Интеграция рисков информационной безопасности в систему управления операционной надежностью организации
Автор: Дурандина А.П.
Журнал: Петербургский экономический журнал @gukit-journal
Рубрика: Актуальные проблемы социально-экономического развития общества, пути их решения
Статья в выпуске: 3 (41), 2023 года.
Бесплатный доступ
Управление рисками информационной безопасности рассматривается в статье как постоянно улучшающийся процесс, являющийся частью менеджмента организации, а именно частью системы управления операционной надежностью. На основе анализа источников по теме исследования показана ее актуальность. Во многих российских компаниях в настоящее время система управления информационной безопасностью слабо интегрирована с системой управления операционными рисками, однако необходимость данной интеграции не только обусловлена высоким значением киберрисков и существенными отрицательными последствиями их реализации, но и нормативными требованиями. В статье дан обзор разработанных Банком России и введенных в действие в 2023 году стандартов управления рисками информационной безопасности и операционной надежности. Проанализированы и выделены основные особенности стандартов, влияющие на организационную составляющую управления операционными рисками. С использованием методов обобщения и аналогии выявлены бизнес-процессы, которые необходимо разработать или усовершенствовать с целью развития системы управления рисками для повышения операционной надежности и обеспечения непрерывности бизнеса. Подчеркнута важность автоматизации управления рисками реализации информационных угроз. Одной из ключевых особенностей киберрисков является наличие сценариев атак, которые неизвестны организации, что существенно затрудняет их обнаружение и устранение причин и последствий атак.
Управление рисками, информационная безопасность, операционная надежность, стандарты информационной безопасности банка России, непрерывность бизнеса
Короткий адрес: https://sciup.org/140301543
IDR: 140301543
Текст научной статьи Интеграция рисков информационной безопасности в систему управления операционной надежностью организации
Риски реализации информационных угроз, или риски информационной безопасности (риски ИБ), являются одними из наиболее актуальных для организаций большинства отраслей экономики, а для финансовых организаций – ключевыми [1]. Это обусловлено критичной зависимостью бизнес-процессов от работоспособности информационных систем. Реализация рисков ИБ ведет к прямым финансовым потерям (кража, мошенничество и т. п.); к остановке и (или) неправильной работе биз-нес-процессов, т. е. к снижению операционной надежности организации, а также к нарушению требований законодательства по защите информации и следующей за этим ответственности перед го сударством и (или) контрагентами. Обеспечение операционной надежности в настоящее время невозможно рассматривать вне управления рисками ИБ, поэтому актуальность задачи сохранения приемлемого уровня операционной надежности в условиях информационных угроз является высокой.
Риск реализации информационных угроз (риск информационной безопасности) в данной статье рассматривается по определению ГОСТ Р 57580.3 [2] как совокупность киберриска (действия с использованием объектов информатизации) и других видов риска (методы социальной инженерии), действие которых направлено на нанесение ущерба и (или) нарушение функционирования процессов организации и (или) ее клиентов.
Высокие приоритеты вопросов защиты информации и обеспечения операционной надежности определены во многих отраслевых нормативных документах, в том числе в стратегических документах Банка России. В современных научных публикациях тематике управления операционной надежностью и рисками информационной безопасности уделяется значительное внимание. Например, в [3] дана общая характеристика процесса управления непрерывностью бизнеса со ссылками на международные и российские стандарты. Классификация рисков ИБ представлена в [4]. В [3, 5] подчеркивается связь рисков ИБ и операционной надежности. В [6] предлагается оценивать эффективность системы управления операционным риском (системы внутреннего контроля) по индикаторам, рассчитываемым на основе официальной отчетности, но данные индикаторы не связываются с бизнес- и технологическими процессами компании. Необходимость мониторинга рисков ИБ подчеркивается в [7].
Значительное количество публикаций отражает одно (один) из направлений или способов защиты. Например, в [8] приводится обзор анализа программного кода на уязвимость безопасности, в [9] дается общая характеристика нормативных требований и описание этапов проекта внедрения безопасной разработки программного обеспечения. В [10] представлены методы анализа журналов операционных систем с целью обнаружения вредоносной ак- тивности. Результаты анализа существующих решений и проблемы защиты сетевого информационного обмена показаны в [11]. Автор [12] подчеркивает непосредственную связь информационной безопасности с моделированием бизнес-процессов. В [13] подробно рассмотрены подходы к оценке эффективности защиты информации от несанкционированного доступа. Один из вариантов решения вопроса оценки актуальности угроз информационной безопасности предложен в [14].
