Руководство по управлению рисками информационной безопасности для малого бизнеса
Российский малый бизнес в целом не такой уж и малый — если верить Росстату. По данным службы, вклад небольших предприятий в экономику составляет 22%; в денежном выражении это более 20 трлн руб. в год; в работниках — 15 млн человек. Президент считает, что к 2025 году доля малого бизнеса в валовом продукте вырастет до 40%.
Чем активнее растет малый бизнес (МБ), тем больше у него точек соприкосновения — с большими и средними предприятиями, регуляторами, физлицами и т. д. Это же относится и к информационной безопасности: инциденты могут быть критичными не только для внутренних процессов организации, но и для партнеров, сотрудников и клиентов.
Инцидент, который не вызовет последствий в крупной компании, для небольшой может стать причиной банкротства. Возьмем, к примеру, частную клинику эстетической хирургии. Предположим, что истории болезней пациентов хранятся на сетевом хранилище. У главврача есть доступ к этому хранилищу в виде сетевого диска, с полными правами на запись в любую папку. Однажды главврач открывает email-вложение с вирусом внутри. Вирус зашифровывает все данные на его ПК и на сетевом хранилище. Бесплатный, давно не обновлявшийся антивирус не заметил шифровальщика, и расшифровать файлы нечем. К тому же выясняется, что бэкапы давно уже никто не делал. Все истории болезней утрачены. Подобный случай если и не приведет к закрытию заведения, то, как минимум, создаст угрозу здоровью пациентов.
Снижение рисков, недорого
Беспечность малого бизнеса в вопросах информационной безопасности (ИБ) объяснима. Большинству руководителей кажется, что риски ИБ — это абстракция, «не про нас» — дескать, ну комы мы нужны? Вдобавок, считая, что организация полноценной инфо-защиты подразумевает большие затраты, руководство рассматривает ИБ как непрофильную статью расходов. И это тоже можно понять: малому бизнесу зачастую денег едва хватает на то, чтобы свести концы с концами, особенно если речь идет об очередном многострадальном стартапе.
Меж тем управление рисками ИБ, вне зависимости от размера компании, — в первую очередь вопрос дисциплины. Об этом, в частности, говорят эксперты NIST (Национальный институт стандартов и технологий США) в своем Руководстве по информационной безопасности для малого бизнеса, выпущенном в 2016 году. Правила и рекомендации, подробно изложенные в Руководстве, вполне пригодны и для наших реалий.
В этом посте мы предлагаем выжимку из документа NIST — в виде адаптированной для российского МБ инструкции. Она поможет руководителям оценить риски и управлять ими; другими словами — повысить безопасность малого предприятия малыми средствами.
План действий
Для проведения оценки ИБ желательно задействовать все имеющиеся у организации ресурсы, включая сотрудников, партнеров и, если все-таки позволяет бюджет, сторонних экспертов по ИБ.
Важно оценивать риски с точки зрения их критичности для бизнеса — это поможет понять, на что следует направить основные усилия.
Составляющие риска
На Рисунке 1 показано как угрозы, уязвимости, их вероятность и степень воздействия определяют на итоговый риск:
Управление рисками
Управление рисками — деятельность, направленная на определение уровня защиты, который требуется для той или иной информации, а затем — на реализацию и поддержание этой защиты. Здесь поможет специальная риск-ориентированная программа — или план действий — по обеспечению ИБ.
Расставьте приоритеты
Для начала составьте список всех типов информации, которую хранит и использует компания. «Тип информации» можно определить любым способом, главное, чтобы было удобно классифицировать (см. пример в Таблице 1).
Определите ценность информации
После составления списка типов информации, ответьте на 3 вопроса:
- Как повлияет на бизнес обнародование этой информации?
- Как повлияет на бизнес ошибочность этой информации?
- Как повлияет на бизнес отсутствие доступа к этой информации — у вас и у клиентов?
Ответы помогут определить степень потенциального воздействия того или иного события.
В качестве образца для оценки можно использовать Таблицу 1:
[table id=”662″ ] [tr][cell th=”on”]Параметр[/cell] [cell th=”on”]Пример типа информации: Контактные данные клиента [/cell] [cell th=”on”]Тип информации 1[/cell] [cell th=”on”]Тип информации 2[/cell][/tr] [tr][cell]Стоимость раскрытия (Конфиденциальность)[/cell] [cell]Средняя[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Стоимость сохранности информации (Целостность) [/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Стоимость потери доступа (Доступность)[/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Стоимость потери данных (результатов работы)[/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Штрафы, пени, уведомления для клиентов[/cell] [cell]Средняя[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Другие правовые издержки [/cell] [cell]Низкая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Стоимость репутации / связи с общественностью [/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Стоимость определения и решения проблемы[/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tr][cell]Общая оценка[/cell] [cell]Высокая[/cell] [cell]—[/cell] [cell]—[/cell] [/tr] [tcaption]Ценность многих типов информации не всегда выражается в деньгах. Можно использовать шкалу от 0 до 3 или значения: «нулевая», «низкая», «средняя», «высокая»
[/tcaption][/table]Составьте перечень устройств и ПО
Теперь нужно определить, какими средствами обрабатывается информация, перечисленная в Таблице 1. В перечень могут входить стационарные и мобильные устройства (ПК, ноутбук, смартфон, планшет), приложения (почта, мессенджеры, CRM) и технологии («облако», VPN, межсетевой экран).
