Рубрика: Глава 3. Система управления информационными рисками

Вопросы к размышлению

Прежде чем переходить к следующему разделу, постарайтесь ответить на следующие вопросы, которые помогут вам подготовиться к восприятию следующей главы:

  • Какие факторы влияют на решение о принятии риска?
  • На основании каких данных определяется вероятность угрозы?
  • Назовите основные источники уязвимостей.
  • Перечислите основные и вспомогательные бизнес-процессы вашей организации.
  • Какие этапы включает в себя оценка риска?
  • Какие параметры могут использоваться для описания бизнес-процессов организации?
  • Какие категории требований безопасности необходимо учитывать при оценке рисков?
  • Как можно определить ценность тех или иных активов?
  • Как связаны между собой оценка рисков и планирование непрерывности бизнеса?

Требования к эксперту по оценке рисков

В то время как риск-менеджер контролирует функционирование СУИР в целом, стержневые процессы, такие как оценка и обработка рисков, могут выполняться отдельным экспертом или рабочей группой.

Эксперт по оценке рисков (члены рабочей группы) должен отвечать следующим требованиям:

  • базовое понимание того, как функционирует бизнес, и склонности этого бизнеса к риску;
  • понимание основных концепций риска, например, каким образом комбинируются оценки угрозы, уязвимости и ущерба для получения величины риска;
  • понимание ИТ на уровне, достаточном для понимания угроз и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, операционные системы, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также, каким образом они функционируют и взаимодействуют;
  • понимание различных типов механизмов безопасности, как они работают и любые свойственные им ограничения, например, межсетевые экраны, системы обнаружения вторжений, механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также журналирование и мониторинг и т.п.;
  • практическое понимание используемой методологии оценки рисков и любых, связанных с ней инструментов, программного обеспечения или форм;
  • аналитические способности, т.е. способность выделять относящиеся к делу факты;
  • способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
  • уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков в форме, понятной руководству, принимающему решения.

Эксперт по оценке рисков должен быть профессионалом в области ИТ либо информационной безопасности. Он также может быть «человеком из бизнеса» при условии, что он обладает необходимыми знаниями и квалификациями, перечисленными выше, либо он может являться внешним консультантом.

Требования к риск-менеджеру

В небольшой организации управление рисками (риск-менеджмент) может являться для одного из ее руководителей одной из его многочисленных обязанностей. По мере расширения организации и повышения ее чувствительности к информационным рискам возрастает необходимость в создании отдельной позиции риск-менеджера. В более крупной организации для выполнения функций по управлению рисками может создаваться специализированное подразделение.

Согласно BS 7799-3, сотрудники, занимающиеся управлением рисками индивидуально либо в составе соответствующего подразделения, должны обладать следующими характеристиками:

  • систематичные и организованные в своем подходе к мониторингу известных рисков и предложению подходящих мер;
  • бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах;
  • настойчивые и независимо мыслящие, но способные воспринимать противоположные точки зрения и примиряться с ними в случае, если это наилучшим образом помогает бизнесу;
  • способные убедительно представлять аргументацию, например аргументировать расходы на уменьшение высокого риска;
  • способные работать на всех уровнях в организации;
  • хорошо понимающие риск, технологии и механизмы безопасности.

Распределение ответственности за управление рисками

Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п.

Никакого противоречия здесь нет. Все дело в том, что задача службы ИБ состоит не в управлении рисками ИБ, а в их уменьшении до приемлемого уровня, определяемого руководством организации.

Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Руководители ИБ, как можно предположить, не всегда бывают заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.

Основным побудительным мотивом для вкладывания каких-либо средств в безопасность всегда являлся страх. На страхе основан и внешний и внутренний маркетинг безопасности. Размер бюджета, выделяемого на безопасность, прямо пропорционален степени обеспокоенности руководства организации этими вопросами. Чем сильнее руководителю ИБ удастся запугать свое руководство информационными угрозами, тем выше его значимость и лучше финансируется его служба.

Какие последствия для службы ИБ может иметь внедрение процесса управления рисками, при котором руководство организации будет осознанно принимать риски, опираясь на свою оценку среднегодового ущерба от инцидентов безопасности, как это рекомендуется международными стандартами? Что если эта оценка не будет «браться с потолка», а будет определяться по прозрачной методологии, доступной для понимания и проверки всем заинтересованным сторонам, и будет опираться на мнения руководства организации, экспертов и представителей бизнеса? Вдруг такая оценка наглядно покажет, что многие затраты на безопасность не являются оправданными с экономической точки зрения? Вдруг руководство осознает и примет все риски? Что если безопасность перестанет бороться со страхами руководителей и собственников бизнеса, а вместо этого начнет работать на бизнес, помогая ему не тратить, а экономить деньги?

