Российский малый бизнес в целом не такой уж и малый — если верить Росстату. По данным службы, вклад небольших предприятий в экономику составляет 22%; в денежном выражении это более 20 трлн руб. в год; в работниках — 15 млн человек. Президент считает, что к 2025 году доля малого бизнеса в валовом продукте вырастет до 40%.
Чем активнее растет малый бизнес (МБ), тем больше у него точек соприкосновения — с большими и средними предприятиями, регуляторами, физлицами и т. д. Это же относится и к информационной безопасности: инциденты могут быть критичными не только для внутренних процессов организации, но и для партнеров, сотрудников и клиентов.
Инцидент, который не вызовет последствий в крупной компании, для небольшой может стать причиной банкротства. Возьмем, к примеру, частную клинику эстетической хирургии. Предположим, что истории болезней пациентов хранятся на сетевом хранилище. У главврача есть доступ к этому хранилищу в виде сетевого диска, с полными правами на запись в любую папку. Однажды главврач открывает email-вложение с вирусом внутри. Вирус зашифровывает все данные на его ПК и на сетевом хранилище. Бесплатный, давно не обновлявшийся антивирус не заметил шифровальщика, и расшифровать файлы нечем. К тому же выясняется, что бэкапы давно уже никто не делал. Все истории болезней утрачены. Подобный случай если и не приведет к закрытию заведения, то, как минимум, создаст угрозу здоровью пациентов.
Снижение рисков, недорого
Беспечность малого бизнеса в вопросах информационной безопасности (ИБ) объяснима. Большинству руководителей кажется, что риски ИБ — это абстракция, «не про нас» — дескать, ну комы мы нужны? Вдобавок, считая, что организация полноценной инфо-защиты подразумевает большие затраты, руководство рассматривает ИБ как непрофильную статью расходов. И это тоже можно понять: малому бизнесу зачастую денег едва хватает на то, чтобы свести концы с концами, особенно если речь идет об очередном многострадальном стартапе.
Меж тем управление рисками ИБ, вне зависимости от размера компании, — в первую очередь вопрос дисциплины. Об этом, в частности, говорят эксперты NIST (Национальный институт стандартов и технологий США) в своем Руководстве по информационной безопасности для малого бизнеса, выпущенном в 2016 году. Правила и рекомендации, подробно изложенные в Руководстве, вполне пригодны и для наших реалий.
В этом посте мы предлагаем выжимку из документа NIST — в виде адаптированной для российского МБ инструкции. Она поможет руководителям оценить риски и управлять ими; другими словами — повысить безопасность малого предприятия малыми средствами.
План действий
Для проведения оценки ИБ желательно задействовать все имеющиеся у организации ресурсы, включая сотрудников, партнеров и, если все-таки позволяет бюджет, сторонних экспертов по ИБ.
Важно оценивать риски с точки зрения их критичности для бизнеса — это поможет понять, на что следует направить основные усилия.
Составляющие риска
На Рисунке 1 показано как угрозы, уязвимости, их вероятность и степень воздействия определяют на итоговый риск:
Управление рисками
Управление рисками — деятельность, направленная на определение уровня защиты, который требуется для той или иной информации, а затем — на реализацию и поддержание этой защиты. Здесь поможет специальная риск-ориентированная программа — или план действий — по обеспечению ИБ.
Расставьте приоритеты
Для начала составьте список всех типов информации, которую хранит и использует компания. «Тип информации» можно определить любым способом, главное, чтобы было удобно классифицировать (см. пример в Таблице 1).
Определите ценность информации
После составления списка типов информации, ответьте на 3 вопроса:
- Как повлияет на бизнес обнародование этой информации?
- Как повлияет на бизнес ошибочность этой информации?
- Как повлияет на бизнес отсутствие доступа к этой информации — у вас и у клиентов?
Ответы помогут определить степень потенциального воздействия того или иного события.
