Пошаговое управление рисками
В каждой компании, как бы не были отлажены элементы управления информационной безопасностью, имеются угрозы, уязвимости и потенциальные риски, поэтому для обеспечения конкурентоспособности и достижения целей бизнеса организации должны сделать все возможное, чтобы выявить, оценить и обработать все из них или, по крайней мере, наиболее релевантные. Это называется управлением рисками, которое может варьироваться от подсознательных решений до полностью осознанных, основанных на сложных методологиях и механизмах обработки данных, применимых к широкому спектру областей рисков, включая риски, связанные с информационной безопасностью. Сама природа рисков делает риск-менеджмент сложной работой, но часто он излишне мистифицируется, и многие организации делают этот процесс еще более сложным, предпринимая ненужные или чрезвычайно сложные действия.
Мы же хотим объяснить Вам процесс управления рисками по правилам стандарта ISO/IEC 27001 просто и кратко:
1. Методология оценки рисков: Вам нужно создать правила по выполнению оценки рисков, чтобы вся организация делала это одинаково.
2. Реализация оценки рисков: как только правила готовы, можно начинать идентифицировать потенциальные проблемы, которые могут возникнуть, и определять, какие из них недопустимы и должны быть обработаны. Т.е. произвести поиск, анализ и оценку потенциальных рисков.
3. Реализация риск-терапии: необходимо продумать каким образом уменьшить риски с минимальными инвестициями (подробнее ниже).
4. Отчет об оценке риска ISMS: Вам необходимо запротоколировать всю произведенную работу над рисками не только для сертификации, но и для будущего Вашего бизнеса, ведь Вы тоже сможете использовать эти результаты в дальнейшем.
5. Заявление о применимости: обобщает итоги обработки рисков и будет использоваться аудитором по сертификации в качестве опорного документа.
6. План мер по управлению рисками: здесь Вы должны определить, кто будет реализовывать каждый элемент управления, в какие сроки, в рамках какого бюджета и т. д. Составленный план мер по управлению рисками важно одобрить у руководства, потому что реализация всех запланированных элементов управления займет значительное время, усилия и повлечет за собой финансовые затраты. А без участия директората у Вас не будет ни одного из этих ресурсов.
Далее мы расскажем подробнее о том, как реализовать каждый шаг, учитывая наиболее распространенные подходы, используемые компаниями по всему миру.
1. Как написать методологию оценки рисков согласно требованиям ISO/IEC 27001, используя общепринятые подходы:
| Требования | Общий подход |
|---|---|
| 1) Определите, как обнаружить риски, которые могут привести к потере конфиденциальности, целостности и/или доступности Вашей информации. | Вы можете определить риски на основе активов, угроз и уязвимостей, на основе Ваших процессов, отделов, используя только угрозы, а не уязвимые места, или любую другую методологию, которая Вам нравится. |
| 2) Определите, как выбирать ответственных за риск. | Вы должны выбрать человека, который одновременно заинтересован в устранении риска и занимает достаточно высокое положение в организации, чтобы это организовать. |
| 3) Определите критерии оценки последствий и оценки вероятности возникновения риска. | Вы должны оценить отдельно последствия и вероятность для каждого из Ваших рисков. При этом Вы можете использовать любые шкалы, которые Вам нравятся. |
| 4) Определите, как будет высчитываться риск. | Это обычно делается путем сложения или умножения. Если Вы используете шкалу низко-средне-высоко, это будет тоже самое, что использовать шкалу 0-1-2, поэтому у Вас всегда найдутся числа для расчета. |
| 5) Определите критерии обработки рисков. | Если ваш метод расчета риска дает значения от 1 до 10, то Вы можете решить, что приемлемый уровень риска, например, 7 – это будет означать, что только риски, оцененные в 8, 9 и 10, будут нуждаться в обработке. Кроме того, Вы можете изучить каждый индивидуальный риск и решить, какой из них следует рассматривать, а какой - нет, основываясь на своем собственном понимании и опыте, не используя шкал. |
2. Оценка рисков или как сопоставить активы, угрозы и уязвимости:
Действующая версия стандарта ISO/IEC 27001:2013 года позволяет идентифицировать риски с использованием любой методологии, которая Вам нравится. В то же время методология редакции 2005 года, требующая идентификации активов, угроз и уязвимостей, остается актуальной.
