Страницы

четверг, 21 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление информационными рисками
  • Кто действительно разбирается в управлении рисками?
  • Политика управления информационными рисками
  • Группа управления рисками (IRM-группа)


Обновлено: 21.02.2010


Риск - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management) представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам. Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым.

Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий:
  • Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия.
  • Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании.
  • Неисправность оборудования. Неработоспособность систем или периферийных устройств.
  • Внутренние и внешние атаки. Хакинг, крекинг и проведение атак.
  • Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи.
  • Утрата данных. Преднамеренное или непреднамеренное уничтожение информации.
  • Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера.
Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо.


В действительности людей, которые понимают как управлять рисками, очень мало (в том числе и за рамками вопросов безопасности). В информационной безопасности часто концентрируются на приложениях, устройствах, протоколах, вирусах и т.д. Эти детали безусловно должны быть учтены в процессе управления рисками, но они не должны быть в центре внимания при управлении рисками. Управление рисками в целом значительно важнее отдельных технических мер.

Безопасность - задача бизнеса. Однако бизнес работает, чтобы зарабатывать деньги, а не только чтобы быть безопасным. Бизнес часто обращает внимание на безопасность только тогда, когда появляются реальные угрозы основной деятельности - потеря репутации и клиентов из-за утечки информации, ущерб в результате вирусной атаки и т.д. Специалисты по информационной безопасности должны понимать эти угрозы, но гораздо важнее, чтобы они понимали как можно рассчитать риски этих угроз и предоставить карту рисков руководителям бизнеса.

Чаще всего бюджет является ограниченным, а количество уязвимостей - нет. В этом случае необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса.

Полноценное управление рисками требует полноценной поддержки высшего руководства, документированного процесса поддержки миссии организации, IRM-политики и IRM-группы.

IRM-политика должна быть частью общей политики управления рисками компании. IRM-политика должна быть отражена и в организационной политике безопасности компании. В IRM-политике должны учитываться следующие аспекты:
  • Цели IRM-группы
  • Уровень риска, который компания приняла для себя как приемлемый
  • Формальные процессы выявления рисков
  • Связь между IRM-политикой и процессами стратегического планирования компании
  • Обязанности, связанные с IRM, и роли, необходимые для их выполнения
  • Связь между рисками и внутренним контролем
  • Подходы к изменению поведения сотрудников и распределения ресурсов с учетом анализа рисков
  • Связь между рисками и целевыми показателями и бюджетами
  • Ключевые показатели для мониторинга эффективности защитных мер
IRM-политика предоставляет инфраструктуру для процессов и процедур управления рисками компании. Она должна охватывать все вопросы информационной безопасности, начиная от подбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRM-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков высшим руководством.
В зависимости от размеров компании и бюджета безопасности компания может иметь одного или нескольких сотрудников, ответственных за IRM (IRM-группу). Основная цель IRM-группы - обеспечить защиту компании наиболее выгодным (экономически) и эффективным способом. Эта цель может быть достигнута только при наличии следующих компонентов:
  • Установленный высшим руководством приемлемый уровень риска
  • Документированные процессы и процедуры оценки рисков
  • Процедуры выявления и снижения рисков
  • Адекватные ресурсы и бюджет, предоставленные высшим руководством
  • Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов)
  • Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы
  • Возможность расширения (развития) группы в отдельных областях, в случае необходимости
  • Учет и выполнение требований законодательства и регуляторов
  • Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков
  • Возможность выявления и оценки новых рисков при изменениях в компании или окружении
  • Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей
В большинстве случаев, в IRM-группу включают не отдельных, специально нанятых, сотрудников, а тех, которые уже работают в компании и выполняют другие задачи. В таких случаях совершенно необходима поддержка высшего руководства для надлежащего распределения ресурсов.

Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков.

1 комментарий: