BIS Journal №1(40)/2021

10 марта, 2021

Управление рисками? Давайте это автоматизируем!

РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД

Во многих кредитных организациях уже давно сложилась практика управления рисками информационной безопасности (далее – ИБ; рисками, связанными с угрозами ИБ) [1], основанная на определении актуальных угроз ИБ и планировании мероприятий по их нейтрализации. В ходе выполняемого анализа определяются негативные факторы, в результате наступления которых возможны:

  • нарушение и (или) прекращение функционирования объектов информационной инфраструктуры кредитной организации;
  • несанкционированное изменение, удаление или хищение информации конфиденциального характера и нарушение режима доступа к таким данным как с использованием объектов информационной инфраструктуры, так и без использования таковых;
  • случаи и попытки осуществления финансовых операций без согласия клиента;
  • хищение денежных средств кредитной организации или попытка их хищения;
  • эксплуатация уязвимостей информационных систем, обусловленных ошибками и недостатками процессов обеспечения ИБ организации;
  • и другие последствия.

Такой подход позволяет организациям обеспечивать баланс затрат на построение системы защиты информации и потенциальных потерь в результате реализации идентифицированных рисков ИБ.

Кроме того, Банк России определяет необходимость управления рисками ИБ, рассматриваемыми как часть операционных рисков [2] кредитной организации:

  • ГОСТ 57580.1- 2017 [3];
  • 716-П [4];
  • 3624-У.

 

РАЗНЫЕ ЗАДАЧИ – РАЗНЫЕ МЕТОДИКИ

Необходимость учёта рисков ИБ в составе операционных рисков порождает ряд вопросов:

  • Какую методику использовать для оценки рисков ИБ с целью учёта их в величине операционных рисков? Нормативные документы Банка России не предлагают методику оценки.
  • Можно ли использовать значения, полученные в соответствии с имеющейся методикой оценки рисков ИБ?

Как показывает наша практика, методики оценки рисков должны быть разными.

Объясняется это, во-первых, разным пониманием термина «риск информационной безопасности». Длительное время для оценки рисков ИБ используется классический подход, основанный на определении актуальных угроз ИБ, и сейчас уже более-менее понятна последовательность действий:

  • определение активов кредитной организации, для которых реализация угроз ИБ может приводить к нанесению ущерба;
  • определение способов реализации угроз ИБ и уязвимых мест, за счёт эксплуатации которых возможна реализация рассматриваемого способа;
  • оценка потенциального ущерба бизнесу в результате реализации угрозы;
  • оценка вероятности реализации угрозы ИБ;
  • вычисление значения риска ИБ.

В контексте же операционных рисков учитываются только риски ИБ, связанные с потерями кредитной организации в результате наступления определённого события. А для наступления этого события зачастую необходимы дополнительные факторы.

Например, финансовая организация может оценить риски ИБ, связанные с хищением денежных средств у клиентов в результате отсутствия механизма обеспечения безопасности. С точки зрения операционных рисков необходимо учитывать не только вероятность таких хищений, но и вероятность обращений клиентов в финансовую организацию в целях компенсации. Таким образом, оценки не совпадут.

Во-вторых, в соответствии с 716-П не все риски ИБ необходимо оценивать количественно. Так, риски с типом потерь «качественные» допускается оценивать с использованием экспертного мнения. К таким рискам относятся потери в случаях утечки, утраты или искажения защищаемой информации.

В то же время такого рода риски чаще всего оцениваются кредитными организациями количественно – для обоснования необходимости внедрения соответствующих мер и средств защиты информации.

Таким образом, применение имеющейся в кредитной организации методики оценки рисков ИБ, основанной на анализе угроз ИБ, затруднительно: требуется адаптация используемого подхода к определению вероятности и величины ущерба или разработка отдельной методики, учитывающей специфику операционных рисков.

 

ВОЗМОЖНОСТИ АВТОМАТИЗАЦИИ ОЦЕНКИ РИСКОВ

Руководитель структурного подразделения, ответственного за обеспечение информационной безопасности, осознавая количество необходимых оценок рисков ИБ, часто принимает решение о необходимости автоматизации этого процесса – в настоящее время на рынке представлено множество программных продуктов, позволяющих это сделать.

Как правило, выбор падает на решения класса SGRC (Security Governance, Risk Management and Compliance). Системы позволяют проводить оценку рисков с помощью предустановленных методик (так называемые методики «из коробки»), а также дают возможность реализации пользовательской методики практически любой сложности.

Соблазнительной выглядит идея использования SGRC-систем для оценки рисков ИБ, рассматриваемой в процессах управления операционными рисками. Однако прежде чем искать возможности автоматизации, в первую очередь необходимо формализовать методику оценки рисков ИБ.

Также целесообразно использовать возможности систем автоматизации для подсчёта ключевых индикаторов риска (далее – КИР) и контрольных показателей уровня риска информационной безопасности (далее – КУРИБ), необходимость оценки которых определена в 716-П.

 

КИР И КУРИБ

КИР – количественный показатель, направленный на измерение и контроль уровня операционного риска в определённый момент времени, должен определяться таким образом, чтобы обеспечить своевременное выявление и реагирование на тенденции, свидетельствующие о возможности наступления риска.

Для того чтобы КИР действительно «работали» для обеспечения ИБ  кредитной организации, а не использовались для формального «закрытия требований регулятора», необходимо максимально полно идентифицировать риски информационной безопасности, проанализировать возможные сценарии реализации угрозы ИБ и определить «слабые места», которыми могут воспользоваться злоумышленники.

К примеру, для риска ИБ, связанного с хищением денежных средств кредитной организации вследствие несанкционированного доступа к каналам ДБО банков-корреспондентов, в качестве КИР можно предложить:

  • количество «сработавших» индикаторов компрометации применительно к определённому перечню хостов, на которых осуществляется подготовка или выполнение платёжного поручения;
  • интегральная оценка, учитывающая совокупность и специфику выявленных индикаторов компрометации на системах, смежных с критичными хостами.

Расчёт предложенных КИР целесообразно проводить на постоянной основе, в качестве источника исходных данных можно использовать системы класса SIEM (Security information and event management). Для обеспечения возможности агрегации исходных данных от разных систем и средств защиты информации оценку КИР можно реализовать с использованием решений класса Business Intelligence или Security Intelligence.

Автоматизация оценки количественных КУРИБ, приведённых в 716-П, также возможна с использованием решений класса IRP (Incident Response Platforms). Для этого необходимо обеспечить необходимые интеграции, настройку в IRP форм карточек инцидентов с учётом предложенной в Положении системы классификации и ведение базы событий рисков ИБ в системе.

В 716-П впервые так подробно регулятор определил процедуры, которые должны реализовать кредитные организации в отношении рисков информационной безопасности. Система управления операционным риском кредитной организации должна быть приведена в соответствие с требованиями данного документа до 1 января 2022 года, при этом с большой долей вероятности может потребоваться адаптация действующих процессов и используемых подходов, а для обеспечения своевременного выполнения регулярных оценок – автоматизация. Достаточно сжатые сроки и нетривиальность решаемых задач могут стать проблемой для кредитной организации, поэтому уже сейчас многие наши заказчики обращаются за экспертизой для формализации и автоматизации проводимых оценок.

 

[1] Риск нарушения ИБ – риск, связанный с угрозой ИБ; РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».

[2] Операционные риски – прямые и непрямые потери в результате несовершенства или ошибочных внутренних процессов организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий; Указание Банка России от 15.04.2015 №3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы».

[3] ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

[4] Положение Банка России от 08.04.2020 №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»;

Смотрите также