Нейтрализация рисков
Нейтрализация рисков — вторая фаза процесса управления рисками — включает определение приоритетов, оценку и реализацию контрмер, уменьшающих риски и рекомендованных по результатам оценки рисков.
Поскольку полное устранение рисков невозможно и/или бессмысленно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.
В процессе управления рисками могут использоваться различные возможности:
- принятие риска;
- уклонение от риска (ликвидация причин и/или последствий риска, например, путем добавления регуляторов безопасности, устранения небезопасных функций ИС, приостановки работы ИС в небезопасных ситуациях и т.п.);
- ограничение (нейтрализация) риска (например, путем реализации контрмер, уменьшающих воздействие угроз);
- переадресация риска (например, путем приобретения страхового полиса).
С практической точки зрения нет смысла и возможности учитывать все риски; их следует ранжировать, выделив наиболее опасные для миссии организации или грозящие наиболее крупными потерями.
Действия по управлению рисками могут производиться на различных этапах жизненного цикла информационной системы, а именно:
- при выявлении дефекта или слабого места целесообразно применить меры, повышающие доверие безопасности ИС, чтобы устранить обнаруженные уязвимости и уменьшить вероятность появления новых;
- при выявлении уязвимости, допускающей использование, целесообразно применить эшелонированную оборону, другие принципы архитектурной безопасности или нетехнические контрмеры, чтобы затруднить или воспрепятствовать использованию уязвимости;
- в ситуациях, когда затраты атакующего меньше потенциальной выгоды от атаки, целесообразно принять меры для уменьшения мотивации источника угрозы путем увеличения стоимости или уменьшения выгоды от атаки (например, может быть применен административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, после чего выгода от атаки на ИС должна существенно уменьшиться);
- в ситуациях, когда ущерб слишком велик, целесообразно применить принципы проектирования и архитектурной безопасности, а также технические и организационные контрмеры, чтобы уменьшить возможный масштаб атак и, следовательно, снизить потенциальный ущерб от них (и здесь административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, может оказаться самым эффективным способом управления рисками).
Основное правило управления рисками можно сформулировать следующим образом: начните с наибольших рисков и стремитесь к их уменьшению до приемлемого уровня при минимальных затратах и с минимальным воздействием на другие возможности информационной системы организации.
Реализацию приведенного правила целесообразно оформить в виде процесса со следующими шагами:
- Шаг 1 — ранжирование действий. При выделении ресурсов высший приоритет должен отдаваться неприемлемо высоким рискам, требующим немедленных корректирующих действий. Результат шага 1 — упорядоченный по убыванию приоритетов перечень действий.
- Шаг 2 — оценка возможных способов реализации рекомендованных контрмер. Цель состоит в том, чтобы выбрать наиболее подходящие контрмеры, минимизирующие риски. Результат шага 2 — список пригодных регуляторов безопасности.
- Шаг 3 — оценка экономической эффективности, выбор наиболее практичных контрмер. Результат шага 3 — отчет об экономическом анализе, описывающий затраты и выгоды от реализации контрмер или от отсутствия таковой.
- Шаг 4 — выбор контрмер. По результатам технического и экономического анализа руководство организации выбирает оптимальный способ нейтрализации рисков. Результат шага 4 — список выбранных регуляторов безопасности.
- Шаг 5 — распределение обязанностей. Выбираются должностные лица, обладающие достаточной квалификацией для реализации выбранных контрмер. На этих сотрудников возлагаются обязанности по реализации регуляторов безопасности. Результат шага 5 — список ответственных и их обязанностей.
- Шаг 6 — разработка плана реализации контрмер. План должен содержать по крайней мере следующие сведения:
- риски (пары уязвимость/угроза) и их уровни, полученные в результате оценки рисков;
- рекомендованные регуляторы безопасности;
- действия, упорядоченные по приоритетам (высший приоритет получают действия, направленные на нейтрализацию самых высоких рисков);
- регуляторы безопасности, выбранные из числа рекомендованных;
- ресурсы, необходимые для реализации выбранных регуляторов безопасности;
- список ответственных за реализацию выбранных контрмер;
- календарный план реализации контрмер;
- требования к сопровождению. Результат шага 6 — план реализации контрмер.
Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков. При вычислении затрат на реализацию регуляторов безопасности следует учитывать:
- затраты на приобретение аппаратного и программного обеспечения;
- снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
- затраты на разработку и реализацию дополнительных политик и процедур;
- дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
- затраты на обучение персонала;
- затраты на сопровождение;