В 2016 году наша команда начала проект по внедрению риск-ориентированного подхода в управлении информационной безопасностью в «БАРС Груп», сопровождением которого мы занимаемся и на данный момент. Основные цели на старте проекта — переход к проактивному управлению информационной безопасностью и эффективное использование ограниченных ресурсов для снижения основных рисков. Спойлер! Наши цели были успешно достигнуты, но сегодня поговорим о другом. Я хочу поделиться определенными алгоритмами и методами, которые были выработаны при внедрении этого подхода. Меня зовут Ильдар Гарипов, я являюсь руководителем службы информационной безопасности в «БАРС Груп». Начнем!

Организационная структура комитета

Первое, что было сделано для внедрения риск-менеджмента — получена поддержка руководства и возможность привлечения ключевых работников (экспертов) компании в процесс реализации риск-менеджмента. Нами был сформирован комитет по управлению рисками ИБ, в него вошли следующие работники: исполнительный директор, руководитель службы информационной безопасности, ИТ-директор, финансовый директор, руководитель юридической службы, технический директор, HR-директор.

Основные этапы

Далее был разработан процесс управления рисками. В качестве источников знаний использовались следующие ГОСТы:

• ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. 

• ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. 

• ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 

• ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. 

• ГОСТ Р 51897-2011. Менеджмент риска. Термины и определения.

После разработки процедуры было проведено обучение для комитета, чтобы сформировать общее понимание и единый подход.

Подход к оценке и расчету рисков

Основная задача при выборе методики оценки рисков для нас — простота и удобство, так как сложные методики могли породить ошибки в вычислениях и исказить значение риска при его расчете. Нами была выбрана качественная методика, где для оценки и расчета риска необходимо знать две переменные величины: вероятность и ущерб. Расчет проводился методом экспертных оценок. 

Первый шаг — определение вероятности возникновения угроз для конкретного информационного актива. Для снижения погрешности метода экспертных оценок добавили методику выбора вариантов:

Второй шаг — выявление ущерба, который может нанести конкретная уязвимость информационному активу.

На основании оценки ущерба и вероятности возникновения риска рассчитывали значение (величину) риска, используя следующую таблицу.

Ранжирование риска производили на основе значения риска и цветовой маркировки.

Например, произошла кража актива в результате сбоя системы контроля доступа. В данном случае владельцем риска будет выступать руководитель административного отдела. Уровень риска — 4, то есть средний. Для того, чтобы минимизировать этот риск необходимо проработать с арендодателем схемы взаимодействия по охране помещения в случае отключения системы контроля доступа.

Итог

Используя описанный подход к управлению рисками информационной безопасности, мы определяем приоритетные задачи, направленные на повышение уровня информационной безопасности с учетом требований бизнеса и фокусируемся на конкретных задачах. Данный цикл мы провели уже несколько раз — анализируем полученные результаты и вносим корректирующие мероприятия, направленные на улучшение процесса.