От таких вопросов некоторых руководителей ИБ мог бы прошибать холодный пот. Успокаивает их лишь то, что многие из них искренне не верят в возможность получения достоверных количественных оценок информационных рисков, которые были бы понятны их боссам и могли бы использоваться для принятия экономически оправданных решений.

Таким образом, за оценку рисков ИБ служба ИБ отвечать не может, потому что она не заинтересована в объективной оценке. Безопасникам выгодно, чтобы риски всегда оценивались по-максимому.

Обработка рисков включает в себя четыре взаимно-неисключающих действия: уменьшение риска, принятие (сохранение) риска, передача риска и избежание риска. Служба ИБ из всего этого может отвечать только за уменьшение риска, т.е. за планирование и реализацию конкретных контрмер.

Управление рисками — это функция более высокого уровня нежели текущая деятельность по обеспечению информационной безопасности. Она должна осуществляться руководством организации совместо с риск-менеджером, который и должен нести ответственность за формирование и поддержание в актуальном состоянии ключевых документов: реестра рисков и плана их обработки. Он также должен нести ответственность за осуществление общего контроля процессов управления рисками, включая выполнение правил «Политики управления рисками» и обеспечение соответствия этих правил требованиям международных и национальных стандартов.

Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:

  • Руководство — поддержка и анализ СУИБ, утвреждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общих контроль и т.п.
  • Управляющий комитет по ИБ — стратегическое управление, утверждение ключевых документов и бюджета ИБ
  • Служба риск-менеджмента — оценка рисков, подготовка и контроль реализации решений Руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.
  • Служба ИБ — оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков
  • Служба внутреннего аудита — независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ
  • Служба ИТ — реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместо или под контролем службы ИБ

Такое распределение ответственности является наиболее обоснованным, обеспечивающим взаимных контроль и исключающим конфликт интересов.

Когда руководители ИБ высказывают обоснованные сомнения в возможности реализации в рамках их подразделений процессов по управлению рисками ИБ, мы их успокаиваем: «Продолжайте заниматься текучкой, управление рисками — не ваша задача.»

В случае отсутствия в организации позиции риск-менеджера, его обязанности могут возлагаться на менеджера по информационной безопасности (CISO или директора по ИБ, т.е. на человека, отвечающего за обеспечения ИБ организации в целом), однако по приведенным выше соображениям – это не лучший вариант. Служба ИБ, также как и ИТ и бизнес-подразделения и владельцы активов должны активно участвовать в оценке рисков, но владельцем этого процесса должен быть риск-менеджер.

Служба ИБ вполне может нести ответственность за разработку, реализацию и поддержание в актуальном состоянии методологии оценки рисков информационной безопасности с учетом специфики бизнеса организации и последних достижений в предметной области.

Эффективная СУИР нуждается в извлечении информации из всех возможных источников, включая руководство, всех сотрудников и подрядчиков, безотносительно к выполняемым ими функциям, а также там, где это применимо, от внешних сторон, таких как поставщики и клиенты. Поэтому участие в процессе совершенствования СУИР должно являться частью должностных обязанностей каждого сотрудника организации.

Руководители подразделений компании должны нести ответственность за поддержку и непосредственное участие в оценке рисков информационных активов, владельцами которых они являются, а также за оценку критичности систем и конфиденциальности обрабатываемой информации.

Вице-президент (президент, генеральный или исполнительный директор) координирует выполнение корпоративной программы управления информационными рисками, утверждает «План обработки рисков» и принимает решение по допустимому уровню остаточного риска.

Ключевыми ролями в системе управления рисками являются роли риск-менеджера и эксперта по оценке рисков, которые стоит рассмотреть более подробно, опираясь на соответствующие требования стандарта BS 7799-3.

Аутсорсинг процессов управления рисками

Если информационные риски не являются для организации основными, то управление ими можно отдавать на аутсорсинг.

В BS 7799-3 прямо говорится о такой возможности: «Управление рисками безопасности – это непрерывная деятельность, которая должна быть поручена конкретному сотруднику или группе внутри организации, или бизнес-партнеру по аутсорсингу как часть договорных обязательств».

Аутсорсинг управления информационными рисками может включать в себя, например, следующие услуги (список услуг взят из соответствующего коммерческого предложения компании GlobalTrust):

  • оценку рисков с использованием программного инструментария;
  • мониторинг и анализ существующих механизмов контроля;
  • корректировки механизмов контроля;
  • административные действия: анализ логов, изменение настроек систем защиты, контроль выполнение политики ИБ;
  • изучение отчетов, журнала регистрации инцидентов, результатов аудитов, обратной связи от сотрудников организации;
  • пересмотр и обновление политик и процедур;
  • подготовку данных для анализа СУИР руководством;
  • поддержание реестра рисков и плана обработки рисков в актуальном состоянии;
  • регулярную переоценку рисков;
  • регулярные внешние аудиты ИБ;
  • контроль документации;
  • контроль исполнения планов обработки рисков;
  • регулярное проведение семинаров в рамках программы повышения осведомленности;
  • экономическое обоснование плана обработки рисков для руководства организации;
  • измерение эффективности механизмов безопасности, расчет возврата инвестиций (ROI).

