Корпоративные бизнес-процессы (БП) определяют работу компании. Информационная безопасность (ИБ) защищает работу компании, и для этого защищает корпративные БП. Для более эффективной нашей работы мы декомпозируем БП далее: понимаем какие необходимы данные для работы БП, какие свойства (конфиденциальность, целостность, доступность, аутентичность\авторство, достоверность\непротиворечивость и т.п.) этих данных принципиальны, какие информационные системы (ИС) обрабатывают эти данные и как быть уверенными, что эти системы работают как предполагается, какие инфраструктурные компоненты важны для работы этих систем... , и уже на данные, приложения, системы, инфраструктуру навешиваем наши контроли безопасности. Однако, никогда не надо забывать, все наши усилия направлены на защиту основного бизнеса компании, на защиту БП.
Как мы разобрали выше, риски для БП со стороны угроз информационной безопасности реализуются через уязвимости, а эксплуатация уязвимости в конечном счете приводит к реализации риска для БП. Уязвимость, в соответствии с ГОСТ Р 56546-2015, - широкое понятие, позволяющее нам утверждать, что получение ущерба невозможно при отсутствии уязвимости. Несложно догадаться, что далеко не все уязвимости приводят к ущербу, а так как задача ИБ - предупреждать и предотвращать ущерб, то и сфокусироваться можно исключительно на уязвимостях, имеющих потенциал, в случае эксплуатации, принести ущерб. Уязвимости, эксплуатация которых не приводит к ущербу, можно, как минимум, отложить. С учетом такого подхода к управлению уязвимостями, корпоративную систему управления ИБ можно направлять не в сторону постоянного поиска и закрытия уязвимостей, а построения систем, где уязвимости будут либо неэксплуатируемыми, либо их эксплуатция не будет приводить к дальнейшему развитию атаки до получения ущерба (об Assume Vulnerable я рассуждал здесь).
Необходимость поиска и анализа уязвимостей не вызывает вопросов, однако для понимания критичности выявленной уязвимости и, вообще, необходимости ее закрывать, уязвимость следует поднять на уровень БП, и уж на уровне БП посмотреть к реализации какого бизнес-риска эта уязвимость приводит, и какой ущерб. Идея классификации уязвимостей по критичности риска БП не нова, очень напоминает классификацию инцидентов, и, как мы все понимаем, такая классификация не может быть выполнена без глубокой осведомленности о работе БП и релевантным им рискам, т.е. ни сканер уязвимостей, ни, возможно, даже внешний пентестер не сможет оценить критичность выявленных им уязвимостей с позиции рисков БП, тогда как именно это и надо, поскольку есть масса других значительно более полезных занятий, чем воевать с уязвимостями, эксплуатация которых не приводит к реализации рисков ИБ и ущербу для Бизнеса.
Как обсудили выше, мы, подразделения ИБ, защищаем БП, и обязаны неплохо разбираться в объекте защиты, ибо невозможно обеспечить безопасность того, в чем не разбираемся. Угрозы ИБ лежат в области ИТ, поэтому наши знания о БП также должны включать вопросы автоматизации защищаемого БП в приложениях и ИТ-инфраструктуре. И по части БП, и по части ИТ в корпорации, как правило, есть экспертные команды, типа Департамента внутреннего контроля (ДВК) и Департамента ИТ (ДИТ) - это наши лучшие друзья, они - единственные, кто нам сможет помочь разобраться в БП и их рисках (бизнес-рисках, с ущербом для бизнеса) и в отражении БП на ИС в зоне ответственности ИТ (в автоматизации БП, бизнес-приложениях и инфраструктуре). Разобравшись в БП и в его автоматизации, мы сможем понимать проекцию бизнес-рисков на системы и инфраструктуру ИТ - это и будут наши искомые риски ИБ. Риски ИБ - это проекция рисков БП в ИТ, а проделанное упражнение, можно называть проецированием "сверху вниз". На практике важно делать и наоборот: выявленные технические уязвимости поднимать на уровень рисков БП, иначе, по-хорошему нельзя понять влияние уязвимости на БП и бизнес компании - это подход "снизу вверх".
Для иллюстрации написанного предлагаю несколько ассоциативных картинок.
Синее облако - это БП, разноцветные многоугольники в нем - бизнес-риски этого БП. Зеленая лужа - это автоматизация этого БП в ИТ, т.е. отражение БП на информационные системы и инфраструктуру, а разноцветные многоугольники в зеленой луже - это уязвимости в нашей автоматизации. Какие-то из этих уязвимостей проецируются на какие-то бизнес-риски, а какие-то нет, их эксплуатация не приводит к бизнес-рискам. Верно и обратное: бизнес-риски отображаются в какие-то уязвимости в нашей автоматизации, а значит их эксплуатация приведет к реализации соответствующих бизнес-рисков.
Исходя из проекции бизнес-рисков в ИТ можно и проектировать наши контроли ИБ, а совокупность всех наших контролей ИБ - и будет нашей СУИБ. Понимание связи рисков БП и уязвимостей позволит нам также понять приоритеты и спланировать наше Управление уязвимостями.
