Управление рисками информационной безопасности в России
История доказывала много раз, что стабильность, какой бы идеальной она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценивания возможностей и решений, приводящих к успеху или поражению. Многое зависит от нас.
Например, благополучный исход прыжка с парашютом зависит от того, правильно ли уложен сам парашют, знаете ли вы порядок действий при прыжке и т. д. Нет, риск и теперь не равен нулю, но своими действиями вы способны существенно снизить его. Помимо индивидуальных, выделяют риски социальные, технологические и пр. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.
Стандарт управления рисками ISO 31000:2009 дает определение риска как «результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанной с пониманием события или знаниями о нем, его последствиями или вероятностью». Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность предпринятых мер также отдается на волю случая (все равно что использовать бензопилу в качестве топора, не прочитав инструкцию по применению). Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с наработками и стандартами в этой области.
От общего к частному
Рассматривая управление рисками в фокусе ИБ, полезно иметь представление о нескольких более общих документах, таких как:
· международный стандарт ISO 31000:2009;
· концептуальные основы управления рисками «Комитета спонсорских организаций комиссии Тредвея» (COSO);
· стандарт управления рисками Института рисков менеджмента (IRM) ассоциации «Риск менеджмента и страхования» (AIRMIC), а также национального форума «Риск менеджмента в общественном секторе Великобритании».
ISO 31000:2009 – основной международный стандарт по управлению рисками для организаций – дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.
Более подробные инструкции содержатся в концептуальных основах управления рисками COSO ERM. В частности, помимо самого документа, практическую пользу представляют дополнительные материалы, выпущенные COSO:
· ERM Risk Assessment in Practice («Практика проведения оценки рисков в системе управления рисками»);
· Enterprise Risk Management for Cloud Computing («Управление рисками для систем облачных вычислений»);
· Enterprise Risk Management – Understanding and Communicating Risk Appetite («Понимание и коммуникация риск-аппетита в системе управления рисками»);
· Embracing Enterprise Risk Management: Practical Approaches for Getting Started («Практические подходы для начала внедрения системы управления рисками») и др.
Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.
Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов, – различия в определениях. Например, определение понятия риска в стандарте ISO – это вероятность и положительного, и негативного последствия, а в стандарте COSO – вероятность только негативного последствия, для положительного есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.
Еще один полезный документ – «Стандарт управления рисками» Института риска менеджмента (IRM) и ассоциации «Риск менеджмента и страхования (AIRMIC), а также национального форума «Риск менеджмента в общественном секторе Великобритании». Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками:
Описанный стандарт будет крайне полезен для СМБ, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.
Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:
· ISO 31000:2009 подойдет в качестве основного для любой организации.
· AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний.
· COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.
Управление рисками ИБ
На сегодняшний день информатизация общества вкупе с автоматизацией процессов развивается столь стремительно, что игнорирование возрастающих рисков в области ИТ становится недопустимым. Доступность ЦОДов измеряется пятью и шестью девятками, а сбои в ИС крупных компаний становятся новостями мирового масштаба. Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IT-рискам.
Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками ИБ в организации: ISO 27005:2008 «Информационные технологии – техники безопасности – управление рисками информационной безопасности». Однако существуют и другие, не менее полезные документы, как то:
· «Рабочая среда по управлению IT-рисками» (The Risk IT Framework) и «Инструкция по применению для IT-рисков» (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA.
· Авторская «Методика управления рисками информационных систем» Кена Джаворски (Ken Jaworski).
В стандарте ISO 27005:2008 дается определение риска ИБ как вероятности того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации. В соответствии со стандартом процесс управления рисками ИБ позволяет организовать следующее:
· идентификацию рисков;
· риски оцениваются в терминах последствий для бизнеса и вероятности их появления;
· вероятности и последствия рисков сообщаются и осознаются;
· выстроен порядок приоритетов для обработки рисков;
· выстроен приоритет для действий по уменьшению вероятности возникновения рисков;
· заинтересованные лица вовлечены в процесс принятия решений по управлению рисками и информируются о статусе процесса управления рисками;
· мониторинг эффективности обработки рисков;
· риски и процесс управления рисками регулярно отслеживаются и пересматриваются;
· выявление информации для улучшения подхода к управлению рисками;
· менеджеры и сотрудники обучаются выявлению рисков и действиям по их снижению.
Примечательно, что схема процесса управления рисками ИБ совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.
Рабочая среда по управлению IT-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению (методологию и практические примеры). В данном документе дается определение IT-риска: «это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией ИТ в организации». Процессная модель данной среды состоит из трех доменов:
· Управление риском (Risk Governance).
· Оценка риска (Risk Evaluation).
· Реагирование на риск (Risk Response).
В документе тщательно рассмотрена вся трехдоменная модель. Приведены необходимые определения, разобраны ролевая модель по перечисляемым процессам, а также порядок внедрения.
Инструкция по применению в области IT-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Кроме того, дается описание лучших практик внедрения систем по управлению IT-рисками.
«Методика управления рисками информационных систем» Кена Джаворски (Ken Jaworski) основана на стандарте ISO и акцентирует внимание на практических аспектах внедрения системы управления рисками. Содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.
Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности наблюдается прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой. Дальнейший практический путь, несмотря на индивидуальный подход каждой организации, может быть эффективно реализован с помощью как минимум двух методик.
Заключение
Система управления рисками как часть корпоративного управления уже доказывает свою эффективность в тех компаниях, где ее начинают внедрять или уже внедрили. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже сейчас существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки.
Принципиально важным моментом является тот факт, что, помимо общих документов, существуют отраслевые стандарты управления рисками, в частности управления рисками ИТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый «административный ресурс», уделяя недостаточно внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 19.02.2014