Цель управления рисками информационной безопасности. Как оценить риски информационной безопасности
Основные принципы управления рисками информационной безопасности
Несмотря на разные операции, продукты и услуги, организации используют пять принципов управления рисками информационной безопасности:
· Оценить риск и определить потребности
· Установить централизованное управление
· Внедрить необходимые политики и соответствующие средства контроля
· Содействовать осведомленности сотрудников
· Контролировать и оценивать эффективность политик и механизмов контроля
Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации.
Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается "сама по себе", но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).
Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.
Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации. Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слабыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за постоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно точно сравнить стоимость средств контроля с риском потери, чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны полагаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.
Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.
Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций. Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности. В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет, централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации. Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников, может быть, достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.
Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска. Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.
Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.
Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.
Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):
· число проведенных тренингов и встреч;
· число выполненных оценок риска (рисков);
· число сертифицированных специалистов;
· отсутствие инцидентов, затрудняющих работу сотрудников организации;
· снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;
· полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;
· снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.
Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.
Важно гарантировать, что (1) специалисты в области информационной безопасности не "отстают" от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.
Методы анализа
РЕSТ – это аббревиатура четырех английских слов: Р – Роlitical-legal – политико-правовые, Е – Есопоmiс – экономические, S – Sосioсultural – социокультурные, Т – Тесhnological forces – технологические факторы.
РЕSТ-анализ состоит в выявлении и оценке влияния факторов макросреды на результаты текущей и будущей деятельности предприятия.
Выделяют четыре группы факторов, наиболее существенных для стратегии предприятия:
Политико-правовые;
Экономические;
Социокультурные;
Технологические.
Цель РЕSТ-анализа – отслеживание (мониторинг) изменений макросреды по четырем узловым направлениям и выявление тенденций, событий, не подконтрольных предприятию, но оказывающих влияние на результаты принятых стратегических решений.
Таблица 1. PEST анализ
| Политика | Р | Экономика | Е |
| 1. Правительственная стабильность 2. Изменение законодательства 3. Государственное влияние на отрасли 4. Государственное регулирование конкуренции в отрасли 5. Налоговая политика | 1. Общая характеристика экономической ситуации (подъем, стабилизация, спад) 2. Курс национальной валюты и ставка рефинансирования 3. Уровень инфляции 4. Уровень безработицы 5. Цены на энергоресурсы | ||
| Социум | S | Технология | Т |
| 1. Демографические изменения 2. Изменение структуры доходов 3. Отношение к труду и отдыху 4. Социальная мобильность населения 5. Активность потребителей | 1. Государственная техническая политика 2. Значимые тенденции в области НИОКР 3. Новые продукты (скорость обновления и освоения новых технологий) 4. Новые патенты |
Политический фактор внешней среды изучается в первую очередь для того, чтобы иметь ясное представление о намерениях органов государственной власти в отношении развития общества и о средствах, с помощью которых государство предполагает претворять в жизнь свою политику.
Анализ экономического аспекта внешней среды позволяет понять, как на уровне государства формируются и распределяются экономические ресурсы. Для большинства предприятий это является важнейшим условием их деловой активности.
Изучение социального компонента внешнего окружения направлено на то, чтобы уяснить и оценить влияние на бизнес таких социальных явлений, как отношение людей к качеству жизни, мобильность людей, активность потребителей и др.
Анализ технологического компонента позволяет предвидеть возможности, связанные с развитием науки и техники, своевременно перестроиться на производство и реализацию технологически перспективного продукта, спрогнозировать момент отказа от используемой технологии.
Порядок проведения РЕ5Т – анализа.
Выделяют следующие этапы проведения внешнего анализа:
1. Разрабатывается перечень внешних стратегических факторов, имеющих высокую вероятность реализации и воздействия на функционирование предприятия.
2. Оценивается значимость (вероятность осуществления) каждого события для данного предприятия путем присвоения ему определенного веса от единицы (важнейшее) до нуля (незначительное). Сумма весов должна быть равна единице, что обеспечивается нормированием.
