Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

31

ной безопасности чаще всего неактуальны. Несмотря на это, предприятия могут быть вполне жизнеспособными.

На втором уровне проблема обеспечения информационной безопасности решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-техни- ческих) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не ставится. Таким образом, постепенно складывается неформальный список актуальных для предприятия классов рисков, который постепенно пополняется.

Если серьезных инцидентов не происходило, руководство предприятия, как правило, считает вопросы информационной безопасности не приоритетными.

В случае серьезного инцидента сложившаяся система обеспече- ния безопасности корректируется, а проблема поиска других возможных брешей в защите может быть осознана руководством.

Для данного уровня зрелости предприятия типичными являются локальные (не связанные с другими этапами жизненного цикла технологии) постановки задачи анализа рисков, когда считается достаточным перечислить актуальные для данной информационной системы классы рисков и возможно описать модель нарушителя, а задача анализа вариантов контрмер, их эффективность, управление рисками не считается актуальной.

На третьем уровне считается целесообразным следовать в той или иной мере (возможно, частично) стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности, вопросам документирования уделяется должное внимание.

Задача анализа рисков считается руководством актуальной. Анализ рисков рассматривается как один из элементов технологии управления режимом информационной безопасности на всех стадиях ее жизненного цикла.

На данном уровне зрелости предприятия анализ рисков связан со следующими компонентами технологии управления режимом информационной безопасности:

1)документирование информационной системы предприятия с позиции информационной безопасности;

2)категорирование информационных ресурсов с позиции руководства предприятия;

3)определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию;

32

4)анализ рисков;

5)технология управления рисками на всех этапах жизненного цикла;

6)аудит в области информационной безопасности.

На четвертом уровне для руководства предприятия актуальны вопросы измерения параметров, характеризующих режим информационной безопасности. На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточ- ных рисков (которые остаются всегда). Риски оцениваются по нескольким критериям (не только стоимостным).

Технология управления информационной безопасностью остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер при управлении рисками.

На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности, например:

—выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков;

—выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;

—выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

Согласно обзорам компании Ernst and Yung — более 50% предприятий относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке этой задачи.

Предприятия третьего уровня зрелости (около 40% общего числа), использующие (или планирующие использовать) какие-либо подходы

êоценке системы информационной безопасности, применяют стандартные рекомендации и руководства класса «лучшей практики», относящиеся к базовому уровню информационной безопасности. Эти предприятия используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии.

Предприятия, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа,

33

используют разнообразные углубленные методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнения, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

ÂРоссии доля предприятий, относящихся к третьему, четвертому

èпятому уровням зрелости, еще меньше. Соответственно наиболее востребованными в настоящее время являются простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня [41].

Существует несколько подходов в проведении УИР, но упрощенно можно выделить два основных:

— обеспечивающий базовый уровень информационной безопасности (минимальные требования информационной безопасности);

— обеспечивающий повышенный уровень информационной безопасности (повышенные требования информационной безопасности). Данный подход содержит в себе полный (детальный) анализ рисков.

То, какой подход будет выбран руководством предприятия для проведения УИР, во многом зависит от ее уровня зрелости. Чаще всего, как уже отмечалось, базовый подход используют организации, достигшие третьего уровня зрелости.

Подходы к проведению УИР различаются относительно того, каким требованиям к информационной безопасности желает обеспечить соответствие предприятие: минимальным или повышенным.

Минимальные требования к информационной безопасности

Минимальным требованиям соответствует базовый уровень информационной безопасности, обычно реализуемый в типовых проектных решениях.

Во многих стандартах информационной безопасности определен набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, НСД и т. д. Контрмеры для нейтрализации этих угроз должны быть приняты обязательно вне зависимости от вероятности их осуществления и уязвимости ресурсов.

Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

Базовый уровень информационной безопасности предполагает упрощенный подход к анализу рисков, при котором рассматривается

34

стандартный набор распространенных угроз безопасности без оценки вероятностей этих угроз. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности защиты в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов не слишком высока.

Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим информационной безопасности. При подобном подходе можно упустить из вида специфические для конкретной информационной системы классы угроз.

Повышенные требования к информационной безопасности

В случаях, когда нарушения режима информационной безопасности чреваты тяжелыми последствиями, базового уровня требований становится недостаточно.

Если к информационной безопасности предъявляются повышенные требования, проводится так называемый полный вариант анализа рисков, в рамках которого к базовым требованиям формируются дополнительные. В соответствии с такими требованиями необходимо:

—определить ценность ресурсов;

—к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

—оценить вероятность угроз;

—определить уязвимость ресурсов.

