Модель управления рисками нарушения информационной безопасности компании будет строится с опорой на общую механику контроля за рисками конкретного бизнеса. 

Может реализовываться одна из трех концепций:

• ситуационное реагирование;
• опора на рекомендации регуляторов;
• опора на международные стандарты.

Ситуационное реагирование

Если компания не является оператором персональных данных, на деятельность которого распространяются серьезные требования регуляторов, не обрабатывает биометрическую или медицинскую информацию, а количество учетных записей пользователей невелико, то в своей деятельности она редко использует модель управления рисками информационной безопасности, опираясь на стратегические концепции.

Путь минимизации усилий в ситуации отсутствия жестких требований регуляторов, но с намерением сократить негативные последствия утечек информации и хакерских атак строится с использованием следующих механизмов:

• создание релевантной модели угроз с оглядкой на текущую ситуацию с распространением программ-зловредов;
• выстраивание на предприятии режима защиты коммерческой тайны с созданием перечня документов и данных, относящихся к этой категории, и перечня лиц, имеющих допуск к использованию и обработке этих документов; 
• установка и обновление файрволов и антивирусов, встроенных в операционные системы, и дополнительное приобретение автономного ПО, для обеспечения безопасности;
• использование шифрования данных при необходимости.

Наряду с этими очевидными способами минимизации рисков применяются стандартные методики служб безопасности и отдела кадров, направленные на поддержание уровня информационной защиты: 

• информирование и обучение, его персонала о наличии рисков информационной безопасности;
• внесение в трудовые договоры условия о соблюдении режима коммерческой тайны;
• материальное стимулирование персонала за сознательное отношение к безопасности данных;
• обеспечение пропускного режима и видеонаблюдения на предприятии;
• обеспечение контроля за использованием мобильных устройств и съемных носителей информации;
• разработка и принятие локальных нормативных актов, определяющих основные регламенты режима безопасности.

Комплексное внедрение стандартных методик, даже без применения специализированных методов контроля за рисками информационной безопасности, снижает вероятность реализации угроз.

Рекомендации регуляторов

Если компания находится в зоне повышенного риска, простые методики не помогут избавиться от большинства угроз. 

К категории повышенного риска относятся предприятия, которые:

• обрабатывают персональные данные граждан в большом объеме. Сейчас эти сведения наиболее популярны на черном рынке информации;
• относятся к компаниям финансового сектора. Злоумышленников интересует информация о счетах граждан или доступ к ним;
• являются владельцами объектов критической информационной инфраструктуры, работающими в области связи, энергетики, обороны;
• используют АСУ производством. Ее вывод из строя может стать причиной серьезной аварии.

В описанных случаях компаниям придется более серьезно отнестись к собственной стратегии контроля за рисками нарушения информационной безопасности. 

Прежде всего потребуется ориентироваться на требования регуляторов, к которым относятся:

• Центробанк РФ (для банков и компаний, работающих на финансовых рынках);
• Роскомнадзор;
• ФСТЭК РФ;
• ФСБ России.

Государственные ведомства предлагают стандарты для выстраивания системы организационных мер по защите от рисков информационной безопасности, устанавливают правила использования и сертификации программных и технических средств. Выполнение рекомендаций регуляторов иногда оказывается затратным для компаний, особенно при необходимости установки сертифицированного программного обеспечения и аттестации помещений согласно необходимым уровням безопасности. Но эти затраты частично компенсируются. Так, исчезает необходимость самостоятельно создавать технологию управления рисками информационной безопасности, модель угроз и перечень необходимых мер защиты. 

Международные стандарты

Компании, работающие на международном рынке, в вопросах контроля рисками нарушения информационной безопасности ориентируются на международные стандарты – ISO, OCTAVE, CRAMM, RA2. Отраслевая методика Банка России РС БР ИББС 2.2. также может быть применена для предприятий нефинансового сектора. 

Стандарты внедряют систему менеджмента рисков, основанную на: выявлении, оценке, принятии, обработке, оценке последствий.

Каждый этап взаимодействия с рисками регламентируется, в результате реализации методики можно получить количественные показатели эффективности проделанной работы. После внедрения системы компания может заказать сертификацию своей деятельности на соответствие методикам. Такая сертификация окажется серьезным конкурентным преимуществом, если организация работает в секторе международной экономики, где вопросам защиты информации уделяется повышенное внимание.

Применяемые методики контроля за рисками делятся на две группы – качественные и количественные. Они позволяют оценить вероятность наступления рисков и степень опасности их последствий, объем ущерба, который может быть причинен организации.

