Общая структура изложения материала

Эта книга помимо предисловия, введения, библиографии, ссылок и приложений включает в себя семь глав.

_________________________________

Структура книги:

  • Глава 1. Предпосылки для управления информационными рисками
  • Глава 2. Основные элементы управления информационными рисками
  • Глава 3. Система управления информационными рисками
  • Глава 4. Оценка рисков информационной безопасности
  • Глава 5. Обработка рисков информационной безопасности
  • Глава 6. Инструментальные средства для управления информационными рисками
  • Глава 7. Практические рекомендации по внедрению системы управления информационными рисками
  • Библиография
  • Полезные ссылки
  • Приложения

_____________________________________

Первая глава отвечает на вопрос первостепенной важности, без утвердительного ответа на который, возможно, и не стоило бы писать эту книгу: «Почему в наше время крайне важно управлять информационными рисками, а в недалеком будущем по причине недооценки информационных рисков человечество ожидают информационные кризисы, пострашнее нынешнего мирового финансового кризиса?» В первой главе книги мы попытаемся проложить дорогу между настоящим и будущим, показывая, почему уже сейчас многие организации не могут обойтись без систематического управления рисками, почему сегодня нельзя относиться к управлению рисками, руководствуясь вчерашними представлениями, и почему завтра ситуация с информационными рисками может измениться кардинальным образом, что станет неожиданностью для многих людей, не успевших адаптироваться к стремительно изменяющимся обстоятельствам.

Во второй главе, опираясь на международные стандарты, мы дадим несколько равнозначных определений понятию «информационный риск», рассмотрим основные составляющие этого непростого понятия, факторы (элементы) риска, рассмотрим, чем обусловлено различие подходов к оценке рисков, применяемых в организациях. Мы также коснемся количественных и качественных способов определения величины риска, а заодно развеем распространенное заблуждение и покажем, что, несмотря на разнообразие способов вычисления рисков, не существует самодостаточных количественных или качественных подходов к оценке рисков, которые могли бы иметь прикладное значение, а в сущности, на практике имеет место комбинированный подход.

Как показывает опыт внедрения систем управления информационной безопасностью (СУИБ) в российских организациях и опыт их сертификации по требованиям международного стандарта ISO 27001, главной точкой преткновения обычно становится система управления рисками. В третьей главе мы рассмотрим эту систему, служащую базисом для СУИБ, в комплексе, опираясь на определяемую стандартами процессную модель. Если взглянуть на проблему широко, то мы увидим, что она не сводится лишь к двум ключевым процессам оценки и обработки риска. Для того чтобы система управления рисками оставалась жизнеспособной и могла адаптироваться к изменяющимся условиям, она должна включать в себя еще целый ряд процессов, обеспечивающих непрерывный контроль и совершенствование этой системы и теснейшим образом интегрированных со всеми остальными процессами СУИБ.

Четвертая глава является ключевой с точки зрения понимания используемой нами методологии оценки рисков. В ней шаг за шагом рассматриваются все стадии этого процесса, начиная с инвентаризации активов и заканчивая формированием реестра информационных рисков. При этом мы не раскрываем каких-то секретов и в сущности не сообщаем каких-то сведений, которые сами по себе уже не были бы известны специалистам и не были бы описаны в стандартах. Мы склонны видеть свою заслугу, если мы вообще вправе на это претендовать, не в передаче некоего тайного знания, а скорее, в систематизации накопленного опыта и знаний профессионального сообщества, а также в переводе вопросов, которые обычно вызывают серьезные затруднения у многих специалистов, в практическую плоскость, разрешая их просто, сообразно сложившимся обстоятельствам и без излишнего теоретизирования.

Не так важно, какой подход к оценке рисков вы используете, а мы отнюдь не считаем, что наш подход является единственно возможным, главное – насколько адекватные и экономически оправданные решения по обработке рисков вы в конечном счете принимаете. В пятой главе книги мы рассмотрим возможные способы обработки рисков, механизмы планирования защитных мер и принятия решений по рискам, а также вопросы оценки возврата инвестиций в информационную безопасность. Основным результатом данных мероприятий служит разработка двух ключевых для СУИБ документов: Декларации о применимости механизмов контроля и Плана обработки рисков.

Шестая глава посвящена обзору наиболее популярных инструментальных средств управления рисками. Помимо этого мы рассмотрим проблему выбора специализированного программного инструментария для оценки рисков с различных точек зрения, а также плюсы и минусы, связанные с его использованием. Вопрос практической целесообразности применения подобного инструментария в конкретной ситуации мы оставим на усмотрение читателя.

