понедельник, 28 ноября 2011 г.

Место оценки рисков ИБ во внедрении стандарта СТО БР ИББС

В данном посте хотел бы остановиться на таком вопросе, как место оценки рисков ИБ в реализации требований СТО БР ИББС-1.0-2010 (далее - Стандарт):
  • насколько оценка рисков ИБ необходима при выполнении работ по приведению информационной безопасности кредитной организации в соответствие с требованиями Стандарта и повышении реального уровня ИБ организации;
  • насколько наличие или отсутствие оценки рисков ИБ влияет на уровень соответствия ИБ требованиям Стандарта.
Начнем по порядку.

Как уже много раз говорилось, Стандарт несет в своей основе риск-ориентированный подход к выбору требований по обеспечению информационной безопасности. Однако,  вместе с тем, в самом Стандарте (п.п. 7.1.1, 7.11.4 СТО БР ИББС-1.0-2010) также говорится, что требования к системе ИБ кредитной организации должны основываться не только на результатах оценки рисков ИБ, но в первую очередь на положениях самого Стандарта. Так требования подразделов 7.2-7.11 Стандарта образуют базовый набор требований к системе ИБ, применимый к большинству кредитных организаций, и должен рассматриваться как базовый набор мер по обеспечению ИБ. При проведении работ по приведению ИБ кредитной организации в соответствие требованиям Стандарта в первую очередь необходимо сфокусироваться на реализации именно этих базовых требований.   

В соответствии же с особенностями конкретной кредитной организации данный базовый набор требований может быть расширен путем выполнения деятельности по анализу и оценки рисков ИБ и составлению плана обработки недопустимых рисков ИБ. Т.е. оценка рисков ИБ призвана помочь в формировании дополнительных требований по обеспечению ИБ для ликвидации актуальных угроз ИБ, характерных для конкретной кредитной организации. Дальнейшая реализация дополнительных требований ИБ осуществляется в рамках обработки рисков ИБ  и реализации разработанного плана обработки рисков.

Таким образом, если по результатам оценки соответствия получены результаты, что ИБ в организации находится на начальных уровнях соответствия (нулевой или первый, а может даже и второй), то браться сразу за оценку рисков ИБ, как инструмент обеспечения реальной безопасности, наверное не совсем уместно. Для начала реализуйте те требования к системе ИБ, которые уже сформированы в разделе 7 стандарта, запустите функционирование процессов обеспечения ИБ в соответствии с требованиями раздела 8 Стандарта (такие как управление активами, управление инцидентами ИБ, мониторинг и контроль защитных мер, анализ функционирования СОИБ, реализация улучшений СОИБ  и т.п.). Только после реализации этих подготовительных мероприятий есть смысл переходить к оценки рисков ИБ: и риски будут ниже, так как в банке уже будут реализованы (полностью или частично) базовые защитные меры, и результаты будет более конкретны и полезны для повышения уровня ИБ.

Если же браться за оценку рисков ИБ когда, как говорится, по линии ИБ и конь не валялся, то можно, во-первых, зазря уработаться, а во-вторых, получить в итоге в качестве необходимых для внедрения мер в большей степени те же самые меры, что уже прописаны в Стандарте.

Таким образом, деятельность по управлению рисками ИБ – это все-таки прерогатива организаций с высоким уровнем соответствия ИБ (третий и выше) и высоким уровнем организации менеджмента и осознания ИБ, оценка же рисков ИБ при общем низком уровне ИБ – в большей степени трата денег (особенно при привлечении консультантов) и времени сотрудников банка, которые можно было направить на более полезные действия.

Что касается влияния наличия или отсутствия оценки рисков ИБ на уровень соответствия ИБ требованиям Стандарта (так сказать математики), то многочисленные расчеты показывают, что реализация только базовых требований ИБ, изложенных в разделах 7-8 СТО БР ИББС-1.0 (за исключением требований к деятельности по оценке и обработке рисков ИБ), могут вывести кредитную организацию максимум на третий уровень соответствия требованиям СТО БР ИББС. Для дальнейшего поступательного движения в направлении к рекомендуемому уровню соответствия ИБ без запуска функционирования систему управления рисками ИБ никак не обойтись!