- Управление информационными рисками
- Кто действительно разбирается в управлении рисками?
- Политика управления информационными рисками
- Группа управления рисками (IRM-группа)
Обновлено: 21.02.2010
Риск - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management) представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам. Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым.
Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий:
- Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия.
- Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании.
- Неисправность оборудования. Неработоспособность систем или периферийных устройств.
- Внутренние и внешние атаки. Хакинг, крекинг и проведение атак.
- Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи.
- Утрата данных. Преднамеренное или непреднамеренное уничтожение информации.
- Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера.
Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо.
В действительности людей, которые понимают как управлять рисками, очень мало (в том числе и за рамками вопросов безопасности). В информационной безопасности часто концентрируются на приложениях, устройствах, протоколах, вирусах и т.д. Эти детали безусловно должны быть учтены в процессе управления рисками, но они не должны быть в центре внимания при управлении рисками. Управление рисками в целом значительно важнее отдельных технических мер.
Безопасность - задача бизнеса. Однако бизнес работает, чтобы зарабатывать деньги, а не только чтобы быть безопасным. Бизнес часто обращает внимание на безопасность только тогда, когда появляются реальные угрозы основной деятельности - потеря репутации и клиентов из-за утечки информации, ущерб в результате вирусной атаки и т.д. Специалисты по информационной безопасности должны понимать эти угрозы, но гораздо важнее, чтобы они понимали как можно рассчитать риски этих угроз и предоставить карту рисков руководителям бизнеса.
Чаще всего бюджет является ограниченным, а количество уязвимостей - нет. В этом случае необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса.
Полноценное управление рисками требует полноценной поддержки высшего руководства, документированного процесса поддержки миссии организации, IRM-политики и IRM-группы.
IRM-политика должна быть частью общей политики управления рисками компании. IRM-политика должна быть отражена и в организационной политике безопасности компании. В IRM-политике должны учитываться следующие аспекты:
- Цели IRM-группы
- Уровень риска, который компания приняла для себя как приемлемый
- Формальные процессы выявления рисков
- Связь между IRM-политикой и процессами стратегического планирования компании
- Обязанности, связанные с IRM, и роли, необходимые для их выполнения
- Связь между рисками и внутренним контролем
- Подходы к изменению поведения сотрудников и распределения ресурсов с учетом анализа рисков
- Связь между рисками и целевыми показателями и бюджетами
- Ключевые показатели для мониторинга эффективности защитных мер
IRM-политика предоставляет инфраструктуру для процессов и процедур управления рисками компании. Она должна охватывать все вопросы информационной безопасности, начиная от подбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRM-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков высшим руководством.
В зависимости от размеров компании и бюджета безопасности компания может иметь одного или нескольких сотрудников, ответственных за IRM (IRM-группу). Основная цель IRM-группы - обеспечить защиту компании наиболее выгодным (экономически) и эффективным способом. Эта цель может быть достигнута только при наличии следующих компонентов:
- Установленный высшим руководством приемлемый уровень риска
- Документированные процессы и процедуры оценки рисков
- Процедуры выявления и снижения рисков
- Адекватные ресурсы и бюджет, предоставленные высшим руководством
- Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов)
- Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы
- Возможность расширения (развития) группы в отдельных областях, в случае необходимости
- Учет и выполнение требований законодательства и регуляторов
- Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков
- Возможность выявления и оценки новых рисков при изменениях в компании или окружении
- Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей
В большинстве случаев, в IRM-группу включают не отдельных, специально нанятых, сотрудников, а тех, которые уже работают в компании и выполняют другие задачи. В таких случаях совершенно необходима поддержка высшего руководства для надлежащего распределения ресурсов.
Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков.
Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков.
Существенных изменений нет
ОтветитьУдалить