Записи

Взаимосвязь процессов аудита и управления рисками

image_pdfimage_print

Должен быть разработан график проведения независимой стороной регулярных внутренних аудитов. Независимая сторона не обязательно должна быть внешней по отношению к организации. Аудиты, проводимые внешним органом, являются обязательными для прохождения сертификации по ISO 27001, а также для акционерных обществ, финансовых организаций и других организаций согласно требованиям законодательства. Внутренние аудиторы не должны быть подконтрольны тем, кто несет ответственность за повседневное управление СУИБ. В случае, когда при внутренних аудитах обнаруживается необходимость в принятии мер по корректировке СУИБ, эти меры должны быть документированы в полном объеме, а также должна быть определена ответственность и установлены сроки.

Набор мероприятий, проводимых при оценке рисков и при комплексном аудите, в значительной степени совпадает.

________________________________________

Задачи аудита:

  • идентификация активов, угроз и уязвимостей;
  • оценка уровня защищенности;
  • оценка соответствия требованиям;
  • выработка рекомендаций по повышению уровня защищенности и ликвидации уязвимостей.

________________________________________

Для проведения аудита необходимы требования и критерии, выработанные в ходе оценки рисков. Для оценки рисков необходимо проведение мероприятий по аудиту. Это два параллельных процесса, обменивающихся информацией между собой. Один не может существовать без другого. Поэтому во многих случаях аудит включает в себя оценку и обработку рисков, а оценка рисков предполагает проведение аудита.

__________________________________

Задачи управления рисками:

  • оценка активов, угроз и уязвимостей;
  • оценка уровней рисков;
  • оценка рисков несоответствия требованиям;
  • принятие решений по обработке рисков.

___________________________________

Если же аудит не включает в себя оценку рисков, тогда речь идет либо об оценке соответствия конкретным нормативным документам, либо об узкой области аудита, когда, например, требуется оценить защищенность конкретной системы или приложения в отношении внешних угроз.

При рассмотрении безопасности организации в комплексе, аудит и оценка рисков – это фактически составные части одного процесса.

Пересмотр и переоценка риска

image_pdfimage_print

Результаты первоначальной оценки рисков и анализа со стороны руководства должны регулярно проверяться на предмет изменений. Существует несколько факторов, которые могут изменить первоначальную оценку рисков. Любые новые функции бизнеса могут означать появление новых или изменение существующих информационных активов, а также любые другие изменения, документируемые и рассматриваемые в процессе оценки и управления рисками. Другие изменения в ситуации с рисками могут быть обнаружены в результате анализа организации, ее бизнес-целей и/или процессов, анализа корректности и эффективность реализованных механизмов безопасности, а также внешних изменений (например, окружающей среды, социальных или политических). Также могут быть идентифицированы новые или изменившиеся угрозы и/или уязвимости.

После того как все эти факторы были учтены, величина риска должна быть переоценена, а также должны быть идентифицированы и документированы изменения, которые необходимо внести в решения по обработке риска. Эти изменения должны быть согласованы с руководством и реализованы.

Результаты переоценки рисков и новые решения по их обработке отражаются в реестре информационных рисков и в плане обработки рисков, представляющих собой важное средство коммуникации рисков. Структура этих документов далее будет подробно рассмотрена.

Анализ со стороны руководства

image_pdfimage_print

Руководство должно на регулярной основе анализировать СУИБ, чтобы гарантировать ее непрерывное соответствие, адекватность и эффективность. Для того чтобы гарантировать адекватность СУИБ, руководство должно рассматривать изменение ситуации с рисками и способность СУИБ справляться с этими изменениями. В связи с изменением целей бизнеса или другими важными изменениями может потребоваться переопределение области действия СУИБ. Организации должны настраивать СУИБ, анализируя соответствующие цели и метрики. В зависимости от природы СУИБ цели могут носить как качественный, так и количественный характер.

______________________________________

Анализ СУИБ со стороны руководства организации затрагивает:

  • изменение ситуации с рисками и способность СУИБ справляться с этим;
  • переопределение области действия СУИБ в связи с изменением целей бизнеса;
  • настройку СУИБ путем анализа целей и метрик;
  • определение потребностей в ресурсах.

