Управление рисками для малого бизнеса
Автор: Townsend Stephen
Перевод с английского: Годла А.С.
Источник: Managing Risk: It’s Not Just for Big Business.
Автор: Townsend Stephen
Перевод с английского: Годла А.С.
Источник: Managing Risk: It’s Not Just for Big Business.
Управление рисками – это жизненно важный процесс для любой организации. Выполненый должным образом, он может эффективно диагностировать уязвимости и обеспечить защиту критически важных систем. Тем не менее, это может быть очень ресурсоемким процессом с некоторыми функциями, требующими недели и месяцы для полного завершения. Малые и средние предприятия могут не иметь ни времени, ни персонала для проведения таких тщательных оценок. Для таких организаций доступны методологии управления рисками и различные инструменты, которые могут упростить процесс, обеспечить адекватную оценку рисков и помочь в создании планов по смягчению последствий.
риск–менеджмент, оценка рисков, анализ угроз, OCTAVE, ENISA, IS2ME
Изменяющаяся картина информационной безопасности привела к созданию многочисленных новых законов, правил и стандартов, которые стремятся соблюдать в своей практике управления рисками определенные отрасли производства. Тем не менее, для многих малых предприятий, управление рисками имеет низкий приоритет. Опрос, проведенный на Малом бизнес–саммите Америки в мае 2010 показывает, что владельцы бизнеса распределяют свои приоритеты в таком порядке [1]:
Учитывая то, что маркетинг, продажа, денежные потоки и финансирование находятся в верхней части списка, становится очевидным, что деньги и время – два очень важных фактора для малого и среднего бизнеса. Это особенно актуально в нынешней экономической и политической обстановке, где много небольших организаций борются за выживание.
Многие такие организации не имеют официальной политики, их структура информационной системы неоднородна, и имеются только базовые знания о безопасности благодаря применению брандмауэров и антивирусного программного обеспечения [2]. Кроме того, многие из лучших применяющихся на практике методологий управления рисками предполагают наличие в организациях сотрудников информационной безопасности, которые, как правило, отсутствуют на малых предприятиях.
Целью настоящего текста является изучение методологии, ориентированной специально для малого и среднего бизнеса, а также общий обзор некоторых других подходов и инструментов, которые могут использовать такие предприятия для оценки и управления рисками. Эта статья не предназначена для замены для этих методов, так как она не обеспечивает пошаговую детализацию, которая предоставлена в соответствующих руководствах. Однако, она стремится показать, как эти уникальные подходы позволяют малым предприятиям для достигать результаты, которые могут быть применимы в кратчайшие сроки с минимальным использованием ресурсов.
В отличие от экспертных подходов к управлению рисками, выделяющими технологический риск, и оценочных систем, метод OCTAVE направлен на обеспечение практической безопасности. Он является самодостаточным и подчеркивает общеорганизационные стратегические вопросы [3] (табл. 1).
OCTAVE–S отличается от метода OCTAVE. Он обслуживает более мелкие организаций, которые не могут иметь IT–персонал или ресурсы для эффективного осуществления крупномасштабной оценки рисков. Согласно руководства по внедрению OCTAVE–S, небольшие организации получат наибольшую выгоду от данного метода при условии, что их "организационные структуры плоскостные", и при наличии "персонала из разных организационных уровней ... привыкшего работать друг с другом» [3].
Такое условие появляется потому, что анализ команды, ответственной за проведение процесса, состоит всего из нескольких человек, и эти люди должны обладать всеми знаниями, необходимыми для выполнения OCTAVE–S. Существует еще один подход –OCTAVE Allegro, который может быть использован в условиях малого и среднего бизнеса, но он несколько отличается в исполнении. Подробную информацию об этом методе можно прочитать в разделе 5.
Таблица 1 – OCTAVE–S по сравнению с другими методами
| OCTAVE | Другие оценивания |
| Организация оценки | Система оценки |
| Внимание к практической безопасности | Фокус на технологии |
| Стратегические вопросы | Тактические вопросы |
| Самоподдержка | Экспертное управление |
Организация должна выбрать от 3 до 5 лиц для работы с OCTAVE–S. Поскольку подход является самостоятельным, члены этой команды должны разбираться в деятельности организации и безопасности процессов. Используя этот знания, аналитическая команда рассмотрит риски организационных активов и их соотношение с целями бизнеса. Конечным результатом является организацонно–направленная стратегия безопасности и план по смягчению последствий на основе активов [3].
