рискова диета
Очевидно целта на всеки бизнес е печалба. Неговият размер и самата възможност за реализиране на печалба се влияят от оперативни рискове, частен случай от които са рисковете за информационната сигурност. Следователно стратегическата задача на услугите за информационна сигурност е да управляват рисковете за информационната сигурност, за да ги поддържат на приемливо ниво. Но това е само част от крайъгълния камък на корпоративното управление на ИС, който включва организация на процесите на ИС, осигуряване на съответствие със законовите изисквания и т.н. На тези въпроси беше посветен уебинар, проведен на портала на BISA през лятото. Предизвика голям интерес и решихме отново да се обърнем към темата за управлението на риска за информационната сигурност – вече на страниците на списанието.
Как да измерим апетита
„Това, което не може да се измери, не може да се управлява“, казва американският бизнесмен Джак Уелч. Тези думи с право могат да бъдат приписани на областта на управлението на риска за информационната сигурност.
За измерване на рисковете за информационната сигурност е препоръчително да изберете най-разбираемия индикатор за бизнеса - парите. Тогава отделът по информационна сигурност ще има възможност да разговаря с бизнес лидерите на разбираемия за тях език за паричните загуби от реализирането на рисковете и начините за тяхното минимизиране. Този подход позволява например:
класифицира рисковете и избира за по-нататъшно разглеждане и вземане на решения само тези от тях, чието ниво е по-високо от приемливото (приемливото ниво се нарича"апетит към риск" );
икономически обосновете всеки от предложените начини за намаляване на рисковете;
оценява ефективността на инвестициите в предприетите мерки за намаляване на рисковете;
прозрачен избор на мерки за намаляване на риска и бюджетни разходи за информационна сигурност въз основа на оценки на нивата на риск и инвестиции в инструменти за намаляване на риска;
Поддържайте нивата на риск в съответствие с апетита за риск с минималниразходи.
За да постигне такива резултати, служителят, който отговаря за управлението на риска за информационната сигурност в компанията, ще трябва да премине през труден път. Той трябва да определи рисковия апетит, да идентифицира и анализира рисковете, да ги класифицира, да разработи план за третиране на рисковете за информационната сигурност, да приложи мерки за тяхното третиране, да оцени ефективността на предприетите мерки.
Риск + Апетит = … Консилиум
Приемливото ниво на рисковете (същият апетит за риск), изразено в пари, е основата за вземане на решения за мерки за управление на риска. Въз основа на този критерий се определя кои от идентифицираните рискове трябва да бъдат безусловно приети и изключени от по-нататъшно разглеждане и кои трябва да бъдат подложени на допълнителен анализ с последващ избор на едно от четирите решения: избягване, приемане, прехвърляне или намаляване на риска.
Добра практика е нивото на риск-апетит да се определя и одобрява от колегиалния орган, отговарящ за управлението на информационната сигурност в компанията. Този орган трябва да има достатъчна компетентност за вземане на едно от изброените решения и правомощия да разпределя ресурсите, необходими за намаляване на рисковете и прилагане на планове за тяхното третиране. Този орган може да включва мениджъри и служители на компанията, които отговарят за управлението на ИТ, занимаващи се с проблемите на сигурността на бизнеса, осигуряване на съответствието му с регулаторните изисквания и правна подкрепа, управление на информационната сигурност и корпоративните рискове, организиране на вътрешен одит и контрол.
При определяне на риск-апетита трябва да се вземе предвид нивото на приемливите загуби, последствията за бизнеса, ако рискът бъде реализиран и цялостната ситуация в компанията. След одобрение на рисковия апетит, неговата стойност се използва за по-нататъшно управление на риска за информационната сигурност в предприятието.
Диагноза и план за лечение
Рисковете за информационната сигурност, както всеки друг, не могат да „висят във въздуха“. По същество рисковете за информационната сигурност са комбинация от потенциалните щети от дадено събитие и вероятността то да се случи. Ако разглеждаме не всички активи на компанията, а техния частен случай – ИТ активите, то за идентифицирането и последващия анализ на рисковете ни е необходима информация за критичността на определени ИТ активи за бизнес процесите.
Такава информация може да бъде получена от представители на бизнес единиците, които притежават бизнес процесите. Тези хора знаят по-добре от всеки друг колко печалба носи всеки бизнес процес, какви сложни ИТ активи (информационни системи) се използват в предприятието, колко влошава възможността за реализиране на печалба, когато наличността на IS е нарушена или поверителността и целостта на информацията, обработвана от IS в рамките на бизнес процеса. Без тази информация е невъзможно да се изчислят рисковете.
Познавайки бизнес стойността на всеки бизнес процес и приноса на ИС за всеки бизнес процес, може да се изчисли бизнес стойността на ИС. Тя трябва да бъде изразена в пари и да се използва за по-нататъшно изчисляване на рисковете за информационната сигурност.
Следващата стъпка е да се извършидекомпозиция на риска от страна на ИТ. Това са рисковете, свързани със сложни ИТ активи (IS), които поддържат бизнес процесите. Те влияят върху ИТ като цяло чрез един или повече компоненти – елементарни ИТ активи (EA). Бизнес отделите знаят какви активи са им необходими за внедряване на бизнес процеси, а ИТ отделите знаят какви компоненти и елементарни активи съставляват IS и как те влияят на бизнес процесите и един на друг. След като се определи бизнес стойността на всеки IS и приносът на всеки от компонентите на EA към работата на IS, е възможно да се изчисли крайната стойност на всеки компонент на IS, да се изрази в пари и да се използва заизчисляване на рисковете от ИВ.
В същото време ИТ служителите и бизнесът виждат определени ценности, а представителите на службите за информационна сигурност виждат рискове. Ако има информация за всички ИТ активи, използвани в бизнес процесите и тяхната бизнес стойност, тогава въз основа на данни от различни източници (като информация за уязвимости от интернет, резултатите от инструментите за анализ на сигурността, резултатите от тестове за проникване, одити за информационна сигурност и т.н.), можем да продължим да идентифицираме и опишем всяка уязвимост на ИТ актив. Например какви заплахи могат да повлияят на поверителността, целостта и достъпността на корпоративните данни чрез една или повече ИТ настройки.
След като идентифицираме заплахите за всеки ИТ актив, ние определяме (използвайки статистиката на инцидентите със сигурността на информацията) вероятността всяка от тези заплахи да бъде реализирана. Ако няма такава статистика или не е достоверна, можете да разчитате на експертните мнения на служителите на компанията. Само като имаме информация за вероятността за реализиране на заплаха и възможните щети от това, изразени в пари за всеки ИТ актив, можем да изчислим размера на риска за информационната сигурност в парично изражение.
Имайки информация за рисковете на всяко ниво на декомпозиция (бизнес процеси, ИС, компоненти на ИС), ние обобщаваме рисковете. Ето как получаваме резултати, които ни позволяват да оценим потенциала за формиране на риск в следните аналитични секции: крайните рискове за бизнес процесите, крайните рискове за IP, крайните рискове за уязвимостите.
Тъй като единствената налична мярка за въздействието на риска на ИТ активите е наличието или липсата на уязвимости,планът за лечение на риска е план за коригиране на уязвимостта. Той включва следната информация: рискове, уязвимости, противодействие на риска или решения, отговорни лица, срокове, бюджет. Веднъж разработен, този план, заедно с доклад заанализът на уязвимостите се предоставя за одобрение на колегиалния орган за управление на сигурността на информацията - както при определяне на рисковия апетит.
Очевидно е, че мерките за третиране на риска се прилагат от служителите, отговорни за тях. Изпълнението на плана и ефективността на въведените мерки се контролират от служителя, отговорен за управление на риска за информационната сигурност. Коректността на процеса на управление на риска за информационната сигурност като цяло се контролира от звеното за вътрешен контрол и одит.