_________________________________________

Анализ должен базироваться на информации, получаемой от пользователей СУИБ, результатах предыдущих анализов, аудиторских отчетах, протоколах выполнения процедур, а также на внутренних и внешних сравнительных тестах и обследованиях. Выходные данные анализа должны касаться изменений СУИБ, например, идентифицировать изменения в процедурах, влияющих на информационную безопасность, и гарантировать адекватность охвата этих изменений. Выходные данные должны также показывать, где и как можно повысить эффективность. При анализе должны быть четко определены потребности в ресурсах, необходимых как для реализации усовершенствований, так и для их последующего сопровождения.

Сопровождение и мониторинг механизмов безопасности

image_pdfimage_print

Большинство механизмов безопасности требуют сопровождения и администрирования на протяжении всего периода их существования. Внедренные механизмы контроля должны регулярно отслеживаться и анализироваться для того, чтобы гарантировать их корректное и эффективное функционирование, а также то, что изменения среды функционирования не снижают их эффективности. Существует тенденция к ухудшению, со временем, производительности любого сервиса или механизма. Мониторинг предназначен для выявления этих ухудшений и инициирования корректирующих действий.

Действия по мониторингу и сопровождению должны планироваться и выполняться на регулярной основе, согласно расписанию. Таким образом могут быть минимизированы накладные расходы и сохранена эффективность механизмов безопасности.

_____________________________________________

Действия по сопровождению и мониторингу механизмов безопасности:

  • проверка журналов и отчетов;
  • модификация параметров механизмов контроля;
  • анализ эффективности механизмов контроля;
  • обновление механизмов контроля, политик и процедур;
  • контроль соответствия требованиям.

Основная цель – гарантировать корректное и эффективное функционирование.

______________________________________

Многие механизмы контроля производят выходные данные, которые должны проверяться на наличие событий, значимых с точки зрения безопасности, например, журналы, отчеты о сигналах тревоги, отчеты об управлении инцидентами, отчеты об уязвимостях и анализе приложений. Стандартные средства системного аудита могут предоставить для этого полезную информацию.

Непрерывная деятельность по управлению рисками

image_pdfimage_print

После начала реализации плана обработки рисков необходимо осуществлять непрерывную деятельность по управлению рисками, которая включает в себя следующие процессы:

  • сопровождение и мониторинг;
  • анализ со стороны руководства;
  • пересмотр и переоценка рисков;
  • аудит;
  • управление документами;
  • корректирующие и превентивные меры;
  • коммуникация рисков.

За исключением пересмотра и коммуникации рисков, это стандартные процессы СУИБ, описанные в ISO 27001. Остановимся на этих процессах более подробно.

Процессная модель управления рисками

image_pdfimage_print

Поскольку процессы управления рисками являются составной частью общей системы управления организации, для их описания используется та же процессная модель, что и в других стандартах систем управления. Эта модель определяет четыре группы процессов: Планирование – Реализация – Проверка – Действие (ПРПД), что отражает стандартный цикл управления, впервые описанный в работах Деминга. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в стандартах BS 7799-3 и ISO 27005 содержится его проекция на процессы управления рисками.

Модель Деминга применительно к процессам управления рисками

Рассмотрим проекцию процессов управления рисками на процессную модель ПРПД более подробно по каждой группе процессов.

Планирование

На этапе планирования определяются политика, контекст и методология управления рисками, инвентаризуются (идентифицируются) активы и определяется их ценность, формулируются профили угроз и уязвимостей, оценивается эффективность контрмер и производится обработка рисков. Руководство организации принимает соответствующие решения и утверждает план обработки рисков.

Согласно ISO 27001, оценка рисков информационной безопасности необходима для понимания требований информационной безопасности и рисков для бизнес-активов организации.

Она включает в себя следующие мероприятия:

  • идентификация активов;
  • идентификация требований законодательства и бизнеса, применимых к идентифицированным активам;
  • оценивание активов с учетом идентифицированных требований законодательства и бизнеса, а также последствий нарушения конфиденциальности, целостности и доступности;
  • идентификация значимых угроз и уязвимостей для активов;
  • оценка вероятности возникновения угроз и величины уязвимостей;
  • вычисление рисков;
  • оценивание рисков по заранее определенной шкале риска.

