1. Для оценки рисков за большие деньги приобретается какой-либо программный инструментарий, а потом выясняется, что он не подходит, не соответствует требованиям стандартов, не интегрируется в систему управления бизнес-рисками организации (ERM), не удобен в использовании, не позволяет количественно оценить риски, не позволяет стоить приемлемые модели активов, угроз, нарушителей и уязвимостей, не учитывает силу имеющихся механизмов контроля, не позволяет создавать нужных отчетов, не предоставляет возможностей представителям бизнеса классифицировать информационные активы и оценивать их ценность, вместо информационных активов почему-то оперирует любыми другими активами (помещения, оборудование, кадры, процессы, рабочие задачи), ни с чем не совместим и использует закрытые интерфейсы и т.п.
2. Проводится слишком высокоуровневая оценка рисков, не предоставляющая достаточного объема достоверной информации для принятия управленческих решений по вопросам ИБ. Вместо отдельных бизнес-процессов рассматриваются лишь общие направления деятельности (продажи, производство, бухгалтерский учет и т.п.), вместо информационных активов, рассматриваются лишь классы активов (например, проектная документация, бухгалтерская документация, клиентская информация и т.п.), вместо конкретных угроз безопасности рассматриваются классы угроз (например, НСД к информации, атаки на отказ в обслуживании, выход их строя технических средств и т.п.). На выходе получается примерно следующее: «в случае НСД к клиентской информации компания может понести значительный ущерб в результате потери части клиентов». А кто-то в этом сомневался? На выходе такой оценки рисков получается информация, которая итак всем была известна еще до начала данного процесса. Делается вывод о том, что оценка рисков лишена смысла, т.к. не дает никакой полезной информации.
3. Проводится слишком детализированная оценка рисков, которая бросается на полпути, из-за невозможности ее практической реализации. Например, делается попытка оценить риски для каждой порции информации (файла, записи в БД, бумажного документа) или рассматривается сотня различных сценариев реализации НСД к файловому серверу с использованием различных уязвимостей TCP/IP стека. Бессмысленность подобных стараний довольно скоро становится очевидной для всех участников процесса и делается вывод о том, что оценка рисков вообще слишком сложна и не имеет практического смысла.
4. Оцениваются риски не информационных активов, а любых других активов, прямо или косвенно связанных с информационными либо являющиеся комбинацией информационных активов и прочих активов (например, люди, помещения, оборудование, приложения, задачи, процессы, рабочие места, системы и т.п.). В результате весь анализ уходит немного в сторону от ИБ в вопросы делопроизводства, управления кадрами, физическую и экономическую безопасность, организацию бизнес-процессов и куда угодно еще. Вместо информационной безопасности получается системная безопасность, процессная безопасность, физическая безопасность, кадровая безопасность и т.д. Риски ИБ перемешиваются с остальными бизнес-рисками и вопрос становится слишком сложными, а выводы делаются те же, что и в предыдущих случаях — о практической нецелесообразности применения риск-ориентированного подхода.
5. Бизнес-подразделения не вовлекаются в процесс оценки рисков, либо к ним обращаются с бессмысленными вопросами о том, сколько стоит их информация (вместо того, чтобы обсуждать с ними конкретные понятные им бизнес-ситуации, возникающие как следствие инцидентов ИБ). Поскольку дать разумный ответ на подобные вопросы невозможно, на этом участие представителей бизнеса в оценке рисков заканчивается и остается только раздражение. Далее делается вывод о том, что стоимость информационного актива объективно оценить нельзя, а значит нельзя оценить соответствующие риски.
6. Оценкой рисков занимается исключительно служба ИБ без привлечения представителей бизнес-подразделений (которые не могут сказать сколько стоит их информация). Все риски ИБ при этом завышаются, что вызывает иронию, либо негодование у руководства компании, которое чувствует, что его пытаются развести на деньги.
7. Используется слишком упрощенный подход к оценке рисков, например, учитывается только вероятность угрозы и размер ущерба (причем только качественные оценки), при этом уязвимости и механизмы контроля отдельно не рассматриваются и не учитываются их взаимосвязи и относительная сила.
8. Процессы оценки и обработки рисков ИБ оторваны от реальных процессов принятия управленческих решений руководством организации, не влияют на внутренние политики, не учитываются при бюджетировании и т.п.

