О преимуществах системного подхода к управлению рисками

Александр Астахов
GlobalTrust

Негативное влияние финансового кризиса на информационную безопасность

Во время финансового кризиса многие директора служб информационной безопасности оказались в довольно непростом положении. Руководители и собственники организаций всецело сосредоточились на финансовых рисках и сокращении расходов. На управление всеми прочими рисками у них осталось значительно меньше времени и денег.

Интерес к вопросам информационной безопасности был несколько подогрет со стороны законодателей, поскольку с 1 января 2010 г. должен был вступить в полную силу Федеральный закон № 152-ФЗ "О персональных данных", накладывающий на операторов персональных данных недвусмысленные обязанности по защите этих данных. Однако в силу непростой финансовой ситуации, отсутствия внятных и соответствующих реалиям требований по обеспечению безопасности персональных данных, а также в силу нашедших подтверждение слухов о переносе сроков приведения информационных систем персональных данных в соответствие с данным законом лишь немногие компании пока отважились вложиться в соответствующие мероприятия.

Кроме того, во время финансового кризиса усиливаются не только финансовые риски, но и информационные. Массовые сокращения, урезание бюджетов и фондов оплаты труда приводят к усилению внутренней напряженности в коллективах и появлению большого количества сотрудников, недовольных своими работодателями и имеющими соответствующую мотивацию и возможности для реализации внутренних угроз в отношении информационных активов организации как самостоятельно, так и в сговоре с внешними сторонами. Такая аргументация в пользу усиления функций информационной безопасности, конечно, может оказывать определенное воздействие на руководство организации, однако все же сложно ожидать от руководства, которое и "в мирное-то время" уделяло вопросам информационной безопасности явно недостаточное внимание, серьезного разворота именно в эту сторону.

Традиционные методы убеждения руководства или система управления рисками?

Красноречие директоров информационной безопасности, методы запугивания, технологии "быстрых побед", требования законодательства и другие методы воздействия на лиц, принимающих решения, конечно, никто не отменял. Все, что срабатывало до кризиса, может сработать и сейчас. Однако не стоит питать иллюзий. Во время финансового кризиса в основном происходит сокращение бюджетов и штатной численности персонала служб информационной безопасности.

Исключение могли бы составить лишь те организации, в которых существует система управления информационными рисками. Они разительно отличаются от остальных, в которых присутствуют лишь отдельные элементы управления рисками, но нет сбалансированной системы. Различие это проявляется, прежде всего, в стабильно высоких результатах деятельности, которые существенным образом превышают среднестатистические показатели. В таких организациях решения о финансировании информационной безопасности принимаются на основании результатов оценки рисков таким образом, чтобы максимизировать возврат инвестиций. Другие методы принятия решений здесь отходят на второй план, поскольку в отлаженной системе управления технология организации работы, поставленный документооборот, а также общие цели и правила имеют куда большее значение, чем "свободное творчество" и изворотливость отдельных менеджеров информационной безопасности.

Преимущества системного подхода к обеспечению информационной безопасности, казалось бы, вполне очевидны. В то же время для большинства директоров по безопасности рассказы о системах менеджмента, сбалансированной системе управления рисками, риск-ориентированном подходе и максимизации возврата инвестиций в информационную безопасность напоминают сказку про белого бычка, так как живем мы обычно совсем в другой реальности, где существует огромная пропасть между теорией и практикой.

Сущность системного подхода к управлению рисками

Любая система управления, выстроенная по модели Деминга (на которой базируются все современные международные стандарты в данной области), обладает большим запасом прочности, способностью к самовосстановлению и самосовершенствованию. Все элементы такой системы находятся во взаимодействии в рамках формализованных процессов и непрерывно контролируются. Если стабильность каких-то элементов нарушается, то на них немедленно оказывается корректирующее воздействие. Если какой-то элемент выходит из строя, то он легко заменяется на новый, так как все элементы и взаимоотношения между ними формализованы. Если даже новый элемент по своим характеристикам не тождествен старому, то ничего страшного не происходит, так как непрерывный мониторинг и корректировка этого элемента позволяют привести его в соответствие с целями и задачами системы. Это относится к любым системам управления, включая системы управления безопасностью,  рисками,  непрерывностью, ИТ-сервисами, качеством, продажами, проектами, поставками и т.д.

Однако создание самоорганизующихся систем по Демингу - задача крайне непростая, требующая высокой степени профессионализма и отработанной "методы". Например, во всех организациях есть продавцы, но далеко не каждая может похвастаться наличием такой эффективной системы продаж, как у лидеров рынка.

Любая система продаж строится из трех основных элементов:

• особым образом отобранные и подготовленные кадры;
• технологии и стандарты продаж, включая внутренний документооборот отдела продаж;
• процесс управления отделом продаж, реализуемый его руководителем, и конкретные обязанности этого руководителя и его сотрудников.

Если в чем-то из перечисленного существует "прокол", например, не проводится обучение продавцов, отсутствует четкое распределение ответственности, либо не осуществляется документирование деловых контактов, то говорить об эффективных продажах вряд ли возможно.

