Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Моя статья для БДИ на тему управления рисками ИБ

Аватар пользователя al.bondarenko
Автор: Бондаренко Александр, R-Vision
(2)
()
Опубликовано в:
В недавно вышедшем номере журнала "!Безопасность деловой информации" опубликована моя статья, которую я написал совместно с коллегами, занимающимися вопросами управления рисками ИБ в компаниях, в которых они сейчас трудятся.
 
Журнал можно свободно скачать по ссылке - http://bis-expert.ru/bdi
 
Далее размещаю текст статьи. 
 
 
Риск-менеджмент – живой и мертвый
 
Александр Бондаренко, генеральный директор R-Vision
 
В теории нет разницы между теорией и практикой,
а на практике она есть.
 
 
Йоги Берра, американский бейсболист
 

Об оценке и управлении рисками говорится много, но реально работающий, «живой» процесс управления рисками ИБ встречается довольно редко. Чаще такая деятельность либо вообще не ведется, либо оказывается «мертвой»: она, вроде как, есть, но ее результаты, да и само ее существование мало кого интересуют. Мы рассмотрим ключевые особенности, отличающие «живой» процесс управления рисками ИБ от «мертвого», и познакомимся с опытом руководителей, которым удалось добиться неплохих результатов при реализации таких процессов.

Поддержка руководства
 
 
Вполне очевидно, что без поддержки руководства сложно вводить в компании любые изменения, связанные с обеспечением информационной безопасности. Для многих специалистов это соображение служит поводом для того, чтобы и не пытаться что-либо сделать, пока не поступит указание сверху. Однако в таких случаях ждать приходится, за редким исключением, очень долго.
 
Гораздо более правильно – проявлять инициативу снизу, со стороны службы ИБ, но выступать с такой инициативой надо лишь после ее детальной проработки. Кроме того, нужно четко сформулировать, какие преимущества даст нововведение для управления конкретной компанией (сокращение расходов, прозрачное планирование и др.). Фактически, задача состоит в том, чтобы «продать» руководству идею: применительно к теме нашего обсуждения такая идея – необходимость риск-ориентированного подхода. Решение задачи значительно облегчается, если в качестве аргумента «безопасник» упоминает о необходимости соответствия законодательным или отраслевым требованиям. Правда, если этот аргумент является единственным, то есть большой шанс свести всю деятельность к формальной процедуре.
Очевидно, что развитие информационной безопасности невозможно без процесса управления рисками. Бизнес готов инвестировать средства в обеспечение ИБ, но без четкого представления о ценности информационных активов и об имеющихся рисках для ИБ это – бесполезное, неэффективное мероприятие. В нашем банке, как и в любой другой кредитной организации, риск-менеджменту уделяется достаточно большое внимание, тем более что есть соответствующие рекомендации Банка России.
 
Изначально в Ханты-Мансийском Банке внедрение процесса риск-менеджмента ИБ было инициативой службы информационной безопасности. Помимо всего прочего это обуславливалось необходимостью выполнения требований законодательства, стандартов PCI DSS и СТО БР.
 

Дмитрий Морев, начальник Управления информационной безопасности Ханты-Мансийского Банка
 
Интеграция с бизнесом
 
Правильно работающий бизнес – это живой организм, функционирующий как единая система. Любой процесс, который не сообщается с другими, заранее обречен на отмирание либо на существование с помощью искусственного стимулирования. Все это относится и к управлению рисками ИБ. Интеграция может быть обеспечена несколькими путями:
  • результаты оценки рисков используются для получения определенных бизнес-результатов (снижение размеров страховых премий, повышение финансовых рейтингов, соблюдение требований, необходимых для реализации соответствующего бизнес-проекта, и др.); 
  • результаты оценки рисков ИБ включаются в общую карту рисков и рассматриваются топ-менеджментом наравне с другими общекорпоративным рисками. 
Развитию риск-менеджмента в нашей компании способствовал, в том числе, ежегодный внешний аудит международного рейтингового агентства Fitch Ratings. В ходе аудита за 2013 г. были запрошены завизированные руководством документы, подтверждающие использование риск-менеджмента. Мы эти документы сразу предоставили, причем даже с доказательствами их практической реализации. И когда нам повысили международный рейтинг с «B+» до «ВВ-», а национальный – с уровня «A(rus)» до «A+(rus)», статус документов ИБ, передаваемых аудиторам, вырос. Соответственно, вырос и статус рискового подхода к управлению информационной безопасностью.
 

Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»

Подходящая методика

Применяемая методика оценки рисков в значительной степени определяет трудоемкость деятельности по оценке и управлению рисками. В том случае, когда оценка рисков ИБ проводится в контексте общекорпоративного управления рисками, используемые подходы должны быть совместимы с общей методикой оценки рисков. Если же такой необходимости нет, методика выбирается на основе возможностей и опыта специалистов, которым поручено проводить оценку.

При выборе методики оценки рисков можно порекомендовать взять какую-то из уже существующих за основу и адаптировать ее под собственные нужды с учетом устоявшихся особенностей работы организации и ее корпоративной культуры. Не следует изначально пытаться выстраивать сложные модели – с большой долей вероятности ничего не получится. Развивать и усложнять методологию имеет смысл только по мере накопления внутренней компетенции, а начинать лучше с максимально простой методики.

Несмотря на обилие методик оценки рисков (одно из немногих исследований на данную тему, проведенное в 2006 г. европейским агентством ENISA, выявило их более десятка – https://www.enisa.europa.eu/activities/risk-management/files/deliverables/inventory-of-risk-assessment-and-risk-management-methods), все они предлагают проводить оценку по очень схожим алгоритмам. Различия между методиками состоят лишь в некоторых методических деталях.
В нашей компании риски ИБ рассматриваются в совокупности с другими общекорпоративными рисками и включаются в общую карту рисков. Ее отправляют на рассмотрение в комитет, состоящий из топ-менеджеров компании во главе с генеральным директором. Ключевые риски также рассматриваются советом директоров.

В качестве основы формирования общекорпоративной системы управления рисками мы использовали модель COSO. В ее рамках была разработана адаптированная методика оценки рисков ИБ, отвечающая потребностям нашей организации, законодательным и отраслевым требованиям (SOX, PCI DSS, СТО БР, 152-ФЗ и др.). Оценка проводится в экспертном режиме, а результаты выражаются в качественных оценках, которые по определенным правилам могут быть трансформированы в денежные величины.
 

Денис Персанов, Compliance and Risk Management, QIWI

Ограниченное применение

Риск-менеджмент – это инструмент ограниченного применения, и использование его для всех активов/процессов компании напоминает пальбу из пушки по воробьям. В большинстве случаев основные риски видны и без применения какой-либо специальной методики (что, кстати, порождает скепсис в отношении необходимости риск-менеджмента как такового), а для их минимизации достаточно реализовать ряд базовых защитных механизмов (как правило, 5–6 мер обеспечивают минимизацию до 80% угроз).

Именно поэтому риск-менеджмент следует применять только для наиболее критичных активов или проектов. Это позволяет сконцентрироваться на том, что действительно важно, а для всего остального может быть реализована базовая политика безопасности, основанная на лучших практиках либо на законодательных/отраслевых требованиях.

Другой вариант – реализация многоуровневого подхода. В таком случае подбираются разные степени детализации (а возможно, и методики) оценки рисков для разных активов/процессов компании. Это дает возможность, с одной стороны, реализовать риск-менеджмент в том или ином объеме в отношении всех возможных объектов, а с другой, не перегрузить ответственных лиц непомерным объемом работы.
Процесс управления рисками ИБ у нас уже внедрен, но полностью задокументирован и утвержден только для некоторых бизнес-процессов. В рамках этих процессов мы стараемся максимально приблизиться к требованиям стандарта ISO 27001. В остальной же части компании оценка рисков ИБ применяется для общего планирования деятельности и годового бюджетирования департамента ИБ. Различия заключаются в применяемых методиках оценки рисков и в степени детализации.

В первом случае мы абсолютно уверены в том, что все активы в процессах учтены, что мы знаем все уязвимости, угрозы и вероятность их реализации. В рамках оценки мы переводим качественные показатели (экспертное мнение и статистика инцидентов) в количественные и выводим конечное значение критичности соответствующего риска с применением математического аппарата. Таким образом, мы уменьшаем влияние субъективного мнения экспертов.

Во втором случае, общем для компании, мы выделили только наиболее критичные информационные активы и только наиболее значимые риски – на основе экспертных оценок владельцев активов, без математических расчетов при оценке рисков. Этой приблизительной оценки хватает для понимания того, к какой зоне критичности относится тот или иной риск ИБ и какие средства необходимо выделить для его смягчения.
 

Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»
 
Сокращение ресурсных издержек

Тратить много времени на оценку рисков – непозволительная роскошь. А в современных условиях, когда внешние и внутренние факторы могут меняться буквально за несколько дней или даже часов, лучше проводить оценку рисков пусть и с меньшей точностью, но чаще и оперативнее.

А значит, этот процесс нуждается в максимальной оптимизации. Вариантов ее обеспечения не так уж и много:
  • привлечение стороннего консультанта, который возьмет на себя бОльшую часть работы. Этот вариант возможен, если у вас достаточно денег для регулярного (ведь такая работа не является разовой) привлечения внешних ресурсов и если вы готовы изначально инвестировать определенный временной ресурс на поиски подходящего внешнего подрядчика (возможно, придется сменить нескольких) и выработку с ним модели взаимодействия; 
  • формализация и автоматизация деятельности по оценке и управлению рисками ИБ. Данный вариант возможен, если процесс управления рисками удается внедрить как регулярную и принятую всеми задействованными сторонами практику (что вполне возможно при достижении хороших результатов по всем описанным нами направлениям). Однако в этом случае потребуется либо приобрести готовое программное решение для автоматизации процесса управления рисками, либо создать собственное – силами своего ИТ-подразделения или, опять-таки, с привлечением внешнего подрядчика. 
Пересмотр карты рисков в нашей компании осуществляется на регулярной основе. Делается это для того, чтобы не упустить из виду вновь возникающие риски (а ведь внешние обстоятельства и внутренняя среда порой меняются очень быстро). С учетом карты рисков и решений, принимаемых на ее основе руководством компании, формируется стратегия обеспечения информационной безопасности и составляются соответствующие планы.
 

Денис Персанов, Compliance and Risk Management, QIWI
 
Конечно, от оптимизации можно отказаться, если вы располагаете мощным ресурсом – отдельным подразделением, задачей которого является оценка и управление рисками, в том числе рисками информационной безопасности (на практике такое встречается, хоть и не очень часто). Отказ от оптимизации возможен и в том случае, когда наличие риск-менеджмента обусловлено исключительно желанием обеспечить формальное соответствие имеющимся законодательным или отраслевым требованиям. В такой ситуации переоценка рисков может проводится раз в один-два года, и оптимизация не принесет существенной выгоды (хотя все равно не будет лишней).
 
В своей практике я часто сталкивался с попытками разных организаций проводить оценку рисков ИБ. Делалось это, как правило, в рамках аудита. Результат фиксировался и жил в неизменном виде по несколько лет, хотя многие процессы внутри компании кардинально менялись. Актуализация осуществлялась лишь при проведении нового аудита или смене команды. К сожалению, так бывает очень часто. Возможно, это связано с отсутствием удобной технологии или методологии, позволяющей актуализировать ИБ-риски для каждого изменения. Однако в большей степени это обусловлено тем, что управление рисками является требованием регулятора, которому важно видеть отчет, а не «живой» процесс.

Если я все же встречал «живые» процессы управления рисками (их функционал был передан выделенному подразделению, управлявшему всей совокупностью рисков в организации), то, как правило, риски ИБ были описаны не совсем корректно, а в результате ИБ-компетенции компании были сильно ослаблены и сведены к поддержке технических сервисов…
 

Дмитрий Мананников, директор по информационной безопасности «СПСР-Экспресс»
 
Подводя итог, можно сказать, что риск-менеджмент (да и любой другой бизнес-инструмент) не плох и не хорош сам по себе, – все зависит от того, как и для чего он применяется. При правильном использовании он может принести безусловную пользу службе информационной безопасности и бизнесу, защиту которого эта служба призвана обеспечить.
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Последнее время всё чаще встречается термины «риски ИБ», «оценка рисков ИБ», «управление рисками ИБ». Что это такое? Какие риски ИБ существуют? Как можно оценить риск? Как управляют рисками? Прочитав статью, я не нашёл ответов на эти вопросы.
Кроме того, оказывается, есть «живой» и «мёртвый» «процесс управления рисками ИБ» (А.Бондаренко), а также «рисковый подход к управлению информационной безопасностью» (А.Ерин). С удивлением узнал, что «управление рисками является требованием регулятора» (Д.Мананников).
Может быть Вы кратенько объясните, что стоит за всеми этими терминами?

up
32 users have voted.
Аватар пользователя Ржавский Константин

Я так думаю, что сия терминология основана на модных тенденциях в развитии современных ИС и к СЗИ не имеет никакого отношения, т.к. СЗИ создается под определенный заранее риск. Просто сейчас смешивают эти понятия для оптимизации бизнес-процессов.

up
31 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.