Официальное представительство концерна TÜV Austria на территории Украины.

icon
04053, Киев,
ул. Сечевых Стрельцов, 50, оф. 2Б
смотреть на карте

Разработка основы стратегии анализа рисков для оценки воздействия в системах управления информационной безопасностью: пример из индустрии ИТ-консалтинга. Часть 1

Данная статья является вольным переводом работы Фотиса Кициос, Эльпиники Хацидимитриу и Марии Камариоту.

1. Введение

Информация всегда была важным активом каждой компании, и этот актив необходимо защищать. В современном мире большая часть информации хранится в цифровом виде и доступна в Интернете, что упрощает доступ и минимизирует время архивирования. Однако у этого есть один недостаток: вся эта информация может подвергаться различным рискам и угрозам в зависимости от ее важности. Кибератаки на конфиденциальную или секретную информацию с годами участились. Рост компании может сделать ее более привлекательной мишенью для кибератак, а утечка информации может нанести ущерб ее репутации, доходам и надежности. По всем вышеперечисленным причинам создание системы управления информационной безопасностью (СУИБ) необходимо для привлечения большего количества клиентов и удержания существующих. Каждый клиент должен знать, что совместно используемая информация надежно и правильно управляется.

Международная организация по стандартизации (ISO) 27001 представляет собой систему управления для выявления, оценки и поиска механизмов преодоления любого неминуемого риска. Он может предоставить компании руководство по разработке эффективной СМИБ на основе ее потребностей. Внедрение СМИБ означает, что каждая компания должна разработать свою стратегию, чтобы лучше справляться с рисками и угрозами информационной безопасности и, в конечном итоге, создать СМИБ, соответствующую стандарту ISO 27001. Стандарт не определяет конкретных процедур для реализации условий, а вместо этого они должны быть установлены и выполнены для конкретной компании.

Хотя существует множество различных подходов к успешному внедрению СМИБ в компании, желаемый результат один и тот же: обеспечить безопасность информации и найти оптимальное решение, отвечающее потребностям компании. Более того, одной из самых важных и трудоемких частей создания СМИБ в компании является оценка рисков. Все возможные риски должны быть идентифицированы, оценены и классифицированы. Поскольку каждая компания уникальна, риски также могут различаться, и существует не только один подход, который может использовать каждая компания для оценки рисков.

По этой причине важно предоставить больше тематических исследований и больше теоретических основ относительно внедрения СМИБ в компании, чтобы каждая компания или заинтересованная сторона могли иметь доступ ко всей этой информации и использовать ее для своих целей. Целью данного документа является разработка схемы оценки рисков, которую компания использовала в секторе информационных технологий для проведения процесса оценки рисков в соответствии со стандартом ISO 27001.

Политика компании гарантирует, что информация, с которой она работает как в электронной, так и в печатной копии, адекватно защищена от последствий нарушения конфиденциальности, нарушения целостности или нарушения доступности этой информации. В компании уже было много процессов. Однако большинство из них не регистрировались регулярно или вообще не записывались. Другими словами, многие угрозы не были идентифицированы и, следовательно, не учитывались.

Быстрый рост компании показал, что стандартизированная модель информационной безопасности может сделать некоторые аспекты бизнеса более функциональными. Более того, стало ясно, что быстрый рост сделает компанию мишенью для киберугроз. Это стало целью для компании приступить к более подробной и расширенной политике информационной безопасности. Традиционный способ обеспечения информационной безопасности не был устойчивым в быстрорастущей компании. Риски, связанные с человеческим фактором, множились по мере роста штата сотрудников компании. Наконец, компания продолжала получать один и тот же вопрос от многочисленных клиентов: «Почему мы должны доверять нашу информацию с вами?» С годами становилось все труднее возвращаться к клиентам с хорошо документированными доказательствами. Более того, клиенты стали менее терпимы к неопределенности информационной безопасности,

2. Теоретическая основа

2.1. Системы управления информационной безопасностью и преимущества

Согласно Хауфе и соавт., информационная безопасность считается частью управления ИТ. Исходя из этого утверждения, мы можем понять важность информационной безопасности в бизнес-стратегии современной и конкурентоспособной компании. Компания может обрабатывать или поддерживать различные виды данных, отнесенных к разным категориям информации. От записей клиентов и сотрудников до данных бухгалтерского учета, вся эта информация должна быть доступна и доступна для надлежащего функционирования компании. Вся эта информация должна быть защищена, и цитирующая компания должна выбирать и применять соответствующие средства защиты для защиты своих физических и финансовых активов, репутации, правового положения, персонала и других физических и нематериальных активов. Здесь на помощь приходит СУИБ. Однако какова цель СМИБ?

