Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п. Никакого противоречия здесь нет. Все дело в том, что задача службы ИБ состоит не в управлении рисками ИБ, а в их уменьшении до приемлемого уровня, определяемого руководством организации.
Почему служба информационной безопасности не должна отвечать за управление рисками информационной безопасности
Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Руководители ИБ, как можно предположить, не всегда бывают заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.
Основным побудительным мотивом для вкладывания каких-либо средств в безопасность всегда являлся страх. На страхе основан и внешний и внутренний маркетинг безопасности. Размер бюджета, выделяемого на безопасность, прямо пропорционален степени обеспокоенности руководства организации этими вопросами. Чем сильнее руководителю ИБ удастся запугать свое руководство информационными угрозами, тем выше его значимость и лучше финансируется его служба.
Какие последствия для службы ИБ может иметь внедрение процесса управления рисками, при котором руководство организации будет осознанно принимать риски, опираясь на свою оценку среднегодового ущерба от инцидентов безопасности, как это рекомендуется международными стандартами? Что если эта оценка не будет “браться с потолка”, а будет определяться по прозрачной методологии, доступной для понимания и проверки всем заинтересованным сторонам, и будет опираться на мнения руководства организации, экспертов и представителей бизнеса? Вдруг такая оценка наглядно покажет, что многие затраты на безопасность не являются оправданными с экономической точки зрения? Вдруг руководство осознает и примет все риски? Что если безопасность перестанет бороться со страхами руководителей и собственников бизнеса, а вместо этого начнет работать на бизнес, помогая ему не тратить, а экономить деньги?
От таких вопросов некоторых руководителей ИБ мог бы прошибать холодный пот. Успокаивает их лишь то, что многие из них искренне не верят в возможность получения достоверных количественных оценок информационных рисков, которые были бы понятны их боссам и могли бы использоваться для принятия экономически оправданных решений.
Таким образом, за оценку рисков ИБ служба ИБ отвечать не может, потому что она не заинтересована в объективной оценке. Безопасникам выгодно, чтобы риски всегда оценивались по-максимому.
Обработка рисков включает в себя четыре взаимно-неисключающих действия: уменьшение риска, принятие (сохранение) риска, передача риска и избежание риска. Служба ИБ из всего этого может отвечать только за уменьшение риска, т.е. за планирование и реализацию конкретных контрмер.
Распределение основных ролей по управлению информационной безопасностью в организации
Управление рисками – это функция более высокого уровня нежели текущая деятельность по обеспечению информационной безопасности. Она должна осуществляться руководством организации совместо с риск-менеджером, который и должен нести ответственность за формирование и поддержание в актуальном состоянии ключевых документов: реестра рисков и плана их обработки. Он также должен нести ответственность за осуществление общего контроля процессов управления рисками, включая выполнение правил «Политики управления рисками» и обеспечение соответствия этих правил требованиям международных и национальных стандартов.
Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:
- Руководство – поддержка и анализ СУИБ, утвреждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общих контроль и т.п.
- Управляющий комитет по ИБ – стратегическое управление, утверждение ключевых документов и бюджета ИБ
- Служба риск-менеджмента – оценка рисков, подготовка и контроль реализации решений Руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.
- Служба ИБ – оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков
- Служба внутреннего аудита – независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ
- Служба ИТ – реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместо или под контролем службы ИБ
Такое распределение ответственности является наиболее обоснованным, обеспечивающим взаимных контроль и исключающим конфликт интересов.
В случае отсутствия в организации позиции риск-менеджера, его обязанности могут возлагаться на менеджера по информационной безопасности (CISO или директора по ИБ, т.е. на человека, отвечающего за обеспечения ИБ организации в целом), однако по приведенным выше соображениям – это не лучший вариант. Служба ИБ, также как и ИТ и бизнес-подразделения и владельцы активов должны активно участвовать в оценке рисков, но владельцем этого процесса должен быть риск-менеджер.
Служба ИБ вполне может нести ответственность за разработку, реализацию и поддержание в актуальном состоянии методологии оценки рисков информационной безопасности с учетом специфики бизнеса организации и последних достижений в предметной области.
