Рубрика: Глава 4. Оценка информационных рисков

Контрактные обязательства

Наряду с нормативными требованиями следует также проанализировать контрактные обязательства организации, выраженные в договорах с поставщиками, дилерами, разработчиками, партнерами, клиентами и другими внешними сторонами. Эти договора анализируются на предмет наличия обязательств по соблюдению авторских прав и лицензионных соглашений, соглашений о конфиденциальности, компенсации материального ущерба и т.п.

Соглашения и договора с внешними сторонами могут накладывать на организацию любые обязанности и ответственность за обеспечение защиты информации третьих сторон, включая соблюдение политики безопасности внешних сторон, требований по обеспечению физической защиты оборудования и помещений, реализации мероприятий по защите от вредоносного ПО, разграничения доступа к совместно используемым ресурсам, повышению осведомленности сотрудников и т.п.

Внешние стороны оказывают очень значительное влияние на информационные риски, с которыми сталкивается организация, поэтому все соглашения и договора с внешними сторонами должны подвергаться тщательному анализу со стороны эксперта по оценке рисков совместно с юристами организации. Требования внешних сторон должны отражаться в общем реестре требований безопасности.

Требования законодательства и нормативной базы

Незнание закона не освобождает от ответственности.
А вот знание нередко освобождает.

Станислав Ежи Лец, польский писатель

Организации все чаще сталкиваются с необходимостью обеспечения соответствия широкому диапазону законодательных и нормативных требований, оказывающих влияние на их процессы управления информацией. Требования законодательной и нормативной базы настолько разнообразны, что мы могли бы посвятить этой теме целую главу, если бы это не уводило нас немного в сторону от основной темы. Требования эти так важны для организаций, особенно для государственных, что порой складывается впечатление, будто вся деятельность специалистов, отвечающих за безопасность этих организаций сводится к удовлетворению требований ФСТЭК, ФСБ, Министерства обороны и Банка России в области защиты информации, что выражается в прохождении проверок и получении от этих организаций соответствующих документов подтверждающих соответствие. Такие специалисты либо считают, что основная опасность для их бизнеса исходит именно от государства и заключается в возможности применения в отношении них определенных санкций, либо они уверенны что кто-то «наверху» уже оценил все риски информационной безопасности и подготовил для них универсальные рецепты в виде нормативных документов, следование которым обеспечивает достаточную защиту. Как бы наивно ни выглядели подобные рассуждения, они достаточно широко распространены, судя потому, что преобладающая часть российского рынка информационной безопасности «не выходит за рамки» нормативных требований, посвящая себя обеспечению соответствия этим требованиям не в дополнение, а вместо управления рисками.

Для того чтобы разобраться с непрерывно возрастающим количеством законодательных и нормативных инструментов регулирования, требуется определенная структуризация.

Для государства существует довольно много побудительных причин регулирования сферы информационной безопасности:

Национальная безопасность. Забота о национальной безопасности вызвана возрастанием угрозы глобального терроризма и кибертерроризма.

Обеспечение защиты государственных тайн и государственных интересов в информационной сфере.

Корпоративное управление. Государственное законодательное регулирование в сфере корпоративного управления является результатом резких провалов в области корпоративного управления, предоставления компаниями недостоверной информации о своей деятельности инвесторам, аналитикам, рейтинговым агентствам и государству.

Электронная коммерция. Регулирование в сфере электронной коммерции является результатом необходимости установления доверия к онлайновой торговле в Интернет.

Защита персональных данных. Необходимость обеспечения безопасности персональных данных является результатом очевидных упущений в области корпоративной безопасности, которые порождают утечки персональных данных.

Защита интеллектуальной собственности. Для нормального развития экономики, особенно инновационной, необходимо обеспечить защиту авторских и патентных прав, «ноу хау» и других объектов интеллектуальной собственности.

Гражданская и уголовная законодательная база, необходимая для борьбы с преступлениями в информационной сфере.

Нормативная база, специфичная для конкретного сектора (отрасли) экономики, например, электроэнергетики, газовой отрасли и т.п.

Помимо перечисленного, другими побудительными причинами могут выступать охрана здоровья и обеспечение безопасности личности, забота о сотрудниках и клиентах, являющихся инвалидами, необходимость защиты государственных налоговых сборов, необходимость исключения дискриминации на работе и т.п.

Такое законодательство и нормативная база предназначены для того, чтобы гарантировать, что организации внедряют эффективные механизмы контроля и аудита потоков информации (персональной, финансовой и операционной). Большинство законодательных и нормативных актов рассматривают оценку рисков в качестве важного элемента этих эффективных механизмов контроля.

Не все из перечисленного в настоящее время имеет отношение к России, однако мы посмотрим на законодательство немного шире, т.к. новые нормативные акты, внедряемые на Западе, постепенно доходят и до России, хотя и в несколько искаженном виде.

Действующее информационное законодательство Российской Федерации представлено целым блоком нормативно-правовых актов самого различного уровня, начиная с Конституции, Гражданского, Уголовного и Административного кодекса РФ и заканчивая узкоспециализированными, фундаментальными источниками, регулирующими вопросы защиты информации, к которым относятся законы РФ «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», Закон о коммерческой тайне, Законы о персональных данных и о служебной информации. Перечень законодательных и нормативных актов РФ в области защиты информации приведен в Приложении № 9.

Остановимся на перечисленных группах законодательных актов более подробно, используя в качестве примеров законодательные базы Европы и Северной Америки, как наиболее развитые, а также российское законодательство, как наиболее нам близкое.