В качестве образца для оценки можно использовать Таблицу 1:
Параметр | Пример типа информации: Контактные данные клиента | Тип информации 1 | Тип информации 2 |
---|---|---|---|
Стоимость раскрытия (Конфиденциальность) | Средняя | — | — |
Стоимость сохранности информации (Целостность) | Высокая | — | — |
Стоимость потери доступа (Доступность) | Высокая | — | — |
Стоимость потери данных (результатов работы) | Высокая | — | — |
Штрафы, пени, уведомления для клиентов | Средняя | — | — |
Другие правовые издержки | Низкая | — | — |
Стоимость репутации / связи с общественностью | Высокая | — | — |
Стоимость определения и решения проблемы | Высокая | — | — |
Общая оценка | Высокая | — | — |
Составьте перечень устройств и ПО
Теперь нужно определить, какими средствами обрабатывается информация, перечисленная в Таблице 1. В перечень могут входить стационарные и мобильные устройства (ПК, ноутбук, смартфон, планшет), приложения (почта, мессенджеры, CRM) и технологии («облако», VPN, межсетевой экран).
Пример — Таблица 2:
Номер | Описание | Местонахождение | Тип информации, с которой работает продукт | Итого потенциальное воздействие |
---|---|---|---|---|
№1 |
Ноутбук Петра Иванова |
Офис, улица, дом | Электронная почта, календарь, контактная информация клиента, мессенджер, корпоративный чат, ERP-программа | Критическое (Высокое) |
№2 | Программа для работы с клиентами: 1С Аппаратные средства: ноутбуки сотрудников | Офис, улица, дом | Контактная и другая персональная информация клиентов | Критическое (Высокое) |
№3 | — | — | — | — |
Изучайте свои угрозы и уязвимости
У некоторых угроз и уязвимостей своя специфика — в зависимости от отрасли, региона или вида бизнеса. Необходимо регулярно пересматривать список угроз и уязвимостей, с которыми вы можете столкнуться, и оценивать вероятность ущерба от них.
В Таблице 3 показан пример того, как определить вероятность инцидента с учетом информации из Таблиц 1 и 2.
Параметр | Пример: Контактные данные клиента в мобильном телефоне Петра Иванова; | Тип информации / Технология | Тип информации / Технология |
---|---|---|---|
Конфиденциальность | — | — | — |
Кража | Средняя (шифрование, защита паролем) | — | — |
Случайное раскрытие | Средняя (в прошлом дважды терял телефон) | — | — |
Целостность | — | — | — |
Случайное повреждение пользователем/сотрудником | Средняя | — | — |
Преднамеренное повреждение преступником/хакером | Низкая | — | — |
Доступность | — | — | — |
Случайное повреждение | Средняя (Регулярное резервное копирование) | — | — |
Преднамеренное повреждение | Низкая | — | — |
Общая оценка | Средняя | — | — |
В Таблице 4 показан пример того, как на основе данных из Таблиц 1, 2 и 3 определить приоритеты по обеспечению информационной безопасности:
Вероятность |
|||
---|---|---|---|
Воздействие | — | Низкая вероятность | Высокая вероятность |
Воздействие | Высокая вероятность | Приоритет 3: плановые действия. Фокус на ответные и восстановительные меры | Приоритет 1: назмедлительные действия. Фокус на меры по выявлению и защите |
Воздействие | Низкая вероятность | Действия не требуются | Приоритет 2: плановые действия. Фокус на меры по выявлению и защите |
Если взять предыдущий пример, мобильный телефон Петра Иванова с контактной информацией клиентов, то его можно оценивать как устройство с приоритетом 3 — из-за высокого показателя воздействия, но низкой вероятности.
Заключение
Работа по оценке и управлению рисками — мероприятие не одноразовое. Актуализировать информацию, которая необходима для управления рисками, следует не реже, чем раз в год, а также всегда, когда предполагаются какие-то глобальные изменения: запуск нового проекта, корректировка бизнес-процессов или переход на новую ИТ-инфраструктуру.
Регулярное выполнение всех пунктов Руководства поможет малому бизнесу уменьшить вероятность критичных событий, включая хакерские атаки, ошибки сотрудников и влияние непреодолимых факторов. Разумеется, не стоит забывать и о базовой защите: антивирусное ПО лучше установить на все служебные устройства работников — на этом уж точно не стоит экономить.