В седьмой главе приводится ряд практических советов по внедрению системы управления информационными рисками, начиная с необходимых предпосылок для управления рисками, разработки документации, формирования организационной структуры, проведения пилотного проекта и заканчивая полной оценкой рисков и поддержкой жизненного цикла процессов управления рисками.

В конце каждой главы приведен список несложных вопросов, над которыми рекомендуется самостоятельно поразмыслить, прежде чем переходить к чтению следующей. По ходу изложения материала предусмотрено также несколько практических заданий, которые мы выполняем на мастер-классе по управлению рисками, чтобы сохранить бодрость ума для лучшего восприятия материала и закрепить полученные знания. Читателю мы предлагаем не лениться и последовать нашему примеру, т.к., несмотря на все усилия автора, материал книги местами достаточно абстрактен и требует для своего восприятия свежего и подготовленного ума.

Информация справочного характера вынесена в Приложения.

Для кого написана эта книга?

Эта книга рассчитана на широкую аудиторию просвещенных людей, интересующихся вопросами управления информационными рисками в стремительно меняющемся информационном веке, в котором не действуют привычные стереотипы, не работают старые правила, подвергаются пересмотру экономические законы, принципы ведения бизнеса и человеческие ценности, а информация превращается в один из главных и наиболее уязвимых активов.

Безусловно, в первую очередь данный материал должен заинтересовать специалистов по информационной безопасности, включая менеджеров, аудиторов, экспертов, аналитиков, инженеров, а также всех тех, кто:

  • принимает решения по информационной безопасности и ее финансированию;
  • имеет отношение к оценке и управлению информационными рисками в организации;
  • участвует в планировании и проведении аудитов информационной безопасности;
  • осуществляет планирование мероприятий по информационной безопасности и расставляет приоритеты;
  • формирует и обосновывает бюджет на информационную безопасность;
  • оценивает экономическую эффективность и целесообразность реализации защитных мероприятий;
  • внедряет системы управления информационной безопасностью и/или готовит организацию к сертификации по требованиям международного стандарта ISO 27001.

Автор также надеется, что эта книга окажется интересной и полезной для значительно более широкой аудитории, включая специалистов в области информационных технологий различных профилей, руководителей бизнеса, риск-менеджеров, а также для всех тех, кто желает:

  • взять под контроль риски информационной безопасности во всех сферах деятельности;
  • расширить и углубить свое понимание сущности процессов обеспечения информационной безопасности;
  • перейти от общих рассуждений о связи бизнеса, информационных технологий и безопасности к реальным действиям по управлению этими взаимосвязями;
  • взглянуть на проблемы безопасности с точки зрения бизнеса и, наоборот, оценить надежность и жизнеспособность бизнеса с точки зрения защищенности его информационных активов.

Преимущества риск-ориентированного подхода к управлению информационной безопасностью

Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов на системы менеджмента (ISO 27001, ГОСТ Р 27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework и т.д.) и обеспечивает применяющей его организации существенные преимущества. Применение риск-ориентированного подхода позволяет:

  • Из огромного количества существующих требований, предписаний и средств защиты информации выбрать те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям
  • Правильно интерпретировать сформулированные в самом общем виде требования безопасности, содержащиеся в законодательных актах, нормативных документах и стандартах, применительно к конкретной организации
  • Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, влияющих на возможность реализации угроз безопасности, и степени воздействия этих угроз на бизнес
  • Оценивать экономическую эффективность и целесообразность принимаемых мер по обеспечению информационной безопасности
  • Правильно расставлять приоритеты, формировать планы и бюджеты на безопасность, с учетом возврата инвестиций, ожидаемых от реализации защитных мер, уменьшающих существующие риски
  • Оптимизировать и сокращать расходы организации на обеспечение информационной безопасности и соответствия требованиям, при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью
  • Осуществлять анализ возврата инвестиций в информационную безопасность и поставить систему премирования для службы информационной безопасности в зависимость от обеспечиваемого коэффициента возрата инвестиций, как основного показателя эффективности ее функционирования

Для организаций, не применяющих риск-ориентированный подход к управлению информационной безопасностью, характерны следующие особенности:

