РИСКИ КАК ОБЪЕКТ УПРАВЛЕНИЯ
Большинство современных отечественных и международных стандартов, описывающих систему менеджмента информационной безопасности (ISO 27001, СТО БР ИББС-1.0-2010, PAS99 и т.д.), базируется на следующих принципах:
В данной статье речь пойдет о внедрении системы управления рисками нарушения ИБ в рамках СТО БР ИББС-1.0-2010.
Стандарт Банка России (СТО БР ИББС-1.0-2010) предусматривает наличие в банке системы управления рисками и проведение оценки рисков нарушения ИБ для всех информационных активов области действия СОИБ (системы обеспечения информационной безопасности). Также наличие системы управления рисками подразумевают федеральный закон №161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», Постановление Правительства № 584 от 13 июня 2012 года и нормативные документы Банка России, в том числе Положение №379-П от 31 мая 2012 года.
Внедрение системы управления рисками нарушения ИБ в банке связано с решением определённых задач:
Управление рисками нарушения ИБ включает в себя: определение области оценки рисков, их оценку и обработку, мониторинг и контроль, совершенствование. Это полностью соответствует модели Деминга (см. Схему 1) «планирование – реализация – проверка – совершенствование», которая является основой модели менеджмента стандартов качества.
Схема 1. МОДЕЛЬ ДЕМИНГА ПРИМЕНИТЕЛЬНО К ПРОЦЕССУ УПРАВЛЕНИЯ РИСКАМИ
Условно процесс управления рисками нарушения ИБ можно разделить на 5 последовательных этапов (далее P0–Р4) и этап контроля результатов обработки рисков. Взаимосвязь процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 2.
СХЕМА 2. ВЗАИМОСВЯЗЬ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
ПОЛИТИКА ОЦЕНКИ РИСКОВ
Политика оценки рисков должна:
Этап контроля результатов обработки рисков напрямую зависит от уровня зрелости информационной безопасности в банке, тесно связан с аудитом (внутренним и внешним) и мониторингом ИБ, при взаимодействии которых существенно повышается эффективность СОИБ и контролируется эффективность принятых мер обработки рисков.
Контроль результатов обработки рисков должен охватывать все этапы P0–P4 и сопоставлять результаты обработки рисков с результатами, полученными от аудиторов и подразделений, занимающихся мониторингом информационной безопасности.
Детализированная схема взаимосвязи процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 3.
Схема 3. ДЕТАЛИЗИРОВАННАЯ СХЕМА ВЗАИМОСВЯЗИ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
Рассмотрим подробнее процесс управления рисками нарушения ИБ на этапах Р0–Р4.
ЭТАП P0. Определение, анализ и изменение бизнес-процессов (см.Схему 4) – стартовый этап управления рисками.
Схема 4. ОПРЕДЕЛЕНИЕ, АНАЛИЗ И ИЗМЕНЕНИЕ БИЗНЕС-ПРОЦЕССОВ
Целью данного этапа являются формализация и детальное описание всех бизнес-процессов банка, определение критичных бизнес-процессов с позиций максимального ущерба банку в случае их нарушения (в т.ч. прерывания), а также специфических требований законодательства (ФЗ-152, ФЗ- 224, ФЗ-161, и т.д.) и стандартов (СТО БР ИББС-1.0-2010, PCI DSS и т.д.).
На данном этапе задействованы как сотрудники службы информационной безопасности, так и представители бизнес-подразделений, службы внутреннего контроля и юридической службы. Результатом является документирование информационных потоков, определение состава информации в каждом отдельном бизнес-процессе, а также дополнительных признаков информационных активов, таких как критичность процесса для непрерывности бизнеса, обработка инсайдерской информации.
После обработки недопустимых рисков (этап Р4) в случае принятия решения о внесении изменений в бизнес-процессы, например внедрения новых документов (таких как согласие на обработку персональных данных (далее – ПДн), уведомление о включении лица в список инсайдеров и т.д.), все изменения должны быть утверждены руководством банка, а этап Р0 – проведен заново.
На основании результатов этапа Р0 можно приступать к подготовке полного перечня информационных активов (см. Схему 5).
Схема 5. ПОДГОТОВКА ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
ЭТАП P1. Для подготовки такого перечня необходимо идентифицировать информационные активы и классифицировать их типы.
Информация, относящаяся к каждому из типов информационных активов, документируется в перечне сведений конфиденциального характера (ограниченного доступа).
Информационный актив банка – это информация:
Таблица 1. ПРИМЕР ОФОРМЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
Важными элементами этапа Р1 являются разработка техническо-рабочей документации:
После составления перечня информационных активов, обрабатываемых в информационных системах, можно переходить к следующему этапу P2 (см. Схему 6).
ЭТАП P2. Информационные активы банка рассматриваются относительно информационных систем, в которых происходит обработка данных активов, в совокупности с соответствующими объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды в разрезе каждой информационной системы. При обработке ИИ в системе данный актив рассматривается совместно с БТ и (или) КТ.
Для разных типов активов устанавливаются разные требования к информационной безопасности, в том числе с учётом действующего законодательства.
Разработка модели угроз базируется на следующих принципах:
ПЕРЕЧЕНЬ ИСТОЧНИКОВ И МОДЕЛЬ УГРОЗ
В качестве примера оформления частной модели угроз (далее – ЧМУ), может рассматриваться отраслевая модель угроз безопасности персональных данных (РС БР ИББС-2.4-2010) с указанием конкретного типа нарушителей (на основании модели нарушителя с предположениями о возможностях) и детализации способа реализации угрозы безопасности информационного актива (см. Таблицу 2).
Таблица 2. ПРИМЕР ОФОРМЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ
Формирование перечня источников угроз и моделей угроз проводится с учетом положений СТО БР ИББС-1.0-2010, информационных ресурсов, содержащих сведения централизованной базы инцидентов банка и об уязвимостях информационной безопасности.
ЭТАП P3. Оценка рисков (см. Схему 7) проводится на основе принятой методики. Для организаций банковской системы Российской Федерации, принявших стандарт СТО БР ИББС- 1.0-2010, рекомендуется использовать отраслевую методику Банка России РС БР ИББС-2.2-2009. Также стандарт разрешает использовать и иные методики.
Схема 7. ОЦЕНКА РИСКОВ НАРУШЕНИЯ ИБ
Главное требование к методике – она должна быть наглядной, охватывающей всю ИТ-инфраструктуру и все бизнес-процессы банка, утвержденной руководством и согласованной с подразделениями, занимающимися оценкой операционных рисков. Следовательно, при выборе методики необходимо убедиться, что методика и ожидаемые результаты устраивают все стороны – и того, кто считает риски (т.е. показывает объективную картину состояния ИБ), и того, кому их демонстрируют (т.е. согласована с операционными рисками и утверждена руководством).
Методика оценки рисков нарушения ИБ, подход к оценке рисков нарушения ИБ банка должны определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. То есть для оценки рисков нарушения ИБ должна использоваться качественная и (или) количественная (выраженная
в процентах или деньгах) шкала. Количественные шкалы позволяют сделать результаты оценки рисков более точными, при этом требуя более высокого уровня зрелости существующей СМИБ.
Методика, изложенная в РС БР ИББС-2.2-2009, предполагает использование обеих шкал.
КРИТИЧНОСТЬ ОПРЕДЕЛЯЕТ ПРИОРИТЕТЫ
Для управления рисками в методике должен быть закреплен порядок их обработки.
Одним из способов определения очередности является установление приоритетов рисков, которые зависят от критичности обрабатываемого информационного актива, дополнительных признаков информационных активов, опасности конкретной угрозы в конкретной системе (см. Таблицу 3).
Таблица 3. ПРИМЕР ОПРЕДЕЛЕНИЯ ПРИОРИТЕТОВ
Таблица 4. ПРИМЕР ОФОРМЛЕНИЯ КАРТЫ РИСКОВ
ЭТАП P4. Целью обработки недопустимых рисков (этап Р4) является значительное уменьшение рисков при относительно низких затратах и поддержание принятых рисков на допустимом, низком уровне. По результатам оценки рисков определяется способ обработки каждого из них, являющегося недопустимым.
Возможными вариантами обработки рисков являются:
Решение о применении того или иного способа обработки рисков принимается, исходя из стоимости их реализации, а также ожидаемых выгод от их реализации.
Система управления рисками нарушения ИБ даёт существенный положительный эффект при выстраивании СОИБ, выявлении уязвимостей ИБ и обосновании затрат на информационную безопасность, гарантируя принятие взвешенных решений в области СМИБ и контроль эффективности принятых при обработке рисков решений.
Внедрение системы управления рисками нарушения ИБ для банка – непростая задача, но её выполнение является первым шагом построения эффективной и комплексной системы защиты. Не следует усложнять методики, строить многоуровневые длинные формулы, гнаться за точностью оценок до долей процента и копеек. В основе управления рисками лежат экспертные оценки и статистика. Цель – не предсказание будущего, а выстраивание эффективной системы менеджмента информационной безопасности.
BIS-СПРАВКА
ТЕРМИНЫ СТАНДАРТА БАНКА РОССИИ СТО БР ИББС-1.0-2010:
BIS-КОММЕНТАРИЙ
Павел ХИЖНЯК,
руководитель отдела аудита и консалтинга ЗАО «Практика Безопасности»:
– В статье специалистов по информационной безопасности «Московского Индустриального банка» хорошо и подробно описан процесс управления рисками. С теоретической точки зрения в ней достаточно полно, подробно и грамотно освещены все аспекты этого сложного и трудоёмкого процесса.
Добавлю из собственного опыта: в ходе практического выстраивания риск-менеджмента в организации требуется не только хорошее знание методик, способов оценки и технического бэкграунда. Также нужны хорошо развитые коммуникационные и управленческие способности.
Перед началом внедрения процесса оценки рисков важно заручиться поддержкой высшего руководства компании, в том числе банка, вплоть до акционеров. Достижение взаимопонимания порой требует значительных усилий. Обеспечение информационной безопасности – необходимое условие достижения целей бизнеса, и это нужно объяснить понятным языком, привычной терминологией.
Каждая итерация процесса оценки рисков должна восприниматься руководством как часть корпоративного управления и быть частью глобального менеджмента организации. Ни в коем случае нельзя допустить, чтобы процесс управления рисками воспринимался руководством как часть повседневной работы подразделения информационной безопасности.
Должно присутствовать чёткое понимание: риск-менеджмент является глобальным процессом, на одном уровне с управлением персоналом и финансовой отчётностью. Настолько же важным и обеспечивающим успешность бизнеса в целом.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных