Рубрика: Глава 7. Практические рекомендации по внедрению системы управления информационными рисками

Типичные ошибки в управлении рисками ИБ, которые автору приходилось наблюдать, обычно, сводятся к следующему:

1. Для оценки рисков за большие деньги приобретается какой-либо программный инструментарий, а потом выясняется, что он не подходит, не соответствует требованиям стандартов, не интегрируется в систему управления бизнес-рисками организации (ERM), не удобен в использовании, не позволяет количественно оценить риски, не позволяет стоить приемлемые модели активов, угроз, нарушителей и уязвимостей, не учитывает силу имеющихся механизмов контроля, не позволяет создавать нужных отчетов, не предоставляет возможностей представителям бизнеса классифицировать информационные активы и оценивать их ценность, вместо информационных активов почему-то оперирует любыми другими активами (помещения, оборудование, кадры, процессы, рабочие задачи), ни с чем не совместим и использует закрытые интерфейсы и т.п.
2. Проводится слишком высокоуровневая оценка рисков, не предоставляющая достаточного объема достоверной информации для принятия управленческих решений по вопросам ИБ. Вместо отдельных бизнес-процессов рассматриваются лишь общие направления деятельности (продажи, производство, бухгалтерский учет и т.п.), вместо информационных активов, рассматриваются лишь классы активов (например, проектная документация, бухгалтерская документация, клиентская информация и т.п.), вместо конкретных угроз безопасности рассматриваются классы угроз (например, НСД к информации, атаки на отказ в обслуживании, выход их строя технических средств и т.п.). На выходе получается примерно следующее: «в случае НСД к клиентской информации компания может понести значительный ущерб в результате потери части клиентов». А кто-то в этом сомневался? На выходе такой оценки рисков получается информация, которая итак всем была известна еще до начала данного процесса. Делается вывод о том, что оценка рисков лишена смысла, т.к. не дает никакой полезной информации.
3. Проводится слишком детализированная оценка рисков, которая бросается на полпути, из-за невозможности ее практической реализации. Например, делается попытка оценить риски для каждой порции информации (файла, записи в БД, бумажного документа) или рассматривается сотня различных сценариев реализации НСД к файловому серверу с использованием различных уязвимостей TCP/IP стека. Бессмысленность подобных стараний довольно скоро становится очевидной для всех участников процесса и делается вывод о том, что оценка рисков вообще слишком сложна и не имеет практического смысла.
4. Оцениваются риски не информационных активов, а любых других активов, прямо или косвенно связанных с информационными либо являющиеся комбинацией информационных активов и прочих активов (например, люди, помещения, оборудование, приложения, задачи, процессы, рабочие места, системы и т.п.). В результате весь анализ уходит немного в сторону от ИБ в вопросы делопроизводства, управления кадрами, физическую и экономическую безопасность, организацию бизнес-процессов и куда угодно еще. Вместо информационной безопасности получается системная безопасность, процессная безопасность, физическая безопасность, кадровая безопасность и т.д. Риски ИБ перемешиваются с остальными бизнес-рисками и вопрос становится слишком сложными, а выводы делаются те же, что и в предыдущих случаях — о практической нецелесообразности применения риск-ориентированного подхода.
5. Бизнес-подразделения не вовлекаются в процесс оценки рисков, либо к ним обращаются с бессмысленными вопросами о том, сколько стоит их информация (вместо того, чтобы обсуждать с ними конкретные понятные им бизнес-ситуации, возникающие как следствие инцидентов ИБ). Поскольку дать разумный ответ на подобные вопросы невозможно, на этом участие представителей бизнеса в оценке рисков заканчивается и остается только раздражение. Далее делается вывод о том, что стоимость информационного актива объективно оценить нельзя, а значит нельзя оценить соответствующие риски.
6. Оценкой рисков занимается исключительно служба ИБ без привлечения представителей бизнес-подразделений (которые не могут сказать сколько стоит их информация). Все риски ИБ при этом завышаются, что вызывает иронию, либо негодование у руководства компании, которое чувствует, что его пытаются развести на деньги.
7. Используется слишком упрощенный подход к оценке рисков, например, учитывается только вероятность угрозы и размер ущерба (причем только качественные оценки), при этом уязвимости и механизмы контроля отдельно не рассматриваются и не учитываются их взаимосвязи и относительная сила.
8. Процессы оценки и обработки рисков ИБ оторваны от реальных процессов принятия управленческих решений руководством организации, не влияют на внутренние политики, не учитываются при бюджетировании и т.п.

Выбранная методология оценки рисков должна обеспечивать формирование экономически обоснованной системы механизмов контроля информационной безопасности, описанных в стандарте ISO 27002 и других источниках.

