asyan.org
добавить свой файл
  1 2 3

^ Порівняння двох підходів

Як кількісний, так і якісний підхід до управління ризиками безпеки має свої переваги і недоліки. В деяких випадках організаціям вигідно використовувати кількісний підхід, а якісний підхід може краще підійти організаціям невеликого розміру або що володіє обмеженими ресурсами. Достоїнства і недоліки обох підходів перераховані в таблиці 1.

^ Таблиця 1. Достоїнства і недоліки підходів до управління ризиками




Количественный

Качественный

Достоинства

Приоритеты рисков определяются на основе финансового влияния; приоритеты активов определяются на основе финансовых стоимостей.

Результаты упрощают управление рисками, обеспечивая возврат инвестиций в безопасность.

Результаты могут быть сформулированы с использованием управленческой терминологии (например, с помощью финансовых показателей и вероятности, выраженной в процентах).

Точность результатов увеличивается по мере накопления организацией статистических данных в процессе работы.


Обеспечивает наглядность и упрощает понимание процесса ранжирования рисков.

Проще найти удовлетворяющее всех решение.

Не требуется количественная оценка частоты возникновения угроз.

Не нужно определять финансовые стоимости активов.

Упрощается вовлечение в процесс сотрудников, не имеющих подготовки в области безопасности или компьютеров.

Недостатки

Сопоставленные рискам величины влияния основываются на субъективном мнении участников.

Поиск решения, удовлетворяющего всех участников, и получение достоверных результатов занимают очень много времени.

Расчеты являются очень сложными и требуют значительных затрат времени.

Результаты представляются только в денежном выражении, а их интерпретация может вызывать трудности у сотрудников, не имеющих технической подготовки.

Процесс требует глубоких знаний, что затрудняет подготовку участников.

Недостаточное различие между существенными рисками.

Трудности с определением размера инвестиций в реализацию контроля вследствие отсутствия данных для анализа выгод и затрат.

Результаты зависят от квалификации созданной группы управления рисками.

Хоча останніми роками при управлінні ризиками в основному використовувався кількісний підхід, в даний час положення справ стало мінятися, оскільки організації все частіше стикаються з тим, що скрупульозне дотримання принципам кількісного управління ризиками, як правило, наводить до появи довгострокових проектів, що майже не приносять істотних вигод. Як буде показано в наступних главах, процес управління ризиками безпеки, пропонований корпорацією майкрософт, об'єднує достоїнства обох підходів.

^ Визначення рівня зрілості використовуваної в організації системи управління ризиками

Перед впровадженням в організації процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, необхідно перевірити рівень зрілості організації з точки зору управління ризиками безпеки. Організаціям, в яких відсутні формальні політики або процеси, що відносяться до управління ризиками безпеки, буде дуже важко відразу упровадити всі аспекти даного процесу. Даний процес може виявитися надмірно трудомістким навіть для організацій, що застосовують деякі формальні політики і рекомендації, яким слідують більшість користувачів. Тому необхідно оцінити рівень зрілості організації. Якщо виявиться, що рівень зрілості є досить низьким, даний процес можна упроваджувати послідовними етапами впродовж декількох місяців (наприклад, шляхом експлуатації пілотного проекту в окремому підрозділі впродовж декількох повних циклів даного процесу). Продемонструвавши ефективність процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, на прикладі цього пілотного проекту, група управління ризиками безпеки може перейти до впровадження даного процесу в інших підрозділах, поступово охоплюючи всю організацію.

Як визначити рівень зрілості організації? Модель управління ІТ (IT Governance Maturity Model) описана в документі COBIT (Control Objectives for Information and Related Technology) інституту управління ІТ (ITGI). Аби ознайомитися з детальною методикою визначення рівня зрілості організації, придбайте і вивчите даний документ. Процес управління ризиками безпеки, пропонований корпорацією майкрософт, узагальнює вживані в COBIT елементи і представляє спрощений підхід, заснований на моделях, які також розроблені службами корпорації майкрософту. Представлені тут визначення рівня зрілості засновані на стандарті Міжнародної організації по стандартах (ISO) Information technology - Code of practice for information security management («Інформаційні технології - практичні правила управління інформаційною безпекою»), званому також ISO 17799.

