Автор: Александр Астахов

Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов на системы менеджмента (ISO 27001, ГОСТ Р 27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework и т.д.) и обеспечивает применяющей его организации существенные преимущества. Применение риск-ориентированного подхода позволяет:

• Из огромного количества существующих требований, предписаний и средств защиты информации выбрать те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям
• Правильно интерпретировать сформулированные в самом общем виде требования безопасности, содержащиеся в законодательных актах, нормативных документах и стандартах, применительно к конкретной организации
• Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, влияющих на возможность реализации угроз безопасности, и степени воздействия этих угроз на бизнес
• Оценивать экономическую эффективность и целесообразность принимаемых мер по обеспечению информационной безопасности
• Правильно расставлять приоритеты, формировать планы и бюджеты на безопасность, с учетом возврата инвестиций, ожидаемых от реализации защитных мер, уменьшающих существующие риски
• Оптимизировать и сокращать расходы организации на обеспечение информационной безопасности и соответствия требованиям, при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью
• Осуществлять анализ возврата инвестиций в информационную безопасность и поставить систему премирования для службы информационной безопасности в зависимость от обеспечиваемого коэффициента возрата инвестиций, как основного показателя эффективности ее функционирования

Для организаций, не применяющих риск-ориентированный подход к управлению информационной безопасностью, характерны следующие особенности:

• Решения по реализации защитных мер принимаются интуитивно, исходя из общих соображений, основываясь на маркетинговых компаниях производителей средств защиты информации и без анализа экономической целесообразности и эффективности
• Бюджеты на обеспечение информационной безопасности формируются по остаточному принципу, т.к. информационная безопасность является расходной статьей для организации
• Бюджеты на информационную безопасность расходуются неэффективно, часто впустую
• Отсутствует взаимосвязь между интересами бизнеса, интересами службы информационной безопасности и интересами ИТ подразделения
• Оценка эффективности службы информационной безопасности организации либо не производится, либо никак не связана с экономической отдачей от деятельности данной службы
• Система премирования специалистов по информационной безопасности никак не связана с эффективностью их деятельности (которую руководство организации не умеет измерять), что приводит к демотивированности этих сотрудников
• При принятии решений многие риски информационной безопасности не учитываются, либо недооцениваются, в то время как другие риски переоцениваются, т.к. у лиц, принимающих решения, отсутствует объективная картина существующих рисков и инструменты для их измерения
• Решения по реализации многих защитных мер принимаются уже после того, как инцидент произошел и причинил серьезный ущерб организации (реактивная практика управления)
• Управление рисками информационной безопасности подменяется обеспечением соответствия многочисленным и зачастую противоречивым требованиям безопасности, что приводит к процветанию бюрократии, замене реальной безопасности «бумажной» безопасностью, неэффективному расходованию средств и разочарованию со стороны руководства организации

Чтобы разобраться с любой проблемой безопасности, необходимо ответить на четыре вопроса: «Что?», «Почему?», «От чего?» и «Как защищать?». Оценка рисков позволяет разобраться с первыми тремя вопросами, а обработка риска – связать первые три вопроса с последним вопросом «Как?». Все остальные знания в области безопасности посвящены лишь ответу на вопрос «Как защищаться от тех или иных конкретных угроз?». Однако отвечать на этот вопрос бессмысленно, не разобравшись в первыми тремя вопросами. Этим объясняется первичность темы управления рисками и ее приоритет над всеми остальными вопросами.

Поэтому при разработке мастер-класса, материалы которого послужили прототипом для написания настоящей книги (см. Приложение №15), мы сделали его достаточно дорогим, с целью отсечь ту часть аудитории, которая приходит на подобные мероприятия в основном для того, чтобы просто пообщаться, отдохнуть от основной работы и заодно немного расширить свой кругозор. Нам хотелось, чтобы на нашем мероприятии присутствовали только те люди, для которых управление рисками является уже осознанной необходимостью и которые готовы инвестировать и время и деньги в обучение этому вопросу.

Автор надеется, что после прочтения этой книги управление рисками станет осознанной необходимостью и для вас.

Альтернативы управлению рисками, на наш взгляд, сегодня уже не существует. Информационная безопасность не относится к числу проблем, которые можно решать по мере их возникновения. Либо вы управляете рисками, либо риски управляют вами. Проактивный подход намного лучше реактивного. Когда возникает проблема с безопасностью, часто бывает уже слишком поздно ею заниматься. Поэтому надо заранее анализировать и упреждать возможные проблемы, руководствуясь при этом соображениями экономической целесообразности.

