Минимизировать до приемлемых
Деятельность любого банка связана с рисками, а риски нарушения информационной безопасности (далее – риски нарушения ИБ) являются их составной частью. Управление рисками, их обработка и минимизация до приемлемого уровня – одна из основных областей обеспечения информационной безопасности в банках.
РИСКИ КАК ОБЪЕКТ УПРАВЛЕНИЯ
Большинство современных отечественных и международных стандартов, описывающих систему менеджмента информационной безопасности (ISO 27001, СТО БР ИББС-1.0-2010, PAS99 и т.д.), базируется на следующих принципах:
- риски – это объективная реальность, и понизить их можно лишь до определённого остаточного уровня;
- рисками необходимо управлять;
- система менеджмента информационной безопасности (далее – СМИБ) должна быть риск-ориентированной;
- риски нарушения информационной безопасности являются неотъемлемой частью операционных рисков банка.
В данной статье речь пойдет о внедрении системы управления рисками нарушения ИБ в рамках СТО БР ИББС-1.0-2010.
Стандарт Банка России (СТО БР ИББС-1.0-2010) предусматривает наличие в банке системы управления рисками и проведение оценки рисков нарушения ИБ для всех информационных активов области действия СОИБ (системы обеспечения информационной безопасности). Также наличие системы управления рисками подразумевают федеральный закон №161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», Постановление Правительства № 584 от 13 июня 2012 года и нормативные документы Банка России, в том числе Положение №379-П от 31 мая 2012 года.
Внедрение системы управления рисками нарушения ИБ в банке связано с решением определённых задач:
- выстраивание эффективного процесса управления рисками;
- подбор персонала (оценщиков рисков), обладающего необходимой квалификацией и опытом;
- взаимодействие с бизнес-подразделениями и подразделениями, занимающимися оценкой операционных рисков банка;
- определение (выбор) методики, по которой будет проводиться оценка.
Управление рисками нарушения ИБ включает в себя: определение области оценки рисков, их оценку и обработку, мониторинг и контроль, совершенствование. Это полностью соответствует модели Деминга (см. Схему 1) «планирование – реализация – проверка – совершенствование», которая является основой модели менеджмента стандартов качества.
Схема 1. МОДЕЛЬ ДЕМИНГА ПРИМЕНИТЕЛЬНО К ПРОЦЕССУ УПРАВЛЕНИЯ РИСКАМИ
Условно процесс управления рисками нарушения ИБ можно разделить на 5 последовательных этапов (далее P0–Р4) и этап контроля результатов обработки рисков. Взаимосвязь процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 2.
СХЕМА 2. ВЗАИМОСВЯЗЬ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
ПОЛИТИКА ОЦЕНКИ РИСКОВ
Политика оценки рисков должна:
- определять механизмы контроля и роли, задействованные в данном процессе, при этом, для предотвращения конфликта интересов, подразделения, осуществляющие контроль обработки рисков, должны быть максимально независимы от подразделений, выполняющих оценку рисков;
- закреплять процедуры обратной связи между всеми участниками процесса управления рисками и порядок планирования процесса;
- формулировать порядок документирования результатов оценки рисков и результатов обработки рисков.
Этап контроля результатов обработки рисков напрямую зависит от уровня зрелости информационной безопасности в банке, тесно связан с аудитом (внутренним и внешним) и мониторингом ИБ, при взаимодействии которых существенно повышается эффективность СОИБ и контролируется эффективность принятых мер обработки рисков.
Контроль результатов обработки рисков должен охватывать все этапы P0–P4 и сопоставлять результаты обработки рисков с результатами, полученными от аудиторов и подразделений, занимающихся мониторингом информационной безопасности.
Детализированная схема взаимосвязи процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 3.
Схема 3. ДЕТАЛИЗИРОВАННАЯ СХЕМА ВЗАИМОСВЯЗИ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ
Рассмотрим подробнее процесс управления рисками нарушения ИБ на этапах Р0–Р4.
ЭТАП P0. Определение, анализ и изменение бизнес-процессов (см.Схему 4) – стартовый этап управления рисками.
Схема 4. ОПРЕДЕЛЕНИЕ, АНАЛИЗ И ИЗМЕНЕНИЕ БИЗНЕС-ПРОЦЕССОВ
Целью данного этапа являются формализация и детальное описание всех бизнес-процессов банка, определение критичных бизнес-процессов с позиций максимального ущерба банку в случае их нарушения (в т.ч. прерывания), а также специфических требований законодательства (ФЗ-152, ФЗ- 224, ФЗ-161, и т.д.) и стандартов (СТО БР ИББС-1.0-2010, PCI DSS и т.д.).
На данном этапе задействованы как сотрудники службы информационной безопасности, так и представители бизнес-подразделений, службы внутреннего контроля и юридической службы. Результатом является документирование информационных потоков, определение состава информации в каждом отдельном бизнес-процессе, а также дополнительных признаков информационных активов, таких как критичность процесса для непрерывности бизнеса, обработка инсайдерской информации.
