Добрый день! Мы продолжаем серию обзоров методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).
Почему FRAP?
Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:
Существенное сокращение времени и усилий на проведение оценки.
Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.
Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.
Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.
Анализ рисков
Анализ и оценка рисков ИБ по FRAP состоит из нескольких этапов. Давайте рассмотрим их.
Этап 1 – группа FRAP
Длительность: 1 день.
Начинается все с определения группы FRAP, в которую входят бизнес-менеджеры, руководитель проекта (далее – РП) и фасилитатор (ответственный за коммуникацию).
Группа FRAP осуществляет постановку цели проекта и определяет всех участников оценки рисков ИБ для проведения соответствующей сессии, среди которых могут быть:
владельцы бизнес-процессов;
пользователи информационных (автоматизированных) систем;
системный и сетевой администраторы;
разработчики программного обеспечения;
представители отдела ИБ и службы безопасности;
внешние аудиторы;
юристы;
и другие.
Конечный состав может быть определен в первой части сессии. Главное – привлечь всех заинтересованных лиц и рассмотреть все возможные сценарии, способные нарушить бизнес-процессы (цели) организации.
Этап 2 – сессия FRAP
Длительность – 1 день.
Первым делом группа FRAP представляется всем участниками сессии, а также оглашает имена, должности и роли всех присутствующих (владелец процесса, руководитель проекта, секретарь, члены сессии и другие).
Вторым важным моментом в начале сессии является оглашение повестки и утверждение базовых определений, таких как:
риск – потенциальное событие, которое оказывает или может оказать негативное влияние на бизнес-цели;
ВАЖНО! С точки зрения FRAP риски ИБ рассматриваются в разрезе и процессов управления ИБ, и систем, автоматизирующих основные бизнес-процессы организации
меры и средства контроля и управления – меры и средства, предпринимаемые и используемые для предотвращения, обнаружения, уменьшения (снижения) или принятия риска в рамках обеспечения защиты бизнес-процессов;
целостность – информация соответствует назначению, без несанкционированных или нежелательных изменений или искажений;
конфиденциальность – информация не подвергалась несанкционированному или нежелательному разглашению;
доступность – приложения, системы или информационные ресурсы должны быть доступны при их необходимости.
Затем РП инициирует мозговой штурм, приводя некоторые примеры рисков ИБ:
Третьи лица получают доступ к конфиденциальной информации.
Данные могут быть повреждены незавершенной транзакцией.
Отсутствуют процессы контроля обеспечения ИБ.
ВАЖНО! Члены команды должны использовать в обсуждении не только hardskills, но и softskills, т.е. быть заинтересованными в процессе, слышать и доверять друг другу, включаться в процесс и задействовать воображение.
Начинается МОЗГОВОЙ ШТУРМ!
В течение 3-5 минут члены группы на стикерах или на листках бумаги записывают риски, основываясь на том, что их беспокоит и что они считают важным. Далее процесс идет по следующему алгоритму:
1. Фасилитатор осуществляет сбор всех стикеров и объявляет небольшой кофе-брейк.
2. Далее из общей массы убираются повторяющиеся риски, а также дополняются новые, если за чашечкой кофе у кого-то появились еще идеи.
3. Затем следует приоритизация рисков. Это делается путем определения возможных уязвимостей, которые являются причинами возникновения рисков, а также возможного воздействия рисков на бизнес-цели организации. Обычно при этом выделяется 3 уровня уязвимостей:
Высокий: в системе или повседневной работе существует серьезная слабость, потенциал воздействия которой на бизнес является серьезным или значительным, и меры и средства контроля и управления должны быть явно улучшены.
Средний: существует некоторая слабость, где потенциал воздействия на бизнес является серьезным, при этом меры и средства уже частично приняты, но должны быть улучшены.
Низкий: система работает корректно и не требует дополнительных мер и средств контроля и управления.
Далее определяется степень воздействия на бизнес-цели организации:
Высокая: может привести к банкротству или серьезно повредить перспективам развития организации.
Средняя: нанесет значительный ущерб, влекущий за собой серьезные траты, но в конце концов организация, скорее всего, выживет…
Низкая: спокойно поддается управлению в обычной деятельности организации.