Правила игры стремительно меняются. Сегодня уже недостаточно просто реагировать на появление новых угроз, руководствоваться при выборе защитных мер общими соображениями и укоренившимися взглядами на информационную безопасность как на какое-то мало значимое побочное явление, сопутствующее внедрению информационных технологий и ассоциирующееся в массовом сознании с понятиями «хакер» и «компьютерный вирус», находящимися где-то там, далеко от нас. Информационная безопасность – это уже не отдельно взятые угрозы, обязанные своим распространением главным образом сети Интернет, а новая система взаимоотношений в изменившемся мире, где уже не действуют прежние законы.

Без управления рисками все еще, как и раньше, можно достигать определенных положительных результатов, однако стабильных результатов достигать все сложнее. Поэтому компании, систематически управляющие рисками, по крайней мере, обладают важнейшим конкурентным преимуществом.

Пока происходило (и до сих пор происходит) столь бурное, порой революционное во многих областях, освоение новых технологий, основной лозунг звучит просто: «лишь бы все заработало». Когда же все это наконец начинает работать, да так, что остановить это уже невозможно, то на первый план выходит соображение «не дай бог это вдруг остановится или сработает не так, как планировалось», т.е. на первый план выходят соображения безопасности, и уже ИТ занимает по отношению к ним подчиненное положение. С того момента, как останов информационных систем начинает приводить к катастрофическим последствиям, становится совершенно необходимым управлять информационными рисками на систематической основе, соотнося расходы на защиту с получаемой выгодой.

Насколько глобальными могут быть последствия недооценки рисков, возникающих в связи с изменением мироустройства, мы с вами имеем возможность наблюдать сегодня на примере захлестнувшего весь цивилизованный мир финансового кризиса, основной причиной которого является отсутствие адекватного управления финансовыми рисками, а порой и самого осознания этих рисков, не только среди обывателей, но и среди профессионалов.

Эта книга подытоживает многолетний практический опыт автора в области управления информационными рисками. Этот опыт нашел отражение в методологии и продуктах компании GlobalTrust, которые успешно применяются в ряде российских организаций.

Автор полагает, что наш подход к управлению рисками, вообще говоря, является достаточно универсальным и успешно может применяться для управления любыми физическими и операционными рисками, а также, возможно, и любыми неспекулятивными рисками, т.е. теми рисками, единственными последствиями которых, является причинение ущерба организации. Британский стандарт BS 31100 раскрывает именно эту тему. Ведь для любых неспекулятивных рисков факторы риска (такие как угрозы, уязвимости, активы и контрмеры) и подходы к их анализу остаются неизменными. Меняется лишь область экспертной оценки. Однако существует множество нюансов, которые мы здесь не в состоянии учесть, поэтому будем оставаться в рамках своей предметной области и, чтобы не усложнять и без того непростую тему, при дальнейшем изложении под рисками будем понимать исключительно риски информационной безопасности.

Об управлении рисками на разных языках написано довольно много научных и околонаучных трудов, изобилующих математическими формулами, моделями, принципами, количественными и качественными подходами, теориями полезности, субъективной вероятности, непрерывными распределениями, нечеткими множествами и прочими теориями, не имеющими прямого отношения к реальной жизни. Птичий язык многих из этих сочинений, оторванность от практики, отсутствие параллелей с теми обстоятельствами, в которых вынужден функционировать современный бизнес, приводит к тому, что их аудитория ограничивается очень узким кругом специалистов, по большей части теоретиков, имеющих узкоспециальное образование и владеющих соответствующим математическим аппаратом, в то время как оценка рисков имеет очень мало общего с математикой вообще. Для широкой аудитории вопросы управления информационными рисками остаются практически неведомыми.

Если финансовая безграмотность сегодня приводит к плачевным результатам, то информационная безграмотность способна породить еще худшие результаты уже в недалеком будущем. В наше время, управление рисками – это отнюдь не какая-то математическая теория, имеющая прикладное значение. Управление рисками – это жизненная необходимость для все большего числа организаций. Кого-то эти проблемы еще не коснулись в достаточной степени, для кого-то это вопрос эффективности управления бизнесом, а для других это уже вопрос выживания. Мы постарались избавиться от всей псевдонаучной шелухи, заслоняющей важнейшие вопросы, связанные с управлением информационными рисками, и сосредоточиться только на тех идеях, которые обладают свойством практической полезности, попытавшись изложить свой подход простым человеческим языком.

