Редакция CISOCLUB поговорила с Георгием Руденко, директором по информационной безопасности Райффайзенбанка, о ключевых аспектах управления рисками информационной безопасности в современных организациях. В интервью эксперт подробно разобрал основные этапы процесса управления рисками, подчеркнув важность структурированного подхода, формализации внутренних документов и выделения специализированной организационной функции для работы с рисками. Спикер отметил, что в зрелых процессах оценки рисков может применяться факторный анализ, что помогает более точно определять угрозы и разрабатывать стратегии их минимизации.
Георгий рассказал о сложностях, с которыми сталкиваются компании при внедрении процессов управления рисками ИБ. Среди основных вызовов эксперт выделил неопределенность целей процесса, неправильное понимание задач и чрезмерную детализацию на отдельных этапах. Он акцентировал внимание на необходимости калибровки процесса, регулярного пересмотра риск-аппетита и настройки систем репортинга, чтобы информация о рисках своевременно поступала к заинтересованным сторонам. Георгий поделился подходами к классификации рисков, рассказав, как организация может настраивать процесс на разных уровнях зрелости.
Интервью также затронуло стратегии управления рисками, такие как принятие, уклонение, митигация и передача рисков. Спикер объяснил, что каждая из этих стратегий должна быть гибко адаптирована под конкретные бизнес-задачи и особенности ИТ-инфраструктуры компании. Важной частью процесса управления рисками он назвал регулярные аудиты и тестирования, которые позволяют выявить слабые места и скорректировать внутренние процессы оценки рисков.
Какие ключевые этапы и подпроцессы включает процесс управления рисками информационной безопасности?
Процесс управления рисками ИБ обычно представлен в виде следующих этапов:

Определение области процесса управления рисками ИБ;
Идентификация рисков ИБ;
Оценка рисков ИБ;
Выбор стратегии реагирования на риски ИБ;
Мониторинг и контроль рисков ИБ;
Регистрация и ведение базы событий риска ИБ;
Информирование и отчетность.

Также важно отметить:

Набор подпроцессов и результатов работы каждого из ключевых этапов определяется уровнем их детализации и формализации в виде внутренних документов организации (как пример — на начальных этапах зрелости процесса оценка рисков может выполняться только экспертно, в более зрелом процессе оценка может выполняться в формате факторной оценки на основе утвержденных внутренних документов);
Помимо хорошей структуризации самого процесса и всех его составляющих, в большой организации важно иметь выделенную организационную функцию и сотрудников, которые фокусно будут занимаются этой темой и соответствующий инструментарий, с которым им будет удобно работать (например, вести реестры рисков, проводить их оценки, обеспечивать мониторинг выполнения мер по митигации рисков и др.).

