Оценка рисков информационной безопасности при подключении коммерческого банка к сети SWIFT через Сервис-Бюро

Соломатин О.С.
Выпускник группы MBA CISO-04
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Сегодня не вызывает сомнений необходимость вложений в обеспечение ИБ современного бизнеса. Однако как это сделать правильно, как доказать руководству, что именно такие объемы финансовых вложений в ИБ необходимы и отражают действительность, а не являются просто формальным умозаключением?

Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять существующие методики для анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Без управления рисками все еще, как и раньше, можно достигнуть определенных положительных результатов, однако стабильных результатов достигать все сложнее. Поэтому компании, систематически управляющие рисками, по крайней мере, обладают важнейшим конкурентным преимуществом. Организациям управлять рисками необходимо не только для получения конкурентных преимуществ, но и для выживания. С того момента, как останов информационных систем начинает приводить к катастрофическим последствиям, становится совершенно необходимым управлять информационными рисками на систематической основе, соотнося расходы на защиту с получаемой выгодой.

Обязательные требования законодательной и нормативной базы ИБ не могут заменить оценки рисков, так как формулируются они в еще более общем виде, нежели требования стандартов, и определить, каким образом эти требования должны быть реализованы в конкретной организации, обычно также не представляется возможным без оценки рисков. Оценка рисков позволяет не только уточнить и конкретизировать требования нормативной базы применительно к конкретной организации, но также определить экономически обоснованные механизмы их реализации и дополнительные требования безопасности, специфичные для организации и не нашедшие отражения в нормативных документах.

Основная задача заключается в том, чтобы выбрать нужные инструменты (требования ИБ, стандарты, технологии защиты) и разобраться с тем, как их правильно применять в конкретных условиях с учетом существующих рисков. Одним и тем же рискам ИБ в разных организациях может уделяться совершенно разное внимание в зависимости от отношения к риску руководителей и собственников этих организаций, специфики бизнеса и конкретных обстоятельств.

Подводя итог всему выше сказанному, становится очевидной актуальность темы управления рисками ИБ в масштабе организации. В настоящее время оценка рисков представляет собой одно из наиболее актуальных и динамично развивающихся направлений в области информационной безопасности (ИБ). Без оценки рисков невозможно сформировать какого-либо осмысленного набора требований, либо механизмов защиты, пригодного для конкретной организации. Действительно важный вопрос заключается в том, кто и каким образом оценивает риски ИБ и что с ними делать. На этот вопрос не смогут дать ответ ни законодатели, ни регуляторы. Ответ каждой организации приходится искать самостоятельно.

Объектом проектного исследования настоящей работы является небольшой КБ «Столица» (Банк), находящийся в настоящее время на нулевом уровне зрелости управления рисками безопасности. Название организации намеренно изменено в целях сохранения коммерческой тайны реально существующей компании.

Предметом исследования является оценка рисков ИБ при подключении Банка к сети SWIFT через Сервис-Бюро (оценка рисков ИБ шлюза SWIFT).

Цель работы – демонстрация эффективности процесса оценки рисков на примере  вышеуказанного пилотного проекта, реализация на практике риск-ориентированного подхода к обеспечению ИБ.

Положительный опыт, полученный в рамках данного пилотного проекта, позволит перейти к внедрению в будущем данного процесса в других подразделениях, постепенно охватывая всю организацию. Как следствие, постепенно произойдет повышение уровня зрелости организации в вопросах управления рисками ИБ.

В рамках проделанной работы рассмотрены вопросы управления рисками, связанными с информационной безопасностью организации, показана актуальность системного подхода к управлению информационными рисками.
В теоретической части работы:  

• изучены теоретические основы рисков ИБ, даны определения риска ИБ, угрозы, уязвимости ;
• рассмотрены формулы расчета величины риска по двум и по трем факторам;
• рассмотрены подходы к управлению рисками;
• рассмотрены основные этапы процесса оценки рисков;
• рассмотрена структура системы управления рисками;
• изучена процессная модель управления рисками.

В методической части работы:

• изучены наиболее известные методологии оценки рисков ИБ, проведен их анализ, даны рекомендации по выбору методики анализа рисков;
• рассмотрена методика оценки рисков шлюза SWIFT, в основе которой лежит табличный метод оценки рисков по трем факторам;
• приведено обоснование выбора именно этой методики среди множества других методик оценки рисков;
• рассмотрены способы обработки рисков;
• рассмотрен вопрос принятия решений по обработке рисков;
• изучены теоретические основы оценки возврата инвестиций в ИБ;

            В практической части работы:

• в соответствии с выбранной методикой, на основании информации, полученной в ходе интервьюирования специалистов бизнес-подразделений, изучения системной документации и применения инструментов автоматизированного анализа, произведена высокоуровневая оценка рисков ИБ на практике на примере шлюза SWIFT Банка;
• С целью определения приоритетов обработки рисков произведено ранжирование рисков ИБ шлюза SWIFT;
• Подготовлено решение по рискам шлюза SWIFT для рассмотрения руководством Банка и принятия решения по обработке рисков, сформулирован перечень защитных мер рекомендательного характера, принятие которых позволит без существенных финансовых и временных затрат повысить общий уровень информационной безопасности информационных активов шлюза SWIFT Банка.

Основные результаты настоящей работы таковы:

• Соотнесение расходов на обеспечение безопасности шлюза SWIFT с потенциальным ущербом и его вероятностью позволило экономически обосновать необходимость финансовых вложений и обозначило высокий приоритет решения выявленных проблем.
• Выбранная для оценки рисков шлюза SWIFT методология полностью применима для оценки текущего состояния безопасности других информационных систем Банка с целью построения эффективной системы защиты на базе риск-ориентированного подхода.

Управление информационными рисками и построение комплексной системы управления информационной безопасностью – это для каждой организации шаг на качественно иной уровень корпоративного управления, а в некоторых случаях – решающее конкурентное преимущество.

Внедрение системы управления рисками ИБ может быть нетривиальной задачей для многих организаций, только начинающих работу над созданием системы управления информационной безопасностью. Однако оно является отправной точкой для построения эффективной системы защиты, которая будет отвечать бизнес-целям организации.