Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

4)планирование риска;

5)исследование и уведомление риска;

6)перенос риска.

3.7.4. Анализ рентабельности и остаточный риск

Организации могут анализировать степень сокращения риска, связанного с новыми или усовершенствованными средствами управления с позиции уменьшения вероятности угрозы или степени воздействия, то есть тех двух параметров, которые определяют уровень допустимого риска для осуществления миссии организации. Риск, остающийся после реализации нового средства управления или проведения усовершенствования существующего средства управления является остаточным риском. Фактически не существует ИТ-систем, которые были бы свободными от рисков, и поэтому большинство реализуемых средств управления предназначены главным образом для того, чтобы адресовать или уменьшить уровень рисков, в том числе и до нуля. Если остаточный риск не был уменьшен до приемлемого уровня, то цикл управления рисками должен быть повторен с целью нахождения путей дальнейшего понижения остаточного риска до приемлемого уровня.

3.8. Открытый стандарт ISACA

Основной задачей ассоциации ISACA является развитие и продвижение открытого стандарта CobiT (Контрольные объекты для информационных и смежных технологий) [20]. CobiT представляет собой пакет документов, в которых изложены принципы управления и аудита информационных технологий. Эти документы объединяются в шесть книг, ориентированных на разные аудитории.

1.«Резюме для руководителя». Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации.

2.«Описание структуры». Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.

3.«Объекты контроля». В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

4.«Принципы управления». Книга отвечает на вопросы: как управлять информационными технологиями, как правильно поставить

121

достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.

5.«Принципы аудита». Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать. Книга предназначена для внутренних и внешних аудиторов, консультантов в сфере информационных технологий.

6.«Набор инструментов внедрения стандарта». Книга представляет собой практические советы по ежедневному использованию стандарта в управлении и аудите информационных технологий. Книга предназначена для внутренних и внешних аудиторов, консультантов.

3.9.Библиотека лучших практик в области управления информационными технологиями

ITIL (Information technology infrastructure library) — библиотека, описывающая лучшие из применяемых на практике способов организации работы ИТ-подразделений. ITIL представляет собой стандартный набор рекомендаций, основанных на практическом опыте ИТструктур в организациях. В библиотеку ITIL, в разных вариантах, входит 40-60 книг, включающих в себя наиболее распространенные ИТ-практики, рекомендации и стандарты.

ITIL разрабатывается CCTA и оформлен в виде сборника наиболее передового и плодотворного опыта в области управления предоставлением качественных ИТ-сервисов [30]. Первоначальное количество томов библиотеки ITIL достигало нескольких десятков, но в последствии, в результате накопления практического опыта и систематизации знаний, сократилось до семи.

ITIL — эта база знаний по системному подходу в управлении ИТ-инфраструктурой, будь то аппаратное, программное либо телекоммуникационное обеспечение, фундамент построения работы и улуч- шения обеспечения сервисов на уровне, необходимом конечному потребителю, то есть бизнесу. ITIL по сути является тем мостом, который соединяет потребности бизнеса и информационные технологии, для достижения конечного результата с наименьшими затратами и наибольшей эффективностью.

Основным понятием ITIL является понятие процесса, в каждом из семи томов библиотеки прописаны процессы, необходимые для дости-

122

жения решения задачи улучшения качества сервиса при максимально возможной оптимизации применения ресурсов.

ITIL в данном случае руководствуется понятием, приведенным в стандарте качества ISO 9000: процесс — совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.

Определяющими процессами ITIL являются процессы, описанные в томах «Поддержка услуг» (Service support) и «Предоставление услуг» (Service Delivery). Именно эти процессы являются наибольшим камнем преткновения между бизнесом и информационными технологиями. К ним относятся следующие процессы.

Поддержка услуг:

—Управление инцидентами (Incident management). Целью процесса является скорейшее устранение инцидентов, под которыми понимаются любые события, влияющие на нормальное течение бизнеспроцесса, требующие ответной реакции: сбои, запросы на обслуживание и консультации и т. п. В тесной связи с этим процессом рассматриваются вопросы создания и управления диспетчерской службой — подразделением, которое является единой точкой контакта с пользователями и координирует устранение инцидентов.

—Управление проблемами (Problem management). Öåëü äàí-

ного процесса — устранение причин, способствующих появлению инцидентов, что достигается путем выявления и устранения этих при- чин.

—Управление конфигурациями (Configuration management). Целью процесса является создание и поддержание в актуальном состоянии логической модели инфраструктуры.