Один аспект анализа, осуществляющегося командой, упоминавшийся ранее, состоит в том, что ее члены должны быть из разных уровней организации и, предпочтительно, должны иметь опыт во многих уровнях. Участие высокого руководства обязательно, однако персонал, обладающий конструктивным пониманием многих областей компании, также должны быть задействован. Географически распределенные организации, имеющие многоуровневую организационную структуру, не смогут получить выгоду от OCTAVE–S из–за трудностей в сборе входных данных от участников команды в каждой отдельной группе.
OCTAVE–S имеет три отдельных этапа. Первый оценивает текущую организацию и ее активы. Второй определяет уязвимости, а третий разрабатывает планы по смягчению последствий и стратегии безопасности. Следующие сведения о трех этапах OCTAVE–S взяты из руководства по внедрению OCTAVE–S по версия 1.0 [3].
В фазе 1 аналитическая команда решает, какие критерии будут использоваться для оценки риска в дальнейшем. Для малого бизнеса простых качественных стандартов, таких как высокий, средний и низкий, будет достаточно. Команда также обозначает важные активы и оценивает текущие методы обеспечения безопасности организации. Активы включают в себя не только информационные системы и приложения, которые работают на них, но и персонал и саму информацию. При практическом оценивании безопасности, важно рассматривать не только области, в которых предприятие преуспевает, но и области, которые требуют улучшения.
Поскольку малые предприятия имеют значительно меньшее количество критических активов по сравнению с более крупными организациями, команда должна выбрать только от 3 до 5 наиболее важных активов для углубленного анализа. Следует предоставить обоснование выбора или компромисса критического актива. Затем команда создает профили угроз для этих активов, определяющие необходимый уровень безопасности, а также любые возможные угрозы активов. Листы OCTAVE–S и деревья угроз для каждого критического актива с ответвлениями для каждой угрозы позволяют сформировать тщательный подход. Бедствия являются одними из таких потенциальных угроз. Угрозы, включенные в процесс построения профилей, побуждают организации к созданию аварийного восстановления. Влияние, вероятности и другие детали конкретных угроз подробно изложены в фазе 3.
Фаза 2 OCTAVE–S рассматривает инфраструктуру, используемую для доступа к критически важным активам. Команда находит системы интересов, тесно связанные с критическими активами. Это могут быть сервера, рабочие станции, сети и т.д. Затем группа определяет, какая из этих систем используются для передачи информации и, как сотрудники и другие люди, а также потенциальные взломщики, могут получить доступ к этим системам. Они также изучают, кто отвечает за эти системы и уровень безопасности, который используется в настройке и поддержании. Команда определяет, где сохраняется информация из системы для резервного копирования, а также наличие любых других компонентов, имеющих доступ к критически важным активам, входящих в систему интересов.
В фазе 3 OCTAVE–S, аналитическая команда определяет риски для организации, оценку потенциального воздействия и вероятности угрозы, выявленные на этапе 1. Команда использует качественные показатели, такие, как высокий, средний и низкий, оценивает такие ценности, как потенциальное воздействие угроз на конкретные области и предполагает, какова вероятность возникновения угрозы в будущем. Качественные показатели также используются для подтверждения оценок и точности данных. Команда проводит оценки рисков по четырем категориям: человеческие актеры с использованием доступа к сети, человеческие актеры с использованием физического доступа, системные вопросы и другие вопросы.
Используя эту информацию, команда может создать стратегию безопасности и построить планы по смягчению последствий для защиты критически важных активов. Эти планы должны соответствовать общей стратегии безопасности организации. На данный момент в фазе 3 OCTAVE–S заимствует методологический подход из OCTAVE. Листы, использующиеся аналитической командой для этого процесса, позволяют ей оценить свои предложения с помощью обычных тестах практики безопасности.
OCTAVE–S обеспечивает предупреждающие и реагирующие выходные данные. Первичные продукты процесса включают стратегии безопасности в масштабах всей организации. Эти стратегии представляют собой анализ проблем безопасности, планы по снижению рисков, в которых описываются подготовка и действия, необходимые для уменьшения воздействия потенциально опасных угроз. В стратегии также входит список действий, который служит для устранения краткосрочных вопросов, относящихся к немедленной, конкретной уязвимости. Вне зависимости от того, хочет малый бизнес обезопасить всю организацию или просто конкретный сервер, OCTAVE–S предлагает простой, но комплексный подход.