В. Андрианов - Обеспечение информационной безопасности бизнеса
Что касается комбинированного подхода, то он, как правило, сочетает базовый подход с подробным анализом риска, что в итоге признано наиболее эффективной стратегией. Однако определение того, какой подход должен использоваться в определенной ситуации, является нелегкой задачей. Решение о наилучшем подходе зависит от требований безопасности для информационных активов (таких как требования бизнеса, правовые и регулятивные требования и договорные обязательства, касающиеся безопасности, и т. д.).
Целью комбинированного подхода является оценка среды, окружающей каждый информационный актив, и использования соответствующего подхода для анализа риска. Рис. 37 иллюстрирует пример комбинированного подхода.
Оценка риска начинается с идентификации рисков. Однако идентифицируемые риски являются абстрактными, и их трудно понять. Риск формируется из взаимосвязей между несколькими источниками риска. Взаимосвязь между рисками и источниками риска определяется из «ценности активов», «факторов риска» и «уязвимостей».
В процессе идентификации рисков, должны решаться следующие две задачи:
— идентификация информационных активов;
— идентификация факторов риска и уязвимостей.
Идентификация информационных активов включает определение «лиц, отвечающих за информационные активы», подготовку и выполнение инвентаризационной описи активов.
В общем случае в инвентаризационной описи информационных активов должны быть представлены следующие сведения по каждому активу:
— лицо, отвечающее за информацию (владелец или менеджер информационных активов);
— формат информационных активов;
— формат хранения;
— местоположение хранения;
— длительность хранения;
— как следует снимать с эксплуатации активы;
— использование активов;
— масштаб пользователей (и бизнес-процессов);
— зависимости от других процессов.
Отдельная идентификация информационных активов и понимание их свойств будут полезны при идентификации факторов риска и уязвимостей, связанных с последующими задачами, и определении ценности активов. В целом процесс идентификации информационных активов иллюстрирует рис. 38.
«Факторы риска» являются потенциальной причиной инцидентов безопасности, которые могут приводить к потере или повреждению информационных активов организации. Как и в случае определения ценности информационных активов, идентифицируются факторы риска, которые могут оказывать влияние на информационные активы организации. На основе информации о факторах риска, предоставляемой пользователями информации, причастными сторонами из других отделов и внешними специалистами формируется список актуальных угроз и их источников — факторов риска.
Степень детализации в задачах идентификации информационных активов, факторов риска и уязвимостей определяется выбранным подходом к оценке рисков. Оценка риска может проводиться любым, отвечающим выбранному подходу к оценке рисков методом. Принципиальным здесь является лишь то, что результаты такой оценки должны нас максимально близко подвести к соответствующим типам и видам защитных мер, использование которых предполагается обосновать результатами оценки рисков.
Защитные меры (меры контроля рисков информационной безопасности, рисков бизнеса в информатике), использование которых планируется обосновать результатами оценки рисков, подлежат в последующем отражению в так называемом «Плане обработки рисков». Наряду с предполагаемыми к использованию защитными мерами в плане обработки рисков должны быть зафиксированы стратегии, предполагаемые к реализации организацией в рамках реагирования на выявленные недопустимые риски. Такая стратегия наряду с использованием защитных мер может включать решения по переносу рисков (на клиентов, контрагентов и т. д.), уходу от рисков (прекращение рисковых операций и т. д.) или принятию рисков (ничего не предпринимается).
В случае, если организация в последующем планирует осуществление формального аудита СМИБ или иные подобные шаги, имеющие цель декларирование следования лучшим практикам и международным стандартам в области обеспечения информационной безопасности, результаты этапа «планирование СМИБ» должны включать формальный документ «Формулировка (ведомость) применимости». Документ «Формулировка (ведомость) применимости» (оригинальное его наименование Statement of Applicability) имеет преимущественно единственное предназначение: показать, какие требования из каталога мер контроля (защитных мер) стандарта СМИБ реализованы в сфере действия стандартной СМИБ, а какие нет и почему. Потребителями подобных сведений наряду с внешними аудиторами могут быть и лица высшего руководства организации (органа корпоративного управления информационной безопасностью организации, кураторы ИБ). В целом же для практических задач это абсолютно бесполезный документ, который может быть и вредным, если не имеет процедур поддержки его в актуальном состоянии. В этом случае он может ввести в заблуждение лиц высшего руководства организации в случае попытки использования этого документа в своих целях по истечении продолжительного периода времени.
Выработанные на этапе планирования решения должны составить основу основным работам по внедрению/совершенствованию операционной деятельности организации в сфере обеспечения информационной безопасности (естественно, что это касается сферы действия СМИБ). В общем случае это может включать следующие 7 шагов, представленных на рис. 39, выполнение которых уже не предполагает строгую последовательную реализацию, когда последующий шаг не может быть выполнен, так как потребляет (использует) результаты предыдущего (см. шаги этапа «Планирование СМИБ»). Названия документов, представленных на рис. 39, являются примерными.
Отдельные шаги реализации СМИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию), имеющие собственные самодостаточные регламентирующие нормы в организации, включая организационную и ресурсную поддержку. Это может быть также следствием решений организации в результате реализации требований нескольких стандартизированных систем менеджмента (не только стандартной СМИБ, но и иных стандартизированных менеджментов). Как отмечалось ранее, практически все международные стандарты на системы менеджмента методологически совместимы, что позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т. п. Процедуры для реализации и управления системой менеджмента информационной безопасности могут быть организованы как система (дерево) процессов (в нотации процессного подхода). При принятии организацией решений о выборе нотации процессного подхода целесообразно обратиться к рекомендациям поддерживающего стандартные требования к СМИБ документа (см. рис. 30): ISO/IEC 27003 «Руководство по реализации СМИБ» [14]. Положения данного международного стандарта основываются на методологии процессного подхода, включая спецификацию всех формальных атрибутов возможных процессов, вытекающих из стандарта требований к СМИБ [11].