В большинстве организаций в настоящее время управление информационной безопасностью и операционной надежностью разделено по процессам и подразделениям. Требуется интеграция управления рисками ИБ в систему управления операционной надежностью, но механизм такой интеграции в рассмотренных публикациях не представлен. Теоретически значимым результатом данной работы является выявление ключевых процессов, требующих совершенствования с целью интеграции системы ИБ в систему управления операционным риском. Данный результат имеет практическое значение и может использоваться для планирования работ по совершенствованию системы управления рисками организации.
Целями работы являются:
– выделение требований стандартов Банка России ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4–2022, которые являются ключевыми и существенно влияют на организационную составляющую информационной безопасности, управление операционными рисками и обеспечение непрерывности бизнеса;
– формулирование базовых рекомендаций по подготовке к внедрению и использованию данных стандартов на уровне управления организацией с учетом интеграции управления рисками ИБ в систему управления операционным риском.
Методы исследования
Объектом исследования является управление рисками реализации информационных угроз на уровне организации. Предполагалось подтвердить гипотезу о необходимости глубокой интеграции системы информационной безопасности в систему управления опера- ционными рисками в текущих условиях деятельности организаций, включая нормативное регулирование. Для изучения нормативных документов в области информационной безопасности использован метод анализа, позволивший выделить требования, наиболее значимые для управления рисками. Методы обобщения и аналогии позволили подтвердить общность процессов управления операционными рисками и рисками ИБ и сформулировать рекомендации по совершенствованию данных процессов. Для ограничения объема рассмотрения нормативной базы использован метод абстрагирования.
Результаты и дискуссия
Рассмотрим особенности вступивших в силу 01.02.2023 стандартов ГОСТ Р 57580.3– 2022 и ГОСТ Р 57580.4–2022 с точки зрения их влияния на управление операционным риском. Документы разработаны Центральным банком РФ и до публикации требований Банка России, указывающих на обязательность исполнения стандартов для поднадзорных организаций, являются рекомендательными. Указанные стандарты могут быть использованы организациями не только финансовой сферы, так как, помимо отраслевой специфики, содержат общие для предприятий большинства отраслей рекомендации. Нормативные документы Банка России по информационной безопасности исторически являются более близкими к противодействию актуальным угрозам, перекликаются с международными требованиями (по сравнению с аналогичным регулированием в других отраслях экономики РФ).
Операционная надежность применительно к рискам ИБ определяется в рассматриваемых стандартах способностью организации покрыть собственные потери и потери контрагентов при реализации инцидентов; зрелостью процессов обеспечения операционной надежности; возможно стями по защите интересов контрагентов при реализации инцидентов; способностью исполнять требования законодательства по защите информации.
ГОСТ Р 57580.3–2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения» является центральным в семействе ГОСТ Р 57580, описывает состав и структуру направлений и процессов «системы управления риском реализации информационных угроз», показывает взаимосвязь стандартов серии 57580, посвященных управлению рисками, защите данных и операционной надежности. Стандарт предполагает интеграцию процессов управления рисками информационной безопасности в систему управления операционным риском. К процессам управления рисками ИБ документ относит процессы: идентификации и оценки риска; планирования, контроля и совершенствования мероприятий снижения риска и негативного влияния на деятельность организации при реализации риска; мониторинга риска; оценки капитала для покрытия риска; выделения кадровых и финансовых ресурсов для организации трех «линий защиты» (идея трех линий защиты схематично и кратко изложена в [15]) в рамках системы управления информационным риском; определения состава ключевых индикаторов риска, пороговых значений индикаторов и организации мониторинга с целью оперативного реагирования на отклонения; определения сигнальных и контрольных значений показателей уровня риска информационной безопасности с целью контроля достаточности капитала для покрытия риска; классификации рисковых событий по источникам риска, типам событий, процессам организации, видам потерь; периодической оценки эффективности системы управления информационным риском; ведения базы событий риска ИБ.
ГОСТ Р 57580.3–2022 определяет необходимость участия в управлении риском ИБ совета директоров и коллегиального исполнительного органа управления финансовой организацией, прямое подчинение ответственного за ИБ единоличному исполнительному органу управления. Требование подчиненности деятельности по ИБ первым лицам организации содержится также в общих, не отраслевых нормативных документах, например в Указе Президента № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информаци- онной безопасности Российской Федерации», что подчеркивает наличие в настоящее время тренда на усиление значимости информационной безопасности среди основных процессов организации.
