Найти в Дзене
Журнал «Информационная безопасность»
1183 подписчика

Как перейти на ущерб-ориентированный подход

1
8 мин
Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса. Автор: Тимофей Поляков, руководитель направления BI.ZONE Consulting У классического подхода есть преимущества: привычная, формализованная методика, соответствующая ISO/IEC 27001. Но есть и недостатки: Поэтому классический подход сложно назвать оптимальным. Основной инструмент ущерб-ориентированного подхода – Business Impact Analysis (BIA). Он позволяет сузить круг до наиболее вероятны
Оглавление

Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса.

Автор: Тимофей Поляков, руководитель направления BI.ZONE Consulting

Классический подход к управлению кибербезопасностью

У классического подхода есть преимущества: привычная, формализованная методика, соответствующая ISO/IEC 27001. Но есть и недостатки:

  • Бизнес не понимает язык кибербезопасности. Риски описываются через нарушение конфиденциальности, целостности и доступности информации, не связывая это с потенциальными потерями для компании. Без понятного сравнения затрат и возможного ущерба руководство не видит прямой связи между инвестициями в кибербезопасность и снижением потерь для бизнеса. Это осложняет принятие взвешенных решений.
  • Ценность активов определяется субъективно. Одни подразделения считают актив критичным, другие – второстепенным. Также бизнес может переоценивать критичность некоторых продуктовых систем и при этом недооценивать элементы ИТ-инфраструктуры, хотя именно они могут стать точкой входа для злоумышленников и причиной серьезных потерь.
  • Приоритизировать риски сложно. Реестр рисков содержит сотни строк, каждая из которых важна. Закрыть все разом невозможно: это потребует значительных ресурсов и времени. При этом, чтобы построить эффективную систему защиты, надо выделить наиболее актуальные для компании риски и в первую очередь закрыть их. Но оценка приоритетности часто оказывается субъективной.

Поэтому классический подход сложно назвать оптимальным.

Проведение BIA

Основной инструмент ущерб-ориентированного подхода – Business Impact Analysis (BIA). Он позволяет сузить круг до наиболее вероятных и опасных сценариев реализации риска, определить первоочередные мероприятия, а также сфокусировать ресурсы.

КБ-специалисты должны понимать, что важно бизнесу в первую очередь. Для этого нужно поговорить с руководителями бизнес-процессов и высшим руководством.

Вот примеры вопросов:

  • Какие процессы представляют для компании наибольшую ценность?
  • От каких активов (в том числе нетехнических) зависят процессы?
  • Что с нами будет, если конкретный процесс остановится?
  • Сколько средств будет потеряно из-за остановки процессов?
  • По каким причинам процесс может остановиться?

Так руководство погрузится в вопросы кибербезопасности и начнет оценивать потенциальные последствия, а также риски их реализации. После проведения BIA компания получит следующие результаты:

  • Разработана шкала оценки критичности негативных последствий.
  • Создан перечень ключевых продуктов и услуг, бизнес-процессов и активов.
  • Обоснованы требования и целевые показатели к обеспечению непрерывности бизнеса.
  • Создан список ситуаций, в которых текущие меры по обеспечению непрерывности не удовлетворяют бизнес-потребности.

Внедрение ущерб-ориентированного подхода: роадмап

Шаг 1. Вовлечь руководство в вопросы кибербезопасности

Цель: убедить топ-менеджмент, что кибербезопасность – это инструмент сохранения стоимости бизнеса, а не «формальные расходы».

1. Организовать стартовую встречу с топ-менеджментом: CEO, финансовым и операционным директорами, руководителями КБ- и IT-подразделений:

  • Определить миссию компании и стратегические цели (показатели роста и устойчивости, которых нужно достигнуть).
  • Зафиксировать риск-аппетит: какие уровни потерь готова принять компания по финансам, клиентам, простоям, KPI.
  • Закрепить, что по итогам реализации проекта в основе принятия решений будет оценка возможных последствий.

2. Определить рабочую группу и драйверов проекта из числа топ-менеджмента, получить необходимые ресурсы:

  • Создать документ с целями и ожиданиями от проекта.
  • Сформулировать предварительный список продуктов, услуг и бизнес-процессов для анализа.

Шаг 2. Проанализировать бизнес-процессы и активы

Цель: понять, что необходимо бизнесу и что именно нужно защитить в первую очередь.

1. Установить границы работ:

  • Выделить ключевые продукты и услуги.
  • Определить основные и поддерживающие процессы.
  • Определить ключевых сотрудников и владельцев процессов.

2. Проработать шкалу оценки критичности негативных последствий:

  • Сформировать перечень возможных последствий: ущерб финансам, клиентам, репутации, комплаенсу, а также причинение вреда людям и экологии.
  • Согласовать шкалу оценки уровня критичности по каждому виду последствий.
  • Закрепить критерии достижения уровней критичности: где находятся границы между «приемлемо», «существенно», «критично» и «недопустимо».
Рис. 1. Пример шкалы уровней критичности
Рис. 1. Пример шкалы уровней критичности

3. Провести интервью с владельцами бизнес-процессов и ключевыми специалистами, чтобы собрать информацию о процессах:

