Особенности интервьюирования бизнес-пользователей

Ребенок подходит к отцу и говорит: «Папа-а, а че это? Я яблоко откусил, а оно полежало и стало из белого желтым.»
Папа: Понимаешь, сынок, любое яблоко содержит элементы железа. Когда они вступают во взаимодействие с молекулами кислорода, то происходит процесс, известный в неорганической химии как процесс окисления. Этот процесс и вызывает изменение окраски любого железосодержащего вещества…
Сын: Папа-а, а ты сейчас с кем разговаривал?!

Анекдот

Грамотное проведение интервью с представителями бизнес-подразделений – задача весьма нетривиальная, требующая определенного опыта, знаний и правильного подхода. Стратегической ошибкой было бы поручать эту задачу человеку плохо подготовленному, да еще и не обладающему представительской внешностью, например студенту-практиканту.

Беседу с представителями бизнеса следует строить на понятном этим представителям языке, не забывая о том, что некоторые не искушенные в информационных технологиях сотрудники организации могут искренне считать, что вирусы и трояны проникают в компьютер через вентиляционные отверстия в системном блоке, вернее, в той пожелтевшей белой коробке, которая стоит у них под столом и называется компьютером (некоторые пользователи называют эту коробку процессором). Таким сотрудникам может быть непонятна терминология и сущность проблем, решаемых ИБ.

_____________________________________

Курьезные вопросы, получаемые группой технической поддержки Panda Security и лабораторией PandaLabs

1. Вирусы, инфицирующие физические компоненты ПК

Несколько месяцев назад инженеры PandaLabs получили загадочную коробку, отправленную одним из клиентов Panda в Германии. В коробке обнаружилось письмо на чистейшем немецком со следующим содержанием: “Уважаемые господа, я являюсь вашим клиентом. Убедившись, что самостоятельно не могу дезинфицировать компьютерный DVD-привод, я извлек его и отправляю вам для чистки и последующего возвращения мне. Искренне ваш”. В коробке лежал пустой DVD-привод.

2. Антивирусы, вышибающие электрические пробки

Вот письмо одного из наших клиентов: “Здравствуйте. На протяжении некоторого времени у меня были неисправны пробки, и до тех пор, пока энергоснабжение не было восстановлено, я оставался без электричества (света, холодильника и других электроприборов). Я кое-что проверил и пришел к выводу, что причиной может быть мой антивирус “Panda Titanium”, которым я очень доволен. Я думаю, что антивирус вышиб пробки при попытке скачать обновления в то время, когда компьютер был выключен. Это могло послужить причиной?”.

3. Говорящие вирусы

Уважаемые господа, я связался с вами благодаря вирусу, который попал на мой компьютер. Номер инцидента – *********. Я посылаю Вам страничку блокнота с запиской, оставленной вирусом для меня. Он сказал мне, что вирусов нет, но есть какая-то неполадка в моем компьютере, возможно, что-то с памятью. В общем, для меня сложно точно передать, но вирус сказал, что никакой антивирус не в силах уничтожить его. Приложением я отправляю сообщение, которое прислал мне вирус”. В приложении оказался очень длинный текстовой файл на испанском.

Это очевидно, что вирусы ведут себя нахально и прячутся в самых неожиданных местах. Вот еще пример: “Мой компьютер неделю назад заразился вирусом. Используя акустические колонки, вирус сказал: “Ты – дурак”. У меня нет биоса, у меня нет ничего, кроме материнской платы (Asus k8v Deluxe) и микрофона (AMD 64-bit), оперативной памяти и графической памяти. Он постоянно повторяет одни и те же слова: “Ты – дурак”. Я заменил биос, но это не помогло. Мне показалось, что я знаю, где искать этот вирус: он находится на чипе в 1MB на материнской плате (w55f10b). Я не могу перепрограммировать ее, так как внутри находится целых 3 чипа (один из них – аудиочип). Я купил другую материнскую плату, точно такую же, как моя старая, установил ее, еще установил микрофон, оперативную память и графическую плату. Я был в шоке, когда выяснилось, что слова продолжали повторяться.»

4. «Претадионы» Windows отключают антивирус

Мы не могли поверить своим глазам, когда клиент прислал нам следующий вопрос: “Антивирус становится неактивным, когда Windows запускает претадионы. Должен ли я закрывать panda antivirus, когда Windows закрыт?”

5. Вирусы, которые издают звуки

По информации, полученной от наших клиентов, вирусы и антивирусы издают различные звуки. “Три дня назад, когда я отправлял факс со своего ПК, я услышал звук, который, как я догадался, издавал вирус (звук напоминает вытягивание ботинка из желе). С помощью антивируса я несколько раз просканировал свой ПК, но ничего не обнаружил, вирус до сих пор не уничтожен”.

Уже на протяжении некоторого времени у меня не получается заставить работать мой ActiveScan Pro. Я ввожу имя пользователя и пароль, но единственное, что происходит, – «пукание» (простите за выражение)”.

Эта информация была опубликована представителями компании Panda Security в антологии компьютерного юмора на портале ISO27000.ru.

____________________________________________

Нелепо звучит обращенный к бухгалтеру (и к любому другому нормальному человеку) вопрос: «Сколько стоит ваша информация?». Более конкретный вопрос: «Какой ущерб будет нанесен вашей организации в случае нарушения конфиденциальности такой-то информации?» тоже вряд ли может быть правильно истолкован, поскольку такие близкие любому безопаснику понятия, как конфиденциальность, целостность и доступность, мало что значат для обычного человека. Вопрос же относительно «нарушения целостности информации» способен поставить в тупик не только бизнес-пользователя, но даже специалиста.

Вместо понятия «конфиденциальность» лучше в ходе интервью использовать понятие «слив информации», несущее определенную эмоциональную окраску и намекающее на конкретный класс инцидентов. Вместо «целостности» лучше вести речь о подделке документов, ошибках и опечатках, обрисовывая соответствующие сценарии возможных инцидентов и их последствия для организации и лично для интервьюируемого.

Еще более порочной практикой является засылка представителям заказчика (или бизнес-подразделений организации) опросных листов в надежде на то, что они их заполнят самостоятельно. Большинство опросных листов предназначается для заполнения самим аудитором или экспертом по оценке рисков по результатам общения с интервьюируемыми.

_____________________________________

Вспоминается эпизод с разработкой концепции информационной безопасности в одном крупном государственном учреждении. Наши предшественники засылали в это учреждение свои опросные листы и, так и не получив ответа, сворачивали свои усилия, пеняя на бестолковость заказчика. Когда мы пришли к этому заказчику для проведения интервью, то сначала с их стороны ощущалась явная настороженность и скептическое отношение. Только спустя три часа, в течение которых мы уточнили все наиболее существенные детали, пообщавшись с представителями различных подразделений, лед начал оттаивать. По словам начальника ИТ отдела, за последние три года им уже четвертый раз эту концепцию пишут, но с ними пока еще никто не обсуждал вопросы организации их ИТ инфраструктуры. После этого стало понятно, чем был обусловлен первоначальный скепсис.

