Пошаговое управление рисками

В каждой компании, как бы не были отлажены элементы управления информационной безопасностью, имеются угрозы, уязвимости и потенциальные риски, поэтому для обеспечения конкурентоспособности и достижения целей бизнеса организации должны сделать все возможное, чтобы выявить, оценить и обработать все из них или, по крайней мере, наиболее релевантные. Это называется управлением рисками, которое может варьироваться от подсознательных решений до полностью осознанных, основанных на сложных методологиях и механизмах обработки данных, применимых к широкому спектру областей рисков, включая риски, связанные с информационной безопасностью. Сама природа рисков делает риск-менеджмент сложной работой, но часто он излишне мистифицируется, и многие организации делают этот процесс еще более сложным, предпринимая ненужные или чрезвычайно сложные действия.

Мы же хотим объяснить Вам процесс управления рисками по правилам стандарта ISO/IEC 27001 просто и кратко:

1. Методология оценки рисков: Вам нужно создать правила по выполнению оценки рисков, чтобы вся организация делала это одинаково.

2. Реализация оценки рисков: как только правила готовы, можно начинать идентифицировать потенциальные проблемы, которые могут возникнуть, и определять, какие из них недопустимы и должны быть обработаны. Т.е. произвести поиск, анализ и оценку потенциальных рисков.

3. Реализация риск-терапии: необходимо продумать каким образом уменьшить риски с минимальными инвестициями (подробнее ниже).

4. Отчет об оценке риска ISMS: Вам необходимо запротоколировать всю произведенную работу над рисками не только для сертификации, но и для будущего Вашего бизнеса, ведь Вы тоже сможете использовать эти результаты в дальнейшем.

5. Заявление о применимости: обобщает итоги обработки рисков и будет использоваться аудитором по сертификации в качестве опорного документа.

6. План мер по управлению рисками: здесь Вы должны определить, кто будет реализовывать каждый элемент управления, в какие сроки, в рамках какого бюджета и т. д. Составленный план мер по управлению рисками важно одобрить у руководства, потому что реализация всех запланированных элементов управления займет значительное время, усилия и повлечет за собой финансовые затраты. А без участия директората у Вас не будет ни одного из этих ресурсов.

Далее мы расскажем подробнее о том, как реализовать каждый шаг, учитывая наиболее распространенные подходы, используемые компаниями по всему миру.

1. Как написать методологию оценки рисков согласно требованиям ISO/IEC 27001, используя общепринятые подходы:

Требования Общий подход
1) Определите, как обнаружить риски, которые могут привести к потере конфиденциальности, целостности и/или доступности Вашей информации. Вы можете определить риски на основе активов, угроз и уязвимостей, на основе Ваших процессов, отделов, используя только угрозы, а не уязвимые места, или любую другую методологию, которая Вам нравится.
2) Определите, как выбирать ответственных за риск. Вы должны выбрать человека, который одновременно заинтересован в устранении риска и занимает достаточно высокое положение в организации, чтобы это организовать.
3) Определите критерии оценки последствий и оценки вероятности возникновения риска. Вы должны оценить отдельно последствия и вероятность для каждого из Ваших рисков. При этом Вы можете использовать любые шкалы, которые Вам нравятся.
4) Определите, как будет высчитываться риск. Это обычно делается путем сложения или умножения. Если Вы используете шкалу низко-средне-высоко, это будет тоже самое, что использовать шкалу 0-1-2, поэтому у Вас всегда найдутся числа для расчета.
5) Определите критерии обработки рисков. Если ваш метод расчета риска дает значения от 1 до 10, то Вы можете решить, что приемлемый уровень риска, например, 7 – это будет означать, что только риски, оцененные в 8, 9 и 10, будут нуждаться в обработке. Кроме того, Вы можете изучить каждый индивидуальный риск и решить, какой из них следует рассматривать, а какой - нет, основываясь на своем собственном понимании и опыте, не используя шкал.

2. Оценка рисков или как сопоставить активы, угрозы и уязвимости:

Действующая версия стандарта ISO/IEC 27001:2013 года позволяет идентифицировать риски с использованием любой методологии, которая Вам нравится. В то же время методология редакции 2005 года, требующая идентификации активов, угроз и уязвимостей, остается актуальной.

