Как должна распределяться ответственность за управление информационными рисками в организации

Александр Астахов
GlobalTrust

Почему служба ИБ не должна отвечать за управление рисками

Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Руководители ИБ, как можно предположить, не всегда бывают заинтересованы в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.

Основным побудительным мотивом для вкладывания каких-либо средств в безопасность всегда являлся страх. На страхе основан и внешний, и внутренний маркетинг безопасности. Размер бюджета, выделяемого на безопасность, прямо пропорционален степени обеспокоенности руководства организации этими вопросами. Чем сильнее руководителю ИБ удастся запугать свое руководство информационными угрозами, тем выше его значимость и лучше финансируется его служба.

Какие последствия для службы ИБ может иметь внедрение процесса управления рисками, при котором руководство организации будет осознанно принимать риски, опираясь на свою оценку среднегодового ущерба от инцидентов безопасности, как это рекомендуется международными стандартами? Что если эта оценка не будет "браться с потолка", а станет определяться по прозрачной методологии, доступной для понимания и проверки всем заинтересованным сторонам, и будет опираться на мнения руководства организации, экспертов и представителей бизнеса? Вдруг такая оценка наглядно покажет, что многие затраты на безопасность не являются оправданными с экономической точки зрения? Вдруг руководство осознает и примет все риски? Что если служба ИБ перестанет бороться со страхами руководителей и собственников бизнеса, а вместо этого начнет работать на бизнес, помогая ему не тратить, а экономить деньги?

От таких вопросов некоторых руководителей ИБ мог бы прошибить холодный пот. Успокаивает их лишь то, что многие из них искренне не верят в возможность получения достоверных количественных оценок информационных рисков, которые были бы понятны их боссам и могли бы использоваться для принятия экономически оправданных решений.

Таким образом, за оценку рисков ИБ служба ИБ отвечать не может, потому что она не заинтересована в объективной оценке. "Безопасникам" выгодно, чтобы риски всегда оценивались по максимуму.

Обработка рисков включает в себя четыре взаимонеис-ключающих действия: уменьшение риска, принятие (сохранение) риска, передача риска и избежание риска. Служба ИБ из всего этого может отвечать только за уменьшение риска, т.е. за планирование и реализацию конкретных контрмер.

Распределение ролей по управлению ИБ

Управление рисками - это функция более высокого уровня, нежели текущая деятельность по обеспечению информационной безопасности. Она должна осуществляться руководством организации совместно с риск-менеджером, который и должен нести ответственность за формирование и поддержание в актуальном состоянии ключевых документов - реестра рисков и плана их обработки. Он также должен нести ответственность за осуществление общего контроля процессов управления рисками, включая выполнение правил политики управления рисками, и за обеспечение соответствия этих правил требованиям международных и национальных стандартов.

Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:

• руководство: поддержка и анализ СУИБ, утверждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общий контроль и т.п.;
• управляющий комитет по ИБ: стратегическое управление, утверждение ключевых документов и бюджета ИБ;
• служба риск-менеджмента: оценка рисков, подготовка и контроль реализации решений руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.;
• служба ИБ: оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков;
• служба внутреннего аудита: независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ;
• служба ИТ: реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместно или под контролем службы ИБ;

Такое распределение ответственности является наиболее обоснованным, обеспечивающим взаимный контроль и исключающим конфликт интересов.

В случае отсутствия в организации позиции риск-менеджера его обязанности могут возлагаться на менеджера по информационной безопасности (CISO или директора по ИБ, т.е. на человека, отвечающего за обеспечение ИБ организации в целом), однако по приведенным выше соображениям это не лучший вариант. Служба ИБ, так же как и ИТ, бизнес-подразделения и владельцы активов должны активно участвовать в оценке рисков, но владельцем этого процесса должен быть риск-менеджер.

Служба ИБ вполне может нести ответственность за разработку, реализацию и поддержание в актуальном состоянии методологии оценки рисков информационной безопасности с учетом специфики бизнеса организации и последних достижений в предметной области.

