А так ли уж велики риски и потери, связанные с информационной безопасностью? По данным «Лаборатории Касперского», в 2013 году 95% российских компаний хотя бы один раз подвергались кибератаке, а 8% стали жертвами целевых атак. Средний размер ущерба из-за одного инцидента ИБ составил 14 тыс. долл. для небольших организаций и 695 тыс. — для крупных. Вынужденный простой средним и малым компаниям обходится примерно в 13 тыс. долл., а крупным — около 791 тыс. долл. Средние финансовые потери из-за упущенных возможностей малых и средних компаний оцениваются в 16 тыс. долл., а максимальный ущерб — 375 тыс. долл. По информации Zecurion Analytics, максимальный финансовый ущерб от одного инцидента внутренней утечки данных в России составил более 4 млрд руб.
Недооценка влияния рисков ИБ на бизнес свойственна не только российскому менеджменту. Об этом, в частности, свидетельствуют данные Deloitte: 49% членов советов директоров в глобальной выборке не включают риски возникновения угрозы ИБ в обсуждение текущих технологических вопросов, а 27% опрошенных вовсе не обсуждают вопросы, касающиеся технологических рисков.
«Организациям следует внедрять единые процессы оценки рисков, а также методику определения приемлемого их уровня и проведения их «обработки», то есть снижения уровня неприемлемых рисков к приемлемой величине путем выбора и внедрения средств контроля угроз и уязвимостей, исключения риска или его передачи другой стороне. Такой подход позволяет ранжировать риски по их значимости для бизнеса и принимать методически обоснованные решения по контролю рисков, в том числе об инвестициях, — считает Алексей Грачев, руководитель направления консалтинга компании ЕМС в России и СНГ. — Методика также должна учитывать ценность бизнес-активов, связанные с ними угрозы, степень их уязвимости, существующие меры контроля, вероятность реализации угрозы и измеряемые последствия для бизнеса. Наиболее зрело этот подход изложен в стандартах ISO 27000».
По мнению Грачева, противопоставлять бизнес-риски и риски ИБ не очень корректно: «Управление ИБ — это часть общей системы управления организацией, и операционные риски бизнеса включают в себя риски ИБ». По его наблюдениям, предприятия с высоким уровнем организационной зрелости уже создали дирекции управления рисками или департаменты безопасности. Эти подразделения работают со всеми типами бизнес-рисков: экономическими, финансовыми, информационными, физическими, технологическими, а также некоторыми специфическими рисками, которые характерны для той отрасли, в которой ведет свою деятельность компания.
Михаил Башлыков, руководитель направления информационной безопасности компании «Крок», тоже считает, что бизнес-риски, ИТ-риски и риски ИБ нужно воспринимать комплексно: «Допустим, есть бизнес-риск отзыва у банка лицензии. Составной его частью является риск невыполнения закона о персональных данных, далее он снова дробится: его первопричиной является недостаточная защита систем, в которых персональные данные хранятся и обрабатываются, и это уже риск информационной безопасности». Управлять подобными рисками нужно, но руководство должно подойти к этому вопросу взвешенно. И именно владельцы бизнеса и топ-менеджеры могут ранжировать риски, поскольку обладают наиболее полной информацией о ситуации в компании.
Сергей Лышенко, руководитель отдела специальных проектов и технической защиты информации компании «Аквариус», полагает, что отображение рисков ИБ на бизнес-риски не только возможно, но и необходимо: «Согласно российским нормативным документам, система менеджмента безопасности является частью общей системы менеджмента и основана на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности». Руководитель подразделения ИБ организации должен хорошо знать бизнес-процессы своей организации. Но, к сожалению, у многих российских подразделений ИБ нет четкого представления о внутренних бизнес-процессах своих организаций, поэтому говорить об управлении рисками ИБ можно с большой натяжкой. Проблему создает и то, что подразделения ИБ разговаривают с бизнесом на сугубо техническом языке. Ситуация изменится, когда подразделение ИБ научится переводить на язык бизнеса свои доводы о необходимости новых закупок и обучения сотрудников (причем не только служб ИБ и ИТ, но и бизнес-подразделений).
Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», уверен, что правильно организованный риск-менеджмент включает в себя и управление рисками ИБ. Он напоминает, что стандарт ГОСТ Р ИСО/МЭК 27005-2010 прямо рекомендует учитывать все бизнес-процессы предприятия, ГОСТ Р ИСО/МЭК 31010-2012 предоставляет 31 инструмент анализа, ГОСТ Р ИСО/МЭК 13335 дает алгоритмы и рекомендации всестороннего исследования рисков, а ГОСТ Р 51901 является описанием практических методик оценок.
