Выбранная методология оценки рисков должна обеспечивать формирование экономически обоснованной системы механизмов контроля информационной безопасности, описанных в стандарте ISO 27002 и других источниках.
Следует реализовать полный цикл управления рисками в соответствии с требованиями стандарта BS 7799-3, определяющего процессную модель СУИР, а также обеспечить управление документами и записями в рамках СУИР в соответствии с принятыми в организации процедурами.
BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действие (ПРПД). В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления информационными рисками.
В СУИР на этапе планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.
На этапе реализациипроизводится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно изчетырех решений по каждому идентифицированному риску: принять, избежать, передать внешней стороне либо уменьшить. После этого разрабатывается и внедряется план обработки рисков.
На этапе проверкиотслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.
На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.
В соответствии с требованиями международного стандарта ISO 27001 оценка рисков должна регулярно проводиться для всех информационных активов организации. Ценность информационного актива определяется степенью его влияния на бизнес-процессы организации. Поэтому первоначально потребуется составить список всех бизнес-процессов и участвующих в них активов и проранжировать их по степени критичности.
После этого необходимо разработать план оценки рисков для каждого бизнес-процесса и для каждого информационного актива (группы активов), участвующих в этих бизнес-процессах, на ближайший год. Начинать оценку следует с наиболее критичных активов и процессов.
После завершения документирования СУИРнеобходимо определить первоначальную область оценки рисков, которая будет являться подмножеством области действия СУИБ вашей организации. Не следует сразу браться за оценку всех возможных рисков для всех информационных активов, находящихся в области действия СУИБ. Вместо этого рекомендуется выбрать несколько наиболее критичных активов для реализации пилотного проекта по оценке рисков.
В ходе реализации пилотного проекта отдельные аспекты методологии оценки рисков должны быть доработаны и приспособлены к особенностям организации.
Вторая редакция методологии оценки рисков, разработанная по результатам выполнения пилотного проекта, должна быть согласована и утверждена на совещании экспертной группы. На этом этапе может быть принято решение о необходимости использования специализированного программного инструментария для оценки и управления рисками. При выборе такого инструментария следует руководствоваться рекомендациями стандарта BS 7799-3, а также следующими соображениями:
Инструментарий для оценки рисков должен реализовывать полноценную методологию оценки рисков в соответствии с требованиями ISO 27001 и BS 7799-3, включая подготовку реестра информационных рисков, декларации о применимости механизмов контроля, проведение анализа расхождений, разработку плана обработки рисков.
Используемая модель активов не должна ограничиваться только информационными активами, а также должна учитывать кадровые ресурсы, процессы, технические и программные средства.
Должны учитываться как технические, так и организационные уязвимости, как логические, так и физические угрозы.
Должна иметься возможность определения собственных видов активов, угроз и уязвимостей, а также форматов отчетных документов, т.е. инструмент должен быть кастомизируемым.
Должна иметься возможность сравнения между собой результатов оценки рисков.
В случае использования специализированного программного инструментария для оценки рисков, необходимо внести соответствующие изменения в методологию оценки рисков, чтобы привести ее в соответствие с выбранным инструментарием.
Все члены экспертной группы должны пройти предварительное обучение по следующим направлениям:
международные стандарты в области управления информационной безопасностью и рисками (серия ISO 27000);
методологии оценки рисков информационной безопасности (подойдет любой из популярных методов CRAMM, OCTAVE, RA2, RiskWatch и т.п., а также курсы, не привязанные к конкретной методологии).
Для эксперта по оценке рисков необходимо более глубокое изучение методической базы, а также навыки работы с одним из программных инструментариев для оценки рисков.
GlobalTrust предлагает соответствующую программу учебных курсов, семинаров и мастер-классов, предоставляющих необходимые знания и практические навыки по следующим направлениям:
аудит информационной безопасности;
управление рисками информационной безопасности;
внедрение системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO 27001
ликбез для членов управляющего комитета по информационной безопасности.
Кроме этого, в Москве функционирует ряд учебных центров, в которых можно пройти подготовку в области управления информационной безопасностью и рисками, в том числе и с привлечением зарубежных тренеров.