Преимущество аутсорсинга управления рисками такие же, как и у других видов аутсорсинга, – это, прежде всего, экономия средств на поиске, содержании и обучении экспертов и менеджеров по управлению информационными рисками. Нетрудно себе представить, что профессия риск-менеджера, особенно в сфере информационной безопасности, будет оставаться довольно редкой, а значит, хороших специалистов на все организации точно не хватит.

Вопрос аутсорсинга управления рисками пока очень слабо проработан даже на теоретическом уровне. Однако в будущем это направление бизнеса может оказаться перспективным.

Коммуникация рисков

С целью эффективного предоставления отчетности и оповещений о рисках должен быть разработан и поддерживаться в актуальном состоянии план коммуникаций, который определяет ключевых участников процесса управления рисками и лиц, принимающих решения, а также механизмы распространения решений и получения обратной связи. Этот план должен включать в себя механизмы для регулярного обновления информации о рисках как составной части программы непрерывного повышения осведомленности сотрудников компании в вопросах информационной безопасности. Он также должен предусматривать реализацию процедур связи с общественностью для оглашения информации об инцидентах безопасности.

_________________________________________

Коммуникация рисков:

  • ключевые участники и лица, принимающие решения;
  • отчеты и оповещения о рисках;
  • распространение решений по рискам;
  • получение обратной связи;
  • обновление информации о рисках;
  • повышение осведомленности;
  • связь с общественностью;
  • раскрытие информации об инцидентах.

____________________________________

Обратная связь является существенным ингредиентом в повышении эффективности СУИБ, которая должна стать частью культуры организации. С этой целью должна поощряться идентификация и сообщение о проблемах, рисках и инцидентах.

Эффективные предложения по стратегиям исправления должны премироваться. Эта информация должна систематически накапливаться и анализироваться. Например, может использоваться специальная форма для получения предложений от сотрудников. Следующие рекомендации британского стандарта BS 7799-3 касаются организации процесса получения обратной связи и вовлечения сотрудников в процессы управления рисками.

  • Используйте простую и легко заполняемую форму для получения предложений.
  • Четко определите область действия для предложений, касающихся СУИБ и связанной с ней бизнес-деятельности.
  • Определите контакты для отправки предложений и запросов.
  • Выражайте признательность за любое обращение.
  • Сохраняйте восприимчивый ум и будьте гибкими в отношении предложений.
  • Там, где это возможно, привлекайте человека, сделавшего предложение, к процессу решения проблемы.
  • Предусмотрите систему премирования полезных обращений.
  • Быстро и эффективно внедряйте предлагаемые усовершенствования.
  • Делайте информацию об успешных усовершенствованиях достоянием общественности.
  • Выпускайте периодические напоминания о процессе усовершенствования.

Корректирующие и превентивные меры

По результатам мониторинга, проверок со стороны руководства или аудитов должны приниматься соответствующие корректирующие и превентивные меры. В то время как корректирующие меры направлены на устранение существующих нарушений и несоответствий требованиям безопасности, превентивные меры направлены на устранение причин этих нарушений и несоответствий. Эти меры в свою очередь должны подвергаться независимым проверкам для того, чтобы гарантировать, что они:

  • направлены на идентифицированную корневую причину и должным образом устраняют проблему;
  • действительно были реализованы;
  • эффективно предотвращают повторное возникновение проблемы.

Получение необходимых свидетельств такой проверки может потребовать повторения цикла Планирование – Реализация – Проверка – Действие. Таким образом, со временем будет получена точная картина действенности корректирующих и превентивных мер.

Управление документами и записями

Для эксплуатации и сопровождения СУИБ необходима полная, доступная и корректная документация, а также контролируемый процесс управления документами, область действия и уровень детализации которого для разных организаций может варьироваться. Ответственность за осуществление надзора над процессом управления документацией должна быть четко определена и согласована.

Требования к управлению документами и записями содержатся в ISO 27001. Эти требования полностью соответствуют требованиям, предъявляемым к документации другими стандартами систем управления, такими как ISO 9001. Они помогают комбинировать различные системы управления и согласованно применять необходимые механизмы контроля документации. Эффективный контроль документов способствует согласованному распространению информации, устраняя неразбериху в отношении состояния СУИБ.