___________________________________________

Результаты интервьюирования должны быть зафиксированы в письменной форме и согласованы с опрашиваемым. На заполненном опросном листе должны стоять ФИО, должность, время проведения интервью и подпись интервьюируемого. На основе данной информации руководству организации предстоит принимать важные для бизнеса решения. Получение подписи интервьюируемого на опросном листе существенно повышает степень его ответственности за предоставляемую информацию.

Таблица ценности активов

Результаты оценки ущерба сводятся в таблицу ценности активов. В «Примечаниях» надо подробно описывать, в чем будет заключаться ущерб и почему он оценивается именно таким образом. Это позволит обеспечить воспроизводимость результатов и предоставить обоснование оценки рисков для руководства организации и владельцев бизнеса.

Заполнение таблицы ценности активов производится экспертом по оценке рисков в ходе интервьюирования владельцев и пользователей активов, которым предлагается рассмотреть различные сценарии инцидентов, в ходе которых (на данной стадии неважно, по каким причинам) нарушается конфиденциальность, целостность или доступность актива. Описание сценариев инцидентов, даваемое экспертом, должно быть как можно более реалистичным и вызывать у интервьюируемых определенные параллели с реальной жизнью и деятельностью их организации. Это даст им возможность высказывать авторитетные суждения о видах и размерах возможного ущерба для организации. Для повышения объективности оценок, даваемых представителями бизнеса, следует проводить опрос нескольких человек из различных уровней иерархии и структурных подразделений организации. Интервьюируемые представители бизнеса должны иметь достаточный опыт работы и быть экспертами в своей предметной области.

Критерии оценки ущерба

Ценность информационных активов определяется величиной прямого или косвенного ущерба, причиняемого бизнесу в результате инцидентов безопасности, связанных с раскрытием, несанкционированной модификацией, временной недоступностью или разрушением активов. Последствия таких инцидентов могут выражаться в упущенной выгоде, потере конкурентных преимуществ, ухудшении имиджа организации, причинении вреда интересам третьей стороны, штрафах, прямых финансовых убытках или дезорганизации деятельности. Для каждого актива следует рассматривать наихудший сценарий развития событий.

Для оценки возможного ущерба в результате осуществления угроз в отношении активов могут использоваться следующие критерии:

  • У1 – ущерб коммерческим интересам партнеров и третьих лиц;
  • У2 – санкции со стороны правоохранительных и регулирующих органов (штрафы, административная и уголовная ответственность);
  • У3 – ущерб коммерческим интересам организации;
  • У4 – финансовые потери;
  • У5 – ущерб репутации организации;
  • У6 – дезорганизация деятельности, ухудшение морального климата в коллективе, снижение эффективности работы.

Для оценки величины возможного ущерба может использоваться пятибалльная качественная шкала, показанная на рисунке.

Здесь 0 – минимально возможный (незначительный) ущерб, 4 – максимальный ущерб (разрушительные последствия для организации). Оценка ущерба дается для каждого свойства актива (конфиденциальности, целостности и доступности) независимо.

Для того чтобы оценка ценности активов имела экономический смысл, качественная шкала оценки ущерба должна соотносится с размером прямых финансовых потерь. Возможная шкала оценки прямого финансового ущерба и ущерба коммерческим интересам организации может выглядеть, например, как показано в следующей таблице. Эта таблица сопоставляет качественным уровням оценки ущерба определенные диапазоны количественных значений ущерба, выраженных в денежных единицах. Эти количественные значения могут носить переменный характер и определяться в процентах от выручки организации.

Критерии оценки ущерба для разных организаций могут существенным образом различаться. Они определяются областью, характером и масштабами деятельности организации, политикой руководства, формой собственности и рядом других факторов.

После идентификации активов, требований безопасности, определения критериев и шкал оценки ущерба можно переходить к заполнению таблицы ценности активов.

Определение ценности активов

Идентификация и определение ценности активов, исходя из потребностей бизнеса организации, являются основными факторами в оценке риска. Для того чтобы определить требуемый уровень защиты активов, необходимо оценить их ценность с точки зрения важности этих активов для бизнеса. Важно учитывать идентифицированные законодательные требования, требования бизнеса и контрактных обязательств, а также последствия нарушения конфиденциальности, целостности и доступности этих активов.

____________________________________________

Этапы определения ценности активов:

  • Определение шкалы ценности активов.
  • Определение критериев оценки ущерба.
  • Получение исходных данных для оценки от владельцев и пользователей активов.
  • Определение последствий для бизнеса в результате нарушения конфиденциальности, целостности и доступности актива.
  • Определение ценности актива отдельно для каждого из трех свойств.

_____________________________________

Исходные данные для определения ценности активов могут быть предоставлены владельцами и пользователями этих активов, которые способны авторитетно рассуждать о ценности конкретной информации для организации, а также о том, каким образом активы используются для осуществления бизнес-процессов и какую роль в достижении целей бизнеса они играют. Для того чтобы единообразно определять ценность активов, должна быть определена соответствующая шкала ценности активов.

Для каждого из свойств актива, таких как конфиденциальность, целостность или доступность, должно быть определено отдельное значение ценности, так как эти значения являются независимыми и могут варьироваться для каждого из активов.

Согласно ISO 27002 (раздел 7.2) информация и другие активы организации должны быть классифицированы в соответствии с идентифицированной ценностью активов, законодательными и бизнес-требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца актива.

________________________________________

Классификация последствий нарушения безопасности активов:

  • Последствия угроз:
  • К – нарушение конфиденциальности;
  • Ц – нарушение целостности;
  • Д – нарушение доступности.
  • Последствия нарушения требований:
  • Т1 – нарушение требований бизнеса;
  • Т2 – нарушение контрактных обязательств;
  • Т3 – нарушение законодательства.

______________________________________

Что касается активов, не относящихся к категории информационных (помещения, оборудование, носители информации, кадровые ресурсы и прочие материальные активы), то определение собственной ценности этих активов (без учета их влияния на соответствующие информационные активы) при анализе информационных рисков является необязательным, т.к. множество рассматриваемых нами рисков охватывает только информационные активы. Другими словами, при выходе из строя сервера рассматривается ущерб, связанный с недоступностью и необходимостью затрат на восстановление связанных с этим сервером информационных активов, при этом стоимость замены или ремонта самого сервера может и не учитываться. Такой подход позволяет упростить оценку рисков без ущерба для ее объективности.

В большинстве случаев критичность программного обеспечения оценивается так же, как и для технических средств, в терминах его восстановления или замены. В этом случае необходимо оценить лишь финансовые потери от его разрушения. Однако в некоторых случаях программное обеспечение может иметь собственную ценность, заключающуюся, например, в обеспечении конфиденциальности и целостности исходных текстов программ, представлять собой объект интеллектуальной собственности и относиться к категории коммерческой тайны. В этих случаях критичность программного обеспечения оценивается так же, как и для информационных активов.

