. В том числе, если речь не идет об организации, создаваемой заново, в этой практике есть и уже сложившаяся система обеспечения ИБ, также уникальная. В этой связи успех или неуспех практической реализации рассмотренной модели ИБ в организации будет определяться тем, насколько она «гармонизирована» со сложившейся практикой. Основные, сильно влияющие на проблему гармонизации аспекты следующие:
— модели, реализуемые в рамках общекорпоративного менеджмента;
— модели внутреннего контроля и аудита организации;
— модели кадрового менеджмента;
— модели совершенствования и управления ИТ-системами организации;
— модели, используемые в бизнес-аналитике организации;
— модели общего риск-менеджмента организации;
— внутренняя нормативная база, определяющая роли и организационные политики организации, а также вопросы владения активами организации;
— стратегический и оперативный уровни управления организацией. Приведенный перечень только основных аспектов влияния на обеспечение ИБ в организации показывает сложность проблемы гармонизации. Очевидно, что ее решение существенно упростится, если методологические основы (платформы) близки или вообще совпадают. Это, однако, не так. Например, часть реально применяемых моделей рассматривают формализуемые ими сущности (объекты, процессы, технологии, виды деятельности и т. д.) как самодостаточные и не учитывают при этом фундаментальный аспект эффективности деятельности; не предполагают сопоставление получаемого результата (эффекта) и потребностей в инвестициях. К подобным моделям относится, например, ISO 9000, подвергаемый суровой критике за эту свою особенность.
Общекорпоративный менеджмент во многих организациях методологически основан на реагировании на возможные проблемы, а не на их избежании. Риск-менеджмент не везде хорошо развит, вследствие чего важнейшая функция процесса целенаправленной деятельности по идентификации и анализу причинно-следственных связей между происходящими событиями и понесенными ущербами не реализуется. Преодоление этих и многочисленных других противоречий усилиями только одной безопасности невозможно.
Однако не только эти особенности организации влияют на реализацию модели обеспечения ИБ. Некоторые специфические свойства проблемы обеспечения ИБ, отображаясь на систему менеджментов организации, могут приводить к появлению различных «вырожденных» случаев как в части модели Деминга — Шухарта, так и в части информационно-аналитической и оценочной деятельности в рамках модели обеспечения ИБ организации. Рассмотрим основные из них.
Во-первых, это проблема реализации изменчивости системы обеспечения ИБ организации. Суть проблемы реализации изменчивости заключается в объективной существующей консервативности систем обеспечения ИБ, изменчивость которой осуществляется фактически по «жизненным показаниям». В то же время модель Деминга — Шухарта, являющаяся основой приведенной выше (см. рис. 12) общей модели обеспечения ИБ бизнеса, наиболее полезна в условиях изменчивости. В общем случае чем короче будет цикл выполнения процессов модели Деминга — Шухарта, тем больший эффект будет получен.
Природа консервативности систем обеспечения ИБ состоит в том, что на практике безопасность всегда следует за бизнесом (целями деятельности) и вынуждена, по крайней мере на первых порах, обходиться тем, что уже есть, что уже реализовано и опробовано, так как инвестиционный процесс даже в очень продвинутой организации создаст неоправданно большую задержку. Реально от момента осознания руководством потребности до ввода нового компонента безопасности в промышленную эксплуатацию может проходить 1–3 и даже более лет. В течение этого интервала реализуются временные меры обеспечения ИБ, и если реально сложившийся уровень риска будет принят высшим руководством, то инвестиционный процесс вообще не будет запущен.
На практике изменчивость системы обеспечения ИБ обусловлена факторами, связанными с реализацией трех процессов:
— вывода компонентов системы, цели деятельности которых (предназначение) исчерпаны, из эксплуатации;
— модернизации компонентов системы;
— интеграции в систему обеспечения ИБ новых компонентов.
Необходимость модернизации или замены старого оборудования на улучшенное новое диктуется двумя причинами:
— проблемами поддержки жизненного цикла (например, из-за прекращения поддержки каких-то продуктов);
— необходимостью компенсировать дополнительные риски, идентифицированные при модернизации бизнес-процессов или возникшие вследствие другой изменчивости.
Потребность в интеграции новых компонентов возникает, как правило, в связи с изменениями законодательной и иной нормативной базы, запуском нового вида бизнеса, потребности в безопасности которого не удалось обеспечить уже имеющимися средствами, а также вследствие существенной изменчивости любого другого вида.
Перечисленные три процесса одномоментно охватывают незначительную часть системы безопасности (ориентировочно 5–7 %) и находятся в разных фазах реализации. К тому же они в зависимости от потребностей перемещаются со временем по системе («плавают»). Проблема управления этими процессами в модели обеспечения ИБ (см. рис. 12) в основном отнесена к блоку «Оптимизация».
Очевидно, что для целей управления этими процессами должна существовать система оценки, обеспечивающая принятие адекватных решений. Теоретически она может быть достаточно хорошо формализована, но практически в этом нет потребности. Гораздо полезнее на практике оказывается наличие хорошо разработанного документа по стратегическим улучшениям ИБ в организации, содержащего четко сформулированные цели, которые нужно достичь, и систему критериев (приоритетов), которыми нужно руководствоваться при принятии адекватных решений.
Важнейшими из них должны быть критерии, обеспечивающие организационную, техническую и технологическую целостность системы безопасности в условиях изменчивости. Можно привести много примеров того, когда простое изъятие уже отработавшего свое компонента в системе приводило к нарушению ее целостности, так как изымаемый компонент создавал дополнительный функционал для других компонентов и это не было учтено.
Вообще, проблема обеспечения целостности системы обеспечения ИБ важна и актуальна сама по себе. Дело в том, что безопасность — единственный вид деятельности в организации, которым в той или иной мере должны заниматься все. Это ее свойство. Одновременно это создает высшему руководству иллюзии о возможности ее полной децентрализации, тем более что частично децентрализации всегда есть, особенно в части поддержки владения активами (ресурсами). Однако чем более децентрализуется система, тем больше утрачивается ответственность за конечный результат и тем больше вероятность образования в системе разрывов, создающих риски. Практика показывает, что наличие единого и сильного (в смысле прав и обязанностей, ответственности) центра управления является жизненно необходимым как с точки зрения достижимости требуемого результата, так и обеспечения эффективности деятельности.
Другой важнейшей для практики особенностью модели обеспечения ИБ организации является то, что фактически она реагирует на возникающую изменчивость внутри и вне организации и автоматически локализуется на выявленной изменчивости. Нет никакой практической необходимости в тотальной реализации всех ее процессов применительно ко всей системе на постоянной основе. Действительно, вновь идентифицированный риск требует детального анализа и оценивания, равно как и иных, предусмотренных моделью процедур. Однако в дальнейшем значимым факторов является уже не сам риск (он уже обработан), а то, что с ним происходит: он растет; остается неизменным; убывает.