С упором на кибербезопасность
15.01.2021 00:00
Первого января начала действовать разработанная Агентством РК по регулированию и развитию финансового рынка методика оценки рисков информационной безопасности, которая будет распространяться на все финансовые организации.
Тимур Имамбаев – эксперт в области кибербезопасности (ранее возглавлял подразделения информационной безопасности в ряде БВУ, в НБ РК, в настоящее время занимается аутсорсингом деятельности по обеспечению кибербезопасности) говорит, что финансовые организации по своей природе одними из первых подверглись цифровизации и давно поняли необходимость правильной оценки рисков для реализации системного подхода в обеспечении защиты используемых ими данных, включая клиентские данные, от киберугроз.
Методика
Из существующих источников известно, что методика описывает организацию процесса оценки рисков информационной безопасности, то есть, призвана стать основой для финансовых организаций, в которых оценка рисков информационной безопасности пока осуществлялась менее комплексно, а также помочь всем финансовым организациям сделать данный процесс более прозрачным и структурированным.
«В рамках методики организациям необходимо выявить все свои информационные активы, определить их ценность и решить, какие активы – критичные и нуждаются в защите, далее – определить свойственные критичным информационным активам уязвимости, а также угрозы для их информационной безопасности», – объясняет управляющий директор Kaspersky Lab в Центральной Азии, странах СНГ и Балтии Евгений Питолин.
Спикер уверен, что подготовленный управлением кибербезопасности агентства документ станет для финансовых организаций надежным помощником и спутником, позволит систематизировать свою работу там, где это было необходимо.
«Если же говорить про глобальный подход к таким документам, то с методиками оценки рисков во всем мире ситуация такова, что они больше теоретические, нежели практические. Если учитывать то, что вопрос про финансовые организации, методики оценки рисков скорее требуются количественные (в деньгах), что намного сложнее, чем качественные (в экспертных оценках, «высокий»/«средний»/«низкий» – т .к. не просто посчитать ценность активов и возможный ущерб, а также обосновать вероятность наступления события», –уверен Евгений Питолин.
Отечественная методика определяет ключевых участников процесса – это подразделение по управлению рисками и подразделение по информационной (кибер) безопасности. «Применение данного подхода заметно повышает роль специалистов по управлению рисками в процессе построения и развития системы обеспечения кибербезопасности финансовых организаций», – считает Тимур Имамбаев.
Она детализирует процесс, начиная от разработки подразделением по управлению рисками подробного Перечня критичных информационных активов – списка наиболее ценных для организации ресурсов, заканчивая самим порядком проведения оценки рисков. Также она позволяет оценить эти риски в реальном денежном выражении, так как учитывает потенциальные убытки от реализации рисков кибербезопасности, что в свою очередь даёт возможность реализовать принцип экономической целесообразности при инвестировании в безопасность.
«Регулятор формирует методологическую среду для построения эффективной системы управления рисками кибербезопасности. Однако конечная эффективность функционирования данной системы в рамках конкретной финансовой организации зависит от уровня компетенций задействованных специалистов. Сейчас наблюдается острейший дефицит рисковиков, имеющих знания и практический опыт в кибербезопасности. Поэтому важнейшим направлением совершенствования системы управления рисками кибербезопасности является дальнейшее повышение уровня экспертизы риск-менеджеров финансовых организаций», – уверен г-н Имамбаев.
Отсутствие должного уровня экспертизы в данной высокотехнологичной области приводит к вынужденным перекосам, например, сейчас подразделение рисков лишь разрабатывает внутреннюю методологию процесса управления рисками кибербезопасности.
«Говоря коротко – кибербезопасник сам решает, чем ему заниматься, и система противовесов в таких условиях просто перестает работать. На мой взгляд, кибербезопасник должен получать от рисковика результаты оценки рисков и разрабатывать, внедрять меры по снижению выявленных рисков. В такой ситуации оба участника смогут реализовать предоставленную им обоюдную независимость друг от друга. В противном случае неизбежно возникновение конфликта интересов, создающего предпосылки к снижению качества оценки рисков», – объясняет эксперт.
Тимур Имамбаев уверен, что эффективность методики должна быть проверена временем и практической обкаткой в процессе оценки рисков кибербезопасности на местах. «Но совершенно очевидно, что формируется тренд системного улучшения методологической базы и повышения зрелости процессов в области обеспечения кибербезопасности», – заключает он.
Мировой опыт
Существует ряд признанных международных стандартов. Наиболее известные из них это стандарты ISO 27005 и 31010, а также серия стандартов NIST 800. «Они описывают принципиальные понятия и подходы, применяемые при реализации процесса управления рисками, включая риски информационной (кибер) безопасности, являются верхнеуровневыми и, строго говоря, не являются полным аналогом обсуждаемой методики, которая предлагает более детализированный подход к оценке специфичных рисков, присущих обсуждаемой области», – уточняет Тимур Имамбаев.
Представитель Kaspersky Lab тоже считает, что при оценке рисков не только информационной безопасности, но и компании в целом стоит отталкиваться от ISO 31000 как наиболее взрослой и сбалансированной.
Ирина ЛЕДОВСКИХ