Жизнь человека, как свободного существа, тесно связана с выбором и в результате, неизбежно столкновение с такими явлениями как риск и опасность. Что означает понятие опасности и риска, и как можно управлять ими?
Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.
С одной стороны мы строим модели угроз, следуя отечественной регуляторике, а с другой создаем реестры и планы обработки рисков, ориентируясь на международные стандарты по СМИБ.
Как риски связаны с угрозами, это разные вещи или одно и то же? – рассмотрим в статье.
Если коротко – угроза это часть риска, но давайте разберем.
У понятия риск существует множество определений, только в стандартах и нормативах по информационной безопасности на русском языке их нашлось 6 штук.
Определения риска информационной безопасностиСуществуют различные определения риска, вот часть из них:риск (risk): Сочетание вероятности события и его последствийГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических системРиск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положенияРиск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасностиРиск – влияние неопределенности на цели.Влияние – это отклонение от ожидаемого – положительное или отрицательное.Неопределенность – это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.ГОСТ ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминологияриск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.Примечание – Определяется как сочетание вероятности события и его последствий.ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологийриск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
Чуть конкретнее обстоят дела с понятиями угроза и уязвимость
Определения угрозыугроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.ГОСТ Р ИСО/МЭК 27002-2012 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информацииГОСТ Р 50.1.056-2005, Методический документ ФСТЭК России от 05.02.2021 “Методика оценки угроз безопасности информации”Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК Россииугроза (threat): Потенциальный источник опасности, вреда и т.д.ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки рискаОпределения уязвимостиуязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.ГОСТ Р ИСО/МЭК 27002-2012уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.ГОСТ Р 50922-2006Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.Методический документ ФСТЭК России от 05.02.2021 “Методика оценки угроз безопасности информации”
Из этих определений можно сделать один простой но важный вывод – нет единого общепринятого определения для таких ключевых в отрасли информационной безопасности понятий как риск и угроза. Следовательно, верным или ошибочным суждение о них будет исходя лишь из той регуляторики и терминологии, на базе которой ведется спор.
Но в целом если отойти от формулировок то просматривается и закономерность в определениях, позволю себе ее выявить и обобщить:
Риск это возможность реализации угрозы через использование уязвимости в активе.
Таким образом риск, технически, это ничто иное как комбинация 3х сущностей:
Вопросы «Что такое опасность?» и «Что такое риск?» на первый взгляд кажутся простыми. Большинству людей в повседневной жизни они кажутся словами – синонимами, с частично совпадающим значением., а многие просто не задумываются над смысловым значением.
В Википедии значение слова «опасность» и значение слова «риск» имеют значительные различия.
В стандарте по терминологии в сфере безопасности труда ГОСТ 12.0.002-2014 определения терминов следующие.
– Опасность: Потенциальный источник вреда, представляющий угрозу (угрозы) благополучию, нормальному функционированию или существованию.
– Риск: Название и мера случайного причинения вреда, совокупно сочетающаяся степень возможности причинения вреда и степень его медицинской или технической, или социально-экономической значимости (тяжести).
Прочитав определения, мы убеждаемся в различиях, но как эти различия понять?
Возможно, нам помогут иностранные эквиваленты этих слов и визуализация сравнения?
Слово «опасность» имеет английский эквивалент «hazard», а слово риск пишется как «risk».
Опасность (hazard) по смыслу рисунков на синем фоне слева – это то, что может нанести потенциальный вред человеку. На верхнем рисунке слева мы видим человека, который, находясь на суше, пытается распознать опасность – акулу.
Риск (risk) изображен на рисунках коричневого фона справа. Написано, что риск – это вероятность от опасности, которая может стать причиной вреда. На рисунке надпись «плавание с акулой – это риск».
На нижнем рисунке слева мы видим человека в доме и разряды молнии. Молния в сюжете – потенциальная опасность, так как она контролируется. Человек в доме защищен. Но на нижнем правом рисунке мы видим человека под деревом при грозе. Надпись предупреждает – «стоять под деревом во время грозы – это риск».
Термины «опасность» и «риск» в стандартах управления.
Термины «опасность» и «риск» являются ключевыми для понимания стандартов управления ИСО.