Автор надеется, что эта книга поможет читателю без особых проблем перейти к систематическому управлению рисками в соответствии с международными стандартами, используя простой и прагматичный подход, неоднократно проверенный на практике и основанный на доступном каждому человеку здравом смысле.

Если послушать, что говорят, и почитать, что пишут об управлении рисками, то может сложиться впечатление, что задача эта чрезмерно сложная и трудоемкая, что этот вопрос лежит, скорее, в теоретической плоскости, а на практике целесообразно применять более простые подходы к выбору защитных мер. Эти рассуждения, на наш взгляд, сильно преувеличены. Для адекватной оценки риска не требуется ни учености, ни шаманства. Каждый специалист, имеющий достаточный опыт работы в области информационной безопасности, может овладеть этим нехитрым ремеслом. Правда, ему для этого придется переориентироваться на бизнес и научиться осуществлять декомпозицию бизнес-целей и процессов до поддерживающих их информационных активов и связанных с ними угроз и уязвимостей, а уже от них переходить к механизмам безопасности, которыми он привык заниматься. Здесь, скорее, потребуются не новые знания, а перенастройка мышления с технически ориентированного на бизнес-ориентированное и риск-ориентированное.

Тем же, кто не является специалистом в области информационной безопасности или информационных технологий, эта книга поможет осознать сущность проблем информационной безопасности, а также то, каким образом информационные риски влияют на них лично, на организацию, в которой они работают, на их бизнес, а также на общество, в котором они живут. Это позволит подготовиться к ближайшему будущему, переполненному информацией и связанными с этим рисками, а также к новым информационным кризисам, которые могут прийти на смену финансовым.

Переход через условный рубеж 2000 года ознаменовал собой переход от индустриального века к информационному – поворотный момент в истории человечества, не осознанный еще в полной мере. Знаменитая «проблема» 2000 года и поднятая вокруг этого шумиха только обозначили этот переход и, хотя тема была в основном «раздута» и под это дело, так уж повелось, было «отмыто» немало «бабок», акцент поставлен правильный – благосостояние, а вероятно, и выживание будущих поколений постепенно окажется в зависимости от информационных технологий и связанных с ними рисков информационной безопасности.

В новом веке ситуация во всем мире начала изменяться еще быстрее, чем раньше: невиданные по своей дикости терракты, гибель крупнейших корпораций, невиданный доселе экономический кризис у лидеров мировой экономической системы США и Японии, который пока только усугубляется и тащит за собой к финансовому краху Европу и все остальные страны, интегрированнные в мировую финансовую систему.

Нью-Йоркская фондовая биржа с их Уолл Стритом и трейдерами, с выпученными глазами выкрикивающими котировки акций в переполненном зале, скоро станет анахронизмом и будет заменена электронными торговыми площадками и молодыми ребятами с ноутбуками, проворно перетаскивающими миллионы долларов между виртуальными счетами за считанные секунды, не отрываясь от кружки пива в любимом клубе, а может быть, лежа на диване, – совершенно неважно, в какой стране мира он в данный момент находится. В современном обществе тем, кто не успевает освоиться с информационными технологиями и адаптироваться к новым правилам игры, достается самая тяжелая и низкооплачиваемая работа.

Когда все более или менее значимые для людей процессы окажутся полностью компьютеризированными, а финансовые и информационные системы глобализированными (а это фактически уже почти что произошло в развитых странах), на первое место выйдут информационные риски. Министр информационной безопасности, возможно, станет не менее значимой для государства фигурой, нежели министр обороны или министр финансов. Этим «фантазиям» суждено сбыться, возможно, уже в грядущем десятилетии – раньше, чем многие успеют осознать, что же произошло.

Глобальный кризис мировой финансовой системы уже произошел, мировой информационной кризис еще впереди, и в ряде государств, осознающих неизбежность прихода такого кризиса, уже начинают появляться кресла Министров информационной безопасности. Их позиции в правительстве пока менее значимы, чем позиции Министра обороны, однако ситуация вполне может измениться после Глобального мирового информационного кризиса.

В США в начале своего президенства Барак Обама сразу учредил в своей администрации должность «Кибер-царя» («Cyber czar»), наделив его очень широкими полномочиями. Американский кибер-царь имеет статус советника Президента, входит в состав Совета Национальной Безопасности и подчиняется советнику по национальной безопасности и советнику Белого Дома по экономике. В его компетенцию входят все вопросы, касающие кибер-безопасности. После этого в правительстве США также была учреждена соответствующая должность. Министр обороны Роберт Гейтс объявил о создании Кибер-команды США (U.S. Cyber Command), которую возглавит директор Агентства Национальной Безопасности (NSA).

