Не само за ISO/IEC 27001, а и за ISO 9001 и за други стандарти съм чувал съм хора да питат -
"Как да си определим рисковете за сигурността на информацията?" или даже
"Какви рискове да си измислим, за да си направим системата?".
Има и един друг въпрос, съдържащ силен драматичен заряд - а той е
"Кой трябва да ни определи рисковете?".
Най-драматичен е въпросът
"А какво е риск?"
и този въпрос предизвиква още по-драматични и безизходни, като че ли, спорове. Спорове, защото всеки знае за себе си какво е риск...
(текстът в Italic е актуализация от 18 март 2020 г.)
А трябва да се тръгне от средата (т.е. обстановката) -- вътрешна и външна -- и въздействието й при нас. В MMS стандартите за средата се говори в точка 4. Контекст. Там се изисква контекстът (съвкупността от вътрешни и външни фактори) да бъде установен, изучен, редовно наблюдаван и данните -- ползвани за актуализиране на системата, за да може тя да е в тон със средата, в която съществува.
Към днешна дата, когато тази публикация се актуализира, у нас е въведено извънредно положение във връзка с обявената пандемия от вируса COVID-19. Тази внезапна промяна в контекста (дали пък наистина е внезапна?) със сигурност има силно влияние и генерира ред нови заплахи, съответно и рискове. Една система е "жива", когато вижда и реагира при промени. Трябва да се почне от там, че пандемията и извънредното положение са факт и след това да се определят рисковете, да се оценят и да се планират мерки за модифицирането им. Защо "модифициране", а не "намаляване"? Кризи като тази носят със себе си не само рискове, но и възможности и често тези два компонента са смесени...
"А какво е риск?"
и този въпрос предизвиква още по-драматични и безизходни, като че ли, спорове. Спорове, защото всеки знае за себе си какво е риск...
(текстът в Italic е актуализация от 18 март 2020 г.)
А трябва да се тръгне от средата (т.е. обстановката) -- вътрешна и външна -- и въздействието й при нас. В MMS стандартите за средата се говори в точка 4. Контекст. Там се изисква контекстът (съвкупността от вътрешни и външни фактори) да бъде установен, изучен, редовно наблюдаван и данните -- ползвани за актуализиране на системата, за да може тя да е в тон със средата, в която съществува.
Към днешна дата, когато тази публикация се актуализира, у нас е въведено извънредно положение във връзка с обявената пандемия от вируса COVID-19. Тази внезапна промяна в контекста (дали пък наистина е внезапна?) със сигурност има силно влияние и генерира ред нови заплахи, съответно и рискове. Една система е "жива", когато вижда и реагира при промени. Трябва да се почне от там, че пандемията и извънредното положение са факт и след това да се определят рисковете, да се оценят и да се планират мерки за модифицирането им. Защо "модифициране", а не "намаляване"? Кризи като тази носят със себе си не само рискове, но и възможности и често тези два компонента са смесени...
Ако си пътешественик по света, ти се движиш в рискова среда. Успехът на пътешествието и достигането до целта зависят много от познанията за средата, в която ще се движиш и от точната преценка за собствените ти ресурси, сили и възможности. От ключово значение е познанието за рисковете в дадена среда. Едно е да се стягаш за пътешествие към северния полюс, друго е да се готвиш да оцелееш прекосявайки австралийската пустиня. Може даже да си помислим, че нито един от "рисковете на северния полюс" не съществува като "риск на пустинята"... Но дали наистина е така не се знае и трябва да се помисли добре, за да сме сигурни. Впрочем, знае се, в австралийската пустиня, освен опсности, има и злато.
Трябва да се мисли много за средата и когато се стягаш да си направиш система за управление на сигурността на информацията. Не можеш да създадеш адекватна и ефикасна сигурност, ако не си наясно с рисковете. А те са различни (по вид, експозиция и други характеристики) и зависят от средата, която "заобикаля" организацията и от елементите на средата, "обхваната" от самата организация, която пък наричаме "вътрешна".
Бързите отговори на горните въпроси са...