В литературе есть несколько дискуссий о назначении СМИБ. Диш и др. (2020) и Паананен и др. (2020) отмечают, что основной целью информационной безопасности является защита информации, программного и аппаратного обеспечения организации, которые являются ее ценными ресурсами. Согласно Von Solms and Van Niekerk (2013), план, применение и процесс СМИБ должны быть в состоянии остановить и защитить аппаратное обеспечение, программное обеспечение и информацию пользователей от внешней и внутренней угрозы, даже если компания или организация находится под угрозой.

В свете вышеизложенного мы можем понять, что СМИБ жизненно важна, поскольку она может защитить свои критически важные активы. Однако внедрение СМИБ — непростая задача, а плохое планирование может негативно сказаться на компании. В частности, можно принять процессы или политики, которые создают барьеры в его функциях при внедрении СМИБ. Сотрудникам может быть сложнее выполнять повседневные задачи, поскольку больше времени потребуется для проверки информационной безопасности. Кроме того, рабочая нагрузка будет увеличена из-за ограничений в доступе к информации. Так же, может быть невозможно поддерживать стандарты работы до внедрения СМИБ, а качество работы может быть ниже. Наконец, либо существующий персонал должен будет посвятить время обработке дополнительных проверок в отношении информационной безопасности.

По вышеуказанным причинам регулирование и экономическая эффективность являются важными компонентами эффективной СМИБ. Процедура СМИБ как неотъемлемого компонента каждой СМИБ должна согласовываться с целями и миссией организации. Это следует учитывать в процессе разработки успешной СМИБ, а не на более позднем этапе, чтобы избежать дополнительных затрат, увеличения рабочей нагрузки или снижения качества. Фундаментальная концепция СМИБ заключается в обеспечении конфиденциальности, целостности и доступности всей информации и данных. Конфиденциальность относится к идее о том, что информация и данные не должны быть доступны посторонним лицам. Компании работают с финансовыми записями, ноу-хау, собственным кодом, данными клиентов, личной информацией и т. д. Целостность относится к несанкционированным изменениям данных и информации. Хотя СМИБ не может гарантировать точность хранимой информации и данных, она включает в себя процессы и инструменты, которые проверяют, что изменения предназначены и правильно применяются, и не являются мошенническими событиями. Доступность относится к информации и системам, которые должны быть доступны по запросу в любое время. Наиболее распространенными угрозами являются отказ в обслуживании и потеря возможностей обработки данных. Отказ в обслуживании относится к действиям пользователя или злоумышленника, которые блокируют вычислительные службы. Напротив, потеря возможностей обработки данных относится к разрушению вычислительного оборудования или программных ресурсов либо физически (из-за стихийных бедствий или действий человека), либо из-за недоступности программного обеспечения (из-за злонамеренного доступа к системе или ошибки оператора).

Несмотря на то, что компания будет внедрять средства контроля для обеспечения физической, технической и административной среды, не следует упускать из виду важность баланса между конфиденциальностью, целостностью и доступностью. Золотого сечения трудно достичь, и оно кажется ахиллесовой пятой внешних атак. Например, для обеспечения высокой доступности конфиденциальность может оказаться под угрозой. С другой стороны, если компания обеспечивает конфиденциальность, доступность может стать слишком сложной.

Зависимость компаний от подключения к Интернету возрастает все больше и больше. Напротив, одновременно компании работают в условиях очень сложной и развитой среды угроз безопасности, которая подвергает их информационную инфраструктуру целому спектру угроз безопасности. Это приводит к появлению беспрецедентных проблем и, наконец, заставляет компании создавать более безопасную инфраструктуру информационных технологий (ИТ). Кибератаки на компанию могут нанести серьезный ущерб репутации и инвестициям пострадавшей компании. Несмотря на то, что количество атак растет, экономические последствия инцидентов безопасности менее очевидны. Тем не менее, несомненно, что единичное нарушение безопасности может привести к непоправимому ущербу для фирмы в отношении корпоративной ответственности, потери доверия и снижения доходов.