Вычисление суммарной ценности активов производится с учетом взаимосвязей между различными видами активов. Суммарная ценность физических активов определяется собственной ценностью, а также ценностью связанных с ними информационных активов и программного обеспечения. Суммарная ценность программного обеспечения определяется собственной ценностью, а также ценностью связанных с ним информационных активов.

Суммарная ценность каждого отдельно взятого актива может быть представлена матрицей ценности актива, где по вертикали указываются последствия воздействия угроз на актив, по горизонтали – категория требований, которые при этом нарушаются, а на пересечении – качественное либо количественное значение ценности актива.

Для заполнения данной матрицы, необходимо определить качественную шкалу ценности активов и критерии оценки ущерба.

Требования бизнеса

Для каждого бизнес-процесса совместно с его владельцем должны быть идентифицированы и документированы связанные с ним бизнес-требования к информационной безопасности, которые организация разработала для поддержки своих деловых операций и процессов и которые применяются к информационным системам и активам организации. Это могут быть временные ориентиры, такие как время оформления заказа, время доставки товара и т.п., а также требования по качеству предоставляемых услуг или по точности информации.

Требования безопасности для многих бизнес-процессов могут быть еще не определены на этапе первоначальной оценки рисков, ведь конечной целью такой оценки как раз и является определение этих требований. Поэтому не стоит смущаться, если на данном этапе реестр бизнес-требований к безопасности останется полупустым. Он будет заполнен в дальнейшем по результатам оценки рисков.

Контрактные обязательства

Наряду с нормативными требованиями следует также проанализировать контрактные обязательства организации, выраженные в договорах с поставщиками, дилерами, разработчиками, партнерами, клиентами и другими внешними сторонами. Эти договора анализируются на предмет наличия обязательств по соблюдению авторских прав и лицензионных соглашений, соглашений о конфиденциальности, компенсации материального ущерба и т.п.

Соглашения и договора с внешними сторонами могут накладывать на организацию любые обязанности и ответственность за обеспечение защиты информации третьих сторон, включая соблюдение политики безопасности внешних сторон, требований по обеспечению физической защиты оборудования и помещений, реализации мероприятий по защите от вредоносного ПО, разграничения доступа к совместно используемым ресурсам, повышению осведомленности сотрудников и т.п.

Внешние стороны оказывают очень значительное влияние на информационные риски, с которыми сталкивается организация, поэтому все соглашения и договора с внешними сторонами должны подвергаться тщательному анализу со стороны эксперта по оценке рисков совместно с юристами организации. Требования внешних сторон должны отражаться в общем реестре требований безопасности.

Требования законодательства и нормативной базы

Незнание закона не освобождает от ответственности.
А вот знание нередко освобождает.

Станислав Ежи Лец, польский писатель

Организации все чаще сталкиваются с необходимостью обеспечения соответствия широкому диапазону законодательных и нормативных требований, оказывающих влияние на их процессы управления информацией. Требования законодательной и нормативной базы настолько разнообразны, что мы могли бы посвятить этой теме целую главу, если бы это не уводило нас немного в сторону от основной темы. Требования эти так важны для организаций, особенно для государственных, что порой складывается впечатление, будто вся деятельность специалистов, отвечающих за безопасность этих организаций сводится к удовлетворению требований ФСТЭК, ФСБ, Министерства обороны и Банка России в области защиты информации, что выражается в прохождении проверок и получении от этих организаций соответствующих документов подтверждающих соответствие. Такие специалисты либо считают, что основная опасность для их бизнеса исходит именно от государства и заключается в возможности применения в отношении них определенных санкций, либо они уверенны что кто-то «наверху» уже оценил все риски информационной безопасности и подготовил для них универсальные рецепты в виде нормативных документов, следование которым обеспечивает достаточную защиту. Как бы наивно ни выглядели подобные рассуждения, они достаточно широко распространены, судя потому, что преобладающая часть российского рынка информационной безопасности «не выходит за рамки» нормативных требований, посвящая себя обеспечению соответствия этим требованиям не в дополнение, а вместо управления рисками.

Для того чтобы разобраться с непрерывно возрастающим количеством законодательных и нормативных инструментов регулирования, требуется определенная структуризация.

Для государства существует довольно много побудительных причин регулирования сферы информационной безопасности:

Национальная безопасность. Забота о национальной безопасности вызвана возрастанием угрозы глобального терроризма и кибертерроризма.

Обеспечение защиты государственных тайн и государственных интересов в информационной сфере.

Корпоративное управление. Государственное законодательное регулирование в сфере корпоративного управления является результатом резких провалов в области корпоративного управления, предоставления компаниями недостоверной информации о своей деятельности инвесторам, аналитикам, рейтинговым агентствам и государству.

Электронная коммерция. Регулирование в сфере электронной коммерции является результатом необходимости установления доверия к онлайновой торговле в Интернет.

Защита персональных данных. Необходимость обеспечения безопасности персональных данных является результатом очевидных упущений в области корпоративной безопасности, которые порождают утечки персональных данных.

Защита интеллектуальной собственности. Для нормального развития экономики, особенно инновационной, необходимо обеспечить защиту авторских и патентных прав, «ноу хау» и других объектов интеллектуальной собственности.

Гражданская и уголовная законодательная база, необходимая для борьбы с преступлениями в информационной сфере.

Нормативная база, специфичная для конкретного сектора (отрасли) экономики, например, электроэнергетики, газовой отрасли и т.п.

Помимо перечисленного, другими побудительными причинами могут выступать охрана здоровья и обеспечение безопасности личности, забота о сотрудниках и клиентах, являющихся инвалидами, необходимость защиты государственных налоговых сборов, необходимость исключения дискриминации на работе и т.п.

Такое законодательство и нормативная база предназначены для того, чтобы гарантировать, что организации внедряют эффективные механизмы контроля и аудита потоков информации (персональной, финансовой и операционной). Большинство законодательных и нормативных актов рассматривают оценку рисков в качестве важного элемента этих эффективных механизмов контроля.

Не все из перечисленного в настоящее время имеет отношение к России, однако мы посмотрим на законодательство немного шире, т.к. новые нормативные акты, внедряемые на Западе, постепенно доходят и до России, хотя и в несколько искаженном виде.

Действующее информационное законодательство Российской Федерации представлено целым блоком нормативно-правовых актов самого различного уровня, начиная с Конституции, Гражданского, Уголовного и Административного кодекса РФ и заканчивая узкоспециализированными, фундаментальными источниками, регулирующими вопросы защиты информации, к которым относятся законы РФ «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», Закон о коммерческой тайне, Законы о персональных данных и о служебной информации. Перечень законодательных и нормативных актов РФ в области защиты информации приведен в Приложении № 9.

Остановимся на перечисленных группах законодательных актов более подробно, используя в качестве примеров законодательные базы Европы и Северной Америки, как наиболее развитые, а также российское законодательство, как наиболее нам близкое.

Национальная безопасность

Меры по обеспечению национальной безопасности направлены на защиту от угроз в отношении критической национальной инфраструктуры, исходящих из таких источников, как террористы, кибер-атаки и кибер-шпионаж, спонсируемые на государственном уровне, а также катастрофы техногенного, антропогенного или природного происхождения.

