Отечественные стандарты в области управления киберрисками рассматривают их исключительно в контексте обеспечения безопасности информации, которая является одним из элементов общей информационной безопасности компаний, что особенно актуально для предприятий не ИТ-сектора, так как их бизнес и связанные с ними информационные угрозы сосредоточены в других сферах, а информационные технологии рассматриваются как инфраструктурный элемент, играющий важную, но не первостепенную роль. Особо следует отметить такие стандарты, как ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» и ГОСТ Р ИСО/МЭК 15408, который формирует основы принятия решений в области управления киберрисками, так как оговаривает инструменты и методики оценки информационных систем и продуктов по параметрам информационной безопасности. Отечественная система стандартов в области управления киберрисками органично соотносится с международной. Так, ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» соответствует международному стандарту ISO/IEC 27001:2005 «Information technology - Security Techniques - Information security management systems – Requirements». При этом в России под эгидой Федеральной службы по техническому и экспортному контролю существует национальная система нормативной документации в области управления киберрисками, содержащая правовые акты, организационно-распорядительные документы и методические материалы по технической защите информации.
В данной системе представлены, как документы общего характера, например, ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», так и документы по отдельным узким аспектам управления киберрисками, например, ГОСТ Р 52633.0-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации». Система корпоративного управления киберрисками в не ИТ-компаниях является динамической и не может быть сформирована «однажды и навсегда». Она представляет собой систему циклических действий, реализуемых в рамках протоколов, установленных в организации на основе существующих нормативных документов и наилучших бизнес-практик. Данная система состоит из четырех крупных блоков, каждый из которых в свою очередь сформирован из нескольких вложенных блоков, обеспечивающихся техническими, организационными и методическими средствами.
Рассмотрим основные блоки первого уровня, характерные для не ИТ-компаний.
1. Фиксация (идентификация, выявление) киберриска. Реализация данного блока осуществляется на основании реализации блока № 4, в рамках которого осуществляется выявление произошедших или потенциально возможных инцидентов, способных причинить ущерб. Идентификация реализуется на основе опыта корпоративного управления или функционирования других систем, самостоятельно или в рамках оказания услуг сторонней организацией.
2. Оценка киберриска. Оценка включает не только установление возможного ущерба от потенциально возможной угрозы, но и осознание уровня ее приоритетности. Сведения, используемые на данном этапе, также могут быть получены на основании собственного опыта или от сторонней организации. При ранжировании киберрисков традиционно используется метод вычисления математического ожидания случайной величины, при котором значение случайной величины (размер ущерба от реализации киберриска) преумножается на вероятность случайной величины (вероятность возникновения киберриска).
3. Реакция на киберриск. Реакция может быть непосредственной или отложенной. Непосредственная реакция выражается в действиях, направленных на минимизацию масштабов ущерба и вероятности возникновения киберриска. Непосредственная реакция обычно связана с высоковероятными рисками, способными нанести ущерб организации, значительно превосходящий затраты, связанные с его купированием. Она может выражаться в замене оборудования или программного обеспечения, изменении протокольных (административных) процедур. Она связана с прямыми издержками и возрастанием совокупной стоимости владения информационной системой, в том числе по категории капитальных затрат. Отложенная реакция связана с маловероятными рисками, а также с теми рисками, ущерб от которых не является критическим и сопоставим с рисками оперативной деятельности компании в рамках «непредвиденных» издержек, или затраты, связанные с непосредственной реакцией (устранением, минимизацией) сопоставимы (выше) потенциального ущерба, связанного с реализацией киберугрозы. Отложенная реакция состоит во включении киберриска в систему мониторинга и разработки планов действий по устранению последствий в случае его реализации. Также к категории отложенных реакций можно отнести периодический пересмотр оценки уровня потенциального ущерба на основе внешних и внутренних данных о последствиях инцидентов. Характерным примером такого пересмотра значимости киберриска является изменение отношения не ИТ-компаний к DDoS-атакам на корпоративный сайт. Возможность организации атаки на сайт-визитку проблематична, а выпадение информационного сайта из интернет-пространства на несколько дней – неприятный, но не критичный инцидент. Ситуация существенно меняется по мере того, как сайт становится элементом фронт-офиса и бэк-офиса компании. Наличие на корпоративном сайте интернет-магазина существенно повышает возможности злоумышленников при организации DDoS-атак. А сбои функционирования сайта, связанные с нарушением внутренней коммуникации (бэк-офис), угрожают не просто оттоком клиентов, но и представляют угрозу для самого существования компании.
4. Мониторинг киберрисков. Результаты мониторинга как внутреннего информационного пространства (инцидентов), так и внешнего (аналитика и техническая документация по тематике, связанной с киберрисками) оформляются в виде отчетов, которые поступают в систему управления компанией. Важно, что принятие многих решений, связанных с управлением киберрисками, выходит за пределы компетенции руководства информационной инфраструктуры и связано с деятельностью менеджмента высшего звена. Мониторинг может осуществляться как внутренними подразделениями компании, так и в рамках передачи бизнес-процессов на аутсорсинг.
Выше было показано, что все блоки управления кибберрисками в не ИТ-компаниях могут быть реализованы в рамках аутсорсинга. Причинами принятия решения об использовании аутсорсинга являются:
• отсутствие в штате специалистов, обладающих необходимой квалификацией и невозможность привлечения их на постоянной основе (особенно актуально для относительно небольших компаний);
• высокая стоимость специализированного программного обеспечения и оборудования при невозможности обеспечения его полной загрузки или несопоставимости с масштабами защищаемой области деятельности при том, что, собственно, киберриск является критическим и ущерб от него способен привести к гибели компании, иными словами и стоимость организации самостоятельной защиты, и потенциальный ущерб являются неприемлемыми издержками;
• менеджмент компании не может дать корректную оценку уровня киберрисков, что влечет к отсутствию понимания оправданности расходов (данная ситуация особенно актуальна для не ИТ-компаний, создающих новые виды бизнеса и осуществляющих цифровую трансформацию).
Аналитиками отмечается различный уровень «глубины» аутсорсинга: от систематических консалтинговых услуг внешнего специалиста до интеграции аутсорсера в информационную систему компании. На отечественном рынке управления киберрисками наиболее часто передаваемыми на аутсорсинг услугами являются: аудит ИТ-инфраструктуры; разработка корпоративных нормативных документов (планов, регламентов и пр.); расследование инцидентов; работа мониторингового центра; обучение и переобучение персонала; комплексное сопровождение информационных систем. Таким образом, в рамках эссе показана возможность и необходимость использования аутсорсинга при управлении киберрисками в не ИТ-компаниях.