Следующим шагом в процессе управления рисками является идентификация подходящих мер по обработке рисков для каждого из рисков, идентифицированных в ходе оценки рисков. Управлять рисками можно путем комбинирования превентивных и детектирующих механизмов контроля, тактики избежания, страхования и/или простого принятия (сохранения) риска. После того как риск был оценен, должно быть принято бизнес-решение насчет принятия необходимых мер. Во всех случаях это решение должно быть экономически обоснованным и понятным для руководителей и владельцев бизнеса, в чью компетенцию входят принятие либо оспаривание данного решения.

На следующем рисунке изображен цикл управления рисками и показаны взаимосвязи процессов в рамках этого цикла. Процесс управления рисками информационной безопасности включает определение контекста, оценку рисков, обработку рисков, принятие рисков, коммуникацию рисков, а также мониторинг и пересмотр рисков.

Взаимосвязь процессов управления рисками

Как показано на вышеприведенном рисунке, этот процесс может носить цикличный характер для деятельности по оценке и/или обработке рисков. Цикличный подход к проведению оценки рисков позволяет сделать оценку более глубокой и детализированной при каждой последующей итерации. При этом должен обеспечиваться баланс между минимизацией времени и усилий, затрачиваемых при определении механизмов контроля, и обеспечением надлежащей оценки высоких рисков.

Сначала определяется контекст. Затем проводится оценка рисков. Если в результате этого получено достаточно информации для эффективного определения мер, которые необходимо принять для уменьшения рисков до приемлемого уровня, то задача выполнена, и можно переходить к обработке рисков. Если информации недостаточно, проводится очередной цикл оценки рисков в пересмотренном контексте (например, критерии оценивания рисков, критерии принятия рисков или критерии оценки воздействия (ущерба)), возможно, для отдельных частей области оценки (см. на рисунке – «Точка принятия решения по рискам 1»).

Эффективность обработки рисков зависит от результатов их оценки. Возможно, обработка рисков не приведет сразу же к приемлемому уровню остаточного риска. В этом случае может потребоваться очередной цикл оценки рисков, после чего проводится дополнительная обработка рисков (см. на рисунке – «Точка принятия решения по рискам 2»).

Деятельность в сфере принятия рисков должна обеспечивать явное принятие рисков руководством организации. Это особенно важно в ситуации, когда внедрение механизмов контроля не осуществляется или откладывается, например, из-за их высокой стоимости.

В ходе всего процесса управления рисками информационной безопасности важно, чтобы информация о рисках и их обработке доводилась до сведения соответствующих руководителей и персонала. Даже до начала обработки рисков информация о выявленных рисках может оказаться очень полезной для управления инцидентами и может помочь уменьшить потенциальный ущерб. Осведомленность менеджеров и персонала о рисках, характере имеющихся механизмов контроля, направленных на их уменьшение, а также о вопросах, вызывающих обеспокоенность организации, помогает урегулировать инциденты и непредвиденные события наиболее эффективным образом. Результаты по каждому действию в процессе управления рисками информационной безопасности и точкам принятия решений должны подробно документироваться.

Реализация

На этапе реализации производится внедрение необходимых механизмов безопасности и другие действия по реализации плана обработки рисков, которые могут включать в себя, например, заключение договоров страхования, соглашений об уровне сервиса и даже корректировку планов развития бизнеса в целях избежания определенных рисков.

Проверка

После принятия решений по обработке рисков и внедрения выбранных механизмов контроля должны начинаться непрерывные действия по управлению рисками. Эти действия включают в себя процесс мониторинга рисков и эффективности СУИБ, позволяющий гарантировать, что внедренные механизмы контроля функционируют надлежащим образом.

Действие

На этапе проверки отслеживается функционирование реализованных механизмов безопасности, контролируется изменение факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия осуществляется совершенствование процессов управления рисками по результатам мониторинга и аудита, в случае необходимости пересматриваются определенные риски, используемые подходы и методы их оценки, вносятся изменения в нормативную и операционную документацию организации, уточняется контекст управления рисками. Постоянное совершенствование является существенной частью непрерывных действий по управлению рисками, предпринимаемых с целью повышения эффективности внедренных механизмов контроля для достижения целей, которые были установлены для СУИБ.

Далее описанный цикл управления рисками переходит на новый виток, вновь проходя стадии ПланированияРеализацииМониторинга и Совершенствования. Процесс функционирования, развития и совершенствования СУИР реализуется по спирали. В конечном итоге все четыре группы процессов выполняются параллельно и непрерывно. Выходные данные одних процессов поступают на вход других.

