Информационные активы и риски

 

Главное в рисках - их неопределенность. Это обстоятельство требует чуть более подробно проанализировать информационные активы. Выявление информационных активов может оказаться сложной задачей, особенно с учетом принципа применимого к цифровому контенту принципа «создается один раз, а копируется бесконечно».

Обычная организация редко достаточно надежно контролирует свою информацию. Часто это подразумевает минимальную гарантию того, что не существует других копий того или иного фрагмента данных. С точки зрения защиты цифровых данных это далеко не самый лучший вариант. Однако в большинстве организаций существует много других проблем управления собственными информационными активами.

Планируя перенос информационных активов в облако, нужно быть уверенным к правильности классификации информации по типам. К сожалению, здесь в основном и заключается проблема. Это может быть не так уж и плохо, если наши вычислительные системы принудительно осуществляют маркировку информации, но обычно это не делается. Информационная маркировка в большинстве компьютерных систем основана на реальных процессах физических лиц, которым нужен соответствующий допуск к информации.

В организации такой контроль обеспечивается путем классификации информации и дополнительных соглашений (например, «информация только проекта X»). Существующих мер контроля как правило недостаточно для предотвращения цифрового дублирования и преднамеренной или непреднамеренной утечки информации.

Памятуя триаду факторов безопасности (конфиденциальность, целостность и доступность), можно задаться рядом целевых вопросов об информационных активах вроде того, что может последовать, если:

§ Информационные активы будут раскрыты?

§ Информационные активы будут изменены внешним субъектом?

§ Информационные активы будут подделаны?

§ Информационные активы станут недоступными?

Если ответы на эти вопросы вызывают озабоченность в связи с тем, что риск неприемлемо высок, можно решить проблему путем размещения конфиденциальных данных в частном облаке (и избежать новых рисков). Используйте общедоступное облако для хранения конфиденциальных данных, риск потери которых не так критичен. Но реализация частного облака не отменяет необходимости в соответствующих средствах контроля.

В таких условиях есть несколько возможностей:

§ За счет сочетания размещения несекретных данных в публичном облаке и развертывания внутрикорпоративных систем для размещения конфиденциальных данных можно сэкономить определенные средства, не повышая уровня риска.

§ Там, где использование частного облака не вызывает новых рисков для информационных активов, применение гибридного или публичного облака может создавать новые риски.

§ Переход от традиционной модели информационных технологий к модели частного облака может уменьшить риски.

Эти разумные варианты призваны сбалансировать ценность информационных активов и обе модели развертывания и предоставления услуг.

Секретность и конфиденциальность

 

Помимо этих рисков для информационных активов, бывает так, что переработка, хранение или передача данных должны подчиняться определенным правилам, предписанным регулирующими органами. Когда данные подпадают под такие ограничения, выбор типа об лака (будь то частного, публичного или гибридного) зависит от уверенности в том, что поставщик полностью отвечает этим требованиям. В противном случае вы рискуете нарушить требования конфиденциальности, а также законодательные и юридические требования.

Такая обязанность обеспечения безопасного управления данными обычно ложится на арендатора или пользователя. Требование обеспечения информационной безопасности являются очень важными, когда речь идет о конфиденциальности, безопасности бизнеса и государства.

В инфраструктурах облачных вычислений нарушения конфиденциальности происходят достаточно часто, чтобы вызвать озабоченность при использовании какой бы то ни было системы - облачной или традиционной. Это особенно справедливо, когда вы осуществляете хранение, обработку или передачу особо конфиденциальной информации, такой как финансовые или медицинские данные.

В 2010 году было несколько случаев раскрытия конфиденциальной информации, которые произошли в нескольких облачных сервисах, в том числе в Facebook, Twitter и Google. Поэтому забота о неприкосновенности частной жизни в облачной модели не является принципиально новой.

Поскольку аренда облака не избавляет от необходимости брать на себя юридические обязательства по конфиденциальности - в этом смысле никаких отличий от традиционных систем хранения нет. Вы точно так же не станете хранить подобную информацию на сервере, где не предусмотрено надлежащего контроля, как и не выберите поставщика облачных сервисов без проверки того, что они отвечают аналогичным критериям защиты данных при хранении, передаче или обработке.

Это не значит, что политика может требовать вообще исключить какого бы то ни было поставщика внешних служб управления вашей информацией, в том числе облачных. И хотя может складываться ощущение, что компьютер на вашем столе безопаснее, чем тот, который находится в общедоступном облаке, если не предпринимать надлежащих технических и процедурных мер предосторожности при использовании настольного компьютера, его безопасность может быть значительно ниже, чем безопасность облака.