Национальная безопасность

Меры по обеспечению национальной безопасности направлены на защиту от угроз в отношении критической национальной инфраструктуры, исходящих из таких источников, как террористы, кибер-атаки и кибер-шпионаж, спонсируемые на государственном уровне, а также катастрофы техногенного, антропогенного или природного происхождения.

Европейские меры в этой области имеют тенденцию к тому, чтобы, по возможности, не использовать законодательных инструментов. Большинство правительств имеют агентства, задачей которых является защита критической национальной информационной инфраструктуры (такие как Координационный центр безопасности сетевой инфраструктуры (NISCC) в Объединенном Королевстве). В 2004 году ЕС основал Европейское Агентство по безопасности сетевой информации (ENISA).

США наделили Департамент Национальной Безопасности (DHS) всей полнотой ответственности за защиту критической национальной инфраструктуры, а также внедрили большое количество законодательных инструментов, возложив ответственность за определенные аспекты этой задачи на промышленные организации и правительственные агентства, включая Североамериканский Совет по электрической безопасности, Федеральную Комиссию по регулированию в области энергетики и др. В числе основных законодательных актов в данной области можно отметить Федеральный Акт об управлении информационной безопасностью (FISMA) и Акт США о патриотизме (USAPA).

В 2003 году Президентом США была утверждена «Национальная стратегия обеспечения безопасности киберпространства». Этот объемный документ адресован широкой общественности и направлен на расширение взаимодействия и консолидацию усилий различных слоев общества, государственных, общественных и частных организаций в деле противодействия кибертерроризму. Основная часть Стратегии расставляет приоритеты по созданию системы ответных мер, программы противодействия угрозам и уязвимостям, программы обучения и повышения осведомленности, национальной и международной кооперации. Повышение защищенности промышленных систем было объявлено в США национальным приоритетом.

Российское правительство также начинает задумываться о защите государственного информационного пространства в сети Интернет. Начать, как водится, решено с разработки концепции. Когда эта концепция увидит свет пока сказать сложно.

__________________________________

Из новостей СМИ:

Правительство РФ всерьез задумалось о безопасности российского сегмента Интернета. Специальная рабочая группа при Минкомсвязи займется написанием концепции повышения безопасности Рунета, рассказал министр связи и массовых коммуникаций.

Направление работ и примерные меры по усилению безопасности Рунета министр не сообщил, однако среди существующих в нем угроз он назвал взломы и атаки, ограничивающие доступ к сайтам, в частности, коммерческих и правительственных учреждений.

____________________________________

Корпоративное управление

Законодательное и нормативное регулирование в области корпоративного управления нацелено на защиту инвесторов. Оно направлено главным образом на открытые акционерные общества и требует от них демонстрации должного усердия при раскрытии финансовой информации, прозрачного управления операционными рисками и реализации серии внутренних механизмов контроля и процедур, которые позволят этого добиться. Основной целью этих мер является убеждение потенциальных и существующих инвесторов в том, что финансовая отчетность бизнеса представляет правдивую картину организации, и они вполне могут на нее полагаться.

В Европе корпоративное управление регулируется такими нормативными актами, как Объединенные Правила внутреннего контроля (Turnbull), для компаний, акции которых котируются на Лондонской Фондовой Бирже (LSE); положение о контроле операционного риска в Базель II, для банков, участвующих в международной торговле; а также «Руководство для органов управления финансовыми сервисами (FSA)» для банков и финансовых организаций Объединенного Королевства. Контроль процессов аудита в Объединенном Королевстве стал частью законодательной базы с вводом в действие «Акта о компаниях» 2004 года.

В США Акт Сарбейнса-Оксли (SOX) поставил корпоративное управление на прочный законодательный фундамент, определив персональную ответственность руководства за предоставление недостоверной информации в финансовых отчетах, наказываемое тюремным заключением для главных исполнительных директоров (CEO) и главных финансовых директоров (CFO).

Риски подвергнуться предусмотренным законодательством санкциям за несоответствие SOX и Turnbull актуальны и для ряда российских компаний, акции которых торгуются на Нью-Йорской и Лондонской фондовых биржах. Эти компании, как правило, являются лидерами своих отраслей и активно привлекают зарубежные инвестиции на фондовом рынке.

Нормативное регулирование электронной коммерции

Целью законодательного и нормативного регулирования в области электронной коммерции является повышение доверия граждан к онлайновым транзакциям, которые становятся одним из важнейших механизмов в современной экономике. Для достижения этой цели разрабатываются требования по обеспечению безопасности информационных систем, используемых для реализации онлайновых транзакций.

Эти требования охватывают следующие области:

  • использование электронных записей и электронных подписей;
  • создание, модификация, хранение и передача электронных данных;
  • предотвращение нецелевого использования ИТ систем.

Большинство европейских стран имеют законодательные акты, эквивалентные Акту о компьютерных злоупотреблениях Объединенного Королевства. ЕС активно формирует законодательную базу в этой области, примеры которой включают:

  • Директиву об электронных подписях;
  • Директиву о защите потребителей и дистанционных продажах;
  • Директиву о защите персональных данных и электронных коммуникаций;
  • Конвенцию Совета Европы о киберпреступности.

США менее активны в данной области. Их законотворчество носит отраслевой характер. Например, существуют Положения об администрировании продуктов питания и лекарственных препаратов (FDA), регулирующие использование электронных записей и подписей в фармацевтической промышленности (21CFR11). Комиссия по ценным бумагам и фондовым биржам (SEC) проявляла определенную активность в области управления жизненным циклом документов и предложила ряд федеральных нормативных актов США, которые были приняты в нескольких штатах.

Защита персональных данных

Законодательное и нормативное регулирование в области защиты персональных данных предназначено для определения прав и обязанностей физических лиц и организаций применительно к сбору, использованию, сохранению и раскрытию персональных данных. В случае неправомерного раскрытия требуется извещение.

В Европейском Союзе все страны ввели в действие национальное законодательство на базе Директивы Европейского Союза о защите данных.

Канада приняла подход, аналогичный принятому в Европейском Союзе Акту о защите персональной информации и электронных документов (PIPEDA).

Законодательство США по защите персональных данных направлено на конкретные области, такие как:

  • Акт Грэмм-Лич-Блайли (GLBA);
  • Акт об учете и страховании здоровья (HIPAA)

или оно ориентировано на конкретные типы преступлений, например:

  • Акт Калифорнии о нарушении безопасности информации (Билль Сената № 1386) (ориентирован на кражу персональных данных);
  • Акт о защите частной жизни детей в онлайне (COPPA);
  • Акт о правах семей на образование и частную жизнь (FERPA).

Законодательство США предусматривает очень серьезное наказание за раскрытие персональных данных граждан. Соответствующие вопросы отражены в Privacy Act и HIPPA. Последний определяет наказание до 10 лет лишения свободы или 200 тыс. долларов штрафа за умышленное раскрытие персональных данных.

Принятый в июле 2006 года в России закон «О персональных данных» (ФЗ-152) внес еще больше сумятицы и в без того непростую ситуацию с законодательством в сфере защиты информации. Предоставленная операторам персональных данных отсрочка по выполнению требований этого закона действует до 2010 года, и организациям приходится принимать экстренные меры, чтобы не подвергать себя рискам применения к ним санкций со стороны государства.

Меры эти заключаются в выполнении весьма нетривиальных требований закона и выпущенных на его основе нормативных актов, а именно:

  • Регистрация в качестве оператора персональных данных в Россвязькомнадзоре.
  • Разработка и принятие документов, регламентирующих вопросы предоставления доступа и защиты персональных данных, оформления допусков сотрудников к этим данным.
  • Формирование перечня обрабатываемых персональных данных, классификация информационных систем персональных данных (ИСПД) и подготовка этих систем к аттестации по требованиям безопасности, что влечет за собой также сертификацию средств защиты информации (СЗИ) и средств обработки информации (СОИ), используемых в составе ИСПД.
  • Операторам ИСПД первого и второго класса, согласно устанавливаемой в нормативных документах ФСТЭК классификации, кроме того, предписывается получать лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) либо отдавать обслуживание таких систем на аутсорсинг лицензиатам ФСТЭК.

Прежде всего возникает вопрос, а возможно ли вообще на практике обеспечить выполнение требований данного закона? Например, для выполнения требования о регистрации операторов персональных данных необходимо как минимум провести всероссийскую перепись населения и юридических лиц! Ведь, согласно определению Закона, оператор ПД – это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных». Под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу», а под обработкой ПД понимаются любые действия с ними, включая их хранение.

У каждого из нас в мобильном телефоне имеется база персональных данных, обрабатываемая с использованием средств автоматизации. База персональных данных по клиентам и контрагентам имеется также у любой организации. Если руководствоваться принятыми определениями, то в России насчитываются десятки миллионов операторов персональных данных, которые должны быть зарегистрированы надлежащим образом в Россвязькомнадзоре. Непонятно, каким образом будет выполняться данное требование закона. В конечном счете государственные контролирующие органы сами будут решать, к кому применять, а к кому не применять нормы закона.

Забота государства о своих гражданах и их конституционных правах понятна и обоснована. Однако на деле все в основном сводится к выписыванию бумажек (лицензий, сертификатов и аттестатов), которые обходятся весьма недешево, но на практике защищают не персональные данные граждан, а лишь обладателей этих бумажек от возможных «наездов», создавая дополнительный фронт работ для тех, кто эти бумажки выписывает. Если раньше аттестация АС носила добровольный характер для большинства негосударственных организацией, то теперь почти в каждой организации можно найти объекты, подлежащие обязательной аттестации. Эта ситуация будет способствовать избирательности применения данных норм и их свободной трактовке как со стороны регулирующих органов, так и со стороны тех, кому предписано эти нормы выполнять. В результате, как обычно, получаем перекладывание денег из одних карманов в другие.

В отношении ФЗ-152 сейчас раздается много критики со всех сторон. Но ведь РФ не является первооткрывательницей в вопросах защиты информации и персональных данных в частности. Многое заимствуется из европейского и американского законодательства, которое ушло в своем развитии далеко вперед. Британский Акт о защите данных (UK Data Protection Act) был принят еще в 1984 году, а затем обновлен в 1998 году, после выхода директивы Европейского Союза о защите данных (EU Directive on Data Protection). Не удивительно, что ФЗ-152 принципиально мало чем отличается от европейских законодательных актов. Если не углубляться в юридические тонкости, то фактически тем же самым принципам в защите персональных данных следуют все европейские страны.

Европейское законодательство также предусматривает обязательную регистрацию операторов персональных данных, сталкиваясь при этом с теми же самыми проблемами. Исследование, проведенное Personnel Policy Research Unit в 1998 году (через 14 лет после принятия Британского Закона о защите данных) показало, что из 1100 опрошенных ИТ менеджеров 19% вообще не имеют понятия о требовании по регистрации в качестве оператора ПД, а в небольших компаниях таких ИТ менеджеров 48%. Кроме этого, 48% опрошенных в крупных компаниях и 66% в малом бизнесе затруднились ответить на вопрос об обязанностях оператора в отношении обеспечения безопасности ПД. Только 1% опрошенных вспомнили о том, что передача ПД должна оформляться должным образом и 2% вспомнили, что ПД не должны храниться дольше, чем требуется. Британский Реестр персональных данных (Data Protection Register) в 1998 году содержал более 200 тыс. записей об операторах и каждую неделю там регистрировалось еще 500 операторов. Пятая часть компаний к этому времени еще не выполнили требования о регистрации.

Европейская директива 1998 года предоставила операторам ПД еще до 12 лет отсрочки в отношении выполнения ряда требований. Российская четырехлетняя отсрочка закончится в 2010 году, одновременно с их двенадцатилетней отсрочкой. Как видим, наши операторы ПД поставлены в значительно более жесткие условия, нежели европейские, обладающие форой в более чем 20 лет.

Обращает на себя внимание разница между европейским и в российским законодательством в определении ключевого понятия – «персональные данные». Согласно ФЗ-152: «персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Европейское определение ПД звучит следующим образом: «персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) и включающая в себя любое выражение мнения об индивидууме и любые признаки намерения оператора данных или любого другого лица в отношении индивидуума», а вовсе не имя, фамилия, отчество, адрес и т.п., как в российском варианте.

Другими словами, европейские законодатели считают персональными данными не то же самое, что российские. Европейские ПД – это лишь подмножество российских ПД. И хотя такие понятия, как «выражение мнения» и «признаки намерения» явно нуждаются в дальнейшем разъяснении, очевидно, что к ПД в Европе вряд ли можно отнести, например, рабочие контакты, хранящиеся в мобильных телефонах (ФИО, номер телефона, адрес и название компании, где человек работает).

России предстоит пройти еще долгий путь совершенствования законодательства в области персональных данных и формирования соответствующей правоприменительной практики.

Защита интеллектуальной собственности

Все страны используют определенные формы законодательства о коммерческой тайне, авторском праве и патентах, направленного на защиту интеллектуальной собственности физических лиц и организаций. В России вопросы защиты прав интеллектуальной собственности регулируются четвертой частью Гражданского Кодекса РФ.

Наибольшее значение для организаций имеет обеспечение защиты коммерческой тайны. Предметом защиты коммерческой информации являются все, свойственные предприятиям компании особенности и детали коммерческой деятельности, деловые связи, закупка сырья и товаров, сведения о поставщиках, предполагаемой прибыли, методики установления цен, результаты маркетинговых исследований, счета, договора и т.п.

По гражданскому законодательству (ст. 139 Гражданского Кодекса РФ) обладатель технической, организационной или коммерческой информации, составляющей секрет производства, имеет правовую защиту от незаконного ее использования при условии, что:

  • эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
  • к этой информации нет свободного доступа на законном основании;
  • обладатель информации принимает надлежащие меры к соблюдению ее конфиденциальности.

Отношения, возникающие между субъектами гражданского общества, связанные с отнесением информации к коммерческой тайне, передачей такой информации, и охраной ее конфиденциальности, регулируются Законом РФ «О коммерческой тайне», согласно которому права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны, под которым понимаются «правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности».

Отраслевая специфика

Отраслевая нормативная база предназначена для контроля тех аспектов информационной безопасности, которые являются уникальными для определенной отрасли и от которых зависит ее безопасность или безопасность широкой общественности. Примеры из европейского законодательства включают в себя нормативные документы Управления питания и фармацевтики (FDA) для фармацевтических компаний, а также законы о сохранении данных, которые действуют в отношении телекоммуникационных и Интернет провайдеров. Нормативные акты, применимые к компаниям, выпускающим кредитные карты, также применяются и к организациям, имеющими дело с этими компаниями.

Развитие российского рынка ИБ в немалой степени связано с возрастанием требований по ИБ в таких монополистах, как Банк России, РЖД, система электроэнергетики (бывшая РАО ЕЭС), Газпром и пр., пытающихся сформировать собственную отраслевую нормативную базу в области ИБ для подконтрольных им структур. Например, в Банке России введен в действие ряд стандартов по ИБ, которые пока носят рекомендательный характер, но в дальнейшем вполне могут стать обязательными.

Организации должны определить какие отраслевые нормативные акты применимы в их юрисдикции и учитывать их при оценке юридических рисков, связанных с невыполнением требований информационной безопасности.

Реестр требований безопасности

Применимые к организации требования законодательной и нормативной базы, требования бизнеса, а также требования, вытекающие из контрактных обязательств организации, оформляются в виде реестра требований безопасности.

__________________________________________

Идентификация требований безопасности:

  • Идентифицируются:
  • законодательные и нормативные требования;
  • контрактные обязательства;
  • требования бизнеса.
  • Цель:
  • идентификация юридических, репутационных, финансовых и бизнес-рисков, связанных с нарушением обязательных требований.

_____________________________________

Реестр требований безопасности используется для оценки и контроля следующих рисков:

  • юридических рисков, возникающих при нарушении организацией требований действующего законодательства и нормативной базы в области информационной безопасности;
  • юридических, репутационных и финансовых рисков, связанных с невыполнением организацией контрактных обязательств;
  • бизнес-рисков, связанных с невыполнением требований бизнеса к обеспечению информационной безопасности, нарушение которых может повлечь причинение ущерба организации и затруднить достижение целей бизнеса.

Ответственность за формирование и поддержание в актуальном состоянии реестра требований информационной безопасности несет менеджер информационной безопасности. Актуализация и контроль выполнения требований осуществляется в ходе проведения плановых аудитов. При этом по каждому требованию в реестре проставляется отметка о выполнении, например, следующим образом:

  • Y (Yes) – выполнено;
  • QY (Quote Yes) – частично выполнено;
  • N (No) – не выполнено;
  • ? – проверка не проводилась.

В графе «Примечания» даются пояснения относительно выбранной отметки о выполнении/невыполнении требования.

Для каждого требования безопасности могут также указываться информационные активы, на которые это требование распространяется, и категория требования (конфиденциальность, целостность, доступность, аутентичность, неотказуемость).

Далее мы подробнее расcмотрим различные категории требований безопасности.

Идентификация требований безопасности

После идентификации активов должны быть определены требования безопасности для этих активов. Ранее мы уже определили основные требования для бизнес-процессов. Теперь наша задача заключается в том, чтобы трансформировать требования, сформулированные на уровне бизнес-процессов, в требования, предъявляемые к безопасности конкретных информационных активов, участвующих в процессах, т.е. выразить их в терминах конфиденциальности, целостности и доступности.

В любой организации требования безопасности происходят из трех основных источников:

  1. уникальный для данной организации набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации;
  2. применимые к организации, ее коммерческим партнерам, подрядчикам и сервис-провайдерам требования законодательства, нормативной базы и договоров;
  3. уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов и который применяется к информационным системам организации.

Первая категория требований формируется на основе оценки рисков. В этом и заключается основная идея риск-ориентированного подхода, выраженного в ISO 27001. Большинство механизмов контроля, описанных в этом стандарте, носят опциональный характер и должны выбираться на основе оценки рисков. Эти требования мы сможем сформулировать позднее по результатам оценки рисков.

Вторая категория требований безопасности «спускается сверху» государственными регулирующими органами и носит обязательный характер, независимо от результатов оценки рисков. В отношении этой категории требований наблюдается устойчивая тенденция к постоянному разрастанию и ужесточению. Как было показано ранее, эти требования могут и не уменьшать риски, но зато всегда создают дополнительные юридические риски для организации. Организация обязана обеспечить соответствие этим требованиям по закону, однако сделать это порой бывает не просто и не только потому, что требует дополнительных затрат, не всегда оправданных с точки зрения бизнеса и экономически обоснованных. Законодательство, как и все созданное человеком, – вещь несовершенная и непрерывно развивающаяся. Новые нормативные документы не всегда соответствуют реалиям сегодняшнего дня и могут вступать в противоречие с другими нормативными документами, выпущенными ранее. Подробнее об этом можно почитать в статье «Что мешает развитию ИБ в России» (см. Библиографический список в конце книги).

Не все требования данной категории можно выразить в терминах конфиденциальности, целостности или доступности. К ней относятся также требования, не имеющие прямого отношения к свойствам безопасности информации, такие как требования по лицензированию, сертификации и аттестации, регистрации в качестве оператора персональных данных и т.п. Несоответствие этим требованиям порождает юридические риски для организации, которые также требуется оценить и обработать.

Таким образом, если первая группа требований формируется по результатам оценки рисков, то вторая группа требований порождает дополнительные риски и связанную с ним необходимость в оценке и обработке этих рисков.

Эти группы требований могут взаимно пересекаться. В идеале же они должны совпадать. Для этого всего лишь требуется, чтобы все требования законодательства и нормативной базы были обоснованы с точки зрения существующих рисков. Однако на практике это недостижимо хотя бы потому, что у каждой организации существуют свои специфические риски и свое отношение к ним.

Помимо требований законодательства и нормативной базы, на данном этапе необходимо также определиться с требованиями безопасности, вытекающими из контрактных обязательств организации. Невыполнение данных требований порождает риски, связанные со штрафными санкциями, прописанными в договорах, потерей деловой репутации, разрывом отношений с партнерами или клиентами и потерей важных контрактов.

Третья категория требований – требования бизнеса – обусловлена внутренними факторами, такими как стремление организации соответствовать высоким стандартам обслуживания клиентов, оперативности реагирования на их запросы, предоставления максимально точной и полной информации. Эти требования организация определяет для себя самостоятельно, исходя из своей миссии, целей бизнеса, своего положения на рынке и текущей рыночной ситуации. Эти требования уже были идентифицированы ранее на этапе описания бизнес-процессов и могут быть трансформированы в конкретные требования к конфиденциальности, целостности и доступности тех или иных информационных активов, участвующих в этих процессах.

Описание бизнес-процессов

Идентификацию (инвентаризацию) активов следует начинать сверху вниз, т.е. с идентификации и описания бизнес-процессов, а не снизу вверх, как это склонны делать ИТ специалисты, формируя при помощи специализированных программных средств ни к чему не привязанные списки информационных, программных и аппаратных активов.

