Андрей Зеренков: «Воздействуя на отдельные риски, можно воздействовать на различные бизнес-системы» |
Диалог с бизнесом об информационной безопасности не будет столь драматичным, если руководители, отвечающие за это направление, научатся вести его на языке рисков и возьмут на вооружение инструментарий для объективной оценки рисков и управления ими, уверены представители Symantec. Для этих целей они рекомендуют применять продукт Risk Manager, входящий в семейство Control Compliance Suite.
Зачастую бизнес финансирует работы в области информационной безопасности по остаточному принципу. Главным образом это происходит из-за недооценки рисков, причина которой, как правило, кроется в неспособности руководителя службы информационной безопасности представить руководству объективную картину рисков и продумать вместе с коллегами из бизнес-подразделений оптимальную с точки зрения бизнеса схему противодействия информационным рискам.
У названной проблемы два аспекта. Один из них чисто человеческий — сложность выстраивания коммуникаций руководителя службы информационной безопасности с представителями бизнеса: они хорошо воспринимают язык рисков, но далеко не всегда менеджер по информационной безопасности умеет доходчиво объяснять своим коллегам, какие именно угрозы для бизнеса (финансовые, репутационные и пр.) таят в себе информационные риски.
На второй аспект обратил особое внимание Андрей Зеренков, старший консультант по информационной безопасности компании Symantec, — получение адекватной оценки этих рисков. Дело в том, что не всякий руководитель, отвечающий за информационную безопасность, способен объективно и достаточно точно оценить вероятность отдельных рисков в условиях конкретной организации с учетом их взаимовлияния, а также возможный ущерб от них для данной компании. Между тем, зная вероятность и ущерб, можно управлять информационными рисками: оценить целесообразность применения тех или иных мер, как организационных, так и технологических (с учетом их реальной эффективности, ресурсоемкости, готовности организации к их использованию), чтобы снизить информационные риски до приемлемого для бизнеса уровня, затем последовательно реализовать эту систему мер, а в дальнейшем осуществлять постоянный мониторинг рисков и обеспечивать, с целью их разумного снижения, управляющие воздействия.
«С помощью инструментария CCS RM можно производить агрегированную оценку рисков и затем, воздействуя на отдельные риски, воздействовать на различные бизнес-системы», — подчеркнул Зеренков.
Продукт CCS RM позволяет не только описать и связать между собой различные риски и компоненты бизнес-систем, но и наглядно визуализировать их плановые и фактические показатели на панели управления рисками. В зависимости от степени их расхождения можно продумать соответствующие меры: разработать план работ по данным рискам, назначить конкретных исполнителей, определить сроки работ и разослать информацию о намечаемых мерах, задействуя систему электронной почты или электронного документооборота. По завершении работ информация с их результатами будет отражена в системе.
Адаптировать CCS RM к требованиям информационной безопасности, которые предъявляют российские регулирующие органы, взялись в НПО «Эшелон». По словам Михаила Никулина, технического директора компании, здесь разработали для CCS RM модуль автоматизированной оценки соответствия требованиям ряда отечественных стандартов и подзаконных актов, в том числе ГОСТ Р ИСО/МЭК 27000-2008, приказа ФСТЭК № 21 от 18 февраля 2013 года, стандарта Банка России СТО БР ИББС и некоторых других. Уже в августе планируется выпустить демоверсию модуля, а версия с полной поддержкой стандартов должна появиться в октябре. Данное решение поможет оценить состояние рисков и на этой основе получить предварительные оценки затрат на приведение систем в части их информационной безопасности в соответствие с требованиями российских регуляторов.