Идентификация риска – это первая половина процесса оценки риска, и, чтобы сделать ее проще, Вы можете использовать лист со списком активов, угроз и уязвимостей в столбцах. Вы также должны включать дополнительную информацию, такую как идентификатор риска, ответственные за риски, влияние, вероятность и т. д. Мы рекомендуем перечислять элементы столбец за столбцом, а не строку за строкой, чтобы Вы сначала перечислили все свои активы, затем начали поиск угроз для каждого актива, и только после этого - уязвимости для каждой угрозы.
Вот примеров того, как может выглядеть сопоставление трех основных компонентов:
| Актив | Угроза | Уязвимость | Риск |
|---|---|---|---|
| Бумажный документ | Прорыв систем водоснабжения | Документ не хранится в герметичной упаковке | Потеря целостности информации |
| Отсутствует резервная копия документа | Потеря целостности информации | ||
| Несанкционированный доступ | Документ не закрыт в шкафу | Потеря конфиденциальности информации | |
| Цифровой документ | Поломка жесткого диска | Нет резервной копии документа | Потеря доступности и целостности информации |
| Вредоносный код | Антивирусная программа не обновляется должным образом | Потеря конфиденциальности, целостности и доступности | |
| Несанкционированный доступ | Схема контроля доступа не определена должным образом | Потеря конфиденциальности, целостности и доступности | |
| Доступ был предоставлен слишком многим людям | |||
| IT-менеджер | Недоступность этого человека | Нет никакой замены для этой позиции | Потеря доступности |
| Частые ошибки | Некомпетентность | Потеря целостности и доступности |
При возникновении вопроса, сколько рисков компания должна идентифицировать, Вы должны сосредоточиться только на самых важных угрозах и уязвимостях, включая все активы. Хорошо бы для каждого актива определить пять угроз, а для каждой угрозы – две возможности. Так Вы получите 500 рисков для средней компании с 50 активами, что вполне управляемо.
3. Как оценить последствия и вероятность в анализе рисков.
Вторая половина оценки риска состоит в том, чтобы рассчитать, насколько велик риск – это достигается путем оценки последствий (также называемых воздействием), которые произошли бы, если бы риск был материализован, и оценки того, насколько вероятно, что риск произойдет. С этой информацией Вы можете легко рассчитать уровень риска.
Существует два основных подхода к оценке вероятности и последствий: качественный и количественный. При качественной оценке риска основное внимание уделяется восприятию заинтересованными сторонами вероятности возникновения риска и влиянию на соответствующие организационные аспекты (например, финансовые, репутационные и т. д.). Это восприятие представлено в таких шкалах, как «низкий – средний – высокий» или «0-1-2», которые используются для определения конечного значения риска. С другой стороны, количественная оценка риска фокусируется на фактических и измеримых данных, а также на высоко математических и вычислительных базах для расчета значений вероятности и воздействия, обычно выражающих значения риска в денежном выражении.
Если Ваша компания нуждается в быстрой и простой оценке рисков, Вы можете пойти по пути качественной оценки (это делают 99% компаний). Однако, если Вам необходимы действительно большие инвестиции для решения вопросов безопасности, возможно, имеет смысл инвестировать время и деньги в количественную оценку рисков. Одним из способов обоснования требуемых инвестиций в обеспечение безопасности является определение стоимости инцидента, а также потенциальной отдачи, которую эти инвестиции могут принести организации.
Качественная оценка риска, в свою очередь, включает два способа анализа рисков: простая оценка риска и детальная оценка риска. В простой оценке риска Вы оцениваете последствия и вероятность: определяя риски, Вы используете шкалы для оценки отдельно последствий и вероятности каждого риска (например, от 1 до 10). Чем больше масштаб, тем более точны результаты, но и тем больше времени Вы потратите на выполнение оценки.
Пример простой оценке риска:
- Актив: ноутбук
- Угроза: кража
- Уязвимость: сотрудники не знают, как защитить свои мобильные устройства
- Последствия: 3 (по шкале от 0 до 5)
- Вероятность: 3 (по шкале от 0 до 5)
При детальной оценке риска вместо оценки двух элементов (последствий и вероятности) Вы оцениваете три элемента: стоимость активов, угрозу и уязвимость. Например:
- Актив: ноутбук
- Угроза: кража
- Уязвимость: сотрудники не знают, как защитить свои мобильные устройства
- Стоимость актива: 2 (по шкале от 0 до 4)
- Значение угрозы: 2 (по шкале от 0 до 3)
- Значение уязвимости: 2 (по шкале от 0 до 3)
Расчет риска делается путем сложения или умножения. Если Вы используете шкалу «низкий-средний-высокий», то это тоже самое, что и использование 0-1-2, поэтому у Вас все еще есть числа для расчета.