Бизнес-процессы сами по себе рассматриваются в качестве основных активов организации, которые представляют собой комбинацию разнородных активов, таких как информация, технические и программные средства, кадровые ресурсы, юридические и контрактные обязательства и т.п. Все эти активы представляют ценность для организации только в контексте ее бизнес-процессов, в рамках которых они используются для достижения целей бизнеса. Поэтому, прежде чем начинать заниматься активами, необходимо разобраться с целями организации и процессами, реализуемыми для достижения этих целей.

Организации используют большое количество процессов, одни из которых можно отнести к внутренним, другие к внешним. В маленьких организациях большое количество этих процессов может реализовываться одним подразделением или даже одним человеком. Поскольку оценка информационных рисков входит в обязанности всей организации, все участники бизнеса должны идентифицировать информационные активы, являющиеся критичными для выполнения ими своих функций, и должны убедиться в том, что связанные с ними риски были оценены, а соответствующие механизмы контроля были реализованы и поддерживаются для управления идентифицированными рисками.

Для целей управления рисками мы делим все процессы на внешние и внутренние, а также на основные и вспомогательные. Определенные категории рисков являются специфичными для определенных групп процессов. Прежде всего необходимо описать основные направления деятельности организации и бизнес-процессы в рамках этих направлений. Это внешние процессы, ориентированные на конечного потребителя и приносящие организации доход. Именно с нарушением этих бизнес-процессов связаны основные риски организации. Любые неурядицы с вспомогательными процессами несут риски для организации лишь в той степени, в которой эти вспомогательные процессы оказывают влияние на основные бизнес-процессы организации. Далее мы рассмотрим специфику основных и вспомогательных процессов и соответствующие категории рисков более подробно.

Основные бизнес-процессы организации

Основными бизнес-процессами мы называем такие процессы, которые позволяют организации непосредственно зарабатывать деньги, осуществлять миссию организации и достигать ее бизнес-целей. Поскольку цели любой организации заключаются в производстве некоторых продуктов или услуг и предоставлении этих продуктов или услуг заинтересованным внешним сторонам, то мы называем такие процессы внешними. Эти процессы либо состоят во взаимодействии с внешними сторонами, либо ориентированы на внешние стороны. К внешним процессам относятся:

  • продажи и маркетинг;
  • производство и эксплуатацию;
  • поддержку клиентов;
  • логистику и доставку;
  • работу с дилерами и контрагентами;
  • внешние инвестиции;
  • налоговый учет и уплата налогов;
  • работу с акционерами;
  • и т.д.

Следующие риски являются специфичными для отдельных внешних процессов организации:

  • Продажи и маркетинг. Эти виды деятельности представляют собой жизненно важный интерфейс между организацией и обществом. В любой организации существует потенциальный риск нарушения конфиденциальности информации в ходе торговых и маркетинговых операций, а также причинения ущерба репутации организации по причине того, что не были обеспечены точность и доступность информации.
  • Производство и эксплуатация. Информация, используемая в процессах производства и эксплуатации, должна быть очень точной и согласованной, а также доступной по первому требованию. Для тех ресурсов, которые являются критическими для процессов производства и эксплуатации, соответствующие риски должны быть четко идентифицированы и обработаны.
  • Поддержка клиентов. Этот процесс требует точной информации, доступной по первому требованию. Последствиями нарушений являются причинение ущерба репутации организации.

Вспомогательные процессы организации

Вспомогательными процессами мы называем такие процессы, которые необходимы для поддержания (обеспечения условий выполнения) основных процессов организации. Эти процессы предоставляют информацию, услуги и другие ресурсы внешним бизнес-процессам. Поэтому мы также называем такие процессы внутренними и обычно даже не используем слово бизнес в их названии, а просто говорим о внутренних либо о вспомогательных процессах организации. К таким процессам относят следующее:

  • управление кадрами;
  • исследования и разработки;
  • администрирование и ИТ;
  • финансы и бухгалтерию;
  • обеспечение безопасности (физической, экономической, информационной);
  • аудит;
  • риск-менеджмент;
  • и т.п.

Вслед за внешними бизнес-процессами такие внутренние процессы также необходимо идентифицировать и описать, т.к. без них невозможна реализация внешних бизнес-процессов.

Следующие риски являются специфичными для внутренних процессов организации:

  • Управление кадровыми ресурсами. Риски информационной безопасности неизбежно возникают при взаимодействии сотрудников и информационных систем. Следовательно, все сотрудники играют важную роль в состоянии дел с рисками в организации. Эти риски должны учитываться при найме, обучении, поощрении, наказании, а также при увольнении или переводе на другую работу.
  • Исследования и разработки. Эти виды деятельности могут представлять собой значительный риск в случае, если существует неконтролируемая связь между средой разработки и средой производства/эксплуатации. Исследования и разработки могут также производить строго конфиденциальную информацию, составляющую коммерческую тайну организации, такую как информация, относящаяся к разрабатываемым продуктам. Поэтому участники этих процессов должны быть осведомлены о рисках и о своей ответственности за управление ими.
  • Администрирование и ИТ. Эти процессы часто рассматриваются в качестве процессов, несущих основную ответственность за оценку и управление рисками информационной безопасности. Однако важно, чтобы осознавалась взаимосвязь между информационными рисками и рисками организации, и, как следствие, оценка рисков информационной безопасности выполнялась всеми функциональными подразделениями и риски информационной безопасности не рассматривались бы как исключительно «проблема ИТ».
  • Финансы и бухгалтерия. Оценка рисков информационной безопасности имеет первостепенное значение для финансовых и бухгалтерских процессов в любой организации. Хорошее корпоративное управление требует согласованной и точной финансовой информации, которая может быть прослежена с момента своего происхождения до момента ее использования при помощи понятного журнала аудита. В соответствии с требованиями бизнеса и нормативной базы должна обеспечиваться конфиденциальность ценовой информации, финансовых результатов и прогнозов.

