В. Андрианов - Обеспечение информационной безопасности бизнеса

Именно поэтому «типовой сценарий» значимого рискового события ИБ (повлекшего значительный ущерб) сводится, как правило, к тому, что реализуется пачка событий (временной ряд) с незначительным ущербом (часто вообще без ущерба); в результате влияния пачки создается и удерживается некоторое время рисковая ситуация и, как следствие, реализуется значимое рисковое событие.

Иными словами, особенностью рисковых событий и ситуаций ИБ является то, что они протяженные во времени и накапливающегося типа, т. е. любое событие в отдельности наносит очень (на практике пренебрежительно) малый ущерб, вследствие чего они игнорируются. При этом независимо от того, реагируем мы на эти мелкие, с небольшим ущербом инциденты или нет, если их происходит много, то накапливается некий «негативный потенциал», порождающий в конце концов крупный инцидент. Эта особенность может быть в некоторых случаях содержательно объяснена, например злоумышленник может порождать множество мелких инцидентов в процессе подготовки к атаке при исследовании атакуемой системы. Тогда инцидент с большим ущербом будет результатом успешно проведенной атаки.

Если абстрагироваться от каких-либо возможных причин, лежащих в основе накопления «негативных потенциалов», то в качестве гипотезы можно рассматривать принцип накопления «негативного потенциала» от пачки инцидентов. Этот принцип подтверждается реально существующей статистической структурой инцидентов. В приближенном виде эта статистика такова, что существует относительно большое количество мелких инцидентов, создающих незначительный ущерб, на некоторое количество таких мелких приходится один крупный инцидент, существенно превосходящий мелкие по масштабам, и есть особо крупные инциденты, возникающие реже крупных и также существенно превосходящие их по масштабам ущерба.

Статистическая структура инцидентов неизменна для каждой организации и слабо зависит от видов ее деятельности и целей деятельности. Параметры структуры могут быть установлены через историю (прошлое организации), если она зафиксирована. Предположительно число мелких инцидентов на два порядка больше крупных, а ущерб от одного крупного инцидента как минимум на порядок больше ущерба от всех мелких, приходящихся на него. Особо крупные инциденты возникают на три-пять крупных и превосходят их или сравнимы с ними по масштабам ущерба.

В конце пачки инцидентов риск скачкообразно изменяется до очень больших значений. Из принципа накопления также следует, что влияние событий ИБ на организацию зависит от ее состояния, от того, какие значения базовых рисков сложились к моменту возникновения событий ИБ. Одно и то же событие ИБ может дать различный эффект — от незначительного ущерба до катастрофического. Если говорить об общей характеристике рисковых событий ИБ, то это провоцирующие (создающие условия) события для базовых рисков организации.

Таким образом, рисковые события ИБ всегда «вложены» в базовые риски бизнеса (организации) и проявляются в виде ущерба, который организация идентифицирует как ущерб, связанный с базовым риском. Тот факт, что понесенный ущерб был инициирован проблемами информационной сферы, не всегда рассматривается, а реагирование на риск осуществляется методами, присущими базовыми рисками (экономическими, финансовыми, юридическими и др.). Часто это существенно менее эффективные и более затратные способы реагирования, чем информационные.

Очевидно, что для более осмысленного и качественного реагирования на базовые риски организации необходимо отобразить на них информационную сферу организации. Однако прямое отображение информационной сферы на базовые рисковые события либо крайне затруднительно, либо вообще невозможно. Причина этого разрыв как семантический, так и формальный, а также и временнóй между содержанием и формой представления событий в информационной сфере организации и конечным продуктом (целью) ее деятельности.

Менеджмент организаций, как показывает практика, более склонен воспринимать возникающие издержки как последствия сложившихся разного рода ресурсных ограничений, но не информационных. Однако та же практика, только a posteriori, каждый раз показывает, что дело было вовсе не в ресурсных ограничениях, а сводилось к тому, насколько эффективно организация была способна добывать полезную для себя информацию, оценивать и систематизировать ее, анализировать, накапливать, обобщать, а также своевременно и рационально использовать в своей деятельности. Без эффективно действующей информационной составляющей даже изначально ресурсно избыточный бизнес погибнет.

Поэтому построение модели ИБ организации должно начинаться с исследования (анализа) идентифицированных в ней рисков целей деятельности (бизнеса). Целью этого анализа должно быть установление контекста идентифицированных рисков, т. е. определение условий, сущностей и механизмов реализации рисковых событий, вида и величины наносимого ущерба.

Установленный контекст позволит перейти к построению факторных моделей базовых рисков, т. е. к некоторой их формализации, приближающей их к сущностям информационной сферы. При этом факторы и обстоятельства, слабо связанные с процессами информационной сферы, могут сразу же отфильтровываться как незначимые.

Одновременно необходимо формализовывать и информационную сферу в контексте базовых рисков организации. Такое движение навстречу позволит преодолеть указанный выше разрыв. Наилучшей основой такой формализации является технологический аспект, т. е. отображение на нее ролей и субъектов, а также задействуемые ими активы и инструменты (информационной сферы).

Теперь можно установить контекст информационной сферы для идентифицированных риск-факторов, т. е. какие активы, процессы, инструменты, субъекты и роли отображаются на каждый из риск-факторов. Здесь же, если уже накоплено достаточно знаний, устанавливается, какие именно нарушения (регламентов, свойств либо состояния) являются признаками (либо предвестниками) наступления событий ИБ. Последующий мониторинг этих сущностей позволит идентифицировать часть событий ИБ.

Именно пятерка «активы, процессы, инструменты, субъекты, роли» (далее «А, П, И, С, Р») подвержена рискам ИБ, и происходящие с ними события ИБ будут приводить к изменению значений соответствующих риск-факторов и, как следствие, значений базовых рисков организации и ее совокупного риска.

Видно, что пятерка «А, П, И, С, Р» определяет содержательно и формально критическую часть информационной сферы организации, способную наносить ущербы и приводить к негативным последствиям для целей организации. Таким образом, у базовых рисковых событий всегда через их риск-факторы может быть идентифицирован их контекст в информационной сфере организации.