После обработки недопустимых рисков (этап Р4) в случае принятия решения о внесении изменений в бизнес-процессы, например внедрения новых документов (таких как согласие на обработку персональных данных (далее – ПДн), уведомление о включении лица в список инсайдеров и т.д.), все изменения должны быть утверждены руководством банка, а этап Р0 – проведен заново.
На основании результатов этапа Р0 можно приступать к подготовке полного перечня информационных активов (см. Схему 5).
Схема 5. ПОДГОТОВКА ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
ДОКУМЕНТИРОВАНИЕ ИНФОРМАЦИОННЫХ АКТИВОВ
ЭТАП P1. Для подготовки такого перечня необходимо идентифицировать информационные активы и классифицировать их типы.
Информация, относящаяся к каждому из типов информационных активов, документируется в перечне сведений конфиденциального характера (ограниченного доступа).
Информационный актив банка – это информация:
- с реквизитами, позволяющими её идентифицировать;
- имеющая ценность для самого банка;
- находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.
Таблица 1. ПРИМЕР ОФОРМЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ
Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
Важными элементами этапа Р1 являются разработка техническо-рабочей документации:
- технических паспортов на все информационные системы с отражением основных технических средств, программных средств и средств защиты;
- матриц доступа;
- и т.д.
После составления перечня информационных активов, обрабатываемых в информационных системах, можно переходить к следующему этапу P2 (см. Схему 6).
Схема 6. РАЗРАБОТКА ЧАСТНЫХ МОДЕЛЕЙ УГРОЗ ДЛЯ КАЖДОГО ТИПА ИНФОРМАЦИОННЫХ АКТИВОВ
ЭТАП P2. Информационные активы банка рассматриваются относительно информационных систем, в которых происходит обработка данных активов, в совокупности с соответствующими объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды в разрезе каждой информационной системы. При обработке ИИ в системе данный актив рассматривается совместно с БТ и (или) КТ.
Для разных типов активов устанавливаются разные требования к информационной безопасности, в том числе с учётом действующего законодательства.
Разработка модели угроз базируется на следующих принципах:
- безопасность информационных активов при их обработке в информационных системах обеспечивается с помощью систем защиты информации;
- при формировании модели угроз учитываются как угрозы, осуществление которых нарушает безопасность информационных активов (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы);
- информационные активы обрабатываются и хранятся в информационных системах с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации;
- нарушитель может действовать на различных этапах жизненного цикла информационной системы или системы защиты.
ПЕРЕЧЕНЬ ИСТОЧНИКОВ И МОДЕЛЬ УГРОЗ
В качестве примера оформления частной модели угроз (далее – ЧМУ), может рассматриваться отраслевая модель угроз безопасности персональных данных (РС БР ИББС-2.4-2010) с указанием конкретного типа нарушителей (на основании модели нарушителя с предположениями о возможностях) и детализации способа реализации угрозы безопасности информационного актива (см. Таблицу 2).
Таблица 2. ПРИМЕР ОФОРМЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ
Формирование перечня источников угроз и моделей угроз проводится с учетом положений СТО БР ИББС-1.0-2010, информационных ресурсов, содержащих сведения централизованной базы инцидентов банка и об уязвимостях информационной безопасности.
ЭТАП P3. Оценка рисков (см. Схему 7) проводится на основе принятой методики. Для организаций банковской системы Российской Федерации, принявших стандарт СТО БР ИББС- 1.0-2010, рекомендуется использовать отраслевую методику Банка России РС БР ИББС-2.2-2009. Также стандарт разрешает использовать и иные методики.
Схема 7. ОЦЕНКА РИСКОВ НАРУШЕНИЯ ИБ
Современные методики очень подробны, содержат громоздкие формулы, используют экспертные оценки, но, к сожалению, не всегда подходят для практической работы из-за трудностей представления руководству результатов оценки рисков.
Главное требование к методике – она должна быть наглядной, охватывающей всю ИТ-инфраструктуру и все бизнес-процессы банка, утвержденной руководством и согласованной с подразделениями, занимающимися оценкой операционных рисков. Следовательно, при выборе методики необходимо убедиться, что методика и ожидаемые результаты устраивают все стороны – и того, кто считает риски (т.е. показывает объективную картину состояния ИБ), и того, кому их демонстрируют (т.е. согласована с операционными рисками и утверждена руководством).
Методика оценки рисков нарушения ИБ, подход к оценке рисков нарушения ИБ банка должны определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. То есть для оценки рисков нарушения ИБ должна использоваться качественная и (или) количественная (выраженная
в процентах или деньгах) шкала. Количественные шкалы позволяют сделать результаты оценки рисков более точными, при этом требуя более высокого уровня зрелости существующей СМИБ.