—Управление изменениями (Change management). Каждое из-

менение делается с целью внести улучшение, но оно, в свою очередь, потенциально опасно для инфраструктуры в целом. Цель этого процесса — допускать только разумные изменения и координировать проведение изменений.

—Управление релизами (Release management). Целью процесса является сохранение работоспособности производственной среды при проведении изменений.

Предоставление услуг:

—Управление уровнем сервиса (Service level management). Çà-

частую поставщик и потребитель ИТ-сервисов по-разному представляют, в чем эти сервисы состоят, какие операции и как быстро должны

123

производиться. Цель этого процесса — выявление требуемого состава и уровня сервиса, отслеживание его достижения, а при необходимости инициирование действий по устранению некачественного сервиса.

—Управление финансами (Financial management for IT Service). Целью процесса является обеспечение надежной финансовой базы для прочих процессов.

—Управление мощностью (Capacity management). Недоста-

точная мощность инфраструктуры приводит к появлению жалоб на скорость работы или полной невозможности продолжать работу. С другой стороны, избыточная мощность — это впустую потраченные деньги и время на отладку. Целью процесса является определение разумного компромисса между потребностями и затратами.

— Управление непрерывностью (IT-service continuity management). Цель процесса — обеспечение гарантированного восстановления инфраструктуры, необходимой для продолжения бизнеспроцесса в случае чрезвычайных обстоятельств.

— Управление доступностью (Availability management). Доступность — очень часто используемый показатель уровня сервиса. Однако не только обеспечение заданного уровня доступности, но также измерение и определение его настолько сложны, что для всех, связанных с доступностью задач организовывается отдельный процесс.

Параллельно с разработкой процессного подхода развилась целая индустрия консалтинговых услуг и обучения ITIL. Появились методики, выработался опыт многочисленных внедрений по всему миру в организациях разного масштаба.

3.10.Нормативно-технические основы управления информационными рисками в России и Европе

Состояние нормативно-технической базы в области УИР в России

Можно представить, что в России сложилась довольно масштабная нормативно-техническая база, на которую можно опираться в процессе УИР. Но на самом деле на сегодняшний день существует целый ряд проблем, которые существенно уменьшают преимущество нали- чия данной нормативной базы. Это связано со следующими обстоятельствами.

124

Наличие нормативной базы, к сожалению, не подразумевает активное и корректное ее использование. Одно дело — иметь в наличии стандарты и утвержденные законы — и совсем другое — верно их применять и четко следовать указанным рекомендациям.

На сегодняшний день в России в процессе управления информационной безопасностью и, в частности, в процессе УИР в основном используется переведенный с международного стандарта ГОСТ Р ИСО/ МЭК 17799-2005. Данный стандарт в простой и доступной форме четко излагает основы и базовые принципы управления информационной безопасностью, которые сразу же реально применять на практике, что намного проще, чем разрабатывать задание по безопасности или профиль защиты согласно ГОСТ Р ИСО/МЭК 15408.

Кроме того, основные положения ГОСТ Р ИСО/МЭК 17799 понятны и доступны для внедрения для большинства специалистов в области информационной безопасности.

Также очень важно отметить тот факт, что данный стандарт, пожалуй, самый доступный на сегодняшний день для российских предпринимателей, ведь стоимость большинства нормативных документов, особенно переведенных с зарубежных прототипов, порой просто зашкаливает, и это существенно снижает энтузиазм руководителей организаций идти в ногу с современными требованиями в области управления информационной безопасностью. Тем самым большинство рекомендаций стандартов так и остаются лишь на бумаге, фактически они не применяются на практике.

Однако если говорить конкретно про управление информационными рисками, то ГОСТ Р ИСО/МЭК 17799 лишь в общих чертах определяет основные положения и достоинства процесса УИР. Тем более, данный стандарт, к сожалению, не содержит каких-либо методик проведения УИР. А ведь именно методики, зарекомендовавшие себя на практике, являются наиболее ценным элементом стандартов, в котором действительно нуждаются большинство российских предприятий.

Подобные методики содержатся в национальных стандартах NIST 800-30 (США), AS/NZS 4360:2004 Risk management (Австралия — Новая Зеландия), международном стандарте ISO/IEC 13335-3. Но, во-первых, как уже отмечалось, не каждое предприятие способно себе позволить приобретение русских переводов данных стандартов, вовторых, использование данных методик подразумевает под собой наличие на предприятии специального штата сотрудников в области УИР. Это очень важное замечание, так как на сегодняшний день многие

125

российские предприятия ощущают недостаток специалистов в данной области.

Если же использовать английские версии данных стандартов, то есть подлинники, то в этом случае естественно приходится проводить перевод самостоятельными силами, что порой занимает слишком много сил, времени, а эффективность перевода при этом далека от совершенства.

Кстати, к слову о переводе: на самом деле русские версии международных стандартов, к сожалению, содержат достаточно большое количество некорректно переведенных положений стандартов, что лишний раз напоминает, насколько внимательно и ответственно необходимо относиться к процессу применения на практике принципов и идей этих стандартов.

Как уже упоминалось выше, некоторые стандарты содержат зарекомендовавшие себя методики УИР, но прежде, чем их применять на практике, необходимо будет провести анализ российских условий рынка, бизнеса, экономики и т. д. То есть главное и существенное препятствие в скором применении данных методик состоит в том, что их необходимо адаптировать к российским национальным особенностям деловой среды. Кроме того, при этом остается необходимость приспосабливать готовые методики к условиям конкретной организации, учи- тывая ее цели, миссию, специфику бизнеса и многое другое.

Все вышесказанное приводит к тому, что так или иначе многие компании разрабатывают собственными силами свои методики управления информационными рисками. Данное обстоятельство, к сожалению, отражается в следующем.

Во-первых, данные методики зачастую не настолько эффективны, как хотелось бы.

Во-вторых, компании затрачивают при этом множество ресурсов (время, деньги, люди).

В-третьих, компании идут путем собственных проб и ошибок, которые можно было бы избежать.

В-четвертых, и это очень важно, данные методики являются ноухау, а значит, появляется дополнительный информационный ресурс, которому необходимо обеспечить надежную защиту.

Учитывая перечисленные замечания, очень многие российские предприятия прибегают к помощи третьей стороны, то есть сторонней независимой компании, которая обладает наибольшим опытом в области УИР и имеет в распоряжении свои уникальные методики УИР. Но

126

подобную помощь могут позволить на сегодняшний день, пожалуй, лишь крупные российские предприятия по причине высокой стоимости подобных услуг.

Все вышеуказанное существенно тормозит активное использование нормативно-правовой базы в области УИР в России.

Кроме того, хотелось бы отметить следующую особенность: на сегодняшний день в области УИР достаточно качественно разработана нормативная база в банковском, финансовом секторе экономики. Так, например, Федеральным агентством по техническому регулированию и метрологии был разработан стандарт СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (стандарт Банка России).

Причем данный стандарт комплексный, и в его основу положены группа стандартов ISO/IEC (в частности, ISO/IEC 17799:2005), стандарт CobiT; методика анализа и управления рисками CRAMM, ГОСТы и др.

Таким образом, отсутствие адаптированных к российским условиям подходов к построению системы управления рисками с учетом фактора информационных технологий является одним из основных препятствий для встраивания процесса риск-менеджмента в процесс управления российских компаний.

Это подтверждает целый ряд исследований и многочисленные опросы, а также опыт специалистов многих компаний. В частности, необходимость управления рисками признается практическими всеми руководителями и, тем не менее, явно ощущается недостаток формализованных методик и процедур риск-менеджмента на предприятии.

Постановка методологии управления рисками и ее реализация в бизнес-процессах предприятия — важное направление деятельности российских компаний.

Состояние нормативно-технической базы в области УИР в Европе на примере Германии

К одним из самых ценных нормативных документов во всей Европе можно отнести базовое руководство по защите информационных технологий BSI/IT Baseline Protection Manual «Руководство по обеспечению безопасности информационных технологий базового уровня», так как этот документ является, пожалуй, самым содержательным руководством по информационной безопасности и по многим параметрам превосходит все остальные стандарты. Более того, в BSI\IT

127

Baseline Protection Manual содержатся подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования информационных систем и различным областям информационных технологий. Стандарт в настоящее время занимает три тома и содержит около 1600 страниц текста. Также важно отметить, что BSI/IT Baseline Protection Manual постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию дел в области безопасности информационных технологий.

К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде.

Таким образом, BSI/IT Baseline Protection Manual «Руководство по обеспечению безопасности информационных технологий базового уровня» по своему содержанию, постоянно обновляемому, во многом опережает многие существующие стандарты и вполне может быть использовано взамен целого набора стандартов, информация в которых потеряла свою актуальность.

В Европе необходимость адаптировать существующие методики сужается до необходимости приспосабливать эти методики к условиям конкретной организации для удовлетворения специфических потребностей и требований. То есть учитывать какие-либо национальные особенности, прежде всего в сфере экономики, так, как это приходится делать в России, не нужно. Данное обстоятельство существенно ускоряет процесс внедрения и использования на практике самых ценных рекомендаций разработанных стандартов. Таким образом, в Европе на сегодняшний день, по сравнению с российскими организациями, наработан более богатый опыт в области управления информационной безопасностью, в частности в области УИР.