Для оцінки рівня зрілості організації можна скористатися таблицею 2.

^ Таблиця 2. Рівні зрілості управління ризиками безпеки

Уровень

Состояние

Определение

0

Отсутствует

Политика или процесс не документированы. Ранее организация не знала о деловых рисках, связанных с управлением рисками, и не рассматривала данный вопрос

1

Узкоспециализированный

Некоторые члены организации признают значимость управления рисками, однако операции по управлению рисками являются узкоспециализированными. Политики и процессы в организации не документированы, процессы не являются полностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и некоординируемыми, а получаемые результаты не измеряются и не подвергаются аудиту

2

Повторяемый

Организации известно об управлении рисками. Процесс управления рисками является повторяемым, но развит слабо. Процесс документирован не полностью, однако соответствующие операции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится формальное обучение и информирование по управлению рисками; ответственность за выполнение соответствующих мероприятий возложена на отдельных сотрудников

3

Наличие определенного процесса

Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информации. В организации разработан базовый процесс с четко определенными целями и задокументированными процессами достижения и оценки результатов. Проводится обучение всего персонала основам управления рисками. Организация активно внедряет задокументированные процессы управления рисками

4

Управляемый

На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распространена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффективности. Программе управления рисками выделен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений организации, а группа управления рисками безопасности может постоянно совершенствовать свои процессы и средства. В организации используются некоторые технологические средства, помогающие в управлении рисками, однако большая часть (если не подавляющее большинство) процедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную

5

Оптимизированный

Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудники пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет и каким образом их нужно будет решать. Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная причина возникшей проблемы и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники организации могут проходить обучение, обеспечивающее различные уровни подготовки

^ Самостійна оцінка рівня зрілості системи управління ризиками в організації

Використання приведеного нижче переліку оцінок забезпечує точніший спосіб визначення рівня зрілості організації. Хоча отримані оцінки будуть суб'єктивними, проте, ретельно аналізуючи кожну оцінку, можна визначити рівень підготовки організації до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту. Оціните полягання справ в організації за шкалою від 0 до 5, використовуючи приведені раніше визначення рівня зрілості.

Політики і процедури забезпечення захисту інформації є повними, лаконічними, зрозумілими і ретельно задокументованими.

· Для всіх посад, що вимагають виконання завдань по забезпеченню інформаційної безпеки, розроблені чітко певні і зрозумілі ролі і обов'язки.

· Політики і процедури забезпечення захисту при доступі сторонніх осіб до ділових даних ретельно задокументовані. Наприклад, компанії, що виконують видалену розробку додатків для внутрішніх бізнес-засобів, мають права доступу до мережевих ресурсів, що дозволяють ефективно організувати спільну роботу і завершити виконання поставлених завдань, проте при цьому їм надаються лише мінімально необхідні права.

· Інвентаризація ІТ-активів(таких як устаткування, програмне забезпечення і сховища даних) виконується акуратно і своєчасно.

· Організація використовує елементи контролю, що забезпечують захист бізнес-даних від несанкціонованого доступу як зсередини організації, так і зовні.

· У організації працює ефективна система сповіщення користувачів про політиків і рекомендації в області інформаційної безпеки (наприклад, шляхом проведення тренінгів або розсилки новин).

· У організації використовуються ефективні елементи контролю фізичного доступу до комп'ютерної мережі і інших ІТ-активам.

· Нові комп'ютерні системи вводяться в експлуатацію з дотриманням стандартів безпеки організації і з використанням стандартних методик, заснованих на вживанні образів дисків, сценаріїв і інших автоматизованих засобів.

· Оновлення програмного забезпечення основних виробників на більшій частині комп'ютерів організації здійснюється автоматично, за допомогою ефективної системи управління виправленнями.

