Международные стандарты и управление рисками в IT-технологиях

     данные  для руководителей  подразделений и  топ-менеджмента (планы  стратегического развития).

     В итоге получается матрица информационных потоков, каждому уровню которой  соответствует определенный уровень  доступа.

     Разработкой регламентов, касающихся информационной безопасности, занимается отдел реинжиниринга  и стандартизации бизнес-процессов. Основываясь на этих регламентах, каждый руководитель подразделения формирует для своих сотрудников должностные инструкции и назначает ответственных за соблюдение информационной безопасности в рамках своего подразделения.

     Техническая работа по обеспечению информационной безопасности заключается в дублировании важных функций, от которых зависят сохранность и целостность информации, а также непрерывность работы компании (например, установка запасных серверов, систем резервного копирования). Чтобы минимизировать риск сбоев, мы используем только технику от надежных производителей. Затраты на нее окупаются, так как убыток от простоя информационных систем в течение нескольких часов многократно превысит их стоимость, а потеря информации может вообще парализовать работу предприятия.

     Обеспечение информационной безопасности — это, в первую очередь, вопрос эффективности  затраченных средств, поэтому расходы  на защиту не должны превышать суммы  возможного ущерба.

     Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их экономическую эффективность. Расчетом эффективности и обоснованием расходов на заседании бюджетного комитета занимается менеджер направления, которое заинтересовано в снижении риска.

     опасности, чтобы персонал мог  принять меры

     Для обеспечения необходимой  защиты от IT-рисков и  контроля безопасности можно провести следующие  мероприятия.

     Определить  круг лиц, отвечающих за информационную безопасность, создать нормативные  документы, в которых будут описаны действия персонала компании, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.

     Разработать единые стандарты информационных систем в рамках организации, то есть перейти  к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.

     Классифицировать  данные по степени конфиденциальности и разграничить права доступа  к ним.

     Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

     Внедрить  средства контроля, позволяющие отслеживать  состояние всех корпоративных систем: в случае несанкционированного доступа  система должна или автоматически  запрещать вход, или сигнализировать  об опасности, чтобы персонал мог  принять меры.

     Помимо  перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:

     проанализировать  сценарии проникновения посторонних  лиц или не имеющих соответствующих  полномочий сотрудников компании во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

     разработать варианты решения проблем, связанных  с кадрами, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;

     подготовить запасные информационные мощности (серверы, компьютеры), а также резервные  линии связи.

     Если  бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре компании (например, исполнительный директор).

     Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

     Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

     Суть  управления рисками – формирование того или иного суждения на основе имеющейся  информации. В контексте принятия государственных решений при этом могут и должны использоваться формальные инструменты анализа, которые также требуется совершенствовать. Но они не могут заменить собой сам акт формирования того или иного суждения.

     В каждой сфере деятельности государства для эффективного управления рисками следует уделить внимание пяти вопросам общего характера:

     Что может случиться (выявление потенциального риска). В каждой сфере требуется  регулярное изучение реальной ситуации, включая строгую научную оценку имеющихся тенденций, возможностей, опасностей, вероятности их возникновения и ожидаемого воздействия. В большинстве случаев такое исследование нужно поручать людям, не имеющим личной заинтересованности в той или иной области деятельности, чтобы обеспечить объективность. Везде, где это, возможно, следует пользоваться не только официальными, но и неофициальными каналами информации.

     Что важно (оценка). Установив, что может случиться, правительство должно сформировать оценочные суждения о желательности или нежелательности различных результатов, учитывая, например, важность обеспечения надежной работы службы, преимущества, которые принесет та или иная инновация, или место рассматриваемой деятельности в рамках общественного договора между государством и его гражданами.

     Что можно сделать (действия). Установив, что является важным, правительство должно составить план того, каким образом избежать, смягчить, предусмотреть или иным образом проконтролировать потенциальный риск, учитывая в этом плане и фактор неопределенности. В некоторых случаях важно иметь запасной план на случай непредвиденного развития событий. В других следует выделить ресурсы и возможности для решения возможных непредвиденных проблем.

     Что произошло (анализ). Предприняв какие-либо действия на начальном этапе, государство должно проанализировать, был ли достигнут ожидаемый эффект, следует ли внести поправки в существующую оценку риска и нужно ли предпринимать дальнейшие действия. Все это должно сопровождаться эффективным обменом информацией как с теми, кто может пострадать в связи с рассматриваемым риском, так и с теми, кто может помочь справиться с этим риском.