Европейские меры в этой области имеют тенденцию к тому, чтобы, по возможности, не использовать законодательных инструментов. Большинство правительств имеют агентства, задачей которых является защита критической национальной информационной инфраструктуры (такие как Координационный центр безопасности сетевой инфраструктуры (NISCC) в Объединенном Королевстве). В 2004 году ЕС основал Европейское Агентство по безопасности сетевой информации (ENISA).

США наделили Департамент Национальной Безопасности (DHS) всей полнотой ответственности за защиту критической национальной инфраструктуры, а также внедрили большое количество законодательных инструментов, возложив ответственность за определенные аспекты этой задачи на промышленные организации и правительственные агентства, включая Североамериканский Совет по электрической безопасности, Федеральную Комиссию по регулированию в области энергетики и др. В числе основных законодательных актов в данной области можно отметить Федеральный Акт об управлении информационной безопасностью (FISMA) и Акт США о патриотизме (USAPA).

В 2003 году Президентом США была утверждена «Национальная стратегия обеспечения безопасности киберпространства». Этот объемный документ адресован широкой общественности и направлен на расширение взаимодействия и консолидацию усилий различных слоев общества, государственных, общественных и частных организаций в деле противодействия кибертерроризму. Основная часть Стратегии расставляет приоритеты по созданию системы ответных мер, программы противодействия угрозам и уязвимостям, программы обучения и повышения осведомленности, национальной и международной кооперации. Повышение защищенности промышленных систем было объявлено в США национальным приоритетом.

Российское правительство также начинает задумываться о защите государственного информационного пространства в сети Интернет. Начать, как водится, решено с разработки концепции. Когда эта концепция увидит свет пока сказать сложно.

__________________________________

Из новостей СМИ:

Правительство РФ всерьез задумалось о безопасности российского сегмента Интернета. Специальная рабочая группа при Минкомсвязи займется написанием концепции повышения безопасности Рунета, рассказал министр связи и массовых коммуникаций.

Направление работ и примерные меры по усилению безопасности Рунета министр не сообщил, однако среди существующих в нем угроз он назвал взломы и атаки, ограничивающие доступ к сайтам, в частности, коммерческих и правительственных учреждений.

____________________________________

Корпоративное управление

Законодательное и нормативное регулирование в области корпоративного управления нацелено на защиту инвесторов. Оно направлено главным образом на открытые акционерные общества и требует от них демонстрации должного усердия при раскрытии финансовой информации, прозрачного управления операционными рисками и реализации серии внутренних механизмов контроля и процедур, которые позволят этого добиться. Основной целью этих мер является убеждение потенциальных и существующих инвесторов в том, что финансовая отчетность бизнеса представляет правдивую картину организации, и они вполне могут на нее полагаться.

В Европе корпоративное управление регулируется такими нормативными актами, как Объединенные Правила внутреннего контроля (Turnbull), для компаний, акции которых котируются на Лондонской Фондовой Бирже (LSE); положение о контроле операционного риска в Базель II, для банков, участвующих в международной торговле; а также «Руководство для органов управления финансовыми сервисами (FSA)» для банков и финансовых организаций Объединенного Королевства. Контроль процессов аудита в Объединенном Королевстве стал частью законодательной базы с вводом в действие «Акта о компаниях» 2004 года.

В США Акт Сарбейнса-Оксли (SOX) поставил корпоративное управление на прочный законодательный фундамент, определив персональную ответственность руководства за предоставление недостоверной информации в финансовых отчетах, наказываемое тюремным заключением для главных исполнительных директоров (CEO) и главных финансовых директоров (CFO).

Риски подвергнуться предусмотренным законодательством санкциям за несоответствие SOX и Turnbull актуальны и для ряда российских компаний, акции которых торгуются на Нью-Йорской и Лондонской фондовых биржах. Эти компании, как правило, являются лидерами своих отраслей и активно привлекают зарубежные инвестиции на фондовом рынке.

Нормативное регулирование электронной коммерции

Целью законодательного и нормативного регулирования в области электронной коммерции является повышение доверия граждан к онлайновым транзакциям, которые становятся одним из важнейших механизмов в современной экономике. Для достижения этой цели разрабатываются требования по обеспечению безопасности информационных систем, используемых для реализации онлайновых транзакций.

Эти требования охватывают следующие области:

  • использование электронных записей и электронных подписей;
  • создание, модификация, хранение и передача электронных данных;
  • предотвращение нецелевого использования ИТ систем.

Большинство европейских стран имеют законодательные акты, эквивалентные Акту о компьютерных злоупотреблениях Объединенного Королевства. ЕС активно формирует законодательную базу в этой области, примеры которой включают:

  • Директиву об электронных подписях;
  • Директиву о защите потребителей и дистанционных продажах;
  • Директиву о защите персональных данных и электронных коммуникаций;
  • Конвенцию Совета Европы о киберпреступности.

США менее активны в данной области. Их законотворчество носит отраслевой характер. Например, существуют Положения об администрировании продуктов питания и лекарственных препаратов (FDA), регулирующие использование электронных записей и подписей в фармацевтической промышленности (21CFR11). Комиссия по ценным бумагам и фондовым биржам (SEC) проявляла определенную активность в области управления жизненным циклом документов и предложила ряд федеральных нормативных актов США, которые были приняты в нескольких штатах.

Защита персональных данных

Законодательное и нормативное регулирование в области защиты персональных данных предназначено для определения прав и обязанностей физических лиц и организаций применительно к сбору, использованию, сохранению и раскрытию персональных данных. В случае неправомерного раскрытия требуется извещение.

В Европейском Союзе все страны ввели в действие национальное законодательство на базе Директивы Европейского Союза о защите данных.

Канада приняла подход, аналогичный принятому в Европейском Союзе Акту о защите персональной информации и электронных документов (PIPEDA).

Законодательство США по защите персональных данных направлено на конкретные области, такие как:

  • Акт Грэмм-Лич-Блайли (GLBA);
  • Акт об учете и страховании здоровья (HIPAA)

или оно ориентировано на конкретные типы преступлений, например:

  • Акт Калифорнии о нарушении безопасности информации (Билль Сената № 1386) (ориентирован на кражу персональных данных);
  • Акт о защите частной жизни детей в онлайне (COPPA);
  • Акт о правах семей на образование и частную жизнь (FERPA).

Законодательство США предусматривает очень серьезное наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA. Последний определяет наказание до 10 лет лишения свободы или 200 тыс. долларов штрафа за умышленное раскрытие персональных данных.

Принятый в июле 2006 года в России закон «О персональных данных» (ФЗ-152) внес еще больше сумятицы и в без того непростую ситуацию с законодательством в сфере защиты информации. Предоставленная операторам персональных данных отсрочка по выполнению требований этого закона действует до 2010 года, и организациям приходится принимать экстренные меры, чтобы не подвергать себя рискам применения к ним санкций со стороны государства.