Идентификация риска – это первая половина процесса оценки риска, и, чтобы сделать ее проще, Вы можете использовать лист со списком активов, угроз и уязвимостей в столбцах. Вы также должны включать дополнительную информацию, такую как идентификатор риска, ответственные за риски, влияние, вероятность и т. д. Мы рекомендуем перечислять элементы столбец за столбцом, а не строку за строкой, чтобы Вы сначала перечислили все свои активы, затем начали поиск угроз для каждого актива, и только после этого - уязвимости для каждой угрозы.

Вот примеров того, как может выглядеть сопоставление трех основных компонентов:

Актив Угроза Уязвимость Риск
Бумажный документ Прорыв систем водоснабжения Документ не хранится в герметичной упаковке Потеря целостности информации
Отсутствует резервная копия документа Потеря целостности информации
Несанкционированный доступ Документ не закрыт в шкафу Потеря конфиденциальности информации
Цифровой документ Поломка жесткого диска Нет резервной копии документа Потеря доступности и целостности информации
Вредоносный код Антивирусная программа не обновляется должным образом Потеря конфиденциальности, целостности и доступности
Несанкционированный доступ Схема контроля доступа не определена должным образом Потеря конфиденциальности, целостности и доступности
Доступ был предоставлен слишком многим людям
IT-менеджер Недоступность этого человека Нет никакой замены для этой позиции Потеря доступности
Частые ошибки Некомпетентность Потеря целостности и доступности

При возникновении вопроса, сколько рисков компания должна идентифицировать, Вы должны сосредоточиться только на самых важных угрозах и уязвимостях, включая все активы. Хорошо бы для каждого актива определить пять угроз, а для каждой угрозы – две возможности. Так Вы получите 500 рисков для средней компании с 50 активами, что вполне управляемо.

3. Как оценить последствия и вероятность в анализе рисков.

Вторая половина оценки риска состоит в том, чтобы рассчитать, насколько велик риск – это достигается путем оценки последствий (также называемых воздействием), которые произошли бы, если бы риск был материализован, и оценки того, насколько вероятно, что риск произойдет. С этой информацией Вы можете легко рассчитать уровень риска.

Существует два основных подхода к оценке вероятности и последствий: качественный и количественный. При качественной оценке риска основное внимание уделяется восприятию заинтересованными сторонами вероятности возникновения риска и влиянию на соответствующие организационные аспекты (например, финансовые, репутационные и т. д.). Это восприятие представлено в таких шкалах, как «низкий – средний – высокий» или «0-1-2», которые используются для определения конечного значения риска. С другой стороны, количественная оценка риска фокусируется на фактических и измеримых данных, а также на высоко математических и вычислительных базах для расчета значений вероятности и воздействия, обычно выражающих значения риска в денежном выражении.

Если Ваша компания нуждается в быстрой и простой оценке рисков, Вы можете пойти по пути качественной оценки (это делают 99% компаний). Однако, если Вам необходимы действительно большие инвестиции для решения вопросов безопасности, возможно, имеет смысл инвестировать время и деньги в количественную оценку рисков. Одним из способов обоснования требуемых инвестиций в обеспечение безопасности является определение стоимости инцидента, а также потенциальной отдачи, которую эти инвестиции могут принести организации.

Качественная оценка риска, в свою очередь, включает два способа анализа рисков: простая оценка риска и детальная оценка риска. В простой оценке риска Вы оцениваете последствия и вероятность: определяя риски, Вы используете шкалы для оценки отдельно последствий и вероятности каждого риска (например, от 1 до 10). Чем больше масштаб, тем более точны результаты, но и тем больше времени Вы потратите на выполнение оценки.

Пример простой оценке риска:

  • Актив: ноутбук
  • Угроза: кража
  • Уязвимость: сотрудники не знают, как защитить свои мобильные устройства
  • Последствия: 3 (по шкале от 0 до 5)
  • Вероятность: 3 (по шкале от 0 до 5)

При детальной оценке риска вместо оценки двух элементов (последствий и вероятности) Вы оцениваете три элемента: стоимость активов, угрозу и уязвимость. Например:

  • Актив: ноутбук
  • Угроза: кража
  • Уязвимость: сотрудники не знают, как защитить свои мобильные устройства
  • Стоимость актива: 2 (по шкале от 0 до 4)
  • Значение угрозы: 2 (по шкале от 0 до 3)
  • Значение уязвимости: 2 (по шкале от 0 до 3)

Расчет риска делается путем сложения или умножения. Если Вы используете шкалу «низкий-средний-высокий», то это тоже самое, что и использование 0-1-2, поэтому у Вас все еще есть числа для расчета.

