понедельник, 13 апреля 2015 г.

Понятное для бизнеса управление информационными рисками - BRA

    Увы, подавляющее большинство методологий управления информационными рисками (пресловутые OCTAVE, CRAMM, FAIR) нелегко понять даже профессионалам, не то что бизнесу. Этот "общий язык" непрост для понимания обеими сторонами, что сужает пространство для маневра и обсуждения рисков с бизнесом.

     Свою долю вносят и лучшие практики - тот же 27001:2013 в п. 6.1.2 требует получения логичных, обоснованных и сопоставимых результатов при повторной оценке рисков, что в принципе довольно странно.
     Любая информация - лишь инструмент для достижения персоналом целей организации. В зависимости от бизнес-стратегии и компетенций персонала одна и та же информация может иметь большую или меньшую ценность (и, соответственно, могут различаться связанные риски), например, база клиентов более важна для организации на конкурентном рынке, и менее важна на монопольном рынке. Или информация о продуктовой линейке может оказаться в принципе неактуальной после смены руководителя бизнес-линии с принципиально другим видением.
    Поэтому обоснованность и сопоставимость результатов при оценке рисков далеко не всегда возможна, и даже полезна. Более гибким и адекватным изменяющимся бизнес-условиям представляется фокурс на коммуникацию и обсуждение рисков. Некий agile-риск менеджмент, когда общее видение важнее следованию методологии.
    Именно такую простую и быструю для внедрения и эксплуатации методологию еще в 2011 представил Бен Сапиро (уголок маньяка - сайтWP, презентация). Методология помещается на лист А4 и позволяет получить оценку риска для конкретного актива на основе 10 вопросов:

  1. Может ли атака быть реализована без продвинутых навыков?
  2. Может ли атака быть реализована без существенных ресурсов?
  3. Защищен ли информационный актив?
  4. Существуют ли известные уязвимости в защитных мерах?
  5. Эффективна ли уязвимость актива все время?
  6. Может ли атака быть реализована без дополнительных предпосылок?
  7. В случае реализации атаки будут ли внутренние последствия?
  8. Внешние?
  9. Информационный актив имеет ли или создает существенную ценность?
  10. Существенны ли необходимые для восстановления или замены актива средства?

    После ответов на вопросы ответы превращаются в оценку риска путем применения нехитрого дерева:
    Понятно, что вопросы 1-6 относятся к компетенции служб ИБ а 7-10 скорее бизнеса, таким образом достигается баланс между интересами бизнеса и ИБ и оценка риска производится эффективно и целостно.

    Итоговый риск еще предстоит "вписать" в контекст организации - например, низкий риск значит что ничего дополнительно не стоит делать или наоборот стоит снизить издержки ослабив защиту для повышения эффективности бизнеса? Зависит от риск-аппетита конкретной отрасли и организации. Считаю данную методику одной из лучших среди управления рисками, наиболее подходящей моему обычному человеко-ориентированному подходу - больше обсуждать риски с бизнесом, меньше считать риски.
    P.S. Для тех, кто решил попробовать подход на практике рекомендую веб-приложение для оценки рисков на основе данной методики (Binary Risk Analysis)

Комментариев нет:

Отправить комментарий