Хотя все участники затронуты инцидентами безопасности, в то же время, перефразируя, сотрудники не осознают важность конфиденциальности данных компании и не предпринимают действий, необходимых для того, чтобы гарантировать отсутствие нарушений. Хотя корпорации, организации и компании признают важность анализа, оценки и эффективного снижения рисков, обязанности и планы по борьбе с угрозами информационной безопасности, как правило, не установлены всесторонне. Внедрение информационной системы информационной безопасности, такой как ISO 27001, является эффективным и жизненно важным способом противостоять этим угрозам и безопасно и надежно обрабатывать данные.

Согласно Веласко и соавт. (2018), Диш и др. (2020), Хсу и др. (2016) и Shojaie et al. (2016), преимущества ISO 27001 заключаются в следующем: ISO 27001 может предоставить множество значительных преимуществ для компании или организации. Внедряя ISO 27001, компании последовательно защищают и управляют своими конфиденциальными данными, устанавливая прозрачный процесс обработки для доступа к информации, контроля и обработки. Для этого процесс обработки данных должен быть однозначным и постоянно управляемым. Кроме того, с ISO 27001 повышается репутация компании. Поскольку клиенты охотнее доверяют свои данные компании, сертифицированной по стандарту ISO 27001, это также интерпретируется как увеличение прибыли и доли рынка. Таким образом, компания становится более уверенной и конкурентоспособной, чтобы расти и привлекать больше клиентов. Еще один фактор, о котором стоит упомянуть, — это соответствие международным нормам, таким как Общий регламент по защите данных (GDPR), и соблюдение требований законодательства. Юридические санкции за утечку конфиденциальной информации могут привести к длительным судебным разбирательствам и огромным финансовым потерям.

Компания, сертифицированная по стандарту ISO 27001, может избежать всех неблагоприятных последствий утечки данных. На основе положений ISO 27001 должна быть создана развитая система реагирования на инциденты информационной безопасности. Это означает, что существует система, которая будет сообщать о любых угрозах информационной безопасности и устранять их как можно раньше. Кибератаки могут происходить каждый день, и очень важно обнаруживать их на ранней стадии. Например, в случае утечки данных магазинов Target компании потребовалось больше недели, чтобы обнаружить атаку. Если бы атака была обнаружена раньше, объем утечек данных был бы меньше, что затронуло бы меньше клиентов. Система реагирования на инциденты ИБ могла бы помочь выявить и пресечь атаку на более ранней стадии. Кроме того, компания, сертифицированная по стандарту ISO, будет регулярно анализировать основные причины подобных атак или инцидентов с помощью тестов, которые выявят любые недостатки системы до того, как произойдет фактическая атака. Выявление уязвимостей до того, как произойдет фактическая атака, дает компании ценное время для подготовки к любому сценарию утечки данных. Наконец, компания, сертифицированная по стандарту ISO 27001, должна иметь установленный план аварийного восстановления. Это будет активировано в случае чрезвычайной ситуации, другими словами, когда атака уже произошла. Очень важно иметь план восстановления после атаки. Если компании удастся как можно скорее приступить к своим обычным функциям, потери от атаки будут незначительными. Каждый день, когда компания не работает, стоит значительную сумму денег.

2.2. ИСО 27000: 27001, 27002

ISO/IEC 27001:2013 представляет собой стандарт, определяющий условия для создания, применения, поддержания и постоянного развития СМИБ в рамках компании. Он также включает предварительные условия для оценки и устранения угроз информационной безопасности, разработанные для удовлетворения потребностей организации. Условия, изложенные в ISO/IEC 27001:2013, не являются конкретными и должны применяться ко всем организациям, независимо от их типа, размера или характера. Это уважаемый и признанный во всем мире стандарт безопасности.

