Менеджмент и анализ рисков в информационных системах

Марин Присэкару, Национальный Банк Молдовы


Настоящая работа представляет собой краткое описание метода качественного анализа рисков ИТ. В настоящее время почти невозможно не услышать или не прочитать о рисках, связанных с использованием информационных технологий. Руководство компаний всё больше интересуется смыслом словосочетаний <менеджмент рисков> и <анализ рисков>, применимых к информационным технологиям, используемых внутри компании. Но этот интерес ещё не дал начало разработке методологии или интернационального стандарта в области менеджмента и анализа рисков ИТ. Несмотря на многие рекомендации профессиональных ассоциаций и государственных учреждений, до сих пор не существует единой терминологии в этой области. Поэтому все подходы к данному вопросу являются субъективными, как и настоящая работа. Бесспорно, что при настоящей технической обстановке мы не можем говорить об абсолютной безопасности. Всё же очень важно, чтобы внутри компании существовал процесс по выявлению и оценке рисков, определение их воздействия и средств контроля для уменьшения или избежания рисков. Этот процесс в большинстве случаев назван анализом рисков.

Успех процесса анализа рисков во многом зависит от поддержки и участия руководства компании. Именно руководство ответственно за инициализацию процесса, координирование действий и обеспечение реализации в рамках настоящего времени. Хотя причастность руководства может быть и косвенной, но поддержка обязательна. Специфические задачи руководства в процессе анализа рисков должны быть следующими:
- отбор группы участников и их руководителя;
- определение полномочий и обязанностей для этого задания;
- пересмотр и поддержка открытий;
- принятие финальных решений в связи с внедрением мер безопасности.

Руководитель группы должен принимать участие при отборе членов группы, должен составить план необходимых работ и удостовериться, что этот план будет выполнен в заданные сроки, скоординировать составление и формат отчётов адресованных руководству.
Количество членов группы может быть разным, в зависимости от размеров компании, но желательно не меньше трёх, или по одному человеку для каждого подразделения компании, которое интенсивно использует информационные ресурсы. Члены группы должны избираться с учетом уровня их компетентности в анализируемых процессах, происходящих в определённых подразделениях, и меры зависимости этих процессов от информационных технологий.

После назначения руководителя группы и состава самой группы, процесс анализа рисков будет протекать в следующей последовательности фаз:
1. Идентификация информационных ресурсов.
2. Группирование и иерархизация информационных ресурсов.
3. Выявление рисков.
4. Ассоциация рисков к ресурсам.
5. Выявление средств защиты.
6. Оценка рисков.
7. Выдача рекомендаций.

1. В процессе идентификации информационных ресурсов должен быть составлен общий макет информационной инфраструктуры организации. В этом аспекте в раздел информационных ресурсов будут входить: данные и информация, вычислительная техника, программное обеспечение, услуги, помещения и другие значимые для компании информационные ресурсы. Эти ресурсы должны быть выявлены с определённым уровнем обобщённости (не слишком детализировано, но и не полностью обобщено) и с избежанием совмещения информационных ресурсов. В большинстве случаев целесообразно группирование ресурсов (к примеру: рабочие станции, принтеры, документация). Может быть полезной информация о лице, ответственном за каждый обозначенный ресурс (для консультаций с данным лицом). Другой неотъемлемой информацией для последующего анализа является взаимосвязь между ресурсами (к примеру: какая система, на каком сервере, какими услугами пользуется). Результатом данной фазы может быть список (или несколько списков, для каждой категории по отдельности) со всеми констатированными информационными ресурсами организации.

2. Группирование и иерархизация информационных ресурсов необходимы для определения приоритетов их защиты (к примеру: если существуют два сервера и только один блок бесперебойного питания, для которого мы будем его использовать). Группа впоследствии отберёт критерии классификации ресурсов как критических, основных и нормальных. Возможными критериями могут являться критичность, причинённый ущерб в связи с недоступностью ресурса, стоимость <падения> ресурса, компрометация конфиденциальности и целостности и др. Важно, чтобы между участниками группы существовало единая интерпретация данных критериев. Классификация ресурсов должна учитывать взаимосвязь между ними. Количество ресурсов в каждой категории не является определённым, но предпочтительно ограничение количества критичных ресурсов во избежание конфузов. Результатом данной фазы является перечень важнейших информационных ресурсов, исходя из их уровня критичности:
- критические ресурсы – организация или подразделение не могут продолжать свою деятельность без данных ресурсов;
- основные ресурсы - организация или подразделение могут продолжать свою деятельность, но очень ограниченное время (несколько часов, дней), и ресурсы должны быть обязательно восстановлены;
- нормальные ресурсы - организация или подразделение могут продолжать свою деятельность длительный период времени, но некоторые пользователи будут частично ущемлены, будут вынуждены искать альтернативные выходы.

3. Выявление рисков подразумевает выбор из списка общих рисков, свойственных информационным технологиям, тех, которые участники группы считают относящимися к своей инфраструктуре. Не заслуживающие внимания риски, из списка удаляются. Риски должны быть явно идентифицированы с одним или несколькими ресурсами. В этой интерпретации риск являет собой вероятность нежелательного происшествия.

4. На фазе ассоциации рисков к ресурсам имеет место индивидуализация рисков по каждому критическому ресурсу в частности. Из списка приемлемых рисков третьей фазы, выбираются риски, относящиеся к данному анализируемому ресурсу, с добавлением соответствующих комментариев. Учитывается специфика каждого ресурса. Результатом этой фазы является перечень и описание рисков для каждого критического ресурса, обозначенного во второй фазе.

5. Выявление средств защиты подразумевает комплектацию списка, полученного на четвёртом этапе, описанием средств защиты, используемых в настоящее время для уменьшения или избежания затронутого риска. В результате мы получаем перечень рисков для каждого ресурса, описание этих рисков и средств защиты, используемых в настоящее время в компании для уменьшения или избежания данных рисков.

6. Этап оценки рисков очень важен, а результаты данного этапа во многом зависят от профессионализма членов группы. Для каждого критического ресурса составляется иерархия рисков в зависимости от уровня последствий в случае его реализации. Эта классификация делается на основе голосования членов группы, ответственных за оценку; на данном этапе принимается во внимание вся информация, собранная на предыдущих этапах. Полученные результаты обосновываются, описывается каждый из рисков и возможные последствия в случае его реализации, если средства защиты не меняются.

7. На этапе выдачи рекомендаций члены группы, анализируя всю полученную информацию, принимают решения относительно существующих условий, которые позволят минимизацию, обход или устранение выявленных рисков. Рекомендуется разработка двух или более решений для одного риска, приоритетными определяются те решения, которые позволяют устранение группы рисков для одного или более ресурсов. Результатом этапа является составление финального отчета высшему руководству.

1. http://www.theiia.org/itaudit/.
2. http://www.knowledgeleader.com/InternalAudit/.
3. http://www.auditserve.com.