|
|
|
Российские предприятия приобщаются к риск-менеджментуРиск-менеджмент — молодой даже по мировым меркам элемент управленческой культуры. Причем слово «культура» здесь играет ключевую роль. Западные экономики, основанные на прозрачности и доходности акционерного капитала, доказали, что управление рисками, в том числе связанными с информационными системами и обеспечением безопасности информации, способно повысить конкурентоспособность бизнеса. Это понимание быстро проникает и в Россию, что во многом связано с происходящими у нас реформами. Известный принцип — «а вдруг повезет» — люди зачастую переносят в реальную жизнь. И сталкиваются с теми проблемами, решить которые во многом помог бы риск-менеджмент. В первую очередь это относится к информационной безопасности, так как тут речь идет не об упущенной выгоде, как в финансовом риск-менеджменте, а о потерях ресурсов, которыми мы уже обладаем. Надо оговориться, что потери критичны в основном для владельцев бизнеса. Но есть еще и выговоры, взыскания, увольнения системных администраторов, ИТ-менеджеров и специалистов по информационной безопасности за различные инциденты. Безусловно, иногда это заслуженно. Но иногда ответственность за инцидент должен нести руководитель, чего не происходит, если в компании не налажена система управления рисками. Итак, что такое риск-менеджмент или управление информационными рисками? На этот вопрос не так то просто получить полный и понятный ответ, несмотря на то, что за последние три-четыре года появилось много учебных курсов по данной теме; несмотря на то, что практически каждая консалтинговая компания в рамках услуг по аудиту информационной безопасности включает в перечень обязательных работ проведение анализа рисков, да и клиенты без этого считают коммерческое предложение неполноценным. Кроме того, сегодня российским компаниям доступны инструменты для самостоятельного управления информационными рисками, как западные, так и отечественные. Причем отечественные продукты пользуются наибольшей популярностью. Проблема лишь в том, что зачастую, неправильное понимание процесса управления информационными рисками приводит к таким основным проблемам как, во-первых, излишние сложности при проведении анализа рисков; и во-вторых, неправильная интерпретация результатов и их дальнейшее использование. Этапы анализа рисков По сути, управление рисками складывается из тех же четырех основных этапов, что и PDCA-модель, которая служит основой всему процессу управления информационной безопасностью: Plan — Do — Check — Act. Применительно к анализу рисков, этапы разбиваются на более детальные задачи. Plan. Для начала нужно определить, что требует защиты — необходима инвентаризация информационных активов и оценка их критичности для бизнес-процессов компании. Во-вторых решается, от чего защищаемся — для этого анализируются уязвимости, которые есть в системе и насколько они критичны, т.е. какова вероятность того, что они могут быть реализованы и что произойдет при этом с активами. В итоге при окончании первого этапа рассчитывается результат анализа по формуле: Риск = Ущерб (критичность активов, на которые накладывается критичность уязвимостей) х Вероятность этот ущерб понести. Таким образом, наложив на критичность ресурса вероятность того, что его защищенность будет нарушена, есть полное понимание — что грозит активам компании и из-за чего. На основе этого можно планировать контрмеры, исходя из их стоимости и того, насколько они смогут снизить риск. Do. Далее внедряются выбранные контрмеры, анализируется их результативность и принимается решение — оптимизировать или оставлять работать. Check и Act. Не надо забывать, что управление рисками — это процесс, и поэтому необходимо отслеживать изменения, происходящие как в информационной системе, так и в окружающей среде, как, например, появление новых уязвимостей или изменения в законодательстве, чтобы своевременно вносить соответствующие коррективы. Гладко было на бумаге, да забыли про овраги Жизнь компании можно сравнить с обычной жизнью каждого из нас, чтобы понять, какие задачи призвана решать система управления информационными рисками, и какие проблемы возникают при ее внедрении в компании. Практически каждую секунду совершается то или иное действие, будь это просто поход в магазин, или поездка в другую страну, или переход на новую работу, или рождение ребенка. Примерно то же самое происходит с жизнью компании, и в том числе с жизнью информационной системы. Сначала размеры системы невелики, любое изменение в ней подконтрольно системному администратору, который понимает, какие у системы есть слабые места, к чему приведет то или иное изменение. Но далее, если в обычной жизни мы практически на подсознательном уровне оцениваем свои сильные и слабые стороны прежде, чем сделать очередной шаг, в любой относительно развитой информационной системе без анализа рисков это не проходит. Кроме того, человек, поступая так или иначе, несет ответственность в основном только перед самим собой. В нашем же случае, специалист, обеспечивающий безопасность, отвечает за все инциденты перед руководством. В итоге получается следующая картина: во-первых, руководство компании и соответствующие специалисты знают стоимость своих информационных активов, но не знают угроз и уязвимостей, которые угрожают этим активам. При этом специалист