Структура системы управления рисками

image_pdfimage_print

СУИР включает в себя следующие основные группы взаимосвязанных процессов:

  • Оценка рисков:
  • инвентаризация активов;
  • идентификация бизнес-требований и требований законодательства;
  • оценка ценности активов;
  • анализ угроз и уязвимостей;
  • определение величины риска;
  • оценивание и ранжирование рисков.
  • Обработка рисков:
  • выбор способов обработки рисков и вариантов контрмер;
  • принятие решения по контрмерам;
  • реализация контрмер.
  • Контроль и пересмотр:
  • аудит и анализ со стороны руководства;
  • оценка эффективности контрмер;
  • мониторинг ситуации с риском.
  • Совершенствование:
  • реализация превентивных и корректирующих мер.

___________________________________

Процессы СУИР:

  • оценка рисков;
  • обработка рисков;
  • контроль и пересмотр;
  • совершенствование.

____________________________________

Далее мы рассмотрим все перечисленные процессы в их взаимодействии.

Политика и контекст управления рисками

image_pdfimage_print

Политика управления рисками – внутренний нормативный документ организации, регламентирующий вопросы управления рисками и базирующийся на политике СУИБ, стандартах и нормативных документах. Она определяет контекст для управления рисками; используемую терминологию СУИР как систему взаимосвязанных процессов, выполняемых в определенной последовательности и взаимодействующих друг с другом определенным образом; информационные потоки СУИР, включая предоставление отчетности, коммуникацию рисков и получение обратной связи; а также ответственность за управление рисками.

______________________________________

Содержание политики управления рисками:

  • терминология;
  • контекст управления рисками;
  • процессы управления рисками;
  • отчетность;
  • коммуникация рисков.

_________________________________

Систематическое управление рисками в организации должно начинаться с определения контекста для управления рисками, который согласно ISO 27005 включает в себя следующее:

  • Цель управления рисками. Общая цель – это поддержка СУИБ, однако для каких-то частных задач могут ставиться и более узкие цели, например планирование непрерывности бизнеса, реагирование на инциденты и т.п.
  • Критерии управления рисками, включающие в себя: критерии оценки ущерба, критерии оценки рисков и критерии принятия рисков.
  • Область и границы управления рисками, которые обычно совпадают с областью действия и границами СУИБ.
  • Организационную структуру, определяющую функциональные роли по управлению рисками, обязанности и распределение ответственности.

____________________________________________

Контекст управления рисками:

  • цель;
  • критерии;
  • область и границы;
  • организационная структура.

____________________________________________

Область действия СУИР (область управления рисками) в идеале должна совпадать с областью действия СУИБ и охватывать всю организацию. Однако оценить сразу все риски для всех активов и внедрить СУИР сразу во всей организации довольно сложно. Поэтому чаще всего применяется стратегия поэтапного внедрения. В этом случае область действия СУИР может охватывать только часть организации.

Область управления рисками определяется в тех же терминах, что и область действия СУИБ, а именно:

  • бизнес-процессы;
  • площадки;
  • подразделения;
  • сотрудники;
  • приложения и сервисы;
  • программно-аппаратные платформы;
  • информационные активы.

Поводом для исключения из области действия определенных процессов, площадок, подразделений и других видов активов, помимо соображений поэтапного внедрения СУИР, может также служить децентрализованная структура организации, фактически имеющая несколько отдельных систем управления, требующих разных подходов к управлению рисками. Бизнес организации может быть диверсифицирован и включать в себя различные, не связанные друг с другом бизнес-процессы, каждый из которых требует особого подхода к управлению рисками. Организация может иметь также территориально распределенную структуру, включающую в себя офисы, филиалы, представительства или заводы в разных странах и в разных юрисдикциях. Для таких организаций одной СУИР может оказаться недостаточно.

Для определения границ управления рисками нужно описать интерфейсы организации и ее информационных систем с внешними системами, а также ее контракты с внешними сторонами, определив помимо контактной информации и способов связи, также процедуры взаимодействия, контрактные обязательства и другие вопросы, касающиеся любых внешних взаимодействий.

Область управления рисками, так же как и область действия СУИБ, может быть представлена схематично, например, как показано на рисунке.