Для обеспечения повышенного уровня информационной безопасности необходимо знать параметры, характеризующие степень информационной безопасности и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов. В том или ином виде должны рассматриваться ресурсы, характеристики рисков и уязвимости информационной системы. Как правило, проводится анализ по критерию соотношения стоимости и эффективности нескольких вариантов защиты [40].

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции информационной безопасности.

На основе собранных сведений оцениваются риски, например, для информационной системы предприятия, для отдельных ее подсистем, баз данных и элементов данных.

35

Следующим шагом должен стать выбор контрмер, снижающих риски до приемлемых уровней.

Таким образом, анализ рисков для базового уровня информационной безопасности позволяет:

1)конкретизировать политику информационной безопасности;

2)использовать стандартный список угроз и уязвимостей, проверенный комплекс контрмер;

3)выявить специфические угрозы для данной информационной системы;

4)провести стандартизированную процедуру обследования и оформить отчетные материалы;

5)собрать исходные данные для периодического аудита информационной безопасности.

Анализ рисков при обеспечении повышенного уровня информа-

ционной безопасности позволяет:

1)формализовать систему критериев организации в области информационной безопасности;

2)определить ценности информационных ресурсов организации;

3)составить полный список угроз, уязвимостей, а соответственно,

èполный список рисков, оценить их характеристики и уровни;

4)оценить эффективность возможных контрмер;

5)выбрать комплекс контрмер по критерию соотношения стоимости и эффективности.

2.9.Этап инициализации управления информационными рисками

Зачастую УИР воспринимают как одномерный процесс, ограни- ченный оценкой и анализом риска, что абсолютно не соответствует действительности. На самом деле УИР — это многоуровневый и многомерный процесс, включающий в себя кроме оценки и анализа риска такие этапы, как разработка ответных действий, выбор мер безопасности информации и ресурсов, процесс принятия рисков и анализ остаточных рисков, непрерывный контроль, аудит и т. д.

Таким образом, предприятие, которое приняло решение о внедрении УИР в общий процесс управления ИТ-безопасностью, делает очень ответственный шаг в своем развитии. Кроме того, с принятием такого решения предприятие оказывается в самом начале пути, перед нача- лом которого необходимо четко определить:

36

1)свое настоящее положение;

2)направление движения;

3)конечную цель.

Итак, сперва определяем настоящее положение. Это означает, что необходимо, учитывая внешние и внутренние факторы, получить ответы на следующие вопросы [42].

Вопросы, характеризующие внешние факторы:

—Какая нормативно-правовая база в области информационной безопасности есть в наличии как в своей стране, так и в других странах?

—Какое положение занимает предприятие на рынке?

—Каково состояние конкурентов организации, их преимущества?

—Каковы общие тенденции развития информационной безопас-

ности?

—Каким самым известным и распространенным угрозам на сегодняшний момент подвергаются предприятия чаще всего? и т. д.

Вопросы, характеризующие внутренние факторы:

—Какими ресурсами в настоящее время располагает предприятие?

—Какие средства защиты информации уже есть в наличии, их состояние?

—Какая нормативно-правовая база уже разработана?

—Какова внутренняя атмосфера на предприятии, его экономи- ческое состояние?

—Какому уровню развития (степени зрелости) соответствует предприятие?

Затем необходимо определить направление движения. Ýòî îçíà-

чает, что надо решить, какие риски будут рассматриваться, анализироваться и оцениваться: финансовые, деловые, информационные или их совокупность.

Здесь нужно ответить на следующие вопросы:

—Готово ли предприятие провести детальный и глубокий анализ эффективности защиты информации, информационных технологий и организовать последующее повышение уровня информационной безопасности?

—Либо предприятие изначально ограничится обеспечением лишь базового уровня защиты?

—Либо предприятие готово использовать комбинированный подход

êзащите информации, когда в одних случаях обеспечивается базовый уровень информационной безопасности, а в других — повышенный?

37

И наконец, очень важно определить öåëè, которые могут заклю- чаться в следующем:

—повышение уровня безопасности информационных технологий, информационных систем, например на 15%;

—повышение эффективности экономических затрат в сфере информационной безопасности, например на 10%;

—минимизация риска до приемлемого уровня;

—повышение конкурентоспособности предприятия;

—повышение авторитета предприятия.

После того как получены ответы на эти вопросы, можно приступать к инициализации УИР, которая начинается с планирования.

Планирование УИР — процесс, в рамках которого выясняется, каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.

В ходе этапа планирования создается программа (стратегияплан) ÓÈÐ.