Есть два обязательных условия сертификации организации по международной системе управления рисками информационной безопасности:

• создание отдельного подразделения, отвечающего за оценку рисков;
• принятие политики оценки рисков и контроля за ними.

Документ может носить иное название, но суть его однозначна – исчерпывающий перечень регламентов по контролю за информационными рисками. 

Обязательные разделы политики:

• цели управления рисками, например, их минимизация или принятие;
• используемые процессы управления рисками;
• критерии оценки ущерба;
• критерии оценки рисков;
• функциональные задачи подразделений.

Политика утверждается на уровне руководства компании и обязательна для исполнения всеми подразделениями. 

Среди объектов, находящихся в сфере интересов компании, риски могут оцениваться согласно следующим их группам:

• информационная система и информационные массивы;
• сервисы и приложение;
• бизнес-процессы;
• оборудование и его работоспособность;
• персонал;
• облачные сервисы;
• партнеры и клиенты.

Следует учитывать, что при высоком уровне защиты информационной системы компании злоумышленники в поиске информации о ней могут подвергнуть атакам ИС ее поставщиков. Профессионалы в сфере информационной безопасности, рекомендуя механизм внедрения методики управления рисками, считают необходимым ограничиться на первом этапе создания системы одним объектом, например, информационной базой или вспомогательным бизнес-процессом. Отработка технологии на нем позволит выявить уязвимые места системы управления компанией и информационными процессами в ней и при масштабировании технологии, расширении сферы ее работы на другие объекты избежать ошибок и неэффективной траты ресурсов. После апробации технологии система контроля за рисками информационной безопасности должна быть распространена на все объекты компании и ее подразделения.

Последовательность действий

На первом этапе разработки и внедрения СУИБ необходимо провести работу по выявлению и описанию рисков и идентификации активов, которые должны защищены. Информационные активы могут быть ранжированы по степени их ценности для организации и по иным критериям, например, относятся ли они к данным, подлежащим защите на основании закона.

Обычно в организации есть следующие группы активов, в отношении которых должна реализовываться система управления рисками информационной безопасности:

• персональные данные;
• стратегические планы компании;
• клиентские базы данных;
• ноу-хау и научные разработки;
• служебная тайна.

В целях защиты этих групп информации необходимо ввести на предприятии режим коммерческой тайны, тогда его нарушителей можно будет привлечь к различным видам ответственности – от дисциплинарной до уголовной. Перечень выявленных активов, подлежащих защите, должен стать приложением к политике контроля за рисками. Дополнительно необходимо указать владельца каждого информационного актива, назначить сотрудника или подразделение, которое будет нести ответственность за безопасность данных.

Наряду с определением активов и их владельцев необходимо описать бизнес-процессы, связанные с защитой от рисков. Использование специальных программ для описания бизнес-процессов поможет их оптимизировать, сократить лишние звенья организационной цепочки или персонал, снизить расходы. Описание процессов, связанных с информационной безопасностью, может стать отправной точкой для оптимизации всех бизнес-процессов организации.

Определяя ценность информационного актива и меры, направленные на его защиту, их стоимость, необходимо исходить из принципа соизмеримости. Степень ущерба может быть разной – от низкой до значительной, и это ранжирование может не совпадать с грифами конфиденциальности информации. Если для незначительного ущерба некоторые меры защиты информации могут оказаться избыточными, для объекта критической ценности необходимо принимать все доступные меры. 

К критическим активам относятся: 

• государственная тайна, если она доступна компании в связи со спецификой ее деятельности;
• информация об активах, счетах, вкладах, иных материальных активах;
• научные исследования, новые разработки;
• персональные данные.

Крайне важно подтвердить оценку информационного актива. Это можно сделать, заказав услуги независимого оценщика, который определит его стоимость на основе рыночной, затратной и доходной методик. Такая оценка поможет в судебном споре, если для возмещения причиненного ущерба потребуется доказать его размер. 

Оценивая угрозы и риски, необходимо исходить из двух критериев:

• вероятность реализации угрозы;
• степень ущерба, который может быть причинен угрозой.

Количественная оценка рисков и потенциала их реализации более важна и точна, чем качественная. Но некоторые информационные активы не могут быть оценены только с количественной точки зрения. Это побуждает при выстраивании в компании системы контроля за рисками нарушения информационной безопасности ориентироваться на сбалансированный подход. Такое комплексное решение, соединяющее национальные и международные стандарты, поможет повысить уровень информационной безопасности в организации.

21.05.2020