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
| Слушать на Apple Podcasts | Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке | Слушать на Castbox | Слушать на Podcast Addict | Слушать на Pocket cast |
Руслан Рахметов, Security Vision
В предыдущей публикации мы рассмотрели первые два шага процесса управления рисками по стандарту ISO/IEC 27005:2018: определение контекста и оценку рисков. В данной публикации мы обсудим дальнейшие этапы риск-менеджмента, а также рассмотрим стандарт IEC 31010:2019 как источник подробной информации о техниках оценки рисков.
Как мы уже упоминали ранее, первыми шагами управления рисками будут определение контекста (по сути, подготовка к проведению дальнейших действий) и оценка рисков (состоящая из идентификации, анализа, оценки опасности рисков). Перейдем к дальнейшим этапам, с сохранением нумерации шагов.
3. Обработка рисков ИБ
К началу осуществления данного подпроцесса у нас уже имеется список приоритизированных рисков в соответствии с критериями оценки опасности рисков, связанных со сценариями инцидентов, которые могут привести к реализации этих рисков. В результате прохождения этапа обработки рисков мы должны выбрать меры защиты, предназначенные для модификации (англ. modification), сохранения (англ. retention), избегания (англ. avoidance) или передачи (англ. sharing) рисков, а также обработать остаточные риски и сформировать план обработки рисков.
Указанные опции обработки рисков (модификацию, сохранение, избегание или передачу) следует выбирать в зависимости от результатов процесса оценки рисков, ожидаемой оценки стоимости внедрения мер защиты и ожидаемых преимуществ каждой опции, при этом их можно комбинировать (например, модифицировать вероятность риска и передавать остаточный риск). Предпочтение следует отдавать легкореализуемым и низкобюджетным мерам, которые при этом дают большой эффект снижения рисков и закрывают большее количество угроз, а в случае необходимости применения дорогостоящих решений следует давать экономическое обоснование их применению. В целом, следует стремиться максимально снизить негативные последствия, а также учитывать редкие, но разрушительные риски.
В итоге ответственными лицами должен быть сформирован план обработки рисков, который чётко определяет приоритет и временной интервал, в соответствии с которыми следует реализовать способ обработки каждого риска. Приоритеты могут быть расставлены по результатам проведения ранжирования рисков и анализа затрат и выгод (англ. cost-benefit analysis). В случае, если в организации уже были внедрены какие-либо меры защиты, будет разумно проанализировать их актуальность и стоимость владения, при этом следует учитывать взаимосвязи между мерами защиты и угрозами, для защиты от которых данные меры применялись.
В окончании составления плана обработки рисков следует определить остаточные риски. Для этого могут потребоваться обновление или повторное проведение оценки рисков с учетом ожидаемых эффектов от предлагаемых способов обработки рисков.
Далее рассмотрим подробнее возможные опции обработки рисков.
3.1. Модификация риска
Модификация рисков подразумевает такое управление рисками путём применения или изменения мер защиты, которое приводит к оценке остаточного риска как приемлемого. При использовании опции модификации рисков выбираются оправданные и релевантные меры защиты, которые соответствуют требованиям, определенным на этапах оценки и обработки рисков. Следует учитывать разнообразные ограничения, такие как стоимость владения средствами защиты (с учетом внедрения, администрирования и влияния на инфраструктуру), временные и финансовые рамки, потребность в обслуживающем эти средства защиты персонале, требования по интеграции с текущими и новыми мерами защиты, а также нужно сравнивать стоимость указанных затрат со стоимостью защищаемого актива.
В целом, меры защиты могут предоставить следующие типы защиты: коррекция, устранение, предотвращение, минимизация негативного влияния, предупреждение потенциальных нарушителей, детектирование, восстановление, мониторинг и обеспечение осведомленности сотрудников.
Результатом шага «Модификация рисков» должен стать список возможных мер защиты с их стоимостью, предлагаемыми преимуществами и приоритетом внедрения.
