Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п.
Никакого противоречия здесь нет. Все дело в том, что задача службы ИБ состоит не в управлении рисками ИБ, а в их уменьшении до приемлемого уровня, определяемого руководством организации. Поясню в чем разница.
Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Служба ИБ не может отвечать за оценку рисков ИБ потому что, как было показано в предыдущем посте «Нужна ли руководителям ИБ экономически оправданная безопасность?», она не заинтересована в объективной оценке. Безопасникам выгодно, чтобы риски всегда оценивались по-максимому.
Обработка рисков, что также не тайна, включает в себя четыре взаимно-неисключающих действия: уменьшение риска, принятие (сохранение) риска, передача риска и избежание риска. Служба ИБ из всего этого может отвечать только за уменьшение риска, т.е. за планирование и реализацию конкретных контрмер.
Управление рисками — это функция более высокого уровня нежели текущая деятельность по обеспечению информационной безопасности. Эта функция должна осуществляться руководством организации совместо с риск-менеджером, который и должен нести ответственность за формирование и поддержание в актуальном состоянии ключевых документов: реестра рисков и плана их обработки. Служба ИБ, также как и ИТ и бизнес-подразделения и владельцы активов должны активно участвовать в оценке рисков, но владельцем этого процесса должен быть риск-менеджер.
Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:
- Руководство — поддержка и анализ СУИБ, утвреждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общих контроль и т.п.
- Управляющий комитет по ИБ — стратегическое управление, утверждение ключевых документов и бюджета ИБ
- Служба риск-менеджмента — оценка рисков, подготовка и контроль реализации решений Руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.
- Служба ИБ — оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков
- Служба внутреннего аудита — независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ
- Служба ИТ — реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместо или под контролем службы ИБ
Такое распределение ответственности является наиболее обоснованным, обеспечивающим взаимных контроль и исключающим конфликт интересов.
Последнее время, когда руководители ИБ высказывают обоснованные сомнения в возможности реализации в рамках их подразделений процессов по управлению рисками ИБ, я их успокаиваю: «Продолжайте заниматься текучкой, управление рисками — не ваша задача.»