Ризикова дієтологія
Очевидно, що мета будь-якого бізнесу – отримання прибутку. На її розмір і можливість отримання прибутку впливають операційні ризики, окремим випадком яких є ризики ІБ. Отже, стратегічне завдання служб ІБ - управління ІБ-ризиками для їх утримання на прийнятному рівні. Але це – лише частина наріжного каменю корпоративного управління ІБ, що включає і організацію процесів ІБ, і забезпечення відповідності вимогам законодавства, та ін. Даним питанням був присвячений вебінар, проведений влітку на порталі BISA. Він викликав велику цікавість, і ми вирішили знову звернутися до теми управління ІБ-ризиками – вже на сторінках журналу.
Як виміряти апетит
"Що неможливо виміряти, тим неможливо керувати", - стверджує американський бізнесмен Джек Уелч. Ці слова з повним правом можна віднести і до сфери управління ІБ-ризиками.
Для вимірювання ІБ-ризиків доцільно вибрати найбільш зрозумілий для бізнесу показник – гроші. Тоді у підрозділу ІБ з'явиться можливість говорити з бізнес-керівниками зрозумілою для них мовою грошових втрат від реалізації ризиків та способів їх мінімізації. Цей підхід дозволяє, наприклад:
ранжувати ризики і вибирати для подальшого розгляду та прийняття рішень тільки ті з них, чий рівень виявляється вищим за прийнятний (допустимий рівень називають «ризик-апетитом» );
економічно обґрунтовувати кожен із запропонованих способів зниження ризиків;
оцінювати ефективність інвестицій у заходи, що вживаються для зниження ризиків;
Прозоро вибирати заходи зниження ризиків та бюджетувати витрати на ІБ, ґрунтуючись на оцінках рівнів ризиків та обсягів інвестицій в інструменти їх зниження;
Підтримувати рівень ризиків, що відповідає ризик-апетиту, з мінімальнимивитратами.
Для отримання таких результатів співробітнику, який відповідає за управління ризиками ІБ у компанії, доведеться пройти складний шлях. Він повинен визначити ризик-апетит, провести ідентифікацію та аналіз ризиків, ранжувати їх, розробити план обробки ризиків ІБ, реалізувати заходи щодо їх обробки, оцінити ефективність вжитих заходів.
Ризик + Апетит = …Консиліум
Прийнятний рівень ризиків (той самий ризик-апетит), виражений у грошах, є основою рішень щодо заходів управління ризиками. Саме на основі цього критерію визначається, які з виявлених ризиків потрібно беззастережно прийняти та виключити з подальшого розгляду, а які піддати подальшому аналізу з наступним вибором одного з чотирьох рішень: уникнення, прийняття, передача чи зниження ризику.
Хорошою практикою є визначення та затвердження рівня ризик-апетиту колегіальним органом, відповідальним за управління ІБ у компанії. Цей орган повинен мати достатні компетенції для прийняття одного з перерахованих рішень та повноваження щодо виділення ресурсів, необхідних для зниження ризиків та реалізації планів їх обробки. До складу цього органу можуть входити керівники та співробітники компанії, які відповідають за управління ІТ, займаються питаннями безпеки бізнесу, забезпечують його відповідність нормативним вимогам та юридичну підтримку, управління ІБ та корпоративними ризиками, організацію внутрішнього аудиту та контролю.
При визначенні ризик-апетиту слід брати до уваги рівень допустимих втрат, наслідки для бізнесу за можливої реалізації ризику та загальну ситуацію в компанії. Після затвердження ризик-апетиту його значення використовується для подальшого управління ризиками ІБ на підприємстві.
Діагностика та план лікування
Ризики ІБ, як і будь-які інші, не можуть «висіти у повітрі». По суті, ІБ-ризики є комбінацією потенційної шкоди від події та ймовірності її наступу. Якщо розглядати не всі активи компанії, а їх окремий випадок – ІТ-активи, то для ідентифікації та подальшого аналізу ризиків знадобиться інформація про критичність тих чи інших ІТ-активів для бізнес-процесів.
