Концепция управления рисками
Общие Принципы
Управления рисками – процесс принятия и выполнения управленческих решений, которые направленны на снижение вероятности возникновения неблагоприятного результата и минимизируют влияние возможных потерь на организацию убытков, вызванных случайными событиями.
Данный раздел содержит основные принципы управления рисками при проектировании архитектуры, которые должны быть приняты во внимание. В процессе разработки и внедрения различных сервисов ИТ архитектуры необходимо проводить непрерывный процесс управления рисками. Для управления ИТ рисками можно воспользоваться как общими методиками так м специфичными для ИТ. Данная глава учитывает рекомендации стандарта «Управления и анализа рисков ISO 73: 2009», а также методика CRAMM v5 (CCTA Risk Analysis & Management Method) на основе требований организации CCTA (Central Computer and Telecommunications Agency) которая соответствует стандарту BS7799/ ISO17799.
Классификация рисков
Общую классификацию рисков можно представить, как:
Внутренние риски:
•Проектные,
•Технические,
•Технологические,
•Организационные,
•Финансовые и т п
Внешние риски:
•Природные,
•Политические,
•Социальные,
•Экономические и т п
По типу:
•Предсказуемые
•Не предсказуемые
По характеру:
•Преднамеренные
•Не преднамеренные
По виду:
•Прямые
•Косвенные
По результату:
•Нарушение функционирования,
•Нарушение целостности,
•Нарушение достоверности
•Нарушение конфиденциальности
По механизму воздействия:
•Аварии
•Ошибка персонала
Критерии оценки
К основным критериям оценки ценности ресурсов можно отнести следующие:
•Ущерб для репутации организации
•Безопасность персонала
•Разглашение персональных данных
•Разглашение конфиденциальных данных
•Разглашение коммерческой информации и сведений
•Санкции со стороны надзорных и государственных органов
•Финансовые потери
•Нарушения нормального функционирования организации
Основные шаги и стадии
В качестве основных шагов можно принять следующие действия:
Организация процесса управления рисками (General Risk Management)
•Разработка процесса, политик и процедур по Управлению Рисками
•Классификация ресурсов, рисков, уязвимостей, угроз
•Классификация реакции на риски и методов оценки
•Формирование комитета Управления Рисками
•Формирование экспертной группы, в состав которой входят специалисты ИТ, а также специалисты бизнеса.
Идентификация и оценка ресурсов (Identification and Valuation of Assets)
•Экспертная группа идентифицирует и оценивает ценность ресурсов
•Экспертная группа идентифицирует возможные риски
Оценка угроз и уязвимостей (Threat and Vulnerability Assessment)
•Экспертная группа оценивает уязвимости систем
•Экспертная группа оценивает угрозы систем
Анализ Рисков (Risk Analysis)
•Экспертная группа проводит качественный и количественный анализ рисков. В качестве основных критериев определяются: «вероятность» и «влияние» и классифицируются по значениям: «высокое», «среднее» и «низкое».
•Проводится количественный анализ рисков (при необходимости)
•Экспертная группа группирует риски и формирует матрицу (реестр) рисков
Управление Рисками (Risk Management)
•Концентрируется внимание на рисках со значениями «высокое» и «среднее».
•Определяется реакция на риски (принятие, снижение, передача и т п)
•Определяются возможные контрмеры и стоимость их внедрения
•Формируется ряд сценариев проекта как минимум «негативный», «позитивный» и «реалистичный»
•Проведение корректировки
•Результаты документируются и принимается решение
•Все изменения в планах проекта должны обсуждаться и документироваться
Как минимум должны быть сформированы следующие документы:
•реестр рисков,
•запросы на изменение,
•протоколы обсуждений.
В процессе эксплуатацию ИТ сервиса проводится процесс управления рисками (поиск новых рисков, защитных мер и т п).
Процесс является непрерывным и циклическим.
Анализ рисков
Основные механизмы и элементы анализа с технической стороны:
BIA (Business Impact Analysis) – Анализ ИТ сервиса по уровню воздействия на бизнес
SFA (Service Fault Analysis) – Анализ ИТ сервисов по уровню воздействия на связанные ИТ сервис
CFIA (Component Fault Impact Analysis) – Анализ компонентов по уровню воздействия на ИТ сервис
Участники процесса и их роли
Основные участники процесса управления и анализа рисками:
•Департамент Внутреннего Аудита как владелец процесса управления рисками компании,
•Бизнес подразделения (в случае проектов, связанных с ИТ) портфелей,
•ИТ департамент в составе экспертной группы ИТ специалистов,
•Департамент Безопасности,
•Юридический департамент
•Финансовый департамент
•Возможно участие сторонних консультантов
Диаграмма блок схема анализа
Методы оценки рисков
В качестве методов оценки рисков можно использовать общеизвестные методы, такие как:
•Анкетирование
•Интервьюирование
•Комиссионный метод
•«Мозговой штурм» (Brainstorm)
•«Дельфи» метод (Delfi)
Наиболее распространённые инструменты, методики и техники оценки риска приводятся в международном стандарте ISO/IEC 31010:2009. В стандарте кратко описывается 31 метод оценки риска: мозговой штурм, анализ «Что если…», FMEA, HAZOP, HACCP, диаграмма «галстук-бабочка», анализ дерева отказов, Байесовы сети, FN-кривые и др.
Метод «Дельфи» или «Дельфийский метод» (Delphi Technique)
Метод сбора информации, используемый для достижения консенсуса экспертов по некоторому вопросу. В этом методе эксперты участвуют на условиях анонимности. Устроитель с помощью вопросника представляет идеи по важным моментам проекта, относящимся к данному вопросу. Ответы суммируются и возвращаются экспертам для комментариев. Консенсуса можно достичь за несколько циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в данных и устраняет избыточное влияние отдельных лиц на исход обсуждения.
Суть метода «Дельфи» экспертных оценок заключается в том, что в результате серии действий независимых экспертов, формируется некоторое обобщенное мнение, являющееся более верное, чем мнение индивидуальных специалистов.
В процессе использования Дельфийского метода принимают участие две группы людей:
•Первая группа – это эксперты, представляющие свою точку зрения на исследуемую проблему
•Вторая группа – это аналитики, приводящие мнения экспертов к единому знаменателю
Сам же метод Дельфи подразумевает несколько этапов:
•Собирается группа
•Ставится задача
•Согласованность мнений
На первом этапе производится подбор экспертной группы. В неё может входить любое количество человек, однако рекомендуется формировать группу из 20 человек и не более.
На втором этапе выполняются следующие шаги:
Ставится проблема — эксперты получают основной вопрос, а их задачей является разбиение его не несколько более мелких. Аналитики производят отбор самых распространённых вопросов и составляют общий опросник.
Полученный опросник вновь представляется экспертам. Они должны сообщить, следует ли ещё что-то добавить, хватает ли данных, нет ли какой-то дополнительной информации по проблеме. Таким образом, получается 20 ответов (зависит от количества экспертов) с подробной информацией.
Аналитики составляют ещё один опросник. Новый опросник снова предоставляется экспертам. Теперь им нужно предложить свои способы решения проблемы и изучить альтернативные позиции остальных экспертов. Здесь производится оценка эффективности, наличия ресурсов, актуальности способов решения. Аналитики выделяют основные мнения экспертов и стараются их сблизить. Если чьи-то мнения идут в разрез с мнением большинства, эти мнения озвучиваются экспертам. В итоге, эксперты могут изменить свои позиции, после чего данный шаг снова повторяется.
Шаги повторяются снова и снова до тех пор, пока эксперты не придут к консенсусу, и не будет установлено единого мнения. А исследование аналитиками расхождений во мнениях членов экспертной группы может указать на незамеченные до этого тонкости проблемы. В конце концов, выносится общая оценка, и составляются практические рекомендации по решению проблемы.
И уже на третьем этапе проверяется согласованность мнений экспертов, анализируются полученные выводы и разрабатываются окончательные рекомендации.