ГОСТ Р 57580.4–2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер» детализирует Положения ЦБ РФ №779-П (в Положении указаны общие требования к обеспечению непрерывности бизнеса и допустимое время простоя по технологическим процессам), № 787-П и содержит меры обеспечения доступности и надежности бизнес- и технологических процессов. Для процессов «системы обеспечения операционной надежности финансовой организации» (раздел 7 ГОСТ Р 57580.4–2022) и системы управления операционной надежностью (раздел 8 ГОСТ Р 57580.4–2022) определены соответствующие меры [16].
Рассмотрим процессы обеспечения операционной надежности, их цели и соответствующие процессам ключевые меры по ГОСТ 57580.4 (выборочно).
Процесс 1. «Идентификация критичной архитектуры». Цель – учет и контроль элементов критичной инфраструктуры, включая документирование соответствующих регламентов и распределение ролей. Перечень бизнес-про-цессов, которые обязательно включаются в состав элементов критичной архитектуры, определен в Положениях Банка России № 716-П и 787-П. Процесс 1 предполагает реализацию следующих защитных мер:
– учет: бизнес-процессов и технологических процессов организации и сторонних по ставщиков услуг; технологических операций процессов; объектов информатизации, вовлеченных в выполнение процессов; субъектов доступа по процессам; внешних для организации контрагентов по процессам; каналов передачи данных. Идентифицированным элементам критичной инфраструктуры проставляются классификационные метки, что требуется для взаимодействия с центром реагирования на компьютерные инциденты Банка России ФинЦЕРТ. ФинЦЕРТ – это си- стема информационного обмена по ИБ между коммерческими организациями, правоохранительными органами, разработчиками и поставщиками систем защиты и др. Участники системы передают в ФинЦЕРТ данные об угрозах и рисках и получают от ФинЦЕРТ информацию об угрозах и их индикаторах, рекомендации по выявлению и противодействию атакам. С ФинЦЕРТ работают и организации, не поднадзорные Банку России;
– классификация: технологических операций по значимости применения технологических средств защиты информации [16, приложение А]; объектов информатизации инфраструктурного (сетевое оборудование, аппаратное обеспечение, операционные системы, серверы приложений и др.) и прикладного уровней; субъектов доступа по принадлежности к группе привилегированного доступа; сервисов поставщиков услуг по модели доступа: программное обеспечение как услуга (SaaS); платформа как услуга (PaaS), инфраструктура как услуга (IaaS); защищаемой информации; в зависимости от типа обрабатываемой информации: объектов информатизации, субъектов доступа, каналов передачи информации; организация учета результатов идентификации и классификации;
– фиксация результатов учета с использованием стандартных нотаций описания бизнес-процессов (BPMN, TOGAF);
– разработка целевых показателей операционной надежности для процессов критичной архитектуры по [16, Приложение Б].
Проц есс 2. «Управление изменениями». Цель – управление уязвимостями, изменениями и конфигурацией критичных объектов. Необходимо контролировать и тестировать обновления информационных ресурсов с точки зрения безопасности. Подпроцессы ориентированы на оценку влияния вносимых в критичную инфраструктуру изменений на операционную надежность, планирование и согласование внедрения изменений между заинтересованными подразделениями (бизнес, ИТ, ИБ, управление рисками и др. в зависимости от особенностей организационной структуры и системы управления организацией). Основные меры данного процесса следующие:
– планирование внесения изменений в критичную архитектуру, включая информирование и контроль участвующих подразделений;
– приоритизация изменений по срочности;
– согласование изменений в критичной инфраструктуре между подразделениями информационных технологий, ИБ и управления рисками, включая назначение ответственных за утверждение изменений. Разработка мероприятий снижения рисков и контроля их выполнения;
– контроль устанавливаемых изменений критичной архитектуры на соответствие заявленным целям и требованиям безопасности. Контроль разделения сред разработки, тестирования и эксплуатации, в том числе целостности данных при переносе между данными средами. Контроль установленных изменений, включая контроль процесса установки;
– назначение субъектов доступа для внесения изменений в критичную архитектуру и установка соответствующих прав доступа;
– протоколирование установленных изменений;
– наличие процедуры «отката» – возврата объекта к состоянию до установки изменения, в том числе по причине отрицательного влияния изменения на безопасность и (или) операционную надежность;
– анализ необходимости переоценки рисков информационной безопасности до внедрения изменений в критическую архитектуру;
– управление конфигурацией объектов критичной инфраструктуры: создание и периодическое обновление паспортов конфигурации объектов; ограничение прав субъектов доступа и контроль несанкционированного изменения паспортов конфигурации; постоянный контроль соответствия рабочих и документированных конфигураций; выявление несанкционированного изменения рабочих конфигураций и соответствующее реагирование; разработка документов по управлению конфигурациями на всех этапах жизненного цикла объектов критичной архитектуры (приобретение, внедрение, обновление, выведение из эксплуатации, уничтожение);
– анализ уязвимо стей и обновление объектов критичной инфраструктуры: выявление необходимости обновления, изучение безопасности применения обновлений, согласование применения обновлений (включая запрет применения несогласованных обновлений), предварительный и последующий контроль обновлений, контроль актуальности и своевременно сти обновлений, ведение списка и статуса работ по устранению уязвимостей.
