Оглавление
Предисловие
Полагаю, нет необходимости в очередной раз пространно и долго рассуждать о широком применении в деятельности современных финансовых организаций информационных и автоматизированных систем, о необходимости обеспечения доступности, целостности, а также конфиденциальности обрабатываемой информации, рисках, способных существенно затруднить достижение миссии организации. Тем не менее, несмотря на огромную зависимость от электронной информации и систем, многие продолжают сталкиваться с серьезными проблемами обеспечения информационной безопасности.
Эта статья основана на публикации Главного Счетного Управления США (GAO) “Executive Guide. Information Security Management. Learning From Leading Organizations”. Цель работы состояла в том, чтобы определить методы успешного управления информационной безопасностью ведущих мировых компаний. В результате GAO был предложен набор решений (принципов), позволяющих построить эффективную систему управления информационной безопасностью. Вместе с тем, стоит отметить, что эти принципы являются всего лишь одним из аспектов стратегии управления информационными технологиями (далее – ИТ) организации. Невозможно успешно управлять информационной безопасностью, при неудовлетворительном ИТ менеджменте.
Цели обеспечения информационной безопасности
Организации, изученные GAO, должны были обеспечить целостность, конфиденциальность и доступность своих информационных ресурсов. Так как деятельность финансовых организаций нацелена на получение прибыли, информационная безопасность была направлена на предоставление безопасных, эффективных и заслуживающих доверия продуктов и услуг клиентам и бизнес-партнерам, предотвращение мошенничества и разглашения конфиденциальной информации, обеспечение соответствия законам и регулирующим актам.
Основные принципы управления рисками информационной безопасности
Несмотря на разные операции, продукты и услуги, организации использовали пять принципов управления рисками информационной безопасности.
- Оценить риск и определить потребности
- Установить централизованное управление
- Внедрить необходимые политики и соответствующие средства контроля
- Содействовать осведомленности сотрудников
- Контролировать и оценивать эффективность политик и механизмов контроля
![](https://infosecportal.ru/wp-content/uploads/2023/08/image004.gif)
Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации. Цикл управления рисками проиллюстрирован на рисунке.
![Основные принципы управления рисками информационной безопасности Основные принципы управления рисками информационной безопасности](http://www.iso27000.ru/pictures/copy_of_image002.gif)
Методы реализации программы информационной безопасности
Следующие шестнадцать методов, используемые для реализации пяти принципов управления рисками, выделенны на следующей иллюстрации. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации.
![Методы реализации программы информационной безопасности Методы реализации программы информационной безопасности](http://www.iso27000.ru/pictures/image004.gif)
Оценить риск и определить потребности
Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается “сама по себе”, но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).
Признать информационные ресурсы в качестве существенных (неотъемлемых) активов организации
Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.
Разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса
Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако, мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации.
Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слыбыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за потоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно, если это вообще возможно, точно сравнить стоимость средств контроля с риском потери чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны пологаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.
Установить ответственность менеджеров бизнес-подразделений и менеджеров, участвующих в программе обеспечения безопасности
Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.
Непрерывно управлять рисками
Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Как было отмечено ранее, современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций.
Установить централизованное управление
Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности.
Определить руководящую группу для выполнения ключевых действий
В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации.
Предоставить руководящей группе простой и независимый доступ к высшему менеджменту организации
Отметим необходимость обсуждения проблем информационной безопасности менеджерами руководящей группы с высшим менеджментом организации. Такой диалог позволит действовать эффективно и избежать разногласий. В противном случае возможны конфликтные ситуации с менеджерами бизнес-подразделений и разработчиками систем, желающими скорейшего внедрения новых программных продуктов, и, потому, оспаривающими применение средств контроля, которые могут препятствовать эффективности и “комфортности” работы с программным обеспечением. Таким образом, возможность обсуждения проблем информационной безопасности на высшем уровне сможет гарантировать полное понимание рисков и их допустимость до принятия окончательных решений.