3. Дается оценка степени влияния каждого фактора-события на стратегию предприятия по 5-балльной шкале: «пять» – сильное воздействие, серьезная опасность; «единица» – отсутствие воздействия, угрозы.
4. Определяются взвешенные оценки, путем умножения веса фактора на силу его воздействия и подсчитывается суммарная взвешенная оценка для данного предприятия.
Суммарная оценка указывает на степень готовности предприятия реагировать на текущие и прогнозируемые факторы внешней среды.
Таблица 2. Результаты анализа внешних стратегических факторов
В данном случае оценка 3,05 показывает, что реакция предприятия на стратегические факторы внешней среды находится на среднем уровне.
Применяемый для анализа среды метод SWOT является широко признанным подходом, позволяющим провести совместное изучение внешней и внутренней среды.
Применяя метод SWOT‑анализа, удается установить линии связи между силой и слабостью, которые присущи организации, и внешними угрозами и возможностями. Методология предполагает сначала выявление сильных и слабых сторон, а также угроз и возможностей , и после этого установление цепочек связей между ними, которые в дальнейшем могут быть использованы для формулирования стратегии организации.
Томпсон и Стрикленд предложили следующий примерный набор характеристик, заключение по которым должно позволить составить список слабых и сильных сторон организации, а также список угроз и возможностей для нее, заключенных во внешней среде.
Сильные стороны:
Выдающаяся компетентность;
Адекватные финансовые ресурсы;
Высокая квалификация;
Хорошая репутация у покупателей;
Известный лидер рынка;
Изобретательный стратег в функциональных сферах деятельности организации;
Возможность получения экономии от роста объема производства;
Защищенность (хотя бы где-то) от сильного конкурентного давления;
Подходящая технология;
Преимущества в области издержек;
Преимущества в области конкуренции;
Наличие инновационных способностей и возможности их реализации;
Проверенный временем менеджмент.
Слабые стороны:
Нет ясных стратегических направлений;
Ухудшающаяся конкурентная позиция;
Устаревшее оборудование;
Более низкая прибыльность потому, что…;
Недостаток управленческого таланта и глубины владения проблемами;
Отсутствие некоторых типов ключевой квалификации и компетентности;
Плохое отслеживание процесса выполнения стратегии;
Мучение с внутренними производственными проблемами;
Уязвимость по отношению к конкурентному давлению;
Отставание в области исследований и разработок;
Очень узкая производственная линия;
Слабое представление о рынке;
Конкурентные недостатки;
Ниже среднего маркетинговые способности;
Неспособность финансировать необходимые изменения в стратегии.
Возможности:
Выход на новые рынки или сегменты рынка;
Расширение производственной линии;
Увеличение, разнообразия во взаимосвязанных продуктах;
Добавление сопутствующих продуктов;
Вертикальная интеграция;
Возможность перейти в группу с лучшей стратегией;
Самодовольство среди конкурирующих фирм;
Ускорение роста рынка.
Возможность появления новых конкурентов;
Рост продаж замещающего продукта;
Замедление роста рынка;
Неблагоприятная политика правительства;
Возрастающее конкурентное давление;
Рецессия и затухание делового цикла;
Возрастание силы торга у покупателей и поставщиков;
Изменение потребностей и вкуса покупателей;
Неблагоприятные демографические изменения.
Подзаголовок: Методика проведения анализа и построение матрицы SWOT-анализа
Организация может дополнить каждую из четырех частей списка теми характеристиками внешней и внутренней среды, которые отражают конкретную ситуацию, в которой она находится.
После того как конкретный список слабых и сильных сторон организации, а также угроз и возможностей составлен, наступает этап установления связей между ними. Для установления этих связей составляется матрица СВОТ, которая имеет следующий вид (рис. 1).
Рис. 1. Матрица SWOT‑анализа
Слева выделяется два блока (сильные стороны, слабые стороны), в которые соответственно выписываются все выявленные на первом этапе анализа стороны организации.
В верхней части матрицы также выделяется два блока (возможности и угрозы), в которые выписываются все выявленные возможности и угрозы. На пересечении блоков образуется четыре поля:
СИВ (сила и возможности); СИУ (сила и угрозы); СЛВ (слабость и возможности); СЛУ (слабость и угрозы). На каждом из полей исследователь должен рассмотреть все возможные парные комбинации и выделить те, которые должны быть учтены при разработке стратегии поведения организации.