Примерный перечень состава задач процесса проверки устанавливаемого в рабочую среду программного обеспечения на его совместимость и отсутствие уязвимостей безопасности приведен, например, в [17].
Процесс 3. «Управление инцидентами и восстановлением после их реализации». Цели - выявление, регистрация инцидентов, адекватное реагирование, восстановление бизнес- и технологических процессов (включая координацию действий внутри организации и с внешними контрагентами), анализ причин и последствий инцидентов. Меры данного процесса следующие:
-
- выявление и регистрация инцидентов: мониторинг с целью выявления событий, являющихся индикаторами реализации угроз; сбор и регистрация технических данных о выявленных событиях; использование системы инициативного информирования о подозрительных событиях со стороны сотрудников; организация постоянного получения актуальной информации об индикаторах компрометации критичных объектов и использование данной информации для предотвращения инцидентов;
-
- реагирование на инциденты: оценка влияния инцидента, включающая в том числе классификацию инцидентов по типовым классификационным признакам, распределение ролей в процессе реагирования, документированные процедуры реагирования, перечень контрагентов для взаимодействия при реагировании и способы информирования контрагентов, способы и форматы обмена данными внутри организации и с внешними контрагентами при реагировании, информирование Банка России и ФинЦЕРТ, разработка целевых показателей реагирования и показателей, определяющих степень достижения целевых показателей, фиксация юридически значимым способом
технических данных при реагировании на инциденты;
-
- восстановление процессов и объектов информатизации: утверждение и реализация порядка восстановления, включая установление целевых показателей, ролей, процедур, перечня вовлеченных в восстановление внешних контрагентов (за исключением клиентов), способов и форматов обмена данными в процессе восстановления, критериев оценки завершенности и успешности восстановления; регистрация действий;
-
- снижение тяжести последствий инцидентов: обеспечение непрерывности процессов с использованием резервов (объектов инфраструктуры, резервных каналов обслуживания) с допустимым объемом восстановления услуг, данных и времени восстановления;
-
- оценка полноты восстановления после инцидента, включая тестирование (например, сверка контрольных сумм для определения полноты восстановления данных, проверка полноты устранения причин инцидента, проверка соответствия параметров требованиям безопасности);
-
- анализ причин и последствий инцидента: сбор и анализ технических данных по реагированию и восстановлению после инцидента; определение источников, сценариев инцидентов, оценка последствий и их влияния на контрольные показатели уровня риска ИБ; оценка результативности выявления, реагирования на инциденты и восстановления; обеспечение возможности проведения компьютерной экспертизы инцидента;
-
- взаимодействие с внешними контрагентами (в том числе с Банком России, ФинЦЕРТ): организация взаимодействия в процессе информирования и реагирования; организация взаимодействия и подготовка отчетов: с советом директоров, с исполнительным органом, с ответственным за управление рисками, с подразделениями уровней защиты; организация информирования и взаимодействия с клиентами (о влиянии инцидента, сроках восстановления, рекомендуемых действиях).
Мониторинг рекомендуется организо-вывать на базе эшелонированной защиты с несколькими контурами безопасности, для каждого из которых используются способы защиты, зависящие от состава процессов, класса защищаемой информации и от того, содержит ли контур безопасности объекты критичной инфраструктуры.
Рекомендуется следующий минимальный состав классификационных признаков инцидентов: тип атаки; направление ат аки; тип объекта – цели атаки; тип нарушителя; процесс – цель; возможные последствия инцидента. Пример классификации инцидентов ИБ, разработанной на основе российских и международных стандартов, включая ГОСТ 57580, приведен в [18].
