Искусство управления информационными рисками

Александр Астахов

Искусство управления
информационными рисками

Москва, 2018

2-е издание (электронное)

УДК
002.6
ББК
65.050.2
А91

   Искусство управления информационными рисками [Электронный 
ресурс] / А. М. Астахов. — 2-е изд. (эл.). — Электрон. текстовые дан. 
(1 файл pdf : 314 с.). — М. : ДМК Пресс, 2018. — Систем. требования: 
Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-032-3

В книге подробно излагается системный подход к управлению информационными рисками, основанный на эффективной авторской методологии, многократно проверенной на практике в российских компаниях и полностью совместимой
с международными стандартами. Из этой книги вы узнаете:
• как разобраться с информационными активами, угрозами, уязвимостями,
механизмами контроля, требованиями безопасности и рисками, а также определить, каким образом все это влияет на бизнес;
• как реализовать на практике рискориентированный подход к обеспечению информационной безопасности, построив сбалансированную систему управления рисками;
• как анализировать и оценивать информационные риски бизнеса, успешно
справляясь с возникающими при этом трудностями; как оценивать и управлять
возвратом инвестиций в информационную безопасность;
• как отличить реальные угрозы от мнимых, а также что такое глобальные
информационный кризис и почему он уже не за горами.
Книга ориентирована прежде всего на специалистов по информационной
безопасности, ИТ специалистов и рискменеджеров. Она будет также полезна
руководителям компаний, менеджерам всех уровней, имеющим отношение
к подготовке и принятию решений по рискам, аудиторам, а также широкому
кругу читателей, интересующихся вопросами управления рисками, информационными технологиями и связанными с ними угрозами. Глубина и обстоятельность изложения материала позволяет использовать книгу в качестве учебного
пособия для высших учебных заведений и послевузовского образования.

УДК 002.6
ББК 65.050.2

ISBN 978-5-93700-032-3
© ООО «ГлобалТраст Солюшинс», 2010 
© ДМК Пресс, 2010

Астахов, Александр Михайлович.

А91

Деривативное электронное издание на основе печатного издания: Искусство управления информационными рисками / А. М. Астахов. — М. : ДМК 
Пресс, 2010. — 312 с. — ISBN 978-5-94074-574-7.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя 
возмещения убытков или выплаты компенсации.

СОДЕРЖАНИЕ

ОБ АВТОРЕ ..........................................................................................9

ПРЕДИСЛОВИЕ.................................................................................11

ПРЕДИСЛОВИЕ АВТОРА..................................................................12

ВВЕДЕНИЕ .........................................................................................14
Новые правила игры в новом информационном веке .........................14
О чем эта книга? .................................................................................15
Существуют ли альтернативы управлению рисками? .........................17
Почему управление рисками является самым важным вопросом
информационной безопасности?.........................................................18
Для кого написана эта книга? .............................................................18
Общая структура изложения материала .............................................19

Глава 1. ПРЕДПОСЫЛКИ ДЛЯ УПРАВЛЕНИЯ
ИНФОРМАЦИОННЫМИ РИСКАМИ ...............................................22
Риски, породившие мировой финансовый кризис...............................23
Информационные риски киберпространства ......................................25
Кибертерроризм..................................................................................26
Риски промышленных систем ................................................................30
Риски утечки информации .....................................................................38
Точка зрения правоохранительных органов на киберугрозы .........................41
Риски электронных расчетов .................................................................43
Обилие стандартов, требований, средств и технологий защиты
не уменьшает риски ............................................................................46

Содержание

Государственное регулирование только создает дополнительные
риски ...................................................................................................49
Оценка рисков как основа корпоративного управления .....................52
Как оценивают риски наши соотечественники?..................................54
Вопросы к размышлению....................................................................56

