Чек-лист: что не забыть при оценке рисков ИБ?

Процесс оценки рисков ИБ является поэтапным. Безусловно, он будет определяться спецификой бизнес-процессов, но можно выделить три классических этапа.

Подготовительный этап

Перед запуском оценки рисков должен быть определен контекст. Его необходимо задокументировать и утвердить на соответствующем уровне управления, например, в виде матрицы оценки рисков ИБ. На этом этапе предстоит:

1. Создать матрицу оценки рисков ИБ. В ней должны быть отражены:
• -  Цели управления рисками ИБ;
• 
  
• - Область и границы оценки рисков ИБ (компания, подразделение, проект, сервис, бизнес-процесс, информационная система и т.д.);
• 
  
• - Распределение процессных ролей и назначение ресурсов, необходимых для внедрения и эксплуатации непрерывного процесса управления рисками ИБ и защитных мер;
• 
  
• - Основные критерии управления рисками ИБ в выбранной области оценки. К ним относятся:
• 
  
• • Подход к оценке рисков ИБ. Он может быть качественным, количественным, высокоуровневым или детальным. Можно сочетать сразу несколько подходов. Количественный анализ сфокусирован на конкретных цифрах и лучше всего подходит для подсчета выгод и конкретных затрат (например, штраф, описанный в договоре, время простоя сервиса, стоимость человеко-часов, и т.п.). Он работает, когда прорабатываемые угрозы и связанные с ними риски реально сопоставить с конечными количественными значениями. Стоит отметить, что количественный анализ „съедает“ много ресурсов, так как необходимо учитывать все косты. Качественный анализ сфокусирован на описательных характеристиках (например, Extremal, High, Medium, Low), подходит для ситуаций, когда неопределенность значительна, и количественный анализ неприменим. Он менее ресурсоемок, но и погрешность имеет выше, так как включает в себя существенную долю субъективности. Но мир не черно-белый, поэтому существуют гибриды количественного и качественного подходов, которые, в свою очередь, могут показать наибольшую эффективность для конкретной организации;
• 
  
• Критерии оценки — с точки зрения потенциального финансового ущерба, соответствия законодательным или контрактным обязательствам, прерывания операционной деятельности, дискредитации имиджа компании и других применимых категориях в выбранной области оценки;

• Определение уровней рисков ИБ и критерии принятия рисков ИБ в зависимости от требований и целей заказчика процесса.


2. Распределить роли
Решения, предусмотренные лучшими практиками, могут не подходить конкретной компании, а процессы — требовать адаптации. Однако можно выделить несколько наиболее полезных ролей среди всевозможных RASCI-матриц (матриц распределения ответственности):


• - Владелец риска ИБ. Претенденты на эту роль определяются исходя из владения активами (процессами, сервисами, информацией или системами), подверженными риску ИБ. Иными словами, это лицо, принимающее решение и в наибольшей степени заинтересованное в недопущении реализации риска;
• 
  
• - Менеджер риска ИБ. Это двигатель, катализатор работы с каждым отдельно взятым риском. Во многих компаниях он выполняет всю «черную» работу по процессу, оставляя владельцу только согласование решения;
• 
  
• - Инициатор идентификации риска ИБ. Им становится любой сотрудник, кто обнаружил и сообщил о риске. В компании должна быть хорошо развита культура работы с рисками, чтобы сотрудники «подсвечивали» это службе ИБ;
• 
  
• - Менеджер процесса. Он следит за эффективностью процесса, что подразумевает огромное количество работы, особенно на этапе пилотирования процесса;
• 
  
• - Эксперт. Обычно это представитель конкретного департамента компании, который может дать оценку влияния риска по профильной категории влияния, отраженной в матрице рисков, либо критически оценить результаты анализа риска менеджером риска, найти слабые места.
• 
  
• «Из общения с людьми, ответственными в компаниях за работу с рисками, становится ясно, что зачастую присутствует пренебрежение мнением экспертов, точнее иногда оно не запрашивается, а, значит, комплексный анализ риска таковым не является. Особенно когда компания использует какие-либо коробочные решения для оценки рисков ИБ», — рассказывает Антон Мерцалов.
• 
  
• Все советы эксперта читайте на Tadviser