Анализ рисков в процессах обеспечения информационной безопасности жизненного цикла финансовых автоматизированных информационных систем

НАУЧНАЯ МЫСЛЬ
СЕРИЯ ОСНОВАНА В 2008 ГОДУ


ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ


А.В. ЦАРЕГОРОДЦЕВ С.В. РОМАНОВСКИЙ
С.Д. ВОЛКОВ


АНАЛИЗ РИСКОВ В ПРОЦЕССАХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЖИЗНЕННОГО
ЦИКЛА ФИНАНСОВЫХ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

МОНОГРАФИЯ




znanium.com электронно-библиотечная система

Москва ИНФРА-М 2024

УДК 004.056+658.15(075.4)
ББК 16.8:65стд1-93-21
      Ц18

      Рецензенты:
         А.С. Марков, доктор технических наук, профессор, почетный работник науки и высоких технологий Российской Федерации, профессор кафедры ИУ-8 «Информационная безопасность» Московского государственного технического университета имени Н.Э. Баумана, президент группы компаний «Эшелон»;
         А.К. Жарова, доктор юридических наук, доцент, старший научный сотрудник Института государства и права Российской академии наук, директор Центра исследований киберпространства факультета права, доцент Департамента стратегического и международного менеджмента Высшей школы бизнеса Национального исследовательского университета «Высшая школа экономики»

      Царегородцев А.В.
Ц18 Анализ рисков в процессах обеспечения информационной безопасности жизненного цикла финансовых автоматизированных информационных систем : монография / А.В. Царегородцев, С.В. Романовский, С.Д. Волков. — Москва : иНфРА-М, 2024. — 198 с. - (Научная мысль). — DOI 10.12737/2049718.

         ISBN 978-5-16-018719-8 (print)
         ISBN 978-5-16-111637-1 (online)

         Одним из ключевых элементов стратегии развития современной организации является решение задачи трансформации системы управления рисками информационной безопасности. Сегодня все чаще современные организации отходят от модели, основанной на зрелости, в пользу подхода, основанного на оценке рисков. В монографии рассматривается данный подход и даются рекомендации по его применению в организациях кредитно-финансовой сферы.
         Может представлять интерес как для сотрудников подразделений, деятельность которых связана с анализом и управлением рисками, организаций кредитно-финансовой сферы, так и для преподавателей, студентов и аспирантов, обучающихся по направлениям подготовки и специальностям, относящимся к укрупненной группе специальностей и направлений подготовки 10.00.00 «Информационная безопасность».


                                                 УДК 004.056+658.15(075.4) ББК 16.8:65стд1-93-21
Данная книга доступна в цветном исполнении в электронно-библиотечной системе Znanium


ISBN 978-5-16-018719-8 (print)
ISBN 978-5-16-111637-1 (online)

© Коллектив авторов, 2023

                Введение





   Одним из ключевых элементов стратегии развития современной организации является решение задачи трансформации системы управления рисками ИБ, перехода от реактивных методов управления, основанных на анализе зрелости операционных процессов, к методу, основанному на анализе и измерении уровня рисков ИБ непосредственно цифровых продуктов и риск-образующих потенциалов клиентов и контрагентов организации. Для того чтобы раскрыть идею решения данной задачи, необходимо привести несколько определений в отношении понимания природы риска ИБ. Во-первых, риск ИБ — это вид операционного риска, т.е. присущ всем видам деятельности цифровой компании (финансовым, производственным, медийным, нормативным и пр.), который относит нас к потенциальным потерям для бизнеса любого вида, объема и охвата. Во-вторых, реализация риска ИБ всегда материальна, и это касается не только воздействия на физические ресурсы компании, как это сегодня принято обсуждать в сфере обеспечения информационной, важно подчеркнуть, что риск ИБ — это форма бизнес-риска, и эта форма материальна и измерима в терминах финансовых показателей. В-третьих, риск ИБ — это не то же самое, что киберугроза, которая представляет собой отдельные факторы, создающие потенциал для риска. Киберугрозы существуют в контексте корпоративного риска ИБ как потенциальные возможности потерь на цифровых активах, иными словами — стоимость под риском. Например, воздействие киберугроз на величину риска может в том числе включать наличие следующих сценариев: мошенничество, фишинг, финансовые преступления, дискредитацию данных, потерю доступности систем и т.д.
   Решения о том, как наилучшим образом снизить риск ИБ, достигаются при участии минимум трех заинтересованных сторон: бизнес-подразделения, или владельца риска, ИТ и ИБ,