На данной схеме внутренняя область включает в себя структурные подразделения организации в области действия СУИР. Эта область находится внутри более широкой области, включающей в себя все структурные подразделения организации. Эти подразделения (структурные единицы) непосредственным образом входят в зону контроля руководства организации. Внешняя область, помимо самой организации, включает в себя также внешние стороны, которые связаны с организацией договорными отношениями и от которых зависит ее деятельность.

Взаимодействие между подразделения в области действия СУИР регламентируется внутренними процедурами и регламентами; взаимодействие с внешними сторонами, не входящими в область действия СУИР, регламентируется договорами и соглашениями об уровне сервиса (SLA).

Для получения полной картины требуется несколько срезов, как минимум, по процессам, по организационной структуре и по информационным системам, а возможно, и по другим элементам области действия СУИР, включая информационные активы, сервисы и отдельных сотрудников.

Как можно более полное и точное определение области действия СУИР является крайне важным для управления рисками, как с точки зрения идентификации и ограничения количества рассматриваемых рисков, так и с точки зрения передачи определенных рисков внешним сторонам, путем заключения с ними соответствующих договорных отношений, определяющих их ответственность за обеспечение информационной безопасности.

Структура документации по управлению рисками

image_pdfimage_print

В мире накоплен уже значительный опыт в области управления рисками информационной безопасности. Существуют сотни книг, руководств, методик и программных продуктов. Основные требования и общие принципы управления рисками ИБ были определены в международном стандарте ISO 27001 и получили свое развитие в международном стандарте ISO 27005 и в британском стандарте BS 7799-3, представляющем собой практическое руководство по управлению рисками. Детальное описание конкретных методов оценки рисков можно найти в широко используемых на практике методологиях, таких как CRAMM, OCTAVE, RiskWatch и т.п., которые нашли свое воплощение и в соответствующих программных продуктах, позволяющих автоматизировать процессы оценки и обработки рисков. Мы рассмотрим эти и другие популярные методы и инструменты управления рисками в последней главе.

При наличии мощной теоретической и технологической базы во многих организациях до сих пор отсутствуют формализованные процессы управления рисками информационной безопасности. Такой разрыв между теорией и практикой объясняется тем, что для управления рисками недостаточно приобрести какой-либо программный инструментарий, не удастся также напрямую воспользоваться существующими методологиями и стандартами. Каждая организация, если только она не намерена передавать управление информационными рисками на аутсорсинг (идея сама по себе не лишенная здравого смысла), должна разработать и внедрить процессы управления рисками, что означает создание соответствующей организационной структуры, разработку документации, проведение обучения и осуществление контроля.

Не следует путать формализованные процессы управления рисками в организации с бюрократическими процессами, которые отличаются избыточной формализацией и служат лишь для создания видимости какой-либо деятельности. Обычно, чем больше организация, тем ярче бывают выражены симптомы этой опасной болезни под названием бюрократизм. Внедрение любого стандарта управления, будь то ISO 27001, ISO 9001, ISO 20000 и т.п., в организации, страдающей этой болезнью в тяжелых формах, приводит лишь к дополнительным затратам собственника, появлению груды никому ненужных бумаг, дальнейшему разрастанию бюрократического аппарата и повышению нагрузки на тех немногих людей в организации, кто действительно занимается общественно полезным делом и везет на своих плечах всех остальных.

_______________________________________

Из книги Владимира Довганя «Опыт предпринимателя»:

«Первое, что шокировало на новой работе, – отсутствие какой-либо логики в действиях администрации. К своему ужасу, я не увидел связи между текущими делами и конечным результатом, не наблюдал желания у людей обдумать абсурдную ситуацию и сделать выводы. Суть происходящего в цехе передавал афоризм, весьма популярный в коллективе: «Петров с утра бодро строит стену, зная, что после обеда Сидоров ее разрушит до основания». Команды сверху следовали одна за другой. Их невозможно было выполнить не только потому, что их было слишком много. Одни директивы нередко исключали другие. Обратной связи с верхами не было – мастера, начальники участков не могли возражать руководству цеха. Под ливнем несуразных указаний в цехе делалась масса пустой работы. Не было большей обиды для людей, чем видеть, что их труд затрачивается впустую».