Затем правительство Великобритании объявило о своих планах по созданию Офиса по Кибер-безопасности (Office of Cyber Security), который будет действовать совместно с Операционным Центром по Кибер-безопасности (Cyber Security Operations Centre).

Кибер-цари — пока еще, конечно, не министры, однако им осталась всего одна ступень до этого почетного звания. Значит в недалеком будущем и в нашем правительстве появятся аналогичные структуры, т.к. мы не можем позволить себе серьезно отставать в области кибер-безопасности.

_____________________________________

• Новые правила игры в новом информационном веке.
• О чем эта книга?
• Существуют ли альтернативы управлению рисками?
• Почему управление рисками является самым важным вопросом информационной безопасности?
• Для кого написана эта книга?
• Общая структура изложения материала.

______________________________________

Эта книга опирается на сегодняшний опыт, но ее основная стратегическая задача – подготовить вас к восприятию новой реальности в значительной степени изменившегося мироустройства, которая наступит уже после глобального финансового кризиса, когда неожиданно для многих на смену финансовым проблемам придут проблемы информационные.

Александр, большое спасибо за книгу

В Киеве, правда, купить быстро не удалось, пришлось немного подождать. Книга нужная и полезная, добротно изданная, но есть несколько неприятных моментов:
1. ОЧЕНЬ много опечаток. Они не существенные, но в глаза бросаются, даже мне человеку далекому от филологии.
2. ИМХО необходим более строгий подход к терминологии, а так в рамках нескольких страниц, один и тот же термин может называться по-разному.

Книга хорошая и своевременная, а у нас так и, наверное, опережающая время ;-).
Хочу пожелать, поскорее приступить ко второй редакции (может быть, пропустив первое через «жернова» публичного обсуждения)

Владимир

Мне тоже книга понравилась

я как раз начала заниматься информационными рисками. Все просто, понятно. Но опечатки действительно очень бросаются в глаза.

Елена

Вторая редакция книги «Искусство управления информационными рисками» называется по другому и существенно превосходит первую редакцию по объему.

Теперь книга называется «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ как искусство управления рисками«. Необходимость смены вывести связана с тем, что в магазинах эту книгу нельзя было найти в разделе ЗАЩИТА ИНФОРМАЦИИ, а помещали ее куда угодно: в бизнес-литературу, стратегический и риск-менеджмент, экономические аспекты информатики и др.

В книгу внесено много добавлений и исправлений, в том числе:

1. Отныне речь идет о возможности реализации угрозы (theat likelihood), а не о вероятности (threat probability). Воспоминания о школьной теории вероятности не должны более вводить читателя в заблуждение при использовании формул количественной оценки риска.
2. В книге дается определение новой структуры данных под названием «профиль риска» и приводятся примеры профилей риска для различных типов организаций и информационных систем. Использование шаблонных профилей риска значительно упрощает процессы управления рисками в каждой конкретной организации и позволяет осуществлять стандартизацию данной области по схеме принятой в международной стандарте ISO 15408 (Общие критерии оценки безопасности информационных технологий).
3. В книге дается краткий обзор стандартов международных управления рисками общего назначения (ISO 31000, 31010), чтобы показать, что управления рисками ИБ осуществляется в общем контексте управления бизнес-рисками и основано на тех же самых общих принципах риск менеджмента.
4. В соответствии с международным стандартом ISO 31010 описываются 39 методов оценки риска (Дельфи, Монте-Карло, мозговой штурм и пр.), из которых 31 метод стандартизирован, а 8 — реально применяются на практике.
5. Интеграция риск-менеджмента в процессы управления организацией (стратегический менеджмент, управление изменениями, проектами, инцидентами, обучением и т.д.). Для наглядности добавлены схемы, иллюстрирующие взаимосвязи между этими процессами управления.
6. Признаки улучшенного менеджмента риска.
7. Дается методика измерения эффективности системы риск-менеджмента в соответствии со стандартом ISO 27004.
8. Также в книгу было внесено множество других дополнений и корректировок.

Эти добавления сначала были сделаны в блоге автора по адресу http://iso27000.ru/blogi/aleksandr-astahov, затем переносились в электронную редакцию книги http://анализ-риска.рф, а затем в печатную редакцию, которая выходит как на русском, так и на английском языках.