Следует реализовать полный цикл управления рисками в соответствии с требованиями стандарта BS 7799-3, определяющего процессную модель СУИР, а также обеспечить управление документами и записями в рамках СУИР в соответствии с принятыми в организации процедурами.

BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действие (ПРПД). В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления информационными рисками.

В СУИР на этапе планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализациипроизводится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: принять, избежать, передать внешней стороне либо уменьшить. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверкиотслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

В соответствии с требованиями международного стандарта ISO 27001 оценка рисков должна регулярно проводиться для всех информационных активов организации. Ценность информационного актива определяется степенью его влияния на бизнес-процессы организации. Поэтому первоначально потребуется составить список всех бизнес-процессов и участвующих в них активов и проранжировать их по степени критичности.

После этого необходимо разработать план оценки рисков для каждого бизнес-процесса и для каждого информационного актива (группы активов), участвующих в этих бизнес-процессах, на ближайший год. Начинать оценку следует с наиболее критичных активов и процессов.

После завершения документирования СУИРнеобходимо определить первоначальную область оценки рисков, которая будет являться подмножеством области действия СУИБ вашей организации. Не следует сразу браться за оценку всех возможных рисков для всех информационных активов, находящихся в области действия СУИБ. Вместо этого рекомендуется выбрать несколько наиболее критичных активов для реализации пилотного проекта по оценке рисков.

В ходе реализации пилотного проекта отдельные аспекты методологии оценки рисков должны быть доработаны и приспособлены к особенностям организации.

Вторая редакция методологии оценки рисков, разработанная по результатам выполнения пилотного проекта, должна быть согласована и утверждена на совещании экспертной группы. На этом этапе может быть принято решение о необходимости использования специализированного программного инструментария для оценки и управления рисками. При выборе такого инструментария следует руководствоваться рекомендациями стандарта BS 7799-3, а также следующими соображениями:

• Инструментарий для оценки рисков должен реализовывать полноценную методологию оценки рисков в соответствии с требованиями ISO 27001 и BS 7799-3, включая подготовку реестра информационных рисков, декларации о применимости механизмов контроля, проведение анализа расхождений, разработку плана обработки рисков.
• Используемая модель активов не должна ограничиваться только информационными активами, а также должна учитывать кадровые ресурсы, процессы, технические и программные средства.
• Должны учитываться как технические, так и организационные уязвимости, как логические, так и физические угрозы.
• Должна иметься возможность определения собственных видов активов, угроз и уязвимостей, а также форматов отчетных документов, т.е. инструмент должен быть кастомизируемым.
• Должна иметься возможность сравнения между собой результатов оценки рисков.

В случае использования специализированного программного инструментария для оценки рисков, необходимо внести соответствующие изменения в методологию оценки рисков, чтобы привести ее в соответствие с выбранным инструментарием.

Все члены экспертной группы должны пройти предварительное обучение по следующим направлениям:

• международные стандарты в области управления информационной безопасностью и рисками (серия ISO 27000);
• методологии оценки рисков информационной безопасности (подойдет любой из популярных методов CRAMM, OCTAVE, RA2, RiskWatch и т.п., а также курсы, не привязанные к конкретной методологии).

Для эксперта по оценке рисков необходимо более глубокое изучение методической базы, а также навыки работы с одним из программных инструментариев для оценки рисков.

GlobalTrust предлагает соответствующую программу учебных курсов, семинаров и мастер-классов, предоставляющих необходимые знания и практические навыки по следующим направлениям:

• аудит информационной безопасности;
• управление рисками информационной безопасности;
• внедрение системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO 27001
• ликбез для членов управляющего комитета по информационной безопасности.

Кроме этого, в Москве функционирует ряд учебных центров, в которых можно пройти подготовку в области управления информационной безопасностью и рисками, в том числе и с привлечением зарубежных тренеров.

Для внедрения СУИР необходимо сформировать постоянно действующую экспертную группу, в состав которой в обязательном порядке должны входить представители подразделений информационной безопасности, ИТ и бизнес-подразделений. Численность экспертной группы может составлять от 3 до 7 человек, в зависимости от размера организации. Типовой состав экспертной группы: риск-менеджер, менеджер информационной безопасности, эксперт по оценке рисков, эксперт по информационной безопасности, ИТ менеджер или главный системный администратор, менеджеры бизнес-подразделений (производственного отдела, отдела продаж и т.п.). По мере необходимости к работе экспертной группы могут привлекаться сотрудники любых подразделений организации.

Должен быть назначен куратор со стороны высшего руководства. Функции куратора может выполнять один из заместителей генерального директора, вице-президент, руководитель службы безопасности или один из членов правления.

В соответствии с регламентом ведения проектов, принятым в организации, необходимо инициировать и документально оформить внутренний проект внедрения СУИР.

