Система управления информационной безопасностью предприятия

Цель любого бизнес-процесса состоит в создании выхода для  получения вознаграждения в виде другого выхода. В данном случае выходом является исключение наступления  рисковой ситуации или минимизация  ее последствий, а вознаграждением - сохранение материальных и финансовых ресурсов.

Немаловажная характеристика выхода - его востребованность стороной, не являющейся его производителем. Иными словами, на данный выход должен быть спрос. Когда существуют угрозы - существует и спрос на защиту от них, а значит, необходимо внедрять процесс управления рисками.

8. Управление рисками

Одним из наиболее известных  подходов к управлению рисками является метод CRAMM (the UK Goverment Risk Analysis and Managment Method). Данный метод был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и принят в качестве государственного стандарта. Он используется, начиная с середины 80-х годов прошлого века как правительственными, так коммерческими организациями.

За прошедшие годы CRAMM приобрел популярность во всем мире. В  основе метода CRAMM лежит комплексный  подход к оценке рисков, сочетая  количественные и качественные методы анализа. Данный метод является обобщенным и подходит для большинства организаций. Одним из наиболее важных результатов  использования метода CRAMM является получение возможности экономического обоснования расходов организации  на обеспечение информационной безопасности и непрерывности бизнеса. В конечном итоге, экономически обоснованная стратегия  управления рисками позволяет минимизировать издержки и избегать неоправданных  расходов.

Допустим, возникла возможность  угрозы несанкционированного доступа  к финансовой информации в связи  с обнаруженной уязвимостью в  учетной системе, которая принимает  электронные заказы через Интернет. На основе информации об уязвимостях  информационной системы изучается  вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его  минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб  от реализации угрозы, то, скорее всего, мероприятия применять нецелесообразно). После оценки важности риска планируются  необходимые мероприятия и выделяются необходимые ресурсы. После планирования реализуются контрмеры в соответствии с графиком работ. Затем оценивается их эффективность.

Перед тем как создавать  корпоративную систему управления рисками, необходимо описать критически важные бизнес-процессы. В рамках данного процесса выполняется анализ и корректировка бизнес-процессов. В нашем примере это может быть процесс приема электронных заказов, в рамках которого база клиентов организации доступна через Интернет.

На этапе разработки и  внедрения системы управления информационной безопасностью, помимо моделей критических  бизнес-процессов, может быть используется инструментарий Process Risk Assistant, относящийся к семейству продуктов ARIS, предназначенный для методологического обеспечения и содержащий детальное руководство по внедрению системы управления информационной безопасностью.

После более детального анализа  процесса и выявления потенциальных  угроз необходимо сформировать перечень рисков, которые необходимо минимизировать.

Целью процесса сбора (идентификации) рисков является выявление подверженности организации угрозам, которые могут нанести существенный ущерб.

Для сбора рисков производится анализ бизнес-процессов компании и  опрос экспертов предметной области. Результатом (выходом) данного процесса является классифицированный перечень (список) всех потенциальных рисков.

В представленном примере  угроза несанкционированного доступа  к финансовой информации представляет собой исходные данные для идентификации, например, такого риска как «Утечка  информации о клиентах к конкурентам  через незащищенный канал связи».

В связи с тем, что последствия  от различных угроз неравноценны, недостаточно идентифицировать риск. Необходимо также оценить величину угрозы и возможность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении, а также вероятность риска.

Цель процесса оценки рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. Основным результатом (выходом) данного процесса является перечень (список) всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Дополнительным результатом данного процесса является перечень рисков, которые не будут отслеживаться в организации

Все данные, которые важны  с точки зрения управления рисками, моделируются, например, с помощью  вышеупомянутого программного обеспечения ARIS. Инструментарий под названием «Портал рисков» (Process risk portal) обеспечивает  пользователю возможность проведения графического анализа и оценки рисков процессов. Кроме того, процессы внутри компании становятся прозрачными, а данные по управлению рисками  - общедоступными, что и помогает сотрудникам осуществлять постоянный мониторинг существующих рисков и выявлять новые.

На основе таких данных выбираются необходимые средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, то целесообразно спланировать мероприятия по минимизации риска (например, планирование процесса оперативного обновления программного обеспечения информационной системы (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.).

Целью процесса планирования мероприятий по минимизации рисков является определение сроков и перечня работ по исключению или минимизации ущерба в случае реализации риска.

Данный процесс позволяет  сформулировать, кто, где, когда, какими ресурсами и какие угрозы будит  минимизировать. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации  ущерба от реализованного риска. Например, «До 10.10.06 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И. И.».

Мало понять, что, как и  когда делать, но и необходимо реализовать  все запланированное «точно в  срок». Поэтому целью процесса реализации мероприятий является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения. Целесообразно разработать планы действий на случай возникновения критической ситуации или риска. Введение в действие процессов на экстренный случай поможет не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее. Затем производится оценка эффективности полученных результатов.

Оценка эффективности  системы управления информационной безопасностью  - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Ключевые показатели эффективности могут быть измерены, а затем интегрированы в систему управления рисками. Также на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков.

Заключение 

    В заключение следует отметить, что построение эффективной системы информационной безопасности в компании - это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании топ-менеджмент компании, ИТ-специалистов, консультантов по данной тематике, технических специалистов.

Одним из важных этапов построения системы информационной безопасности является создание эффективного механизма  управления доступом к информации, т.е. решение вопросов как разграничения доступа, так и определения методов доступа. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и на сегодняшний день оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях. Если для хранения и защиты структурированной информации, а также доступа к ней на сегодняшний день существуют проверенные технологии, то в случае неструктурированной информации выбор технологий существенно ограничен, тогда как решение вопросов управления бумажными архивами может оказаться непростым и затратным

Хотелось бы отметить, что  мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость  данных ограничений и пытаться находить компромиссы.

Список используемой литературы:

1. Терминология в области ЗИ в КС от НСД – НД ТЗІ 1.1-003-99.
2. ЗУ Про защиту информации в ИТС –ст.2
3. НД ТЗІ 3.3 -001-07
4. Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем. - М.: Интуит, 2006