Меры эти заключаются в выполнении весьма нетривиальных требований закона и выпущенных на его основе нормативных актов, а именно:

  • Регистрация в качестве оператора персональных данных в Россвязькомнадзоре.
  • Разработка и принятие документов, регламентирующих вопросы предоставления доступа и защиты персональных данных, оформления допусков сотрудников к этим данным.
  • Формирование перечня обрабатываемых персональных данных, классификация информационных систем персональных данных (ИСПД) и подготовка этих систем к аттестации по требованиям безопасности, что влечет за собой также сертификацию средств защиты информации (СЗИ) и средств обработки информации (СОИ), используемых в составе ИСПД.
  • Операторам ИСПД первого и второго класса, согласно устанавливаемой в нормативных документах ФСТЭК классификации, кроме того, предписывается получать лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) либо отдавать обслуживание таких систем на аутсорсинг лицензиатам ФСТЭК.

Прежде всего возникает вопрос, а возможно ли вообще на практике обеспечить выполнение требований данного закона? Например, для выполнения требования о регистрации операторов персональных данных необходимо как минимум провести всероссийскую перепись населения и юридических лиц! Ведь, согласно определению Закона, оператор ПД – это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных». Под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу», а под обработкой ПД понимаются любые действия с ними, включая их хранение.

У каждого из нас в мобильном телефоне имеется база персональных данных, обрабатываемая с использованием средств автоматизации. База персональных данных по клиентам и контрагентам имеется также у любой организации. Если руководствоваться принятыми определениями, то в России насчитываются десятки миллионов операторов персональных данных, которые должны быть зарегистрированы надлежащим образом в Россвязькомнадзоре. Непонятно, каким образом будет выполняться данное требование закона. В конечном счете государственные контролирующие органы сами будут решать, к кому применять, а к кому не применять нормы закона.

Забота государства о своих гражданах и их конституционных правах понятна и обоснована. Однако на деле все в основном сводится к выписыванию бумажек (лицензий, сертификатов и аттестатов), которые обходятся весьма недешево, но на практике защищают не персональные данные граждан, а лишь обладателей этих бумажек от возможных «наездов», создавая дополнительный фронт работ для тех, кто эти бумажки выписывает. Если раньше аттестация АС носила добровольный характер для большинства негосударственных организацией, то теперь почти в каждой организации можно найти объекты, подлежащие обязательной аттестации. Эта ситуация будет способствовать избирательности применения данных норм и их свободной трактовке как со стороны регулирующих органов, так и со стороны тех, кому предписано эти нормы выполнять. В результате, как обычно, получаем перекладывание денег из одних карманов в другие.

В отношении ФЗ-152 сейчас раздается много критики со всех сторон. Но ведь РФ не является первооткрывательницей в вопросах защиты информации и персональных данных в частности. Многое заимствуется из европейского и американского законодательства, которое ушло в своем развитии далеко вперед. Британский Акт о защите данных (UK Data Protection Act) был принят еще в 1984 году, а затем обновлен в 1998 году, после выхода директивы Европейского Союза о защите данных (EU Directive on Data Protection). Не удивительно, что ФЗ-152 принципиально мало чем отличается от европейских законодательных актов. Если не углубляться в юридические тонкости, то фактически тем же самым принципам в защите персональных данных следуют все европейские страны.

Европейское законодательство также предусматривает обязательную регистрацию операторов персональных данных, сталкиваясь при этом с теми же самыми проблемами. Исследование, проведенное Personnel Policy Research Unit в 1998 году (через 14 лет после принятия Британского Закона о защите данных) показало, что из 1100 опрошенных ИТ менеджеров 19% вообще не имеют понятия о требовании по регистрации в качестве оператора ПД, а в небольших компаниях таких ИТ менеджеров 48%. Кроме этого, 48% опрошенных в крупных компаниях и 66% в малом бизнесе затруднились ответить на вопрос об обязанностях оператора в отношении обеспечения безопасности ПД. Только 1% опрошенных вспомнили о том, что передача ПД должна оформляться должным образом и 2% вспомнили, что ПД не должны храниться дольше, чем требуется. Британский Реестр персональных данных (Data Protection Register) в 1998 году содержал более 200 тыс. записей об операторах и каждую неделю там регистрировалось еще 500 операторов. Пятая часть компаний к этому времени еще не выполнили требования о регистрации.

Европейская директива 1998 года предоставила операторам ПД еще до 12 лет отсрочки в отношении выполнения ряда требований. Российская четырехлетняя отсрочка закончится в 2010 году, одновременно с их двенадцатилетней отсрочкой. Как видим, наши операторы ПД поставлены в значительно более жесткие условия, нежели европейские, обладающие форой в более чем 20 лет.

Обращает на себя внимание разница между европейским и в российским законодательством в определении ключевого понятия – «персональные данные». Согласно ФЗ-152: «персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Европейское определение ПД звучит следующим образом: «персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) и включающая в себя любое выражение мнения об индивидууме и любые признаки намерения оператора данных или любого другого лица в отношении индивидуума», а вовсе не имя, фамилия, отчество, адрес и т.п., как в российском варианте.

Другими словами, европейские законодатели считают персональными данными не то же самое, что российские. Европейские ПД – это лишь подмножество российских ПД. И хотя такие понятия, как «выражение мнения» и «признаки намерения» явно нуждаются в дальнейшем разъяснении, очевидно, что к ПД в Европе вряд ли можно отнести, например, рабочие контакты, хранящиеся в мобильных телефонах (ФИО, номер телефона, адрес и название компании, где человек работает).

России предстоит пройти еще долгий путь совершенствования законодательства в области персональных данных и формирования соответствующей правоприменительной практики.

Защита интеллектуальной собственности

Все страны используют определенные формы законодательства о коммерческой тайне, авторском праве и патентах, направленного на защиту интеллектуальной собственности физических лиц и организаций. В России вопросы защиты прав интеллектуальной собственности регулируются четвертой частью Гражданского Кодекса РФ.

Наибольшее значение для организаций имеет обеспечение защиты коммерческой тайны. Предметом защиты коммерческой информации являются все, свойственные предприятиям компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договора и т.п.

По гражданскому законодательству (ст. 139 Гражданского Кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

  • эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
  • к этой информации нет свободного доступа на законном основании;
  • обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности.

Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации, и охраной ее конфиденциальности, регулируются Законом РФ «О коммерческой тайне», согласно которому права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности».

Отраслевая специфика

Отраслевая нормативная база предназначена для контроля тех аспектов информационной безопасности, которые являются уникальными для определенной отрасли и от которых зависит ее безопасность или безопасность широкой общественности. Примеры из европейского законодательства включают в себя нормативные документы Управления питания и фармацевтики (FDA) для фармацевтических компаний, а также законы о сохранении данных, которые действуют в отношении телекоммуникационных и Интернет провайдеров. Нормативные акты, применимые к компаниям, выпускающим кредитные карты, также применяются и к организациям, имеющими дело с этими компаниями.