Методика, изложенная в РС БР ИББС-2.2-2009, предполагает использование обеих шкал.
КРИТИЧНОСТЬ ОПРЕДЕЛЯЕТ ПРИОРИТЕТЫ
Для управления рисками в методике должен быть закреплен порядок их обработки.
Одним из способов определения очередности является установление приоритетов рисков, которые зависят от критичности обрабатываемого информационного актива, дополнительных признаков информационных активов, опасности конкретной угрозы в конкретной системе (см. Таблицу 3).
Таблица 3. ПРИМЕР ОПРЕДЕЛЕНИЯ ПРИОРИТЕТОВ
На основе определенных приоритетов и результатов оценки рисков можно построить карту рисков (см. Таблицу 4).
Таблица 4. ПРИМЕР ОФОРМЛЕНИЯ КАРТЫ РИСКОВ
По результатам оценки рисков подготавливается отчёт о проведении оценки рисков нарушения информационной безопасности с указанием количества оценённых рисков, количественных и качественных оценок, детализацией всех недопустимых рисков и рекомендациями по их обработке.
ЭТАП P4. Целью обработки недопустимых рисков (этап Р4) является значительное уменьшение рисков при относительно низких затратах и поддержание принятых рисков на допустимом, низком уровне. По результатам оценки рисков определяется способ обработки каждого из них, являющегося недопустимым.
Возможными вариантами обработки рисков являются:
- применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
- уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска, или изменения бизнес-процессов);
- перенос риска на другие организации (например, путём страхования или передачи деятельности на аутсорсинг);
- осознанное принятие риска (решение должно приниматься руководством банка).
Решение о применении того или иного способа обработки рисков принимается, исходя из стоимости их реализации, а также ожидаемых выгод от их реализации.
Схема 8. ОБРАБОТКА НЕДОПУСТИМЫХ РИСКОВ НАРУШЕНИЯ ИБ
Порядок обработки рисков информационных систем определяется приоритетом риска нарушения ИБ. Так, риски с наивысшим приоритетом должны быть обработаны в первую очередь.
Система управления рисками нарушения ИБ даёт существенный положительный эффект при выстраивании СОИБ, выявлении уязвимостей ИБ и обосновании затрат на информационную безопасность, гарантируя принятие взвешенных решений в области СМИБ и контроль эффективности принятых при обработке рисков решений.
Внедрение системы управления рисками нарушения ИБ для банка – непростая задача, но её выполнение является первым шагом построения эффективной и комплексной системы защиты. Не следует усложнять методики, строить многоуровневые длинные формулы, гнаться за точностью оценок до долей процента и копеек. В основе управления рисками лежат экспертные оценки и статистика. Цель – не предсказание будущего, а выстраивание эффективной системы менеджмента информационной безопасности.
В заключение стоит добавить, что в настоящее время на рынке представлено много программных решений, позволяющих оптимизировать процесс управления рисками нарушения информационной безопасности (Cobra, RiskWatch, Octave, Cramm, RSA Archer Risk Management и т.д.), но вопрос применения их достаточно спорный. Потому что ключевым элементом системы управления рисками нарушения информационной безопасности являются работники банка.
BIS-СПРАВКА
ТЕРМИНЫ СТАНДАРТА БАНКА РОССИИ СТО БР ИББС-1.0-2010:
- Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
- Риск нарушения информационной безопасности, риск нарушения ИБ: риск, связанный с угрозой ИБ.
- Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.
BIS-КОММЕНТАРИЙ
Павел ХИЖНЯК,
руководитель отдела аудита и консалтинга ЗАО «Практика Безопасности»:
– В статье специалистов по информационной безопасности «Московского Индустриального банка» хорошо и подробно описан процесс управления рисками. С теоретической точки зрения в ней достаточно полно, подробно и грамотно освещены все аспекты этого сложного и трудоёмкого процесса.
Добавлю из собственного опыта: в ходе практического выстраивания риск-менеджмента в организации требуется не только хорошее знание методик, способов оценки и технического бэкграунда. Также нужны хорошо развитые коммуникационные и управленческие способности.
Перед началом внедрения процесса оценки рисков важно заручиться поддержкой высшего руководства компании, в том числе банка, вплоть до акционеров. Достижение взаимопонимания порой требует значительных усилий. Обеспечение информационной безопасности – необходимое условие достижения целей бизнеса, и это нужно объяснить понятным языком, привычной терминологией.
Каждая итерация процесса оценки рисков должна восприниматься руководством как часть корпоративного управления и быть частью глобального менеджмента организации. Ни в коем случае нельзя допустить, чтобы процесс управления рисками воспринимался руководством как часть повседневной работы подразделения информационной безопасности.
Должно присутствовать чёткое понимание: риск-менеджмент является глобальным процессом, на одном уровне с управлением персоналом и финансовой отчётностью. Настолько же важным и обеспечивающим успешность бизнеса в целом.
.png)