Управление данными

 

Необходимо осознавать, что безопасность конфиденциальных данных и управления ими - две разных проблемы. В рамках процедуры полной юридической проверки необходимо иметь полное понимание процесса управления конфиденциальностью, а также руководящих принципов обеспечения безопасности поставщиком сервисов.

Обработка информации подчиняется законодательству о неприкосновенности частной жизни. Другие виды бизнес-информации и все, что связано с национальной безопасностью, подчиняется гораздо более жестким правилам и законам. Безопасность государственной информации и процессов ее обработки регулируется строгим и развитым сводом законов, правил и руководств.

Хотя облако представляет собой относительно новую модель, изложенного в этой статье достаточно, чтобы понять, что никакая секретная информации не должна храниться в общедоступном облаке. Вызывают озабоченность другие государственные структуры, которые не работают с конфиденциальными или секретными данными.

Достаточно сказать, что при изучении возможности использования общедоступного облака существует много различных и самостоятельных сфер деятельности - от правительств государств до местных органов власти. Так как размер и количество уровней в государственных структурах значительно, более разумным кажется использование ряда «коммунальных» облаков - это позволяет избежать применения публичных облаков и связанных с ними проблем.

С другой стороны, если государственные структуры используют публичное облако, то этот сервис должен в полной мере отвечать интересам арендатора и обеспечивать выполнение всех правил и законов. Вполне возможно, что арендатор может реализовать дополнительные меры контроля безопасности, которые отвечают нормативным или законодательным требованиям, даже если лежащие в основе облака общедоступные IaaS- или PaaS-сервисы не полностью отвечает этим требованиям.

Однако вы должны понимать, что набор дополнительных средств управления, которые могут добавляться арендатором, ограничен и не всегда позволяет закрыть пробелы в некоторых публичных облачных сервисах. Какую бы модель облака вы не выбрали, не упускайте из виду вопросы безопасности.

Как правило, в компании с высоким уровнем информационной безопасности существуют некие модели рисков, которые предписывают реагировать на определенные угрозы безопасности четко определенным образом. Реакцией может быть как внедрение технического решения, так и создание процедур, соблюдение которых способствует снижению того или иного риска. У руководства нередко возникает вопрос: насколько эффективно тратятся деньги компании. Этот вопрос неизбежно сопряжен с тем, что ответить на него можно только в отрицательной форме: " компания не потеряла", " у компании не украли", " в компании не остановились бизнес-процессы" и т.п. Какова в этом случае вероятность, что все эти потери действительно могли бы реализоваться, если бы у компании не было систем информационной безопасности? Точно оценить вероятность возникновения того или иного риска непросто, а значит, нелегко будет доказать и экономическую оправданность затрат.

Для поставщика решений в области информационной безопасности идеальной была бы ситуация, когда клиент, заплатив за внедрение соответствующей системы условно 100 тыс. долл., был бы уверен в том, что приобретенное решение покрывает риски/убытки стоимостью 200 тыс. долл. Но как подсчитать стоимость предотвращенных рисков и какова вообще вероятность их возникновения?

В России количественная оценка рисков затруднена, поскольку еще не сложилась практика передачи статистических данных по внутренним и внешним угрозам информационной безопасности в некие открытые источники. В Европе подобная статистика существует, но в России эти данные либо вовсе не применимы в силу несопоставимости рыночных условий, уровня развития ИТ и применяемых технологий, либо не вызывают особого доверия.

Приведем пример. Допустим, перед банком стоит задача оценить вероятность DDoS-атаки на его веб-сайт, а также понять, насколько серьезны будут последствия. Для этого необходимо владеть статистическими данными: сколько сайтов в России реализовано на той же платформе, сколько проводится атак в единицу времени, в каком проценте случаев эти атаки успешны, сколько времени занимает ликвидация последствий и каков ущерб от кибер-нападений. Такой статистики, как уже сказано, в национальном масштабе не существует. Есть только мировая статистика по ущербу, который способны нанести некоторые наиболее распространенные типы атак и вирусы, выводящие из строя ключевые информационные системы банка. Так, для кредитных организаций подсчитано, что пятиминутный простой системы процессинга равнозначен банкротству банка. Понятно, что это усредненная оценка, но она довольно наглядно демонстрирует описанный подход. Вопрос заключается в том, насколько руководство российской компании доверяет международному опыту и накопленным данным. Впрочем, и применяемые в мировой практике методики оценки не позволяют измерить в деньгах возникающие репутационные потери или уровень квалификации ИТ-персонала. Для подобного анализа крупнейшие консалтинговые компании уже многие годы пытаются ввести косвенные модели оценки, но пока ни одна из этих моделей не получила массового признания.