Определить и выделить бюджет и персонал
Бюджет позволит планировать и устанавливать цели программы информационной безопасности. Как минимум, бюджет включает заработную плату сотрудников и затраты на обучение. Штатная численность руководящей группы (подразделения безопасности) может варьироваться и завистить как от поставленных целей, так и от проектов, находящихся на рассмотрении. Как было отмечено ранее, к работе в группе могут привлекаться как технические специалисты, так и сотрудники бизнес-подразделений.
Повышать профессионализм и технические знания сотрудников
Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников может быть достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.
Внедрить необходимые политики и соответствующие средства контроля
Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска.
Установить взаимосвязь политик и бизнес-рисков
Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.
Установить отличия между политиками и руководящими принципами
Общий подход к созданию политик информационной безопасности должен предусматривать (1) краткие (лаконичные) политики высокого уровня и (2) более детальную информацию, представленную в практических руководствах и стандартах. Политики предусматривают основные и обязательные требования, принятые высшим менеджментом. В то время как практические руководства не являются обязательными для всех бизнес-подразделений. Такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах информационной безопасности, а также предоставить возможность маневрирования менеджерам бизнес-подразделений, сделать политики легкими для понимания сотрудников.
Обеспечить сопровождение политик руководящей группой
Руководящая группа должна быть ответственна за разработку политик информационной безопасности организации во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами. Кроме того, руководящая группа должна обеспечить необходимые разъяснения и предоставить ответы на вопросы пользователей. Это поможет уладить и предотвратить недоразумения, а также принять необходимые меры, не предусмотренные политиками (руководящими принципами).
Политики стоит сделать доступными, так чтобы пользователи, при необходимости, могли получить доступ к их актуальным версиям. Пользователи должны расписываться в том, что они ознакомлены с политиками до предоставления им доступа к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение послужит свидетельством того, что он или она были проинформированы о политике организации, как и о возможных санкциях, в случае ее нарушения.
Содействовать осведомленности
Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.
Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик
Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также политиках и методах (средствах) контроля, направленных на уменьшение этих рисков.
Использовать дружественный подход
Руководящая группа должна использовать разнообразные методы обучения и поощрения (стимулирования) чтобы сделать политику организации доступной и обучить пользователей. Стоит избегать встреч, проводимых раз в год со всеми сотрудниками организации, напротив обучение лучше проводить в небольших группах сотрудников.
Контролировать и оценивать эффективность политик и механизмов контроля
Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.
Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности
Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):
- число проведенных тренингов и встреч;
- число выполненных оценок риска (рисков);
- число сертифицированных специалистов;
- отсутствие инцидентов, затрудняющих работу сотрудников организации;
- снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;
- полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;
- снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.
Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента
Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.
Отслеживать новые методы и средства контроля
Важно гарантировать, что (1) специалисты в области информационной безопасности не “отстают” от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.
Заключение
Развитие программы информационной безопасности, соответствующей основным принципам, описанным в этом документе – первый и основной шаг организации на пути построения эффективной системы информационной безопасности. Таким образом, организация должна непрерывно (1) исследовать и оценивать риски информационной безопасности, влияющие на бизнес-процессы, (2) установить централизованное управление информационной безопасностью, (3) установить политики, стандарты, и средства (механизмы) контроля (управления), направленные на уменьшение этих рисков, (4) содействовать осведомленности и пониманию, описанной проблемы среди сотрудников, и (5) оценивать соответствие и повышать эффективность.
Комментарий автора:
В документе не зря упомянута “руководящая группа”. Это в России практикуется подход направленный на создание подразделения (зачастую очень большого), решающего вопросы ИБ. Как показывает практика эти люди дублируют функции сотрудников ИТ подразделений, в любом случае, выполняющих функции ИБ. За рубежом, напротив, работу координирует менеджер (офицер безопасности) – административный и методологический центр управления ИБ. За риски отвечают менеджеры подразделений, они же делигируют функции управления ИБ подразделениям ИТ. В результате – эффективная и понятная система, с ясными ответственностью и обязанностями, и, что немаловажно – экономия денег.
По материалам публикации U.S. General Accounting Office Executive Guide. Information Security Management. Learning From Leading Organizations
Невский А.Г., nevsky@mail.ru