Дмитрий Моисеев: рецепты по управлению рисками ИБ

23 Января 2015

АВТОР: Дмитрий Моисеев, CISSP, руководитель практики аналитических систем

Дмитрий Моисеев, CISSP, руководитель практики аналитических систем компании «Астерос Информационная безопасность» (группа «Астерос»), публикует пошаговую инструкцию по построению системы управления рисками в компании любого масштаба на страницах журнала «Информационная безопасность».

Управление рисками ИБ в любой компании начинается прежде всего с правильного выстраивания процессов. Настало время задуматься об автоматизации. Здесь может возникать множество вопросов и трудностей, и, как в любом хорошем рецепте, важна последовательность действий и «правильные» ингредиенты. Рассмотрим это на конкретных примерах.

Выбрать способ автоматизации

Можно пойти как минимум двумя путями.

Во-первых, использовать так называемые «конструкторы-опросники». Они позволяют частично автоматизировать и упростить создание моделей оценки рисков ИБ, оценки уровня соответствия, а также предоставить удобный инструмент для работы с этими моделями. Минус таких систем в том, что они не интегрируются с очень полезными поставщиками данных для процесса оценки рисков — CMDB и SIEM-системами, сканерами безопасности, из-за чего актуальность исходных данных необходимо поддерживать вручную. Поэтому такой подход может быть интересен организациям, уровень зрелости IТ и ИБ которых пока недостаточно высок.

Компании с развитой IТ-инфраструктурой могут позволить себе полноценные IT GRC-решения, обладающие широким функционалом: сбора информации от различных систем (CMDB, SIEM, сканеров безопасности), настройки workflow, измерения заданных KPI процессов, ведения динамической и статической отчетности. Такие системы, как правило, дорогостоящие — средний проект по внедрению составляет от $200 тыс. до 600 тыс. Но это оправдано тем, что они позволяют существенно повысить качество и достоверность результатов оценки.

Ограничиться только необходимым функционалом средства автоматизации

Если в компании уже есть корпоративная GRC-система, то оптимально выстроить процесс управления рисками ИБ на ее платформе. В противном случае при выборе решения следует тщательно изучить его функциональные возможности. Так, полноценные IT GRC, помимо оценки IТ-рисков, могут иметь неотъемлемый функционал, покрывающий множество задач, например оценка операционных рисков. Стоит это недешево, к тому же 80% его возможностей впоследствии может и не использоваться.

Начать с малого и постепенно расширять скоуп

Используя специализированные системы для оценки рисков ИБ, не нужно пытаться охватить сразу все активы. Следует идти поэтапно, сначала выделить наиболее критичные и провести оценку рисков только для них. Также не стоит сразу углубляться в детали и строить модель активов вплоть до конкретных серверов и их IP-адресов. Целесообразнее начать с верхнеуровневых групп и остановиться, например, на уровне информационных систем и типов обрабатываемых данных. Это дает возможность снизить трудозатраты на первом этапе и быстрее получить результаты оценки рисков ИБ.

Не останавливаться после первой итерации, процесс должен быть непрерывным В процессе управления рисками ИБ важно иметь возможность отслеживать их динамику. Это необходимо для того, чтобы понимать эффективность ИБ-проектов в компании. Если нет динамики, то сложно показать результаты работы службы ИБ. Поэтому оценку рисков необходимо выполнять на регулярной основе.

Рассказывать руководству о результатах

Любой проект по информационной безопасности можно оценить с точки зрения его влияния на риски ИБ. Соответственно, будет полезно предоставить руководству результаты их снижения. С помощью современных систем класса IT GRC она предоставляется быстро и в наглядном виде. К тому же можно практически в режиме реального времени отслеживать динамику снижения рисков.

Измерять KPI и контролировать

Важно оценивать эффективность любого процесса, в том числе и управления рисками ИБ. Выявлять проблемные области и недостатки можно с помощью измеримых метрик эффективности. При этом автоматизация их измерения и уведомления об отклонениях от предельно допустимых значений существенно сэкономят время на анализ и принятие решения о внесении корректирующих мер.

В заключение

Управление рисками ИБ — это один из немногих инструментов, позволяющих службе ИБ говорить на одном языке с бизнесом, показать и доказать свою ценность для компании. Это совокупность трех взаимосвязанных компонентов — людей, процессов и технологий, в которых процессы не работают без людей, а люди — без процессов. А технологии поддерживают и процессы, и людей.

НАВЕРХ