Сегодняшняя статья будет посвящена методике Facilitated Risk Analysis Process (далее – FRAP).
Автор: Евгений Баклушин, старший аналитик УЦСБ
Почему FRAP?
Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:
- Существенное сокращение времени и усилий на проведение оценки.
- Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.
- Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.
- Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.
Анализ рисков
Анализ и оценка рисков ИБ по FRAP состоит из нескольких этапов. Давайте рассмотрим их.
Этап 1 – группа FRAP
Длительность: 1 день.
Начинается все с определения группы FRAP, в которую входят бизнес-менеджеры, руководитель проекта (далее – РП) и фасилитатор (ответственный за коммуникацию).
Группа FRAP осуществляет постановку цели проекта и определяет всех участников оценки рисков ИБ для проведения соответствующей сессии, среди которых могут быть:
- владельцы бизнес-процессов;
- пользователи информационных (автоматизированных) систем;
- системный и сетевой администраторы;
- разработчики программного обеспечения;
- представители отдела ИБ и службы безопасности;
- внешние аудиторы;
- юристы;
- и другие.
Конечный состав может быть определен в первой части сессии. Главное – привлечь всех заинтересованных лиц и рассмотреть все возможные сценарии, способные нарушить бизнес-процессы (цели) организации.
Этап 2 – сессия FRAP
Длительность – 1 день.
Первым делом группа FRAP представляется всем участниками сессии, а также оглашает имена, должности и роли всех присутствующих (владелец процесса, руководитель проекта, секретарь, члены сессии и другие).
Вторым важным моментом в начале сессии является оглашение повестки и утверждение базовых определений, таких как:
- риск – потенциальное событие, которое оказывает или может оказать негативное влияние на бизнес-цели;
ВАЖНО! С точки зрения FRAP риски ИБ рассматриваются в разрезе и процессов управления ИБ, и систем, автоматизирующих основные бизнес-процессы организации - меры и средства контроля и управления – меры и средства, предпринимаемые и используемые для предотвращения, обнаружения, уменьшения (снижения) или принятия риска в рамках обеспечения защиты бизнес-процессов;
- целостность – информация соответствует назначению, без несанкционированных или нежелательных изменений или искажений;
- конфиденциальность – информация не подвергалась несанкционированному или нежелательному разглашению;
- доступность – приложения, системы или информационные ресурсы должны быть доступны при их необходимости.
Затем РП инициирует мозговой штурм, приводя некоторые примеры рисков ИБ:
- Третьи лица получают доступ к конфиденциальной информации.
- Данные могут быть повреждены незавершенной транзакцией.
- Отсутствуют процессы контроля обеспечения ИБ.
Начинается МОЗГОВОЙ ШТУРМ!
ВАЖНО! Члены команды должны использовать в обсуждении не только hardskills, но и softskills, т.е. быть заинтересованными в процессе, слышать и доверять друг другу, включаться в процесс и задействовать воображение.
В течение 3-5 минут члены группы на стикерах или на листках бумаги записывают риски, основываясь на том, что их беспокоит и что они считают важным. Далее процесс идет по следующему алгоритму:
- Фасилитатор осуществляет сбор всех стикеров и объявляет небольшой кофе-брейк.
- Далее из общей массы убираются повторяющиеся риски, а также дополняются новые, если за чашечкой кофе у кого-то появились еще идеи.
- Затем следует приоритизация рисков. Это делается путем определения возможных уязвимостей, которые являются причинами возникновения рисков, а также возможного воздействия рисков на бизнес-цели организации. Обычно при этом выделяется 3 уровня уязвимостей:
- Высокий: в системе или повседневной работе существует серьезная слабость, потенциал воздействия которой на бизнес является серьезным или значительным, и меры и средства контроля и управления должны быть явно улучшены.
- Средний: существует некоторая слабость, где потенциал воздействия на бизнес является серьезным, при этом меры и средства уже частично приняты, но должны быть улучшены.
- Низкий: система работает корректно и не требует дополнительных мер и средств контроля и управления.
