Спецпроекты

Безопасность Цифровизация

Внедрение СУИБ: как управлять рисками?

Благородное дело оценки рисков является принципиальной задачей при внедрении системы управления информационной безопасностью (СУИБ). Но специалисты в этой области далеки от единодушия. Они не только расходятся в методах оценки, но и вообще толком не знают, как этими рисками управлять.

При внедрении в организации СУИБ одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны, никто из окружающих вроде бы этого не видел, и само событие представляется маловероятным, с другой же – существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные институты.

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко (или сколько осталось в бюджете).

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно: в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. Здесь излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Как рискуют? Чем рискуют?

Говоря о рисках для бизнеса, мы имеем в виду определенную вероятность и размер ущерба. Это может быть как прямой, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса.

Причинение ущерба основным активам организации чревато крахом бизнеса. В предупреждении таких потерь и заключается суть работы специалистов по ИБ
Причинение ущерба основным активам организации чревато крахом бизнеса. В предупреждении таких потерь и заключается суть работы специалистов по ИБ

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес-целей) несколько основных категорий ресурсов (далее будет использоваться непосредственно связанное с бизнесом понятие актива). Актив – это все, что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток либо сберегает средства). Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими ресурсами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются репутация компании. Этот ключевой актив для любой организации являются особой разновидностью информационого актива. ИБ занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальных сведений крайне негативно влияют на репутацию.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов. При этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

По определению, для организации важны все виды активов. Однако у каждого предприятия есть основные жизненно важные и вспомогательные активы. Определить какие из них являются основными очень просто. К ним относятся те, вокруг которых построен бизнес организации. Так, предприятие может быть основано на владении и использовании материальных ресурсов (например, земли, недвижимости, оборудования, полезных ископаемых). Также оно может быть построено на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), а может базироваться на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли). Точкой опоры бизнеса может быть и информация (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Крахом бизнеса и невосполнимыми потерями для организации чреваты риски основных активов, поэтому на них в первую очередь сосредоточено внимание владельцев бизнеса, и ими руководство организации занимается лично.

Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Основные подходы

Поскольку риски ИБ являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации невысок(что характерно для большинства современных российских компаний), существует минимальная необходимость в оценке рисков.

В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками и опытом. Однако существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля, чтобы выбрать из общего набора требования и механизмов применимые в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, но уровень информатизации очень высок и соответствующие риски могут существенно повлиять на основные бизнес процессы, оценку применять необходимо. Тем не менее, в данном случае целесообразно ограничиться качественными неформальными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Короткая ссылка