Международный стандарт ИСО 45001:2018 по Системам менеджмента охраны здоровья и безопасности труда. Требования с руководством по применению содержит оба рассматриваемых термина: опасность (hazard) и риск (risk). Термины можно посмотреть на
сайте ISO.
Опасность (hazard) в п.3.19 определяется как источник, который может стать потенциальной причиной травмы или нанесения вреда здоровью.
Риск (risk) в п.3.20 определяется как эффект неопределенности.
Согласно примечаниям термин «риск» рассматривается не только как негативный эффект, но и в позитивном ключе тоже – в понимании «риски и возможности».
Неопределенность трактуется как недостаток информации, связанный со знанием, событиями, последствиями или вероятностью.
Откуда же появились новые определения в стандарте?
Все ответы можно найти в книгах по развитию теории безопасности систем – «Safety system».
История развития безопасности систем и стандартизации
Третье издание основного руководства по безопасности систем «Basic Guide to System Safety» было написано профессиональным менеджером по безопасности Джеффри В. Винколи ( Jeffrey W. Vincoli ), членом американского института инженеров по безопасности – ASSE.
Предназначается данная книга для практикующих специалистов по безопасности производства.
На рисунке обложка упомянутой книги. Книгу можно найти и приобрести в сети.
В книге речь идет о безопасности систем. Под «системой» понимается организация взаимосвязанных и взаимозависимых между собой персонала, процессов проектирования, программирования, сервиса, оборудования, материалов, услуг, информации.
Программа безопасности систем внедряется в уже установленную систему охраны труда и промышленной безопасности компаний. Так и возникает комплексный системный подход.
Анализ опасностей и снижение рисков прямо связанны с системной инженерией.
Из книги мы узнаем, что концепция безопасности систем (System safety) прослеживается в промышленности США с 1940-х годов. Это было – военное производство ракет. Затем безопасность систем была определена как отдельная дисциплина и стала применялась в аэрокосмической и авиационной отраслях. Со слов писателя до 1940-х годов конструкторы самолетов в основном полагались на метод проб и ошибок, когда системы были простыми. С увеличением скорости полета самолетов, маневренности и сложности систем появился спрос на другие инженерные подходы. Так появилась системная инженерия (
Safety engineering).
Таким образом программы ракетных и комических войск США стали движущей силой в разработке систем безопасности. В 1969 году Министерство обороны США официально оформило требования безопасности системы, опубликовав документ MIL-STD-882 под названием «Требования к программе безопасности системы». Этот стандарт и дал фундаментальные принципы развития стандартизации и Систем управления безопасностью, которые в наше время применяются в любых отраслях и дисциплинах. Термины и определения по риск-управлению, уровням риска, построение матриц риска, прогнозируемой вероятности – это все пришло с этого стандарта.
Таким образом военные Стандарты MIL -STD стали основой для развития стандартов по производству, качеству и безопасности производства военного назначения. Подробнее по ссылке.
Дальнейшая история развития стандартов не менее интересна. Принципы военных стандартов управления на основе безопасности систем сначала перешли в британские стандарты – серию BS 5750, а затем и в ISO 9000, первая публикация которого состоялась в 1987 году. Как результат развития стандартизации на современном этапе мы имеем стандарт ISO 9001-2015 – ключевой стандарт по управлению производством. Подробнее
по ссылке.
Стандарт ISO 45001 по системам безопасности через общую терминологию и специальное приложение SL легко интегрируется со всеми стандартами управления. Понять этот стандарт и терминологию можно только через терминологию ISO 9001-2015.
Системная инженерия являются частью профессиональной Системы безопасности и здоровья (Occupational safety and health). Подробнее по
ссылке.
Полагаю, попытки некоторых экспертов, связать международный стандарт по безопасности с нашим трудовым законодательством, разработанным на основе контрактного трудового права и профессий, всегда будут терпеть неудачу. В стандарте изначально заложен другой смысл – инженерно -технический.
Для того чтобы обеспечить безопасность какого-то объекта защиты нужно уметь противостоять угрожающим ему опасностям. Так при анализе проблемы пожарной безопасности появляются два основных понятия – опасность и безопасность, – которые нуждаются в соответствующих определениях. К этим двум понятиям необходимо добавить еще одно понятие – “риск”, вокруг которого в последние десятилетия среди специалистов ведется оживленная полемика.