Наряду с представленной структурой Дельфийского метода, существуют и другие модификации. Самая распространённая из них включает в себя бесструктурный этап. Используется данная модификация в том случае, если исследование направлено на поиск чего-либо конкретного, а организаторы исследования не способны сразу же представить проблему в форме специализированных вопросов. В этом случае уже на этапе формулировки проблемы привлекают экспертную группу.
Другая модификация метода Дельфи направлена на то, чтобы сократить время, которое будет затрачено на осуществление аналитического этапа – он называется «Экспресс-Дельфи». С учётом того, что традиционный метод со всеми его достоинствами является довольно трудозатраты и требует для своего применения значительного количества времени, экспресс-метод позволяет сохранить все основные элементы методики при том, что всю процедуру можно осуществить в течение нескольких часов, однако требуется специальная техническая база. Каждый член экспертной группы на протяжении отведённого временного периода находится за компьютером. Все компьютеры объединены одной общей сетью, которая замыкается на руководителе мероприятия. После того как эксперты предлагают свои решения в ускоренном режиме, аналитики точно так же должны как можно быстрее произвести оценки. Огромную роль в этом процессе играет оперативность в обработке и систематизации материала.
Достоинства метода:
•Метод Дельфи способствует выработке независимости мышления членов группы.
•Обеспечивает спокойное и объективное изучение проблем, которые требуют оценки.
Недостатки метода Дельфи:
•Организаторы мероприятия обладают чрезмерно большими полномочиями, по сравнению с экспертами, а значит, экспертов можно считать беззащитными в некотором смысле
•Коллективное мнение далеко не во всех случаях является верным
•Аналитики отбрасывают креативные решения, имеющие наименьшее количество сторонников, а эти решения могут быть самыми эффективными
•Невозможен оперативный анализ, т. к. для осуществления последнего этапа требуется много времени: каждый этап анализа может занимать минимум до 24 часов
•Эксперты склонны проявлять конформизм, испытывая желание и стремясь присоединиться к мнению большинства
•Организаторы имеют возможность манипулировать экспертной группой
Мозговой штурм (Brainstorming)
Мозговой штурм (Brainstorming) – Общий метод сбора информации, идей и предложения решений, который может использоваться для идентификации рисков, идей или решений проблем группой членов команды или экспертов. Обычно во время сессии мозгового штурма идеи участников фиксируются для последующего анализа. Это популярный метод группового взаимодействия, используемый для решения как образовательных, так и бизнес задач. Техника мозгового штурма направлена на спонтанное генерирование большого количества идей для решения какой-либо задачи или проблемы.
Этапы подготовки к проведению мозгового штурма:
•Постановка задачи
•Формирование группы участников
•Информирование участников обсуждения
•Составление списков мотивирующих вопросов
Постановка задачи/проблемы, которую необходимо решить. Проблема должна быть сформулирована кратко и, по существу. Если проблема слишком большая, то организатор должен разбить ее на краткие составляющие. Если же вопрос не может быть сформулирован кратко и не может быть разбит на составляющие, то мозговой штурм не является приемлемым методом решения такой проблемы.
Составление списка участников мозгового штурма. Наиболее продуктивна группа из 10 или чуть меньше человек. Кто должен входить в состав панели участников:
•Участники, уже посвященные в проблему или задачу.
•Участники, которые знакомы с родственной проблемой
•Один «собиратель идей», который фиксирует все предложенные идеи.
Составление и рассылка информационного письма участникам. Письмо должно содержать:
•название сессии,
•решаемую проблему,
•время, дату и место проведения.
Проблема должна быть описана в форме вопроса и нескольких прилагаемых к нему примеров идей.
Составление списка мотивирующих вопросов. Во время проведения обсуждений креативность может снизиться. Тогда организатору следует стимулировать активность мотивирующими к дальнейшей генерации идей вопросами.
Этапы проведения (работа с идеями):
•Перечисление идей без оценки реальности их воплощения. На этом этапе организатор представляет проблему, ставит простые вопросы в русле решаемой проблемы, а также обеспечивает безопасную среду для высказывания идей.