     1.3.Основные концепции и термины управления рисками

     Терминология  управления рисками иногда подразумевает  более четкий и логически выстроенный процесс, чем это возможно в реальной жизни. Особенно это касается деятельности государства. Государству приходится иметь дело с более сложными условиями работы, с большим числом переменных и более сильным влиянием субъективного фактора, чем, к примеру, бизнесу. Кроме того, государство вынуждено находить баланс между противоборствующими позициями. Управление рисками связано как с ценностями в самом общем понимании, так и с ценностью в более узком, материальном понимании.

     Терминология  риска в некоторых случаях может вводить в заблуждение. Разные люди

     приписывают основным терминам разные значения. Важно  выработать общий язык, который был  бы понятен и тем, кто работает в системе государственного управления, и всем остальным. Целый ряд определений приводится в разъяснительных документах, выпущенных Администрацией Премьер-министра. Мы по возможности используем эту терминологию, но считаем нужным адаптировать и дополнить ее, чтобы охватить весь спектр деятельности государства в области управления рисками. К основным общим концепциям относятся следующие:

     Риск означает неопределенность результата, включая как позитивные (новые возможности), так и негативные (угрозы) последствия действий или событий. Это сочетание вероятности возникновения результатов и ожидаемого их воздействия, включая субъективное восприятие важности. В данном определении заключается признание того, что деятельность государства связана со значительной долей неопределенности. Мы намеренно избегаем определений риска на основе измеримости (например, экономического разделения между риском и неопределенностью). Во многих случаях, когда речь идет о наиболее актуальных для государства рисках, для их оценки требуется не только объективное измерение, но и значительный элемент субъективного суждения (например, будет ли та или иная политика пользоваться общественной поддержкой);

     Управление  рисками включает в себя все процессы, связанные с выявлением, оценкой и формированием суждения о рисках, принятием мер, чтобы смягчить или предусмотреть риск, а также с порядком мониторинга и анализа. Либо, согласно определению Администрации Премьер-министра, это организация эффективного по затратам процесса в отношении того или иного риска. Для управления рисками должны быть в наличии: порядок мониторинга рисков; доступ к достоверной и актуальной информации о риске; оптимальный уровень государственного контроля для управления этими рисками и порядок принятия решений на основе анализа и оценки риска.

      Меры, принимаемые в ситуации риска – этот термин мы употребляем в более широком значении, включая как процессы собственно управления рисками (риск-менеджмент), так и вопросы общего плана, такие как подход государства к проблеме, его роли и обязанности, организационная культура. Существует опасность, что управление рисками будут воспринимать как чисто механический процесс. Это вредная тенденция, способная привести к тому, что реальные и важные проблемы будут упущены из виду. Поэтому в данном отчете особо подчеркивается ключевая роль обоснованного суждения в каждом аспекте управления рисками. 
 
 
 
 
 
 
 
 

Глава 2.Стандарты управления информационной безопасностью

     2.1.Международный стандарт управления информационной безопасностью ISO 17799

     Какой вопрос чаще всего задают руководители высшего звена компании ИТ-менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: «Насколько защищена наша информационная система?».

     Этот  вопрос действительно является краеугольным камнем информационной безопасности и  тем самым «тонким» местом, которое обычно стараются избегать специалисты по безопасности. Оценить защищенность информационной системы достаточно сложно… но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку («система защищена на 4.2 балла или на 58%»), а качественную — система соответствует определенному классу или уровню защищенности; тому или иному стандарту безопасности. Количественные методы оценки на практике не нашли своего применения. Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.

     Критерии  проведения аудита безопасности информационных систем

     Перейдем  к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте  безопасности, проверку на соответствие которому будет выполнять аудитор. В России привычной практикой при проведении аудита является выполнение данных работ без привязки к какому-либо критерию или стандарту — аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своим пониманием об уровнях и критериях защиты. В общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на оценке экспертов, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.

     Международный стандарт безопасности информационных систем ISO 17799

     Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и других, занялся разработкой стандарта информационной безопасности. В 1995 году был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компаний начали работать согласно общему регламенту. Неважно, шла ли речь о защите бумажного документооборота