Развитие российского рынка ИБ в немалой степени связано с возрастанием требований по ИБ в таких монополистах, как Банк России, РЖД, система электроэнергетики (бывшая РАО ЕЭС), Газпром и пр., пытающихся сформировать собственную отраслевую нормативную базу в области ИБ для подконтрольных им структур. Например, в Банке России введен в действие ряд стандартов по ИБ, которые пока носят рекомендательный характер, но в дальнейшем вполне могут стать обязательными.

Организации должны определить какие отраслевые нормативные акты применимы в их юрисдикции и учитывать их при оценке юридических рисков, связанных с невыполнением требований информационной безопасности.

Реестр требований безопасности

Применимые к организации требования законодательной и нормативной базы, требования бизнеса, а также требования, вытекающие из контрактных обязательств организации, оформляются в виде реестра требований безопасности.

__________________________________________

Идентификация требований безопасности:

  • Идентифицируются:
  • законодательные и нормативные требования;
  • контрактные обязательства;
  • требования бизнеса.
  • Цель:
  • идентификация юридических, репутационных, финансовых и бизнес-рисков, связанных с нарушением обязательных требований.

_____________________________________

Реестр требований безопасности используется для оценки и контроля следующих рисков:

  • юридических рисков, возникающих при нарушении организацией требований действующего законодательства и нормативной базы в области информационной безопасности;
  • юридических, репутационных и финансовых рисков, связанных с невыполнением организацией контрактных обязательств;
  • бизнес-рисков, связанных с невыполнением требований бизнеса к обеспечению информационной безопасности, нарушение которых может повлечь причинение ущерба организации и затруднить достижение целей бизнеса.

Ответственность за формирование и поддержание в актуальном состоянии реестра требований информационной безопасности несет менеджер информационной безопасности. Актуализация и контроль выполнения требований осуществляется в ходе проведения плановых аудитов. При этом по каждому требованию в реестре проставляется отметка о выполнении, например, следующим образом:

  • Y (Yes) – выполнено;
  • QY (Quote Yes) – частично выполнено;
  • N (No) – не выполнено;
  • ? – проверка не проводилась.

В графе «Примечания» даются пояснения относительно выбранной отметки о выполнении/невыполнении требования.

Для каждого требования безопасности могут также указываться информационные активы, на которые это требование распространяется, и категория требования (конфиденциальность, целостность, доступность, аутентичность, неотказуемость).

Далее мы подробнее расcмотрим различные категории требований безопасности.

Идентификация требований безопасности

После идентификации активов должны быть определены требования безопасности для этих активов. Ранее мы уже определили основные требования для бизнес-процессов. Теперь наша задача заключается в том, чтобы трансформировать требования, сформулированные на уровне бизнес-процессов, в требования, предъявляемые к безопасности конкретных информационных активов, участвующих в процессах, т.е. выразить их в терминах конфиденциальности, целостности и доступности.

В любой организации требования безопасности происходят из трех основных источников:

  1. уникальный для данной организации набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации;
  2. применимые к организации, ее коммерческим партнерам, подрядчикам и сервис-провайдерам требования законодательства, нормативной базы и договоров;
  3. уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов и который применяется к информационным системам организации.

Первая категория требований формируется на основе оценки рисков. В этом и заключается основная идея риск-ориентированного подхода, выраженного в ISO 27001. Большинство механизмов контроля, описанных в этом стандарте, носят опциональный характер и должны выбираться на основе оценки рисков. Эти требования мы сможем сформулировать позднее по результатам оценки рисков.

Вторая категория требований безопасности «спускается сверху» государственными регулирующими органами и носит обязательный характер, независимо от результатов оценки рисков. В отношении этой категории требований наблюдается устойчивая тенденция к постоянному разрастанию и ужесточению. Как было показано ранее, эти требования могут и не уменьшать риски, но зато всегда создают дополнительные юридические риски для организации. Организация обязана обеспечить соответствие этим требованиям по закону, однако сделать это порой бывает не просто и не только потому, что требует дополнительных затрат, не всегда оправданных с точки зрения бизнеса и экономически обоснованных. Законодательство, как и все созданное человеком, – вещь несовершенная и непрерывно развивающаяся. Новые нормативные документы не всегда соответствуют реалиям сегодняшнего дня и могут вступать в противоречие с другими нормативными документами, выпущенными ранее. Подробнее об этом можно почитать в статье «Что мешает развитию ИБ в России» (см. Библиографический список в конце книги).

Не все требования данной категории можно выразить в терминах конфиденциальности, целостности или доступности. К ней относятся также требования, не имеющие прямого отношения к свойствам безопасности информации, такие как требования по лицензированию, сертификации и аттестации, регистрации в качестве оператора персональных данных и т.п. Несоответствие этим требованиям порождает юридические риски для организации, которые также требуется оценить и обработать.

Таким образом, если первая группа требований формируется по результатам оценки рисков, то вторая группа требований порождает дополнительные риски и связанную с ним необходимость в оценке и обработке этих рисков.

Эти группы требований могут взаимно пересекаться. В идеале же они должны совпадать. Для этого всего лишь требуется, чтобы все требования законодательства и нормативной базы были обоснованы с точки зрения существующих рисков. Однако на практике это недостижимо хотя бы потому, что у каждой организации существуют свои специфические риски и свое отношение к ним.

Помимо требований законодательства и нормативной базы, на данном этапе необходимо также определиться с требованиями безопасности, вытекающими из контрактных обязательств организации. Невыполнение данных требований порождает риски, связанные со штрафными санкциями, прописанными в договорах, потерей деловой репутации, разрывом отношений с партнерами или клиентами и потерей важных контрактов.

Третья категория требований – требования бизнеса – обусловлена внутренними факторами, такими как стремление организации соответствовать высоким стандартам обслуживания клиентов, оперативности реагирования на их запросы, предоставления максимально точной и полной информации. Эти требования организация определяет для себя самостоятельно, исходя из своей миссии, целей бизнеса, своего положения на рынке и текущей рыночной ситуации. Эти требования уже были идентифицированы ранее на этапе описания бизнес-процессов и могут быть трансформированы в конкретные требования к конфиденциальности, целостности и доступности тех или иных информационных активов, участвующих в этих процессах.

Описание бизнес-процессов

Идентификацию (инвентаризацию) активов следует начинать сверху вниз, т.е. с идентификации и описания бизнес-процессов, а не снизу вверх, как это склонны делать ИТ специалисты, формируя при помощи специализированных программных средств ни к чему не привязанные списки информационных, программных и аппаратных активов.

Бизнес-процессы сами по себе рассматриваются в качестве основных активов организации, которые представляют собой комбинацию разнородных активов, таких как информация, технические и программные средства, кадровые ресурсы, юридические и контрактные обязательства и т.п. Все эти активы представляют ценность для организации только в контексте ее бизнес-процессов, в рамках которых они используются для достижения целей бизнеса. Поэтому, прежде чем начинать заниматься активами, необходимо разобраться с целями организации и процессами, реализуемыми для достижения этих целей.