•Оценка идей с точки зрения их важности и вклада в решение проблемы. Каждая идея должна быть понята участниками. Для этого участники тщательно объясняют суть своих идей и их ценность для решения поставленной задачи.
•Категоризация собранных идей. На этом этапе похожие идеи формулируются в одну идею, а абсолютно нереальные/не важные идеи удаляются. Оставшиеся идеи должны быть четко сформулированы, поняты каждым участником и внесены в финальный список идей.
Основные правила:
•Фокус на количество: это означает, что должно быть выработано как можно большее количество разнообразных идей с прицелом на то, что чем больше их будет, тем больше вероятность найти среди них наилучшее решение. «Количество порождает качество».
•Сдерживание критики: любая критика должна быть сведена к «нулю». Вместо этого, участники должны быть сфокусированы на добавлении новых идей, оставив критику для следующей оценочной стадии.
•Разрешение необычным идеям: необычные идеи также должны быть внесены в список идей. Они порождаются взглядами с новых/других сторон и часто на их основе рождаются самые лучшие решения.
•Объединение и улучшение идей: лучшие идеи могут быть объединены в другую, еще более лучшую, идею (по типу «1+1=3»). Такое правило стимулирует создавать идеи посредством ассоциаций.
Стандартная методология M_o_R (Management of Risks)
Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:
Принципы M_o_R – Базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
подход M_o_R – подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
Процессы M_o_R – Выделяют четыре процесса в рамках M_o_R:
•Определение – определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
•Оценка – оценка суммарного влияния всех определенных угроз;
•Планирование – определение набора управленческих действий, которые уменьшат риски;
•Реализация – осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
Пересмотр и внедрение M_o_R – Внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
Взаимодействие M_o_R – Обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.
Кроме этого могут быть использованы специализированные методики:
Методика CRAMM v5
К специфическим ИТ методам и стандартам можно отнести методику CRAMM v5. Цель метода является создание формализованных процедур, позволяющих:
•Анализ требований, предъявляемых к Информационной системе, полон и документирован
•Идентификация и классификация рисков
•Идентификация и оценка уязвимости ИТ ресурсов
•Идентификация и оценка угроз ИТ системам
•Формирование обоснований для мер противодействия
•Избежать излишних расходов на обеспечение Информационной Безопасности систем
•Сокращение сроков по внедрению и сопровождению информационной безопасности организации
•Оказать помощь по вопросам функционирования ИТ сервисов на всех этапах жизненного цикла
•Автоматизация процессов анализа и управления рисками
•Оценка эффективность контрмер
•Формирование отчетов
Методология CORAS
Сочетание различных техник, таких как Event-Tree-Analysis, цепи Маркова и FMECA. В данном методе используется UML (Unified Modeling Language, язык программирования для визуального отображения объектов моделирования). Метод состоит из следующих действий:
•Поиск и систематизация данных об объекте анализа
•Определение объекта и субъекта, участвующие в анализе
•Полное описание процесса или задачи
•Проверка точности и полноты данных, представленных для анализа
•Осуществление действий по выделению рисков
•Оценка вероятности и последствий возникновения угрозы
•Ликвидация угрозы
Метод OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Метод быстрой оценки критических угроз, определения активов и выявления угроз. Характеризуется формированием специализированных групп и тесным вовлечением владельца бизнеса. Метод состоит из трех этапов:
Оценка организационных аспектов
Комплексный анализ информационной инфраструктуры организации
Разработка тактики обеспечения безопасности и формирование стратегии. Состоит из следующих действий:
•Документирование текущего состояния
•Выбор подходов по сокращению рисков
•Выбор подходов по сокращению расходов
•Указывают изменения, необходимые для внесения в текущую организацию
•Выявляют перспективные направления работ по обеспечению информационной безопасности
Матричный Метод Анализа
Метод связывает активы, уязвимости и средства управления и определяет важность различных средств управления различным активам организации. Методология включает в себя три различных матрицы, связанные между собой:
Матрица угроз – содержит в себе отношения между уязвимостями и угрозами.
Матрица уязвимостей – содержит связь между активами и уязвимостями.