Пример — Таблица 2:
[table id=”238″ ] [tr][cell th=”on”]Номер[/cell] [cell th=”on”]Описание[/cell] [cell th=”on”]Местонахождение[/cell] [cell th=”on”]Тип информации, с которой работает продукт[/cell] [cell th=”on”]Итого потенциальное воздействие[/cell][/tr][tr][cell]№1[/cell] [cell] Ноутбук Петра Иванова Модель: Lenovo E450 ID: 1234567 Интернет-подключение: Wi-Fi, VPN
[/cell] [cell]Офис, улица, дом[/cell] [cell]Электронная почта, календарь, контактная информация клиента, мессенджер, корпоративный чат, ERP-программа[/cell] [cell]Критическое (Высокое)[/cell][/tr] [tr][cell]№2[/cell] [cell]Программа для работы с клиентами: 1С Аппаратные средства: ноутбуки сотрудников [/cell] [cell]Офис, улица, дом[/cell] [cell]Контактная и другая персональная информация клиентов[/cell] [cell]Критическое (Высокое)[/cell][/tr] [tr][cell]№3[/cell] [cell]— [/cell] [cell]— [/cell] [cell]— [/cell] [cell]— [/cell][/tr] [/table]Изучайте свои угрозы и уязвимости
У некоторых угроз и уязвимостей своя специфика — в зависимости от отрасли, региона или вида бизнеса. Необходимо регулярно пересматривать список угроз и уязвимостей, с которыми вы можете столкнуться, и оценивать вероятность ущерба от них.
В Таблице 3 показан пример того, как определить вероятность инцидента с учетом информации из Таблиц 1 и 2.
[table id=”505″ ] [tr][cell th=”on”]Параметр[/cell] [cell th=”on”]Пример: Контактные данные клиента в мобильном телефоне Петра Иванова; [/cell] [cell th=”on”]Тип информации / Технология[/cell] [cell th=”on”]Тип информации / Технология[/cell][/tr] [tr][cell]Конфиденциальность[/cell] [cell]—[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Кража[/cell] [cell]Средняя (шифрование, защита паролем)[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Случайное раскрытие[/cell] [cell]Средняя (в прошлом дважды терял телефон)[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Целостность[/cell] [cell]—[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Случайное повреждение пользователем/сотрудником[/cell] [cell]Средняя[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Преднамеренное повреждение преступником/хакером[/cell] [cell]Низкая[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Доступность[/cell] [cell]—[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Случайное повреждение[/cell] [cell]Средняя (Регулярное резервное копирование)[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Преднамеренное повреждение[/cell] [cell]Низкая[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [tr][cell]Общая оценка[/cell] [cell]Средняя[/cell] [cell]—[/cell] [cell]—[/cell][/tr] [/table]В Таблице 4 показан пример того, как на основе данных из Таблиц 1, 2 и 3 определить приоритеты по обеспечению информационной безопасности:
[table id=”463″ ] [tr][cell th=”on”][/cell][cell th=”on”][/cell][cell th=”on”]Вероятность
[/cell][cell th=”on”][/cell][/tr] [tr][cell]Воздействие[/cell] [cell]—[/cell] [cell]Низкая вероятность[/cell] [cell]Высокая вероятность[/cell][/tr] [tr][cell]Воздействие[/cell] [cell th=”on”]Высокая вероятность[/cell] [cell]Приоритет 3: плановые действия. Фокус на ответные и восстановительные меры[/cell] [cell]Приоритет 1: назмедлительные действия. Фокус на меры по выявлению и защите[/cell][/tr] [tr][cell]Воздействие[/cell] [cell th=”on”]Низкая вероятность[/cell] [cell]Действия не требуются[/cell] [cell]Приоритет 2: плановые действия. Фокус на меры по выявлению и защите[/cell][/tr] [/table]Если взять предыдущий пример, мобильный телефон Петра Иванова с контактной информацией клиентов, то его можно оценивать как устройство с приоритетом 3 — из-за высокого показателя воздействия, но низкой вероятности.
Заключение
Работа по оценке и управлению рисками — мероприятие не одноразовое. Актуализировать информацию, которая необходима для управления рисками, следует не реже, чем раз в год, а также всегда, когда предполагаются какие-то глобальные изменения: запуск нового проекта, корректировка бизнес-процессов или переход на новую ИТ-инфраструктуру.
Регулярное выполнение всех пунктов Руководства поможет малому бизнесу уменьшить вероятность критичных событий, включая хакерские атаки, ошибки сотрудников и влияние непреодолимых факторов. Разумеется, не стоит забывать и о базовой защите: антивирусное ПО лучше установить на все служебные устройства работников — на этом уж точно не стоит экономить.