Рисковая диетология

Очевидно, что цель любого бизнеса – получение прибыли. На ее размер и саму возможность извлечения прибыли влияют операционные риски, частным случаем которых являются риски ИБ. Следовательно, стратегическая задача служб ИБ – управление ИБ-рисками для их удерживания на приемлемом уровне. Но это – лишь часть краеугольного камня корпоративного управления ИБ, включающего в себя и организацию процессов ИБ, и обеспечение соответствия требованиям законодательства, и пр. Данным вопросам был посвящен вебинар, проведенный летом на портале BISA. Он вызвал большой интерес, и мы решили снова обратиться к теме управления ИБ-рисками – уже на страницах журнала.

Как измерить аппетит

«Что невозможно измерить, тем невозможно управлять», – утверждает американский бизнесмен Джек Уэлч. Эти слова с полным правом можно отнести и к области управления ИБ-рисками.

Для измерения ИБ-рисков целесообразно выбрать наиболее понятный для бизнеса показатель – деньги. Тогда у подразделения ИБ появится возможность говорить с бизнес-руководителями на понятном для них языке денежных потерь от реализации рисков и способов их минимизации. Этот подход позволяет, например:

Ÿ ранжировать риски и выбирать для дальнейшего рассмотрения и принятия решений только те из них, чей уровень оказывается выше приемлемого (допустимый уровень называют «риск-аппетитом»);

Ÿэкономически обосновывать каждый из предлагаемых способов снижения рисков;

Ÿ оценивать эффективность инвестиций в меры, принимаемые для снижения рисков;

Ÿпрозрачно выбирать меры снижения рисков и бюджетировать затраты на ИБ, основываясь на оценках уровней рисков и объемов инвестиций в инструменты их снижения;

Ÿподдерживать уровень рисков, соответствующий риск-аппетиту, с минимальными затратами.

Для получения таких результатов сотруднику, отвечающему за управление рисками ИБ в компании, придется пройти сложный путь. Он должен определить риск-аппетит, провести идентификацию и анализ рисков, ранжировать их, разработать план обработки рисков ИБ, реализовать мероприятия по их обработке, оценить эффективность принятых мер.

Риск + Аппетит = …Консилиум

Приемлемый уровень рисков (тот самый риск-аппетит), выраженный в деньгах, является основой решений о мерах управления рисками. Именно на базе этого критерия определяется, какие из выявленных рисков нужно безоговорочно принять и исключить из дальнейшего рассмотрения, а какие подвергнуть дальнейшему анализу с последующим выбором одного из четырех решений: избежание, принятие, передача или снижение риска.

Хорошей практикой является определение и утверждение уровня риск-аппетита коллегиальным органом, ответственным за управление ИБ в компании. Этот орган должен обладать достаточными компетенциями для приятия одного из перечисленных решений и полномочиями по выделению ресурсов, необходимых для снижения рисков и реализации планов их обработки. В состав данного органа могут входить руководители и сотрудники компании, которые отвечают за управление ИТ, занимаются вопросами безопасности бизнеса, обеспечивают его соответствие нормативным требованиям и юридическую поддержку, управление ИБ и корпоративными рисками, организацию внутреннего аудита и контроля.

При определении риск-аппетита следует принимать во внимание уровень допустимых потерь, последствия для бизнеса при возможной реализации риска и общую ситуацию в компании. После утверждения риск-аппетита его значение используется для дальнейшего управления рисками ИБ на предприятии.

Диагностика и план лечения

Риски ИБ, как и любые другие, не могут «висеть в воздухе». В сущности, ИБ-риски представляют собой комбинацию потенциального ущерба от события и вероятности его наступления. Если рассматривать не все активы компании, а их частный случай – ИТ-активы, то для идентификации и последующего анализа рисков понадобится информация о критичности тех или иных ИТ-активов для бизнес-процессов.

Такую информацию можно получить у представителей бизнес-подразделений, являющихся владельцами бизнес-процессов. Эти люди лучше, чем кто-либо другой, знают, сколько прибыли приносит каждый бизнес-процесс, какие комплексные ИТ-активы (информационные системы) используются на предприятии, насколько деградирует возможность получения прибыли при нарушении доступности ИС или конфиденциальности и целостности информации, обрабатываемой ИС в рамках бизнес-процесса. Без этой информации посчитать риски невозможно.

Зная ценность для бизнеса каждого бизнес-процесса и вклад ИС в каждый бизнес-процесс, можно вычислить ценность ИС для бизнеса. Ее следует выразить в денежном эквиваленте и использовать для дальнейшего расчета рисков ИБ.

На следующем этапе нужно выполнить декомпозицию рисков на стороне ИТ. Это риски, связанные с комплексными ИТ-активами (ИС), которые поддерживают бизнес-процессы. Они влияют на ИТ в целом через один или несколько компонентов – элементарных ИТ-активов (ЭА). Бизнес-подразделения знают, какие активы им нужны для реализации бизнес-процессов, а ИТ подразделения знают, из каких компонентов и элементарных активов состоят ИС и как они влияют на бизнес-процессы и друг друга. Определив ценность для бизнеса каждой ИС и вклад каждого из компонентов ЭА в работу ИС, можно вычислить итоговую ценность каждого компонента ИС, выразить ее в деньгах и использовать для расчета рисков ИБ.

При этом ИТ-сотрудники и бизнес видят те или иные ценности, а представители служб ИБ видят риски. Если имеется информация обо всех ИТ-активах, применяемых в бизнес-процессах, и их ценности для бизнеса, то можно на основе данных из разных источников (таких как информация об уязвимостях из Интернета, результаты работы инструментов анализа защищенности, результаты тестов на проникновение, аудита ИБ и пр.) перейти к выявлению и описанию каждой уязвимости ИТ-актива. Например, какие угрозы могут повлиять на конфиденциальность, целостность и доступность корпоративных данных через один или несколько параметров ИТ.

После выявления угроз для каждого ИТ-актива определяем (с использованием статистики ИБ-инцидентов) вероятность реализации каждой из этих угроз. Если такой статистики нет или она не вызывает доверия, можно опереться на экспертные мнения сотрудников компании. Только располагая информацией о вероятности реализации угрозы и возможном ущербе от этого, выраженном в деньгах для каждого ИТ-актива, мы можем вычислить размер ИБ-риска в денежном эквиваленте.

Имея информацию о рисках каждого уровня декомпозиции (бизнес-процессы, ИС, компоненты ИС), мы суммируем риски. Так мы получаем результаты, позволяющие оценить рискобразующий потенциал в следующих срезах аналитики: итоговые риски по бизнес-процессам, итоговые риски по ИС, итоговые риски по уязвимостям.

Поскольку единственным доступным показателем влияния на уровень рисков ИТ-активов является наличие или отсутствие уязвимостей, план обработки рисков представляет собой план устранения уязвимостей. Он включает в себя следующую информацию: риски, уязвимости, контрмеры или решения по риску, ответственные лица, сроки, бюджет. После разработки этот план вместе с отчетом по анализу уязвимостей передается для утверждения коллегиальному органу управления ИБ – как при определении риск-аппетита.

Очевидно, что мероприятия по обработке рисков реализуют ответственные за них сотрудники. Исполнение плана и эффективность внедренных мер контролируются сотрудником, отвечающим за управление ИБ-рисками. Корректность процесса управления рисками ИБ в целом контролирует подразделение, отвечающее за внутренний контроль и аудит.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.