Для внедрения СУИР необходимо сформировать постоянно действующую экспертную группу, в состав которой в обязательном порядке должны входить представители подразделений информационной безопасности, ИТ и бизнес-подразделений. Численность экспертной группы может составлять от 3 до 7 человек, в зависимости от размера организации. Типовой состав экспертной группы: риск-менеджер, менеджер информационной безопасности, эксперт по оценке рисков, эксперт по информационной безопасности, ИТ менеджер или главный системный администратор, менеджеры бизнес-подразделений (производственного отдела, отдела продаж и т.п.). По мере необходимости к работе экспертной группы могут привлекаться сотрудники любых подразделений организации.
Должен быть назначен куратор со стороны высшего руководства. Функции куратора может выполнять один из заместителей генерального директора, вице-президент, руководитель службы безопасности или один из членов правления.
В соответствии с регламентом ведения проектов, принятым в организации, необходимо инициировать и документально оформить внутренний проект внедрения СУИР.
Внедрение СУИР осуществляется не на пустом месте. Помимо документов, продуктов и методологий, в организации должны существовать определенные предпосылки в виде осознания руководством необходимости в осуществлении систематического и планомерного контроля информационных рисков. Также быть созданы определенные начальные условия, которые включают в себя следующее:
Первоисточники. Лицензионный сборник стандартов в области управления информационной безопасностью на русском языке KIT 20 RU включает в себя следующие стандарты: BS ISO/IEC 27001:2005 RU, BS ISO/IEC 27002:2005 RU, BS 7799-3:2006 RU и ISO/IEC 27005:2008 RU (см. Приложение № 12).
Политика безопасности.В организации должна быть принятая политика информационной безопасности высокого уровня, определяющая базовые требования по управлению информационными рисками. Требования, предъявляемые к политике безопасности организации, определяются в разделе 4.2.1 b) стандарта ISO 27001 и в разделе 5.1.1 стандарта ISO 27002 (ISO 17799).
Политика аудита.В организации должен быть проведен внешний и/или внутренний аудит информационной безопасности, а также документально оформлены политика и процедура внутреннего аудита. Без проведения комплексного аудита информационной безопасности невозможно провести оценку рисков.
Политика инвентаризации активов.В организации должна быть принята политика инвентаризации информационных активов, в соответствии с которой осуществляется идентификация активов и разрабатывается реестр активов.
Организационная структура.В организации должна существовать организационная структура для управления информационной безопасностью, предполагающая наличие менеджера информационной безопасности, отдела информационной безопасности и управляющего комитета по информационной безопасности. Соответствующие функциональные роли, ответственность и полномочия должны быть закреплены в официально утвержденных положениях об отделе (комитете), а также в должностных инструкциях. Основные правила организации информационной безопасности приведены в разделе 2 стандарта ISO 27002.
Документирование СУИР– непростая задача. Каждой организации придется разработать собственный комплект документации, отражающей структуру организации, а также ее подходы к оценке и управлению рисками. Для этих целей можно воспользоваться существующими методологиями и готовыми комплектами документов (см. Приложение № 11). Это поможет сэкономить массу времени, однако останется еще много работы.
Опасность, связанная с использованием готовых шаблонов, заключается в том, что это может лишить организацию истинного понимания того, что она делает. Так часто происходит, когда берутся на вооружение чужие наработки без учета собственного опыта.
Любые комплекты документов, впрочем как и любые продукты в области управления рисками, не являются исчерпывающими и в одинаковой степени применимыми ко всем организациям. Их состав и содержание могут меняться в зависимости от конкретных особенностей и потребностей организации.
При заполнении форм и таблиц оценки факторов риска организация должна стараться формулировать собственные правила, исходные данные и результаты как можно точнее, с привязкой к конкретным активам, сервисам, площадкам, людям, уязвимостям и т.п. Следует избегать общих фраз и выражений, заменяя их более конкретными формулировками и письменными пояснениями, чтобы все заинтересованные лица имели возможность разобраться в результатах проведенной оценки рисков и, при желании, проверить полученные выводы.