  • Решения по реализации защитных мер принимаются интуитивно, исходя из общих соображений, основываясь на маркетинговых компаниях производителей средств защиты информации и без анализа экономической целесообразности и эффективности
  • Бюджеты на обеспечение информационной безопасности формируются по остаточному принципу, т.к. информационная безопасность является расходной статьей для организации
  • Бюджеты на информационную безопасность расходуются неэффективно, часто впустую
  • Отсутствует взаимосвязь между интересами бизнеса, интересами службы информационной безопасности и интересами ИТ подразделения
  • Оценка эффективности службы информационной безопасности организации либо не производится, либо никак не связана с экономической отдачей от деятельности данной службы
  • Система премирования специалистов по информационной безопасности никак не связана с эффективностью их деятельности (которую руководство организации не умеет измерять), что приводит к демотивированности этих сотрудников
  • При принятии решений многие риски информационной безопасности не учитываются, либо недооцениваются, в то время как другие риски переоцениваются, т.к. у лиц, принимающих решения, отсутствует объективная картина существующих рисков и инструменты для их измерения
  • Решения по реализации многих защитных мер принимаются уже после того, как инцидент произошел и причинил серьезный ущерб организации (реактивная практика управления)
  • Управление рисками информационной безопасности подменяется обеспечением соответствия многочисленным и зачастую противоречивым требованиям безопасности, что приводит к процветанию бюрократии, замене реальной безопасности «бумажной» безопасностью, неэффективному расходованию средств и разочарованию со стороны руководства организации

Почему управление рисками является самым важным вопросом информационной безопасности?

Чтобы разобраться с любой проблемой безопасности, необходимо ответить на четыре вопроса: «Что?», «Почему?», «От чего?» и «Как защищать?». Оценка рисков позволяет разобраться с первыми тремя вопросами, а обработка риска – связать первые три вопроса с последним вопросом «Как?». Все остальные знания в области безопасности посвящены лишь ответу на вопрос «Как защищаться от тех или иных конкретных угроз?». Однако отвечать на этот вопрос бессмысленно, не разобравшись в первыми тремя вопросами. Этим объясняется первичность темы управления рисками и ее приоритет над всеми остальными вопросами.

Поэтому при разработке мастер-класса, материалы которого послужили прототипом для написания настоящей книги (см. Приложение №15), мы сделали его достаточно дорогим, с целью отсечь ту часть аудитории, которая приходит на подобные мероприятия в основном для того, чтобы просто пообщаться, отдохнуть от основной работы и заодно немного расширить свой кругозор. Нам хотелось, чтобы на нашем мероприятии присутствовали только те люди, для которых управление рисками является уже осознанной необходимостью и которые готовы инвестировать и время и деньги в обучение этому вопросу.

Автор надеется, что после прочтения этой книги управление рисками станет осознанной необходимостью и для вас.

Существуют ли альтернативы управлению рисками?

Альтернативы управлению рисками, на наш взгляд, сегодня уже не существует. Информационная безопасность не относится к числу проблем, которые можно решать по мере их возникновения. Либо вы управляете рисками, либо риски управляют вами. Проактивный подход намного лучше реактивного. Когда возникает проблема с безопасностью, часто бывает уже слишком поздно ею заниматься. Поэтому надо заранее анализировать и упреждать возможные проблемы, руководствуясь при этом соображениями экономической целесообразности.

Правила игры стремительно меняются. Сегодня уже недостаточно просто реагировать на появление новых угроз, руководствоваться при выборе защитных мер общими соображениями и укоренившимися взглядами на информационную безопасность как на какое-то мало значимое побочное явление, сопутствующее внедрению информационных технологий и ассоциирующееся в массовом сознании с понятиями «хакер» и «компьютерный вирус», находящимися где-то там, далеко от нас. Информационная безопасность – это уже не отдельно взятые угрозы, обязанные своим распространением главным образом сети Интернет, а новая система взаимоотношений в изменившемся мире, где уже не действуют прежние законы.

Без управления рисками все еще, как и раньше, можно достигать определенных положительных результатов, однако стабильных результатов достигать все сложнее. Поэтому компании, систематически управляющие рисками, по крайней мере, обладают важнейшим конкурентным преимуществом.

Пока происходило (и до сих пор происходит) столь бурное, порой революционное во многих областях, освоение новых технологий, основной лозунг звучит просто: «лишь бы все заработало». Когда же все это наконец начинает работать, да так, что остановить это уже невозможно, то на первый план выходит соображение «не дай бог это вдруг остановится или сработает не так, как планировалось», т.е. на первый план выходят соображения безопасности, и уже ИТ занимает по отношению к ним подчиненное положение. С того момента, как останов информационных систем начинает приводить к катастрофическим последствиям, становится совершенно необходимым управлять информационными рисками на систематической основе, соотнося расходы на защиту с получаемой выгодой.

