Поскольку риски информационной безопасности являются основными далеко не для всех организаций, условно можно выделить три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.
________________________________________
Различие подходов к управлению рисками:
- Некритичные системы – применяется набор базовых требований безопасности, определяемых опытом, законодательством и стандартами.
- Критичные системы – высокоуровневая оценка рисков. Особое внимание на системы с наибольшим риском.
- Особо критичные системы – детальная оценка рисков с использованием формализованного подхода.
________________________________________
Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации невысок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации. Поэтому определенные элементы оценки информационных рисков требуются и для таких организаций.
Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес-процессов очень высок и информационные риски могут существенно повлиять на основные бизнес-процессы, оценку рисков применять необходимо, но в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.
Когда бизнес построен вокруг информационных активов и риски информационной безопасности являются основными, необходимо применять формальный подход и проводить детализированную оценку рисков по всем активам.
Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные активы. В этом случае рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.
Заметим, что со временем доля критичных и особо критичных информационных систем в организациях любой сферы деятельности неуклонном повышается.
_________________________________
Примеры организаций с высоким уровнем информационных рисков
| Интернет-магазины, электронные биржи, расчетные системы, электронные торговые площадки | Основной акцент – киберугрозы и действия инсайдеров. |
| Производственные предприятия, использующие АСУТП | Основной акцент: физические, техногенные и киберугрозы, защита коммерческой и государственной тайны. |
| Телекоммуникационные компании | Основной акцент – непрерывность предоставления услуг. Риски: техногенные, антропогенные, физические, киберугрозы. |
| Банки, финансовые институты | Основной акцент – защита финансовых транзакций, предотвращение утечки информации и действий инсайдеров. |
____________________________________
Международным стандартом ISO 27001 допускается использовать различные подходы к оценке рисков, однако далеко не любой подход будет удовлетворять требованиям этого стандарта.
В британском стандарте BS 7799-3 конкретизируются обязательные элементы, которые должен содержать процесс оценки рисков. Они включают в себя следующее:
- Определение критериев принятия риска. Эти критерии должны описывать обстоятельства, при которых организация намерена принимать риски.
- Идентификация приемлемых уровней риска. Какой бы подход к оценке рисков ни был выбран, должны быть идентифицированы уровни риска, которые организация считает приемлемыми.
- Идентификация и оценка рисков. Необходимо, чтобы выбранный подход к оценке рисков охватывал все факторы риска, включая активы, угрозы, уязвимости, механизмы контроля и ущерб.
- Охват всех аспектов области действия СУИБ. Выбранный подход к оценке рисков должен охватывать все области контроля, содержащиеся в ISO 27001, Приложение А. Некоторые подходы к оценке рисков концентрируются только на ИТ, не учитывая физические, кадровые, организационные и законодательные аспекты. Такие подходы непригодны для оценки, требуемой в ISO 27001.
- Учет каждого информационного актива (группы активов). Риски должны оцениваться для каждого информационного актива, а не только для отдельных процессов или информационных систем.
- Результаты оценки должны быть воспроизводимыми. Выводы должны быть аргументированы таким образом, чтобы независимые эксперты, используя те же методы, могли бы получить аналогичные результаты.
- Руководство организации должно принимать риски осознанно. Другими словами, руководство должно осознавать реальные размеры и вероятность ущерба. Это достигается путем применения качественных и количественных шкал оценки риска и их калибровки в соответствии с правилами, описанными ниже.
Для того чтобы продемонстрировать свое соответствие стандарту ISO 27001, например, на сертификационном аудите СУИБ, организация должна не просто показать аудиторам таблицу с оценкой рисков, но также объяснить, на основании чего были получены такие оценки по всем элементам риска и по каждому информационному активу.
_______________________________________
Обязательные элементы, которые должны быть отражены в выбранном организацией подходе к оценке рисков:
- определение критериев принятия риска;
- идентификация приемлемых уровней риска;
- идентификация и оценка рисков;
- охват всех аспектов области действия СУИБ, всех активов и областей контроля;
- учет каждого информационного актива (группы активов);
- воспроизводимость результатов;
- осознанное принятие рисков руководством организации.
_________________________________________
Выбор подходов к оценке рисков определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов. Однако эффективность процесса управления рисками определяется не только точностью и полнотой анализа факторов риска и выбранным подходом, но также в значительной степени эффективностью механизмов принятия управленческих решений и контроля их исполнения, что целиком находится в компетенции высшего руководства организации.