Следует реализовать полный цикл управления рисками в соответствии с требованиями стандарта BS 7799-3, определяющего процессную модель СУИР, а также обеспечить управление документами и записями в рамках СУИР в соответствии с принятыми в организации процедурами.

BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действие (ПРПД). В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления информационными рисками.

В СУИР на этапе планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализациипроизводится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: принять, избежать, передать внешней стороне либо уменьшить. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверкиотслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

После этого необходимо разработать план оценки рисков для каждого бизнес-процесса и для каждого информационного актива (группы активов), участвующих в этих бизнес-процессах, на ближайший год. Начинать оценку следует с наиболее критичных активов и процессов.

В ходе реализации пилотного проекта отдельные аспекты методологии оценки рисков должны быть доработаны и приспособлены к особенностям организации.

Вторая редакция методологии оценки рисков, разработанная по результатам выполнения пилотного проекта, должна быть согласована и утверждена на совещании экспертной группы. На этом этапе может быть принято решение о необходимости использования специализированного программного инструментария для оценки и управления рисками. При выборе такого инструментария следует руководствоваться рекомендациями стандарта BS 7799-3, а также следующими соображениями:

• Инструментарий для оценки рисков должен реализовывать полноценную методологию оценки рисков в соответствии с требованиями ISO 27001 и BS 7799-3, включая подготовку реестра информационных рисков, декларации о применимости механизмов контроля, проведение анализа расхождений, разработку плана обработки рисков.
• Используемая модель активов не должна ограничиваться только информационными активами, а также должна учитывать кадровые ресурсы, процессы, технические и программные средства.
• Должны учитываться как технические, так и организационные уязвимости, как логические, так и физические угрозы.
• Должна иметься возможность определения собственных видов активов, угроз и уязвимостей, а также форматов отчетных документов, т.е. инструмент должен быть кастомизируемым.
• Должна иметься возможность сравнения между собой результатов оценки рисков.

В случае использования специализированного программного инструментария для оценки рисков, необходимо внести соответствующие изменения в методологию оценки рисков, чтобы привести ее в соответствие с выбранным инструментарием.

• международные стандарты в области управления информационной безопасностью и рисками (серия ISO 27000);
• методологии оценки рисков информационной безопасности (подойдет любой из популярных методов CRAMM, OCTAVE, RA2, RiskWatch и т.п., а также курсы, не привязанные к конкретной методологии).

Для эксперта по оценке рисков необходимо более глубокое изучение методической базы, а также навыки работы с одним из программных инструментариев для оценки рисков.

GlobalTrust предлагает соответствующую программу учебных курсов, семинаров и мастер-классов, предоставляющих необходимые знания и практические навыки по следующим направлениям:

• аудит информационной безопасности;
• управление рисками информационной безопасности;
• внедрение системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO 27001
• ликбез для членов управляющего комитета по информационной безопасности.

Кроме этого, в Москве функционирует ряд учебных центров, в которых можно пройти подготовку в области управления информационной безопасностью и рисками, в том числе и с привлечением зарубежных тренеров.

Должен быть назначен куратор со стороны высшего руководства. Функции куратора может выполнять один из заместителей генерального директора, вице-президент, руководитель службы безопасности или один из членов правления.

В соответствии с регламентом ведения проектов, принятым в организации, необходимо инициировать и документально оформить внутренний проект внедрения СУИР.