Учитывая разность в финансовых возможностях, для европейских организаций вопрос приобретения стандартов по информационной безопасности не стоит так остро, как для российских, что также положительно сказывается на практическом применении и активном использовании нормативно-правовой базы в области информационной безопасности.

Кроме того, исчезает необходимость в специальном переводе международных стандартов, что существенно сокращает временной интервал между ознакомлением с рекомендациями стандартов и их практическим применением. Данное обстоятельство невероятно расширяет область нормативно-правовой базы в сфере информационной безопас-

128

ности для дальнейшего ознакомления, включая многочисленные руководства и национальные нормативные документы других зарубежных стран. Это является очень большим преимуществом, так как, когда есть много стандартов, высока вероятность того, что один из многих специфических стандартов подойдет в конкретной ситуации наилуч- шим образом. Это особенно полезно, если всемирно признанного фактического стандарта еще нет.

Таким образом, в Европе специалисты в области защиты информации имеют великолепную возможность использовать лучшие части этих стандартов в качестве кирпичиков для построения наиболее эффективного процесса управления информационными рисками. Кроме того, немаловажным является тот факт, что для европейских компаний существует возможность учитывать практические примеры и опыт управления информационными рисками других организаций, ведущих свой бизнес в схожем секторе. То есть информацию об опыте в области УИР можно найти в открытом доступе, но, разумеется, в европейских компаниях также имеются свои собственные разработки, которые относятся к ноу-хау компании, а значит, должны быть защищены.

Тем не менее, задачи составления наиболее полных списков угроз, уязвимостей, а также эффективных контрмер и вычисление последующих затрат и эффективности вводимых контрмер существенно упрощаются. Как следствие, процесс УИР наиболее эффективным образом способствует развитию компании, обеспечивая выполнение биз- нес-целей и миссий компании.

Также важно заметить, что вопросы информационной безопасности, в частности вопросы УИР, уже давно не новы. Поэтому на сегодняшний день опыт зарубежных компаний в сфере обеспечения защиты информации намного богаче, чем у российских организаций, так как у европейских компаний есть возможность использовать накопленную базу эффективных практик по управлению информационной безопасностью, которые успешно были внедрены в процессе деятельности этих компаний.

Перспективы в России в области УИР

На самом деле не все так печально, как можно было бы подумать после всего выше прочитанного. На сегодняшний день наблюдается быстрый и уверенный рост уровней зрелости большинства организаций, находящихся в секторе информационных технологий (это подтверждают большинство исследований, в том числе — компании

129

Ernst&Yung). Данное обстоятельство не может не радовать, так как это сопровождается ростом компетентности, культуры организаций в области информационной безопасности. Это отражается в повышении осознанности и ответственности компаний при организации информационной безопасности.

Таким образом, становится все больше компаний, готовых обеспе- чивать отдельное финансирование для информационной безопасности, а также для повышения квалификации специалистов по защите информации.

Данное обстоятельство отчасти объясняется тем, что большинство российских компаний готовятся к процедуре вхождения во Всемирную торговую организацию (ВТО) и желают выйти на уровень фондовых рынков.

Кроме того, хочется отметить тот факт, что за последнее время существенно вырос уровень сервиса большинства консалтинговых фирм, предлагающих свои услуги в области построения СУИБ на базе ISO/ IEC 27001:2005 с последующей сертификацией, а также в области управления информационной безопасностью на базе ISO/IEC 17799:2005.

Также, несомненно, нужно учесть позитивные изменения, которые произошли в законодательстве страны в области информационной безопасности за последние годы. К тому же явно выделилась положительная тенденция принятия основных положений международных стандартов как основы для разработки стандартов государственных.

Таким образом, на сегодняшний день в России есть острая необходимость в наработке нормативно-правовой базы в области УИР с учетом факторов информационных технологий.

Более того, необходимо создавать благоприятные условия для применения данной нормативной базы на практике, что предполагает:

1)повышение доступности стандартов в финансовом смысле;

2)повышение культуры организаций в области информационной безопасности путем:

— активного участия в различных конференциях по защите информации;

— дополнительного образования и повышения квалификации сотрудников организаций;

3)непрерывное улучшение нормативно-правовой базы не только

âобласти УИР, но и в области защиты информации и обеспечения информационной безопасности.

130