Управление рисками информационной безопасности в России

Логотип компании
Управление рисками информационной безопасности в России
История доказывала много раз, что стабильность, какой бы идеальной она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Многое зависит от нас...<br />

История доказывала много раз, что стабильность, какой бы идеальной она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценивания возможностей и решений, приводящих к успеху или поражению. Многое зависит от нас.

Например, благополучный исход прыжка с парашютом зависит от того, правильно ли уложен сам парашют, знаете ли вы порядок действий при прыжке и т. д. Нет, риск и теперь не равен нулю, но своими действиями вы способны существенно снизить его. Помимо индивидуальных, выделяют риски социальные, технологические и пр. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.

Стандарт управления рисками ISO 31000:2009 дает определение риска как «результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанной с пониманием события или знаниями о нем, его последствиями или вероятностью». Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность предпринятых мер также отдается на волю случая (все равно что использовать бензопилу в качестве топора, не прочитав инструкцию по применению). Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с наработками и стандартами в этой области.

От общего к частному

Рассматривая управление рисками в фокусе ИБ, полезно иметь представление о нескольких более общих документах, таких как:

·         международный стандарт ISO 31000:2009;

·         концептуальные основы управления рисками «Комитета спонсорских организаций комиссии Тредвея» (COSO);

·         стандарт управления рисками Института рисков менеджмента (IRM) ассоциации «Риск менеджмента и страхования» (AIRMIC), а также национального форума «Риск менеджмента в общественном секторе Великобритании».

ISO 31000:2009 – основной международный стандарт по управлению рисками для организаций – дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.

 

Более подробные инструкции содержатся в концептуальных основах управления рисками COSO ERM. В частности, помимо самого документа, практическую пользу представляют дополнительные материалы, выпущенные COSO:

·         ERM Risk Assessment in Practice («Практика проведения оценки рисков в системе управления рисками»);

·         Enterprise Risk Management for Cloud Computing («Управление рисками для систем облачных вычислений»);

·         Enterprise Risk ManagementUnderstanding and Communicating Risk Appetite («Понимание и коммуникация риск-аппетита в системе управления рисками»);

·         Embracing Enterprise Risk Management: Practical Approaches for Getting Started («Практические подходы для начала внедрения системы управления рисками») и др.

Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.

Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов,  – различия в определениях. Например, определение понятия риска в стандарте ISO – это вероятность и положительного, и негативного последствия, а в стандарте COSO – вероятность только негативного последствия, для положительного есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.

Еще один полезный документ – «Стандарт управления рисками» Института риска менеджмента (IRM) и ассоциации «Риск менеджмента и страхования (AIRMIC), а также национального форума «Риск менеджмента в общественном секторе Великобритании». Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками:

 

Описанный стандарт будет крайне полезен для СМБ, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.

Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:

·         ISO 31000:2009 подойдет в качестве основного для любой организации.

·         AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний.

·         COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.

Управление рисками ИБ

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развивается столь стремительно, что игнорирование возрастающих рисков в области ИТ становится недопустимым. Доступность ЦОДов измеряется пятью и шестью девятками, а сбои в ИС крупных компаний становятся новостями мирового масштаба. Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IT-рискам.

Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками ИБ в организации: ISO 27005:2008 «Информационные технологии – техники безопасности – управление рисками информационной безопасности». Однако существуют и другие, не менее полезные документы, как то:

·         «Рабочая среда по управлению IT-рисками» (The Risk IT Framework) и «Инструкция по применению для IT-рисков» (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA.

·         Авторская «Методика управления рисками информационных систем» Кена Джаворски (Ken Jaworski).

В стандарте ISO 27005:2008 дается определение риска ИБ как вероятности того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации. В соответствии со стандартом процесс управления рисками ИБ позволяет организовать следующее:

·         идентификацию рисков;

·         риски оцениваются в терминах последствий для бизнеса и вероятности их появления;

·         вероятности и последствия рисков сообщаются и осознаются;

·         выстроен порядок приоритетов для обработки рисков;

·         выстроен приоритет для действий по уменьшению вероятности возникновения рисков;

·         заинтересованные лица вовлечены в процесс принятия решений по управлению рисками и информируются о статусе процесса управления рисками;

·         мониторинг эффективности обработки рисков;

·         риски и процесс управления рисками регулярно отслеживаются и пересматриваются;

·         выявление информации для улучшения подхода к управлению рисками;

·         менеджеры и сотрудники обучаются выявлению рисков и действиям по их снижению.

Примечательно, что схема процесса управления рисками ИБ совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.

Рабочая среда по управлению IT-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению (методологию и практические примеры). В данном документе дается определение IT-риска: «это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией ИТ в организации». Процессная модель данной среды состоит из трех доменов:

·         Управление риском (Risk Governance).

·         Оценка риска (Risk Evaluation).

·         Реагирование на риск (Risk Response).

 Управление рисками информационной безопасности в России. Рис. 2

В документе тщательно рассмотрена вся трехдоменная модель. Приведены необходимые определения, разобраны ролевая модель по перечисляемым процессам, а также порядок внедрения.

Инструкция по применению в области IT-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Кроме того, дается описание лучших практик внедрения систем по управлению IT-рисками.

«Методика управления рисками информационных систем» Кена Джаворски (Ken Jaworski) основана на стандарте ISO и акцентирует внимание на практических аспектах внедрения системы управления рисками. Содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.

Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности наблюдается прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой. Дальнейший практический путь, несмотря на индивидуальный подход каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Заключение

Система управления рисками как часть корпоративного управления уже доказывает свою эффективность в тех компаниях, где ее начинают внедрять или уже внедрили. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже сейчас существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки.

Принципиально важным моментом является тот факт, что, помимо общих документов, существуют отраслевые стандарты управления рисками, в частности управления рисками ИТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый «административный ресурс», уделяя недостаточно внимания системе  корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Российская экономика активно проходит этап цифровой трансформации, сталкиваясь с вызовами санкций и ограничений со стороны западных компаний. IT-World разбирается, как эти факторы повлияли на ИТ-сектор, какие отрасли пострадали больше всего, и какие перспективы открываются для России в этой сложной ситуации.

Управление рисками информационной безопасности в России. Рис. 1

Опубликовано 19.02.2014

Похожие статьи