Чек-лист: 10 важных шагов при оценке ИБ-рисков банка

Понимание необходимости

Не преуменьшать значение рисков ИБ для бизнеса

Риск в сфере информационной безопасности ассоциирован с потерей конфиденциальности, целостности или доступности информационных активов компании. Он же может порождать риски в других сферах, например, в сфере качества, экологии, охраны труда или производственной безопасности.

Если говорить о банках, то в СМИ можно встретить очень много публикаций о том, как утечка данных клиентов или мошенничество приводили к существенным репутационным и финансовым потерям. А ведь причиной были события рисков ИБ. То же касается и других видов бизнеса. Так, в нашей практике был случай, когда уязвимость в АСУ ТП свинофермы давала злоумышленникам возможность открыть заслонки, отделяющие разные породы свиней, и таким образом перемешать их. Для свиноводческого комплекса это – риск, сравнимый с потерей бизнеса. Татьяна Страмоус, эксперт департамента консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

Интегрировать риски ИБ в общебанковский подход к управлению рисками

Стандарт ISO 31000 определяет оценку рисков как часть процесса управления рисками. Этот процесс представляет собой систематические действия по применению политик, процедур и подходов к установлению коммуникаций, консультированию, установлению контекста и идентификации, анализу, оцениванию, обработке, мониторингу рисков.

Место оценки рисков в процессе управления рисками. Стандарт ISO 31000 Risk Management. Guidelines

Включение ИБ-рисков в общебанковскую систему управления рисками позволит добиться двух целей:

ускорить реагирование на событие риска, т.к. есть крайне чувствительные ко времени реакции участки;

избежать ситуации дублирования функций: финансовые организации часто рассматривают понятие «киберриск» как часть термина «операционный риск», однако во многих банках за эти виды рисков отвечают разные подразделения, которые не взаимодействуют между собой – в результате одни и те же риски оцениваются как минимум дважды, и банк теряет на излишних операционных расходах.

Учитывать разную скорость наступления последствий от реализации разных рисков ИБ

Финансовые организации, да и не только они, крайне редко учитывают, что разные события имеют разную скорость наступления. Материализация одного и того же риска ИБ в банке будет иметь разную скорость наступления последствий в различных процессах, подразделениях или системах. То есть какие-то участки окажутся чувствительнее других к такому риску прежде всего в терминах ограничений по времени реагирования на событие риска.

Учитывать регуляторные требования РФ

Финансовые организации при оценке рисков ИБ должны учитывать положения законодательных и нормативных актов РФ, применимых для банковской сферы:

Положения законодательных и нормативных актов РФ, применимые для банковской сферы:
• ­ Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» (ФЗ-161);
• ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер;
• ­Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России»; ­
• Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
• Положение №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Стандарты Банка России, такие как:
• «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)»;
• «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление рискоминформационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018).

Учитывать лучшие практики

Часто ими пренебрегают в пользу локальных требований. Однако для корректного выстраивания процесса оценки рисков ИБ, в том числе выработки методологии, следует обратить внимание на лучшие мировые практики, изложенные в следующих стандартах:

ISO 31000:2018 «Risk management — Guidelines»; IEC 31010:2019 «Risk management — Risk assessment techniques»; ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management».

Подготовка к оценке

Выбрать единую методологию оценки рисков

Существуют несколько важнейших критериев:

Оценка должна быть комплексной и консистентной выбранной методологии. Последняя в свою очередь должна учитывать потребности и ожидания всех заинтересованных сторон, включая акционеров, руководителей, работников, клиентов и поставщиков банка. Оценка должна быть динамической. Чаще всего для оценки рисков ИБ применяется дискретный метод (через определенные временные интервалы), который не позволяет учитывать динамику изменений во внутренних и внешних факторах. На практике процесс запускается раз в год, однако необходимость может возникать гораздо чаще, например, при наступлении значительных изменений, то есть событий, влияющих на способность компании достигать поставленных бизнес-целей. Каждая компания самостоятельно определяет, что для нее является значительным изменением. Например, это могут быть глобальные изменения в отраслевом законодательстве, реструктуризация в компании, модернизация ИТ-инфраструктуры или одной из ключевых информационных систем компании и т.п. Результаты оценки должны быть понятными бизнесу.