Внедрение СУИР осуществляется не на пустом месте. Помимо документов, продуктов и методологий, в организации должны существовать определенные предпосылки в виде осознания руководством необходимости в осуществлении систематического и планомерного контроля информационных рисков. Также быть созданы определенные начальные условия, которые включают в себя следующее:

• Первоисточники. Лицензионный сборник стандартов в области управления информационной безопасностью на русском языке KIT 20 RU включает в себя следующие стандарты: BS ISO/IEC 27001:2005 RU, BS ISO/IEC 27002:2005 RU, BS 7799-3:2006 RU и ISO/IEC 27005:2008 RU (см. Приложение № 12).
• Политика безопасности.В организации должна быть принятая политика информационной безопасности высокого уровня, определяющая базовые требования по управлению информационными рисками. Требования, предъявляемые к политике безопасности организации, определяются в разделе 4.2.1 b) стандарта ISO 27001 и в разделе 5.1.1 стандарта ISO 27002 (ISO 17799).
• Политика аудита.В организации должен быть проведен внешний и/или внутренний аудит информационной безопасности, а также документально оформлены политика и процедура внутреннего аудита. Без проведения комплексного аудита информационной безопасности невозможно провести оценку рисков.
• Политика инвентаризации активов.В организации должна быть принята политика инвентаризации информационных активов, в соответствии с которой осуществляется идентификация активов и разрабатывается реестр активов.
• Организационная структура.В организации должна существовать организационная структура для управления информационной безопасностью, предполагающая наличие менеджера информационной безопасности, отдела информационной безопасности и управляющего комитета по информационной безопасности. Соответствующие функциональные роли, ответственность и полномочия должны быть закреплены в официально утвержденных положениях об отделе (комитете), а также в должностных инструкциях. Основные правила организации информационной безопасности приведены в разделе 2 стандарта ISO 27002.

Документирование СУИР– непростая задача. Каждой организации придется разработать собственный комплект документации, отражающей структуру организации, а также ее подходы к оценке и управлению рисками. Для этих целей можно воспользоваться существующими методологиями и готовыми комплектами документов (см. Приложение № 11). Это поможет сэкономить массу времени, однако останется еще много работы.

Опасность, связанная с использованием готовых шаблонов, заключается в том, что это может лишить организацию истинного понимания того, что она делает. Так часто происходит, когда берутся на вооружение чужие наработки без учета собственного опыта.

Любые комплекты документов, впрочем как и любые продукты в области управления рисками, не являются исчерпывающими и в одинаковой степени применимыми ко всем организациям. Их состав и содержание могут меняться в зависимости от конкретных особенностей и потребностей организации.

При заполнении форм и таблиц оценки факторов риска организация должна стараться формулировать собственные правила, исходные данные и результаты как можно точнее, с привязкой к конкретным активам, сервисам, площадкам, людям, уязвимостям и т.п. Следует избегать общих фраз и выражений, заменяя их более конкретными формулировками и письменными пояснениями, чтобы все заинтересованные лица имели возможность разобраться в результатах проведенной оценки рисков и, при желании, проверить полученные выводы.

Процесс внедрения СУИР следует начинать с внимательного изучения проектов документов и их обсуждения на совещании членов экспертной группы.

По результатам первоначального обсуждения должен быть сформирован подробный перечень замечаний и необходимых доработок. Доработка документов должна производиться экспертом по оценке рисков, риск-менеджером, менеджером по информационной безопасности либо совместными усилиями членов экспертной группы.

На следующем совещании экспертной группы должна быть согласована и утверждена первая редакция Политики управления рисками и Методологии оценки рисков со всеми приложениями.

Разработанная экспертной группой Политика управления рисками должна быть утверждена Управляющим комитетом по информационной безопасности в качестве одного из основополагающих внутренних нормативных документов организации и введена в действие приказом руководителя организации.

Услышав что-то, вы вскоре забудете об этом. Увидев что-то, вы будете помнить об этом. Но до тех пор пока вы не сделаете что-то сами, вы не постигнете этого.

Китайская поговорка

Мы надеемся, что эта книга вооружила вас базовыми знаниями, которые пригодятся для реалистичной оценки и контроля рисков. Однако многие организации заходят в тупик на пути внедрения СУИР не только из-за того, что им не хватает собственного опыта и квалификации.

Сложность внедрения СУИР обусловлена также тем, что приходится изменять сложившуюся систему управления изнутри, а любые системы стремятся к стабильности и сохранению своего прежнего состояния. Поэтому выглядит вполне оправданным внешнее воздействие на систему путем использования консультантов. Опытные и квалифицированные консультанты способны не только разработать документы, помочь с внедрением процессов и обучением, но также и подтолкнуть руководство организации к рассмотрению и принятию решений по рискам.

В заключении дадим несколько практических советов, которые помогут избежать характерных ошибок, допускаемых при внедрении СУИР.