У організації створена група реагування на інциденти, яка розробила і задокументувала ефективні процеси відстежування порушень системи безпеки і реагування на ці порушення. Всі інциденти ретельно аналізуються, поки не буде виявлена основна причина інциденту, а всі проблеми не будуть усунені.

· У організації використовується всеосяжна антивірусна система, що включає багаторівневий захист, навчання користувачів і ефективні методики реагування на вірусні атаки.

· Процеси підтримки роботи користувачів ретельно задокументовані і хоч би частково автоматизовані, внаслідок чого нові співробітники, постачальники і партнери своєчасно отримують необхідний рівень доступу до ІТ-системам організації. Крім того, ці процеси повинні підтримувати тимчасове відключення і видалення облікових записів користувачів, в яких більше немає необхідності.

· Доступ до комп'ютерів і мережі контролюється за допомогою системи авторизації і перевірки достовірності користувачів, списків управління доступом до даних і про активного моніторингу порушень політики.

· Розробники додатків прослухують учбові курси і забезпечуються детальною інформацією про стандарти безпеки, вживані при створенні і перевірці якості програмного забезпечення.

· У організації розроблені і ретельно задокументовані методи і системи забезпечення безперервної роботи, які регулярно перевіряються шляхом моделювання і проведення тренувань.

· У організації упроваджені і ефективно працюють програми, що дозволяють переконатися, що всі співробітники виконують свої посадові обов'язки відповідно до вимог законодавства.

Для перевірки відповідності стандартним рекомендаціям по захисту бізнес-активів регулярно здійснюються аудит і контроль силами сторонніх організацій.

Обчислите число балів для організації, підсумувавши бали, отримані при оцінці кожного приведеного вище твердження. Теоретично організація може набрати від 0 до 85 балів, проте на практиці лише небагато організацій отримають найвищу або найнижчу оцінку.

Якщо організація набрала 51 бал або більш, це означає, що, видно, організація добре підготовлена до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, і використанню всіх його можливостей. Якщо організація набрала від 34 до 50 балів, це показує, що організація зробила значні зусилля по управлінню ризиками безпеки і готова до поступового впровадження даного процесу. Подібним організаціям рекомендується розглянути можливість використання цього процесу в декількох підрозділах протягом декількох місяців, а лише потім переходити до впровадження в рамках всієї організації. Організаціям, що набрали менше 34 балів, рекомендується упроваджувати цей процес поступово, почавши впровадження із створення групи управління ризиками безпеки і використання процесу в одному з підрозділів протягом декількох місяців. Коли організація переконається в корисності даного процесу, використовуючи його для зниження ризиків у вибраному підрозділі, цей процес слід упровадити ще в двох або трьох підрозділах. Подальше впровадження процесу може супроводитися внесенням значних змін і повинно відбуватися поступово, аби уникнути негативного впливу на здатність організації до виконання основних бізнес-цілей. Тому при впровадженні даного процесу слід керуватися здоровим глуздом - кожна залишена без захисту система підвищує ризик безпеки і ризик настання правової відповідальності, і кращим методом запобігання цим наслідкам є використання власних знань про систему. Якщо організація не згодна з пропозицією упроваджувати даний процес поступово і вважає, що впровадження повинне виконуватися невідкладно, вона повинна діяти на власний розсуд.

Організація повинна ретельно вибрати підрозділ для реалізації пілотних програм. При виборі слід враховувати, наскільки важливі питання безпеки для даного підрозділу і яким чином визначається безпека з точки зору доступності, цілісності і конфіденційності послуг і даних. Нижче наводяться приклади питань, використовуваних при виборі підрозділів для пілотної програми.

Чи перевищує рівень зрілості системи управління ризиками у вибраному підрозділі середній рівень для організації?

· Чи будуть керівники вибраного підрозділу активно підтримувати програму?

· Чи забезпечує вибраний підрозділ високий рівень наочності в рамках організації?

· В разі успішного завершення пілотної програми процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, чи буде корисний досвід даної програми переданий останнім підрозділам організації?

Цими ж критеріями необхідно керуватися при виборі підрозділу для подальшого розширення програми.



<< предыдущая страница   следующая страница >>