Процесс внедрения СУИР следует начинать с внимательного изучения проектов документов и их обсуждения на совещании членов экспертной группы.
По результатам первоначального обсуждения должен быть сформирован подробный перечень замечаний и необходимых доработок. Доработка документов должна производиться экспертом по оценке рисков, риск-менеджером, менеджером по информационной безопасности либо совместными усилиями членов экспертной группы.
На следующем совещании экспертной группы должна быть согласована и утверждена первая редакция Политики управления рисками и Методологии оценки рисков со всеми приложениями.
Разработанная экспертной группой Политика управления рисками должна быть утверждена Управляющим комитетом по информационной безопасности в качестве одного из основополагающих внутренних нормативных документов организации и введена в действие приказом руководителя организации.
Услышав что-то, вы вскоре забудете об этом.Увидев что-то, вы будете помнить об этом.Но до тех пор пока вы не сделаете что-то сами, вы не постигнете этого.
Китайская поговорка
Мы надеемся, что эта книга вооружила вас базовыми знаниями, которые пригодятся для реалистичной оценки и контроля рисков. Однако многие организации заходят в тупик на пути внедрения СУИР не только из-за того, что им не хватает собственного опыта и квалификации.
Сложность внедрения СУИР обусловлена также тем, что приходится изменять сложившуюся систему управления изнутри, а любые системы стремятся к стабильности и сохранению своего прежнего состояния. Поэтому выглядит вполне оправданным внешнее воздействие на систему путем использования консультантов. Опытные и квалифицированные консультанты способны не только разработать документы, помочь с внедрением процессов и обучением, но также и подтолкнуть руководство организации к рассмотрению и принятию решений по рискам.
В заключении дадим несколько практических советов, которые помогут избежать характерных ошибок, допускаемых при внедрении СУИР.
Примером современного программного продукта поддержки жизненного цикла СУИБ, реализующего не только управление рисками, но и другие жизненно важные процессы управления информационной безопасностью, может служить система Proteus, разрабатываемая британской компанией InfoGov.
Proteus– мощная система для поддержки процессов СУИБ, включающая в себя средства контроля соответствия (гэп-анализа), оценки влияния на бизнес, оценки рисков, управления непрерывностью бизнеса, управления инцидентами, управления активами и организационными ролями, а также репозитарий политик и средства планирования.
Движок контроля соответствия (Compliance engine) поддерживает любые стандарты (международные, отраслевые и корпоративные) и поставляется вместе с набором шаблонов-опросников. Система масштабируется от однопользовательской версии до многопользовательской, позволяющей управлять информационной безопасностью в крупнейших международных корпорациях. Все действия, производимые в системе, регистрируются в журнале аудита.
Система позволяет проводить онлайн-аудиты во внутренних подразделениях организации и у ее внешних поставщиков. Обеспечена поддержка большого количества стандартов, включая BSISO/IEC27001, BSISO/IEC17799, PCI, ISFSOGP, NISTCombinedCode, SarbanesOxley, GLB, DataProtectionAct, FreedomofInformationAct, Caldicott, BaselII, BS25999, CivilContingencyBill. Реализовано совместное использование данных между процессами анализа влияния на бизнес и оценки рисков.
Специальный модуль программы Proteus RiskView представляет информацию о корпоративном управлении, соответствии требованиями рисках для руководства организации в реальном времени в графической форме. Система содержит мощные средства создания отчетов на основе программного инструментария Business Objects.
Более подробную информацию о линейке продуктов Proteus можно найти на сайте разработчика по адресу: www.infogov.co.uk.
Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки программных продуктов для анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS 7799 и ISO 17799. Callio Secura 17799 представляет собой комплексную систему для разработки, внедрения, эксплуатации и сертификации Системы управления информационной безопасностью (СУИБ) на основе стандарта BS 7799.
Также разработчик предлагает инструментальный комплект Callio Toolkit Pro 17799, который представляет собой серию документов и утилит, объединенных с целью помочь в понимании стандарта и приведении СУИБ в соответствие с его базовыми требованиями.