Расчет риска с помощью сложения:
- Простая оценка риска: последствия (3) + вероятность 3) = риск (6)
- Детальная оценка риска: стоимость активов (2) + Значение угрозы (2) + Значение уязвимости (2) = риск (6)
В детальной оценке рисков использована шкала от 0 до 4 для оценки стоимости активов и меньшие шкалы от 0 до 2 для оценки угроз и уязвимостей. Это связано с тем, что вес следствия должен быть таким же, как вес вероятности, потому что угрозы и уязвимости совместно “представляют” вероятность, их максимальная добавленная стоимость равна 4, такая же, как и для значения следствия.
После того, как Вы рассчитали риски, Вы должны оценить, являются ли они приемлемыми или нет, а затем перейти к следующему шагу – обработка рисков.
4. Внедрение обработки рисков информационной безопасности.
Цель обработки рисков - контролировать опасности, выявленные в ходе их оценки. В большинстве случаев это будет означать снижение риска путем снижения вероятности инцидента (например, ламинирование документации/использование герметичной упаковки) и/или уменьшения воздействия на активы (например, герметичные двери). При рассмотрении рисков организация должна сосредоточиться на тех, которые не являются приемлемыми. В противном случае будет трудно определить приоритеты и финансировать смягчение всех выявленных рисков.
Варианты обработки риска:
- Снижение риска – является наиболее распространенным и включает в себя внедрение гарантий (средств контроля), таких, как системы защиты от протечек и залива. Для этой цели используются элементы управления из приложения А к ISO/IEC 27001 и любые другие элементы управления, которые компания считает целесообразными.
- Избежание риска – прекращение выполнения определенных задач или процессов, если они несут риски, которые просто слишком велики, чтобы смягчить их с помощью любых других вариантов. Например, Вы можете запретить использование ноутбуков за пределами помещений компании, если риск несанкционированного доступа к этим ноутбукам слишком высок, или внедрить средства криптозащиты для данных устройств.
- Передача риска – это означает, что Вы переадресуете риск другой стороне. Например, Вы покупаете страховой полис для Вашего здания, тем самым передавая часть Вашего финансового риска страховой компании. К сожалению, этот вариант не имеет никакого влияния на сам инцидент, поэтому лучшей стратегией является использование этого варианта вместе с вариантами 1 и/или 2.
- Сохранение риска – наименее желательный вариант, означающий, что Ваша организация принимает риск и ничего не предпринимает по этому поводу. Этот вариант следует использовать только в том случае, если затраты на смягчение последствий будут выше, чем ущерб, который понесет данный инцидент.
Когда Вы выбираете вариант снижения риска, Вы должны реализовать один из трех типов управления:
a. Определение новых правил - правила документируются с помощью планов, политик, процедур, инструкций и т. д.
b. Внедрение новых технологий - например: системы резервного копирования, места аварийного восстановления для альтернативных центров обработки данных.
c. Изменение организационной структуры - например: введение новой должностной функции или изменение обязанностей существующего персонала.
Чтобы повысить шансы выбора наиболее эффективных вариантов обработки и контроля, следует рассмотреть возможность привлечения специалистов в смежных областях (например, IT-персонал для IT -контроля; HR-специалисты, если обработка включает тренинги и т. д.). И такие решения потребуют участия руководства соответствующего уровня. Если у Вас есть сомнения относительно того, кто это может решить, проконсультируйтесь с инициатором проекта со стороны руководства.
После того, как способы обработки выбраны, Вы должны оценить остаточный риск для каждого неприемлемого риска, выявленного ранее в ходе оценки риска. Например, если Вы определили последствие уровня 4 и вероятность уровня 4 во время оценки риска (что будет означать риск 8 методом сложения), Ваш остаточный риск может стать 5, если Вы оценили, что следствие снизится до 3, а вероятность до 2 из-за благодаря гарантиям, которые Вы запланировали реализовать.
После завершения обработки рисков Вы можете обобщить данные в отчете об оценке и обработке рисков, чтобы дать подробный обзор процесса и выполнить требования стандарта для сохранения информации о процессе оценки и обработки рисков.