Как идентифицировать и описывать бизнес-процесс

Информация о бизнес-процессах извлекается в ходе интервьюирования владельцев и участников этих процессов. Каждый процесс характеризуется рядом параметров, показанных на рисунке.

У каждого процесса есть определенные цели и выходные данные, которые он производит. Конечно, помимо данных, на выходе процесса могут производится и другие результаты, продукты, услуги или активы, однако для целей оценки рисков нам потребуются именно выходные данные. Точно таким же образом на вход любого процесса должны поступать какие-либо входные данные. Часто входные данные одного процесса являются выходными данными для другого процесса. Это, а также другие факторы определяют взаимосвязи между процессами, которые также должны быть описаны на данном этапе.

Каждый процесс характеризуется определенным алгоритмом действий, выполняемых в ручном, автоматическом или полуавтоматическом режиме. Для выполнения этих действий (операций) используются различные ресурсы: оборудование, программное обеспечение, сервисы (внутренние и внешние), помещения, кадры. Одним из основных видов ресурсов является информация, представленная в различных формах, которую мы называем информационным активом организации, чтобы подчеркнуть ее ценность. Помимо входных и выходных данных, к информационным активам относятся также промежуточные данные и записи, формируемые в процессе выполнения процесса (журналы аудита, заявки, квитанции, формы, таблицы промежуточных результатов и т.п.).

У каждого процесса должен быть явным образом назначенный владелец, который отвечает за конечный результат. Размывание ответственности за процессы и их результаты, отсутствие явным образом назначенных владельцев обычно приводит к возникновению различных сбоев, коллизий, дезорганизации процесса, отсутствию либо искажению конечного результата. Владелец процесса должен контролировать его выполнение, выходные данные и результаты. Для осуществления контроля используются такие механизмы, как аудит, мониторинг, оценка эффективности, анализ со стороны руководства и т.п. По результатам анализа результатов, выходных данных и операций в процесс могут вноситься изменения и усовершенствования. Определенные контролирующие функции, например обеспечение безопасности, владелец процесса может делегировать соответствующим специалистам, однако ответственность за процесс в целом при этом должна оставаться за владельцем.

Каждая организация осуществляет свои бизнес-процессы в определенном правовом поле, в соответствии с требованиями контрактных обязательств, требованиями клиентов, а также требованиями собственного бизнеса, т.е. теми требованиями, которые она сама для себя вырабатывает, чтобы обеспечить осуществление своей миссии. Все эти требования также должны быть идентифицированы и описаны для каждого процесса.

Подобным образом описываются все процессы в области действия СУИР и взаимосвязи между ними. Степень детализации описания процессов не должна быть слишком глубокой, однако она должна быть достаточной для идентификации информационных и связанных с ними активов, используемых для осуществления процесса, а также требований безопасности, предъявляемых к процессу и участвующим в нем активам. Бизнес-процессы обычно имеют довольно сложную структуру и если слишком глубоко в эту структуру погружаться, то можно было бы погрязнуть в деталях, зачастую бесполезных для оценки информационных рисков. Поэтому надо помнить о том, что мы начали рассмотрение бизнес-процессов лишь в связи с необходимостью идентифицировать используемые для их осуществления информационные активы. Углубленный анализ прочих параметров смело можно оставить бизнес-аналитикам. При высокоуровневой оценке рисков описание всех бизнес-процессов организации умещается всего на нескольких страницах.

Примерный перечень вопросов, задаваемых во время интервьюирования владельцев и участников процессов, может выглядеть, например, следующим образом:

  • Каковы основные бизнес-цели вашей деятельности?
  • В каких бизнес-процессах вы (ваше подразделение) участвуете, какие основные функции выполняете, каким образом регламентируются ваши функциональные обязанности?
  • Какие исходные данные (представленные в бумажной или электронной форме) вы используете для решения основных бизнес-задач?
  • Из каких источников вы получаете исходные данные и как организован процесс получения данных?
  • Где размещаются данные (документы), с которыми вы работаете?
  • Каким образом осуществляется обработка (использование) данных?
  • Какие приложения (локальные или серверные) вы используете для получения доступа к данным и обработки данных?
  • Как осуществляется работа с приложениями (порядок выполнения основных операций)?
  • Каковы предоставляемые вам полномочия по доступу к данным и приложениям?
  • Кто еще является пользователями этих данных и приложений, какие полномочия имеются у них?
  • За подготовку каких документов (отчетов, БД, справок и т.п.) вы отвечаете (принимаете участие)?
  • Кто является заказчиком результатов вашей работы? Кому передаются подготавливаемые вами документы и в каких бизнес-процессах они используются?
  • По вашей оценке, насколько критичными для бизнеса компании являются данные, с которыми вы работаете (входные, промежуточные, выходные)?
  • Как вы оцениваете возможные последствия (юридические, финансовые, репутационные и т.п.) утечки этой информации (к конкурентам, в прессу, в регулирующие органы, к криминальным элементам и т.п.)?
  • Как вы оцениваете возможные последствия нарушения целостности информации (несанкционированная модификация данных, подделка документов, ошибки в отчетах, рассинхронизация БД и т.п.)?
  • Как вы оцениваете возможные последствия недоступности информации (в результате сбоя системы, потери данных, случайного стирания или кражи носителей и др.)?
  • Каково, по вашему мнению, максимально допустимое время недоступности данных, по истечении которого наступают крайне серьезные последствия для бизнеса компании?
  • Какие требования законодательства и нормативной базы регулируют вашу деятельность?
  • Каким требованиям клиентов (партнеров) вы должны удовлетворять?
  • Какие существуют внутренние требования вашей организации (политики, регламенты, процедуры, инструкции и т.п.), регулирующие вашу деятельность?
  • Какие записи создаются в процессе вашей работы?

