Найти тему

Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process

Сегодняшняя статья будет посвящена методике Facilitated Risk Analysis Process (далее – FRAP).

Автор: Евгений Баклушин, старший аналитик УЦСБ

Почему FRAP?

Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:

  • Существенное сокращение времени и усилий на проведение оценки.
  • Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.
  • Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.
  • Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.

Анализ рисков

Анализ и оценка рисков ИБ по FRAP состоит из нескольких этапов. Давайте рассмотрим их.

Этап 1 – группа FRAP

Длительность: 1 день.

Начинается все с определения группы FRAP, в которую входят бизнес-менеджеры, руководитель проекта (далее – РП) и фасилитатор (ответственный за коммуникацию).

Группа FRAP осуществляет постановку цели проекта и определяет всех участников оценки рисков ИБ для проведения соответствующей сессии, среди которых могут быть:

  • владельцы бизнес-процессов;
  • пользователи информационных (автоматизированных) систем;
  • системный и сетевой администраторы;
  • разработчики программного обеспечения;
  • представители отдела ИБ и службы безопасности;
  • внешние аудиторы;
  • юристы;
  • и другие.

Конечный состав может быть определен в первой части сессии. Главное – привлечь всех заинтересованных лиц и рассмотреть все возможные сценарии, способные нарушить бизнес-процессы (цели) организации.

Этап 2 – сессия FRAP

Длительность – 1 день.

Первым делом группа FRAP представляется всем участниками сессии, а также оглашает имена, должности и роли всех присутствующих (владелец процесса, руководитель проекта, секретарь, члены сессии и другие).

Вторым важным моментом в начале сессии является оглашение повестки и утверждение базовых определений, таких как:

  • риск – потенциальное событие, которое оказывает или может оказать негативное влияние на бизнес-цели;

    ВАЖНО! С точки зрения FRAP риски ИБ рассматриваются в разрезе и процессов управления ИБ, и систем, автоматизирующих основные бизнес-процессы организации
  • меры и средства контроля и управления – меры и средства, предпринимаемые и используемые для предотвращения, обнаружения, уменьшения (снижения) или принятия риска в рамках обеспечения защиты бизнес-процессов;
  • целостность – информация соответствует назначению, без несанкционированных или нежелательных изменений или искажений;
  • конфиденциальность – информация не подвергалась несанкционированному или нежелательному разглашению;
  • доступность – приложения, системы или информационные ресурсы должны быть доступны при их необходимости.

Затем РП инициирует мозговой штурм, приводя некоторые примеры рисков ИБ:

  • Третьи лица получают доступ к конфиденциальной информации.
  • Данные могут быть повреждены незавершенной транзакцией.
  • Отсутствуют процессы контроля обеспечения ИБ.

Начинается МОЗГОВОЙ ШТУРМ!

ВАЖНО! Члены команды должны использовать в обсуждении не только hardskills, но и softskills, т.е. быть заинтересованными в процессе, слышать и доверять друг другу, включаться в процесс и задействовать воображение.

В течение 3-5 минут члены группы на стикерах или на листках бумаги записывают риски, основываясь на том, что их беспокоит и что они считают важным. Далее процесс идет по следующему алгоритму:

  1. Фасилитатор осуществляет сбор всех стикеров и объявляет небольшой кофе-брейк.
  2. Далее из общей массы убираются повторяющиеся риски, а также дополняются новые, если за чашечкой кофе у кого-то появились еще идеи.
  3. Затем следует приоритизация рисков. Это делается путем определения возможных уязвимостей, которые являются причинами возникновения рисков, а также возможного воздействия рисков на бизнес-цели организации. Обычно при этом выделяется 3 уровня уязвимостей:
  • Высокий: в системе или повседневной работе существует серьезная слабость, потенциал воздействия которой на бизнес является серьезным или значительным, и меры и средства контроля и управления должны быть явно улучшены.
  • Средний: существует некоторая слабость, где потенциал воздействия на бизнес является серьезным, при этом меры и средства уже частично приняты, но должны быть улучшены.
  • Низкий: система работает корректно и не требует дополнительных мер и средств контроля и управления.

