Анализ информационных рисков как основной инструмент построения корпоративной информационной безопасности

Нестеров Р.В.
Выпускник группы CISO-04
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Задача построения системы корпоративной информационной безопасности в коммерческой организации далеко не нова. Существует огромное количество подходов по построению такого рода систем, и при выборе методики построения необходимо учитывать большое количество факторов, таких как, например, уровень зрелости компании, специфику ее деятельности, ее структурную организацию и бизнес-цели. Однако, независимо от выбранной методики, построение системы информационной безопасности необходимо рассматривать как проектную деятельность с определенным бюджетом и ограниченным временем на внедрение. При этом, объем работ в рамках такого проекта не может быть определен заранее и совершенно точно будет существенно меняться в его ходе. Более того, в связи со сложившейся рыночной конъюнктурой, руководство коммерческих организаций требует от проектов демонстрации быстрых результатов. Таким образом, руководителю проекта – менеджеру по информационной безопасности – необходимо выбирать соответствующие способы управления этим проектом, а также пользоваться эффективными механизмами приоритезации постоянно изменяющихся требований, сохраняя при этом фокус на бизнес-цели. В таких условиях разумно использовать итерационную (спиральную) модель управления проектами и методики управления рисками, в качестве инструмента, позволяющего сконцентрировать усилия на наиболее критичных аспектах защиты информационных активов компании с учетом ее бизнес-приоритетов.

Целью данной работы является описание практического опыта внедрения системы информационной безопасности в коммерческой организации с использованием адаптированной методологии по управлению рисками в качестве основного инструмента для построения требований по защите нематериальных активов.

В первой части работы приводится обзор методик построения систем информационной безопасности и подходов по управлению информационными рисками в коммерческих организациях. Рассматриваются различные подходы по выбору приоритетных направлений развития информационной безопасности с учетом задач, поставленных перед организацией.

Во второй части описывается разработанный подход по внедрению системы информационной безопасности, приводятся практические примеры его реализации в рамках коммерческой организации. В основу подхода был заложен принцип «разумной достаточности», который основывается на следующих тезисах:

• абсолютно непреодолимой защиты создать невозможно;
• необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т.ч. и экономическим, заключающимся в снижении потерь от нарушений безопасности;
• стоимость средств защиты не должна превышать стоимости защищаемой информации (или других ресурсов – аппаратных, программных);
• затраты нарушителя на несанкционированный доступ к информации должны превышать эффект, который он получит, осуществив подобный доступ.

Внедрение механизмов, процессов и процедур по защите нематериальных активов в рамках рассматриваемого подхода предлагается производится итерационно, тем самым обеспечивается:

• актуальность и своевременность мер по защите;
• сохранение бизнес-фокуса информационной безопасности;
• сравнительно быстрое решение проблем и демонстрация ощутимых результатов.

Используется два типа итераций:

• Основная

Предметом исследования и последующей защиты является конкретный бизнес-процесс организации. В рамках итерации проводится выявление информационных активов в процессе, определяется их уровень влияния на процесс и проводится анализ информационных рисков с последующей разработкой механизмов защиты. Итерация проводится на этапе разработки нового процесса, а также в случаях, когда необходимо разработать механизмы защиты для уже работающего процесса.

• Синхронизационная

Предназначается для балансировки разрабатываемых и внедряемых механизмов защиты, а также для совершенствования процессов информационной безопасности. Проводится по аналогии с циклом непрерывного совершенствования процесса с определенной периодичностью.

Каждая итерация начинается с анализа информационных рисков, который необходим для определения актуальных проблем в области информационной безопасности в контексте бизнес-процессов компании, а также для их приоритезации и разработки методов противодействия.
Современные стандарты, применимые области защиты информации, такие как, например ISO 15408, ISO 2700x, ISO 9001, COBIT, ITIL, предлагают ряд методик по оценке информационных рисков. Однако, для достижения необходимого эффекта любая из используемых методик по управлению рисками должна учитывать специфику организации и отвечать следующим критериям:

• Систематизированность;
• Структурированность;
• Интегрированность.

Построение СУИБ тесно связано с процессами управления рисками в организации: анализ и управление информационными рисками позволяет обеспечивать экономически оправданную информационную безопасность в организации. Именно поэтому для целей построение и управления корпоративной информационной безопасностью так важно использовать методологию по управлению рисками, отвечающую задачам организации. С этой целью в рамках описываемого в работе подхода была разработана адаптированная методология по управлению рисками, созданная на основании стандарта ISO 31000, ISO 27005 и Facilitated Risk Analysis Process. На данный момент в организации активен проект по ее внедрению.

Описанный в данной аттестационной работе подход по построению корпоративной информационной безопасности с использованием анализа информационных рисков в качестве основного инструмента активно применяется и демонстрирует свою эффективность в компании ИКЕА Россия.