Computerworld, США

В сфере ИТ выделение средств на безопасность традиционно относится к тактическим решениям, порой даже к оперативным. При этом обычно руководствуются интуитивными соображениями, исходя из простого постулата, что безопасность — это хорошо и правильно. Модель безопасности, основанная на оценках рисков, — это попытка перейти к стратегическому подходу

«Если бизнес характеризуется теми или иными рисками, стоит заручиться мнением нескольких независимых экспертов, которые бы оценили возможные последствия для предприятия, руководствуясь при этом едиными критериями», — советует Грег Авесян, вице-президент по защите корпоративных информационных систем корпорации Textron. И это не праздный совет. Корпорация с оборотом 10 млрд. долл. сама внедряет модель безопасности, основанную на оценке рисков, а при реализации такого проекта одной из самых сложных задач является количественная оценка потенциального вреда.

В сфере ИТ выделение средств на безопасность традиционно относится к тактическим решениям, порой даже к оперативным. При этом обычно руководствуются интуитивными соображениями, исходя из простого постулата, что безопасность — это хорошо и правильно. Модель безопасности, основанная на оценках рисков, — это попытка перейти к стратегическому подходу.

«Предприятия постепенно начинают оценивать риски во всей их взаимосвязи, — заметил аналитик компании Gartner Крис Бирнс. — Вместо того чтобы рассматривать защиту информации как нечто изолированное, они анализируют более широкий спектр возможных рисков».

Модель, основанная на учете рисков, может оказаться весьма полезной для предприятия, поскольку она позволяет направлять средства на наиболее важные участки и тем самым обеспечивать требуемый уровень безопасности. Однако реализация этой пока еще новой концепции сопряжена с рядом сложностей.

Новый взгляд

В рамках модели на базе рисков ИТ-менеджеры и менеджеры по безопасности совместно с руководителями бизнес-подразделений должны определить, что именно представляет наиболее серьезную угрозу для работы предприятия, и соответствующим образом установить приоритеты в расходах на организацию защиты. По существу, эта модель представляет собой анализ затрат, позволяющий гарантировать разумное расходование средств, отведенных на обеспечение безопасности.

Очевидно, что эта модель является логичным результатом того, что расходы на ИТ ставятся все в большее соответствие с приоритетами бизнеса. Так же как управление портфелями инвестиций и другие дисциплины связывают расходы на ИТ с наиболее перспективными инициативами бизнеса, защита с учетом рисков определяет приоритетные направления расходов исходя из потенциального вреда различных угроз.

В Textron, отметил Авесян, модель организации защиты с учетом рисков была выбрана потому, что, как и многие другие, его компания ограничена в средствах, которые она может потратить на уменьшение рисков. Новая модель, по его словам, помогла компании разработать согласованную платформу для оценки рисков и заставила мыслить стратегически. В Textron придают особое значение обеспечению безопасности и рассматривают модель безопасности на базе рисков как дополнение к тем усилиям, которые предпринимаются для выполнения требований закона Сарбейнса-Оксли, а также к методике управления качеством Six Sigma и COBIT (Control Objectives for Information and Related Technology), набору лучших практических решений для управления ИТ.

По мнению Авесяна, следование методике Six Sigma требует там, где это возможно, использования стандартизованных процессов, что, в свою очередь, позволяет за счет этой стандартизации адекватно оценивать достигнутые результаты. Действительно, в Textron работает специалист, имеющий «черный пояс» по Six Sigma (крайне редко встречающийся), который и отвечает в корпорации за управление рисками.

Аналитики отмечают, что необходимость выполнения требований законодательства стимулирует реализацию защиты с учетом рисков. Многие требования не только помогают обратить внимание на те риски, которые компании упустили из виду, но и предписывают процедуры контроля, позволяющие устранить изъяны в защите.