3

А.В. Царегородцев, С.В. Романовский, С.Д. Волков

причем ИТ будет интересовать, в первую очередь, набор конкретных мероприятий и проектных инициатив, призванных гарантировано снизить риски до приемлемого уровня, бизнес — стоимость под риском и затраты на реализацию инициатив, а ИБ — качество, управляемость и прозрачность мероприятий. Принимая во внимание общий контекст, в котором осуществляет свою деятельность бизнес-подразделение, владельцы риска — руководители бизнес-юнитов, менеджеры цифровых продуктов принимают решение, какие и какой стоимости решения должны применяться, каков приоритет их реализации в терминах оптимизации затраченных времени, денег и операционных усилий по снижению риск ИБ.
   С точки зрения еще одной заинтересованной стороны, злоумышленника, выгодны так называемые организационная и (или) операционная нерешительность (indecision on IS risk) в отношении рисков ИБ, включая преобладающее отсутствие желания или способности организации внести определенность в отношении опасности и способности осуществлять оценку контрольной среды управления рисками.
   В настоящее время основанные на зрелости подходы к управлению рисками ИБ по-прежнему являются нормой. Эти подходы направлены на достижение определенного уровня зрелости путем создания определенных функций обеспечения ИБ. Например, для достижения желаемого уровня зрелости обеспечения ИБ организация может создать центр управления безопасностью (SOC), чтобы улучшить оценку, мониторинг и реагирование на потенциальные угрозы для корпоративных информационных систем и приложений. Или внедрить многофакторную аутентификацию (MFA) по всему перечню активов в целях повысить уровень зрелости контроля доступа. Подход, основанный на зрелости, может быть полезен в ситуациях, когда требуется запустить программу обеспечения ИБ «с нуля». Однако для организаций, которые продвинулись дальше так называемого нулевого уровня, подход, основанный на зрелости, не применим. Он никогда не станет

4

Анализ рисков в процессах обеспечения информационной безопасности жизненного цикла...

чем-то большим, чем мнение о значении проксипеременных, отражающих субъективное представление об уровне управления ИБ или эффективности снижения рисков ИБ.
  Программы, основанные на оценке зрелости по мере их «органического роста», обычно стимулируют неуправляемый рост контрольных и надзорных процедур. В части мониторинга ИБ, в частности программа, основанная на зрелости, будет иметь тенденцию к неконтролируемому развитию средств и методов мониторинга, подчиняясь стремлению реализации идеи «мы должны контролировать все». Вскоре количество приложений, стоящих в очереди на мониторинг по всей организации, превысит возможности аналитиков и инструментов мониторинга, а автоматизация контрольных сред затормозит операционные процедуры. Реальность такова, что некоторые приложения представляют собой более серьезные уязвимости и, следовательно, больший потенциал риска, чем другие. Чтобы сосредоточиться непосредственно на снижении риска, необходимо выяснить, как перейти от позиции «мониторинга всего» к позиции, при которой мониторингу подлежат конкретные приложения и их конкретные функции, которые обладают высоким потенциалом риска.
  Можно утверждать, что реализация концепции «контролировать все» — это в том числе неэффективные расходы на ИБ. Объем средств контроля растет из года в год, поскольку планирование программ ИБ по-прежнему требует увеличения расходов на дополнительные средства контроля. Снижается ли при этом корпоративный риск? Часто правильные ответы лежат в другой плоскости: например, наилучшая окупаемость инвестиций в снижение корпоративных рисков часто связана с информированием и обучением сотрудников. Тем не менее модель, основанная на оценке зрелости, не требует от организации анализа информации о соотношении «величина риска/ издержки на снижение риска» и необходимый объем финансирования для развертывания дополнительных систем мониторинга приложений. Ожидаются расходы на оба направления,

5

А.В. Царегородцев, С.В. Романовский, С.Д. Волков

хотя одно из них (осведомленность и обучение) может иметь несоразмерное влияние на снижение корпоративных рисков по сравнению с другим.
   Если цель состоит в том, чтобы снизить риск организации, то усилия с наибольшей отдачей от инвестиций в снижение риска должны привлекать больший объем ресурсов. Этот подход применим ко всем компонентам программы обеспечения ИБ. Все они призваны снижать риск ИБ, но большинство организаций не могут точно определить, как и насколько.
   Одним из ключевых недостатков программ, основанных на оценке зрелости, является создание парализующей тупиковой ситуации, когда команды, выполняющие практические мероприятия по внедрению большого количества элементов управления, вынуждены параллельно внедрять и совершенствовать большое количество процессов обеспечения ИБ; результатом является то, что ни один проект никогда не реализуется полностью, а на информационных панелях программ постоянно отображается «желтый» статус для всего набора инициатив.
   Подход, основанный на оценке рисков, позволяет прежде всего решить две ключевые задачи. Во-первых, установить процедуру снижения риска в качестве основной цели, что позволяет организации расставить приоритеты инвестиций в ИБ в решении задач, связанных с внедрением контролей, в том числе СЗИ, исходя непосредственно из соображений эффективности того или иного процесса обеспечения ИБ в отношении снижения риска ИБ. Во-вторых, реализация программы обеспечения ИБ превращает цели руководства по снижению рисков в четкие, прагматичные проекты, согласованные на первой, второй и третьей линиях защиты. Следуя подходу, основанному на оценке рисков, организация больше не будет внедрять механизмы «тотального контроля и мониторинга», основное внимание будет уделяться созданию надлежащих средств контроля для наиболее уязвимых мест в целях

6

Анализ рисков в процессах обеспечения информационной безопасности жизненного цикла...

