Ложкин Р.В.
Выпускник группы MBA CSO
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Введение

Информация – замкнутая, циклическая система сведений, представляющая интерес для соискателей, обладатели которой, в зависимости от своих навыков, умений, знаний, могут преобразовывать ее в товары, услуги или другую информацию, несущую ценность для потребителя. В цикле преобразований информации от источника к получателю, который вновь может являться источником для следующего цикла, рождаются знания, основанные на опыте и навыках, распространяемые через копирование и тиражирование в общество. В свою очередь, обладатели той или иной информации при наличии квалифицированных кадров, могут преобразовывать информацию в знания с последующим применением в научных исследованиях, разработке, производстве, реализации, распространении, утилизации товаров общего и индивидуального назначения, а также услугах различного характера. Основным критерием информации является ценность, выраженная в эквиваленте рыночной стоимости, важности, значимости для субъекта или общества в целом. Возможные действия или бездействия со стороны третьих лиц, форс-мажорных факторов или результата собственной неосторожности, приводящие к снижению ценности информации, являются рисками.

Если оценивать информационные риски, как вероятность возможного ущерба понесенного предприятием за определенный период времени, то в целях экономической целесообразности совокупные затраты на снижение ущерба от информационных рисков должны быть меньше, чем вероятный ущерб без использования каких либо действий по его снижению. Защиту информации можно определить как комплекс технических, организационных мероприятий направленный на сохранение конфиденциальности, целостности, доступности информации любым законным способом.

Таким образом, зона ответственности ИБ определена границами информационных рисков, затраты на снижения которых экономят часть денежных средств и приносят косвенную прибыль (если ИБ сервисное подразделение) или явную (если ИБ бизнес-подразделение). Исходя из современных взглядов на информатизацию бизнеса, большие вложения в информационные активы, совершенствование мошенничества в области информационных технологий, одной из основных задач бизнеса является снижение информационных рисков, что подтверждает актуальность представленной дипломной работы. В качестве примера рассматривается банковская кредитная организация.

1. Риски

Для оценки рисков в качестве одного из вариантов используется матричный подход. Данный метод при анализе рисков ИБ связывает источники угроз с угрозами, информационными активами и ущербом, а также учитывает важность соответствующего информационного актива.

При первоначальном анализе рисков формируется список информационных активов, для которых определяются угрозы, а также оценивается ущерб угрозы информационному активу в случае реализации такой угрозы. Для анализа возможных вариаций способных реализовать ту или иную угрозу составляется перечень актуальных уязвимостей или источников угроз. Для каждого источника угроз оценивается вероятность его появления, а также способность источника угроз реализовать ту или иную угрозу.

2. Процессы деятельности

Для противодействия полученным рискам необходимо использовать комплекс мероприятий, снижающий полученные риски. В результате декомпозиции задач входящих в компетенцию ИБ вытекают следующие задачи, которые необходимо внедрить в подразделение ИБ банка для эффективной его работы.

Для успешного противодействия информационным рискам в банке следует организовать следующие процессы деятельности:

Управление повышением осведомленности сотрудников – процесс является необходимой мерой в борьбе с мошенничеством, халатностью, повышением общей бдительности сотрудников банка, снижению их ошибок и соблюдению внутренних нормативных документов банка.  

Управление непрерывностью информационных активов – процесс обеспечивает непрерывность предоставления сервиса услуг информационными активами банка в части доступности информационных ресурсов.

Управление безопасным хранением данных – процесс обеспечивает целостность и конфиденциальность информации.

Управление мониторингом событий ИБ – процесс необходим для отслеживания источников угроз, их анализа и оценки критичности для информационных активов банка с целью предотвращения инцидентов.

Управление  доступом – процесс выражается в предоставлении минимальных прав доступа для работников с целью исполнения своих должностных обязанностей, а также обеспечению контроля над таким доступом.

Управление изменениями – деятельность процесса заключается в своевременном внесении корректировок в соответствующие нормативные документы и бизнес-процессы банка с целью изменения алгоритмов его работы, направленных на избежание ранее выявленных уязвимостей, недочетов в деятельности информационных активов и бизнес-процессов.

Управление инцидентами ИБ – деятельность процесса заключается в определенном алгоритме действий после обнаружения источника угрозы направленной на  максимальную минимизацию ущерба для информационных активов и бизнес-процессов.

Управление защитой от вредоносного кода – процесс заключается в мониторинге, выявлении инцидентов, восстановлении данных после воздействия вредоносного кода.

Управление парольной защитой ­– деятельность процесса выражается в соблюдении необходимых требований к сложности паролей, сроку их действия, а также в ответственности работников за сохранность своих паролей.   

Управление криптографическими ключами – деятельность процесса заключается в создании, распространении, учете, утилизации криптографических ключей согласно внутренним документам банка и требованию надзорных органов.

3. Экономическое обоснование

Экономическое обоснование деятельности ИБ позволяет перевести работу подразделения ИБ на экономический язык понятный руководству, совету директоров и акционерам. Экономическое обоснование всегда будет выражаться через риски, которые может понести банк с определенной вероятностью, в случае не применения компенсирующих мер по снижению таких рисков. Для оценки рисков необходимо провести оценку стоимости активов, а также оценить стоимость возможного ущерба в случае реализации угрозы связанной с конкретным риском. Основным критерием эффективности ИБ является факт того, что затраты деятельности ИБ должны быть ниже  ущерба банку в случае отсутствия ИБ за некоторый промежуток времени. Также при оценке затрат на компенсирующие меры по снижению информационных рисков необходимо учесть уровень остаточного риска. И в зависимости от его размера применять дополнительные меры, направленные на передачу риска или части риска другому подразделению или внешней организации, принять риск, если компенсирующие меры слишком затратные или порождают новые риски, а также уйти от риска, выбрав другую стратегию бизнеса, в случае если риск слишком велик.

Заключение

В результате проведенного анализа деятельности ИБ на примере коммерческого банка можно сделать следующие выводы.

Хотя мета-процессы отдельных подпроцессов ИБ могут входить в задачи информационных технологий или службы безопасности, в целом процесс деятельности ИБ оперирующий информационными рисками является мета-процессом риск-менеджмента и не является прецедентом деятельности подразделений ИТ и СБ.

В современном мире в связи с развитием информационных технологий появляется значительное преобладание информационных рисков над остальными. То есть, рассматривая, например, экономические риски необходимо предполагать, что природа их возникновения в большинстве случаев информационная. Мало кто сейчас использует мошенничество с наличностью – это не эффективно. Да и наличность в большинстве случаев появляется из банкомата, который является компьютером. Денежные транзакции также проходят в электронном виде. Бумажные бухгалтерские базы практически нигде не ведутся. На большинство видов современного быта оказывают влияния информационные технологии, которые в свою очередь создают информационные риски. Таким образом, ИБ объединяет процессы деятельности экономической безопасности, риск-менеджмента, службы безопасности (возможно за исключением физической охраны) в общий надпроцесс.

По анализу реальной обстановки можно сделать следующие выводы.

Ввиду российского менталитета и низкого уровня зрелости руководителя ИБ (CISO), часто выполняющего организационно техническую работу, связанную с разработкой политик, концепций, инструкций, решением технических задач, хотя данная работа должна быть делегирована руководителям прецедентов, которые больше компетентны в узких вопросах своей деятельности. В таком случае CISO больше занимается организацией деятельности внутри подразделения ИБ, вместо отладки процессов деятельности в компании.

Уровень подготовки CISO часто не достаточный для полноценного общения на языке бизнеса. В большинстве случаях  CISO становится либо хороший администратор в области защиты информации, имеющий большой опыт работы, как в компании, так и в профессиональной сфере деятельности, который, в свою очередь, через положительные рекомендации назначается на должность CISO, либо сертифицированные сотрудники по CISSP, CISA, SANS. Первый работник компетентен во многих технических вопросах, знает как написать или откуда взять «шаблон» того или иного нормативного документа, понимает как должно все работать в идеальном случае, но это не CISO. Второй тип работника больше ориентирован на построение и организацию процессов деятельности, на роль CISO такой сотрудник подходит больше. Но подобная квалификация сотрудника часто избыточна и оправдывает себя лишь при международной сертификации компании в области информационной безопасности. Процедура сертификации очень затратная и не всегда нужна большинству российских компаний. Сертифицированные компании в большей степени рассчитывают на имидж, а не на повышение уровня своей безопасности, так как сертификация, например по ISO 27001 или COBIT требует в первую очередь наличие зрелого процессного управления в компании, что для российского рынка весьма сложная задача.   

Еще один сложно решаемый вопрос заключается в неумении CEO (руководителя компании) оперировать рисками. Принимать риски – одна из задач CEO. Владельцем процесса «Управление ИБ» должен быть CEO или его заместитель. CEO также должен являться «владельцем ресурсов процесса ИБ», способным мотивировать CISO на продуктивную деятельность. Чаще всего в российской практике CEO не является владельцем процесса ИБ, а делегирует данную ответственность, например, директору по безопасности. В таком случае владельцем процесса ИБ является директор по безопасности, который не в состоянии выстроить должным образом процессы эффективной деятельности ИБ, но в силу ответственности за процесс должен осуществлять контроль его деятельности. Сама структура ИБ в таком случае загоняется в разряд «компьютерных» работников. А CISO выйти на CEO через директора по безопасности для пересмотра информационных рисков или корректировки процессов взаимодействия с другими подразделениями организации становится весьма затруднительным. То есть отсутствует управление изменениями как таковое.

И последнее, в организациях, где ИБ не является основной деятельностью компании, до сих пор не научились включать подразделение ИБ в бизнес-процессы.  Хотя это вполне реализуемо. Так, например, какой-то процесс деятельности ИБ можно продавать как услугу клиентам или партнерам. Ведь одно дело получать услугу, а другое дело получать ее «безопасно», во всяком случае, это повысит уверенность клиента. То есть клиент платит за снижение рисков или получение дополнительного осведомления о правилах безопасного использования той или иной банковской услуги.