по безопасности примерно понимает угрозы, но не особо представляет какая критичность у той или иной системы, того или иного ресурса или сервиса. Во-вторых, есть ясная директива, что все должно быть безопасно, но при этом бюджет ограничен. В результате рождаются проблемы — бюджеты на безопасность используются неэффективно, возникают конфликты между сотрудниками отдела безопасности и их коллегами из других отделов, в первую очередь, информационных технологий, безопасность ресурсов должным образом не обеспечивается. Для решения именно этих проблем как раз и существует основной элемент системы управления информационной безопасности — анализ и управление рисками. По сути, это мостик между руководством и специалистами по безопасности, который помогает построить основу эффективного обеспечения защищенности информационных ресурсов. Вернемся к описанным выше стадиям управления риском и посмотрим на то, что они собой представляют на практике, а так же на то, как они могут помочь разрешить проблемы. Только начнем не с начала, а с конца, т.е. с основных задач, решения которых необходимо добиться, внедряя систему управления рисками. Во-первых, руководство должно быть осведомлено об угрозах, актуальных для информационных активов компании. Во-вторых, ответственность за уровень защищенности информационных ресурсов должно нести именно руководство, а не специалисты по информационной безопасности. В-третьих, специалисты, обеспечивающие защищенность информационных ресурсов должны понимать критичность защищаемых ресурсов, чтобы иметь возможность адекватно управлять их безопасностью. Для того чтобы система управления информационными рисками помогала достичь поставленных задач, а не висела мертвым грузом на плечах специалистов, на которых возложена ответственность за ее внедрение, необходимо руководствоваться несколькими простыми принципами и инструкциями: Принцип первый: адекватность в оценках При анализе рисков специалисты имеют дело с вероятностью реализации уязвимостей и с критичностью активов. Надо понимать, что для адекватной оценки рисков совсем не обязательно пускаться в крайности и рассчитывать эти параметры с точностью до копейки или процента. Ведь основная задача анализа рисков — дать картину — где у нас что, и как оно защищено, а также дать возможность оценить адекватность защиты в зависимости от критичности защищаемого ресурса. Поэтому самое главное — уметь оценить примерный уровень вероятности и критичности. Безусловно, для дальнейшей работы с результатами, да и для более адекватной оценки, значения уровней должны иметь денежное выражение, т.е., например: 1 уровень — от 0 до 100.000 рублей, 2 уровень — до 1.000.000 рублей, 3 уровень — свыше 1.000.000 рублей. Таким образом, чем большее количество уровней берется для оценки, тем более детальной она будет — в зависимости от возможностей, а также от требуемой детализации. Принцип второй: избирательный анализ Второй принцип заключается в том, что зачастую нет необходимости включать все ресурсы в область анализа риска. На практике приходится довольно часто сталкиваться с тем, что при проведении анализа рисков люди начинают собирать информацию по всем ресурсам до последней рабочей станции, что требует очень больших трудовых и временных затрат. В основном, в этом нет необходимости, особенно на первом этапе. Значительно эффективнее сначала провести анализ самых критичных информационных ресурсов. Самое главное при этом не упустить из виду связи между критичными ресурсами и второстепенными. Ведь через уязвимости некритичных ресурсов часто можно нарушить защищенность критичных. Но, даже несмотря на это, область работ значительно сузится, так как не будет необходимости анализировать подробно некритичные ресурсы, а только их связи с критичными ресурсами. Принцип третий: правильная организация Еще один момент, на который необходимо обратить внимание — оценка критичности, которая в большинстве случаев является самой сложной задачей при проведении анализа рисков. Про то, что не надо до копеек оценивать стоимость информационных ресурсов, уже говорилось. Но кроме этого, сложность заключается еще и в организации самого процесса оценки критичности активов. Тут надо понять, кто эту критичность и для каких ресурсов может оценить, какую методику использовать специалистам для оценки, чтобы результаты были сопоставимы и показательны, а также, чтобы процесс оценки не был слишком трудоемким — ведь оценивать критичность должны сотрудники компании, в обязанности которых это совсем не входит. Безусловно, задача не так-то проста, но и она решаема при грамотном подходе. В первую очередь, для того, чтобы провести оценку критичности ресурсов, необходимо, чтобы инициатива исходила от руководства. Иначе добиться каких-либо результатов от коллег из других отделов будет довольно проблематично. Далее, чтобы процесс не затянулся на годы, когда они скажут, что «мы ничего не знаем и оценить не можем», необходимо подготовить «раздаточные материалы», или таблицы с вопросами, в которых четко поясняется, по какому принципу оценивать критичность того или иного актива. Например, можно просто отправить задание: «Оцените по трехбалльной шкале критичность информации, с которой Вы работаете, по конфиденциальности, целостности и доступности». А можно подготовить таблицу с перечнем информации, с которой работает сотрудник и для каждого вида выделить поле, в котором задать по вопросу: Какой уровень критичности Вы бы выбрали, если у Вас не будет доступа к этой информации в течение часа? Какой уровень критичности Вы бы выбрали, если данный вид информации стал бы доступен конкурентам или кому-либо, кто мог бы захотеть нанести вред компании? Какой уровень критичности Вы бы выбрали, если бы кто-то удалил или внес изменения в данный вид информации. Причем, когда указываются уровни критичности, значительно лучше приравнять уровни не к деньгам, а к возможным результатам. Как, например, если речь идет о конфиденциальности, это может быть потеря важного контракта, возможность проигрыша в крупном тендере, и т.