3.2. Сохранение риска
Сохранение риска означает, что по результатам оценки опасности риска принято решение, что дальнейшие действия по его обработке не требуются, т.е. оценочный уровень ожидаемого риска соответствует критерию принятия риска. Отметим, что эта опция существенно отличается от порочной практики игнорирования риска, при которой уже идентифицированный и оцененный риск никак не обрабатывается, т.е. решение о его принятии официально не принимается, оставляя его в «подвешенном» состоянии.
3.3. Избегание риска
При выборе данной опции принимается решение не вести определенную деятельность или изменить условия её ведения так, чтобы избежать риска, ассоциированного с данной деятельностью. Данное решение может быть принято в случае высоких рисков или превышения стоимости внедрения мер защиты над ожидаемыми преимуществами. Например, компания может отказаться от предоставления пользователям определенных онлайн-услуг, касающихся персональных данных, исходя из результатов анализа возможных рисков утечки такой информации и стоимости внедрения адекватных мер защиты.
3.4. Передача риска
Риск можно передать той организации, которая сможет управлять им наиболее эффективно. Таким образом, на основании оценки рисков принимается решение о передаче определенных рисков другому лицу, например, путем страхования кибер-рисков (услуга, набирающая популярность в России, однако до сих пор в разы отстающая от объема этого рынка, например, в США) или путем передачи обязанности по мониторингу и реагированию на инциденты ИБ провайдеру услуг MSSP (Managed Security Service Provider) или MDR (Managed Detection and Response), т.е. в коммерческий SOC. При выборе опции передачи риска следует учесть, что и сама передача риска может являться риском, а также то, что можно переложить на другую компанию ответственность за управление риском, но нельзя передать ответственность за негативные последствия возможного инцидента.
4. Принятие риска
Входными данными этого этапа будут разработанные на предыдущем шаге планы обработки рисков и оценка остаточных рисков. Планы обработки рисков должны описывать то, как оцененные риски будут обработаны для достижения критериев принятия рисков. Ответственные лица анализируют и согласовывают предложенные планы обработки рисков и финальные остаточные риски, а также указывают все условия, при которых данное согласование выносится. В упрощенной модели проводится банальное сравнение величины остаточного риска с ранее определенным приемлемым уровнем. Однако следует учитывать, что в некоторых случаях может потребоваться пересмотр критериев принятия рисков, которые не учитывают новые обстоятельства или условия. В таком случае ответственные лица могут быть вынуждены принять такие риски, указав обоснование и комментарий к решению о невыполнении критериев принятия рисков в конкретном случае.
В итоге, формируется список принимаемых рисков с обоснованием к тем, которые не соответствуют ранее определенным критериям принятия рисков.
5. Внедрение разработанного плана обработки рисков. Коммуницирование рисков ИБ
На данном этапе осуществляется непосредственное претворение в жизнь разработанного плана обработки рисков: в соответствии с принятыми решениями закупаются и настраиваются средства защиты и оборудование, заключаются договоры кибер-страхования и реагирования на инциденты, ведется юридическая работа с контрагентами. Параллельно до руководства и стейкхолдеров доводится информация о выявленных рисках ИБ и принимаемых мерах по их обработке в целях достижения всеобщего понимания проводимой деятельности. Разрабатываются планы коммуникации рисков ИБ для ведения скоординированной деятельности в обычных и экстренных ситуациях (например, на случай крупного инцидента ИБ).
6. Непрерывный мониторинг и пересмотр рисков
Следует учитывать, что риски могут незаметно меняться со временем: изменяются активы и их ценность, появляются новые угрозы и уязвимости, изменяются вероятность реализации угроз и уровень их негативного влияния. Следовательно, необходимо вести непрерывный мониторинг происходящих изменений, в том числе с привлечением внешних контрагентов, специализирующихся на анализе актуальных угроз ИБ. Требуется проводить регулярный пересмотр как рисков ИБ, так и применяемых способов их обработки на предмет актуальности и адекватности потенциально изменившейся ситуации. Особое внимание следует уделять данному процессу в моменты существенных изменений в работе компании и осуществляющихся бизнес-процессов (например, при слияниях/поглощениях, запусках новых сервисов, изменении структуры владения компанией и т.д.).