Насколько глобальными могут быть последствия недооценки рисков, возникающих в связи с изменением мироустройства, мы с вами имеем возможность наблюдать сегодня на примере захлестнувшего весь цивилизованный мир финансового кризиса, основной причиной которого является отсутствие адекватного управления финансовыми рисками, а порой и самого осознания этих рисков, не только среди обывателей, но и среди профессионалов.

О чем эта книга?

Эта книга подытоживает многолетний практический опыт автора в области управления информационными рисками. Этот опыт нашел отражение в методологии и продуктах компании GlobalTrust, которые успешно применяются в ряде российских организаций.

Автор полагает, что наш подход к управлению рисками, вообще говоря, является достаточно универсальным и успешно может применяться для управления любыми физическими и операционными рисками, а также, возможно, и любыми неспекулятивными рисками, т.е. теми рисками, единственными последствиями которых, является причинение ущерба организации. Британский стандарт BS 31100 раскрывает именно эту тему. Ведь для любых неспекулятивных рисков факторы риска (такие как угрозы, уязвимости, активы и контрмеры) и подходы к их анализу остаются неизменными. Меняется лишь область экспертной оценки. Однако существует множество нюансов, которые мы здесь не в состоянии учесть, поэтому будем оставаться в рамках своей предметной области и, чтобы не усложнять и без того непростую тему, при дальнейшем изложении под рисками будем понимать исключительно риски информационной безопасности.

Об управлении рисками на разных языках написано довольно много научных и околонаучных трудов, изобилующих математическими формулами, моделями, принципами, количественными и качественными подходами, теориями полезности, субъективной вероятности, непрерывными распределениями, нечеткими множествами и прочими теориями, не имеющими прямого отношения к реальной жизни. Птичий язык многих из этих сочинений, оторванность от практики, отсутствие параллелей с теми обстоятельствами, в которых вынужден функционировать современный бизнес, приводит к тому, что их аудитория ограничивается очень узким кругом специалистов, по большей части теоретиков, имеющих узкоспециальное образование и владеющих соответствующим математическим аппаратом, в то время как оценка рисков имеет очень мало общего с математикой вообще. Для широкой аудитории вопросы управления информационными рисками остаются практически неведомыми.

Если финансовая безграмотность сегодня приводит к плачевным результатам, то информационная безграмотность способна породить еще худшие результаты уже в недалеком будущем. В наше время, управление рисками – это отнюдь не какая-то математическая теория, имеющая прикладное значение. Управление рисками – это жизненная необходимость для все большего числа организаций. Кого-то эти проблемы еще не коснулись в достаточной степени, для кого-то это вопрос эффективности управления бизнесом, а для других это уже вопрос выживания. Мы постарались избавиться от всей псевдонаучной шелухи, заслоняющей важнейшие вопросы, связанные с управлением информационными рисками, и сосредоточиться только на тех идеях, которые обладают свойством практической полезности, попытавшись изложить свой подход простым человеческим языком.

Автор надеется, что эта книга поможет читателю без особых проблем перейти к систематическому управлению рисками в соответствии с международными стандартами, используя простой и прагматичный подход, неоднократно проверенный на практике и основанный на доступном каждому человеку здравом смысле.

Если послушать, что говорят, и почитать, что пишут об управлении рисками, то может сложиться впечатление, что задача эта чрезмерно сложная и трудоемкая, что этот вопрос лежит, скорее, в теоретической плоскости, а на практике целесообразно применять более простые подходы к выбору защитных мер. Эти рассуждения, на наш взгляд, сильно преувеличены. Для адекватной оценки риска не требуется ни учености, ни шаманства. Каждый специалист, имеющий достаточный опыт работы в области информационной безопасности, может овладеть этим нехитрым ремеслом. Правда, ему для этого придется переориентироваться на бизнес и научиться осуществлять декомпозицию бизнес-целей и процессов до поддерживающих их информационных активов и связанных с ними угроз и уязвимостей, а уже от них переходить к механизмам безопасности, которыми он привык заниматься. Здесь, скорее, потребуются не новые знания, а перенастройка мышления с технически ориентированного на бизнес-ориентированное и риск-ориентированное.

