![](https://habrastorage.org/getpro/habr/upload_files/210/f1a/d95/210f1ad951b7cb95b0cee0d614866bb3.png)
В 2016 году наша команда начала проект по внедрению риск-ориентированного подхода в управлении информационной безопасностью в «БАРС Груп», сопровождением которого мы занимаемся и на данный момент. Основные цели на старте проекта — переход к проактивному управлению информационной безопасностью и эффективное использование ограниченных ресурсов для снижения основных рисков. Спойлер! Наши цели были успешно достигнуты, но сегодня поговорим о другом. Я хочу поделиться определенными алгоритмами и методами, которые были выработаны при внедрении этого подхода. Меня зовут Ильдар Гарипов, я являюсь руководителем службы информационной безопасности в «БАРС Груп». Начнем!
Организационная структура комитета
Первое, что было сделано для внедрения риск-менеджмента — получена поддержка руководства и возможность привлечения ключевых работников (экспертов) компании в процесс реализации риск-менеджмента. Нами был сформирован комитет по управлению рисками ИБ, в него вошли следующие работники: исполнительный директор, руководитель службы информационной безопасности, ИТ-директор, финансовый директор, руководитель юридической службы, технический директор, HR-директор.
![](https://habrastorage.org/getpro/habr/upload_files/724/ce9/72f/724ce972f4b9e4c19a7c647c8d4f6d95.png)
Основные этапы
Далее был разработан процесс управления рисками. В качестве источников знаний использовались следующие ГОСТы:
ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.
ГОСТ Р 51897-2011. Менеджмент риска. Термины и определения.
![](https://habrastorage.org/getpro/habr/upload_files/d06/092/d6e/d06092d6edea6936557e77c6a098816a.png)
После разработки процедуры было проведено обучение для комитета, чтобы сформировать общее понимание и единый подход.
Подход к оценке и расчету рисков
Основная задача при выборе методики оценки рисков для нас — простота и удобство, так как сложные методики могли породить ошибки в вычислениях и исказить значение риска при его расчете. Нами была выбрана качественная методика, где для оценки и расчета риска необходимо знать две переменные величины: вероятность и ущерб. Расчет проводился методом экспертных оценок.
Первый шаг — определение вероятности возникновения угроз для конкретного информационного актива. Для снижения погрешности метода экспертных оценок добавили методику выбора вариантов:
![](https://habrastorage.org/getpro/habr/upload_files/9ea/daa/e34/9eadaae3416df79c2e102d915a513d3d.png)
Второй шаг — выявление ущерба, который может нанести конкретная уязвимость информационному активу.
![](https://habrastorage.org/getpro/habr/upload_files/c3b/9b6/3c9/c3b9b63c95fcc517a778122ca18de023.png)
На основании оценки ущерба и вероятности возникновения риска рассчитывали значение (величину) риска, используя следующую таблицу.
![](https://habrastorage.org/getpro/habr/upload_files/88e/a2b/f5c/88ea2bf5ce736c86527575081f5d3e2f.png)
Ранжирование риска производили на основе значения риска и цветовой маркировки.
![](https://habrastorage.org/getpro/habr/upload_files/ca2/756/036/ca2756036ad9fe4e56e1d3772a67c557.png)
Например, произошла кража актива в результате сбоя системы контроля доступа. В данном случае владельцем риска будет выступать руководитель административного отдела. Уровень риска — 4, то есть средний. Для того, чтобы минимизировать этот риск необходимо проработать с арендодателем схемы взаимодействия по охране помещения в случае отключения системы контроля доступа.
Итог
Используя описанный подход к управлению рисками информационной безопасности, мы определяем приоритетные задачи, направленные на повышение уровня информационной безопасности с учетом требований бизнеса и фокусируемся на конкретных задачах. Данный цикл мы провели уже несколько раз — анализируем полученные результаты и вносим корректирующие мероприятия, направленные на улучшение процесса.