«Планерки были абсолютной потерей времени. Не припомню, чтобы хоть раз разговоры на них напоминали конструктивный диалог единомышленников. Процветала «спихотехника», то есть искусство обвинять во всех бедах смежников. Это был какой-то сумасшедший дом! Самое удивительное, что большинство окружающих хорошо понимали, что участвуют в безумной игре. Но были и такие коллеги, которые уже начисто забыли, что нормальный мир совершенно другой. Любимая пословица: «Я начальник – ты дурак, ты начальник – я дурак». Я терпел весь этот бред, надеясь пробиться наверх».

«Яркий признак иерархической, забюрократизированной структуры – уход от ответственности. Как только неудача – все пытаются свалить вину на смежников: технологи на конструкторов, конструкторы на технологов, производственники на маркетологов, маркетологи на рекламщиков, рекламщики на сбытовиков, и так до бесконечности. Никакого конструктивного подхода, логики, здравого смысла, только желание перевести стрелки на соседа. Всю жизнь одно занятие: плюнь на нижнего, толкни ближнего, подсиди верхнего. Эти патологические отношения убивают душу миллионам и миллионам людей. Иерархическая система живет ради себя. Бюрократия пожирает все вокруг. Она ведет себя как демоническое существо, чья основная задача – расти и захватывать новые горизонты».

________________________________________

Всем управленцам, консультантам, владельцам бизнеса и менеджерам ИБ необходимо очень хорошо различать симптомы этой опасной болезни и быть осведомленными о мерах противодействия. Если ситуация в организации напоминает описанную Владимиром Довганем в его книге «Опыт предпринимателя», тогда целесообразность внедрения СУИР вызывает сомнения.

Любая разрабатываемая для управления рисками документация должна способствовать повышению скоординированности действий всех заинтересованных лиц и повышению эффективности в достижении конечных результатов управления рисками. Следует стремиться в упрощению, избегая излишней формализации там, где без этого можно обойтись.

Ключевым моментом является разработка документации для управления рисками. Без этого дальше разговоров дело не пойдет. Только грамотно написанная документация, адекватная текущему положению дел, культуре и потребностям бизнеса организации, позволит перейти к внедрению эффективных и измеримых процессов управления рисками.

Документацию, которая необходима для управления рисками, условно можно разделить на два уровня: нормативный и операционный. Внутренняя нормативная база организации в области управления рисками обычно представлена «Политикой управления рисками» и «Методологией оценки рисков», которые устанавливают необходимые требования и правила. Эти документы пересматриваются на регулярной основе по мере накопления организацией собственного опыта, изменения ситуации с рисками и развития бизнеса организации.

На более низком, операционном, уровне находятся рабочие документы, которые на каждодневной основе используются для отображения текущей ситуации, анализа рисков, принятия решений по обработке рисков, планирования контрмер, оценки соответствия, измерения эффективности и т.п. В число таких документов входят «Реестр информационных рисков», «Декларация о применимости», «План обработки рисков», а также таблицы, отчеты, планы, опросники, протоколы и т.п.

Структура документации, необходимая организации для управления рисками, показана на рисунке. Все эти документы вошли в состав сборника типовых документов по управлению рисками GTS 1056, который был разработан в ходе проектной деятельности GlobalTrust и послужил основой для написания настоящей книги. Подробнее об этом можно почитать в Приложении № 11.

Ниже мы подробнее расскажем о каждом из этих документов, их назначении и применении по мере того, как будем рассматривать составные элементы системы управления рисками.

О преимуществах системного подхода к управлению рисками

image_pdfimage_print

Когда пишется эта книга, мировой финансовый кризис находится в самом разгаре. Руководители и собственники организаций сейчас в основном озабочены финансовыми рисками, что не удивительно, ведь повсеместно наблюдается сокращение заказов, сворачивание проектной деятельности. Как никогда сейчас высоки кредитные и валютные риски, поскольку в финансовом мире нарушено состояние равновесия. На управление всеми прочими рисками остается значительно меньше времени и денег.

Во время финансового кризиса усиливаются не только финансовые риски, но и информационные. Массовые сокращения, урезание бюджетов и фондов оплаты труда приводят к усилению внутренней напряженности в коллективах и появлению большого количества сотрудников, недовольных своими работодателями и имеющими соответствующую мотивацию и возможности для реализации внутренних угроз в отношении информационных активов организации как самостоятельно, так и в сговоре с внешними сторонами. Такая аргументация в пользу усиления функций информационной безопасности, конечно, может оказывать определенное воздействие на руководство организации, однако все же сложно ожидать от руководства, которое и «в мирное то время» уделяло вопросам информационной безопасности явно недостаточное внимание, серьезного разворота именно в эту сторону.