Что касается качественной оценки рисков, то и ее трудно переложить на денежные показатели. Градация определенного риска по степени критичности - в общем случае низкая, средняя и высокая критичность - позволяет для каждого уровня опасности установить лишь весьма примерный диапазон возможных финансовых потерь. В каждом случае параметры " от" и " до" будут зависеть от множества накладывающихся друг на друга показателей: масштаб бизнеса, отрасль, первоначальное состояние ИТ-инфраструктуры и т.п.

Есть риски, по которым достаточно трудно подсчитать не только убытки в деньгах, но и корректно определить критичность угрозы. Иллюстрацией здесь может служить риск утечки коммерчески значимой информации, например годового бизнес-плана компании. Если этот документ окажется в руках случайного человека, в частности родственника сотрудника компании, получившего данные по недоразумению вместе с личным электронным сообщением, то ущерб для бизнеса можно считать нулевым. Если же подобная информация умышленно передана конкурентам, убытки могут быть весьма значительными, вплоть до существенного сокращения рыночной доли компании. Но с учетом такого разброса вариантов корректно подсчитать экономическую эффективность расходов на внедрение DLP-системы (Data Leak Prevention - предотвращение утечки данных) не представляется возможным, поскольку затруднена оценка стоимости утечки данных. Однако попытки составить такое обоснование, в основном при продаже DLP-систем, все же делаются, но в таких случаях продавец ИБ-решения заведомо рассчитывает на низкую квалификацию заказчика.

Таким образом, аргументированно доказать покупателю, что приобретение ИТ-продукта обеспечит защиту от определенного типа рисков с некоторой конкретной стоимостью - задача фактически невыполнимая.

Для оценки экономической эффективности затрат на информационную безопасность существует две модели подсчетов - доходная и затратная.

Доходная модель применяется для внутренних расчетов и только в тех компаниях, для которых информационная безопасность - это сервис на продажу. Такие услуги предоставляют, например, сервис-провайдеры, предлагающие корпоративным и частным клиентам антивирусное программное обеспечение, услуги фильтрации трафика, предотвращения кибер-атак, услуги антиспама и родительского контроля для физических лиц и т.п. Это, пожалуй, единственный случай, когда расчет эффективности вложений в информационную безопасность не является проблемой. Достаточно подсчитать, сколько инвестировано в приобретение и/или развитие решения и сколько удалось заработать на продаже сервиса.

Затратная модель оценки используется, когда речь идет о приобретении систем информационной безопасности или утверждении годового бюджета, т.е. о тех случаях, когда компания либо приобретает некий новый продукт, либо принимает решение о поддержке уже существующих решений. Обычно при согласовании соответствующих бюджетов принимают в расчет три основные статьи расходов.

Первая - сопровождение существующих систем. Необходимость такого сопровождения обосновать сравнительно просто, даже не вдаваясь в сложные расчеты: деньги на внедрение уже потрачены, система работает и отказываться от действующего решения нецелесообразно.

Вторая - расходы на выполнение требований регуляторов в области информационной безопасности. Такие требования предъявляются к организациям, которым выданы лицензии ФСБ России, ФСТЭК и Банка России, сертификаты ISO в области информационной безопасности. Жестко регламентируются нормы информационной безопасности для публичных компаний, акции которых котируются на биржах США и других международных площадках - можно вспомнить закон Sarbanes-Oxley Act. Начиная с 2011 г. российским компаниям придется соблюдать требования Федерального закона от 27.07.2006 №152-ФЗ " О персональных данных" (в ред. от 23.12.2010). Для одной компании набирается до десятка законодательных актов, в которых содержатся нормы информационной безопасности. Как видно, требований достаточно много, и поэтому расходы на соответствие им составляют ощутимую часть ИБ-бюджета. В большинстве компаний идут по пути разумного компромисса - стараются обеспечить соответствие собственных ИБ-систем не всем, но наиболее значимым требованиям. Под значимостью обычно понимают объем возможных штрафных санкций, которые будут применены к компании при нарушении требований, т.е. риски можно хотя бы примерно оценить экономически. Причем если раньше компании выбирали решение по принципу " лишь бы получить сертификат аттестационной комиссии", то сейчас заказчики все чаще ориентируются на фактическую работоспособность системы - чтобы она не только формально соответствовала требованиям регулятора, но и обеспечивала бы безопасность и работала с минимальным количеством сбоев. Но такие системы в любом случае не являются бизнес-ориентированными: их внедрение в большей степени направлено на обеспечение безопасности государства, а не самой компании.

