Определим систему управления рисками ИБ (СУРИБ) (англ. IS risk management system) как набор элементов системы управления организации в отношении средств управления рисками ИБ на всех уровнях, включая стратегическое планирование, принятие решений и другие процессы, затрагивающие риски ИБ. Это часть общей системы управления организацией. Внедрение такой системы основано на комплексном подходе к решению проблемы контроля над рисками ИБ, возникающими в ходе деятельности организации.

СУРИБ объединяет в себе три составляющие:

1) совокупность формализованных взаимосвязанных процессов, обеспечивающих все этапы управления рисками ИБ – от анализа и планирования, до проверки и совершенствования;

2) международные, национальные, ведомственные и иные стандарты, технологии, методики управления рисками ИБ, представленные в виде документального обеспечения, обязательно включающего политику управления рисками ИБ, методологию оценки рисков ИБ, план обработки рисков ИБ, декларацию о применимости и т. д.;

3) квалифицированные кадры и организационную структуру управления рисками ИБ, состоящую из нескольких уровней (минимально трех).

Верхний – коллегиальный орган (возможно, система комитетов, например, инвестиционный комитет), на который возложена ответственность за управление рисками ИБ. Этот орган принимает решения по конкретным рискам ИБ и утверждает процедуры, передающие часть полномочий по принятию таких решений на низшие уровни системы.

Средний – специальные подразделения, контролирующие исполнение прочими отделами, управлениями и т. п. установленных процедур, связанных с рисками ИБ.

Низший – подразделения, непосредственно совершающие действия в рамках общей деятельности организации по управлению рисками ИБ, предусмотренные в ее политике управления рисками ИБ и других документах (например, в плане обработки рисков ИБ).

Как видно из основного назначения этой системы, СУРИБ организации предусматривает работу в следующих режимах:

- обычный, действующий по умолчанию в обычных условиях ведения бизнеса;

- контроля, применяемый к отдельному подразделению, при накоплении сигналов о концентрации рисков ИБ, по особым решениям руководства и т. д.;

- чрезвычайный, реализуемый по отношению ко всей организации при сигнале о превышении допустимого уровня концентрации рисков;

- отладки – режим испытания СУРИБ, внедрения новых продуктов и процедур, устанавливаемый по решению руководства.

Наличие СУРИБ в организации способствует следующему:

- риски ИБ идентифицированы;

- риски ИБ оценены с точки зрения их последствий для бизнеса и вероятности их осуществления;

- информация о вероятности и последствиях этих рисков ИБ доведена до сведения и понята всеми причастными и заинтересованными сторонами;

- приоритетный порядок обработки рисков ИБ установлен;

- приоритетность действия по снижению рисков ИБ выполняется; - заинтересованные стороны участвуют в принятии решений по рискам ИБ и информируются о положении дел в области управления рисками ИБ; - осуществляется мониторинг эффективности обработки рисков ИБ;

- риски ИБ и процесс управления рисками ИБ регулярно контролируются и пересматриваются;

- собирается информация для усовершенствования подходов к управлению рисками ИБ;

- руководящий персонал и сотрудники проходят обучение по рискам ИБ и действиям, которые необходимо предпринимать по их уменьшению.

Как и ко всему процессу управления ИБ, к управлению рисками ИБ, в соответствии со стандартами, применим системный подход. Он основывается на том, что все процессы и явления, связанные с рисками ИБ, рассматриваются в их системной связи, учитывается влияние отдельных решений и элементов на систему в целом, и выражается в следующем, но не ограничиваются только перечисленным:

-  управление рисками ИБ в каждой организации должно иметь свою стратегию, тактику и оперативную составляющую;

- ОИБ в организации проводиться системно, то есть защита активов от недопустимых (чрезмерных) рисков ИБ осуществляется одновременно всеми предусмотренными защитными мерами на основе установленных планов;

- мероприятия по управлению рисками ИБ на различных этапах функционирования организации и создания ею своей основной продукции рассматриваются как некоторая единая система в их взаимной связи для защиты от рисков ИБ деятельности организации в целом;

- риски ИБ, связанные с одной операцией или объектом, рассматриваются как единый комплекс факторов, влияющих на эффективность и расход ресурсов всей организации;

- соблюдается баланс и предусматривается возможность создания или выделения необходимых для управления рисками ИБ резервных ресурсов на различных иерархических уровнях;

- каждая из существующих альтернативных возможностей по использованию ограниченных ресурсов анализируется, определяются наиболее выгодные и используются именно эти наиболее эффективные действия или их комбинации по обработке рисков ИБ;

- найден оптимальный баланс между стремлением к ОИБ и необходимыми для ее обеспечения ресурсами.

В отношении рисков ИБ четыре этапа модели PDCA выглядят следующим образом: «оценка рисков ИБ – обработка рисков ИБ – контроль рисков ИБ (путем мониторинга, тестирования, анализа защитных мер, а также аудита ИБ ИС) – оптимизация рисков ИБ (путем модификации и обновления правил политики и защитных мер для каждого из рисков ИБ)» (рис. 2.7).

Рис. 2.7. Модель PDCA для управления рисками ИБ

Если смотреть на место процесса управления рисками ИБ в рамках циклической модели PDCA для СУИБ и тех действий, которые должны быть выполнены при ее построении и дальнейшем функционировании, то очевидно, что установление контекста управления рисками ИБ, оценка рисков ИБ, разработка плана обработки рисков ИБ и принятие рисков ИБ являются основными частями этапа «Планирование».

Таким же образом действия и средства управления для снижения рисков ИБ до приемлемого уровня осуществляются в соответствии с планом обработки рисков ИБ, что является важным элементом этапа «Реализация».

На этапе «Проверка» руководство может определить потребность в пересмотре оценки (переоценке) и обработки рисков ИБ в свете произошедших инцидентов ИБ и изменившихся обстоятельств ведения бизнеса. Оценка эффективности процесса управления рисками ИБ осуществляется на основании анализа динамики изменения оценки рисков ИБ, целостности и полноты действий по снижению рисков ИБ, а также динамики изменения ключевых индикаторов рисков ИБ.

На этапе «Совершенствование» выполняются любые необходимые действия, включая дополнительное применение процесса управления рисками ИБ. Таким образом, процесс управления рисками ИБ является важным элементом всех этапов жизненного цикла СУИБ в рамках циклической модели PDCA, (табл. 2.1).

Таблица 2.1. Соответствие этапов жизненного цикла СУИБ