Целевыми показателями реагирования на инциденты в ГОСТ Р 57580.4–2022 определены: ограничение распространения инцидента внутри организации и среди внешних контрагентов, включая клиентов; снижение степени тяжести последствий инцидентов до допустимого уровня риска; соблюдение допустимого времени простоя и (или) деградации процессов с соблюдением требований ГОСТ Р 57580.3 и нормативных актов Банка России.
Среди действий по реагированию в ГОСТ Р 57580.4–2022 указаны действия: по делегированию полномочий на принятие решений, эскалации инцидента и его приоритизации в зависимости от уровня критичности; взаимодействию с внешними контрагентами, включая клиентов и регуляторов с целью сокращения финансовых потерь; взаимодействию со средствами массовой информации; сокращению распространенности инцидента; снижению степени тяже сти последствий; фиксации технических данных и формированию отчетности, в том числе для Банка России.
В отчет по реагированию на инциденты для ответственного за управление рисками включается информация: о влиянии инцидента на ключевые показатели управления рисками; нарушенных инцидентами процессах; сроках и объеме восстановления процессов и объектов информатизации; сведениях, которые предназначены для клиентов.
Процесс 4. «Взаимодействие с по став-щиками услуг». Цели – управление рисками ИБ со стороны по ставщиков услуг, включая риски, связанные с технологической зави- симостью работы объектов критичной инфраструктуры от поставщиков услуг. Меры: обнаружение и предотвращение вторжений в инфраструктуру организации со стороны поставщиков услуг, реагирование на инциденты; обеспечение безопасности цепи поставок для критичных объектов; тестирование объектов информатизации перед их внедрением; подписание с поставщиками услуг соглашений о неразглашении информации (Non Disclosure Agreement – NDA), соглашений об уровне обслуживания (Service Level Agreement – SLA) и технической поддержке; дублирование функций поставщиками услуг в резервных целях; диверсификация поставок; выявление объектов, по которым поставщик услуг прекращает сопровождение; контролируемое техническое обслуживание критичных объектов (авторизация, аутентификация исполнителей, соблюдение требований сохранения целостности, конфиденциальности, доступности данных), включая удаленное техническое обслуживание (защита сетевого взаимодействия, многофакторная аутентификация субъектов, регистрация операций и др.).
Процесс 5. «Тестирование операционной надежности процессов». Цели – анализ возможностей по противодействию информационным угрозам, например сценарный анализ: определение, документирование, регулярный пересмотр и реализация сценарного анализа (документирование сценариев реализации киберугроз; тестирование систем выявления и реализации угроз, реагирования на инциденты, сценариев предотвращения и (или) сдерживания угроз, квалификации сотрудников в части кибербезопасности, достаточности ресурсов для реагирования на инциденты; контроль актуальности используемых данных об объектах информатизации; стресс-тестирование (проверка сценариев со значительным финансовым влиянием на деятельность организации.
Процесс 6. «Защита деятельности организации в условиях удаленной работы». Цели – защита критичных данных и ресурсов при использовании удаленного доступа к объектам критичной инфраструктуры: определение плана перевода сотрудников на удаленную работу с учетом требований безопасности, включая работу с мобильных устройств (часть плана непрерывности работы).
Процесс 7. «Защита от внутреннего нарушителя». Мероприятия по снижению риска проводятся: при проверке кандидатов на замещение вакантных должностей, регулярной проверке выполнения политик разделения прав доступа; внеплановых проверках при расследовании инцидентов; реализации программ мотивации сотрудников к участию в управлении рисками ИБ.
Процесс 8. «Повышение осведомленности в области ИБ». Цели – взаимодействие с контрагентами по обмену информацией об актуальных угрозах (индикаторы угроз, сценарии); повышение осведомленности сотрудников и клиентов с целью противодействия киберугрозам.
Общепринятые этапы управления применительно к рискам информационной безопасности определены в восьмом разделе ГОСТ Р 57580.4–2022 [16] как направления планирования, реализации, контроля и совершенствования процесса системы обеспечения операционной надежности.
Планирование предполагает определение с учетом допустимого уровня риска (контрольные значения уровня риска приведены, например, в ГОСТ 57580.3 [2]) приемлемого уровня деградации процессов, состава мер (выбираются в том числе по разделам 7 и 8 ГОСТ Р 57580.4–2022 [16]).
Реализация процесса обеспечения операционной надежности предусматривает выполнение технических мер и обеспечение их доступности (выбор отказоустойчивых решений, резервирование, контроль, регламенты во сстановления), назначение ответственных (с учетом разделения обязанностей, например разработки и контроля конфигураций), обучение работников.