Таку інформацію можна отримати у представників бізнес-підрозділів, які є власниками бізнес-процесів. Ці люди краще, ніж будь-хто інший, знають, скільки прибутку приносить кожен бізнес-процес, які комплексні ІТ-активи (інформаційні системи) використовуються на підприємстві, наскільки деградує можливість отримання прибутку при порушенні доступності ІВ або конфіденційності та цілісності інформації, що обробляється ІВ у рамках бізнес-процесу. Без цієї інформації порахувати ризики неможливо.
Знаючи цінність для бізнесу кожного бізнес-процесу та внесок ІВ у кожен бізнес-процес, можна обчислити цінність ІВ для бізнесу. Її слід висловити у грошовому еквіваленті і використовуватиме подальшого розрахунку ризиків ІБ.
На наступному етапі потрібно виконати декомпозицію ризиків на стороні ІТ. Це ризики, пов'язані з комплексними ІТ-активами, які підтримують бізнес-процеси. Вони впливають на ІТ загалом через чи кілька компонентів – елементарних ІТ-активів (ЕА). Бізнес-підрозділи знають, які активи їм потрібні для реалізації бізнес-процесів, а ІТ підрозділи знають, з яких компонентів та елементарних активів складаються ІС та як вони впливають на бізнес-процеси та один одного. Визначивши цінність для бізнесу кожної ІВ та внесок кожного з компонентів ЕА у роботу ІВ, можна обчислити підсумкову цінність кожного компонента ІВ, висловити її в грошах та використовувати длярозрахунку ризиків ІБ.
При цьому ІТ-співробітники та бізнес бачать ті чи інші цінності, а представники служб ІБ бачать ризики. Якщо є інформація про всі ІТ-активи, що застосовуються в бізнес-процесах, та їх цінності для бізнесу, то можна на основі даних з різних джерел (таких як інформація про вразливості з Інтернету, результати роботи інструментів аналізу захищеності, результати тестів на проникнення, аудиту ІБ та ін.) перейти до виявлення та опису кожної вразливості ІТ-активу. Наприклад, які загрози можуть вплинути на конфіденційність, цілісність та доступність корпоративних даних через один або кілька ІТ-параметрів.
Після виявлення загроз для кожного ІТ-активу визначаємо (з використанням статистики ІБ-інцидентів) можливість реалізації кожної з цих загроз. Якщо такої статистики немає або вона не викликає довіри, можна спертися на експертні думки співробітників компанії. Тільки маючи інформацію про ймовірність реалізації загрози та можливу шкоду від цього, виражену в грошах для кожного ІТ-активу, ми можемо обчислити розмір ІБ-ризику в грошовому еквіваленті.
Маючи інформацію про ризики кожного рівня декомпозиції (бізнес-процеси, ІВ, компоненти ІВ), ми підсумовуємо ризики. Так ми отримуємо результати, що дозволяють оцінити ризик утворюючий потенціал у наступних зрізах аналітики: підсумкові ризики по бізнес-процесам, підсумкові ризики з ІС, підсумкові ризики за вразливістю.
Оскільки єдиним доступним показником впливу рівень ризиків ІТ-активів є наявність чи відсутність уразливостей,план обробки ризиків є план усунення уразливостей. Він включає наступну інформацію: ризики, уразливості, контрзаходи або рішення щодо ризику, відповідальні особи, терміни, бюджет. Після розробки цей план разом зі звітом заналізу вразливостей передається затвердження колегіальному органу управління ІБ – як із визначенні ризик-апетиту.
Очевидно, що заходи щодо обробки ризиків реалізують відповідальні за них співробітники. Виконання плану та ефективність впроваджених заходів контролюються співробітником, який відповідає за управління ІБ-ризиками. Коректність процесу управління ризиками ІБ загалом контролює підрозділ, що відповідає за внутрішній контроль та аудит.