понедельник, 28 ноября 2011 г.

Место оценки рисков ИБ во внедрении стандарта СТО БР ИББС

В данном посте хотел бы остановиться на таком вопросе, как место оценки рисков ИБ в реализации требований СТО БР ИББС-1.0-2010 (далее - Стандарт):
  • насколько оценка рисков ИБ необходима при выполнении работ по приведению информационной безопасности кредитной организации в соответствие с требованиями Стандарта и повышении реального уровня ИБ организации;
  • насколько наличие или отсутствие оценки рисков ИБ влияет на уровень соответствия ИБ требованиям Стандарта.
Начнем по порядку.

Как уже много раз говорилось, Стандарт несет в своей основе риск-ориентированный подход к выбору требований по обеспечению информационной безопасности. Однако,  вместе с тем, в самом Стандарте (п.п. 7.1.1, 7.11.4 СТО БР ИББС-1.0-2010) также говорится, что требования к системе ИБ кредитной организации должны основываться не только на результатах оценки рисков ИБ, но в первую очередь на положениях самого Стандарта. Так требования подразделов 7.2-7.11 Стандарта образуют базовый набор требований к системе ИБ, применимый к большинству кредитных организаций, и должен рассматриваться как базовый набор мер по обеспечению ИБ. При проведении работ по приведению ИБ кредитной организации в соответствие требованиям Стандарта в первую очередь необходимо сфокусироваться на реализации именно этих базовых требований.   

В соответствии же с особенностями конкретной кредитной организации данный базовый набор требований может быть расширен путем выполнения деятельности по анализу и оценки рисков ИБ и составлению плана обработки недопустимых рисков ИБ. Т.е. оценка рисков ИБ призвана помочь в формировании дополнительных требований по обеспечению ИБ для ликвидации актуальных угроз ИБ, характерных для конкретной кредитной организации. Дальнейшая реализация дополнительных требований ИБ осуществляется в рамках обработки рисков ИБ  и реализации разработанного плана обработки рисков.

Таким образом, если по результатам оценки соответствия получены результаты, что ИБ в организации находится на начальных уровнях соответствия (нулевой или первый, а может даже и второй), то браться сразу за оценку рисков ИБ, как инструмент обеспечения реальной безопасности, наверное не совсем уместно. Для начала реализуйте те требования к системе ИБ, которые уже сформированы в разделе 7 стандарта, запустите функционирование процессов обеспечения ИБ в соответствии с требованиями раздела 8 Стандарта (такие как управление активами, управление инцидентами ИБ, мониторинг и контроль защитных мер, анализ функционирования СОИБ, реализация улучшений СОИБ  и т.п.). Только после реализации этих подготовительных мероприятий есть смысл переходить к оценки рисков ИБ: и риски будут ниже, так как в банке уже будут реализованы (полностью или частично) базовые защитные меры, и результаты будет более конкретны и полезны для повышения уровня ИБ.

Если же браться за оценку рисков ИБ когда, как говорится, по линии ИБ и конь не валялся, то можно, во-первых, зазря уработаться, а во-вторых, получить в итоге в качестве необходимых для внедрения мер в большей степени те же самые меры, что уже прописаны в Стандарте.

Таким образом, деятельность по управлению рисками ИБ – это все-таки прерогатива организаций с высоким уровнем соответствия ИБ (третий и выше) и высоким уровнем организации менеджмента и осознания ИБ, оценка же рисков ИБ при общем низком уровне ИБ – в большей степени трата денег (особенно при привлечении консультантов) и времени сотрудников банка, которые можно было направить на более полезные действия.

Что касается влияния наличия или отсутствия оценки рисков ИБ на уровень соответствия ИБ требованиям Стандарта (так сказать математики), то многочисленные расчеты показывают, что реализация только базовых требований ИБ, изложенных в разделах 7-8 СТО БР ИББС-1.0 (за исключением требований к деятельности по оценке и обработке рисков ИБ), могут вывести кредитную организацию максимум на третий уровень соответствия требованиям СТО БР ИББС. Для дальнейшего поступательного движения в направлении к рекомендуемому уровню соответствия ИБ без запуска функционирования систему управления рисками ИБ никак не обойтись!

5 комментариев:

  1. Игорь, хотел бы вот на что обратить внимание: банки все разные, одним нужно скорее достичь высокого соответствия стобру, другим особо показуха не нужна и им нажен планомерный рост с выстраиванием системы иб снижающие самые высокие риски в ближайший срок, а не потом. При оценке рисков иб допустимо учесть меры по обработке рисков иб, которые запланированы к выполнению по 7му разделу, а в навесок к ним накидать контролей (мер) позволяющих снизить риски дополнительно. По существу в эти накиданные контроли войдут преимущественно уже технические меры, так как в стобре они совсе базовые.На мой взгляд не стоит временно подзабивать на оценку рисков, ожидая что она сразу потом разработается и будет рабочая. Пусть лучше она совершенствуется с каждым циклом смиб и в результате дает по итогам крайне необходимые меры, которые нужны сегодня, а не через 3 года.

    ОтветитьУдалить
  2. Юр, не совсем с тобой соглашусь.
    Да, забивать на оценку рисков совсем не стоит, но, не все банки способны к этой деятельности при низком уровне ИБ и подключать ее уже на первых циклах PDCA (по крайней мере в том виде, что она представлена в РС-2.2), на мой взгляд, не стоит.
    Кроме того, можно сказать что ЦБ уже провел некую оценку, результатом которой и стал СТО БР ИББС. Поэтому, прежде чем тратить кучу времени и денег на оценки, можно направить усилия на наведение элементарного порядка в ИБ, а после этого уже переходить к дальнейшей оценке.

    ОтветитьУдалить
  3. Игорь ты говоришь, ЦБ "провел своего рода оценку", но пусть тогда выложит сопоставления:
    угроза -> риск -> мера (из 7-го раздела стобра 1.0).
    Очень даже сомневаюсь, что это сделано.
    СТОБР 1.0 - Просто набор сгруппированных (тоже вопрос, почему именно так) мер, которые надо делать и порой сложно объяснить или понять, какую конкретно угрозу данная мера снижает (обрабатывает).

    Игорь, соглашусь, что самостоятельно Банку сложновато сразу лезть в бой с кулаками и пытаться освоить методику оценки рисков (хотя на рынке их выше крыши, бери, да адаптируй для себя), легче выполнить закрепленные требования 7 раздела.

    Но когда работает внешний опытный консультант, в чем проблема пойти путем:
    1. построили модель угроз
    2. оценили риски
    3. обрабатываем их мерами из 7-го раздела

    На следующий год - пожалуйста - снижай уровень приемлемости рисков и опля - полезли другие меры (уже не входящие в 7-й раздел).

    ОтветитьУдалить
  4. Мне кажется основная проблема здесь - отсутствие инструментария (не смотря на большое количество методик) и инфраструктуры для подобных мероприятий.
    Предполагается, что на момент оценки рисков все бизнесс процессы определены, активы описаны и классифицированы, что, естественно, далеко не всегда так.

    Мощный инструмент в анализе рисков - статистика инцидентов, которой, опять же, нет.

    Однако я согласен с Юрием. Процесс нужно запускать с нулевого уровня ИБ и ежегодными итерациями подгонять к идеалу.

    ОтветитьУдалить
  5. Юр, слишком много ты хочешь от ЦБ =)
    Насчет привлечения консультантов - то я как раз как консультант и не рекомендую сразу браться за риски ИБ.

    ОтветитьУдалить