Эта книга поможет профессионалу систематизировать имеющиеся знания и перейти к созданию эффективной системы управления рисками, соответствующей потребностям его организации. Новичку же она даст базовый набор знаний, необходимый для того, чтобы обеспечить ему хороший старт в области управления рисками.

Управление информационными рисками – тема для многих неочевидная, значение которой в жизни общества неуклонно возрастает. В скором времени она может выйти на первый план, наряду с политическими, финансовыми и военными событиями. Поэтому политикам, бизнесменам, военным, руководителям всех уровней, а также всем специалистам, имеющим какое-либо отношение к информационным технологиям, важно подготовить свое сознание к восприятию новой реальности и решению невиданных ранее проблем, связанных с возрастанием угроз информационной безопасности.

Однако в первую очередь эта книга адресована специалистам по информационной безопасности, которых совсем недавно начали готовить в университетах в соответствии с «лучшими традициями» высшего образования, т.е. далеко от реальной жизни. Большая же часть практикующих специалистов по информационной безопасности пришло в эту область из информационных технологий, унаследовав технический взгляд на безопасность, соответствующий менталитет и самоощущение «чужого среди своих». И тем и другим предстоит пройти долгий путь с целью обретения гармонии в такой сложной области, как информационная безопасность.

Эта странная область деятельности, ассоциирующаяся в массовом сознании с хакерами и компьютерными вирусами, а в наше время еще и с утечками данных, находится на стыке информационных технологий, безопасности, общего менеджмента и психологии. Для успешного решения проблем информационной безопасности требуются нетрадиционные подходы, а также совмещение знаний и навыков из различных технических и гуманитарных областей, которые сложно совместить в одном человеке. А упираются все эти непростые вопросы в конечном счете в управление рисками.

Автор будет считать свою задачу выполненной, если его многолетний опыт, приобретенный в пока еще слабо защищенном от информационных угроз российском бизнесе, окажется полезен читателям и будет способствовать укреплению безопасности и стабильности общества, повышению эффективности менеджмента и просветлению в умах.

У просвещенного читателя эта книга, возможно, вызовет даже больше вопросов, нежели сможет дать ответов. Безусловно какие-то темы в ней остались раскрыты недостаточно глубоко. Не стоит питать иллюзий на этот счет. Нельзя объять необъятного. Не стоит упрекать автора в том, что он ответил не на все вопросы и раскрыл не все «профессиональные тайны». Тем более, что основной секрет управления рисками заключается в отсутствии каких-либо секретов. Вместо «профессиональных тайн» автор предлагает систематический подход, основанный на здравом смысле, международных стандартах и обобщении практического опыта, накопленного в этой сфере профессиональным сообществом.

Автор не ставил перед собой цели в рамках одной книги дать ответы на все вопросы, раз и навсегда решив все проблемы, возникающие при управлении рисками. Слишком сложна и многогранна эта тема для того, чтобы ее можно было так скоро исчерпать. Поэтому автор с благодарностью и вниманием воспримет любые конструктивные замечания и предложения по улучшению и дополнению сего труда, отправленные читателями на его электронный адрес: alexastahov@globaltrust.ru.

Книга Александра Астахова «Искусство управления информационными рисками» предоставляет читателям возможность познакомиться с основами управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве, сложности и нетривиальности задачи управления информационными рисками к простой и эффективной практике оценки, анализа и обработки рисков.

Любой специалист, занятый в сфере построения и управления системой менеджмента информационной безопасности, а также подготовкой ее к возможной сертификации (регистрации) на соответствие требованиями стандарта ISO 27001, сочтет эту книгу полезной и поучительной.

В книге читатель получит подробную инструкцию по организации процессного подхода управления рисками, найдет информацию об инструментах автоматизирующих этот процесс, освоит базовые определения и концепции, начиная с угроз и уязвимостей, и, заканчивая вопросами приемлемых уровней рисков, их обработки и принятия, превентивными и корректирующими действиями.

Последовательное изложение, формат, обеспечивающий легкое и интересное чтение, практический опыт автора и система взглядов, изложенная в международных стандартах серии ISO 2700х, все это позволяет надеяться, что книга может служить хорошим инструментом в повседневной работе специалистов, управляющих рисками информационной безопасности.

Александр Невский, CISA, CISSP

Начальник управления информационной безопасности

КБ «Ренессанс Капитал» (ООО)