Глава 2. ОСНОВНЫЕ ЭЛЕМЕНТЫ УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ........................................58
Стандарты в области управления рисками информационной
безопасности .......................................................................................58
Понятие риска.....................................................................................62
Оценка риска ......................................................................................64
Количественное определение величины риска ...........................................65
Качественное определение величины риска ..............................................67
Информационная составляющая бизнесрисков ................................69
Активы организации как ключевые факторы риска ............................71
Подходы к управлению рисками .........................................................73
Уровни зрелости бизнеса в отношении рисков...........................................76
Анализ факторов риска.........................................................................77
Вопросы к размышлению....................................................................78

Глава 3. CИСТЕМА УПРАВЛЕНИЯ
ИНФОРМАЦИОННЫМИ РИСКАМИ ...............................................80
О преимуществах системного подхода к управлению рисками ...........80
Структура документации по управлению рисками ..............................85
Политика и контекст управления рисками..........................................87
Структура системы управления рисками ............................................91
Процессная модель управления рисками ..................................................91
Непрерывная деятельность по управлению рисками ..........................96
Сопровождение и мониторинг механизмов безопасности .............................96
Анализ со стороны руководства ..............................................................97
Пересмотр и переоценка риска ..............................................................98
Взаимосвязь процессов аудита и управления рисками.................................98
Управление документами и записями.......................................................99
Корректирующие и превентивные меры .................................................100
Коммуникация рисков ........................................................................101

Содержание
5

Аутсорсинг процессов управления рисками ......................................102
Распределение ответственности за управление рисками ..................103
Требования к рискменеджеру .............................................................106
Требования к эксперту по оценке рисков................................................106
Вопросы к размышлению..................................................................107

Глава 4. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ............................................................................108
Идентификация активов ...................................................................109
Описание бизнеспроцессов ................................................................110
Идентификация требований безопасности .......................................119
Реестр требований безопасности ..........................................................120
Контрактные обязательства.................................................................131
Требования бизнеса ...........................................................................132
Определение ценности активов ........................................................133
Критерии оценки ущерба ....................................................................135
Таблица ценности активов...................................................................137
Особенности интервьюирования бизнеспользователей ............................138
Определение приоритетов аварийного восстановления ...................141
Анализ угроз и уязвимостей ..............................................................147
Профиль и жизненный цикл угрозы.......................................................147
Задание № 1. Описание угроз безопасности ...........................................150
Способы классификации угроз .............................................................150
Уязвимости информационной безопасности ............................................153
Идентификация организационных уязвимостей .......................................154
Идентификация технических уязвимостей ..............................................158
Оценка угроз и уязвимостей ................................................................164
Определение величины риска ...........................................................168
Калибровка шкалы оценки риска..........................................................170
Пример оценки риска .........................................................................171
Отчет об оценке рисков ......................................................................173
Задание № 2. Калибровка шкалы оценки риска .......................................175

Глава 5. ОБРАБОТКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ............................................................................176
Процесс обработки рисков ...............................................................176
Обработка рисков информационной безопасности ..........................177

Содержание

Способы обработки риска ................................................................179
Принятие риска ................................................................................180
Уменьшение риска.............................................................................182
Передача риска .................................................................................185
Избежание риска ..............................................................................186
Оценка возврата инвестиций в информационную безопасность ......187
Принятие решения по обработке риска ............................................190
План обработки рисков ....................................................................192
Декларация о применимости механизмов контроля..........................194

Глава 6. ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА
ДЛЯ УПРАВЛЕНИЯ РИСКАМИ ......................................................197
Нужен ли для управления рисками специальный программный
инструментарий? ...............................................................................197
Выбор инструментария для оценки рисков .......................................200
Общие недостатки и ограничения коммерческих программных
продуктов ..........................................................................................201
Обзор методов и инструментальных средств управления рисками ... 202
OCTAVE .......................................................................................... 202
CRAMM .......................................................................................... 205
RiskWatch ........................................................................................ 208
COBRA ...........................................................................................216
RA2 the art of risk ...............................................................................227
vsRisk..............................................................................................220
Callio Secura 17799............................................................................ 222
Proteus Enterprise.............................................................................. 230

ВМЕСТО ЗАКЛЮЧЕНИЯ – ПРАКТИЧЕСКИЕ СОВЕТЫ
ПО ВНЕДРЕНИЮ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ............232
Документация ...................................................................................232
Начальные условия для внедрения СУИР ........................................233
Организационная структура управления рисками ............................234
Обучение членов экспертной группы................................................235
Реализация пилотного проекта по оценке рисков............................. 235
Проведение полной оценки рисков по всем активам ........................236
Жизненный цикл управления рисками .............................................237

Содержание
7

БИБЛИОГРАФИЯ ............................................................................238

ПОЛЕЗНЫЕ ССЫЛКИ ....................................................................240

Приложение № 0. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В ОБЛАСТИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ
РИСКАМИ ........................................................................................241

Приложение № 1. ВЗАИМОСВЯЗЬ МЕЖДУ СТАНДАРТАМИ
ISO/IEC 27001:2005, BS 77993:2006 И ISO/IEC 27005:2008 ......244

Приложение № 2. АНТОЛОГИЯ КИБЕРАТАК ...............................247

Приложение № 3. НАИХУДШИЕ СЦЕНАРИИ КИБЕРАТАК.........249

Приложение № 4. БАЗОВЫЙ ОПРОСНИК
ДЛЯ ОПРЕДЕЛЕНИЯ СТЕПЕНИ КРИТИЧНОСТИ СИСТЕМ
ПО МЕТОДУ CRAMM ......................................................................252

Приложение № 5. ПЕРЕЧЕНЬ ТИПОВЫХ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ......................................254

Приложение № 6. ПЕРЕЧЕНЬ ТИПОВЫХ УЯЗВИМОСТЕЙ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ......................................260

Приложение № 7. ОПРОСНЫЙ ЛИСТ ДЛЯ ОЦЕНКИ УГРОЗ
ПО МЕТОДУ CRAMM ......................................................................263

Приложение № 8. ОПРОСНЫЙ ЛИСТ ДЛЯ ОЦЕНКИ
УЯЗВИМОСТЕЙ ПО МЕТОДУ CRAMM .........................................279

Приложение № 9. ЗАКОНОДАТЕЛЬНЫЕ
И НОРМАТИВНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ ........................................293

Приложение № 10. ПРОГРАММНЫЕ ПРОДУКТЫ
ДЛЯ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ............................................................................298

Приложение № 11. КОМПЛЕКТ ТИПОВЫХ ДОКУМЕНТОВ
ДЛЯ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ............................................................................299

Содержание

Приложение № 12. РУССКИЕ РЕДАКЦИИ 
МЕЖДУНАРОДНЫХ СТАНДАРТОВ
ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ...............................302

Приложение № 13. ИНФОРМАЦИЯ О КОМПАНИИ
GLOBALTRUST ................................................................................304

Приложение № 14. УСЛУГИ GLOBALTRUST
В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ................ 307

Приложение № 15. МАСТЕРКЛАСС ПО УПРАВЛЕНИЮ
РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ................... 308

ISO27000.RU – ИСКУССТВО УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ..................................310

Александр Астахов – эксперт по информационной безопасности с 14летним
опытом работы в предметной области, реализовавший десятки комплексных
проектов по созданию систем защиты информации в компаниях различного
масштаба и сферы деятельности, широко известный своими публикациями
в прессе.
Александр является учредителем и генеральным директором компании
ГлобалТраст (GlobalTrust, http://www.globaltrust.ru), одного из технологических лидеров российского рынка систем управления информационной безопасностью, разрабатывающего уникальные для России информационные
продукты и методики по управлению безопасностью и рисками. ГлобалТраст –
одна из первых российских компаний, реализующих проекты по внедрению и сертификации систем управления информационной безопасностью в соответствии с
требованиями международного стандарта ISO 27001, начиная с 2005 года.
Александр родился в 1972 году. Окончил Институт криптографии, связи и
информатики Академии ФСБ России в 1995 году и адъюнктуру в 1998 году. До
2000 года занимался преподаванием на кафедре программирования и компьютерной безопасности, затем работал в коммерческих компаниях, за несколько
лет пройдя путь от ведущего специалиста до руководителя направления информационной безопасности в ряде российских системных интеграторов. Довелось также поработать и «на другой стороне баррикад» в качестве аудитора
и начальника отделов информационной безопасности в финансовом и промышленном секторах.
В 2003 третьем году основал компанию ГлобалТраст, которая должна была компенсировать отсутствие на российском рынке в то время качественных
услуг и инструментов для управления информационной безопасностью. Основными проектами ГлобалТраст являются: консалтинг и обучение, создание
новых продуктов для управления безопасностью и рисками, дистрибуция лучших мировых брендов, развитие интернетмагазина средств защиты информации shop.globaltrust.ru и информационного портала ISO27000.RU – авторитетного русскоязычного ресурса, посвященного вопросам управления
безопасностью и рисками, который ориентирован на новое поколение менедОБ АВТОРЕ

Об авторе

жеров информационной безопасности, способных управлять взаимосвязями
между бизнесом, безопасностью и информационными технологиями.
Александр – ведущий преподаватель Британского Института Стандартов
(BSI, http://www.bsiglobal.com), сертифицированный аудитор информационных систем (CISA) с 2000 года, автор учебных курсов по аудиту, управлению рисками и внедрению систем управления информационной безопасностью, главный редактор лицензионных русских переводов международных и
британских стандартов в области защиты информации и управления непрерывностью бизнеса.
С Александром Астаховым можно связаться по электронной почте

AlexAstahov@globaltrust.ru.
Его блог находится по адресу: http://www.iso27000.ru/blogi/alexandrastahov.

Книга Александра Астахова «Искусство управления информационными
рисками» предоставляет читателям возможность познакомиться с основами
управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве,
сложности и нетривиальности задачи управления информационными рисками
к простой и эффективной практике оценки, анализа и обработки рисков.
Любой специалист, занятый в сфере построения и управления системой
менеджмента информационной безопасности, а также подготовкой ее к возможной сертификации (регистрации) на соответствие требованиями стандарта ISO 27001, сочтет эту книгу полезной и поучительной.
В книге читатель получит подробную инструкцию по организации процессного подхода управления рисками, найдет информацию об инструментах
автоматизирующих этот процесс, освоит базовые определения и концепции,
начиная с угроз и уязвимостей, и, заканчивая вопросами приемлемых уровней
рисков, их обработки и принятия, превентивными и корректирующими действиями.
Последовательное изложение, формат, обеспечивающий легкое и интересное чтение, практический опыт автора и система взглядов, изложенная
в международных стандартах серии ISO 2700х, все это позволяет надеяться,
что книга может служить хорошим инструментом в повседневной работе специалистов, управляющих рисками информационной безопасности.

Александр Невский, CISA, CISSP
Начальник управления информационной безопасности
КБ «Ренессанс Капитал» (ООО)

ПРЕДИСЛОВИЕ

Эта книга поможет профессионалу систематизировать имеющиеся знания и
перейти к созданию эффективной системы управления рисками, соответствующей потребностям его организации. Новичку же она даст базовый набор
знаний, необходимый для того, чтобы обеспечить ему хороший старт в области управления рисками.
Управление информационными рисками – тема для многих неочевидная,
значение которой в жизни общества неуклонно возрастает. В скором времени
она может выйти на первый план, наряду с политическими, финансовыми и
военными событиями. Поэтому политикам, бизнесменам, военным, руководителям всех уровней, а также всем специалистам, имеющим какоелибо отношение к информационным технологиям, важно подготовить свое сознание
к восприятию новой реальности и решению невиданных ранее проблем, связанных с возрастанием угроз информационной безопасности.
Однако в первую очередь эта книга адресована специалистам по информационной безопасности, которых совсем недавно начали готовить в университетах в соответствии с «лучшими традициями» высшего образования, то есть
далеко от реальной жизни. Большая же часть практикующих специалистов по
информационной безопасности пришло в эту область из информационных
технологий, унаследовав технический взгляд на безопасность, соответствующий менталитет и самоощущение «чужого среди своих». И тем и другим предстоит пройти долгий путь с целью обретения гармонии в такой сложной области, как информационная безопасность.
Эта странная область деятельности, ассоциирующаяся в массовом сознании с хакерами и компьютерными вирусами, а в наше время еще и с утечками
данных, находится на стыке информационных технологий, безопасности, общего менеджмента и психологии. Для успешного решения проблем информационной безопасности требуются нетрадиционные подходы, а также совмещение знаний и навыков из различных технических и гуманитарных областей,
которые сложно совместить в одном человеке. А упираются все эти непростые
вопросы в конечном счете в управление рисками.

ПРЕДИСЛОВИЕ АВТОРА

Предисловие автора
13

Автор будет считать свою задачу выполненной, если его многолетний опыт,
приобретенный в пока еще слабо защищенном от информационных угроз российском бизнесе, окажется полезен читателям и будет способствовать укреплению безопасности и стабильности общества, повышению эффективности
менеджмента и просветлению в умах.
У просвещенного читателя эта книга, возможно, вызовет даже больше
вопросов, нежели сможет дать ответов. Безусловно, какието темы в ней остались раскрыты недостаточно глубоко. Не стоит питать иллюзий на этот
счет. Нельзя объять необъятного. Не стоит упрекать автора в том, что он ответил не на все вопросы и раскрыл не все «профессиональные тайны». Тем
более, что основной секрет управления рисками заключается в отсутствии
какихлибо секретов. Вместо «профессиональных тайн» автор предлагает систематический подход, основанный на здравом смысле, международных стандартах и обобщении практического опыта, накопленного в этой сфере профессиональным сообществом.
Автор не ставил перед собой цели в рамках одной книги дать ответы на все
вопросы, раз и навсегда решив все проблемы, возникающие при управлении
рисками. Слишком сложна и многогранна эта тема для того, чтобы ее можно
было так скоро исчерпать. Поэтому автор с благодарностью и вниманием воспримет любые конструктивные замечания и предложения по улучшению и дополнению сего труда, отправленные читателями на его электронный адрес:
alexastahov@globaltrust.ru.

Эта книга опирается на сегодняшний опыт, но ее основная стратегическая задача – подготовить вас к восприятию новой реальности в значительной степени изменившегося мироустройства, которая наступит уже после глобального
финансового кризиса, когда неожиданно для многих на смену финансовым
проблемам придут проблемы информационные.

Новые правила игры в новом информационном веке

Переход через условный рубеж 2000 года ознаменовал собой переход от индустриального века к информационному – поворотный момент в истории человечества, не осознанный еще в полной мере. Знаменитая «проблема» 2000 года и
поднятая вокруг этого шумиха только обозначили этот переход и, хотя тема
была в основном «раздута» и под это дело, так уж повелось, было «отмыто» немало «бабок», акцент поставлен правильный – благосостояние, а вероятно, и
выживание будущих поколений постепенно окажется в зависимости от информационных технологий и связанных с ними рисков информационной безопасности.
В новом веке ситуация во всем мире начала изменяться еще быстрее, чем
раньше: невиданные по своей дикости терракты, гибель крупнейших корпораций, невиданный доселе экономический кризис у лидеров мировой экономической системы США и Японии, который пока только усугубляется и тащит за
собой к финансовому краху Европу и все остальные страны, интегрированнные в мировую финансовую систему.

ВВЕДЕНИЕ

•
Новые правила игры в новом информационном веке.
•
О чем эта книга?
•
Существуют ли альтернативы управлению рисками?
•
Почему управление рисками является самым важным вопросом информационной безопасности?
•
Для кого написана эта книга?
•
Общая структура изложения материала.

Введение
15

НьюЙоркская фондовая биржа с их Уолл Стритом и трейдерами, с выпученными глазами выкрикивающими котировки акций в переполненном зале,
скоро станет анахронизмом и будет заменена электронными торговыми площадками и молодыми ребятами с ноутбуками, проворно перетаскивающими
миллионы долларов между виртуальными счетами за считанные секунды, не
отрываясь от кружки пива в любимом клубе, а может быть, лежа на диване, –
совершенно неважно, в какой стране мира он в данный момент находится.
В современном обществе тем, кто не успевает освоиться с информационными
технологиями и адаптироваться к новым правилам игры, достается самая тяжелая и низкооплачиваемая работа.
Когда все более или менее значимые для людей процессы окажутся полностью компьютеризированными, а финансовые и информационные системы
глобализированными (а это фактически уже почти что произошло в развитых
странах), на первое место выйдут информационные риски. Министр информационной безопасности, возможно, станет не менее значимой для государства фигурой, нежели министр обороны или министр финансов. Этим «фантазиям» суждено сбыться, возможно, уже в грядущем десятилетии – раньше,
чем многие успеют осознать, что же произошло.

О чем эта книга?

Эта книга подытоживает многолетний практический опыт автора в области
управления информационными рисками. Этот опыт нашел отражение в методологии и продуктах компании GlobalTrust, которые успешно применяются
в ряде российских организаций.
Автор полагает, что наш подход к управлению рисками, вообще говоря,
является достаточно универсальным и успешно может применяться для
управления любыми физическими и операционными рисками, а также, возможно, и любыми неспекулятивными рисками, то есть теми рисками, единственными последствиями которых, является причинение ущерба организации. Британский стандарт BS 31100 раскрывает именно эту тему. Ведь для
любых неспекулятивных рисков факторы риска (такие как угрозы, уязвимости, активы и контрмеры) и подходы к их анализу остаются неизменными. Меняется лишь область экспертной оценки.Однако существует множество
нюансов, которые мы здесь не в состоянии учесть, поэтому будем оставаться
в рамках своей предметной области и, чтобы не усложнять и без того непростую тему, при дальнейшем изложении под рисками будем понимать исключительно риски информационной безопасности.
Об управлении рисками на разных языках написано довольно много научных и околонаучных трудов, изобилующих математическими формулами, моделями, принципами, количественными и качественными подходами, теориями
полезности, субъективной вероятности, непрерывными распределениями,