Красноречие директоров информационной безопасности, методы запугивания, технологии «быстрых побед», требования законодательства и другие методы воздействия на лиц, принимающих решения, конечно, никто не отменял. Все, что срабатывало до кризиса, может сработать и сейчас. Однако не стоит питать иллюзий. В ближайшей перспективе нас ждет сокращение бюджетов и штатной численности персонала служб информационной безопасности.

__________________________________________

Известные аргументы в пользу усиления функции информационной безопасности, обычно предъявляемые руководству:

  • усиление внутренней угрозы во время кризиса;
  • технология «быстрых побед»;
  • методы запугивания;
  • государственная «дубинка»;
  • требования законодательства;
  • красноречие директора по информационной безопасности и также другие способы воздействия на принятие решений.

Все это не всегда срабатывало до кризиса, еще хуже срабатывает во время кризиса.

____________________________________________

Исключение могут составить лишь те организации, в которых существует система управления информационными рисками. Они разительно отличаются от остальных, в которых присутствуют лишь отдельные элементы управления рисками, но нет сбалансированной системы. Различие это проявляется, прежде всего, в стабильно высоких результатах деятельности на протяжении многих лет, которые существенным образом превышают среднестатистические показатели. В таких организациях решения о финансировании информационной безопасности принимаются на основании результатов оценки рисков таким образом, чтобы максимизировать возврат инвестиций. Красноречие, магия и другие методы воздействия на руководство здесь отходят на второй план, поскольку в отлаженной системе управления технология организации работы, поставленный документооборот, а также общие цели и правила имеют куда большее значение, чем «свободное творчество» и изворотливость отдельных менеджеров информационной безопасности.

Любая система управления, выстроенная по модели Деминга, обладает большим запасом прочности, способностью к самовосстановлению и самосовершенствованию. Все элементы такой системы находятся во взаимодействии в рамках формализованных процессов и непрерывно контролируются. Если стабильность каких-то элементов нарушается, то на них немедленно оказывается корректирующее воздействие. Если какой-то элемент выходит из строя, то он легко заменяется на новый, т.к. все элементы и взаимоотношения между ними формализованы. Если даже новый элемент по своим характеристикам не тождественен старому, то ничего страшного не происходит, т.к. непрерывный мониторинг и корректировка этого элемента позволяют привести его в соответствие с целями и задачами системы.

Однако создание самоорганизующихся систем по Демингу – задача крайне непростая, требующая высокой степени профессионализма и отработанной «методы». Например, во всех организациях есть продавцы, но далеко не каждая может похвастаться наличием эффективной системы продаж, как у лидеров рынка. Любая система продаж строится из трех основных элементов:

  • особым образом отобранные и подготовленные кадры;
  • технологии и стандарты продаж, включая внутренний документооборот отдела продаж;
  • процесс управления отделом продаж, реализуемый его руководителем, и конкретные обязанности этого руководителя и его сотрудников.

Если в чем-то из перечисленного существует «прокол», то продажи не идут.

Во многих организациях управляют проектами, но лишь в немногих существует эффективная система управления проектами, которая строится из тех же трех элементов, что и система продаж. Такие организации способны меньшими силами выполнять значительно большее количество более сложных проектов, при этом обходясь без эксцессов.

Многие российские производственные компании отличаются от западных прежде всего тем, что в первых есть только определенные элементы контроля качества, а в последних существует эффективная система контроля качества, выстроенная по модели Деминга. Отсюда такая разница в производимой продукции и вытекающие отсюда конкурентные преимущества.

Такие же наблюдения характерны и для моделей управления рисками и безопасностью, применяемых в организациях. Наш опыт внедрения и сертификации систем управления информационной безопасностью организаций (а это довольно успешные по российским меркам организации) по требованиям международного стандарта ISO 27001, а также опыт проведения аудита таких систем показывают, что практически во всех организациях можно найти отдельные механизмы контроля, описанные в стандарте, однако отсутствует фундамент, объединяющий эти механизмы в систему, позволяющую получать гарантированный, стабильный и измеримый результат. Для информационной безопасности таким результатом является сокращение среднегодовых потерь и повышение возврата инвестиций в безопасность без ущерба для интересов бизнеса.