Эффективная СУИР нуждается в извлечении информации из всех возможных источников, включая руководство, всех сотрудников и подрядчиков безотносительно к выполняемым ими функциям, а также (где это применимо) от внешних сторон, таких как поставщики и клиенты. Поэтому участие в процессе совершенствования СУИР должно являться частью должностных обязанностей каждого сотрудника организации.

Руководители подразделений компании должны нести ответственность за поддержку и непосредственное участие в оценке рисков информационных активов, владельцами которых они являются, а также за оценку критичности систем и конфиденциальности обрабатываемой информации.

Вице-президент (президент, генеральный или исполнительный директор) координирует выполнение корпоративной программы управления информационными рисками, утверждает план обработки рисков и принимает решение по допустимому уровню остаточного риска.

Ключевыми ролями в системе управления рисками являются роли риск-менеджера и эксперта по оценке рисков, которые стоит рассмотреть более подробно, опираясь на соответствующие требования британского стандарта BS 7799-3.

Требования к риск-менеджеру

В небольшой организации управление рисками (риск-менеджмент) может являться для одного из ее руководителей одной из многочисленных его обязанностей. По мере расширения организации и повышения ее чувствительности к информационным рискам возрастает необходимость в создании отдельной позиции риск-менеджера. В более крупной организации для выполнения функций по управлению рисками может создаваться специализированное подразделение.

Согласно BS 7799-3 сотрудники, занимающиеся управлением рисками индивидуально либо в составе соответствующего подразделения, должны обладать следующими характеристиками:

• систематичные и организованные в своем подходе к мониторингу известных рисков и предложению подходящих мер;
• бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах;
• настойчивые и независимо мыслящие, но способные воспринимать противоположные точки зрения и примиряться с ними в случае, если это наилучшим образом помогает бизнесу;
• способные убедительно представлять аргументацию, например аргументировать расходы на уменьшение высокого риска;
• способные работать на всех уровнях в организации;
• хорошо понимающие риск, технологии и механизмы безопасности.

Требования к эксперту по оценке рисков

В то время как риск-менеджер контролирует функционирование СУИР в целом, стержневые процессы, такие как оценка и обработка рисков, могут выполняться отдельным экспертом или рабочей группой.

Эксперт по оценке рисков (члены рабочей группы) должен отвечать следующим требованиям:

• базовое понимание того, как функционирует бизнес, и склонности этого бизнеса к риску;
• понимание основных концепций риска, например, каким образом комбинируются оценки угрозы, уязвимости и ущерба для получения величины риска;
• понимание ИТ на уровне, достаточном для понимания угроз и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, операционные системы, приложения, сети передачи данных, вебсайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют;
• понимание различных типов механизмов безопасности, способов их работы и любых свойственных им ограничений, таких как, например: межсетевые экраны, системы обнаружения вторжений, механизмы идентификации и аутентификации, механизмы контроля доступа, шифрования, средства видеонаблюдения, а также журналирование и мониторинг и т.п.;
• практическое понимание используемой методологии оценки рисков и любых, связанных с ней инструментов программного обеспечения или форм;
• аналитический склад ума, т.е. способность выделять относящиеся к делу факты;
• способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
• уровень коммуникабельности, достаточный для получения необходимой информации от сотрудников организации, и умение сообщить о результатах оценки рисков в форме, понятной руководству, принимающему решения.

Эксперт по оценке рисков должен быть профессионалом в области ИТ либо информационной безопасности. Он также может быть "человеком из бизнеса" при условии, что обладает необходимыми знаниями и квалификациями, перечисленными выше, либо может являться внешним консультантом.

Мы рассмотрели ключевые роли, задействованные в процессе управления информационными рисками в организации. И, как это ни покажется кому-то странным, назначение службы ИБ в качестве владельца данного процесса хотя и возможно, но по приведенным выше соображениям является отнюдь не лучшей идеей. Поэтому, когда руководители ИБ высказывают обоснованные сомнения в возможности реализации в рамках их подразделений процессов по управлению рисками ИБ, мы их успокаиваем: "Продолжайте заниматься текучкой, управление рисками - не ваша задача".