Контроль – это проверка удержания на необходимом уровне и с учетом риск-аппетита: области применения процесса обеспечения операционной надежности (состав элементов критичной инфраструктуры), качества применения мер (организационных, технических; контроль полноты реализации и эксплуатации), знаний работников.
Совершенствование, развитие системы обеспечения операционной надежности прово- дится на основе результатов реагирования на инциденты, при изменении ландшафта угроз, а также при изменении политики и (или) риск-аппетита в отношении системы операционной надежности, значений целевых показателей, приемлемого уровня деградации процессов.
В приложениях ГОСТ Р 57580.3–2022 [2] и ГОСТ Р 57580.4–2022 [16] приведен перечень ключевых показателей уровня риска и операционной надежности для поднадзорных Банку России организаций, что облегчает разработку системы индикаторов операционного риска. По каждому из показателей организация устанавливает сигнальные и контрольные значения.
Основные особенности ГОСТ Р 57580.3– 2022 и ГОСТ Р 57580.4–2022, определяющие необходимость разработки (совершенствования) и внедрения в деятельность организации соответствующих процессов, следующие:
– управление рисками ИБ является частью системы обеспечения операционной надежности. Состав и содержание мер обеспечения операционной надежности должно соответствовать допустимому уровню риска, рассчитанному на основе актуальных угроз информационной безопасности. Важно оперативно реагировать на изменение ландшафта угроз. Необходим мониторинг внутренних процессов организации и внешних угроз – определение и актуализация уровня риска информационной безопасности с адекватной текущей ситуации периодичностью пересмотра модели угроз;
– стандарты делают акцент на необходимость вовлеченности сотрудников в управление рисками ИБ. Подчеркивается существенная значимость сценариев реализации угроз с участием внутреннего нарушителя (халатное отношение, умышленные действия), что обуславливает важно сть процессов обучения в области информационной безопасности;
– меры по реагированию на инциденты необходимо разрабатывать с учетом требования снижения степени тяжести последствий;
– рекомендуется на постоянной основе идентифицировать (и уточнять в соответствии с меняющимся ландшафтом угроз, экономической ситуацией вне и внутри организации) перечень критичных бизнес-процессов и технологических процессов, критичных объектов информационной инфраструктуры и мер защиты;
– ГОСТ Р 57580.4–2022 закрепляет требование по контролю мероприятий обеспечения операционной надежности, в том числе с применением сценарного анализа и тестирования готовности организации к противодействию киберугрозам;
– ГОСТ Р 57580.3–2022, среди других способов работы с риском ИБ, делает акцент на управление риском при взаимодействии с внешними контрагентами, что обуславливает необходимость разработки соответствующих мер защиты и включения их в процессы подготовки и исполнения контрактов.
Заключение
Обобщая вышеизложенное, необходимо подчеркнуть значительный объем организационной подготовки к выполнению требований стандартов и сделать акцент на том, что управление информационными рисками рассматривается в ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4–2022 как часть системы управления операционной надежностью, для чего система управления ИБ интегрируется в систему управления операционной надежностью организации. Это требует:
– вовлечения подразделений информационных технологий и ИБ в процесс управления операционным риском и наличия соответствующих процедур коммуникации между подразделениями (подразделениями управления рисками, ИТ, ИБ и др.) на всех этапах цикла PDCA и на всех уровнях управления (заместители первых лиц, руководство среднего уровня, линейные сотрудники);
– учета в системе управления операционным риском особенностей защиты от кибератак. Дальнейшая разработка данного вопроса является актуальной в связи с наличием в настоящее время тренда на рост количества так называемых угроз нулевого дня;
– разработки системы индикаторов уровня операционного риска, связанного с риском ИБ, критериев и системы его оценки, в том числе с использованием сигнальных и контрольных показателей, представленных в ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4–2022. Индикаторы риска ИБ включаются в систему управления операционным риском. Состав индикаторов существенно зависит от особенностей бизнеса.
Общая оценка результативности системы защиты может проводиться по рассматриваемым стандартам или, например, методике, представленной в [19].
Для некоторых организаций может понадобиться ревизия и пересмотр распределения обязанностей между подразделениями, изменение организационной структуры.
Для финансовых организаций стимулом к интеграции подразделений и процессов ИТ и ИБ в систему управления операционным риском является норма Положения Банка России 716-П о непосредственном влиянии рисков реализации информационных угроз на показатели достаточности капитала.