Фундаментом СУИБ служит cистема управления информационными рисками, представляющая собой:

  1. совокупность взаимосвязанных формализованных процессов, обеспечивающих анализ и планирование, реализацию и эксплуатацию, мониторинг и аудит, корректировку и совершенствование механизмов управления рисками;
  2. стандарты и технологии управления рисками, представленные в виде нормативной и рабочей документации СУИР, включающей в себя политику управления рисками и методологию оценки рисков, а также еще около 20 рабочих документов, из которых самыми важными являются Реестр информационных рисков и План обработки рисков;
  3. организационную структуру управления рисками и соответствующим образом подготовленный персонал. Роли и ответственность за функционирование процессов управления рисками распределяются между руководством организации, управляющим комитетом по информационной безопасности, рабочей группой по оценке рисков, владельцами активов, пользователями и обслуживающим персоналом информационных систем, менеджером информационной безопасности, риск-менеджером и аудиторами.

Практика внедрения и сертификации СУИБ самых разных компаний показывает, что оценка рисков – это «ахиллесова пята» современных организаций, обычно вызывающая наибольшие затруднения. Во многих случаях ситуация такова, что руководство организации не располагает необходимой и своевременной информацией о рисках информационной безопасности для принятия адекватных решений в этой области, контроля реализации и оценки эффективности принятых решений. Во многих организациях отсутствуют система сбора и анализа информации об информационных рисках, механизмы обработки и пересмотра рисков, механизмы коммуникации рисков и другие необходимые элементы, без которых система управления рисками не работает.

_______________________________________

Три необходимых составляющих СУИР:

  • формализованные взаимодействующие процессы;
  • стандарты, технологии, внутренний документооборот;
  • организационная структура и кадры.

_______________________________________

Не может СУИР функционировать и без четко определенных и согласованных со всеми участниками процесса критериев оценки и принятия рисков, области оценки и других элементов, определяемых политикой управления рисками.

Не стоит также забывать и о целях управления рисками, способах оценки достижения этих целей, методах измерения эффективности механизмов контроля и системе поощрения персонала, которая должна быть связана с достижением целей СУИР и эффективностью реализуемых механизмов контроля. У многих ли менеджеров информационной безопасности и риск-менеджеров в наши дни зарплата зависит от достижения целей управления рисками и возврата инвестиций? Чем тогда эти менеджеры мотивированы на достижение результатов? Ведь, как известно, материальное стимулирование является одним из основных способов мотивирования персонала.

Разработка и внедрение СУИР – процесс достаточно трудоемкий, требующий высокого профессионализма и большого опыта в управлении рисками. Теоретически каждая организация, начинающая осознавать свои потребности в обеспечении информационной безопасности, в состоянии двигаться по пути создания СУИР самостоятельно, однако на практике многие заходят в тупик на этом пути. Это происходит не только из-за недостатка опыта, профессиональной квалификации и глубины осознания информационных рисков.

Дело в том, что внедрение СУИР зачастую связано с весьма существенными изменениями существующей системы управления организацией и пересмотром принятых подходов к принятию решений. Это особенно сложно сделать, если в организации до сих пор вообще отсутствовала какая-либо система управления рисками (ERM-система) и соответствующих элементов такой системы просто не существует. В этом случае изменить систему управления изнутри крайне сложно. Ведь любая система стремится к стабильности и сохранению своего прежнего состояния.

Поэтому во многих случаях помощь со стороны внешних консультантов, имеющих достаточный опыт внедрения СУИР и владеющих соответствующими технологиями, является оправданной. Опытные консультанты смогут провести обучение персонала, формализовать процессы и разработать систему внутренней документации для управления рисками, провести первоначальную оценку рисков и разобраться с проблемами, которые возникнут по ходу этой оценки, а также «подтолкнуть» руководство организации с целью скорейшего рассмотрения и принятия решений по рискам.

Для организаций, в которых информационные риски не являются основными, существует вариант отдачи процесса управления рисками на аутсорсинг специализированной организации. Теоретически аутсорсинг должен обеспечить сокращение затрат при сохранении достаточного уровня контроля над процессами управления рисками.