• Первоисточники. Лицензионный сборник стандартов в области управления информационной безопасностью на русском языке KIT 20 RU включает в себя следующие стандарты: BS ISO/IEC 27001:2005 RU, BS ISO/IEC 27002:2005 RU, BS 7799-3:2006 RU и ISO/IEC 27005:2008 RU (см. Приложение № 12).
• Политика безопасности.В организации должна быть принятая политика информационной безопасности высокого уровня, определяющая базовые требования по управлению информационными рисками. Требования, предъявляемые к политике безопасности организации, определяются в разделе 4.2.1 b) стандарта ISO 27001 и в разделе 5.1.1 стандарта ISO 27002 (ISO 17799).
• Политика аудита.В организации должен быть проведен внешний и/или внутренний аудит информационной безопасности, а также документально оформлены политика и процедура внутреннего аудита. Без проведения комплексного аудита информационной безопасности невозможно провести оценку рисков.
• Политика инвентаризации активов.В организации должна быть принята политика инвентаризации информационных активов, в соответствии с которой осуществляется идентификация активов и разрабатывается реестр активов.
• Организационная структура.В организации должна существовать организационная структура для управления информационной безопасностью, предполагающая наличие менеджера информационной безопасности, отдела информационной безопасности и управляющего комитета по информационной безопасности. Соответствующие функциональные роли, ответственность и полномочия должны быть закреплены в официально утвержденных положениях об отделе (комитете), а также в должностных инструкциях. Основные правила организации информационной безопасности приведены в разделе 2 стандарта ISO 27002.

Опасность, связанная с использованием готовых шаблонов, заключается в том, что это может лишить организацию истинного понимания того, что она делает. Так часто происходит, когда берутся на вооружение чужие наработки без учета собственного опыта.

Любые комплекты документов, впрочем как и любые продукты в области управления рисками, не являются исчерпывающими и в одинаковой степени применимыми ко всем организациям. Их состав и содержание могут меняться в зависимости от конкретных особенностей и потребностей организации.

При заполнении форм и таблиц оценки факторов риска организация должна стараться формулировать собственные правила, исходные данные и результаты как можно точнее, с привязкой к конкретным активам, сервисам, площадкам, людям, уязвимостям и т.п. Следует избегать общих фраз и выражений, заменяя их более конкретными формулировками и письменными пояснениями, чтобы все заинтересованные лица имели возможность разобраться в результатах проведенной оценки рисков и, при желании, проверить полученные выводы.

Процесс внедрения СУИР следует начинать с внимательного изучения проектов документов и их обсуждения на совещании членов экспертной группы.

По результатам первоначального обсуждения должен быть сформирован подробный перечень замечаний и необходимых доработок. Доработка документов должна производиться экспертом по оценке рисков, риск-менеджером, менеджером по информационной безопасности либо совместными усилиями членов экспертной группы.

На следующем совещании экспертной группы должна быть согласована и утверждена первая редакция Политики управления рисками и Методологии оценки рисков со всеми приложениями.

Разработанная экспертной группой Политика управления рисками должна быть утверждена Управляющим комитетом по информационной безопасности в качестве одного из основополагающих внутренних нормативных документов организации и введена в действие приказом руководителя организации.

Услышав что-то, вы вскоре забудете об этом. Увидев что-то, вы будете помнить об этом. Но до тех пор пока вы не сделаете что-то сами, вы не постигнете этого.

Мы надеемся, что эта книга вооружила вас базовыми знаниями, которые пригодятся для реалистичной оценки и контроля рисков. Однако многие организации заходят в тупик на пути внедрения СУИР не только из-за того, что им не хватает собственного опыта и квалификации.

Сложность внедрения СУИР обусловлена также тем, что приходится изменять сложившуюся систему управления изнутри, а любые системы стремятся к стабильности и сохранению своего прежнего состояния. Поэтому выглядит вполне оправданным внешнее воздействие на систему путем использования консультантов. Опытные и квалифицированные консультанты способны не только разработать документы, помочь с внедрением процессов и обучением, но также и подтолкнуть руководство организации к рассмотрению и принятию решений по рискам.

В заключении дадим несколько практических советов, которые помогут избежать характерных ошибок, допускаемых при внедрении СУИР.