д. Безусловно, уровни описываются исходя из специфики компании или подразделения, в котором проводится оценка критичности ресурсов. Также хорошо помогает, если есть такая возможность, как дать сотрудникам отправную точку, с которой можно сравнивать. Например, привести для сравнения несколько документов с оценкой их критичности. По аналогии им будет значительно проще оценить критичность своих активов. Какая польза от данных? Выше рассмотрены некоторые принципы, которые значительно упрощают проведение анализа рисков, не ухудшая при этом, а зачастую и улучшая адекватность результатов, получаемых на выходе. Теперь пора вернуться к поставленным задачам и определить, что же делать с полученными результатами, чтобы эти задачи решить. Итак, что мы имеем: во-первых, перечень ресурсов, ранжированных по степени критичности и во-вторых, перечень их уязвимостей, т.е. понимание того, что может случиться и как это может случиться. Понимая это, можно выбирать адекватные меры защиты. И теперь существуют только ограничения бюджета, выделенного на реализацию этих мер. Безусловно, скорее всего, по результатам анализа рисков мы увидим различные пути снижения риска, не требующие каких-либо вложений, но большая часть необходимых контрмер потребует затрат из бюджета. Каким же образом распределить имеющиеся средства, чтобы использовать их максимально эффективно, а потом за те вещи, которые закрыть не удалось, не понести незаслуженного наказания? Именно для этого предназначена такая вещь, как «приемлемый уровень риска» т.е. то значение риска, которое утверждено руководством как некритичное для бизнеса деятельности компании. Недаром, согласно стандарту ISO 27001, система управления информационной безопасностью — это часть общей системы управления компании, основанной на подходе анализа бизнес-рисков. Т.е. точно так же, как руководство принимает различные бизнес решения, оно же должно брать на себя ответственность за решение, какой уровень риска ресурсов приемлемый, а какие риски нужно снижать. И после проведения анализа рисков, у специалистов отдела информационной безопасности на руках есть все данные, на основе которых руководство может принимать подобное решение. В результате, именно руководство несет ответственность в тех случаях, когда инцидент произошел, а уровень риска был выше приемлемого, и средств на его снижение было выделено недостаточно. Представим ситуацию, когда перед специалистом ставится задача обеспечения конфиденциальности данных на критичном для компании ресурсе, а также повышенных требований к доступности этих данных. После проведения анализа рисков специалист получает возможность предоставить руководству отчет, из которого видно, что есть определенная вероятность того, что уязвимости на ресурсе на данный момент существуют. Для их закрытия, необходимо внедрение двух контрмер. При решении руководства внедрить только одну контрмеру (например, для защиты конфиденциальности данных) в целях экономии средств, вторая уязвимость остается открытой. При этом подписывается план снижения рисков с принятым уровнем риска по угрозе отказа в доступности, по которому видно, что, не смотря на то, что риск у ресурса по угрозе нарушения доступности остается высокий, руководство принимает на себя ответственность за возможные последствия. В итоге если происходит нарушение конфиденциальности — вина полностью на отделе безопасности. Но если отказ в доступности — к нему никаких претензий. Пример, конечно, довольно условный, но смысл приемлемого риска он иллюстрирует. В качестве заключения стоит отметить следующее: к сожалению, а может быть, и к счастью, одна из особенностей жителей нашей страны, про которую часто любит вспоминать известный юморист М. Задорнов, — вера в то, «что все обойдется и наступит светлое будущее, все будут богатые, здоровые и счастливые, не смотря ни на что». Безусловно, черта хорошая, но именно из-за нее у нас, например, до сих пор слабо развит рынок страховых услуг, и только ввод ОСАГО или необходимость страховать имущество при оформлении кредита являются основными двигателями этого рынка в России. Та же ситуация во многом повторяется и с риск-менеджментом. Многие сегодня им занимаются, но зачастую только потому, что это модно, или этого требует западное руководство, или компания готовится к сертификации. Но пока, к сожалению, не так много в нашей стране специалистов, осознающих все преимущества, которые им может принести грамотное управление рисками. Тем более, что эти преимущества значительно перевешивают затратность и трудоемкость процесса, если подходить к нему адекватно и руководствоваться изложенными выше принципами. Елена Элькина |