В крупном банке отсутствовала формализованная методика оценки риска ИБ, при этом были разработаны подходы к формированию отчета об оценке во вполне понятной бизнесу форме, – рассказывает Татьяна Страмоус. – Мы предложили установить критерии оценки, включая шкалы для оценивания вероятности сценариев реализации рисков. После согласования этих критериев с внутренними заинтересованными сторонами банка скорость выполнения оценки рисков ИБ выросла в два раза, а ее результаты стали сопоставимыми. Фактически мы помогли банку повысить эффективность процесса оценки риска и дали возможность развиваться в направлении формирования динамической оценки рисков ИБ вместо ранее принятой дискретной.

Определить владельца риска

Владелец риска должен быть определен для каждого риска ИБ на этапе их идентификации. В противном случае обеспечивать реализацию и контроль внедрения мер по обработке выявленных рисков будет затруднительно. Процесс назначения владельцев рисков ИБ должен быть утвержден на уровне правления банка. Отсутствие официальной процедуры может приводить к задержкам финансирования.

В одном из российских банков существовала проблема с определением источника финансирования мер по обработке рисков ИБ, – комментирует Татьяна Страмоус. – Каждый раз велись долгие дискуссии, из бюджета какого подразделения нужно выделить средства на реализацию проекта по оценке риска ИБ. Наша команда предложила банку усовершенствовать используемую методику оценки рисков ИБ и гармонизировать ее положениями стандарта ISO 31000:2018, чтобы затем утвердить на уровне правления. Согласно нашему предложению, позицию владельца риска должны были занимать руководители тех бизнес-подразделений, чья деятельность могла больше всего пострадать от реализации того или иного риска ИБ.

Выбрать исполнителя

Оценка рисков ИБ, как правило, инициируется специалистами службы ИБ банка. Проводить ее можно:

Силами самого банка. В этом случае к процессу привлекаются специалисты как ИТ-подразделений, так и подразделений, занимающихся оценкой операционных рисков, юристы, представители кадровой службы и бизнес-подразделений.

С привлечением сторонних специалистов. Такие услуги предоставляют консалтинговые компании и интеграторы, специализирующиеся на информационной безопасности. При этом важно, чтобы внешние привлекаемые специалисты работали над проектом в тесной связке с вышеперечисленными подразделениями банка.

Оценка

Соблюсти этапы оценки рисков

Согласно ISO 31000:2018, оценка рисков включает три этапа:

1. Идентификация

Банк, опираясь на знания своего ИБ-контекста (внутренних и внешних факторов, релевантных ИБ банка), формирует перечень рисков ИБ, которые могут быть актуальными. Эксперты рекомендуют описывать каждый идентифицированный риск ИБ c связке с его причинами и возможными последствиями от реализации.

2. Анализ

Каждый риск рассматривается с точки зрения его источника, сценариев реализации, активов банка, подверженных этим сценариям, вероятности реализации и воздействия на цели банка. Для анализа используются шкалы, установленные в методологии оценки рисков. Такие шкалы могут быть как качественными, так и количественными, учитывать воздействия риска с точки зрения финансового и правового аспектов, непрерывности бизнеса и других факторов. По результатам этого этапа определяется уровень каждого риска ИБ, то есть величина риска, выраженная в виде сочетания его последствий (воздействий) и их вероятности.

3. Формальное ранжирование (или оценивание) рисков

Сравнение результатов анализа с критериями рисков для установления приемлемости или допустимости каждого риска (и/или его величины), то есть для определения их значимости с точки зрения риск-аппетита банка.

Задокументировать результаты

По итогам работы рекомендуется составлять документированные свидетельства, подтверждающие процесс оценки рисков и его результаты.

Подробнее об оценке ИБ-рисков банка можно узнать у экспертов компании «Инфосистемы Джет».

Смотрите также

• Информационная безопасность в банках
• Потери банков от киберпреступности
• Политика ЦБ в сфере защиты информации (кибербезопасности)