Проведение анализа угроз и расчета рисков в области информационной безопасности

В процессе управления любым направлением деятельности необходимо вырабатывать осознанные и эффективные решения, принятие которых помогает достичь определенных целей. На наш взгляд, адекватное решение можно принять только на основании фактов и анализа причинно-следственных связей. Конечно, в ряде случаев решения принимаются и на интуитивном уровне, но качество интуитивного решения очень сильно зависит от опыта менеджера и в меньшей степени — от удачного стечения обстоятельств.

Для иллюстрации того, насколько сложен процесс принятия обоснованного и соответствующего реалиям решения, приведем пример из области управления информационной безопасностью (ИБ). Возьмем типичную ситуацию: начальнику отдела ИБ необходимо понять, в каких направлениях двигаться в целях эффективной отработки своей основной функции — обеспечения информационной безопасности организации. С одной стороны, все очень просто. Есть ряд стандартных подходов к решению проблем безопасности: защита периметров, защита от инсайдеров, защита от обстоятельств форс-мажорного характера. И существует множество продуктов, позволяющих решить ту или иную задачу (защититься от той или иной угрозы).

Однако есть небольшое «но». Специалисты отдела ИБ сталкиваются с тем, что выбор продуктов различного класса очень широк, информационная инфраструктура организации очень масштабна, количество потенциальных целей атак нарушителей велико, а деятельность подразделений организации разнородна и не поддается унификации. При этом каждый специалист отдела имеет собственное мнение о приоритетности направлений деятельности, соответствующее его специализации и личным приоритетам. А внедрение одного технического решения или разработка одного регламента или инструкции в крупной организации выливается в небольшой проект со всей атрибутикой проектной деятельности: планирование, бюджет, ответственные, сроки сдачи и т. п.

Таким образом, защититься повсюду и от всего, во-первых, не представляется возможным физически, а во-вторых, лишено смысла. Что в данном случае может сделать начальник отдела ИБ?

Во-первых, он может не делать ничего до первого серьезного инцидента. Во-вторых — попытаться реализовать какой-либо общепринятый стандарт обеспечения ИБ. В-третьих — довериться маркетинговым материалам производителей программно-аппаратных средств и интеграторам или консультантам в области ИБ. Тем не менее есть и другой путь.