Матрица контролей – содержит связи между угрозами и средствами управления.
Значение в каждой ячейке матрицы показывает ценность отношения между элементом строки и столбца. Используется следующая система оценок:
1 – низкая,
2 – средняя
3 – высокая.
В процессе первоначального анализа формируются списки активов, уязвимостей, угроз и средств управления. Матрицы заполняются путем добавления данных о связи элемента столбца матрицы с элементом строки.
Матрица угроз
Матрица уязвимостей
Матрица контролей
Затем данные из матрицы уязвимостей переносятся в матрицу угроз. Дальше по такому же принципу данные из матрицы угроз заносятся в матрицу контроля.
Одно из преимуществ данной методики является ее универсальность
Формулы расчетов
Иерархическая структура рисков (Risk Breakdown Structure, RBS)
Иерархическая структура рисков (Risk Breakdown Structure, RBS) – Иерархически организованное представление известных рисков проекта, распределенных по категориям и подкатегориям риска, указывающим различные области и причины возможных рисков. Иерархическая структура рисков часто подгоняется под конкретные типы проектов.
Методы расчета рисков
В качестве оценки рисков можно использовать как количественный, так и качественный метод оценки. Для количественного метода оценки рисков и угроз используются следующие показатели:
SLE (Single Loss Expectancy) = Asset Value x EF (Exposure Factor)
ALE (Annualized Loss Expectancy) = SLE x ARO (Annualized Rate of Occurrence)
Total Risk = Threats x Vulnerabilities x Asset Value
ACV (Actual Cost Evaluation)
Asset Value (AV) – Стоимость ресурса, отражает ценность ресурса. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.
Exposure Factor (EF) – Степень защищенности ресурса. Демонстрирует насколько данный ресурс подвержен угрозе. При качественном анализе можно использовать фиксированные величины (1 – низкая степень уязвимости или воздействия, 2- средняя степень уязвимости или большая вероятность восстановления ресурса и 3 – высокая степень уязвимости или возникнет необходимость замены ресурса). Например, сервер активного каталога будет иметь показатель EF=2.
Annualized Rate of Occurrence (ARO) – Оценка возможности возникновения угрозы. Указывает вероятность реализации конкретной угрозы за фиксированный промежуток времени (год). При качественном анализе можно использовать фиксированные величины (1 – низкая вероятность, 2- средняя и 3 – высокая вероятность). Например, сервер активного каталога будет иметь показатель ARO=1.
Annual Loss Exposure (ALE) – Оценка ожидаемых потерь вследствие воздействия определённой угрозы за определённый период времени. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.
При качественной оценке рисков можно воспользоваться следующей матрицей:
Оценка последствий – оценка потерь, в результате появления факта риска.
Оценка вероятности – оценка вероятности появления того или иного риска
Таблица классификации рисков
Комбинация значений обоих таблиц (последствия + вероятность) ведет к определению уровня риска. Критерий уровня риска, который может быть принят (например, значения от 0 до 2) или непринят (например, значения от 3 и выше) определяется в соответствующем стандарте или политике в организации самостоятельно или в соответствии с требованиями или рекомендациями регуляторов.
Основной критерий при ведении оценки рисков и разработки механизмов их снижения, стоимость контрмер не должна превышать стоимость средств защиты.
Реакция на риски
Влияние рисков может быть, как «негативное», так и «позитивное».
Для «позитивного» влияния риска может применятся следующая реакция:
•Использование (Exploit),
•Разделить (Share),
•Расширить (Enhance)
•Принять (Accept)
Для «негативного» влияния риска может применятся следующая реакция:
•Избегание (Avoid),
•Передача (Transfer),
•Снижение (Mitigate)
•Принятие (Accept)
Превентивные меры по реагированию на риски
Для эффективного противодействия рискам и их последствиям рекомендуется учитывать следующую практику:
•Учет опыта аналогичных проектов
•Распределение рисков между участниками проекта
•Выделение ресурсов для управления проектами
•Планирование резервов
•Контроль за внесением изменений в план проекта
•Привлечение независимых экспертов
•Страхование рисков