Организации используют большое количество процессов, одни из которых можно отнести к внутренним, другие к внешним. В маленьких организациях большое количество этих процессов может реализовываться одним подразделением или даже одним человеком. Поскольку оценка информационных рисков входит в обязанности всей организации, все участники бизнеса должны идентифицировать информационные активы, являющиеся критичными для выполнения ими своих функций, и должны убедиться в том, что связанные с ними риски были оценены, а соответствующие механизмы контроля были реализованы и поддерживаются для управления идентифицированными рисками.

Для целей управления рисками мы делим все процессы на внешние и внутренние, а также на основные и вспомогательные. Определенные категории рисков являются специфичными для определенных групп процессов. Прежде всего необходимо описать основные направления деятельности организации и бизнес-процессы в рамках этих направлений. Это внешние процессы, ориентированные на конечного потребителя и приносящие организации доход. Именно с нарушением этих бизнес-процессов связаны основные риски организации. Любые неурядицы с вспомогательными процессами несут риски для организации лишь в той степени, в которой эти вспомогательные процессы оказывают влияние на основные бизнес-процессы организации. Далее мы рассмотрим специфику основных и вспомогательных процессов и соответствующие категории рисков более подробно.

Основные бизнес-процессы организации

Основными бизнес-процессами мы называем такие процессы, которые позволяют организации непосредственно зарабатывать деньги, осуществлять миссию организации и достигать ее бизнес-целей. Поскольку цели любой организации заключаются в производстве некоторых продуктов или услуг и предоставлении этих продуктов или услуг заинтересованным внешним сторонам, то мы называем такие процессы внешними. Эти процессы либо состоят во взаимодействии с внешними сторонами, либо ориентированы на внешние стороны. К внешним процессам относятся:

  • продажи и маркетинг;
  • производство и эксплуатацию;
  • поддержку клиентов;
  • логистику и доставку;
  • работу с дилерами и контрагентами;
  • внешние инвестиции;
  • налоговый учет и уплата налогов;
  • работу с акционерами;
  • и т.д.

Следующие риски являются специфичными для отдельных внешних процессов организации:

  • Продажи и маркетинг. Эти виды деятельности представляют собой жизненно важный интерфейс между организацией и обществом. В любой организации существует потенциальный риск нарушения конфиденциальности информации в ходе торговых и маркетинговых операций, а также причинения ущерба репутации организации по причине того, что не были обеспечены точность и доступность информации.
  • Производство и эксплуатация. Информация, используемая в процессах производства и эксплуатации, должна быть очень точной и согласованной, а также доступной по первому требованию. Для тех ресурсов, которые являются критическими для процессов производства и эксплуатации, соответствующие риски должны быть четко идентифицированы и обработаны.
  • Поддержка клиентов. Этот процесс требует точной информации, доступной по первому требованию. Последствиями нарушений являются причинение ущерба репутации организации.

Вспомогательные процессы организации

Вспомогательными процессами мы называем такие процессы, которые необходимы для поддержания (обеспечения условий выполнения) основных процессов организации. Эти процессы предоставляют информацию, услуги и другие ресурсы внешним бизнес-процессам. Поэтому мы также называем такие процессы внутренними и обычно даже не используем слово бизнес в их названии, а просто говорим о внутренних либо о вспомогательных процессах организации. К таким процессам относят следующее:

  • управление кадрами;
  • исследования и разработки;
  • администрирование и ИТ;
  • финансы и бухгалтерию;
  • обеспечение безопасности (физической, экономической, информационной);
  • аудит;
  • риск-менеджмент;
  • и т.п.

Вслед за внешними бизнес-процессами такие внутренние процессы также необходимо идентифицировать и описать, т.к. без них невозможна реализация внешних бизнес-процессов.

Следующие риски являются специфичными для внутренних процессов организации:

  • Управление кадровыми ресурсами. Риски информационной безопасности неизбежно возникают при взаимодействии сотрудников и информационных систем. Следовательно, все сотрудники играют важную роль в состоянии дел с рисками в организации. Эти риски должны учитываться при найме, обучении, поощрении, наказании, а также при увольнении или переводе на другую работу.
  • Исследования и разработки. Эти виды деятельности могут представлять собой значительный риск в случае, если существует неконтролируемая связь между средой разработки и средой производства/эксплуатации. Исследования и разработки могут также производить строго конфиденциальную информацию, составляющую коммерческую тайну организации, такую как информация, относящаяся к разрабатываемым продуктам. Поэтому участники этих процессов должны быть осведомлены о рисках и о своей ответственности за управление ими.
  • Администрирование и ИТ. Эти процессы часто рассматриваются в качестве процессов, несущих основную ответственность за оценку и управление рисками информационной безопасности. Однако важно, чтобы осознавалась взаимосвязь между информационными рисками и рисками организации, и, как следствие, оценка рисков информационной безопасности выполнялась всеми функциональными подразделениями и риски информационной безопасности не рассматривались бы как исключительно «проблема ИТ».
  • Финансы и бухгалтерия. Оценка рисков информационной безопасности имеет первостепенное значение для финансовых и бухгалтерских процессов в любой организации. Хорошее корпоративное управление требует согласованной и точной финансовой информации, которая может быть прослежена с момента своего происхождения до момента ее использования при помощи понятного журнала аудита. В соответствии с требованиями бизнеса и нормативной базы должна обеспечиваться конфиденциальность ценовой информации, финансовых результатов и прогнозов.

Как идентифицировать и описывать бизнес-процесс

Информация о бизнес-процессах извлекается в ходе интервьюирования владельцев и участников этих процессов. Каждый процесс характеризуется рядом параметров, показанных на рисунке.

У каждого процесса есть определенные цели и выходные данные, которые он производит. Конечно, помимо данных, на выходе процесса могут производится и другие результаты, продукты, услуги или активы, однако для целей оценки рисков нам потребуются именно выходные данные. Точно таким же образом на вход любого процесса должны поступать какие-либо входные данные. Часто входные данные одного процесса являются выходными данными для другого процесса. Это, а также другие факторы определяют взаимосвязи между процессами, которые также должны быть описаны на данном этапе.

Каждый процесс характеризуется определенным алгоритмом действий, выполняемых в ручном, автоматическом или полуавтоматическом режиме. Для выполнения этих действий (операций) используются различные ресурсы: оборудование, программное обеспечение, сервисы (внутренние и внешние), помещения, кадры. Одним из основных видов ресурсов является информация, представленная в различных формах, которую мы называем информационным активом организации, чтобы подчеркнуть ее ценность. Помимо входных и выходных данных, к информационным активам относятся также промежуточные данные и записи, формируемые в процессе выполнения процесса (журналы аудита, заявки, квитанции, формы, таблицы промежуточных результатов и т.п.).

У каждого процесса должен быть явным образом назначенный владелец, который отвечает за конечный результат. Размывание ответственности за процессы и их результаты, отсутствие явным образом назначенных владельцев обычно приводит к возникновению различных сбоев, коллизий, дезорганизации процесса, отсутствию либо искажению конечного результата. Владелец процесса должен контролировать его выполнение, выходные данные и результаты. Для осуществления контроля используются такие механизмы, как аудит, мониторинг, оценка эффективности, анализ со стороны руководства и т.п. По результатам анализа результатов, выходных данных и операций в процесс могут вноситься изменения и усовершенствования. Определенные контролирующие функции, например обеспечение безопасности, владелец процесса может делегировать соответствующим специалистам, однако ответственность за процесс в целом при этом должна оставаться за владельцем.

