Поделиться
Внедрение СУИБ: как управлять рисками?
Благородное дело оценки рисков является принципиальной задачей при внедрении системы управления информационной безопасностью (СУИБ). Но специалисты в этой области далеки от единодушия. Они не только расходятся в методах оценки, но и вообще толком не знают, как этими рисками управлять.Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для их оценки необходимо применять формальный подход и количественные методы.
Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается ПО, и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае рациональный подход заключается в проведении высокоуровневой оценки с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций. Затем необходимо провести детальную оценку рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта и экспертных оценок.
На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес-процессов, также оказывает влияние уровень зрелости.
Управление рисками ИБ – это бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ. Смысл этой задачи заключается в защите предприятия от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах.
На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматривается как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.
Процессная модель управления рисками
В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью – "Практические правила управления рисками информационной безопасности". Ожидается, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), которые отражают стандартный процессуальный цикл любого управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.
Процессная модель управления рисками
В системе управления рисками ИБ на этапе планирования определяются политика и методология, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.
На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне или минимизировать. После этого разрабатывается и внедряется план обработки рисков.
На процессе проверки отслеживается функционирование механизмов контроля, проверяются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные дополнительные процедуры.
На стадии действия по результатам непрерывного мониторинга и проводимых проверок выполняется необходимая коррекция, которая может включать в себя, в частности, переоценку величины рисков, частичное изменение политики и методологии управления рисками, а также плана их обработки.
Методология борьбы
Сущность любого подхода к управлению рисками заключается в принятии адекватных решений по их обработке и анализе сопутствующих факторов. Факторы риска – это те семь основные параметры, которыми мы оперируем при оценке: актив (asset), ущерб (loss), угроза (threat), уязвимость (vulnerability), механизм контроля (control), размер среднегодовых потерь (ALE) и возврат инвестиций (ROI).
Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо адекватно оценить активы компании, их реальную ценность, угрозы, актуальные для них, возможные последствия и пр.
На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос, какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.
Поделиться
Короткая ссылка