Введение

нечеткими множествами и прочими теориями, не имеющими прямого отношения к реальной жизни. Птичий язык многих из этих сочинений, оторванность
от практики, отсутствие параллелей с теми обстоятельствами, в которых вынужден функционировать современный бизнес, приводит к тому, что их аудитория ограничивается очень узким кругом специалистов, по большей части
теоретиков, имеющих узкоспециальное образование и владеющих соответствующим математическим аппаратом, в то время как оценка рисков имеет
очень мало общего с математикой вообще. Для широкой аудитории вопросы
управления информационными рисками остаются практически неведомыми.
Если финансовая безграмотность сегодня приводит к плачевным результатам, то информационная безграмотность способна породить еще худшие
результаты уже в недалеком будущем. В наше время, управление рисками –
это отнюдь не какаято математическая теория, имеющая прикладное значение. Управление рисками – это жизненная необходимость для все большего
числа организаций. Когото эти проблемы еще не коснулись в достаточной
степени, для когото это вопрос эффективности управления бизнесом, а для
других это уже вопрос выживания. Мы постарались избавиться от всей псевдонаучной шелухи, заслоняющей важнейшие вопросы, связанные с управлением информационными рисками, и сосредоточиться только на тех идеях, которые обладают свойством практической полезности, попытавшись изложить
свой подход простым человеческим языком.
Автор надеется, что эта книга поможет читателю без особых проблем перейти к систематическому управлению рисками в соответствии с международными стандартами, используя простой и прагматичный подход, неоднократно
проверенный на практике и основанный на доступном каждому человеку здравом смысле.
Если послушать, что говорят, и почитать, что пишут об управлении рисками, то может сложиться впечатление, что задача эта чрезмерно сложная и
трудоемкая, что этот вопрос лежит, скорее, в теоретической плоскости, а на
практике целесообразно применять более простые подходы к выбору защитных
мер. Эти рассуждения, на наш взгляд, сильно преувеличены. Для адекватной
оценки риска не требуется ни учености, ни шаманства. Каждый специалист,
имеющий достаточный опыт работы в области информационной безопасности, может овладеть этим нехитрым ремеслом. Правда, ему для этого придется переориентироваться на бизнес и научиться осуществлять декомпозицию
бизнесцелей и процессов до поддерживающих их информационных активов и
связанных с ними угроз и уязвимостей, а уже от них переходить к механизмам
безопасности, которыми он привык заниматься. Здесь, скорее, потребуются
не новые знания, а перенастройка мышления с технически ориентированного
на бизнесориентированное и рискориентированное.
Тем же, кто не является специалистом в области информационной безопасности или информационных технологий, эта книга поможет осознать сущВведение
17

ность проблем информационной безопасности, а также то, каким образом
информационные риски влияют на них лично, на организацию, в которой они
работают, на их бизнес, а также на общество, в котором они живут. Это позволит подготовиться к ближайшему будущему, переполненному информацией и связанными с этим рисками, а также к новым информационным кризисам, которые могут прийти на смену финансовым.

Существуют ли альтернативы управлению рисками?

Альтернативы управлению рисками, на наш взгляд, сегодня уже не существует. Информационная безопасность не относится к числу проблем, которые
можно решать по мере их возникновения. Либо вы управляете рисками, либо
риски управляют вами. Проактивный подход намного лучше реактивного.
Когда возникает проблема с безопасностью, часто бывает уже слишком поздно ею заниматься. Поэтому надо заранее анализировать и упреждать возможные проблемы, руководствуясь при этом соображениями экономической
целесообразности.
Правила игры стремительно меняются. Сегодня уже недостаточно просто
реагировать на появление новых угроз, руководствоваться при выборе защитных мер общими соображениями и укоренившимися взглядами на информационную безопасность как на какоето мало значимое побочное явление, сопутствующее внедрению информационных технологий и ассоциирующееся
в массовом сознании с понятиями «хакер» и «компьютерный вирус», находящимися гдето там, далеко от нас. Информационная безопасность – это уже
не отдельно взятые угрозы, обязанные своим распространением главным образом сети Интернет, а новая система взаимоотношений в изменившемся
мире, где уже не действуют прежние законы.
Без управления рисками все еще, как и раньше, можно достигать определенных положительных результатов, однако стабильных результатов достигать все сложнее. Поэтому компании, систематически управляющие рисками,
по крайней мере, обладают важнейшим конкурентным преимуществом.
Пока происходило (и до сих пор происходит) столь бурное, порой революционное во многих областях, освоение новых технологий, основной лозунг
звучит просто: «лишь бы все заработало». Когда же все это наконец начинает
работать, да так, что остановить это уже невозможно, то на первый план выходит соображение «не дай бог это вдруг остановится или сработает не так,
как планировалось», то есть на первый план выходят соображения безопасности, и уже ИТ занимает по отношению к ним подчиненное положение.
С того момента, как останов информационных систем начинает приводить
к катастрофическим последствиям, становится совершенно необходимым управлять информационными рисками на систематической основе, соотнося
расходы на защиту с получаемой выгодой.