В отношении тех пар, которые были выбраны с поля СИВ, следует разрабатывать стратегию по использованию сильных сторон организации для того, чтобы получить отдачу от возможностей, которые появились во внешней среде.
Для тех пар, которые оказались на поле СЛВ, стратегия должна быть построена таким образом, чтобы за счет появившихся возможностей попытаться преодолеть имеющиеся в организации слабости.
Если пара находится на поле СИУ, то стратегия должна предполагать использование силы организации для устранения угрозы.
Наконец, для пар, находящихся на поле СЛУ, организация должна вырабатывать такую стратегию, которая позволила бы ей как избавиться от слабости, так и попытаться предотвратить нависшую над ней угрозу.
Вырабатывая стратегии, следует помнить, что возможности и угрозы могут переходить в свою противоположность. Так, неиспользованная возможность может стать угрозой, если ее использует конкурент. Или наоборот, удачно предотвращенная угроза может открыть перед организацией дополнительные возможности в том случае, если конкуренты не смогли устранить эту же угрозу.
Подзаголовок: Построение матрицы «возможностей»
Для успешного анализа окружения организации методом SWOT-анализа важно не только уметь вскрывать угрозы и возможности, но и уметь оценивать их с точки зрения важности и степени влияния на стратегию организации.
Для оценки возможностей применяется метод позиционирования каждой конкретной возможности на матрице возможностей (рис. 2).
Рис. 2. Матрица возможностей
Матрица строится следующим образом:
– сверху по горизонтали откладывается степень влияния возможности на деятельность организации (сильное, умеренное, малое);
– слева по вертикали откладывается вероятность того, что организация сможет воспользоваться возможностью (высокая, средняя, низкая).
Полученные внутри матрицы девять полей возможностей имеют разное значение для организации.
Возможности, попадающие на поля ВС, В, У и СС, имеют большое значение для организации, и их надо обязательно использовать.
Возможности же, попадающие на поля СМ, НУ и НМ, практически не заслуживают внимания организации.
Подзаголовок: Построение матрицы «угроз»
Похожая матрица составляется для оценки угроз (рис. 3):
– сверху по горизонтали откладываются возможные последствия для организации, к которым может привести реализация угрозы (разрушение, критическое состояние, тяжелое состояние, «легкие ушибы»).
– слева по вертикали откладывается вероятность того, что угроза будет реализована (высокая, средняя, низкая).
Рис. 3. Матрица угроз
Те угрозы, которые попадают на поля ВР, ВК и СР, представляют очень большую опасность для организации и требуют немедленного и обязательного устранения.
Угрозы, попавшие на поле ВТ, СК и НР, также должны находиться в поле зрения высшего руководства и быть устранены в первостепенном порядке.
Что касается угроз, находящихся на полях НК, СТ и ВЛ, то требуется внимательный и ответственный подход к их устранению. Хотя при этом не ставится задача их первостепенного устранения. Попавшие на оставшиеся поля угрозы также не должны выпадать из поля зрения руководства организации. Необходимо внимательно отслеживать их развитие.
Подзаголовок: Составление профиля среды
Наряду с методами изучения угроз, возможностей, силы и слабости организации для анализа среды может быть применен метод составления ее профиля. Данный метод удобно применять для составления профиля отдельно макроокружения, непосредственного окружения и внутренней среды. С помощью метода составления профиля среды удается оценить относительную значимость для организации отдельных факторов среды.
Метод составления профиля среды состоит в следующем. В таблицу профиля среды (рис. 4) выписываются отдельные факторы среды. Каждому из факторов экспертным образом дается оценка:
Важности для отрасли по шкале: 3 – большая, 2 – умеренная, 1 – слабая;
Влияния на организацию по шкале: 3 – сильное, 2 – умеренное, 1 – слабое, 0 – отсутствие влияния;
Направленности влияния по шкале: +1 – позитивная, -1 – негативная.