Примером тому может служить компания Canadian Pacific Railway, где системами SAP пользуется свыше 8,5 тыс. человек. По словам Маргарет Соколовой, менеджера Canadian Pacific по защите и мерам контроля, используемый компанией инструментарий Compliance Calculator, выпускаемый Virsa Systems, позволил выявить определенные проблемы с «разделением полномочий», что мешало выполнять требования закона Сарбейнса-Оксли и обеспечивать необходимый уровень защиты информации.

Выяснилось, что самые серьезные риски связаны с тем направлением обеспечения безопасности, на реализацию которого большинство компаний не выделяет необходимых средств, а именно с организацией труда специалистов самой компании.

Как и во многих компаниях, где много сотрудников работает с системами SAP, в Canadian Pacific есть специалисты, обладающие правами «суперпользователей», и эксперты по предметной области. Этим пользователям предоставляются исключительные права доступа к данным и коду, в силу чего они могут менять интерфейсы и процессы.

После того как эксперты Virsa указали, что такие права доступа препятствуют выполнению требований закона Сарбейнса-Оксли, железнодорожная компания устранила этот изъян с помощью ряда мер контроля. Теперь, когда суперпользователи пытаются нестандартным образом изменить код, их менеджерам автоматически рассылаются уведомления о таких действиях. Впоследствии полные записи всех операций передаются для анализа и утверждения.

Роль ИТ

Модель защиты с учетом рисков не только представляет собой недорогое и эффективное решение, но и в перспективе позволяет сократить затраты. Во-первых, меньше денег тратится на защиту от тех рисков, которые не грозят серьезными последствиями или возникают крайне редко. А во-вторых, дополнительные деньги, потраченные на уменьшение серьезных рисков, дают возможность организации сэкономить огромные суммы за счет предотвращения судебных исков, защиты внутренней информации. Публичным компаниям уменьшение рисков позволит поддержать их репутацию и не допустить резкого снижения котировок.

Аудиторский след

Казалось бы, защита с учетом рисков должна лишить ИТ-службу определенного контроля, однако этого не происходит. По данным аналитика компании Forrester Research Майкла Расмуссена, выявление и оценка различных ИТ-рисков приводит к появлению огромного количества данных, которые необходимо преобразовывать в значимую информацию. В Forrester предполагают, что с этой целью ИТ-подразделения будут внедрять системы управления рисками и устанавливать новые средства выявления рисков (например, системы обнаружения вторжений).

Полнофункциональная система управления рисками, по мнению Расмуссена, будет осуществлять мониторинг ИТ-систем и контроль состояния серверов, а также автоматические уведомления об исключительных ситуациях. Так, топ-менеджеры могут, например, видеть красный или зеленый индикатор на своем компьютере, в то время как ИТ-специалисты получат более специфическую информацию.

На первых этапах перехода в стратегии защиты с учетом рисков ИТ-службе предстоит провести полную инвентаризацию технологических активов, а затем каждому из этих активов присвоить свой приоритет — это один из самых сложных этапов. Именно на этом этапе формализуются интуитивные опасения. Здесь требуется получить ответы на вопросы о том, каковы финансовые последствия выхода из строя данной системы и каковы финансовые последствия нарушения целостности данных или конфиденциальности. В ответах должны учитываться не только краткосрочные проблемы с выполнением транзакций, но и то, как эти нарушения скажутся на лояльности клиентов и котировках акций.

Бирнс считает, что на этом этапе самое активное участие должны принимать владельцы процессов.

«Я потратил полгода на то, чтобы в каждом из подразделений Textron, где работают не меньше 20 сотрудников, найти по одному человеку, который отвечал бы за такую оценку защиты», — заявил Авесян. В итоге он создал группу из 25 человек для управления ИТ-рисками, которая собирается раз в месяц и является частью формального процесса управления в Textron.

ИТ-специалисты должны также играть существенную роль в оценке и формальном закреплении процедур контроля. Это новая и сложная работа, но при реализации модели защиты с учетом рисков она крайне важна.