Это понятие в определенной степени связывает два первых понятия. Так возникает основная триада понятий активно формирующейся в настоящее время теории риска и безопасности: “Опасность – риск – безопасность”.
Другое определение понятия “опасность” приведено в учебном пособии “Основы анализа и управления риском в природной и техногенной сферах”:
Абсолютно единая точка зрения у всех специалистов существует по поводу понятия “безопасность”.
Таким образом, безопасность – состояние защищенности любого объекта от любых опасностей. С этим согласны все специалисты, это пишут во всех декларациях, законах, нормативных актах и пр., хотя совершенно неясно как трактовать это “состояние защищенности” в реальной жизни.
Но больше всего вопросов и споров вызывает понятие “риск”.
В словаре “Гражданская защита” дается 8 определений понятия “риск” и его производных.
Безопасность – это состояние защищенности объекта защиты от любых видов опасностей.
Наконец, риск – это возможная опасность неудачи, вероятность или частота поражающих воздействий, ожидаемый ущерб, вероятность причинения вреда, количественная мера опасности, возможность нежелательных последствий, потенциальная опасность реализации событий с нанесением вреда, мера возможной опасности и последствий ее реализации, возможность (вероятность) наступления опасного события.
Риски можно разделить на “качественные”, которые нельзя измерить, и “количественные”, которые измерить можно. “Риск является количественной характеристикой возможности реализации данной опасности”.
Каждую опасность может характеризовать много различных рисков, оценивающих разные стороны и параметры этой опасности.
Например, с одной стороны, – частоту ее реализации, с другой – характер и размеры последствий реализации опасности.
Каждый риск в зависимости от многих обстоятельств и факторов может изменять свои значения, то есть подвержен определенной динамике.
Однако, очевидно, что принципиально невозможно все риски, связанные с тем или иным объектом защиты, свести к нулю. Это объясняется как перманентной неполнотой и относительностью научных представлений об опасностях и рисках, так и ограниченными инженерно-техническими и экономическими возможностями общества.
Риск только можно попытаться уменьшить до такого уровня, с которым общество (на данном этапе его исторического развития) вынуждено будет согласиться (психологически будет готово его принять).
Отсюда следует, что “абсолютной” безопасности (отсутствия всякой опасности) какой-то системы (объекта защиты) добиться в реальном мире невозможно в принципе.
Таким образом, безопасность – состояние объекта защиты (системы), при котором значения всех рисков, присущих этому объекту, не превышают их допустимых уровней.
При этом понятия опасность, угроза и вызов по существу являются синонимами, отличаясь друг от друга некоторыми смысловыми оттенками.
Рисунок 1. Система “Опасность – риск – безопасность”
Фактически это – схема алгоритма обеспечения безопасности любого объекта.
Риск = Угроза + Уязвимость + Актив
- Угроза – что то плохое
- Уязвимость – особенность актива
- Актив – любой объект
Если совсем уж перефразировать, то можно сказать что риск это когда что то плохое происходит из за какой то особенности чего то.
При таком расщеплении на атомы все становится на свои места, ясна связь между угрозами и рисками безопасности.
Угроза просто описывает нам что-то плохое, в то время как Риск еще сообщает из-за чего это плохое может произойти.
Несколько примеров рисков, сформулированных по такой конструкции:
- Раскрытие ключей (паролей) доступа из-за возможности атаки SMB Relay в ОС WindowsТут у нас Угроза – Раскрытие ключей (паролей) доступаУязвимость – Возможности атаки SMB RelayАктив – ОС Windows
- Угроза – Раскрытие ключей (паролей) доступа
- Уязвимость – Возможности атаки SMB Relay
- Актив – ОС Windows
- Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного подключения через RDS Shadow в ОС Windows
- Закрепление злоумышленника в ОС из-за возможности распространения скриптов через Network Logon Scripts в доменных службах Active Directory
- Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма работником// В качестве актива выступает человек
- Неработоспособность серверного оборудования из-за нарушения температурного режима в серверном помещении// классический ИТ риск на доступность активов
- Недоступность ИТ/ИБ персонала из-за отсутствия квалифицированной кадровой политики в компании// Это тоже не про ИБ, скорее про кадровые и управленческие риски компании, но влияет на функционирование системы информационной безопасности. Активом выступает компания как юридическое лицо.