5. Важность заявления о применимости
Заявление о применимости является основным связующим звеном между оценкой, обработкой рисков и реализацией Вашей информационной безопасности. В нем Вам нужно будет:
- Определить меры контроля, которые необходимы по причинам, отличным от любых выявленных рисков (например, из-за правовых или договорных требований).
- Обосновать включение и исключение средств контроля из Приложения А и других источников.
- Создать сводную форму применимых мер контроля (114 из Приложения А и любые дополнительные меры), чтобы представить ее руководству и поддерживать ее в актуальном состоянии.
- Задокументировать, реализован ли уже каждый применимый элемент управления. Хороший вариант (и большинство аудиторов будут требовать его) заключается в описании того, как осуществляется каждый применимый контроль (например, ссылкой на документ или кратким описанием используемой процедуры или оборудования).
Всеобъемлющее представление, содержащееся в заявлении о применимости (что необходимо сделать в области информационной безопасности, почему это необходимо сделать и как это делается), имеет преимущества:
- Это вынуждает организации систематически планировать свою безопасность, оптимизируя решения относительно расходов (например, закупка нового оборудования или изменение процедуры, или найм нового сотрудника).
- Хорошо написанное заявление о применимости может уменьшить количество других документов. Например, если Вы хотите задокументировать определенный элемент управления, но описание процедуры для этого элемента управления довольно коротко, Вы можете описать его в заявлении о применимости.
- Это предоставляет аудиторам рекомендации для понимания подхода организации к обеспечению безопасности и проверки того, реализовали ли Вы свои средства контроля так, как было запланировано. Это центральный документ при проведения выездного on-site аудита.
6. План мер по устранению рисками (план мер управления рисками)
План мер по устранению рисками - это “план действий”, в котором Вам нужно указать, какие меры безопасности Вам нужно реализовать, кто несет за них ответственность, каковы будут сроки и какие ресурсы (финансовые и человеческие) потребуются. Как результат процесса обработки рисков, план мер управления рисками должен быть написан после заявления о применимости, поскольку этот документ определяет средства контроля, которые должны быть реализованы, учитывая всеобъемлющую картину информационной безопасности и не только результаты обработки рисков, но и правовые, нормативные и договорные требования. План мер по устранению рисками является точкой, где заканчивается теория и начинается практическая деятельность в соответствии с ISO/IEC 27001. Хорошая оценка и обработка рисков, а также качественное заявление о применимости даст очень полезный план действий для реализации Вашей информационной безопасности.
Основные выгоды от управления рисками:
- От стратегического подхода к управлению рисками: создание и распределение ресурсов правильным образом и в нужное время с учетом не только потребностей компании, но и потребностей клиентов и других заинтересованных сторон.
- Четкость ролей: высшее руководство, технический персонал, конечные пользователи, эксперты – все люди, занимающиеся информационной безопасностью, должны иметь определенные функции (например, принимать решения, определять риски, следовать процедурам и т. д.). Это один из наиболее экономически эффективных способов снижения рисков информационной безопасности, ведь каждый человек будет знать, чего от него ждут.
- Действия, соответствующие воспринимаемым угрозам: один и тот же сценарий риска может привести к различным подходам разных компаний, в зависимости от их потребностей и ожиданий, поэтому просто копировать чужой подход неразумно. Компании должны рассмотреть и определить свои собственные пределы, чтобы их действия в отношении рисков были согласованы с их целями.
Заключение
Риск – это «влияние неопределенности на цели», поэтому, если Вы каким-либо образом управляете неопределенностью, Вы можете эффективно снизить риск для Вашего бизнеса. С точки зрения стандарта ISO/IEC 27001 это означает, что информация может быть эффективно защищена и использована, чтобы помочь бизнесу достичь своих целей. Систематически выявляя, анализируя, оценивая и рассматривая полный перечень соответствующих рисков, можно предотвратить нежелательные ситуации и свести к минимуму негативные последствия. Определяя и выполняя управление рисками, Вы эффективно узнаете о потенциальных проблемах до того, как они фактически произойдут. Т.е. стандарт ISO/IEC 27001 при управлении рисками напоминает Вам: лучше перестраховаться, чем потом жалеть!
Наши эксперты обладают богатым опытом выявления рисков во многих отраслях бизнеса. Позвоните нам и мы подберем нужный именно Вам вариант оптимизации!
