В недавно вышедшем номере журнала "!Безопасность деловой информации" опубликована моя статья, которую я написал совместно с коллегами, занимающимися вопросами управления рисками ИБ в компаниях, в которых они сейчас трудятся.
Журнал можно свободно скачать по ссылке - http://bis-expert.ru/bdi
Далее размещаю текст статьи.
Риск-менеджмент – живой и мертвый
Александр Бондаренко, генеральный директор R-Vision
В теории нет разницы между теорией и практикой,
а на практике она есть.
а на практике она есть.
Йоги Берра, американский бейсболист
Об оценке и управлении рисками говорится много, но реально работающий, «живой» процесс управления рисками ИБ встречается довольно редко. Чаще такая деятельность либо вообще не ведется, либо оказывается «мертвой»: она, вроде как, есть, но ее результаты, да и само ее существование мало кого интересуют. Мы рассмотрим ключевые особенности, отличающие «живой» процесс управления рисками ИБ от «мертвого», и познакомимся с опытом руководителей, которым удалось добиться неплохих результатов при реализации таких процессов.
Поддержка руководства
Вполне очевидно, что без поддержки руководства сложно вводить в компании любые изменения, связанные с обеспечением информационной безопасности. Для многих специалистов это соображение служит поводом для того, чтобы и не пытаться что-либо сделать, пока не поступит указание сверху. Однако в таких случаях ждать приходится, за редким исключением, очень долго.
Гораздо более правильно – проявлять инициативу снизу, со стороны службы ИБ, но выступать с такой инициативой надо лишь после ее детальной проработки. Кроме того, нужно четко сформулировать, какие преимущества даст нововведение для управления конкретной компанией (сокращение расходов, прозрачное планирование и др.). Фактически, задача состоит в том, чтобы «продать» руководству идею: применительно к теме нашего обсуждения такая идея – необходимость риск-ориентированного подхода. Решение задачи значительно облегчается, если в качестве аргумента «безопасник» упоминает о необходимости соответствия законодательным или отраслевым требованиям. Правда, если этот аргумент является единственным, то есть большой шанс свести всю деятельность к формальной процедуре.
Очевидно, что развитие информационной безопасности невозможно без процесса управления рисками. Бизнес готов инвестировать средства в обеспечение ИБ, но без четкого представления о ценности информационных активов и об имеющихся рисках для ИБ это – бесполезное, неэффективное мероприятие. В нашем банке, как и в любой другой кредитной организации, риск-менеджменту уделяется достаточно большое внимание, тем более что есть соответствующие рекомендации Банка России.Изначально в Ханты-Мансийском Банке внедрение процесса риск-менеджмента ИБ было инициативой службы информационной безопасности. Помимо всего прочего это обуславливалось необходимостью выполнения требований законодательства, стандартов PCI DSS и СТО БР.
Дмитрий Морев, начальник Управления информационной безопасности Ханты-Мансийского Банка
Интеграция с бизнесом
Правильно работающий бизнес – это живой организм, функционирующий как единая система. Любой процесс, который не сообщается с другими, заранее обречен на отмирание либо на существование с помощью искусственного стимулирования. Все это относится и к управлению рисками ИБ. Интеграция может быть обеспечена несколькими путями:
- результаты оценки рисков используются для получения определенных бизнес-результатов (снижение размеров страховых премий, повышение финансовых рейтингов, соблюдение требований, необходимых для реализации соответствующего бизнес-проекта, и др.);
- результаты оценки рисков ИБ включаются в общую карту рисков и рассматриваются топ-менеджментом наравне с другими общекорпоративным рисками.
Развитию риск-менеджмента в нашей компании способствовал, в том числе, ежегодный внешний аудит международного рейтингового агентства Fitch Ratings. В ходе аудита за 2013 г. были запрошены завизированные руководством документы, подтверждающие использование риск-менеджмента. Мы эти документы сразу предоставили, причем даже с доказательствами их практической реализации. И когда нам повысили международный рейтинг с «B+» до «ВВ-», а национальный – с уровня «A(rus)» до «A+(rus)», статус документов ИБ, передаваемых аудиторам, вырос. Соответственно, вырос и статус рискового подхода к управлению информационной безопасностью.
Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»
Подходящая методика
Применяемая методика оценки рисков в значительной степени определяет трудоемкость деятельности по оценке и управлению рисками. В том случае, когда оценка рисков ИБ проводится в контексте общекорпоративного управления рисками, используемые подходы должны быть совместимы с общей методикой оценки рисков. Если же такой необходимости нет, методика выбирается на основе возможностей и опыта специалистов, которым поручено проводить оценку.
При выборе методики оценки рисков можно порекомендовать взять какую-то из уже существующих за основу и адаптировать ее под собственные нужды с учетом устоявшихся особенностей работы организации и ее корпоративной культуры. Не следует изначально пытаться выстраивать сложные модели – с большой долей вероятности ничего не получится. Развивать и усложнять методологию имеет смысл только по мере накопления внутренней компетенции, а начинать лучше с максимально простой методики.
Несмотря на обилие методик оценки рисков (одно из немногих исследований на данную тему, проведенное в 2006 г. европейским агентством ENISA, выявило их более десятка – https://www.enisa.europa.eu/activities/risk-management/files/deliverables/inventory-of-risk-assessment-and-risk-management-methods), все они предлагают проводить оценку по очень схожим алгоритмам. Различия между методиками состоят лишь в некоторых методических деталях.
В нашей компании риски ИБ рассматриваются в совокупности с другими общекорпоративными рисками и включаются в общую карту рисков. Ее отправляют на рассмотрение в комитет, состоящий из топ-менеджеров компании во главе с генеральным директором. Ключевые риски также рассматриваются советом директоров.
В качестве основы формирования общекорпоративной системы управления рисками мы использовали модель COSO. В ее рамках была разработана адаптированная методика оценки рисков ИБ, отвечающая потребностям нашей организации, законодательным и отраслевым требованиям (SOX, PCI DSS, СТО БР, 152-ФЗ и др.). Оценка проводится в экспертном режиме, а результаты выражаются в качественных оценках, которые по определенным правилам могут быть трансформированы в денежные величины.
Денис Персанов, Compliance and Risk Management, QIWI
Ограниченное применение
Риск-менеджмент – это инструмент ограниченного применения, и использование его для всех активов/процессов компании напоминает пальбу из пушки по воробьям. В большинстве случаев основные риски видны и без применения какой-либо специальной методики (что, кстати, порождает скепсис в отношении необходимости риск-менеджмента как такового), а для их минимизации достаточно реализовать ряд базовых защитных механизмов (как правило, 5–6 мер обеспечивают минимизацию до 80% угроз).
Именно поэтому риск-менеджмент следует применять только для наиболее критичных активов или проектов. Это позволяет сконцентрироваться на том, что действительно важно, а для всего остального может быть реализована базовая политика безопасности, основанная на лучших практиках либо на законодательных/отраслевых требованиях.
Другой вариант – реализация многоуровневого подхода. В таком случае подбираются разные степени детализации (а возможно, и методики) оценки рисков для разных активов/процессов компании. Это дает возможность, с одной стороны, реализовать риск-менеджмент в том или ином объеме в отношении всех возможных объектов, а с другой, не перегрузить ответственных лиц непомерным объемом работы.
Процесс управления рисками ИБ у нас уже внедрен, но полностью задокументирован и утвержден только для некоторых бизнес-процессов. В рамках этих процессов мы стараемся максимально приблизиться к требованиям стандарта ISO 27001. В остальной же части компании оценка рисков ИБ применяется для общего планирования деятельности и годового бюджетирования департамента ИБ. Различия заключаются в применяемых методиках оценки рисков и в степени детализации.
В первом случае мы абсолютно уверены в том, что все активы в процессах учтены, что мы знаем все уязвимости, угрозы и вероятность их реализации. В рамках оценки мы переводим качественные показатели (экспертное мнение и статистика инцидентов) в количественные и выводим конечное значение критичности соответствующего риска с применением математического аппарата. Таким образом, мы уменьшаем влияние субъективного мнения экспертов.
Во втором случае, общем для компании, мы выделили только наиболее критичные информационные активы и только наиболее значимые риски – на основе экспертных оценок владельцев активов, без математических расчетов при оценке рисков. Этой приблизительной оценки хватает для понимания того, к какой зоне критичности относится тот или иной риск ИБ и какие средства необходимо выделить для его смягчения.
Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»
Сокращение ресурсных издержек
Тратить много времени на оценку рисков – непозволительная роскошь. А в современных условиях, когда внешние и внутренние факторы могут меняться буквально за несколько дней или даже часов, лучше проводить оценку рисков пусть и с меньшей точностью, но чаще и оперативнее.
А значит, этот процесс нуждается в максимальной оптимизации. Вариантов ее обеспечения не так уж и много:
- привлечение стороннего консультанта, который возьмет на себя бОльшую часть работы. Этот вариант возможен, если у вас достаточно денег для регулярного (ведь такая работа не является разовой) привлечения внешних ресурсов и если вы готовы изначально инвестировать определенный временной ресурс на поиски подходящего внешнего подрядчика (возможно, придется сменить нескольких) и выработку с ним модели взаимодействия;
- формализация и автоматизация деятельности по оценке и управлению рисками ИБ. Данный вариант возможен, если процесс управления рисками удается внедрить как регулярную и принятую всеми задействованными сторонами практику (что вполне возможно при достижении хороших результатов по всем описанным нами направлениям). Однако в этом случае потребуется либо приобрести готовое программное решение для автоматизации процесса управления рисками, либо создать собственное – силами своего ИТ-подразделения или, опять-таки, с привлечением внешнего подрядчика.
Пересмотр карты рисков в нашей компании осуществляется на регулярной основе. Делается это для того, чтобы не упустить из виду вновь возникающие риски (а ведь внешние обстоятельства и внутренняя среда порой меняются очень быстро). С учетом карты рисков и решений, принимаемых на ее основе руководством компании, формируется стратегия обеспечения информационной безопасности и составляются соответствующие планы.
Денис Персанов, Compliance and Risk Management, QIWI
Конечно, от оптимизации можно отказаться, если вы располагаете мощным ресурсом – отдельным подразделением, задачей которого является оценка и управление рисками, в том числе рисками информационной безопасности (на практике такое встречается, хоть и не очень часто). Отказ от оптимизации возможен и в том случае, когда наличие риск-менеджмента обусловлено исключительно желанием обеспечить формальное соответствие имеющимся законодательным или отраслевым требованиям. В такой ситуации переоценка рисков может проводится раз в один-два года, и оптимизация не принесет существенной выгоды (хотя все равно не будет лишней).
В своей практике я часто сталкивался с попытками разных организаций проводить оценку рисков ИБ. Делалось это, как правило, в рамках аудита. Результат фиксировался и жил в неизменном виде по несколько лет, хотя многие процессы внутри компании кардинально менялись. Актуализация осуществлялась лишь при проведении нового аудита или смене команды. К сожалению, так бывает очень часто. Возможно, это связано с отсутствием удобной технологии или методологии, позволяющей актуализировать ИБ-риски для каждого изменения. Однако в большей степени это обусловлено тем, что управление рисками является требованием регулятора, которому важно видеть отчет, а не «живой» процесс.
Если я все же встречал «живые» процессы управления рисками (их функционал был передан выделенному подразделению, управлявшему всей совокупностью рисков в организации), то, как правило, риски ИБ были описаны не совсем корректно, а в результате ИБ-компетенции компании были сильно ослаблены и сведены к поддержке технических сервисов…
Дмитрий Мананников, директор по информационной безопасности «СПСР-Экспресс»
Подводя итог, можно сказать, что риск-менеджмент (да и любой другой бизнес-инструмент) не плох и не хорош сам по себе, – все зависит от того, как и для чего он применяется. При правильном использовании он может принести безусловную пользу службе информационной безопасности и бизнесу, защиту которого эта служба призвана обеспечить.