Рецепты по управлению рисками ИБ

Дьявол кроется в деталях

На сегодняшний день существует множество подходов и методик оценки рисков ИБ. Однако на практике специалисты сталкиваются с рядом вопросов. Выражение "Дьявол кроется в деталях" здесь как никогда актуально. Рассмотрим наиболее распространенные заблуждения и ошибки, которые возникают в процессе управления рисками ИБ.

Процесс управления рисками ИБ не интегрирован с процессами управления рисками компании в целом
Хорошей практикой является, если риски ИБ оцениваются и обрабатываются в рамках общего процесса управления рисками компании (Enterprise Risk Management, ERM), тесно связанного с целями бизнеса. Это позволяет учитывать их влияние на достижение бизнес-целей компании.

Отсутствует роль "владелец риска"
В новой редакции международного стандарта ISO/IEC 27001–2013 введено понятие "владелец риска", означающее, что для контроля за каждым рисковым событием назначается ответственное лицо. В идеале это должны быть топ-менеджеры, поскольку они обладают соответствующими полномочиями и необходимыми ресурсами (например, финансовыми или трудовыми) для принятия решений. Однако на практике чаще на эту роль назначаются сотрудники подразделений ИБ и/или IТ. В таком случае рекомендуется рассматривать риски ИБ с точки зрения их влияния на ключевые для бизнеса процессы. Это позволит обосновать перед руководством компании выделение бюджета на их обработку.

"Твоя моя не понимай": представление результатов оценки рисков ИБ руководству в терминах IТ и ИБ
Руководство компании оперирует "терминами бизнеса", и зачастую ему неочевидно, к примеру, влияние работоспособности конкретного сервера или приложения на достижение бизнес-целей компании. Следовательно, в процессе оценки рисков, на этапе идентификации активов необходимо проанализировать бизнес-процессы, выявить и показать связь с активами, обеспечивающими их выполнение (до этого в компании должны быть определены и описаны основные процессы ее деятельности).

Результаты реализации мер по снижению рисков ИБ также необходимо предоставлять руководству в привычных для него терминах, например в виде соотношения затрат на реализацию мер ИБ и предотвращенных потерь от негативных событий (Return on Investment for Security, ROSI). Данная величина рассчитывается в денежных единицах и характеризует результат инвестирования в ИБ.

Использование сложных математических методов для оценки ущерба с целью демонстрации их значимости
Например, в стандарте ГОСТ Р ИСО/МЭК 31010–2011 или ISO/IEC 31010–2009 описан 31 метод оценки рисков, большая часть из которых сложно реализуема с практической точки зрения. Критерием выбора метода оценки ущерба и вероятности его возникновения должна быть возможность применения метода на практике, а не научность и математическая сложность.

Снижение рисков до “нулевого” уровня
Как бы ни хотелось, но снизить риски до "нуля" просто невозможно. Даже после реализации комплекса мер по их снижению всегда будут присутствовать "остаточные" риски. Основной вопрос – являются ли они приемлемыми для компании. В данном случае в компании должен быть установлен уровень приемлемого риска (риск-аппетит) и решение о способе обработки должно приниматься руководством.

Риски оцениваются один раз
Оценку необходимо проводить на регулярной основе, поскольку, во-первых, компания осуществляет свою деятельность в постоянно изменяющейся среде – запуск новых услуг, внедрение новых систем, применение новых технологий и прочее. Это сопровождается возникновением соответствующих угроз. Во-вторых, после проведения первичной оценки и реализации комплекса мер необходимо отслеживать динамику уровня рисков.

Также рекомендуется вести "Карту рисков", позволяющую видеть данные изменения. Она может использоваться для представления результатов оценки и обработки рисков руководству компании.

В заключение

После разбора наиболее распространенных ошибок и заблуждений рассмотрим вопросы автоматизации процесса управления рисками ИБ: как оценить ее целесообразность, с чего начать и какие "подводные камни" подстерегают на этом пути. Данный вопрос заслуживает отдельного внимания.

Продолжение следует...