В связи с большим объемом требований нормативных документов и собственных требований организации, защитных мер, уязвимостей, рисков и необходимостью интеграции управления рисками информационной безопасности в общий контур управления рисками, предприятиям рекомендуется рассмотреть целесообразность использования единой автоматизированной платформы управления рисками. Пользователями платформы могут быть сотрудники подразделений информационной безопасности, информационных технологий, экономической безопасности, охраны труда, экологиче ской безопасности и др. В настоящее время на рынке существуют соответствующие решения.
Список литературы Интеграция рисков информационной безопасности в систему управления операционной надежностью организации
- Tyurin M. A. Key risks of ensuring the security of Russian banks / M. A. Tyurin, D. A. Kapitanov // European Scientifi c Conference: сб. ст. XXVIII Междунар. науч.- практ. конф., Пенза, 08 янв. 2022 г. Пенза: Наука и Просвещение (ИП Гуляев Г. Ю.), 2022. P. 44–46. URL: https://www.elibrary.ru/item.asp?id=47481640 (дата обращения: 10.07.2023). EDN VSAPBX.
- Федеральное агентство по техническому регулированию и метрологии. Национальный стандарт Российской Федерации. ГОСТ Р 57580.3–2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения» [Электронный ресурс]. URL: https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&month=1&year=2023&search=57580.3&RegNum=1&DocOnPageCount=15&id=237747&pageK=EC417E50-6353-42C9-B1CD-D760CA6BD372 (дата обращения: 06.05.2023).
- Данилочкина Н. Г. Непрерывность бизнеса как основа жизнедеятельности предприятия / Н. Г. Данилочкина // Актуальные проблемы социально-экономического развития России. 2019. № 3. С. 54–58. URL: https://elibrary.ru/item.asp?id=41520770 (дата обращения: 10.07.2023). EDN JHVOVS.
- Ларина О. И. Эволюция риск-менеджмента кредитных организаций в новую цифровую эпоху / О. И. Ларина, Н. В. Морыженкова // Современные тенденции развития финансово-банковского сектора в условиях экономической неопределенности: сб. тр. Междунар. науч.-практ. конф., Нур-Султан, 10–11 июня 2022 г. Нур-Султан: Евразийский нац. ун-т им. Л. Н. Гумилева, 2022. С. 142–145. URL: https://www.elibrary.ru/item.asp?id=48694784 (дата обращения: 10.07.2023). EDN HETHCI.
- Концептуальный подход к применению интеллектуальных технологий для учета уязвимостей инфраструктуры организации / Л. В. Глухова, О. А. Филиппова, С. Д. Сыротюк, Ю. С. Мунирова // Фундаментальная и прикладная наука: состояние и тенденции развития: сб. ст. XXVI Междунар. науч.-практ. конф., Петрозаводск, 20 дек. 2022 г. Петрозаводск: Междунар. центр науч. партнерства «Новая Наука» (ИП Ивановская И. И.), 2022. С. 54–58. URL: https://www.elibrary.ru/item.asp?id=50019644 (дата обращения: 10.07.2023). EDN UAPCGA.
- Веретин М. С. Повышение экономической безопасности коммерческих банков на основе внутреннего контроля операционного риска / М. С. Веретин // Вестн. Российского ун-та дружбы народов. Сер. Экономика. 2023. Т. 31, № 1. С. 107–119. URL: https://elibrary.ru/item.asp?id=50744187 (дата обращения: 10.07.2023). DOI: 10.22363/2313-2329-2023-31-1-107-119. EDN REWLKX.
- Агафонов В. И. Теоретико-методологические и нормативно-правовые положения защиты информации в банковской сфере России / В. И. Агафонов // Первый экономический журн. 2023. № 5(335). С. 117–127. URL: https://elibrary.ru/item.asp?id=53953873 (дата обращения: 10.07.2023). DOI: 10.58551/20728115_2023_5_117. EDN VRXIZN.
- Денисов В. С. Технология анализа программного кода критических приложений цифровой экономики России / В. С. Денисов, С. А. Петренко, А. Д. Костюков // Защита информации. Инсайд. 2023. № 3(111). С. 27–33. URL: https://elibrary.ru/item.asp?id=53844314 (дата обращения: 10.07.2023). EDN CBQTWU.
- Моисеев А. Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО / А. Моисеев // Дайджест избранных ст. издания «Энергетика и промышленность России». Т. 1. СПб.: Издательский дом «Реальная экономика», 2022. С. 54–57. URL: https://www.elibrary.ru/item.asp?id=50143858 (дата обращения: 10.07.2023). EDN TASFPT.
