МЕНЕДЖМЕНТ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В настоящее время, информатизация и компьютеризация общества, а также автоматизация процессов происходят с такой скоростью, что прогрессирующие риски в сфере информационных технологий невозможно не принимать во внимание. Таким образом, многие организации образовывают специальные отделы по информационной безопасности и IТ-рискам, которые имеют дело с идентификацией и менеджментом рисков в определенной области.

Информационная безопасность – все аспекты, относящиеся к определению, достижению и сохранению конфиденциальности, невредимости, доступности, безотказности, подотчетности и подлинности информации или средства ее переработки.

Угроза информационной безопасности представляет собой вероятные деяния или процессы, которые способны привести к нарушению информационной безопасности.

Риск – это сочетание возможности того, что существуют некоторые негативные явления, которые способны привести к нежелательной потере чего-либо, и вероятности того, что они произойдут. Риском информационной безопасности является возможность нарушения информационной безопасности с неблагоприятным исходом. Так как большая часть рисков не может быть сведена к нулю, их контроль приоритетной задачей на всех уровнях организации.

Менеджментом информационной безопасности называются скоординированные меры для улучшения и поддержания необходимого уровня информационной безопасности.

Основной составляющей системы менеджмента информационной безопасности выступает менеджмент рисков информационной безопасности. Процедура управления рисками заключается в оценке риска, обработке риска, принятии риска, коммуникации и мониторинге риска.

В оценку риска входят:

• установление риска;
• измерение риска;
• оценивание риска.

Процесс установления рисками заключается в поиске, создании списка и описании рисков. Его задача – сформулировать результат вероятного ущерба и установить методы и причины нанесения ущерба.

Измерение риска. Существует несколько уровней детализации анализа риска в зависимости от различных условий. Возможны качественный, количественный и смешанный методы измерения риска.

Чтобы произвести качественные измерения риска, необходима описательная шкала, для определения уровня вероятных последствий и возможности их появления. Основным достоинством использования описательной шкалы является простота ее понимания, а недостатком – относительность данной шкалы. Для измерения используются действительные данные.

Чтобы произвести количественные измерения риска, необходима числовая шкала. На уровень измерений влияет правильность использования числовых значений. Для измерения используются предыдущие данные. Основным достоинством такой шкалы является то, что количественные значения согласованы с нуждами организации, а ее недостаток в том, что при недостоверности данных, либо неправильном их использовании получившееся ошибочное значение может быть принято за истинное.

Решения, относящиеся к оцениванию рисков, как правило, принимаются на основе уровня допустимого риска. Кроме того, следует принимать в расчет вероятные последствия и достоверность анализа рисков. В некоторых случаях итоговый риск может быть повышен из-за нескольких допустимых в отдельности рисков. Также возможна ситуация, когда из-за того, что один критерий оценивания риска не имеет значение для организации, все связанные с ним риски становятся не актуальными.

На основе оценки риска выносится постановление о дальнейших действиях. В него должны входить следующие моменты:

• потребность в конкретном виде деятельности;
• приоритеты при обработке риска.

Обработка риска информационной безопасности

Необходимо выбрать меры и инструменты регулирования для уменьшения риска таким образом, чтобы остаточный риск стал приемлемым. Адекватные и надлежащие меры и инструменты регулирования выбираются для удовлетворения условиям, которые были установлены в ходе оценки и обработки рисков. При этом необходимо принимать в расчет критерии принятия рисков, и требования, установленные нормативными, договорными и другими актами.

Сохранение риска происходит тогда, когда его уровень считается допустимым, согласно критериям принятия риска. В этом случае можно не выполнять лишние действия для уменьшения риска. При условии, что выявленные риски оказываются недопустимыми, либо затраты на их обработку чрезмерно высоки, возможен полный отказ от деятельности.

Принятие риска информационной безопасности.

Необходимо вынести решение о принятии рисков и определить ответственность за данное решение. В планах обработки рисков необходимо указать метод оценки рисков, которые следует рассматривать в целях удовлетворения критериям принятия рисков. Ответственные руководители должны проконтролировать и одобрить предписанные планы обработки рисков и остающиеся в результате риски, и зафиксировать все условия, связанные с таким решением. В связи с тем, что использующиеся критерии не учитывают все факторы, возможны случаи, когда уровень остаточного риска не отвечает критериям принятия риска. Ответственное лицо должно дать разъяснение относительно остаточного риска, а также аргументировать решение, не соответствующее критериям принятия рисков. В результате должен быть составлен список принятых рисков с комментариями к ним.

Коммуникация риска информационной безопасности.

Коммуникацией риска является взаимодействие, необходимое для согласования того, как тем, кто причастен к принятию решений, следует совершать обмен, либо совместно использовать существующую информацию, с целью управления риском. Коммуникация риска необходима для:

• обеспечения уверенности в результатах менеджмента рисков;
• сбора сведений о рисках;
• обмена результатами оценки риска и планами обработки риска;
• сообщения со всеми сторонами и разработка ответных мер для сглаживания последствий какого-либо инцидента.

Для взаимосвязи между всеми сторонами имеющими отношение к менеджменту рисков можно сформировать комитет, в обязанности которого будут входить анализ проблемы образования рисков, определение приоритетов и формирование решения по обработке и принятию рисков.

Мониторинг и переоценка риска информационной безопасности.

Необходимо осуществлять мониторинг и повторную оценку рисков и факторов риска для обнаружения изменений. Риск, который прежде являлся приемлемым, мог существенно возрасти из-за появившихся угроз и уязвимостей. Возможно изменение условий имеющих значение при оценке вероятности и последствий появляющихся угроз. Поэтому следует систематически проводить мониторинг риска и пересматривать различные возможности обработки риска.

Процесс управления рисками информационной безопасности необходимо непрерывно контролировать, анализировать и совершенствовать. Это требуется для того, чтобы планы менеджмента рисков информационной безопасности оставались актуальными.

Список литературы:

1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

2. Дорофеев А.В. Марков А.С. Менеджмент ИБ: основные концепции // Вопросы кибербезопасности. –  2014. – № 1(2). –  C.67-73.

3. Дорофеев А.В. Менеджмент ИБ: управление рисками // Вопросы кибербезопасности. –  2014. – № 2(3). –  C.66-73.