Расчет риска с помощью сложения:

  • Простая оценка риска: последствия (3) + вероятность 3) = риск (6)
  • Детальная оценка риска: стоимость активов (2) + Значение угрозы (2) + Значение уязвимости (2) = риск (6)

В детальной оценке рисков использована шкала от 0 до 4 для оценки стоимости активов и меньшие шкалы от 0 до 2 для оценки угроз и уязвимостей. Это связано с тем, что вес следствия должен быть таким же, как вес вероятности, потому что угрозы и уязвимости совместно “представляют” вероятность, их максимальная добавленная стоимость равна 4, такая же, как и для значения следствия.

После того, как Вы рассчитали риски, Вы должны оценить, являются ли они приемлемыми или нет, а затем перейти к следующему шагу – обработка рисков.

4. Внедрение обработки рисков информационной безопасности.

Цель обработки рисков - контролировать опасности, выявленные в ходе их оценки. В большинстве случаев это будет означать снижение риска путем снижения вероятности инцидента (например, ламинирование документации/использование герметичной упаковки) и/или уменьшения воздействия на активы (например, герметичные двери). При рассмотрении рисков организация должна сосредоточиться на тех, которые не являются приемлемыми. В противном случае будет трудно определить приоритеты и финансировать смягчение всех выявленных рисков.

Варианты обработки риска:

  • Снижение риска – является наиболее распространенным и включает в себя внедрение гарантий (средств контроля), таких, как системы защиты от протечек и залива. Для этой цели используются элементы управления из приложения А к ISO/IEC 27001 и любые другие элементы управления, которые компания считает целесообразными.
  • Избежание риска – прекращение выполнения определенных задач или процессов, если они несут риски, которые просто слишком велики, чтобы смягчить их с помощью любых других вариантов. Например, Вы можете запретить использование ноутбуков за пределами помещений компании, если риск несанкционированного доступа к этим ноутбукам слишком высок, или внедрить средства криптозащиты для данных устройств.
  • Передача риска – это означает, что Вы переадресуете риск другой стороне. Например, Вы покупаете страховой полис для Вашего здания, тем самым передавая часть Вашего финансового риска страховой компании. К сожалению, этот вариант не имеет никакого влияния на сам инцидент, поэтому лучшей стратегией является использование этого варианта вместе с вариантами 1 и/или 2.
  • Сохранение риска – наименее желательный вариант, означающий, что Ваша организация принимает риск и ничего не предпринимает по этому поводу. Этот вариант следует использовать только в том случае, если затраты на смягчение последствий будут выше, чем ущерб, который понесет данный инцидент.

    Когда Вы выбираете вариант снижения риска, Вы должны реализовать один из трех типов управления:

    a. Определение новых правил - правила документируются с помощью планов, политик, процедур, инструкций и т. д.

    b. Внедрение новых технологий - например: системы резервного копирования, места аварийного восстановления для альтернативных центров обработки данных.

    c. Изменение организационной структуры - например: введение новой должностной функции или изменение обязанностей существующего персонала.

Чтобы повысить шансы выбора наиболее эффективных вариантов обработки и контроля, следует рассмотреть возможность привлечения специалистов в смежных областях (например, IT-персонал для IT -контроля; HR-специалисты, если обработка включает тренинги и т. д.). И такие решения потребуют участия руководства соответствующего уровня. Если у Вас есть сомнения относительно того, кто это может решить, проконсультируйтесь с инициатором проекта со стороны руководства.

После того, как способы обработки выбраны, Вы должны оценить остаточный риск для каждого неприемлемого риска, выявленного ранее в ходе оценки риска. Например, если Вы определили последствие уровня 4 и вероятность уровня 4 во время оценки риска (что будет означать риск 8 методом сложения), Ваш остаточный риск может стать 5, если Вы оценили, что следствие снизится до 3, а вероятность до 2 из-за благодаря гарантиям, которые Вы запланировали реализовать.

После завершения обработки рисков Вы можете обобщить данные в отчете об оценке и обработке рисков, чтобы дать подробный обзор процесса и выполнить требования стандарта для сохранения информации о процессе оценки и обработки рисков.