Стандарты ISO 27000 содержат рекомендации по добросовестной практике для полной СМИБ. ISO 27000 предоставляет сводку и терминологию, тогда как ISO 27002 предоставляет общее руководство по действиям и средствам контроля информационной безопасности, расширяя правила практики для СМИБ. В начале 2007 г. стандарт ISO 17799 был переименован в ISO 27002, который содержит рекомендации уровня управления по обеспечению безопасности ИТ. При внедрении СМИБ ISO 27002 является ориентиром для выбора общепризнанных средств контроля, ориентированных на конкретные условия риска информационной безопасности компании или организации.

Чтобы пройти сертификацию по ISO 27001, компания должна внедрить все средства управления безопасностью, как они упомянуты в ISO 27002. Полномочия в ISO 27002 названы так же, как в Приложении A к ISO 27001 — например, для ISO 27002 контроль 6.1.2 называется «Разделение обязанностей», а для ISO 27001 — «A.6.1.2 Разделение обязанностей». Различия обнаруживаются в уровне детализации. Разделение обязанностей относится к общим рекомендациям о том, как следует различать обязанности сотрудников для достижения большей ответственности. В частности, ISO 27002 объясняет средства контроля, которые должны быть реализованы в организации (например, четкое разграничение обязанностей посредством четких должностных инструкций сотрудников), предоставляя компаниям необходимые инструменты для более эффективного применения ISO 27001 с помощью общепринятых средств.

Без подробностей, представленных в ISO 27002, средства управления, изложенные в Приложении А ISO 27001, не могут быть выполнены. Тем не менее, без структуры управления из ISO 27001, ISO 27002 останется удаленной работой нескольких экспертов по информационной безопасности, без признания со стороны совета директоров и без фактического влияния на организацию. Эти два стандарта существуют отдельно, потому что, если бы они существовали как единый стандарт, он был бы слишком сложным и широким для практического применения.

2.3. ISO 27001: Оценка рисков

По данным Чавушоглу и соавт. (2015), в рамках информационной безопасности хорошо структурированное инвестиционное намерение безопасности предлагает топ-менеджерам набор условий для рационализации корпоративного финансирования информационной безопасности. Организации могут учитывать, как экономические, так и неэкономические последствия инвестиционных решений. Финансовые требования, такие как окупаемость инвестиций (ROI), позволяют оценить экономическую целесообразность контроля в отношении стоимости имущества, которое должно быть защищено за счет контроля, и стоимости инвестиций. Неэкономические условия заключаются в сотрудничестве с клиентами и подчеркивают организационную и операционную жизнеспособность. В литературе по организационной и управленческой деятельности также предполагается, что четко очерченная стратегическая инвестиционная цель является важным компонентом процессов развития, приводящим к организационному принятию и изменениям.

Риск — это ключевое слово и ответ на вышеизложенные вопросы, а управление рисками определяет расстановку приоритетов. Как указано в ISO 27000:2013, СМИБ поддерживает конфиденциальность, целостность и доступность информации, используя процесс управления рисками, который дает заинтересованным сторонам уверенность в том, что риски эффективно обрабатываются. Оценка риска – это инструмент для анализа и интерпретации риска. Это относится к распознаванию и оценке восприимчивости организации. Это требует определения объема и процедуры оценки, сбора и анализа данных, а также изучения отчетов об оценке рисков. Группа внедрения должна собирать и анализировать данные о рисках. Для этого необходимо определить все активы, риски, уязвимости, меры безопасности и их важность, остаток и вероятность успешных атак.

Оценка риска не должна ограничиваться только существующими проблемами, но также и будущими, принимая во внимание новые системы и изобретения, которые уже существуют и которые еще только появятся. Осуществление оценки рисков также приводит к углубленному знанию организации и ее деятельности. Группа оценки рисков пытается понять, как взаимодействуют системы и процедуры, что позволяет компании выявить пробелы в своих процессах. Однако здесь необходимо отметить, что люди, которые будут управлять процессом оценки рисков, должны иметь четкое, расширенное представление и обширные знания обо всей компании.

Управление рисками является следующим шагом и представляет собой выбор и внедрение соответствующих средств контроля для снижения риска до уровня, приемлемого для организации. Как и в остальных аспектах ISO 27001, нет никакого усилителя или обязательного шаблона, которому нужно следовать, когда дело доходит до оценки рисков. Группа информационной безопасности может выполнить оценку рисков, которая имеет смысл для структуры организации.

