Информационные риски компании - Информационная безопасность на предприятии

При внедрении системы управления информационной безопасностью в организацию, для аудиторов камнем преткновения обычно является система управления рисками. В данной главе мы подробно познакомимся с понятием рисков, а также способами управления ими.

Специалисты информационной безопасности не могут прийти к консенсусу при вопросе управления рисками. Кто-то отрицает те или иные методы оценки рисков, другие отрицают целостность анализа и управления рисками в целом. Есть и специалисты, которые утверждают, что компания не достаточно времени уделяет объективному анализу активов компании, таких как репутация компании. Отдельный класс специалистов предлагают тратить на процедуру обеспечения информационной безопасности столько денег, сколько осталось в бюджете.

Риски подразумевают под собой причинения какого-либо ущерба в тот или иной момент времени. Это может быть как прямой ущерб, так и косвенный. При прямом ущербе можно привести пример попадание молнии в один из зданий компании, либо обесценивания некоторых ценных бумаг. Косвенный ущерб обозначает тот факт, что компания не заключила контракт с какой-либо компанией и не получила возможной прибыли.

Для достижения любых целей, организация использует несколько категорий ресурсов, которые именуются активами. "Активы - это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем". Другими словами, актив это вся ценность организации, которая приносит ей доход. Существует несколько типов активов:

    - Материальные; - Финансовые; - Людские; - Информационные; - Процессы.

Последний тип активов был определен из современных международных стандартов. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. Среди других важных активов компании стоит выделить имидж и репутацию. Данные активы приносят доходы компании косвенным способом, привлекая клиентов, ведь репутация и имидж - это активы, обладающие широко распространяемой информацией. Одной из основных целей информационной безопасности является защита имиджа компании, так как под имиджем компании часто понимается конфиденциальная информация, которая при ее утечке, может обрушить экономику предприятия.

Нарушение безопасности предприятия может затронуть сразу несколько групп активов организации. Например, произошел сбой сервера. Данный инцидент негативно влияет на доступность различных приложений, как и у сотрудников компании, так и у клиентов. Все это приводит к дефициту работников на определенном участке в компании, вызывая потребность в оптимизации бизнес - процессов. Таким образом, сбой сервера может привести к потере имиджа компании.

Все активы довольно важны для предприятия. Однако каждая компания разделяет все группы активов на два типа:

    - Основные активы; - Вспомогательные активы.

Определение данных активов не составит особого труда, ведь основными активами, компания считает те активы, вокруг которых организован бизнес компании.

Например, компания занимается продажей квартир и дачных участков. Для такой организации основным активом может служить материальный актив. Среди вспомогательных активов сюда можно отнести людской.

Риски потери одного из основных активов могут привести к потере бизнеса в целом. По этой причине, руководство организации лично следит за его работоспособностью.

Так как управления рисками являются, для большинства компаний, не основным элементом управления бизнесом, в практике применяются три основных подхода управления рисками:

    - Для некритичных систем; - Для критичных систем; - Бизнес компании построен вокруг информационных активов.

В случае с некритичными системами, когда информационные активы являются вспомогательными, а уровень информации низок, есть лишь минимальная необходимость в оценке рисков. Для таких организаций необходима лишь базовая защита информации, которая будет соответствовать нескольким стандартам информационной безопасности. Более того при оценке рисков по стандартам, стоит помнить об экономической целесообразности применения тех или иных стандартов для данной организации.

При наличии критичной системы в организации, когда информационные активы не являются основными, однако информация очень необходима для бизнес-процессов, атака на информационный актив может сильно повредить один из основных бизнес - процессов компании. В таких случаях необходима оценка рисков, уделяя при этом больше времени на отдельные критичные информационные системы, которые более всего могут поддаваться нападению хакера.

В том случае, когда бизнес компании построен вокруг информационных активов, они относятся к основным, что означает тот факт, что для оценки таких рисков необходимо применять формальных полный подход.

При выборе похода оценки рисков предприятия стоит также помнить об уровнях зрелости анализируемой компании. "Управление рисками ИБ представляет собой непрерывный процесс, обеспечивающий выявление, оценку и минимизацию рисков от реализации угроз информационной безопасности, направленных на активы организации". По степени зрелости организаций можно выделить некоторые из них, которые определены стандартами COBIT и другими:

    - На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность. - На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ. - Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т. к. отсутствует базовый элемент этой системы - процессы управления рисками. - "Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования".

Процессная модель управления рисками

Недавно был принят британский стандарт BS 7799 Часть 3 - Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Данный стандарт предоставляет рекомендации по оценке и управлению рисками компании, используя при этом процессную модель, которая используется в других стандартах управления информационной безопасностью.

Данная процессная модель включает в себя следующие группы процессов:

    - Планирование; - Реализация; - Проверка; - Действия.

Стоит отметить, что стандарт ISO 27001, описывает цикл управления информационной безопасностью, в то время как BS 7799 - 3 описываются процессы управления рисками информационной безопасности.

Процесс планирование подразумевает под собой оценку рисков, которая включает в себя инвентаризацию активов, составление профилей угроз и уязвимостей, а также предоставление оценки об эффективности мер против возможного ущерба.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Организация принимает одно из решений:

    - Проигнорировать; - Избежать; - Передать; - Минимизировать.

После этого производится и происходит процесс внедрения плана обработки рисков.

На следующем этапе происходит отслеживание механизмов контроля на их функционирование. Также контролируются факторы риска, такие как: активы, угрозы и уязвимости. Конечным шагом данного этапа является проведение аудитов.

На этапе действия, по результатам предыдущих шагов, выполняются необходимые корректирующие действия, которые могут включать в себя:

    - Процесс оценивания величины рисков; - Изменение политики и методологии оценки рисков; - Изменение плана обработки рисков.

Факторы риска

При анализе рисков не стоит забывать и об анализе факторов риска для принятия правильных решений по обработке рисков. Факторы риска - это основные параметры при оценке рисков. Стоит выделить все параметры:

    - Актив - Ущерб - Угроза - Уязвимость - Механизм контроля - Размер среднегодовых потерь - Возврат инвестиций

Каждая компания производит анализ и оценку данных факторов при помощи методологии исследуемой организации. Стоит отметить, что общий подход к анализу практически одинаковый.

Процесс оценки рисков состоит из двух фаз. В первой фазе, которая называется анализ рисков, необходимо проделать следующее:

    - Узнать, что является основным активом компании; - Узнать реальную ценность данного актива; - Провести анализ угроз относительно данного актива; - Провести анализ ущерба и других угроз в случае нарушения информационной безопасности основного актива; - Узнать, как сильно уязвим бизнес при данных угрозах; - Проанализировать среднегодовые потери.

Вторая фаза носит название оценивание рисков. После анализа рисков, аудиторы получают риски, которые превышают допустимый уровень. В данной фазе происходит процесс обработки риска, и проделываем следующее:

    - Выбираем вариант обработки риска; - Анализ механизмов контроля при минимизации риска; - Анализ эффективности выбранных механизмов контроля и инвестиций.

После принятия решения по обработке рисков, для того, чтобы руководство могло принять правильное решение, ответственный за управление рисками в компании должен предоставить ему информацию. Данная информация должна включать в себя:

    - Сообщение о проблеме. Источник проблемы и способ реализации; - Степень серьезности проблемы. Возможные потери для предприятия; - Предлагаемое решение. Анализ действий для исправления ситуации вместе с возможным финансовым планом на реализацию данного решения; - Альтернативные решения. Предоставление других способов решения проблемы.

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Похожие статьи




Информационные риски компании - Информационная безопасность на предприятии

Предыдущая | Следующая