Рис. 4. Таблица профиля среды
Далее все три экспертных оценки перемножаются, и получается интегральная оценка, показывающая степень важности фактора для организации. По этой оценке руководство может заключить, какие из факторов среды имеют относительно более важное значение для их организации и, следовательно, заслуживают самого серьезного внимания, а какие факторы заслуживают меньшего внимания.
Анализ среды – это очень важный для выработки стратегии организации и очень сложный процесс, требующий внимательного отслеживания происходящих в среде процессов, оценки факторов и установления связи между факторами и теми сильными и слабыми сторонами организации, а также возможностями и угрозами, которые заключены во внешней среде.
Очевидно, что, не зная среды, организация не сможет существовать. Однако она не плывет в окружении как лодка, не имеющая руля, весел или паруса. Организация изучает среду, чтобы обеспечить себе успешное продвижение к своим целям. Поэтому в структуре процесса стратегического управления вслед за анализом среды следует установление миссии организации и ее целей.
9.3. Жизненный цикл товара/услуги
Любой товар (услуга) проходит свой жизненный цикл от зарождения (появление на рынке) до прекращения (выпуска последнего образца).
Можно выделить следующие основные стадии жизненного цикла (рис. 5):
Рис. 5. Обычный график жизненного цикла товара во времени
Матрица БКГ
Наиболее популярная процедура анализа положения компании на рынке - построение матриц портфеля. Обычно такие матрицы строятся на основе пары стратегически важных переменных, таких, как скорость роста отрасли, размеры рынка, долговременная привлекательность отрасли, конкурентный статус и т. д. Такие двумерные матрицы относительно просты и дают четкую рыночную обстановку. Наибольшее распространение получили матрицы БКГ (BCG - Boston Consulting Group) и «Дженерал электрик».
В основе Бостонской матрицы лежит модель жизненного цикла товара, в соответствии с которой товар в своем развитии проходит четыре стадии: выход на рынок (товар – «дикая кошка»), рост (товар – «звезда»), зрелость (товар – «дойная корова») и спад (товар – «собака»).
Для оценки конкурентоспособности отдельных видов бизнеса используются два критерия: темп роста отраслевого рынка; относительная доля рынка.
Темп роста рынка определяется как средневзвешенное значение темпов роста различных сегментов рынка, в которых действует предприятие, или принимается равным темпу роста валового национального продукта. Темпы роста отрасли 10% и более рассматриваются как высокие.
Относительная доля рынка определяется делением доли рынка рассматриваемого бизнеса на долю рынка крупнейшего конкурента.
Рис. 6. Матрица БКГ для гипотетической фирмы
Значение доли рынка, равное 1, отделяет продукты – рыночные лидеры – от последователей. Таким образом, осуществляется деление видов бизнеса (отдельных продуктов) на четыре различные группы (рис. 6).
В основе матрицы БКГ лежат два предположения:
1. Бизнес, имеющий существенную долю рынка, приобретает в результате действия эффекта конкурентное преимущество в отношении издержек производства. Отсюда следует, что самый крупный конкурент имеет наибольшую рентабельность при продаже по рыночным ценам и для него финансовые потоки максимальны.
2. Присутствие на растущем рынке означает повышенную потребность в финансовых средствах для своего развития, т.е. обновления и расширения производства, проведения интенсивной рекламы и т.д. Если темп роста рынка невелик, например зрелый рынок, то товар не нуждается в значительном финансировании.
В том случае, когда обе гипотезы выполняются, можно выделить четыре группы рынков товара, соответствующие различным приоритетным стратегическим целям и финансовым потребностям:
«Дикие кошки» (быстрый рост / малая доля): товары этой группы могут оказаться очень перспективными, поскольку рынок расширяется, но требуют значительных средств для поддержания роста. Применительно к этой группе продуктов необходимо решить: увеличить долю рынка данных товаров или прекратить их финансирование.
«Звезды» (быстрый рост / высокая доля) – это рыночные лидеры. Они приносят значительную прибыль благодаря своей конкурентоспособности, но также нуждаются в финансировании для поддержания высокой доли динамичного рынка.