Интервьюирование сотрудников организации может проводиться в произвольной форме. Результаты интервью фиксируются в таблице, показанной на рисунке.

Можно и вовсе обойтись без каких-либо промежуточных таблиц и сразу заносить данные, полученные в ходе интервью в реестр информационных активов, описываемый далее.

Реестр информационных активов

Конечной целью этапа идентификации активов является формирование реестра информационных активов. Этот ключевой документ является самым первым и одним из наиболее важных результатов на пути осознания информационных рисков и установления контроля над ними. Реестр информационных активов необходим не только для оценки рисков, но также для решения других задач, таких как планирование резервного копирования или аварийного восстановления, распределения ответственности за активы, учет активов и распределение прав доступа к ним, классификация активов по критериям конфиденциальности, целостности и доступности (при необходимости могут быть добавлены также и другие критерии классификации активов, такие как, например, аутентичность и неотказуемость). Пример реестра информационных активов изображен на рисунке.

В реестре активов вводится определенная классификация активов по своему назначению, месторасположению, принадлежности к бизнес-процессам. Так отдельную категорию активов составляют веб-сайты организации, бухгалтерская документация, проектная документация и хранилище электронной почты. Такая классификация активов облегчает ведение их учета.

Каждая категория активов может содержать как группы активов, так и отдельные активы. Однотипные активы, схожие по своему назначению, предъявляемым требованиям, способам использования и предоставления доступа и имеющие примерно одинаковую ценность для организации, следует группировать. Группа однотипных активов может рассматриваться при последующей оценке рисков в качестве единого актива. Степень детализации описания активов в реестре должна быть достаточной для оценки рисков этих активов. Для первичной высокоуровневой оценки не требуется высокой степени детализации, поэтому для средней организации может рассматриваться всего лишь несколько десятков основных активов. Для более детальной оценки рисков, необходимость в которой возникает далеко не всегда и не у всех, может производиться декомбинация имеющихся групп активов на подгруппы и на отдельные активы. В этом случае реестр активов может насчитывать сотни и даже тысячи записей.

Для каждого актива (группы активов) в реестре должно быть приведено его описание, указано месторасположение этого актива в терминах оборудования и площадок, сервисы и приложения, использующие данный актив, форматы, в которых он представлен, а также пользователи и владелец данного актива.

Помимо всего перечисленного, реестр также определяет для каждого актива его классификацию в терминах конфиденциальности, целостности и доступности, включая максимально допустимое время недоступности данного актива. Эти характеристики определяются и проставляются в реестре активов позднее – на этапе оценки ценности активов.

Вместе с формированием реестра активов в организации должен быть реализован непрерывный процесс инвентаризации активов, обеспечивающих актуальность этого документа и его взаимосвязь с другими реестрами: программными, аппаратными, кадровыми, если таковые имеются в организации. Регламентирует этот процесс, как правило, политика инвентаризации активов. Для инвентаризации активов, помимо интервьюирования владельцев и пользователей этих активов, может использоваться специализированное программное обеспечение, обеспечивающее актуализацию, хранение и управление доступом к реестру активов.

Идентификация активов

Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.

Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.

________________________________________

Идентификация активов:

  • формирование модели бизнес-процессов;
  • инвентаризация активов;
  • формирование реестров активов;
  • определение взаимосвязей между реестрами активов;
  • построение модели активов;
  • определение владельцев активов и их обязанностей;
  • делегирование обязанностей по обеспечению безопасности активов;
  • классификация и категорирование активов;
  • определение правил допустимого использования активов.

_________________________________________

Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.

Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.

Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.

Глава 4. Оценка рисков информационной безопасности

______________________________________

Этапы оценки рисков:

  • Анализ рисков:
  • Идентификация активов
  • Идентификация требований бизнеса и законодательства
  • Оценка ценности активов
  • Определение приоритетов аварийного восстановления
  • Анализ угроз и уязвимостей
  • Оценивание рисков:
  • Определение величины рисков
  • Ранжирование рисков

_________________________________

В этой главе мы переходим к подробному изложению методологии оценки рисков. Согласно устоявшейся терминологии, используемой в стандартах, оценка рисков включает в себя два последовательных этапа: анализ рисков и оценивание рисков.

Анализ рисков включает в себя:

  • идентификацию активов;
  • идентификацию бизнес-требований и требований законодательства, применимых к идентифицированным активам;
  • оценивание активов с учетом идентифицированных бизнес-требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
  • идентификацию значимых угроз и уязвимостей идентифицированных активов;
  • оценку вероятности реализации угроз и величины уязвимостей.

Оценивание рисков заключается в определении их количественных и качественных значений, формировании реестра рисков и ранжированию рисков.

Далее мы подробно рассмотрим все этапы анализа и оценивания рисков в соответствии с методологией GlobalTrust, базирующейся на международных стандартах и известных методах оценки рисков.