Управление рисками информационной безопасности

Вячеслав Железняков,
ведущий консультант отдела консалтинга систем безопасности, компания "Инфосистемы Джет"

В   современных организациях практически все основные бизнес-процессы выполняются с использованием автоматизированных средств обработки информации. Рост клиентской базы, расширение территориального присутствия, внедрение новых продуктов и услуг, ужесточение требований со стороны законодательства и надзорных органов приводят к усложнению и росту значимости применяемых технологических процессов обработки информации. Как следствие, растут связанные с ними риски информационной безопасности.

Во многих компаниях уже созданы отделы операционных рисков. В задачу этих служб входит поддержка процесса управления всей совокупностью рисков, которые могут оказать влияние на операционную деятельность компании. При наличии в организации такого подразделения было бы логичным использовать для управления рисками ИБ ту же методологию, что применяется для управления другими типами операционных рисков.

Методы оценки операционных рисков

Современные подходы к оценке операционных рисков допускают использование как статистических, так и нестатистических методов. Большинство событий ИБ происходят нечасто, и их трудно обнаружить, из-за чего информация о них редко попадает в накопительную статистическую базу по операционным рискам, которая ведется в организации. Поэтому для оценки рисков информационной безопасности необходимо использовать нестатистические методы, наиболее популярный из которых - метод анализа сценариев на основе экспертной оценки.

Метод анализа сценариев предполагает выделение событий, связанных с нарушением конфиденциальности, целостности или доступности информации, которые могли бы нанести ущерб интересам компании.

Список сценариев формируется на основе перечня критичных информационных ресурсов и информационных сервисов. Для каждого сценария из списка осуществляется экспертная оценка вероятности реализации сценариев и возможных потерь. При этом в качестве экспертов могут выступать специалисты организации, обладающие соответствующей информацией (руководители основных направлений бизнеса, сотрудники подразделений ИТ и ИБ), либо внешние консультанты.

С целью получения достоверных и воспроизводимых результатов экспертам предоставляется набор формальных критериев оценки. В качестве таких критериев могут выступать, например, время недоступности информационного сервиса или фиксированный перечень возможных последствий сценария.

Разделение ролей и ответственности

Как показывает опыт, в случае использования метода анализа сценариев значительное влияние на эффективность процесса управления рисками оказывает достоверность информации, предоставляемой экспертами. Для обеспечения их информированности и заинтересованности необходимо четко разделить роли и ответственность в процессе управления рисками.

Например, возможен вариант, когда ответственность за контроль над рисками И Б, связанными с бизнес-процессом, возлагается на владельца процесса. При этом он осуществляет оценку возможного ущерба в случае реализации негативного сценария и сообщает об изменениях, происходящих в бизнес-процессе.

Сотрудники служб ИТ и ИБ, хорошо знакомые с ИТ-инфраструктурой организации, способны оценить вероятность реализации негативного сценария, а также последствия реализации сценариев, связанных с нарушением внешних требований в области ИБ.

Задача отдела операционных рисков - сбор и обработка информации о рисках в соответствии с применяемой методологией и подготовка отчетности (карты рисков) для всех заинтересованных сторон.

Решение по обработке рисков принимается руководством организации на основании предоставленной карты рисков и комментариев экспертов, дающих оценку сценариям. Поэтому, несомненно, самый важный фактор для успешного функционирования процесса управления рисками -доверие руководства компании к своим специалистам.

Комментарий эксперта Николай Починок, руководитель отдела консалтинга, Symantec в России и СНГ В настоящее время консалтинг - одна из наиболее востребованных услуг на ИТ-рынке, в том числе и в сегменте информационной безопасности (ИБ). Роль консалтинга постоянно возрастает, и это связано с необходимостью обеспечения безопасности, защищенности и сохранности корпоративных данных, передача, обработка и хранение которых регулярно подвергается серьезным испытаниям в виде различных внешних угроз и инцидентов. Последствия сбоев в работе отдельных компонентов корпоративных систем могут привести к остановке и простоям в бизнесе, нанести значительный ущерб интересам собственников и клиентов. В случаях возникновения инцидентов ИБ значительно возрастает результирующий риск и вероятность материального ущерба, поэтому угрозы безопасности информационных активов представляют реальную опасность. В то же время существующая в компании система обеспечения безопасности и управления инцидентами может быть неоправданно затратной с экономической точки зрения, не гарантируя при этом 100%-ную надежность. Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ следует обеспечить достаточный уровень безопасности информационных активов за счет качественной, технической и экономической оценки существующих систем безопасности, а также за счет внедрения эффективной и экономически ликвидной системы управления инцидентами ИБ. Качественно спроектированная и внедренная система управления инцидентами ИБ, автоматизация выполнения рутинных операций по выявлению инцидентов приведут к снижению операционных затрат на подготовку персонала, к оптимизации использования времени администраторов за счет развитого механизма оповещения об инцидентах, к возможности увеличения количества контролируемых объектов и событий безопасности без увеличения существующего штата сотрудников. Наряду с этим будет наблюдаться повышение эффективности использования имеющихся средств защиты и соответствие требованиям нормативных актов и законов (ISO 27001, Sarbanes-Oxley Act и т.п.). С точки зрения консалтинга эффективная система управления инцидентами ИБ - это совокупность технологий, процессов и правильно построенной организационной структуры, которые реально влияют на деловые процессы и финансовые затраты компании.