Оценка риска, как описано в ISO 27001 в пункте 6.1.2, устанавливает и поддерживает критерии риска информационной безопасности; дает последовательные, точные и относительные результаты; идентифицирует риски совместно с владельцами рисков; и анализирует и оценивает эти риски. В ходе оценки риска могут быть реализованы следующие действия: идентификация активов, подверженных риску, и определение статуса важности по величине, чувствительности и критичности; выявление потенциальных угроз; маркировка того, насколько возможно возникновение угрозы для конкретного актива; определение воздействия, которое обычно включает ожидаемые убытки, ущерб и стоимость восстановления; снижение риска за счет внедрения управления рисками в структуру актива; и ограничение средств контроля, принятых компанией в отношении бюджета.

2.4. ISO 31000: Управление рисками

Стандарт управления рисками ISO 31000 — это один из стандартов управления рисками, который представляет собой серию международных стандартов для применения руководств по управлению рисками, выпущенных Международной организацией по стандартизации. Как и в случае с большинством других стандартов управления ISO, ISO 31000 устанавливает структурированную структуру, предназначенную для удовлетворения потребностей компаний любого размера и типа. Кроме того, было предложено использовать стандарт ISO 31000:2018 в качестве подходящей основы для работы с неопределенностями при оценке рисков в производственной деятельности. Система управления рисками ISO 31000:2018 недавно была представлена ​​как жизнеспособная основа для тщательного изучения управления рисками. Хотя стандарт в основном используется участниками отрасли, он является адаптируемым и не зависит от отрасли или сектора. Определение риска в ISO 31000:2018 отличается от других определений риска, используемых в традиционных оценках риска, тем, что риск определяется не только с точки зрения вероятности плохих или нежелательных результатов; скорее акцент делается на управлении рисками.

Управление рисками ISO 31000:2018 представляет собой повторяющийся процесс, который включает следующие этапы:

(1) определение области применения, контекста и критериев; 

(2) оценка риска (включая идентификацию риска, анализ риска и оценку риска); 

(3) обработка рисков; (4) сбор данных и отчетность; 

(5) мониторинг и обзор; и

(6) общение и консультации.

ISO 31000 устанавливает различие между структурой управления рисками и двумя другими компонентами системы управления рисками организации, а именно, принципами управления рисками и процессом управления рисками. Архитектура управления рисками состоит из этих трех компонентов. Структура управления рисками представляет собой набор компонентов, которые служат основой и организационными структурами для разработки, внедрения, мониторинга, проверки и постоянного улучшения управления рисками в компании. Некоторые системы управления рисками, например, ISO 31000 также называются стандартами управления рисками. Организации часто используют эти два названия взаимозаменяемо. Управление рисками — это процесс, который фокусируется на управлении рисками, а именно на обмене информацией, консультировании, установлении контекста, а также выявлении, анализе, обработке.

ISO 31000 устанавливает основные принципы, структуру и методы. Он предназначен не для навязывания единообразия системам управления рисками, а для определения процесса управления рисками в любом конкретном бизнесе, включая безопасность. Он предоставляет организациям стандарты управления рисками, которые можно использовать для создания и достижения своих целей, независимо от их размера или типа бизнеса. Идеи, рамки и процессы применимы как к государственным, так и к частным организациям, а также ко всем типам групп, ассоциаций и предприятий. Он устанавливает единый подход к управлению рисками, который не является ни отраслевым, ни отраслевым. Любой формой риска можно управлять с помощью подхода к управлению рисками. Он применим на протяжении всей жизни организации и к любой деятельности, включая принятие решений на всех уровнях. Снижение рисков, прогнозирование рисков и управление рисками — все это компоненты управления организацией, в бизнес-план которой интегрировано управление рисками. В результате предприятия часто обращаются к ISO 31000 за помощью в решении этой задачи. ISO 31000 можно использовать для принятия стратегических решений на организационном уровне, а также для управления процессами, операциями, проектами, программами, товарами, услугами и активами.

3. Описание тематического исследования

3.1. Практический пример: внедрение ISO 27001 в ИТ-компании

Из соображений безопасности название компании скрыто. Чтобы текст был кратким, компании присвоено название «Венера». Венера автоматизирует и оптимизирует бизнес-процессы, управляемые данными, с помощью программного обеспечения и услуг. Консультационные практики Венеры хорошо известны во всем мире, и они являются мировым лидером на известной платформе.

Специалисты Венеры обладают глубокими отраслевыми знаниями в различных учреждениях и вертикалях. Компания понимает сложность внедрения новых систем в бизнес и тщательно сотрудничает с бизнес-специалистами и ИТ-специалистами своих клиентов, чтобы помочь им распознать перспективы и цели. Затем Венера сотрудничает с ними, чтобы предоставлять услуги всего жизненного цикла проекта, эффективно координируя все аспекты проекта, от реинжиниринга процессов до проектирования, разработки и оптимизации системы. Венера может оценить потребности организации в управлении изменениями и предложить наиболее эффективное обучение, чтобы обеспечить полное принятие новых процедур и технологий. Наконец, компания переходит к целенаправленной долгосрочной поддержке производства.

Венера сочетает в себе ноу-хау с надежной наукой и решением проблем, чтобы предоставить эффективные программные решения для компьютеризации и улучшения бизнес-процессов в срок и в рамках бюджета. Специалисты по технологиям в компании имеют несколько квалификаций в области науки и техники. Центр решений Венеры сертифицирован как исследовательская организация Европейского Союза и выиграл несколько исследовательских программ Европейского Союза. Ученые и инженеры компании разработали несколько усовершенствованных инструментов для решения точных и повседневных проблем компании. Очень важно, что Венера опробовала эти решения на огромных объемах точных данных от некоторых крупнейших мировых компаний и получила существенную и измеримую коммерческую прибыль.

Венера — это компания, основанная на проектах. К каждому проекту для каждого клиента прикрепляются технологические консультанты компании. Команды динамичны; люди переводятся в команду или уходят из нее в зависимости от фазы и рабочей нагрузки проекта. Команда может состоять из 4–30 человек.

Для каждого клиента создается отдельная конкретная инфраструктура. Эта инфраструктура состоит из централизованного репозитория кода. Этот архив файлов кода позволяет проектам с несколькими разработчиками работать с различными версиями; централизованная библиотека документов, специальный каталог в инструменте управления проектами; специальные списки рассылки; специальные контейнеры для разработки и тестирования; трекер проблем проекта; и отдельный вход в инструмент управления временем. Описанные выше инструменты и инфраструктура предоставляют команде соответствующую структуру для создания, управления и доставки проекта, базы для совместной работы, показателей и аналитики для обеспечения качества.

3.2. Статус компании до внедрения ISO

Политика Венеры гарантирует, что информация, которую она обрабатывает как в электронном, так и в печатном виде, адекватно защищена от последствий нарушения конфиденциальности, нарушения целостности или нарушения доступа к этой информации. В компании уже было много процессов. Однако большинство из них не регистрировались регулярно или вообще не записывались. Другими словами, многие угрозы не были идентифицированы и, следовательно, не учитывались. Проводились ежегодные и подготовительные тренинги по информационной безопасности, чтобы сотрудники были осведомлены о воспринимаемой политике компании в отношении информационной безопасности. Группа информационной безопасности уже была создана. Члены прошли обучение, и все сотрудники могли решать любые проблемы, связанные с информационной безопасностью. В свете вышеизложенного, у компании уже были некоторые установленные процессы, которые упростили бы соблюдение ISO 27001. Однако многие угрозы и уязвимости не были выявлены. Быстрый рост компании показал, что стандартизированная модель информационной безопасности может сделать некоторые аспекты бизнеса более функциональными. Более того, стало ясно, что быстрый рост сделает компанию мишенью для киберугроз. Это стало целью для компании приступить к более подробной и расширенной политике информационной безопасности. Традиционный способ обеспечения информационной безопасности не был устойчивым в быстрорастущей компании. Риски, связанные с человеческим фактором, множились по мере роста штата сотрудников компании. Наконец, компания продолжала получать один и тот же вопрос от многочисленных клиентов: «Почему мы должны доверять нашу информацию с вами?». С годами становилось все труднее возвращаться к клиентам с хорошо документированными доказательствами. Более того, клиенты стали менее терпимы к неопределенности информационной безопасности.