Как применить подходящую методологию управления рисками в информационной безопасности?

Постоянное обучение и повышение осведомленности являются одними из факторов, которые организации должны соблюдать, так как это позволит поддерживать важность информационной безопасности в целом.

Риск в негативном ключе может быть определен как нежелательное последствие, которое может возникнуть при плохом стечении обстоятельств. Вкратце, это влияние неопределенности на цели, как это определено в ISO 31000.

Многие организации подвергаются различным видам рисков. Критические риски должны быть обработаны на профессиональном уровне в рамках системы корпоративного управления, принятой и адаптированной этими организациями. Само собой разумеется, что успех этих организаций в управлении рисками должным образом положительно отразится на рынке, а также на потенциальных доходах, следовательно, на непрерывности бизнеса в долгосрочной перспективе.

Риски, относящиеся к информационной безопасности, находятся в самом начале списка для рассмотрения, так какинформационные системы становятся более чем системами обеспечения в разных сферах деятельности. Организации должны четко определять свою позицию относительно информационной безопасности, чтобы иметь возможность установить подходящие для управления рисками, связанными с их информационными системами, в правильном направлении.

Что такое управление рисками в целом?

Управление рисками описывает решения, которые принимает организация в соответствии с рисками, которые были обнаружены. Целью управления рисками является обеспечение защиты от влияния факторов на усилия организации для достижения успеха в бизнесе.

Во многих организациях управление IT является подпунктом корпоративного управления. В то же время управление рисками рассматривается как часть структуры управления, а одной из важнейших целей руководства является оптимизация рисков.  Следовательно, управление рисками информационной безопасности можно рассматривать в качестве составной части целостной структуры управления рисками, которая, в свою очередь, является частью корпоративного управления.

Успешная стратегия эффективного управления рисками информационной безопасности, начиная с обязательств руководства и до информирования о важности информационной безопасности каждого сотрудника, а также внедрение правильных(соответствующих) технических средств.

Сфера управления рисками включает в себя также Оценку рисков и Обработку рисков. Общая методология оценки рисков включает в себя их идентификацию, анализ и оценку,в то время как обработка рисков включает в себя методы, такие как: смягчение/ усиление, избегание / использование, сохранение/ принятие и передача / распределение рисков между собой.

Выбор правильной методологии оценки рисков:

Все это зависит от состояния безопасности организации, от сложности ее деятельности и поддержки информационных систем. Во всяком случае, вот простой процесс управления рисками, который может включать в себя следующее:

1. Классификация рисков в соответствии с факторами их воздействия, т.е. влияние и частота
2. Идентификация рисков базируется на основе как исходного, так и целевого состояний или анализе факторов
3. Первоначальная оценка рисков при помощи матрицы влияния рисков
4. Снижение рисков путем применения надлежащего контроля
5. Мониторинг рисков постоянная оценка воздействия остаточных рисков

Анализ рисков в рамках подпроцесса Оценки рисков

1. Определить область
2. Определить  связанные процессы
3. Определить активы в этих процессах
4. Выявить угрозы
5. Выявить уязвимости
6. Разработать метрики для оценки тяжести воздействия
7. Оценить основные риски
8. Определить меры противодействия

Методы обработки рисков

1. Снижение рисков путем применения соответствующего контроля
2. Передача рисков, с использованием услуг по страхованию, предоставляемых 3 стороной
3. Избежание рисков за счет устранения связанной с ними деятельности
4. Принятие рисков путем их формального утверждения

Конечно, организации могут ссылаться на множество полезных стандартов ISO, которые могут помочь в разработке более строгого процесса управления рисками информационной безопасности, т.е. ISO 31000, ISO 27005 и т.д.

Методы, используемые для проведения оценки риска могут быть как количественными, так и качественными, а также существует гибридный метод, сочетающий в себе два предыдущих.

Проведение анализа бизнес-контекста

Принятие риска является одним из важнейших направлений в деятельности любого предприятия. Основываясь на риске, который организации способны принять, перед ними открываются новые возможности, при реализации которых они смогут достичь своих целей.

Для того, чтобы убедиться, что организация работает в направлении достижения своих целей, ответственному органу (Совет директоров) следует проанализировать риски и безопасность позиции организации. Некоторыми из основных моментов, которые Совету директоров необходимо проанализировать, являются:

• Каковы цели бизнеса?
• Какие процессы и активы организации участвуют в достижении этих целей?
• Какие методы обработки рисков будет использовать организация?
• Какова политика аутсорсинга в компании?
• Каковы законодательные/правовые и нормативные требования, которые организация должна соблюдать?

Бизнес-контекст

Организации следует применять стратегию управления рисками для обеспечения информационной безопасности на протяжении всего жизненногоцикла, а не выполнять ее только как переходную фазу. Это скорее необходимость организации для обеспечения пути к достижению бизнес-целей, а также для организации благоприятной бизнес-среды.

Постоянное обучение и повышение осведомленности являются одними из факторов, которые организации должны соблюдать, так как это позволит поддерживать важность информационной безопасности в целом. Здесь, на PECB, мы строго придерживаемся Управления рисками информационной безопасности и постоянно проводим обучение и предоставляем услуги по сертификации.

PECB является органом по сертификации для лиц широкого спектра профессиональных стандартов. Также мы предлагаем тренинг и сертификацию по ISO/IEC 27005.

Авторы статьи:

Mohamed Gohar имеет более 10 лет стажа в ISM/ITSM. Он является одним из экспертов CISA RM 26-го издания (2016) и предстоящего издания CISM RM (2017).

Gezim Zeneli является менеджером по информационной безопасности в PECB и отвечает за проведение маркетинговых исследований при разработке и предоставлении информации, относящейся к стандартам безопасности.