Контакты
Подписка
МЕНЮ
Контакты
Подписка

Рецепты по управлению рисками ИБ

Рецепты по управлению рисками ИБ

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Рецепты по управлению рисками ИБ

Управление рисками ИБ в любой компании начинается прежде всего с правильного выстраивания процессов. О том, как избежать подводных камней на этом этапе, мы рассказали в предыдущем номере журнала1. Теперь настало время задуматься об автоматизации. Здесь может возникать множество вопросов и трудностей, и, как в любом хорошем рецепте, важна последовательность действий и “правильные" ингредиенты. Рассмотрим это на конкретных примерах.
Дмитрий Моисеев
CISSP, руководитель практики аналитических систем
компании “Астерос Информационная безопасность" (группа “Астерос")

Выбрать способ автоматизации

Компании с развитой IТ-инфраструктурой могут позволить себе полноценные IT GRC-решения, обладающие широким функционалом: сбора информации от различных систем (CMDB, SIEM, сканеров безопасности), настройки workflow, измерения заданных KPI процессов, ведения динамической и статической отчетности.

Можно пойти как минимум двумя путями. Во-первых, использовать так называемые "конструкторы-опросники". Они позволяют частично автоматизировать и упростить создание моделей оценки рисков ИБ, оценки уровня соответствия, а также предоставить удобный инструмент для работы с этими моделями. Минус таких систем в том, что они не интегрируются с очень полезными поставщиками данных для процесса оценки рисков – CMDB и SIEM-системами, сканерами безопасности, из-за чего актуальность исходных данных необходимо поддерживать вручную. Поэтому такой подход может быть интересен организациям, уровень зрелости IТ и ИБ которых пока недостаточно высок.

Компании с развитой IТ-инфраструктурой могут позволить себе полноценные IT GRC-решения, обладающие широким функционалом: сбора информации от различных систем (CMDB, SIEM, сканеров безопасности), настройки workflow, измерения заданных KPI процессов, ведения динамической и статической отчетности. Такие системы, как правило, дорогостоящие – средний проект по внедрению составляет от $200 тыс. до 600 тыс. Но это оправдано тем, что они позволяют существенно повысить качество и достоверность результатов оценки.

Ограничиться только необходимым функционалом средства автоматизации

Если в компании уже есть корпоративная GRC-система, то оптимально выстроить процесс управления рисками ИБ на ее платформе. В противном случае при выборе решения следует тщательно изучить его функциональные возможности. Так, полноценные IT GRC, помимо оценки IТ-рисков, могут иметь неотъемлемый функционал, покрывающий множество задач, например оценка операционных рисков. Стоит это недешево, к тому же 80% его возможностей впоследствии может и не использоваться.

Начать с малого и постепенно расширять скоуп

Используя специализированные системы для оценки рисков ИБ, не нужно пытаться охватить сразу все активы. Следует идти поэтапно, сначала выделить наиболее критичные и провести оценку рисков только для них. Также не стоит сразу углубляться в детали и строить модель активов вплоть до конкретных серверов и их IP-адресов. Целесообразнее начать с верхнеуровневых групп и остановиться, например, на уровне информационных систем и типов обрабатываемых данных. Это дает возможность снизить трудозатраты на первом этапе и быстрее получить результаты оценки рисков ИБ.

Не останавливаться после первой итерации, процесс должен быть непрерывным

В процессе управления рисками ИБ важно иметь возможность отслеживать их динамику. Это необходимо для того, чтобы понимать эффективность ИБ-проектов в компании. Если нет динамики, то сложно показать результаты работы службы ИБ. Поэтому оценку рисков необходимо выполнять на регулярной основе.

Рассказывать руководству о результатах

Любой проект по информационной безопасности можно оценить с точки зрения его влияния на риски ИБ. Соответственно, будет полезно предоставить руководству результаты их снижения. С помощью современных систем класса IT GRC она предоставляется быстро и в наглядном виде. К тому же можно практически в режиме реального времени отслеживать динамику снижения рисков.

Измерять KPI и контролировать

Важно оценивать эффективность любого процесса, в том числе и управления рисками ИБ. Выявлять проблемные области и недостатки можно с помощью измеримых метрик эффективности. При этом автоматизация их измерения и уведомления об отклонениях от предельно допустимых значений существенно сэкономят время на анализ и принятие решения о внесении корректирующих мер.

В заключение

Управление рисками ИБ – это один из немногих инструментов, позволяющих службе ИБ говорить на одном языке с бизнесом, показать и доказать свою ценность для компании. Это совокупность трех взаимосвязанных компонентов – людей, процессов и технологий, в которых процессы не работают без людей, а люди – без процессов. А технологии поддерживают и процессы, и людей.

___________________________________________
1 Килина А. Рецепты по управлению рисками ИБ // Информационная безопасность/Information Security. – 2014. – № 5. – С. 49.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2014

Приобрести этот номер или подписаться

Статьи про теме