Затем РП все сводит в общую таблицу определения приоритета риска. Пример такой таблицы приведен ниже:
| Степень воздействие на бизнес | |||
Высокая | Средняя | Низкая | ||
Уровень | Высокий | А | В | С |
Средний | В | В | С | |
Низкий | С | С | D | |
В этот момент члены команды выставляют приоритеты рискам, присваивая каждому из выявленных рисков соответствующие буквенные значения:
А – необходимо выполнить корректирующее действие и внедрить меры и средства контроля и управления.
В – необходимо выполнить корректирующее действие, а также рекомендуется внедрить меры и средства контроля и управления.
С – требуется периодическй мониторинг.
D – никаких действий не требуется.
При этом возможно несколько вариантов выставления приоритетов рискам:
Фасилитатор поочередно поднимает обсуждение каждого выявленного риска, в конце которого команда достигает консенсуса и фиксирует его приоритет.
Фасилитатор обсуждает с командой 2-3 риска, чтобы убедиться, что команда имеет правильное представление о процессе присвоения приоритета. После чего каждый член команды самостоятельно расставляет приоритеты рискам. В конце принимается усредненный приоритет.
Членам команды раздаются небольшие цветные стикеры, которые они размещают на тех рисках, которые, по их мнению, требуют внедрения мер и средств контроля и управления. Чем больше стикеров, тем выше приоритет риска.
4. На этом мозговой штурм закончен. Пойдемте пить кофе!
Этап 3 – меры и средства контроля и управления
Длительность – 3-5 дней.
Группа FRAP анализирует результаты сессии и формирует перечень мер и средств контроля и управления для выявленных рисков. После чего фасилитатор повторно собирает участников сессии, чтобы обсудить обработку рисков с помощью мер и средств контроля и управления.
ВАЖНО! Не забываем про бизнес цели, иногда будет выгоднее принять риск, чем понижать его путем внедрения мер и средств контроля и управления
Под руководством РП фасилитатор просит членов сессии определить, какие меры и средства контроля и управления из перечня помогут снизить риск. При этом обсуждение движется от А-рисков до D.
В завершении определения мер и средств контроля и управления, а также опроса членов сессии, группа FRAP формирует лист перекрестных ссылок, тем самым определяя, какие же меры и средства контроля и управления помогут в минимизации наибольшего количества рисков с высоким (А) приоритетом.
Далее не будет лишним повторно проконсультироваться с собственниками идентифицированных рисков. Увидев стоимость внедрения мер и средств контроля и управления, они все еще считают их необходимыми, или риск можно принять?
И вот финал! Группа FRAP формирует заключительный отчет, в котором определены риски и их приоритеты, меры и средства контроля и управления и их рентабельность, а также кто будет нести ответственность за их внедрение данных мер и средств.
Вывод
Рассмотрев методику FRAP, ее подходы к анализу рисков ИБ и результаты, давайте выделим итоги.
Плюсы:
Бизнес-ориентированность. На протяжении всего процесса выявление и оценка рисков проходит с точки зрения их влияния на достижение бизнес-целей организации.
Скорость. Примерно за неделю активной работы мы получаем применимый практически результаты и отчетный документ, на которые не тратим несколько месяцев в году.
Вовлеченность. К сессии подключается максимальное количество сотрудников, чья деятельность и бизнес-цели непосредственно зависят от процесса оценки рисков.
Минусы:
Фасилитатор. При любой методике процесс оценки риски является непростым, в FRAP же явно необходимо наличие сильного фасилитатора, который будет способен координировать работу большой команды и который сможет корректно донести ее членам все ключевые детали.
Число членов группы. Нередко выходит так, что владелец бизнес-процесса не знает всех его тонкостей и включенных подпроцессов, и поэтому может быть не осведомлен о некоторых (неочевидных) рисках. Поэтому потребуется привлечение дополнительных членов в группу. Представьте, если такая ситуация будет неоднократной – заявленные плюсы методики начнут сходить на нет.
Автор: Евгений Баклушин, старший аналитик УЦСБ