Риск в такой формулировке не просто говорит о чем то плохом, но поясняет почему это может произойти, указывая на источник проблемы.
Все элементы риска (угроза, уязвимость, тип актива) могут объединяться друг с другом в любых адекватных комбинациях, образуя новые риски безопасности.
Преимущества у такого подхода формулировки рисков безопасности:
- Нет необходимости дублировать одни и те же угрозы, уязвимости и активы в составе разных рисков, мы просто ведём 3 отдельных реестра, а реестр рисков это ничто иное как их комбинация.
- Взгляд на проблемы безопасности становится шире. Мы можем смотреть не только на реестр рисков, но и на реестры угроз, уязвимостей, активов, рассчитывая величину риска с учетом каждого из элементов.
- Из 3х-звенной формулировки рисков вытекает простой и понятный алгоритм реагирования – снижать величину ущерба от реализации угрозы, устранять уязвимость или снижать вероятность ее использования.
Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК, лучшие практики и личный опыт. Пока набралось ~ 250 рисков и и работа по наполнению базы в процессе. Если перед вами стоит задача ведения реестра рисков – можете использовать нашу community базу за основу и поучаствовать в ее пополнении.
Хотелось бы завершить статью слоганом что не важно как вы учитываете проблемы компании, что называете риском а что угрозой. Но нет, это важно, т.к. от этого зависит полнота и эффективность создаваемых систем ИБ, возможность понять друг друга в ИБ сообществе. Буду рад если поделитесь в комментариях тем как вы ведете учет проблем ИБ в своих компаниях, как описываете риски безопасности.
P.S.В статье не рассмотрены такие сущности как объект атаки/воздействия, нарушитель, нежелательные последствия, сценарии атак – все это важные элементы в процессах моделирования угроз и управления рисками. Если будет интерес – разложим их на атомы в следующих статьях.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Как вы описываете проблемы информационной безопасности в компании?
Делаем модель угроз по ФСТЭК
Управляем рисками по ISO 27* или другому стандарту
Ведем простой список проблем, не важно как их называть
Централизованно не описываем, полагаемся на опыт и соответствие комплаенсу
Проголосовали 17 пользователей.
Воздержались 3 пользователя.
Как научиться управлять риском
Для того, что бы повысить навык риск-менеджмента, необходимо читать соответствующую литературу, обучающие пособия, а также развивать аналитические способности мозга. В совокупности эти навыки помогут вам значительно сократить степени риска во всех сферах жизни.
Понятие опасности и риска
Опасность – это возможность либо вероятность возникновения такой совокупности различных факторов, при которой конечный результат окажет негативное воздействие, в данном случае – на человека. Если же говорить проще, то это вероятность того, что произойдет некоторое нежелательное событие. В деятельности человека невозможно достичь абсолютной безопасности в чем-либо, то есть, не может быть ситуации, в которой шанс нежелательного события равен нулю. Для человека может быть два источника опасности: естественный (природные катаклизмы) и искусственный (вызванный деятельностью человека). Закономерно, что с повышением темпов развития цивилизации растет количество искусственных опасностей.
Риск как мера опасности
Зная вероятность определенного нежелательного события и вероятные его последствия можно определить степень риска, в этом случае это будет прямой показатель опасности.
Оценка риска опасности важна во всех сферах человеческой деятельности, управление риском называют риск-менеджмент и благодаря правильному применению можно максимально обезопасить себя, своих близких, предприятие и тд.
Правильное взвешивание риска дает человеку возможность делать правильный осознанный выбор, четко осознавая что он может при этом потерять. Как правило, люди меньше всего готовы рисковать жизнью и здоровьем, в таких ситуациях выбор может сделан в пользу любого варианта ради избежания такой опасности.
Последствия воздействия опасности
Последствия воздействия опасности на человека могут быть таковы:
- дискомфорт;
- заболевание;
- травма;
- летальный исход.
Риском называют совокупность вероятности и последствий. Таким образом, чем выше один из этих показателей, тем выше риск.