5. Важность заявления о применимости

Заявление о применимости является основным связующим звеном между оценкой, обработкой рисков и реализацией Вашей информационной безопасности. В нем Вам нужно будет:

  • Определить меры контроля, которые необходимы по причинам, отличным от любых выявленных рисков (например, из-за правовых или договорных требований).
  • Обосновать включение и исключение средств контроля из Приложения А и других источников.
  • Создать сводную форму применимых мер контроля (114 из Приложения А и любые дополнительные меры), чтобы представить ее руководству и поддерживать ее в актуальном состоянии.
  • Задокументировать, реализован ли уже каждый применимый элемент управления. Хороший вариант (и большинство аудиторов будут требовать его) заключается в описании того, как осуществляется каждый применимый контроль (например, ссылкой на документ или кратким описанием используемой процедуры или оборудования).

Всеобъемлющее представление, содержащееся в заявлении о применимости (что необходимо сделать в области информационной безопасности, почему это необходимо сделать и как это делается), имеет преимущества:

  • Это вынуждает организации систематически планировать свою безопасность, оптимизируя решения относительно расходов (например, закупка нового оборудования или изменение процедуры, или найм нового сотрудника).
  • Хорошо написанное заявление о применимости может уменьшить количество других документов. Например, если Вы хотите задокументировать определенный элемент управления, но описание процедуры для этого элемента управления довольно коротко, Вы можете описать его в заявлении о применимости.
  • Это предоставляет аудиторам рекомендации для понимания подхода организации к обеспечению безопасности и проверки того, реализовали ли Вы свои средства контроля так, как было запланировано. Это центральный документ при проведения выездного on-site аудита.

6. План мер по устранению рисками (план мер управления рисками)

План мер по устранению рисками - это “план действий”, в котором Вам нужно указать, какие меры безопасности Вам нужно реализовать, кто несет за них ответственность, каковы будут сроки и какие ресурсы (финансовые и человеческие) потребуются. Как результат процесса обработки рисков, план мер управления рисками должен быть написан после заявления о применимости, поскольку этот документ определяет средства контроля, которые должны быть реализованы, учитывая всеобъемлющую картину информационной безопасности и не только результаты обработки рисков, но и правовые, нормативные и договорные требования. План мер по устранению рисками является точкой, где заканчивается теория и начинается практическая деятельность в соответствии с ISO/IEC 27001. Хорошая оценка и обработка рисков, а также качественное заявление о применимости даст очень полезный план действий для реализации Вашей информационной безопасности.

Основные выгоды от управления рисками:

  • От стратегического подхода к управлению рисками: создание и распределение ресурсов правильным образом и в нужное время с учетом не только потребностей компании, но и потребностей клиентов и других заинтересованных сторон.
  • Четкость ролей: высшее руководство, технический персонал, конечные пользователи, эксперты – все люди, занимающиеся информационной безопасностью, должны иметь определенные функции (например, принимать решения, определять риски, следовать процедурам и т. д.). Это один из наиболее экономически эффективных способов снижения рисков информационной безопасности, ведь каждый человек будет знать, чего от него ждут.
  • Действия, соответствующие воспринимаемым угрозам: один и тот же сценарий риска может привести к различным подходам разных компаний, в зависимости от их потребностей и ожиданий, поэтому просто копировать чужой подход неразумно. Компании должны рассмотреть и определить свои собственные пределы, чтобы их действия в отношении рисков были согласованы с их целями.

Заключение

Риск – это «влияние неопределенности на цели», поэтому, если Вы каким-либо образом управляете неопределенностью, Вы можете эффективно снизить риск для Вашего бизнеса. С точки зрения стандарта ISO/IEC 27001 это означает, что информация может быть эффективно защищена и использована, чтобы помочь бизнесу достичь своих целей. Систематически выявляя, анализируя, оценивая и рассматривая полный перечень соответствующих рисков, можно предотвратить нежелательные ситуации и свести к минимуму негативные последствия. Определяя и выполняя управление рисками, Вы эффективно узнаете о потенциальных проблемах до того, как они фактически произойдут. Т.е. стандарт ISO/IEC 27001 при управлении рисками напоминает Вам: лучше перестраховаться, чем потом жалеть!

Наши эксперты обладают богатым опытом выявления рисков во многих отраслях бизнеса. Позвоните нам и мы подберем нужный именно Вам вариант оптимизации!