_______________________________________

Управление документами и записями:

  • контроль и защита документов и записей;
  • утверждение, анализ и корректировка документов;
  • идентификация изменений и статуса текущих версий;
  • обеспечение доступности, передачи, хранения и уничтожения документов и записей;
  • идентификация устаревших документов и документов, имеющих внешнее происхождение;
  • контроль над распространением документов;
  • предотвращение непреднамеренного использования устаревших документов.

________________________________________

Документация включает в себя политики, стандарты, руководства, процедуры, списки проверки, реестр рисков и другие документы, используемые для поддержки СУИБ. В ISO 27001 содержится список документации, которая в обязательном порядке должна быть разработана. Он включает в себя:

  • документированные положения политики безопасности и цели контроля;
  • область действия СУИБ;
  • процедуры и механизмы контроля, поддерживающие СУИБ;
  • описание методологии оценки рисков;
  • отчет об оценке рисков;
  • план обработки рисков;
  • документированные процедуры, которые необходимы для обеспечения эффективного планирования, выполнения и контроля процессов информационной безопасности и описывающие, как измерять эффективность механизмов контроля;
  • записи о процессах СУИБ;
  • декларация о применимости механизмов контроля.

Эта, а также любая другая, документация и записи, необходимые для эксплуатации СУИБ и предоставления свидетельств ее корректного и эффективного функционирования, должны поддерживаться в актуальном состоянии. Некоторая документация, относящаяся к исполнению механизмов контроля СУИБ, может находиться в области ответственности функциональных подразделений, не относящихся к информационной безопасности.

Взаимосвязь процессов аудита и управления рисками

Должен быть разработан график проведения независимой стороной регулярных внутренних аудитов. Независимая сторона не обязательно должна быть внешней по отношению к организации. Аудиты, проводимые внешним органом, являются обязательными для прохождения сертификации по ISO 27001, а также для акционерных обществ, финансовых организаций и других организаций согласно требованиям законодательства. Внутренние аудиторы не должны быть подконтрольны тем, кто несет ответственность за повседневное управление СУИБ. В случае, когда при внутренних аудитах обнаруживается необходимость в принятии мер по корректировке СУИБ, эти меры должны быть документированы в полном объеме, а также должна быть определена ответственность и установлены сроки.

Набор мероприятий, проводимых при оценке рисков и при комплексном аудите, в значительной степени совпадает.

________________________________________

Задачи аудита:

  • идентификация активов, угроз и уязвимостей;
  • оценка уровня защищенности;
  • оценка соответствия требованиям;
  • выработка рекомендаций по повышению уровня защищенности и ликвидации уязвимостей.

________________________________________

Для проведения аудита необходимы требования и критерии, выработанные в ходе оценки рисков. Для оценки рисков необходимо проведение мероприятий по аудиту. Это два параллельных процесса, обменивающихся информацией между собой. Один не может существовать без другого. Поэтому во многих случаях аудит включает в себя оценку и обработку рисков, а оценка рисков предполагает проведение аудита.

__________________________________

Задачи управления рисками:

  • оценка активов, угроз и уязвимостей;
  • оценка уровней рисков;
  • оценка рисков несоответствия требованиям;
  • принятие решений по обработке рисков.

___________________________________

Если же аудит не включает в себя оценку рисков, тогда речь идет либо об оценке соответствия конкретным нормативным документам, либо об узкой области аудита, когда, например, требуется оценить защищенность конкретной системы или приложения в отношении внешних угроз.

При рассмотрении безопасности организации в комплексе, аудит и оценка рисков – это фактически составные части одного процесса.

Пересмотр и переоценка риска

Результаты первоначальной оценки рисков и анализа со стороны руководства должны регулярно проверяться на предмет изменений. Существует несколько факторов, которые могут изменить первоначальную оценку рисков. Любые новые функции бизнеса могут означать появление новых или изменение существующих информационных активов, а также любые другие изменения, документируемые и рассматриваемые в процессе оценки и управления рисками. Другие изменения в ситуации с рисками могут быть обнаружены в результате анализа организации, ее бизнес-целей и/или процессов, анализа корректности и эффективность реализованных механизмов безопасности, а также внешних изменений (например, окружающей среды, социальных или политических). Также могут быть идентифицированы новые или изменившиеся угрозы и/или уязвимости.

После того как все эти факторы были учтены, величина риска должна быть переоценена, а также должны быть идентифицированы и документированы изменения, которые необходимо внести в решения по обработке риска. Эти изменения должны быть согласованы с руководством и реализованы.

Результаты переоценки рисков и новые решения по их обработке отражаются в реестре информационных рисков и в плане обработки рисков, представляющих собой важное средство коммуникации рисков. Структура этих документов далее будет подробно рассмотрена.