Тем же, кто не является специалистом в области информационной безопасности или информационных технологий, эта книга поможет осознать сущность проблем информационной безопасности, а также то, каким образом информационные риски влияют на них лично, на организацию, в которой они работают, на их бизнес, а также на общество, в котором они живут. Это позволит подготовиться к ближайшему будущему, переполненному информацией и связанными с этим рисками, а также к новым информационным кризисам, которые могут прийти на смену финансовым.

Новые правила игры в новом информационном веке

Переход через условный рубеж 2000 года ознаменовал собой переход от индустриального века к информационному – поворотный момент в истории человечества, не осознанный еще в полной мере. Знаменитая «проблема» 2000 года и поднятая вокруг этого шумиха только обозначили этот переход и, хотя тема была в основном «раздута» и под это дело, так уж повелось, было «отмыто» немало «бабок», акцент поставлен правильный – благосостояние, а вероятно, и выживание будущих поколений постепенно окажется в зависимости от информационных технологий и связанных с ними рисков информационной безопасности.

В новом веке ситуация во всем мире начала изменяться еще быстрее, чем раньше: невиданные по своей дикости терракты, гибель крупнейших корпораций, невиданный доселе экономический кризис у лидеров мировой экономической системы США и Японии, который пока только усугубляется и тащит за собой к финансовому краху Европу и все остальные страны, интегрированнные в мировую финансовую систему.

Нью-Йоркская фондовая биржа с их Уолл Стритом и трейдерами, с выпученными глазами выкрикивающими котировки акций в переполненном зале, скоро станет анахронизмом и будет заменена электронными торговыми площадками и молодыми ребятами с ноутбуками, проворно перетаскивающими миллионы долларов между виртуальными счетами за считанные секунды, не отрываясь от кружки пива в любимом клубе, а может быть, лежа на диване, – совершенно неважно, в какой стране мира он в данный момент находится. В современном обществе тем, кто не успевает освоиться с информационными технологиями и адаптироваться к новым правилам игры, достается самая тяжелая и низкооплачиваемая работа.

Когда все более или менее значимые для людей процессы окажутся полностью компьютеризированными, а финансовые и информационные системы глобализированными (а это фактически уже почти что произошло в развитых странах), на первое место выйдут информационные риски. Министр информационной безопасности, возможно, станет не менее значимой для государства фигурой, нежели министр обороны или министр финансов. Этим «фантазиям» суждено сбыться, возможно, уже в грядущем десятилетии – раньше, чем многие успеют осознать, что же произошло.

Глобальный кризис мировой финансовой системы уже произошел, мировой информационной кризис еще впереди, и в ряде государств, осознающих неизбежность прихода такого кризиса, уже начинают появляться кресла Министров информационной безопасности. Их позиции в правительстве пока менее значимы, чем позиции Министра обороны, однако ситуация вполне может измениться после Глобального мирового информационного кризиса.

В США в начале своего президенства Барак Обама сразу учредил в своей администрации должность «Кибер-царя» («Cyber czar»), наделив его очень широкими полномочиями. Американский кибер-царь имеет статус советника Президента, входит в состав Совета Национальной Безопасности и подчиняется советнику по национальной безопасности и советнику Белого Дома по экономике. В его компетенцию входят все вопросы, касающие кибер-безопасности. После этого в правительстве США также была учреждена соответствующая должность. Министр обороны Роберт Гейтс объявил о создании Кибер-команды США (U.S. Cyber Command), которую возглавит директор Агентства Национальной Безопасности (NSA).

Затем правительство Великобритании объявило о своих планах по созданию Офиса по Кибер-безопасности (Office of Cyber Security), который будет действовать совместно с Операционным Центром по Кибер-безопасности (Cyber Security Operations Centre).

Кибер-цари — пока еще, конечно, не министры, однако им осталась всего одна ступень до этого почетного звания. Значит в недалеком будущем и в нашем правительстве появятся аналогичные структуры, т.к. мы не можем позволить себе серьезно отставать в области кибер-безопасности.

Введение

_____________________________________

  • Новые правила игры в новом информационном веке.
  • О чем эта книга?
  • Существуют ли альтернативы управлению рисками?
  • Почему управление рисками является самым важным вопросом информационной безопасности?
  • Для кого написана эта книга?
  • Общая структура изложения материала.

______________________________________

Эта книга опирается на сегодняшний опыт, но ее основная стратегическая задача – подготовить вас к восприятию новой реальности в значительной степени изменившегося мироустройства, которая наступит уже после глобального финансового кризиса, когда неожиданно для многих на смену финансовым проблемам придут проблемы информационные.