Какие основные вызовы, проблемы и ошибки, с которыми сталкиваются компании при внедрении процесса управления рисками ИБ?
В первую очередь компании нужно определиться с тем, зачем им в принципе нужен процесс по управлению рисками: какой образ результата / ожидания от внедрения этого процесса? Часто компании бегут внедрять какой-то “модный” фреймворк / методологию, не до конца понимая, какую задачу они хотят этим решить. В итоге этот подход не приносит ценность организации, а только создает лишние процессы ради процессов (результаты оценки рисков не учитываются в приоритизации мер по защите, а «остаются только на бумаге»).
Вторая проблема заключается в том, что нужно определить скоуп области процесса по управлению рисками и понять, какими рисками организация хочет дальше управлять / контролировать, какие ИТ-активы организация планирует покрыть процессом, каким образом политики по управлению рисками распространяются на дочерние организации и контрагентов организации. Нужно зафиксировать основные границы процесса, определить порядок его функционирования и зафиксировать исключения. Иначе можно утонуть в бесконечных деталях на любом из этапов процесса (например, на стадии проведения оценки риска или выборе оптимальных мер по его митигации).
Другой важной проблемой, о которой необходимо помнить, является — настройка эффективного процесса репортинга по рискам и содержанию этих отчетов. Данные должны оперативно поступать в нужные системы и отслеживаться. Соответственно должны быть определены – состав данных в отчетности и SLA, в рамках которых происходит информирование различных стейкхолдеров (например, при достижении граничных значений / показателей риска) по заранее определенным критериям.
Также в противовес тезисам, указанным выше, хочется подсветить другую важную проблему: слишком высокая степень доверия риск индикаторам, анализ ситуации только на базе общего отчета и метрик. Всегда необходимо разбираться в корневых причинах возникновения негативной динамики риск индикаторов или изменения карты актуальных рисков, стараться найти правильную интерпретацию произошедших изменений. При этом, даже если какие-то индикаторы риска имеют допустимые значения, то это еще не значит, что все хорошо. Если мы говорим про риски ИБ, то тут будет очень полезно проводить периодические аудиты и независимые оценки практической защищенности, и далее связывать результаты в рамках эти активностей с тем, что мы видим по результатам внутренней оценки рисков.
Дополнительно важно на старте работы процесса зафиксировать список недопустимых событий для бизнеса (по сути, наиболее понятное описание для бизнеса риск-аппетита в части рисков ИБ), это будет очень полезно при принятии оперативных решений по реагированию на различные события риска (например, в момент реагирования на инцидент ИБ) и для общей системной калибровки самого процесса управления рисками.
Ну и последнее, что хочется добавить — не стоит сразу пытаться построить и внедрить целевой процесс с высоким уровнем зрелости. Обычно это «не взлетает». Лучше развивать его итеративно и постепенно поднимать уровень зрелости процесса, собирая обратную связь от вовлеченных команд.
Как можно классифицировать риски ИБ, с чего лучше начать?
Думаю, что на старте можно обойтись следующей упрощенной классификацией:

Утечка / неправомерный доступ к конфиденциальной информации;
Потеря или недоступность системы / данных;
Нарушение целостности системы / данных;
Нарушение / невыполнение регуляторных требований;
Фрод / мошенничество;
Прямое хищение денежных средств;
Применение санкций;
Ухудшение репутации организации.

Далее по мере развития процесса и в случае потребности организации можно сделать больше категорий, ввести подкатегории, сделать разбивку по критичности ИТ-активов, сегментов, продуктов, направлений работы бизнеса (тут можно придумать много различных полезных атрибутов) в разрезе которых дальше управлять выявленными рисками.
Какие существуют основные стратегии управления рисками ИБ?
Обычно выделяют 4 варианта управления выявленными рисками:
1. Принятие риска – принятие решения о сохранении риска на существующем уровне и продолжении мониторинга риска. Этот подход организации применяют довольно часто, и многие этим злоупотребляют. Тут важно правильно оценивать совокупный уровень всех принятых рисков и понимать, насколько в принципе событие принимаемого риска в случае его реализации допустимо для бизнеса (как это делать — большая отдельная тема для обсуждения).
2. Уклонение от риска – принятие решения об отказе от деятельности, связанной с этим риском (например, полный отказ от развития ИТ-сервиса из-за наличия в нем уязвимостей). Используется не очень часто, особенно если это касается уже каких-то устоявшейся бизнес- процессов и деятельности бизнеса.
3. Митигация риска – принятие решения о реализации мер по снижению вероятности и/или воздействия риска для снижения уровня риска на допустимый уровень. Наиболее оптимальный и часто используемый подход, но необходимо не забыть провести выявленный риск через “фильтр“ недопустимости, чтобы оценить критичность его реализации (и возможно в итоге поменять стратегию), а также сравнить объем ресурсов, потраченные на митигацию риска с ресурсами, которые потенциально будут потеряны в случае его реализации (и возможно затем поменять список мер, чтобы сохранить здравый баланс).
4. Передача риска — принятие решения о передаче всех или части последствий реализации риска на стороннюю организацию / лицо. Например, это может быть страхование (хеджирование). На практике работает не очень хорошо.
При выборе указанных стратегий реагирования на риски стоит помнить, что если уровень ущерба от реализации можно оценить хоть как-то (хотя бы порядок чисел), то составляющая вероятности оценивается очень сложно (в основном из-за отсутствия корректных и достаточных исторических данных о произошедших событиях риска). Поэтому иногда стоит использовать гибридный подход (включая экспертную оценку и факторный анализ), а также фильтрацию через список недопустимых событий (для каждого риска из классификации нужно определить набор факторов-атрибутов, которые будут влиять на недопустимость). Например, простой сервиса в несколько минут является допустимым событием, а несколько дней уже нет. Или, например, потеря определенного набора данных в тестовой среде является допустимым событием, а в продуктивной среде уже нет.
Какие стоит использовать стандарты / методики управления рисками?
На моей практике не получается внедрить какую-то конкретную методику в чистом виде и далее быть полностью удовлетворенным тем, как она работает. Думаю, что тут лучше всего при построении процесса учитывать все текущие популярные стандарты и методики. Можно также найти обзоры по их пересечениям и расхождениям. После того, как появится картинка с общей структурой и логикой построения процесса, можно взять что-то за основу и затем итеративно улучшать и дорабатывать под потребности своей организации.
Какие метрики и показатели наиболее важны для мониторинга и управления рисками информационной безопасности?
Стоит определить ключевые индикаторы рисков и граничные значения для них. Также важно отслеживать количество рисков в разрезе выбранных стратегий по реагированию (например, доля принятых рисков). Важным является отслеживание количества произошедших событий риска в разрезе уровней их критичности (недопустимые, high, medium и т.п). Еще можно отслеживать сроки жизни риска (время от идентификации до его митигации) и среднее время реализации мер по митигации рисков, так же, как и какой % из этих мер митигации реализуется в соответствии с установленным SLA. Метрик можно придумать очень много, но сначала, как уже обсуждали, надо понять какую задачу мы хотим глобально решить и уже из условного полного списка метрик можно отобрать 7-10, которые будут ключевыми.
Как изменение ландшафта угроз влияет на подходы к управлению рисками в ИБ?
Любое существенное изменение ландшафта может выступить триггером для проведения калибровки в процессе по управлению рисками ИБ, например можно:

Пересмотр критериев по оценке вероятности рисков / определения уровня ущерба, которые вы используете (повысить уровень значимости тех критериев, которые связанны конкретно с теми угрозами, которые возросли);
Пересмотр риск-аппетита (вверх или вниз) и/или недопустимых событий риска ИБ;
Сокращение или увеличение SLA по реализации мер митигации определенных видов рисков ИБ (в зависимости от того, насколько для вас критичны события этих рисков);
Пересмотр общей классификации рисков, введение новых категорий или изменение старых.

В любом случае самое главное, чтобы процесс управления рисками был не обособленным от других процессов ИБ, а например, был связан с процессами анализа и оценки угроз, инвентаризации активов, управления уязвимостями и другими процессами ИБ.
Какова роль регулярных аудитов и тестирований в системе управления рисками ИБ?
Аудиты и тестирования позволяют выявить слабые места в системах защиты и инфраструктуре организации (идентифицировать риски), а также еще оценить, насколько эти результаты соответствуют тому, что мы видим на различных дашбордах с индикаторами рисков. Таким образом мы выявляем актуальные риски, а также проводим общую калибровку процесса с помощью того, что соотносим внутреннюю оценку уровня рисков с тем, что показывает практическая независимая оценка. В итоге мы получаем более достоверную общую картинку происходящего.
Как обеспечивать вовлеченность и осведомленность руководства компании по вопросам управления рисками ИБ?
На мой взгляд наиболее полезным является формат регулярной встречи с руководством компании (1 раз в месяц / квартал), на которой рассказывается текущая ситуация по состоянию ИБ, какие сейчас есть проекты, какой статус, какие есть достижения, а на что стоит обратить внимание. Данную регулярную встречу стоит дополнить дайджестом с кратким резюме по всем обозначенным пунктам. А при наступлении значимых событий рисков ИБ стоит сразу информировать руководство компании и держать в курсе о развитии ситуации. Также полезно отслеживать значения метрик по процессам и делать дашборды, на которые можно зайти в любой момент и по запросу увидеть интересующие тебя значения и индикаторы, в том числе те, которые напрямую относятся к рискам ИБ.