- Хасанова А. М. Интеллектуальный анализ процессов по данным журналов событий информационных систем / А. М. Хасанова // International J. of Open Information Technologies. 2022. Т. 10, № 10. С. 70–77. URL: https://www.elibrary.ru/item.asp?id=49530439 (дата обращения: 10.07.2023). EDN JIMCSN.
- Технологии и методы создания систем защищенного информационного обмена / И. Л. Рева, И. А. Огнев, А. А. Якименко, О. К. Альсова // Безопасность цифровых технологий. 2022. № 3(106). С. 81–97. DOI: 10.17212/2782-2230-2022-3-81-97. URL: https://www.elibrary.ru/item.asp?id=49522407 (дата обращения: 10.07.2023). EDN JHANCI.
- Круликовский А. П. Бизнес-процессы и обеспечение их информационной без- опасности / А. П. Круликовский, А. М. Арифова // Проблемы информационной без- опасности социально-экономических систем: тр. IX Междунар. науч.-практ. конф., Гурзуф, 02–04 марта 2023 г. / под ред. О. В. Бойченко. Симферополь: Крымский федеральный ун-т им. В. И. Вернадского, 2023. С. 41–42. URL: https://www.elibrary.ru/item.asp?id=50333862 (дата обращения: 10.07.2023). EDN RGQSYT.
- Язов Ю. К. Методология оценки эффективности защиты информации в информационных системах от несанкционированного доступа / Ю. К. Язов, С. В. Соловьев. СПб.: Наукоемкие технологии, 2023. 258 с. URL: https://www.elibrary.ru/item.asp?id=50040735 (дата обращения: 10.07.2023). ISBN 978-5-907618-36-7. EDN WVCHKW.
- Формализация подхода к определению актуальности угроз информационной безопасности: монография / О. М. Голембиовская, М. Ю. Рытов, М. М. Голембиовский [и др.]. Саратов: Вузовское образование, 2022. 147 с. URL: https://www.elibrary.ru/item.asp?id=49184509 (дата обращения: 09.07.2023). ISBN 978-5-4487-0840-4. EDN DIQCQK.
- Мартынович С. Н. Подходы к решению проблем информационной безопасности бизнеса / С. Н. Мартынович, О. Н. Протасова // Междунар. стандарты учета и аудита: практика применения в условиях цифровой экономики: сб. ст. V Междунар. науч.-практ. оn-line конф., Нур-Султан–Москва, 18 февр. 2022 г. М.: Российский ун-т дружбы народов (РУДН), 2022. С. 296–302. URL: https://www.elibrary.ru/item.asp?id=48260173 (дата обращения: 10.07.2023). EDN NMRPZW.
- Федеральное агентство по техническому регулированию и метрологии. Национальный стандарт Российской Федерации. ГОСТ Р 57580.4–2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер» [Электронный ресурс]. URL: https://protect.gost.ru/v.aspx?control=8&baseC=-1&page=0&month=-1&year=-1&search=&RegNum=1&DocOnPageCount=15&id=238034&pageK=85E057E8-74F2-4655-806A-C132ECB000C3 (дата обращения: 30.04.2023).
- Шарлаев Е. В. Исследование подходов к контролю состояний защищенности программной среды автоматизированных систем и разработка методики комплексного подхода к обеспечению защищенности программной среды и инфраструктуры организации / Е. В. Шарлаев, Д. М. Ткаченко // Наукосфера. 2022. № 7-1. С. 167–171. URL: https://www.elibrary.ru/item.asp?id=49292594 (дата обращения: 10.07.2023). EDN DQXXTK.
- Таров Д. А. Системная классификация инцидентов информационной безопасности IT-сети организации / Д. А. Таров, И. Н. Тарова // Системы управления, сложные системы: моделирование, устойчивость, стабилизация, интеллектуальные технологии: материалы VIII Междунар. науч.-практ. конф., Елец, 21–22 апр. 2022 г. Елец: Елецкий гос. ун-т им. И. А. Бунина, 2022. С. 314–318. URL: https://www.elibrary.ru/item.asp?id=49618828 (дата обращения: 10.07.2023). EDN JFIJQQ.
- Ситская А. В. Ранжирование мер обеспечения безопасности значимых объектов критической информационной инфраструктуры / А. В. Ситская, В. В. Селифанов // Интерэкспо Гео-Сибирь. 2022. Т. 6. С. 240–249. URL: https://www.elibrary.ru/item.asp?id=49290242 (дата обращения: 10.07.2023). DOI: 10.33764/2618-981X-2022-6-240-249. EDN GFUGGU.