Далее определяется степень воздействия на бизнес-цели организации:

  • Высокая: может привести к банкротству или серьезно повредить перспективам развития организации.
  • Средняя: нанесет значительный ущерб, влекущий за собой серьезные траты, но в конце концов организация, скорее всего, выживет…
  • Низкая: спокойно поддается управлению в обычной деятельности организации.

Затем РП все сводит в общую таблицу определения приоритета риска. Пример такой таблицы приведен ниже:

 Таблица определения приоритета риска
Таблица определения приоритета риска

В этот момент члены команды выставляют приоритеты рискам, присваивая каждому из выявленных рисков соответствующие буквенные значения:

А – необходимо выполнить корректирующее действие и внедрить меры и средства контроля и управления.
В – необходимо выполнить корректирующее действие, а также рекомендуется внедрить меры и средства контроля и управления.
С – требуется периодический мониторинг.
D – никаких действий не требуется.

При этом возможно несколько вариантов выставления приоритетов рискам:

  • Фасилитатор поочередно поднимает обсуждение каждого выявленного риска, в конце которого команда достигает консенсуса и фиксирует его приоритет.
  • Фасилитатор обсуждает с командой 2-3 риска, чтобы убедиться, что команда имеет правильное представление о процессе присвоения приоритета. После чего каждый член команды самостоятельно расставляет приоритеты рискам. В конце принимается усредненный приоритет.
  • Членам команды раздаются небольшие цветные стикеры, которые они размещают на тех рисках, которые, по их мнению, требуют внедрения мер и средств контроля и управления. Чем больше стикеров, тем выше приоритет риска.

На этом мозговой штурм закончен. Пойдемте пить кофе!

Этап 3 – меры и средства контроля и управления

Длительность – 3-5 дней.

Группа FRAP анализирует результаты сессии и формирует перечень мер и средств контроля и управления для выявленных рисков. После чего фасилитатор повторно собирает участников сессии, чтобы обсудить обработку рисков с помощью мер и средств контроля и управления. Под руководством РП фасилитатор просит членов сессии определить, какие меры и средства контроля и управления из перечня помогут снизить риск. При этом обсуждение движется от А-рисков до D.
Важно! Не забываем про бизнес цели, иногда будет выгоднее принять риск, чем понижать его путем внедрения мер и средств контроля и управления.

В завершении определения мер и средств контроля и управления, а также опроса членов сессии, группа FRAP формирует лист перекрестных ссылок, тем самым определяя, какие же меры и средства контроля и управления помогут в минимизации наибольшего количества рисков с высоким (А) приоритетом.

Далее не будет лишним повторно проконсультироваться с собственниками идентифицированных рисков. Увидев стоимость внедрения мер и средств контроля и управления, они все еще считают их необходимыми, или риск можно принять?

И вот финал! Группа FRAP формирует заключительный отчет, в котором определены риски и их приоритеты, меры и средства контроля и управления и их рентабельность, а также кто будет нести ответственность за их внедрение данных мер и средств.

Вывод

Рассмотрев методику FRAP, ее подходы к анализу рисков ИБ и результаты, давайте выделим итоги.

Плюсы:

  • Бизнес-ориентированность. На протяжении всего процесса выявление и оценка рисков проходит с точки зрения их влияния на достижение бизнес-целей организации.
  • Скорость. Примерно за неделю активной работы мы получаем применимый практически результаты и отчетный документ, на которые не тратим несколько месяцев в году.
  • Вовлеченность. К сессии подключается максимальное количество сотрудников, чья деятельность и бизнес-цели непосредственно зависят от процесса оценки рисков.

Минусы:

  • Фасилитатор. При любой методике процесс оценки риски является непростым, в FRAP же явно необходимо наличие сильного фасилитатора, который будет способен координировать работу большой команды и который сможет корректно донести ее членам все ключевые детали.
  • Число членов группы. Нередко выходит так, что владелец бизнес-процесса не знает всех его тонкостей и включенных подпроцессов, и поэтому может быть не осведомлен о некоторых (неочевидных) рисках. Поэтому потребуется привлечение дополнительных членов в группу. Представьте, если такая ситуация будет неоднократной – заявленные плюсы методики начнут сходить на нет.