Третья - внедрение систем, которые позволяют минимизировать бизнес-риски, присущие компании и способные повлиять на ее работу, на финансовый результат. Несмотря на то что эта группа решений относится к наиболее дорогостоящим, обоснование соответствующих расходов редко строится на конкретных финансовых показателях. Финансовое обоснование может быть представлено только в единичных случаях. Это связано с тем, что оценка рисков, как было показано, носит весьма приблизительный характер.

Метрика безопасности

 

Если говорить о внутренних службах безопасности, работающих в корпорациях, то подразделение информационной безопасности выступает в качестве внутреннего сервиса, которым пользуются другие функциональные подразделения компании. Попытка оценить эффективность службы сводится к тому, чтобы установить: в чем вести измерения и что считать критерием оценки.

Разумнее говорить не о денежной оценке эффективности вложений, а об оценке эффективности работы ИБ-службы. В компаниях должна действовать комплексная система риск-менеджмента, охватывающая в том числе и системы информационной безопасности, причем оценка эффективности здесь почти никогда не выражается в деньгах. В этом случае риски информационной безопасности рассматриваются как одна из разновидностей операционных рисков компании.

Оценивают, как правило, уровни критичности рисков, последствия их реализации для непрерывности бизнеса и т.п. В качестве критериев выступают внутренние статистические показатели, такие как, например, количество обнаруженных и предотвращенных инцидентов. Измерению в этом случае подлежат интеграционные показатели - те, по которым ведется постоянный мониторинг. Если из года в год ИБ-служба подтверждает на основе внутренней корпоративной статистики, что количество обнаруженных и обезвреженных угроз растет, а число реализованных рисков, напротив, падает, то на этапе обоснования бюджетов проблем с предоставлением необходимых средств скорее всего не возникнет. Нужно помнить, что специалист в области информационной безопасности никогда не станет финансовым специалистом - требовать от него детальных финансовых выкладок нелогично.

Для проведения оценки лучше всего использовать метрики информационной безопасности, зафиксированные в многочисленных международных стандартах, таких как NIST 800-55, ISO 27004 и др. В этих документах речь идет о метриках для конкретных технических решений и процедур, т.е. существует возможность проанализировать на основе статистических данных, насколько грамотно организована работа той или иной системы. Причем внутреннюю статистику в отличие от внешней можно проверить. В крупных компаниях таким анализом занимаются службы внутреннего аудита, нередко привлекаются для проведения экспертизы и независимые аудиторы. Важно также, чтобы специалисты по безопасности учитывали текущие тренды в своей сфере. Например, сейчас наблюдается бум DDoS-атак, и в компаниях, чей бизнес напрямую зависит от работы web-приложений, делается особый упор на борьбу с интернет-угрозами.

Таким образом, нужно признать, что количественная оценка эффективности вложений в информационную безопасность возможна, но она лежит в сфере статистических, но не финансовых показателей, а реальную эффективность работы ИБ-службы следует оценивать на основе ощущений владельцев бизнеса: грамотная и продуктивная работа будет всегда заметна и оценена руководством.

 

 

Заключение

 

Персональные данные стали неотъемлемой частью нашей жизни, а необходимость их защиты - одной из самых важных проблем.

Поставленные мной в начале работы задачи были выполнены. Я изучила основные определения облачных вычислений и рисков, связанных с их использованием, правовое регулирование этой сферы в России и Европейских государствах, рассмотрела их концепции, особенности и регулирующие органы власти.

В ходе изучения я выявила ряд проблем в российском законодательстве, которые указывают на то, что в России еще не сформировалась такая база защиты персональных данных, которая могла бы соответствовать европейскому законодательству, а значит, Российская Федерация во многом отстаем от Европы.

Нам предстоит еще много пройти, чтобы приблизиться к уровню Европейских и Западных держав. России стоит брать пример с других государств, учиться на их ошибках, анализировать концепции их законодательств, создавать на этой основе что-то свое.

 

 

⇐ Предыдущая123

Поделиться: