В одной из наших предыдущих статей шла речь об идентификации и оценке рисков информационной безопасности (ИБ). Теперь, когда мы рассмотрели вопросы определения рисков, классификации активов ИБ, выявления угроз и уязвимостей ИБ, вероятности реализации и степени воздействия угроз перейдем к следующим этапам формирования системы риск-менеджмента.

Сразу хотелось бы заострить внимание на главных принципах построения системы управления. Прежде всего, это следование процессному подходу, т.е. обеспечение целостности и непрерывности управления, когда, во-первых, различные функции менеджмента взаимосвязаны между собой, а, во-вторых, постоянно актуализируются и совершенствуются. Именно использование процессного подхода лежит в основе всех стандартов Международной организации по сертификации (ISO). Наличие единой платформы для стандартов позволяет интегрировать подсистемы управления в общую систему. Применительно к информационной безопасности данная тема рассматривалась нами в рамках отдельной статьи об особенностях стандартов семейства ИСО 27000. Кроме того, существуют национальные отраслевые стандарты, которые обобщают требования к системе менеджмента организации. Так для предприятий оборонно-промышленного комплекса действует государственный военный стандарт ГОСТ РВ 0015-002-2012 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования», отражающий специфику обеспечения качества на всех стадиях жизненного цикла военной продукции.

Приведем пример типовой ошибки нарушения процессного подхода. Согласно п. 7.4 ГОСТ РВ 0015-002-2012 предприятие ОПК должно обеспечивать соответствие закупленной продукции требованиям к закупкам, а также предъявлять требования по отношению к поставщикам. На практике эти две функции могут быть в управлении разных сотрудников или подразделений и не согласовываться между собой. Получается, при корректной оценке риска закупаемой продукции и риска взаимодействия с поставщиками по отдельности, риск закупки возможно определить неверно, заключив договор на поставку качественной продукции с некачественным поставщиком и наоборот. Аналогичные ситуации возникают и в сфере информационной безопасности.

После оценки рисков ИБ и определения их категорий формируется стратегия реагирования на эти риски. В общем случае стратегия сводится к определению порядка работы с рисками. Естественно, если меры по предотвращению и нейтрализации рискового события очевидны, то разрабатываются мероприятия по его предупреждению и минимизации последствий в случае реализации угрозы. Иначе риск приходится принимать. Риск также целесообразно принимать, когда затраты на действия по реагированию на риск превышают ущерб от его реализации.

В соответствии со степенью риска и методами управления (принятие или минимизация) создается «План обработки рисков». Подробное содержание данного документа рассматривается в нашей статье посвященной документальному оформлению управления информационной безопасности. План делится на два блока, определяющих мероприятия по предупреждению риска и мероприятия по реагированию на риск, а также содержит описание предпринимаемых действий и перечень ответственных лиц.

Мероприятия, включаемые в план по предупреждению рисков, можно сгруппировать в зависимости от периодичности и условий выполнения. Выделяют три категории:

  • периодические мероприятия (чаще всего планово-предупредительные работы);
  • мероприятия, выполняемые при условии (например, ввод в действие новых систем);
  • мероприятия, имеющие конкретные сроки реализации (могут выполняться в рамках самостоятельных проектов или как предупреждающие действия).

При идентификации события или инцидента ИБ выполняются мероприятия определенные планом реагирования на соответствующее рисковое событие. В случае если при выполнении всех мероприятий по плану угроза не устранена, производится эскалация проблемы на более высокий уровень управления, где проводится дополнительный анализ и принимается решение о необходимых действиях.

В целях актуализации процедуры управления рисками информационной безопасности необходимо регулярно проводить анализ рисков, т.е. осуществлять мониторинг. Периодичность этих действий зависит от процессов и технологий, используемых предприятием, и может существенно варьироваться. Однако в большинстве случаев рекомендуется анализировать риски не реже чем раз в полгода.

Риски могут выявляться из множества источников: в процессе рабочей деятельности предприятия, по результатам аудитов технологических процессов, по итогам анализа инцидентов, по итогам анализа событий ИБ, по итогам анализа проблем защиты информации, по итогам анализа жалоб клиентов и т.п. Регулярный анализ рисков основывается на анализе событий, произошедших за прошедший временной период (например, в предыдущие полгода):

  • анализ существенных изменений в связи с известными угрозами, выявление новых угроз и уязвимостей;
  • анализ инцидентов и проблем, зафиксированных в течение прошедшего периода;
  • анализ результатов тестирования и применения планов предупреждения и реагирования на риски;
  • анализ публикаций и аналитических материалов в области информационных технологий об уязвимости программного обеспечения, выпущенных исправлениях, новых вирусах, интернет-безопасности и т.д.

Результатом анализа рисков может быть:

  • выявление новых уязвимостей и угроз, в этом случае осуществляется оценка их вероятности реализации и степени воздействия, определение и оценка новых рисков;
  • переоценка существующих рисков;
  • разработка новых планов по предупреждению и реагированию на риски в случае выявления новых рисков, относящихся к категории, требующей принятия мер по предупреждению и реагированию, а также при переоценке ранее «принятых» рисков с повышением их категории;
  • оценка эффективности мероприятий по предупреждению и реагированию на риски;
  • изменение существующих планов по предупреждению и реагированию на риски в случае такой необходимости.

В случае выявления новых рисков в процессе деятельности или при выявлении необходимости в переоценке существующих рисков, изменении или разработке новых планов по предупреждению и реагированию на риски может проводиться внеочередная оценка рисков.

Таким образом, выстраивается цикл управления, содержащий этапы по планированию, выполнению, контролю и корректировке, известный под названием «цикл Деминга» по фамилии одного из его авторов. Здесь, возникает ряд неких смысловых противоречий при переводе на русский язык. Цикл – замкнутый круг, а процессный подход обеспечивает непрерывность. Что правильнее «контроль» или «обучение»? Наш взгляд на данную проблематику отражен в статьях «На столько ли он Деминг, чтобы быть Русским!» и «Время – это плоский круг?». Собственно цикл PDCA определяет процессы управления систем менеджмента, не исключение и стандарт ИСО 27001, содержащий требования к системе управления информационной безопасностью (СУИБ). Национальным стандартом, соответствующим ISO/IEC 27001:2013, является ГОСТ Р ИСО/МЭК 27001-2006.

Отметим, что в семействе ИСО 27000 именно стандарт ИСО 27001 регламентирует требования к СУИБ, поэтому используется для сертификации. Аудит и сертификация систем менеджмента может проводиться для любых организаций, однако есть ситуации, когда это становится обязательным требованием. Так для предприятий оборонно-промышленного комплекса, участвующих в государственном оборонном заказе (ГОЗ), обязательно внедрение и документальное оформление порядка соблюдения информационной безопасности. Узнать подробности о проведении аудита СУИБ и получении сертификата по стандарту ГОСТ Р ИСО/МЭК 27001-2006 в соответствии с требованиями ГОСТ РВ 0015-002-2012 можно на соответствующем разделе нашего сайта. Закажите консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.

 

Лицензия на деятельность в сфере государственного оборонного заказа

arrows

Подробнее

Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии МинПромТорга (ВВТ)

arrows

Подробнее

Сертификация по стандарту ISO 27001 (ГОСТ Р ИСО 27001)

arrows

Подробнее