Подходы к отображению
Какой последовательности действий следует придерживаться, чтобы адекватно сопоставить риски ИБ и бизнес-риски?
Башлыков рекомендует сначала проанализировать существующие бизнес-риски, затем выявить среди них риски, относящиеся к ИБ, и распределить их по важности.
По мнению Сабанова, специально придумывать алгоритм сопоставления рисков ИБ и бизнеса не нужно, поскольку уже есть методики, описывающие порядок оценки рисков. Например, согласно рекомендациям широко применяемого ГОСТ Р ИСО/МЭК 13335-1-2006, даже самый общий качественный анализ верхнего уровня сможет показать влияние рисков ИБ на устойчивость бизнеса предприятия.
«При моделировании бизнес-рисков обычно составляется карта рисков организации, — рассказывает Лышенко. — После процедуры идентификации всех активов организации, построения модели угроз безопасности информации, выделения информационных активов, подверженных угрозам, станут возможны соотнесение рисков нарушения ИБ с бизнес-рисками и построение неких стоимостных оценок рисков ИБ».
Как отмечает Сабанов, среди методов риск-менеджмента можно условно выделить два базовых. Первый подразумевает применение приобретенных и освоенных экспертом инструментов анализа. Преимуществами такого подхода являются достаточно быстрые результаты анализа, недостатком — то, что далеко не каждый инструмент напрямую годится для анализа рисков в условиях российского предприятия. Другой подход состоит в последовательном применении стандартов ГОСТ Р 51901, 13335, 27001, 27002, 27005, 31010, а также отраслевых и корпоративных стандартов и рекомендаций для самостоятельной разработки проекта риск-менеджмента. В этом случае экспертами описываются область и цели исследования, угрозы и уязвимости, модель угроз на основе анализа атак, строятся деревья событий и отказов, приводится обоснование модели защиты, проводится анализ рисков при использовании различных систем защиты рисков, описываются процессы принятия или перекладывания рисков и т. д. Преимуществом такого подхода является глубина анализа, недостатками — необходимость наличия квалифицированных экспертов и продолжительность самого анализа. «Безусловно, этот подход не отменяет применения программных средств анализа для уточнения количественных характеристик», — добавляет Сабанов.
По наблюдениям Лышенко, для автоматизации процесса оценки рисков информационной безопасности сегодня используются как электронные таблицы вроде Microsoft Excel, так и специализированные программные инструменты (RA2 art of risk, vsRisk, Callio Secura17799, CRAMM, RiskWatch, Risk Manager и многие другие).
Болевые точки
Наверняка у организации есть бизнес-риски, наиболее коррелированные с рисками ИБ. Как их выявить? И как адекватно оценить, насколько уменьшатся бизнес-риски, если удастся снизить риски ИБ?
По словам Лышенко, наиболее чувствительные к нарушениям ИБ бизнес-риски определяются по итогам комплексного анализа выявленных угроз ИБ бизнес-активов и совокупности таких величин, как потери от реализации угрозы (материальная, репутационная), уровень снижения производительности персонала при реализации угрозы, вероятность реализации угрозы, уровень критичности актива организации и прочих.
Сабанов отмечает, что чувствительность бизнес-рисков к рискам ИБ выявляется практикой. И добавляет: «Возможны случаи аналитического определения связи при проведении анализа рисков конкретного предприятия и построения адекватных моделей».
По наблюдениям Башлыкова, чаще всего риски экспертно оценивают в категориях от «очень высокий» до «очень низкий», после чего создают систему координат в борьбе с рисками.
Чтобы оценить, насколько уменьшатся бизнес-риски при снижении рисков нарушения ИБ, Лышенко рекомендует «зафиксировать» состояние актива как минимум в двух позициях. Например, если речь идет о резервном копировании, то первая позиция такова: система резервного копирования отсутствует, и массивы обрабатываемой критичной информации не резервируются. Вторая: система есть и работает, персонал обучен, производится периодический контроль резервных копий массивов. Ожидаемый эффект от внедрения — сокращение времени восстановления информации и, соответственно, сокращение финансовых затрат.
Идеальный вариант — встроить управление рисками ИБ в общую систему управления рисками организации. Благодаря усилиям регуляторов этот подход широко реализуется в финансовых организациях. Кроме того, он получает распространение в компаниях с достаточно высоким уровнем организационной зрелости. Еще одно обстоятельство, которое также будет способствовать распространению данной схемы, — усиливающаяся зависимость бизнеса от ИТ, его «цифровизация». Эта тенденция станет главной движущей силой, побуждающей организации комплексно управлять рисками ИБ, ИТ и бизнеса.