«Дойные коровы» (медленный рост / высокая доля): товары, способные принести больше прибыли, чем необходимо для поддержания их роста. Они являются основным источником финансовых средств для диверсификации и научных исследований. Приоритетная стратегическая цель – «сбор урожая».
«Собаки» (медленный рост / малая доля) – это продукты, которые находятся в невыгодном положении по издержкам и не имеют возможностей роста. Сохранение таких товаров связано со значительными финансовыми расходами при небольших шансах на улучшение положения. Приоритетная стратегия – деинвестирование и скромное существование.
В идеале сбалансированный номенклатурный портфель предприятия должен включать:
2–3 товара – «коровы», 1–2 – «звезды», несколько «кошек» в качестве задела на будущее и, возможно, небольшое число товаров – «собак». Избыток стареющих товаров («собак») указывает на опасность спада, даже если текущие результаты деятельности предприятия относительно хорошие. Избыток новых товаров может привести к финансовым затруднениям.
В динамичном корпоративном портфеле выделяют следующие траектории (сценарии) развития (рис. 7).
Рис. 7. Основные сценарии развития
«Траектория товара». Инвестируя в НИОКР средства, получаемые от «дойных коров», предприятие выходит на рынок с принципиально новым товаром, который занимает место звезды.
«Траектория последователя». Средства от «дойных коров» инвестируются в товар – «кошку», на рынке которого доминирует лидер. Предприятие придерживается агрессивной стратегии наращивания доли рынка, и товар – «кошка» превращается в «звезду».
«Траектория неудачи». Вследствие недостаточного инвестирования товар-звезда, утрачивает лидирующие позиции на рынке и становится товаром – «кошкой».
«Траектория посредственности». Товару – «кошке» не удается увеличить свою долю рынка, и он вступает в следующую стадию (товар – «собака»).
История доказывала много раз, что стабильность, какой бы идеальной и хорошей она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценки возможностей и решений, приводящих к успеху или поражению. Но многое зависит от нас. Благополучно ли закончится прыжок с парашютом? Зависит от того, правильно ли он был уложен, знаете ли вы порядок действий при прыжке и т.д. Теперь риск равен нулю? Нет, но своими действиями вы смогли существенно снизить его. Помимо индивидуальных рисков, выделяют риски социальные, технологические и многие другие. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.
Антон Макарычев
Руководитель направления ИБ Группы компаний “Компьюлинк"
Стандарт управления рисками ISO 31000:2009 дает определение риска как результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанное с пониманием события или знаниями о нем, его последствиями или вероятностью. Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность принятых мер также отдается на волю случая. Все равно что использовать бензопилу в качестве топора, не удосужившись прочитать инструкцию по применению. Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с существующими наработками и стандартами в этой области.
От общего к частному
Рассматривая управление рисками в фокусе информационной безопасности, полезно иметь представление о следующих документах:
- международный стандарт ISO 31000:2009;
- концептуальные основы управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея (COSO ERM);
- стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в общественном секторе Великобритании.
На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым.
ISO 31000:2009 является основным международным стандартом по управлению рисками для организаций и дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.
Более подробные инструкции содержатся в Концептуальных основах управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея. В частности, практическую пользу, помимо самого документа, представляют дополнительные материалы, выпущенные Комитетом COSO:
- ERM Risk Assessment in Practice (практика проведения оценки рисков в системе управления рисками);
- Enterprise Risk Management for C
- oud Computing (управление рисками для систем облачных вычислений);
- Enterprise Risk Management – Understanding and Communicating Risk Appetite (понимание и коммуникация риск-аппетита в системе управления рисками);
- Embracing Enterprise Risk Management: Practica
- Approaches for Getting Started (практические подходы для начала внедрения системы управления рисками) и др.
Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.
Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов, – различия в определениях. Например, определение понятия "риск" в стандарте ISO – это вероятность и положительного и негативного последствия, в стандарте COSO – это только вероятность негативного последствия, для положительного, есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.
Еще одним полезным документом является стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в Общественном секторе Великобритании. Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками (рис. 2).
Он будет крайне полезен для малого и среднего бизнеса, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.
Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:
- ISO 31000:2009 подойдет в качестве основного для любой организации;
- AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний;
- COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.
Управление рисками информационной безопасности
На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым. Доступность ЦОД измеряется в пяти и шести "девятках", а сбои в информационных системах крупных компаний становятся новостями мирового масштаба.
Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IТ-рискам, которые занимаются выявлением и управлением рисками в данной сфере.
Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками информационной безопасности в организации – ISO 27005:2008 "Информационные технологии – техники безопасности – управление рисками информационной безопасности". Однако, помимо него, существуют и другие не менее полезные документы, например:
- рабочая среда по управлению IТ-рисками (The Risk IT Framework) и инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA;
- авторская методика по управлению рисками информационных систем Кена Джаворски (Ken Jaworski).
Рассмотрим каждый из них подробнее.
В стандарте ISO 27005:2008 дается определение риска информационной безопасности – вероятность того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации.
В соответствии со стандартом процесс управления рисками информационной безопасности позволяет организовать следующее:
- идентификацию рисков;
- оценку рисков в терминах последствий для бизнеса и вероятности их появления;
- сообщение и осознание вероятности и последствий рисков;
- выстраивание порядка приоритетов для обработки рисков;
- выстраивание приоритета для действий по уменьшению вероятности возникновения рисков;
- вовлечение заинтересованных лиц в процесс принятия решений по управлению рисками и информирование о статусе процесса управления рисками;
- мониторинг эффективности обработки рисков;
- регулярное отслеживание и пересмотр рисков и процесса управления рисками;
- выявление информации для улучшения подхода к управлению рисками;
- обучение менеджеров и сотрудников рискам и действиям для их снижения.
В области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.
Примечательно, что схема процесса управления рисками информационной безопасности совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.
Рабочая среда по управлению IТ-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению – методологию и практические примеры.
В данном документе дается определение IТ-риска – это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией IТ в организации.
Процессная модель данной среды состоит из трех доменов:
- управление риском (Risk Governance);
- оценка риска (Risk Evaluation);
- реагирование на риск (Risk Response).
В документе тщательно разобрана эта трехдоменная модель. Приведены все необходимые определения, разобрана ролевая модель по перечисляемым процессам, а также порядок внедрения.
Инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены необходимые шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Также дается описание лучших практик внедрения систем IТ-рисков.
Методика по управлению рисками информационных систем Кена Джаворски основана на стандарте ISO и акцентирует свое внимание на практических аспектах внедрения системы управления рисками, а также содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.
Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.
Заключение
Система управления рисками как часть корпоративного управления уже показывает свою эффективность в тех компаниях, в которых она начинает внедряться или уже внедрена. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки. Принципиальным моментом является тот факт, что, помимо "общих" документов, существуют отраслевые стандарты управления рисками, в частности управления рисками IТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый административный ресурс, недостаточно уделяя внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.
«Ничто так не удивляет людей, как здравый смысл и действия по плану».
Ральф Эмерсон, американский писатель
После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.
Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков». Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.
Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнес-процессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.
___________________________________
Разработка и реализация плана обработки рисков включает в себя следующие меры:
- определение последовательности мероприятий по реализации принятых решений по обработке рисков;
- детализацию и приоритетизацию мероприятий по обработке рисков;
- распределение ответственности между исполнителями;
- выделение необходимых ресурсов;
- определение вех и контрольных точек;
- определение критериев достижения целей;
- мониторинг продвижения.
______________________________________
Должны быть правильно расставлены приоритеты по реализации мер обработки риска. Время, когда может предприниматься каждое действие, зависит от его абсолютного приоритета по отношению к другим действиям, доступности ресурсов (включая финансовые и кадровые ресурсы), а также от мероприятий, которые должны быть завершены, прежде чем процесс может быть запущен. План обработки рисков должен быть скоординирован с другими бизнес-планами. Любые зависимости между этими планами должны быть идентифицированы.
Приоритетизация мер по обработке рисков может осуществляться следующим образом:
1. Все контрмеры разделяются на группы по уровню риска, для уменьшения которого они предназначены. Наивысший приоритет присваивается контрмерам, служащим для уменьшения самых больших рисков.