Callio Secura 17799 предоставляет следующие основные возможности:
оценку соответствия стандарту ISO 17799;
инвентаризацию активов;
описание структуры и процессов СУИБ;
оценку и обработку рисков;
разработку планов внедрения механизмов контроля;
шаблоны политик безопасности (свыше 50 примеров);
управление документами;
управление опросными листами;
оценку готовности к сертификации СУИБ по требованиям международного стандарта ISO 27001.
Процесс управления рисками по Callio состоит из двух этапов.
На первом этапепроизводится идентификация активов, угроз, уязвимостей и требований безопасности, оценивается величина уязвимостей, вероятность угроз и ценность активов. На основании этих данных вычисляются значения рисков.
На втором этапепринимается решение относительно способов обработки рисков, приемлемого уровня остаточных рисков, разрабатывается план обработки рисков, производится внедрение механизмов контроля и разработка политик безопасности и других организационно-распорядительных документов.
Callio Secura 17799 предоставляет Web-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ – рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система реализует рабочий процесс (workflow), который используется при внедрении СУИБ и подготовке к сертификации.
Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (gap analysis).
На следующем этапе производится оценка рисков. Процесс оценки рисков начинается с инвентаризации активов. Он включает в себя идентификацию и категорирование ресурсов, составление перечня сведений ограниченного распространения и реестра информационных активов.
Далее для каждого актива оценивается его ценность для организации, которая определяется ущербом в результате нарушения его конфиденциальности, целостности, доступности или невыполнения требований при осуществлении угроз безопасности.
Идентификация рисков предполагает установку взаимосвязей между активами, уязвимостями и угрозами безопасности. Эта задача была бы очень непростой, т.к. для обычной организации таких взаимосвязей насчитывается несколько тысяч. Используемый инструментарий облегчает нам эту задачу, предлагая установки по умолчанию.
Далее для вычисления рисков определяются вероятности реализации угроз. Для каждой угрозы указывается вид ущерба.
Базируясь на информации о ценности активов и вероятности угроз, система автоматически вычисляет значения рисков и производит их упорядочивание по приоритетам.
Когда оценка рисков завершена, можно переходить к выбору и внедрению механизмов контроля, необходимых для минимизации рисков. CallioSecuraна основании результатов оценки рисков автоматически формирует набор рекомендуемых механизмов контроля из числа описанных в стандарте. Для каждого механизма контроля проставляется его текущий статус.
По завершении этого этапа формируется план создания СУИБ. После этого можно переходить к разработке и внедрению политик безопасности.
Для разработка политик безопасности используются шаблоны типовых документов. Базируясь на результатах анализа рисков, система автоматически формирует набор необходимых шаблонов. Готовые политики экспортируются в модуль управления документами, который позволяет производить их ревизию, согласование и публикацию на Web-портале.
Всего имеется более 100 различных документов, которые используются при реализации механизмов контроля СУИБ. Если предложенных системой шаблонов недостаточно, мы можем выбрать дополнительные документы и экспортировать их в модуль управления документами.
После того как создание СУИБ завершено – люди обучены, политики разработаны и внедрены, а функционирование механизмов контроля подтверждается документированными свидетельствами, – производится диагностика СУИБ с целью определения степени ее готовности к сертификации. Для этого используются специальный опросник и сопроводительные инструкции, предоставляемые системой.
Декларация о применимости является последним разрабатываемым документом и обязательным условием для сертификации. В нем для каждого механизма контроля, описанного в стандарте, указывается его применимость, текущий статус, степень реализации и обоснование его использования. Это первый документ, который изучается аудиторами во время сертификации.
В составе системы есть специальный модуль управления документами, который позволяет хранить все документы, имеющие отношение к функционированию СУИБ в центральной базе данных, публиковать и управлять доступом к этим документам для различных рабочих групп через веб-интерфейс. При помощи этого инструмента выполняются такие необходимые задачи, как согласование и утверждение документов, а также контроль версий.
Callio Secura 17799 служит примером системы, которая объединяет функции управления рисками с функциями поддержки других процессов жизненного цикла СУИБ, таких как управление документами, контроль соответствия требованиям стандарта ISO 17799 и предсертификационный аудит СУИБ.