7. Поддержка и улучшение процесса управления рисками ИБ
Аналогично непрерывному мониторингу рисков следует постоянно поддерживать и улучшать сам процесс управления рисками для того, чтобы контекст, оценка и план обработки рисков оставались релевантными текущей ситуации и обстоятельствам. Все изменения и улучшения требуется согласовывать с заинтересованными сторонами. Критерии оценки и принятия рисков, оценка стоимости активов, имеющиеся ресурсы, активность конкурентов и изменения в законодательстве и контрактных обязательствах должны соответствовать актуальным бизнес-процессам и текущим целям компании. В случае необходимости нужно менять или совершенствовать текущий подход, методологию и инструменты управления рисками ИБ.
Рассмотрим теперь вкратце стандарт IEC 31010:2019 ”Risk management — Risk assessment techniques” («Менеджмент риска — Методы оценки риска»).
Данный стандарт входит в серию стандартов по управлению бизнес-рисками без привязки конкретно к рискам ИБ. «Заглавным» стандартом является документ ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска — Руководства»), который описывает фреймворк, принципы и сам процесс управления рисками. Описанный в данном документе процесс риск-менеджмента аналогичен рассмотренному выше: определяются контекст, границы и критерии, проводится оценка рисков (состоящая из идентификации, анализа, оценки опасности рисков), далее идет обработка рисков с последующей коммуникацией, отчетностью, мониторингом и пересмотром.
Стандарт же IEC 31010:2019 примечателен тем, что в нем приведено более 40-ка разнообразных техник оценки риска, к каждой дано пояснение, указан способ применения для всех подпроцессов оценки риска (идентификация риска, определение источников и причин риска, анализ мер защиты, анализ последствий, вероятностей, взаимосвязей и взаимодействий, измерение и оценка уровня риска, выбор мер защиты, отчетность), а для некоторых техник приведены и практические примеры использования. Кроме того, на данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».
Интересные публикации
Мы используем файлы cookies для улучшения качества обслуживания. Оставаясь на сайте, вы соглашаетесь с использованием данных технологий. |
Согласен |
Управление рисками в области промышленной безопасности: нормативное регулирование, рекомендуемые методы
Нормативное регулирование деятельности по управлению рисками
В последние годы вопросам управления рисками в области промышленной без-опасности уделяется особое внимание. Это связано с тем, что организация эффективной системы управления рисками должна одновременно решать несколько задач: минимизировать количество аварийных ситуаций на опасных производственных объектах, сократить объемы ущерба от таких ситуаций, а также оптимизировать расходы бюджетных средств на осуществление контролирующей и надзорной деятельности.
Существует множество определений понятия «риск», причем каждый официальный документ, так или иначе регулирующий эту сферу, дает свое определение.
- Стандарт ГОСТ Р 51897–2011[1] рассматривает риск как следствие влияния неопределенности на достижение поставленных целей.
- Согласно Федеральному закону № 184 «О техническом регулировании»[2] под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни и здоровью животных и растений с учетом тяжести этого вреда.
- Стандарт ГОСТ Р 51897-2011[3] приводит определение управления риском как предложение мер, направленных на изменение риска.
Под рисками в области промышленной безопасности понимается потенциальное событие на достижение поставленных целей в области промышленной безопасности.
Этапы управления рисками
Ключевой этап управления рисками — выбор методов и инструментов управления риском[4].
Методы и инструменты управления рисками
Перечислим базовые методы управления рисками, а также соответствующий им риск-инструментарий:
- отказ от риска (отказ от чрезмерно рисковой деятельности);
- снижение (профилактика или диверсификация);
- передача (аутсорсинг или страхование затратных рисковых функций);
- принятие (формирование резервов или запасов).