Эффективная СУИР нуждается в извлечении информации из всех возможных источников, включая руководство, всех сотрудников и подрядчиков, безотносительно к выполняемым ими функциям, а также там, где это применимо, от внешних сторон, таких как поставщики и клиенты. Поэтому участие в процессе совершенствования СУИР должно являться частью должностных обязанностей каждого сотрудника организации.
Руководители подразделений компании должны нести ответственность за поддержку и непосредственное участие в оценке рисков информационных активов, владельцами которых они являются, а также за оценку критичности систем и конфиденциальности обрабатываемой информации.
Вице-президент (президент, генеральный или исполнительный директор) координирует выполнение корпоративной программы управления информационными рисками, утверждает «План обработки рисков» и принимает решение по допустимому уровню остаточного риска.
Ключевыми ролями в системе управления рисками являются роли риск-менеджера и эксперта по оценке рисков, которые стоит рассмотреть более подробно, опираясь на соответствующие требования британского стандарта BS 7799-3.
Требования к риск-менеджеру
В небольшой организации управление рисками (риск-менеджмент) может являться для одного из ее руководителей одной из его многочисленных обязанностей. По мере расширения организации и повышения ее чувствительности к информационным рискам возрастает необходимость в создании отдельной позиции риск-менеджера. В более крупной организации для выполнения функций по управлению рисками может создаваться специализированное подразделение.
Согласно BS 7799-3, сотрудники, занимающиеся управлением рисками индивидуально либо в составе соответствующего подразделения, должны обладать следующими характеристиками:
- систематичные и организованные в своем подходе к мониторингу известных рисков и предложению подходящих мер;
- бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах;
- настойчивые и независимо мыслящие, но способные воспринимать противоположные точки зрения и примиряться с ними в случае, если это наилучшим образом помогает бизнесу;
- способные убедительно представлять аргументацию, например аргументировать расходы на уменьшение высокого риска;
- способные работать на всех уровнях в организации;
- хорошо понимающие риск, технологии и механизмы безопасности.
Требования к эксперту по оценке рисков
В то время как риск-менеджер контролирует функционирование СУИР в целом, стержневые процессы, такие как оценка и обработка рисков, могут выполняться отдельным экспертом или рабочей группой.
Эксперт по оценке рисков (члены рабочей группы) должен отвечать следующим требованиям:
- базовое понимание того, как функционирует бизнес, и склонности этого бизнеса к риску;
- понимание основных концепций риска, например, каким образом комбинируются оценки угрозы, уязвимости и ущерба для получения величины риска;
- понимание ИТ на уровне, достаточном для понимания угроз и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, операционные системы, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также, каким образом они функционируют и взаимодействуют;
- понимание различных типов механизмов безопасности, как они работают и любые свойственные им ограничения, например, межсетевые экраны, системы обнаружения вторжений, механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также журналирование и мониторинг и т.п.;
- практическое понимание используемой методологии оценки рисков и любых, связанных с ней инструментов, программного обеспечения или форм;
- аналитические способности, т.е. способность выделять относящиеся к делу факты;
- способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
- уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков в форме, понятной руководству, принимающему решения.
Эксперт по оценке рисков должен быть профессионалом в области ИТ либо информационной безопасности. Он также может быть «человеком из бизнеса» при условии, что он обладает необходимыми знаниями и квалификациями, перечисленными выше, либо он может являться внешним консультантом.
Заключение
Мы рассмотрели ключевые роли, задействованные в процессе управления информационными рисками в организации. И, как это не покажется кому-то странным, назначение службы ИБ в качестве владельца данного процесса, хотя и возможно, но, по приведенным выше соображениям, является отнюдь не лучшей идеей. Поэтому, когда руководители ИБ высказывают обоснованные сомнения в возможности реализации в рамках их подразделений процессов по управлению рисками ИБ, мы их успокаиваем: “Продолжайте заниматься текучкой, управление рисками – не ваша задача.”
Данная статья представляет собой переработанный отрывок из книги Александра Астахова “Искусство управления информационными рисками“. При ее подготовке использовались также материалы из блога Автора, находящегося по адресу: http://iso27000.ru/blogi/aleksandr-astahov
Автор: Александр Астахов
Источник: http://www.itsec.ru/imag/insec-7+8-2009/