противостоять наиболее значительным угрозам в терминах бизнеса. Подход позволяет осуществлять как стратегические, так и тактические действия по снижению рисков.
   Сегодня большинство организаций все еще реализуют свои программы достижения определенного уровня зрелости. Однако все чаще современные организации отходят от модели обеспечения ИБ, основанной на зрелости, в пользу подхода, основанного на оценке рисков. Это связано с тем, что новый подход позволяет им применять надлежащий уровень контроля к соответствующим областям потенциального риска. Для высших руководителей, советов директоров и регулирующих органов это означает более экономичное и эффективное управление корпоративными рисками.

7

                Глава 1.




ОБЗОР ПРАКТИК УПРАВЛЕНИЯ РИСКАМИ ИБ


  Проведем обзор ключевых практик управления рисками ИБ.
  1. NIST Risk Management Framework (National Institute of Standards and Technology) Национального института стандартов и технологий США включает в себя набор публикаций — Special Publication (SP), в числе которых:
  —    NIST SP 800-39 «Managing Information Security Risk» («Управление рисками информационной безопасности») описывает методологию процесса управления рисками АИС — идентификация, оценка, митигация и мониторинг.
  —    NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations» («Управление рисками для информационных систем и организаций») описывает методологию процесса управления обеспечения ИБ через призму управления жизненным циклом АИС.
  —    NIST SP 800-30 «Guide for Conducting Risk Assessments» («Методика оценки рисков») сфокусирован на операционных рисках, включая риски информационных технологий и информационной безопасности.
  —    NIST SP 800-137 «Information Security Continuous Monitoring» («Процесс мониторинга информационной безопасности») описывает методологию процесса управления мониторингом ИБ АИС, включая инфраструктуру ИТ.
  2.   Международная организация по стандартизации ISO (International Organization for Standardization) представлена в том числе следующими практиками:
  — Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» («Информационная технология. Методы и средства обеспе

8

Анализ рисков в процессах обеспечения информационной безопасности жизненного цикла...

чения безопасности. Менеджмент риска информационной безопасности») входит в структуру стандартов ISO 27000. Определяет всеобъемлющий набор требований к системе управления рисками ИБ.
   — Стандарт ISO/IEC 27102:2019 «Information security management — Guidelines for cyber-insurance» («Управление информационной безопасностью. Руководство по страхованию системы обеспечения кибербезопасности») определяет всеобъемлющий набор требований к системе страхования рисков обеспечения кибербезопасности в рамках процесса ми-тигации рисков.
   — Серия ISO/IEC 31000:2018 определяет всеобъемлющий набор требований к системе управления рисками организации без привязки к отдельным группам риска. В частности, стандарт ISO/IEC 31010:2019 «Risk management — Risk assessment techniques», который имеет российский аналог ГОСТ Р ИСО/ МЭК 31010—2011 «Менеджмент риска. Методы оценки риска», в том числе ссылаясь на положение 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков», определяет набор требований к системе обеспечения бесперебойной деятельности организаций, включая организации кредитно-финансовой сферы.
   3.   Практика FRAP (Facilitated Risk Analysis Process) определяет набор правил организации системы управления рисками, основанных на оценке критичных информационных активов на базе экспертных оценок.
   4.   Практика OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) определяет набор всеобъемлющих правил организации корпоративной системы управления рисками на основе самостоятельной работы подразделений организаций в рамках их основной операционной деятельности.

9

А.В. Царегородцев, С.В. Романовский, С.Д. Волков

   5.   Практика AS/NZS 4360 (AS/NZS ISO 31000:2009) определяет набор правил организации корпоративной системы управления рисками с фокусом на оценку влияния различных видов риска, включая риски ИБ, на основную деятельность организаций.
   6.   Практика FMEA (Failure Modes and Effect Analysis) определяет набор правил организации системы управления рисками с фокусом на поиск и устранение уязвимостей (слабых компонент) систем менеджмента.
   7.   Практика CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) определяет набор правил организации системы управления рисками с фокусом на автоматизацию процессов управления рисками.
   8.   Практика FAIR (Factor Analysis of Information Risk) определяет набор правил организации корпоративной системы управления рисками с фокусом на проведение количественного анализа рисков, с аллокацией результатов оценки на количественные (финансовые) показатели деятельности организации.
   9.   Модель FERMA (Federation of European Risk Management Association, Европейская Федерация Ассоциаций риск-менеджмента). В 2002 году был опубликован «Стандарт по управлению рисками» (Risk Managment Standart), который определяет последовательность практических действий по внедрению системы риск-менеджмента. Модель основана на четырех группах рисков: стратегический, финансовый, производственный, безопасности.
   10.   Практика COSO ERM (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission). Это Стандарт, который определяет восемь областей управления рисками: организационная структура, цели организации, идентификация рисков, оценка вероятности наступления события риска, достаточность стратегий реагирования на риск, контроль над действиями со


10