Раньше при вводе каких-либо процедур контроля ИТ-службе просто приказывали их организовать, при этом вопрос о цене практически не рассматривался. Но любое средство контроля, от самого современного сетевого экрана до реализуемой политики безопасности, имеет свою цену. При внедрении модели с учетом рисков эти затраты необходимо точно соотнести с потенциальными финансовыми потерями, которые эти риски в себе несут.

Языком цифр

Для ИТ-специалистов задачи, возникающие при реализации модели защиты с учетом рисков, столь же знакомы, сколь и трудны. Прежде всего, директор ИТ-службы и директор по безопасности должны наладить взаимосвязи с бизнес-подразделениями, опираясь на которые можно было бы получать актуальную информацию в соответствии с меняющимися рисками. Крайне важно оценить факторы риска и, самое главное, возможный вред для нового продукта или услуги. А это скорее искусство, нежели наука.

Переход к модели защиты с учетом рисков может изменить привычное для ИТ-служб распределение обязанностей.

По мере того как защита информации перестает быть изолированной деятельностью, а становится составляющей более общей картины возможных рисков, обеспечение безопасности тоже выходит за круг обязанностей сотрудников ИТ-службы.

Действительно, крупные аудиторские фирмы все чаще отдают предпочтение самой совершенной форме защиты с учетом рисков, получившей название «управление рисками предприятия» (Enterprise Risk Management, ERM). Многие организации, активно внедряющие ERM (в том числе, по словам Бирнса, практически все компании, предоставляющие финансовые услуги), назначают директоров по управлению рисками, которые подчиняются генеральному директору или даже совету директоров.

Тим Мелитик, директор по защите информационных систем компании Priority Health, входит в состав рабочей группы, готовящей переход к защите на базе рисков. Но он пока не уверен в возможности заранее определять точные финансовые показатели для различного рода угроз.

«Конечно, расходование выделенных на защиту средств таким образом, чтобы обеспечить максимальную безопасность, — весьма разумный подход, — заметил он. — Именно этого мы и хотим добиться».

В качестве примера он привел внедрение в его компании приложения Enterprise Security Manager от ArcSight. Этот ERM-пакет консолидирует и упрощает отчеты, поступающие от сетевых экранов, систем обнаружения вторжений, а также программ защиты от программ-шпионов и спама.

Несмотря на то что инструментарий ArcSight действительно помог его компании разумно расходовать средства, выделенные на цели защиты, Мелитик скептически отзывается об общей концепции, предусматривающей количественную оценку всех рисков.

И в стане скептиков он не одинок. Защита на основе оценки последствий рисков при всей привлекательности самой идеи, по-видимому, требует такого уровня управления и сотрудничества с бизнес-подразделениями, которого крайне трудно добиться в горячке текущей работы. 


В поисках методологии

Защита с учетом рисков предполагает стандартизованный подход к оценке этих рисков. Решение, близкое к искомому, предлагает Институт программной инженерии Университета Карнеги-Меллона.

Система OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) предлагает методологию, которую можно использовать для определения возможных рисков в контексте бизнес-операций и бизнес-приоритетов. Создатели OCTAVE утверждают, что система может применяться для решения следующих задач:

  • определение состава информационных активов, уязвимых мест и угроз;
  • защита данных, как тактическая, так и стратегическая;
  • создание внутренней группы, занимающейся оценками рисков;
  • предоставление оценок рисков, вытекающих из требований законодательных норм.

Ни одна из компаний, со специалистами которой мы беседовали при подготовке статьи, пока OCTAVE не использует, однако все отметили, что рассматривают ее как возможную методологию реализации защиты с учетом рисков. Аналитик Gartner Крис Бирнс согласен с такой оценкой. Он добавил, что, если у OCTAVE и есть слабое место, то оно заключается в том, что компания сможет максимально использовать все возможности системы только при внедрении прогрессивной, достаточно совершенной модели управления. Таким образом, по мнению Бирнса, вполне возможно, что в полной мере использовать потенциал OCTAVE не смогут как раз те организации, которым она необходима больше всего.