АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Мордвинов С.В., Гатина Л.С. (Лф СибГТУ, г. Лесосибирск, Россия)
Construction of a system of information risk management is intended to help solve the problem of formalization of knowledge and the existing problems.
На практике мы часто сталкиваемся с различными проблемами в процессе построения систем управления рисками. Часто это связано с разным уровнем зрелости компаний в сфере информационной безопасности (далее ИБ), с неправильным выбором методик построения систем. Или с ошибочным выбором источников информации для анализа, базирующихся на неправильных прогнозах и умозаключениях, а не на фактах из реальной жизни.
Проблемы безопасности необходимо решать. Но не всегда им уделяется должное внимание. Это связано с тем, что обеспечение безопасности – затратная статья в бюджете организации. Мы живем в реальном мире и необходимо постоянно доказывать, в том числе и руководству организации, что безопасность – важная функция самого бизнеса.
Построение процесса управления информационными рисками является одним из важнейших элементов системы ИБ, в который интегрированы все основные процессы организации.
Если в настоящее время в организации взаимодействие менеджеров по безопасности с бизнес-подразделениями не организовано на должном уровне, то вовлечение всех важнейших подразделений организации в процесс анализа рисков послужит важным этапом построения комплексной системы информационной безопасности компании.
Понятные бизнесу результаты дадут возможность более тесно взаимодействовать и по другим вопросам, связанным с информационной безопасностью, что в конечном итоге подготовит организацию в дальнейшем к переходу на более высокий уровень зрелости процессов обеспечения ИБ.
Мнение о конечной эффективности мероприятий по информационной безопасности может быть неоднозначным: «после долгих согласований документы по результатам анализа рисков выносятся на суд высшего руководства компании. Результаты представляют собой мощный многостраничный труд, читать который достаточно сложно и потому он не читается, но подписывается и утверждается. Все довольны – бизнес удовлетворил занудных безопасников, а безопасники получили сами себе для себя разработанный документ. Какие результаты могут быть при этом достигнуты?»
Не стоит предоставлять руководству сложные документы. Они должны быть просты в понимании и кратки в изложении. Сложные документы должны читать и согласовывать сотрудники среднего звена. Результаты анализа рисков должны быть представлены на утверждение высшему руководству в лаконичном и информативном виде. Это очень важный документ, проработке которого необходимо уделить особое внимание. Но все расширенные данные по его должны быть всегда в доступности.
Некоторые считают, что современная тенденция в области ИБ – это попытка говорить с бизнесом на его языке. Безопасность стала бизнесом внутри бизнеса. Взяв у него термины, она научилась строить свои модели, подавая их под тем соусом, что бизнесменам прививали в западных школах.
Термины одинаковы, а области несколько разные. Бизнес под рисками понимает несколько другое, чем безопасность. В результате мы ввели его в заблуждение, которое чревато большими финансовыми издержками, а для нас самих репутационными рисками.
Стоит задуматься над каждой цифрой, над каждой оценкой, подвергнуть все данные сомнению, перепроверить методики. Только такой подход позволит получить результаты, за которые потом не будет стыдно.
Цель построения процесса анализа рисков не только в том, чтобы идентифицировать их, оценить последствия, обеспечить их обработку и в последующем планомерно проводить дальнейший эффективный мониторинг. Но и в обеспечении стандартизации подхода к рискам во всех аспектах деятельности компании, удобном и быстром получении целостной картины ситуации с информационными рисками в компании в любой период ее деятельности. А также в повышении конкурентной привлекательности компании за счет быстрой и адекватной реакции на все новые возникающие угрозы, в повышении доверия внутри самой компании между бизнесом и безопасностью.
Зачастую возникает следующая проблема: «Например, как оценить вероятность финансовых потерь при утечке одного документа конфиденциального характера, если конфиденциальной является вся информация определенного подразделения?
Утечка разных документов конфиденциального характера всегда имеет разную ценность для компании. Формально оба документа конфиденциальны, т.е. гриф имеют одинаковый, а ущерб компания от их утечки понесет существенно разный.
Такие случаи рекомендуют оценивать по максимальной шкале ущерба, при этом отчетливо понимая, насколько такой подход несовершенен. В результате, рисуется страшная картина, которая вообще не является адекватной».
Устранить это несоответствие можно. Для этого необходимо провести классификацию на основе построенной ценностной шкалы информации для бизнеса, тесно сотрудничая при этом с бизнес-подразделениями в процессе классификации информации.
Специалисты по ИБ должны понимать, что любой анализ рисков носит вероятностный характер, а по этой причине в ряде случаев стоит руководствоваться здравым смыслом и взаимодействовать с бизнесом более тесно. Чем более качественно будет выбрана методика оценки, тем меньше вероятность получения нереальных результатов.
Следует помнить, что построенная шкала ущерба подразумевает не реальный ущерб, а максимальный потенциально возможный в том случае, если компания будет пренебрегать предлагаемыми контрмерами.
Организация процесса анализа рисков является высокоуровневым процессом системы управления информационной безопасностью. Его построение требует на начальных этапах становления самой системы ИБ, в которую затем уже стройно вписывается постоянный процесс управления рисками. Такой подход обеспечит максимальное выполнение, как лучших практик, так и внутренних ожиданий самой организации к процессу управления информационными рисками. При потребности в выяснении текущей ситуации с информационной безопасностью организации, необходимо провести комплексное обследование (аудит) системы информационной безопасности компании. По его результатам можно провести планирование работ по информационной безопасности, в том числе и сделать выводы о необходимых технических решениях и организационных мероприятиях.
Действительно, при высоком уровне развития информационной безопасности текущее состояние дел с информационными рисками в компании может просто нуждаться в документировании, формализации, регламентации.
Но и тут в ходе построения процесса возможны различные «открытия», которые могут значительно повлиять на дальнейшее развитие системы ИБ организации. Удержать в голове всю необходимую информацию для принятия решений менеджерам по безопасности чаще всего просто не под силу.
Построение системы управления информационными рисками призвано помочь решить как проблемы формализации знаний, так и заполнить имеющиеся пробелы.
Как всегда, к каждой цели есть множество дорог. Управление рисками информационной безопасности становится повседневной реальностью для все большего числа компаний в нашей стране, следующей в этом аспекте мировой практике. Все возникающие вопросы постепенно решаются. Всем вставшим на этот путь остается только пожелать удачи и терпения, ну а при возникновении проблем с выработкой подхода в этой сфере мне хочется в заключении порекомендовать обращаться к профессионалам.
Литература
1. Искусство управления информационной безопасностью [Электронный ресурс] / М.: ISO27000.ru, 2011. – Режим доступа: http://www.iso27000.ru/.
2. Управление рисками в Росии [Электронный ресурс] / М.: fincake, 2011. – Режим доступа: http://www.risk-manage.ru/about/article27/