С практической точки зрения для создания успешного плана УИР необходимо проделать следующее:

1.Просмотреть имеющиеся процедуры управления рисками, записи и отчеты по предыдущим проектам.

2.На основании этого и с учетом специфики проекта определить, какие методы управления рисками будут использованы для данного конкретного проекта, какие данные и инструменты будут использоваться.

3.Определить роли и ответственность, а также конкретных людей, вовлеченных в управление рисками.

4.Определить затраты на управление рисками для данного проекта.

5.Определить частоту, с которой процедуры управления рисками будут запускаться в течение жизни проекта.

6.Определить, какие методы будут использованы для количественной и качественной оценки рисков и интерпретации уровня риска.

7.Определить пороговые величины: уровень риска, при котором будут приниматься меры.

8.Определить форматы отчетов: способы документации, анализа

èраспространения отчетов об управлении рисками.

На данном этапе очень важно понять, что правильные формулировки для рисков приводят к выбору правильных контрмер. Стандар-

38

тным и общепринятым форматом определения риска является CREформат (Cause-Risk-Effect — причина-риск-последствия). При определении риска всегда нужно найти изначальную причину риска, а не ограничиваться поверхностной симптоматикой.

Программа (стратегия-план) УИР

В программе УИР должно быть определено отношение к рискам и сформулированы основные положения управления рисками. Программа управления рисками должна определить функцию УИР на предприятии, его цели и задачи. Кроме того, необходимо сформулировать основные положения соответствия действующему законодательству.

Процесс управления рисками является интегрированным набором методов и технологий управления рисками, необходимым для использования на различных этапах бизнес процессов [1].

Успех реализации программы управления рисками зависит от таких факторов как:

—понимание проблем и поддержка программы управления рисками со стороны руководства предприятия;

—распределение зон ответственности в рамках всего предприятия;

—обучение персонала и повышение уровня осознания важности вопросов УИР среди всех работников предприятия.

Для реализации программы УИР необходимо наличие ресурсов и их соответствующее распределение в организационной структуре. Функции сотрудников, вовлеченных в процесс управления рисками, должны быть четко определены и сформулированы. Кроме того, персоналу, занимающемуся вопросами аудита и мониторинга внутренней системы контроля, также должны быть четко прописаны функциональные обязанности. Процесс УИР должен быть интегрирован в организацию через стратегическое управление и бюджетный процесс. Вопросы риск-менеджмента должны быть учтены в общей программе обу- чения персонала, а также в вопросах операционного управления.

Кто ответственен за успех управления информационными рисками

Отвечать за процесс УИР должен один человек (или группа людей — в зависимости от размера предприятия), который собирает сведения о возможных рисках, организует их анализ и формирует регулярные отчеты. Чаще всего это не требует полной занятости, ответственный может выполнять и другие роли в проекте. Планирование и

39

выполнение действий, направленных на снижение рисков, остается в ведении руководителя организации. Выделение специального человека, в чьи обязанности входит выявление рисков, и введение дополнительных премий тем, кто выявил риск, помогает бороться с негатив-

ным отношением к управлению рисками в команде.

Роль руководства

Руководство предприятия ответственно за выработку общей стратегии развития предприятия, а также создания соответствующего климата и формирования основных принципов эффективного управления рисками. Политика в вопросах управления рисками может быть реализована на практике посредством правления наблюдательного совета или комитета по аудиту либо любого другого механизма, наиболее приемлемого для каждого конкретного предприятия.

Руководство обязано как минимум:

—определить и оценить риски, которые могут привести к негативным последствиям для предприятия;

—определить вероятность наступления негативных последствий;

—выработать политику в отношении тех рисков, которые являются неприемлемыми для предприятия;

—сформировать стратегию действий с целью минимизации негативных последствий;

—оценить эффективность программы управления рисками в целом;

—определить значение и эффект принимаемых решений в вопросах

управления рисками на долгосрочный период развития предприятия.

Роль структурной единицы организации

Каждая структурная единица предприятия должна:

—проявлять ответственность за каждодневную реализацию программы управления рисками;

—повышать уровень осознания важности вопросов риск-менед- жмента внутри предприятия;

—проводить регулярный мониторинг состояния дел, обмениваться мнением и опытом с другими структурными единицами, подразделениями предприятия;

—отвечать за процесс идентификации и анализа риска на самой ранней стадии реализации нового проекта и доведения сведений до

соответствующих руководителей предприятия.

Роль риск-менеджера

В зависимости от размера организации функции риск-менеджера могут быть возложены на одного специалиста или на целое отдельное структурное подразделение.

40