Наиболее распространенные инструменты управления рисками приводятся в межгосударственном стандарте ГОСТ Р 58771-2019.Также данный стандарт описывает порядка 30 методов оценки риска: мозговой штурм, анализ «Что если…», FMEA, HAZOP, HACCP, диаграмма «галстук-бабочка», анализ дерева отказов, Байесовы сети, FN-кривые и др.
Для того чтобы управлять рисками необходимо провести их оценку.
[1] http://docs.cntd.ru/document/gost-r-51897-2011
[2] Федеральный закон от 27 декабря 2002 № 184-ФЗ «О техническом регулировании».
[3] http://docs.cntd.ru/document/gost—r-51897-2011
[4] Согласно ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
А. В. Солодовников, канд. техн. наук, доцент кафедры «Промышленная безопасность и охрана труда» ФГБОУ ВО «Уфимский государственный нефтяной технический университет»
А. Н. Махнева, старший преподаватель кафедры «Техносферная безопасность» ФГБОУ ВО «Тюменский индустриальный университет»
О. А. Судницына, главный специалист по охране труда, промышленной безопасности и охране окружающей среды ООО «НТЦ «АКТАУ»
Материал публикуется частично. Полностью его можно прочитать в журнале «Промышленная безопасность» № 4, 2021.
Узнать больше:
Управление рисками в области промышленной безопасности: нормативное регулирование, рекомендуемые методы
Нормативное регулирование деятельности по управлению рисками
В последние годы вопросам управления рисками в области промышленной без-опасности уделяется особое внимание. Это связано с тем, что организация эффективной системы управления рисками должна одновременно решать несколько задач: минимизировать количество аварийных ситуаций на опасных производственных объектах, сократить объемы ущерба от таких ситуаций, а также оптимизировать расходы бюджетных средств на осуществление контролирующей и надзорной деятельности.
Существует множество определений понятия «риск», причем каждый официальный документ, так или иначе регулирующий эту сферу, дает свое определение.
- Стандарт ГОСТ Р 51897–2011[1] рассматривает риск как следствие влияния неопределенности на достижение поставленных целей.
- Согласно Федеральному закону № 184 «О техническом регулировании»[2] под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни и здоровью животных и растений с учетом тяжести этого вреда.
- Стандарт ГОСТ Р 51897-2011[3] приводит определение управления риском как предложение мер, направленных на изменение риска.
Под рисками в области промышленной безопасности понимается потенциальное событие на достижение поставленных целей в области промышленной безопасности.
Этапы управления рисками
Ключевой этап управления рисками — выбор методов и инструментов управления риском[4].
Методы и инструменты управления рисками
Перечислим базовые методы управления рисками, а также соответствующий им риск-инструментарий:
- отказ от риска (отказ от чрезмерно рисковой деятельности);
- снижение (профилактика или диверсификация);
- передача (аутсорсинг или страхование затратных рисковых функций);
- принятие (формирование резервов или запасов).
Наиболее распространенные инструменты управления рисками приводятся в межгосударственном стандарте ГОСТ Р 58771-2019.Также данный стандарт описывает порядка 30 методов оценки риска: мозговой штурм, анализ «Что если…», FMEA, HAZOP, HACCP, диаграмма «галстук-бабочка», анализ дерева отказов, Байесовы сети, FN-кривые и др.
Для того чтобы управлять рисками необходимо провести их оценку.
[1] http://docs.cntd.ru/document/gost-r-51897-2011
[2] Федеральный закон от 27 декабря 2002 № 184-ФЗ «О техническом регулировании».
[3] http://docs.cntd.ru/document/gost—r-51897-2011
[4] Согласно ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
А. В. Солодовников, канд. техн. наук, доцент кафедры «Промышленная безопасность и охрана труда» ФГБОУ ВО «Уфимский государственный нефтяной технический университет»
А. Н. Махнева, старший преподаватель кафедры «Техносферная безопасность» ФГБОУ ВО «Тюменский индустриальный университет»
О. А. Судницына, главный специалист по охране труда, промышленной безопасности и охране окружающей среды ООО «НТЦ «АКТАУ»
Материал публикуется частично. Полностью его можно прочитать в журнале «Промышленная безопасность» № 4, 2021.