Во многих организациях управляют проектами, но лишь в немногих существует эффективная система управления проектами, которая строится из тех же трех элементов, что и
система продаж. Такие организации способны меньшими силами выполнять значительно большее количество более сложных проектов, при этом обходясь без эксцессов.

Многие производственные компании используют определенные процедуры по контролю качества, однако эффективная система контроля качества, выстроенная по модели Деминга, есть не у всех. Отсюда заметная разница в производимой продукции.

Такие же наблюдения характерны и для моделей управления рисками и безопасностью, применяемых в организациях. Опыт внедрения и сертификации систем управления информационной безопасностью организаций по требованиям международного стандарта ISO 27001, а также опыт проведения аудита таких систем показывает, что практически во всех организациях можно найти отдельные механизмы контроля, описанные в стандарте, однако отсутствует фундамент, объединяющий эти механизмы в систему, позволяющую получать гарантированный, стабильный и измеримый результат. Для информационной безопасности таким результатом является сокращение среднегодовых потерь и повышение возврата инвестиций в безопасность без ущерба для интересов бизнеса.

Необходимые компоненты системы управления рисками

Фундаментом любой системы управления информационной безопасностью служит система управления рисками, представляющая собой:

1. совокупность взаимосвязанных формализованных процессов, обеспечивающих анализ и планирование, реализацию и эксплуатацию, мониторинг и аудит, корректировку и совершенствование механизмов управления рисками;
2. стандарты и технологии управления рисками, представленные в виде нормативной и рабочей документации, включающей в себя политику управления рисками и методологию оценки рисков, а также еще около 20 рабочих документов, из которых самыми важными являются реестр информационных рисков и план обработки рисков;
3. организационную структуру управления рисками и соответствующим образом подготовленный персонал. Роли и ответственность за функционирование процессов управления рисками распределяются между руководством организации, управляющим комитетом по информационной безопасности, рабочей группой по оценке рисков, владельцами активов, пользователями и обслуживающим персоналом информационных систем, менеджером информационной безопасности, риск-менеджером и аудиторами.

Практика внедрения и сертификации СУИБ самых разных компаний показывает, что оценка рисков - это ахиллесова пята современных организаций, обычно вызывающая наибольшие затруднения. Во многих случаях ситуация такова, что руководство организации не располагает необходимой и своевременной информацией о рисках информационной безопасности для принятия адекватных решений в этой области, контроля реализации и оценки эффективности принятых решений. Во многих организациях отсутствует система сбора и анализа информации об информационных рисках, механизмы обработки и пересмотра рисков, механизмы коммуникации рисков и другие необходимые элементы, без которых система управления рисками не работает.

Не может СУИР функционировать и без четко определенных и согласованных со всеми участниками процесса критериев оценки и принятия рисков, области оценки и других элементов, определяемых политикой управления рисками.

Не стоит также забывать и о целях управления рисками, способах оценки достижения этих целей, методах измерения эффективности механизмов контроля и системе поощрения персонала, которая должна быть связана с достижением целей СУИР и эффективностью реализуемых механизмов контроля.

У многих ли менеджеров информационной безопасности и риск-менеджеров зарплата зависит от достижения целей управления рисками и возврата инвестиций? Чем тогда эти менеджеры мотивированы на достижение результатов? Ведь, как известно, материальное стимулирование является одним из основных способов мотивации персонала.

Естественные трудности внедрения системы управления рисками и их преодоление

Разработка и внедрение системы управления информационными рисками - достаточно трудоемкий процесс, требующий как высокого профессионализма, так и значительного опыта в управлении рисками. Теоретически каждая организация, начинающая осознавать свои потребности в обеспечении информационной безопасности, в состоянии двигаться по пути создания системы управления информационными рисками самостоятельно, однако на практике многие заходят в тупик на этом пути.

Происходит это не только из-за недостатка опыта или квалификации. Внедрение системы управления информационными рисками зачастую связано с серьезными изменениями существующей системы управления организацией и пересмотром принятых подходов к принятию решений. Это особенно сложно сделать, если в организации до сих пор вообще отсутствовала какая-либо система управления рисками (ERM-система) и необходимых элементов такой системы просто не существует. В этом случае изменить систему управления изнутри крайне сложно. Ведь любая система стремится к стабильности и сохранению своего прежнего состояния.

Поэтому во многих случаях помощь со стороны внешних консультантов, имеющих достаточный опыт и владеющих соответствующими технологиями, является оправданной. Опытные консультанты смогут провести обучение персонала, формализовать процессы и разработать систему внутренней документации для управления рисками, провести первоначальную оценку рисков и разобраться с проблемами, которые возникнут по ходу этой оценки, а также "подтолкнуть" руководство организации с целью скорейшего рассмотрения и принятия решений по рискам.

Для организаций, в которых информационные риски не являются основными, существует пока еще не очень распространенный вариант отдачи процесса управления рисками на аутсорсинг специализированной организации. Такой аутсорсинг, при профессиональном подходе, должен обеспечить сокращение управленческих затрат при сохранении достаточного уровня контроля над процессами управления рисками.