Каждая организация осуществляет свои бизнес-процессы в определенном правовом поле, в соответствии с требованиями контрактных обязательств, требованиями клиентов, а также требованиями собственного бизнеса, т.е. теми требованиями, которые она сама для себя вырабатывает, чтобы обеспечить осуществление своей миссии. Все эти требования также должны быть идентифицированы и описаны для каждого процесса.

Подобным образом описываются все процессы в области действия СУИР и взаимосвязи между ними. Степень детализации описания процессов не должна быть слишком глубокой, однако она должна быть достаточной для идентификации информационных и связанных с ними активов, используемых для осуществления процесса, а также требований безопасности, предъявляемых к процессу и участвующим в нем активам. Бизнес-процессы обычно имеют довольно сложную структуру и если слишком глубоко в эту структуру погружаться, то можно было бы погрязнуть в деталях, зачастую бесполезных для оценки информационных рисков. Поэтому надо помнить о том, что мы начали рассмотрение бизнес-процессов лишь в связи с необходимостью идентифицировать используемые для их осуществления информационные активы. Углубленный анализ прочих параметров смело можно оставить бизнес-аналитикам. При высокоуровневой оценке рисков описание всех бизнес-процессов организации умещается всего на нескольких страницах.

Примерный перечень вопросов, задаваемых во время интервьюирования владельцев и участников процессов, может выглядеть, например, следующим образом:

  • Каковы основные бизнес-цели вашей деятельности?
  • В каких бизнес-процессах вы (ваше подразделение) участвуете, какие основные функции выполняете, каким образом регламентируются ваши функциональные обязанности?
  • Какие исходные данные (представленные в бумажной или электронной форме) вы используете для решения основных бизнес-задач?
  • Из каких источников вы получаете исходные данные и как организован процесс получения данных?
  • Где размещаются данные (документы), с которыми вы работаете?
  • Каким образом осуществляется обработка (использование) данных?
  • Какие приложения (локальные или серверные) вы используете для получения доступа к данным и обработки данных?
  • Как осуществляется работа с приложениями (порядок выполнения основных операций)?
  • Каковы предоставляемые вам полномочия по доступу к данным и приложениям?
  • Кто еще является пользователями этих данных и приложений, какие полномочия имеются у них?
  • За подготовку каких документов (отчетов, БД, справок и т.п.) вы отвечаете (принимаете участие)?
  • Кто является заказчиком результатов вашей работы? Кому передаются подготавливаемые вами документы и в каких бизнес-процессах они используются?
  • По вашей оценке, насколько критичными для бизнеса компании являются данные, с которыми вы работаете (входные, промежуточные, выходные)?
  • Как вы оцениваете возможные последствия (юридические, финансовые, репутационные и т.п.) утечки этой информации (к конкурентам, в прессу, в регулирующие органы, к криминальным элементам и т.п.)?
  • Как вы оцениваете возможные последствия нарушения целостности информации (несанкционированная модификация данных, подделка документов, ошибки в отчетах, рассинхронизация БД и т.п.)?
  • Как вы оцениваете возможные последствия недоступности информации (в результате сбоя системы, потери данных, случайного стирания или кражи носителей и др.)?
  • Каково, по вашему мнению, максимально допустимое время недоступности данных, по истечении которого наступают крайне серьезные последствия для бизнеса компании?
  • Какие требования законодательства и нормативной базы регулируют вашу деятельность?
  • Каким требованиям клиентов (партнеров) вы должны удовлетворять?
  • Какие существуют внутренние требования вашей организации (политики, регламенты, процедуры, инструкции и т.п.), регулирующие вашу деятельность?
  • Какие записи создаются в процессе вашей работы?

Интервьюирование сотрудников организации может проводиться в произвольной форме. Результаты интервью фиксируются в таблице, показанной на рисунке.

Можно и вовсе обойтись без каких-либо промежуточных таблиц и сразу заносить данные, полученные в ходе интервью в реестр информационных активов, описываемый далее.

Реестр информационных активов

Конечной целью этапа идентификации активов является формирование реестра информационных активов. Этот ключевой документ является самым первым и одним из наиболее важных результатов на пути осознания информационных рисков и установления контроля над ними. Реестр информационных активов необходим не только для оценки рисков, но также для решения других задач, таких как планирование резервного копирования или аварийного восстановления, распределения ответственности за активы, учет активов и распределение прав доступа к ним, классификация активов по критериям конфиденциальности, целостности и доступности (при необходимости могут быть добавлены также и другие критерии классификации активов, такие как, например, аутентичность и неотказуемость). Пример реестра информационных активов изображен на рисунке.

В реестре активов вводится определенная классификация активов по своему назначению, месторасположению, принадлежности к бизнес-процессам. Так отдельную категорию активов составляют веб-сайты организации, бухгалтерская документация, проектная документация и хранилище электронной почты. Такая классификация активов облегчает ведение их учета.

Каждая категория активов может содержать как группы активов, так и отдельные активы. Однотипные активы, схожие по своему назначению, предъявляемым требованиям, способам использования и предоставления доступа и имеющие примерно одинаковую ценность для организации, следует группировать. Группа однотипных активов может рассматриваться при последующей оценке рисков в качестве единого актива. Степень детализации описания активов в реестре должна быть достаточной для оценки рисков этих активов. Для первичной высокоуровневой оценки не требуется высокой степени детализации, поэтому для средней организации может рассматриваться всего лишь несколько десятков основных активов. Для более детальной оценки рисков, необходимость в которой возникает далеко не всегда и не у всех, может производиться декомбинация имеющихся групп активов на подгруппы и на отдельные активы. В этом случае реестр активов может насчитывать сотни и даже тысячи записей.

Для каждого актива (группы активов) в реестре должно быть приведено его описание, указано месторасположение этого актива в терминах оборудования и площадок, сервисы и приложения, использующие данный актив, форматы, в которых он представлен, а также пользователи и владелец данного актива.

Помимо всего перечисленного, реестр также определяет для каждого актива его классификацию в терминах конфиденциальности, целостности и доступности, включая максимально допустимое время недоступности данного актива. Эти характеристики определяются и проставляются в реестре активов позднее – на этапе оценки ценности активов.

Вместе с формированием реестра активов в организации должен быть реализован непрерывный процесс инвентаризации активов, обеспечивающих актуальность этого документа и его взаимосвязь с другими реестрами: программными, аппаратными, кадровыми, если таковые имеются в организации. Регламентирует этот процесс, как правило, политика инвентаризации активов. Для инвентаризации активов, помимо интервьюирования владельцев и пользователей этих активов, может использоваться специализированное программное обеспечение, обеспечивающее актуализацию, хранение и управление доступом к реестру активов.