  • Описать процессы (этапы, операции, результат, метрики и ключевые показатели).
  • Зафиксировать используемые активы (ИТ-системы, данные, специалисты, подрядчики, инфраструктура).
  • Определить потенциальные последствия инцидента в рамках бизнес-процессов и их уровни по разработанной шкале.
  • Определить взаимосвязи с другими процессами, от которых зависят основные бизнес-процессы.
  • Проанализировать, насколько критично влияние недоступности активов и возможных утечек.
  • Определить критичность активов в соответствии с потенциальными последствиями и шкалой оценки критичности негативных последствий.
  • Сформировать целевые показатели обеспечения непрерывности: RTO (целевое время восстановления), RPO (целевая точка восстановления), MAC, MTPD и другие. Определять целевое время и точку восстановления стоит исходя из уровней критичности и риск-аппетита компании. Например, если недоступность актива с течением времени влечет финансовые потери и по расчетам через 4 часа уровень последствий достигнет уровня «критично», а через 24 часа – «недопустимо», то показатель RTO – 4 часа, а MTPD – 24 часа.

4. Проанализировать и упорядочить полученные данные:

  • Построить таблицы воздействия сбоев на процессы и ресурсы с течением времени.
  • Классифицировать активы и процессы по уровню критичности.
  • Выявить разрывы между «как надо бизнесу» и «как есть». Например, исходя из риск-аппетита, в случае сбоя производство должно быть восстановлено не позже 4 часов с момента остановки, а фактически восстановление может занять до 24 часов.
  • Подготовить перечень критичных процессов и активов, которые должны быть восстановлены в первую очередь.

Шаг 3. Перестроить риск-менеджмент и управление кибербезопасностью

Цель: перевести существующий риск-менеджмент и управление кибербезопасностью на язык последствий и сделать результаты этих процессов прозрачными для бизнеса.

1. Актуализировать реестр рисков, отталкиваясь от перечня стратегических рисков по результатам BIA:

  • Точка отсчета – список стратегических рисков по результатам BIA, описанных через связку «негативное последствие и уровень критичности – бизнес-процесс – актив – сценарий реализации негативного последствия (недоступность актива, нехватка сотрудников и т. д.) – критерий наступления».
  • Для каждого риска должен быть зафиксирован уровень ущерба по шкале оценки критичности.

2. Связать BIA с классической оценкой рисков:

  • Определить вероятность реализации рисков, используя ISO/IEC 27005 и IEC 31010.
  • Провести ущерб-ориентированную оценку рисков КБ и определить его актуальный уровень, который складывается из оценки реализации контрмер, применимых для рассматриваемой угрозы и уязвимости. Оценка учитывает уровень негативных последствий, вероятность возникновения угроз и уязвимостей, вероятность их реализации.
  • Приоритизировать портфель рисков и планируемых к реализации контрмер.

3. Обновить цели и KPI для направлений IT и кибербезопасности. Ввести показатели по RTO/RPO, простоям критичных активов, доле рисков выше риск-аппетита.

Шаг 4. Интегрировать подход в систему управления

Цель: интегрировать ущерб-ориентированный подход в существующую систему управления или заложить основу для ее последующего развития.

  1. Описать процесс проведения BIA, определения критичности процессов и активов.
  2. Описать процесс ущерб-ориентированной оценки рисков.
  3. Включить пересмотр BIA, реестра рисков и процессов управления непрерывностью в ежегодный цикл.
  4. Формализовать систему оценки эффективности и планирования на определенные периоды.
  5. Выстроить единый язык для бизнеса, ИТ и КБ в связке: последствия – пороговые значения – риски – планирование КБ- или ИТ-проектов.

С чего начать

Попробуйте мысленно следующие действия:

1. Определите 3–5 ключевых процессов в вашей компании:

  • Какие из них нанесут максимальный ущерб бизнесу в случае остановки на один день?
  • От каких систем, сотрудников, поставщиков зависят эти процессы?
  • Какие ресурсы критичны для функционирования процессов?

2. Представьте примерный масштаб ущерба:

  • Сколько выручки вы потеряете за день простоя?
  • Сколько клиентов уйдет, если прекратить обслуживание или предоставление услуги? Вернутся ли они?
  • Какие договорные или регуляторные штрафы возможны?

3. Определите минимальную цель – первый набросок шкалы критичности и показателей RTO/RPO для процесса и критичных активов:

  • Простой процесса более 4 часов – существенно.
  • Потерять данные за месяц – недопустимо.
  • Отказ работы интернет-магазина на 1–2 часа в прайм-тайм – критично.

Результат внедрения подхода

После внедрения ущерб-ориентированного подхода компания получит следующие результаты:

  1. Снижение рисков без увеличения бюджета.
  2. Прозрачность и управляемость кибербезопасности.
  3. Связь кибербезопасности с непрерывностью и устойчивостью.
  4. Единая методология управления.
  5. Упрощение принятия решений.

Выводы

Ущерб-ориентированный подход позволяет объединить разрозненные процессы по управлению непрерывностью и безопасностью бизнеса в единую систему. Чтобы ее построить, в первую очередь необходимо провести BIA. Анализ показывает, что может произойти с выручкой, клиентской базой и обязательствами в случае простоя конкретного бизнес-процесса или актива во времени, а также куда следует направить ресурсы, чтобы минимизировать последствия. В этом и заключается суть ущерб-ориентированного подхода: защищать не абстрактные активы, а конкретные ценности бизнеса.

Бизнес и финансы
1,13 млн интересуются