Далее определяется степень воздействия на бизнес-цели организации:
- Высокая: может привести к банкротству или серьезно повредить перспективам развития организации.
- Средняя: нанесет значительный ущерб, влекущий за собой серьезные траты, но в конце концов организация, скорее всего, выживет…
- Низкая: спокойно поддается управлению в обычной деятельности организации.
Затем РП все сводит в общую таблицу определения приоритета риска. Пример такой таблицы приведен ниже:
В этот момент члены команды выставляют приоритеты рискам, присваивая каждому из выявленных рисков соответствующие буквенные значения:
А – необходимо выполнить корректирующее действие и внедрить меры и средства контроля и управления.
В – необходимо выполнить корректирующее действие, а также рекомендуется внедрить меры и средства контроля и управления.
С – требуется периодический мониторинг.
D – никаких действий не требуется.
При этом возможно несколько вариантов выставления приоритетов рискам:
- Фасилитатор поочередно поднимает обсуждение каждого выявленного риска, в конце которого команда достигает консенсуса и фиксирует его приоритет.
- Фасилитатор обсуждает с командой 2-3 риска, чтобы убедиться, что команда имеет правильное представление о процессе присвоения приоритета. После чего каждый член команды самостоятельно расставляет приоритеты рискам. В конце принимается усредненный приоритет.
- Членам команды раздаются небольшие цветные стикеры, которые они размещают на тех рисках, которые, по их мнению, требуют внедрения мер и средств контроля и управления. Чем больше стикеров, тем выше приоритет риска.
На этом мозговой штурм закончен. Пойдемте пить кофе!
Этап 3 – меры и средства контроля и управления
Длительность – 3-5 дней.
Группа FRAP анализирует результаты сессии и формирует перечень мер и средств контроля и управления для выявленных рисков. После чего фасилитатор повторно собирает участников сессии, чтобы обсудить обработку рисков с помощью мер и средств контроля и управления. Под руководством РП фасилитатор просит членов сессии определить, какие меры и средства контроля и управления из перечня помогут снизить риск. При этом обсуждение движется от А-рисков до D.
Важно! Не забываем про бизнес цели, иногда будет выгоднее принять риск, чем понижать его путем внедрения мер и средств контроля и управления.
В завершении определения мер и средств контроля и управления, а также опроса членов сессии, группа FRAP формирует лист перекрестных ссылок, тем самым определяя, какие же меры и средства контроля и управления помогут в минимизации наибольшего количества рисков с высоким (А) приоритетом.
Далее не будет лишним повторно проконсультироваться с собственниками идентифицированных рисков. Увидев стоимость внедрения мер и средств контроля и управления, они все еще считают их необходимыми, или риск можно принять?
И вот финал! Группа FRAP формирует заключительный отчет, в котором определены риски и их приоритеты, меры и средства контроля и управления и их рентабельность, а также кто будет нести ответственность за их внедрение данных мер и средств.
Вывод
Рассмотрев методику FRAP, ее подходы к анализу рисков ИБ и результаты, давайте выделим итоги.
Плюсы:
- Бизнес-ориентированность. На протяжении всего процесса выявление и оценка рисков проходит с точки зрения их влияния на достижение бизнес-целей организации.
- Скорость. Примерно за неделю активной работы мы получаем применимый практически результаты и отчетный документ, на которые не тратим несколько месяцев в году.
- Вовлеченность. К сессии подключается максимальное количество сотрудников, чья деятельность и бизнес-цели непосредственно зависят от процесса оценки рисков.
Минусы:
- Фасилитатор. При любой методике процесс оценки риски является непростым, в FRAP же явно необходимо наличие сильного фасилитатора, который будет способен координировать работу большой команды и который сможет корректно донести ее членам все ключевые детали.
- Число членов группы. Нередко выходит так, что владелец бизнес-процесса не знает всех его тонкостей и включенных подпроцессов, и поэтому может быть не осведомлен о некоторых (неочевидных) рисках. Поэтому потребуется привлечение дополнительных членов в группу. Представьте, если такая ситуация будет неоднократной – заявленные плюсы методики начнут сходить на нет.