2. В каждой группе на первое место ставятся те меры, которые быстрее и проще реализовать и которые дают скорейший эффект.
3. Повышается приоритет контрмер, обеспечивающих наибольший возврат инвестиций ROI.
4. Первичным контрмерам, от которых зависит успешность реализации других контрмер, присваивается более высокий приоритет.
5. Учитываются все прочие соображения, способные повлиять на порядок реализации контрмер, включая связь с другими планами, доступность тех или иных ресурсов, политические, экономические и прочие соображения.
На выходе данного процесса получаем приоритетный перечень мер по обработке рисков, на базе которого производится дальнейшее более детальное планирование, выделение ресурсов и реализация решений по управлению рисками.
Координация всех шагов по реализации плана обработки рисков (включая приобретение, внедрение, тестирование механизмов безопасности, заключение договоров страхования и аутсорсинга и т.п.) осуществляется менеджером информационной безопасности или риск-менеджером, который должен контролировать, чтобы реализация мероприятий осуществлялась в соответствии с планом, с надлежащим качеством и в рамках выделенных финансовых, временных и кадровых ресурсов. При внедрении контрмер в информационную систему должно проводиться тестирование с целью подтверждения надежности и работоспособности реализованных механизмов безопасности, а также измерение эффективности их функционирования.
- Для комментирования войдите или зарегистрируйтесь
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
- ценность активов в денежном выражении;
- полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
- частота реализации каждой угрозы;
- потенциальный ущерб от каждой угрозы;
- рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»
Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.
Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.
Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.
План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.
Обработка рисков информационной безопасности
2.1. Степень влияния риска информационной безопасности
В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:
- минимальный риск : финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
- средний риск : финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
- высокий риск : финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
- критический риск : критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.
2.2. Способы обработки риска
2.2.1. Снижение риска
Действие : Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.
Руководство по реализации : Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.
Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.
Ограничениями при реализации способа «Снижение риска » являются:
- временные ограничения;
- финансовые ограничения;
- технические ограничения;
- операционные ограничения;
- юридические ограничения;
- простота использования;
- кадровые ограничения;
- ограничения, касающиеся интеграции новых и существующих средств контроля.
2.2.2. Сохранение риска
Руководство по реализации : Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.
2.2.3. Предотвращение риска
Действие
: Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации
: Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия
).
2.2.4. Перенос риска
Действие
: Риск должен быть передан (перенесен
) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации
: Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.
Перенос может быть осуществлен:
- страхованием, которое будет поддерживать последствия;
- с помощью заключения договора субподряда (аутсорсинга ) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.
2.2.5. Принятие риска информационной безопасности
Входные данные : План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.
Действие : Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.
Руководство по реализации : Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.
В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.
Выходные данные : Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.
2.2.6. Коммуникация риска информационной безопасности
Входные данные : Вся информация о рисках, полученная в результате действий по менеджменту риска.
Действие
: Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации
: Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени
).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные
: Постоянное понимание процесса менеджмента риска информационной безопасности организации.
Распределение ролей по реализации плана обработки рисков
3.1. Руководство организации:
- определяет правила и процедуры управления рисками;
- рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
- оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
- определяет организационно – штатную структуру организации.
3.2. Департамент экономической безопасности:
- участвует в разработке и апробации методик оценки риска информационной безопасности;
- проводит мониторинг, анализ и оценку рисков информационной безопасности;
- участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
- готовит предложения по коррекции методики оценки рисков информационной безопасности;
- готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
- участвует в реализации (внедрении ) защитных мер;
- осуществляет контроль реализованных защитных мер;
- разрабатывает внутренние положения организации по рискам информационной безопасности.
3.3. Управление по анализу и контролю за рисками:
- осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
- проводит оценку операционного риска;
- осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
- регулярно представляет Комитету по рискам отчеты;
- осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.
3.4. Работник организации:
- оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
- докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.
Заключение
Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.
Скачать ZIP файл (22660)
Пригодились документы - поставь «лайк» или .