На първите два въпроса краткият отговор е - "Трябва да си наясно, и то с подробности, за средата - вътрешна и външна - в която се намираш. Едва след това си правиш сметка за рисковете и така те не се "измислят", а всеки от тях има някаква връзка с елемент(и) на средата." Стандартът тук ни казва "Определете контекста!" и смисълът е точно в това.
На въпроса "Кой трябва да ни определи рисковете?" стандартът ясно изисква - Организацията! За какво по-конкретно става дума като се каже "организацията" може да има различни и все правилни отговори, но най-важното е това, че "организацията" - това сме НИЕ. Да го кажем направо - никой ВЪНШЕН, който и да е той, не може да ни натрапва свои виждания за рискове и да коментира критично НАШИТЕ рискове. Нека забраним на този, който е "външен експерт", независимо от каква експертна позиция ни се представя, да не излиза извън рамките на внимателен и доброжелателен съветник. Но не и ментор! Това пък с обратна сила ни ангажира в изключително голяма степен да сме отговорни и компетентни когато се занимаваме с определяне на НАШИТЕ си рискове и, в допълнение към това, да можем категорично да доказваме валидността и адекватността на преценките, които сме направили. С какво да започнем? Първо с типичните за нашия бизнес заплахи. Всеки бизнес има такива и всеки трябва добре да си ги знае. Доброто им познаване води до изграждане на защити по естествен път, без изобщо да говорим за изисквания на стандарти и други подобни "силови схеми" от този род. Пример - банките правят стрес-тестове, банките са поставени в законово регулирана среда, банките са под лупата на независими надзорни органи ... и какво ли не. И в същото време всички знаем, че банките не са "цвете за мирисане". Което естествено ни навежда на идеята, че броя и силата на защитите от рискове не ни освобождават от необходимост да имаме поглед върху ефикасността на тези защити. И много често тази ефикасност страда от разминаване или загърбване на реалностите на контекста. Сега вече е ясно защо първоначалното изясняване на контекста тръгва от популярния PEST анализ, в който "Е" е за най-общата икономическата среда, а "S" - за най-общата социална. Впрочем, и да не си банка, упражнението, наречено PEST анализ, никак не е излишно и никак не е случайно, че това упражнение започва с "P" анализа, свързан с политическата среда. Звучи ли пресилено? Ако да, попитайте днес българските, унгарски, хърватски и други превозвачи какво си мислят за последните инициативи (всъщност - натиск!) на френските управници пред евроструктурите за въвеждане на нови правила в превозваческия бизнес. Тепърва предстоят интересни събития.
Но какво е "риск" за сигурността на информацията?
Нека, за пример, преди това попитаме "Пожар" риск ли е? Не е! "Пожарът" може да е "събитие", "понятие", "дума", ако щете. "Пожар" не енищо друго, освен вид заплаха.
За да стане заплахата риск, трябва да говорим и гледаме конкретни обстоятелства в конкретна среда. "Пожар в нашето сърверно помещение" вече е риск (той, естествено, ще е различен от риска от пожар в някакво друго сърверно помещение на други хора). Така това обвързва заплахата с конкретен актив на конкретно място, а това ни дава възможност да правим близки до реалността преценки за вероятността от пожар на това място и за последиците от такъв пожар за нас.
Да караме нататък... "Критично прекъсване на дейността в резултат от пожар в сърверното помещение" също е риск и той може да има по-различна стойност от преди преценения риск от пожар в сърверното помещение.
Още по-нататък... "Загуба на управление на обекти след критично прекъсване на дейността поради пожар в сърверното помещение" също е риск.
Да спрем до тук. Вижда се, че едва ли не веригата "A поради B, B поради С, С поради D, D поради..." е еластична и може да се разтяга колкото си искаме. Някои са склонни да обявяват непосредствената причина в звено от веригата за заплаха, а последицата от нея - за риск. Точно това е най-срещаната причина за спорове на тема "Кое е риск?" или "Това изобщо не е риск!" и други такива... А докъде е разумно да се разтегне причинно-следствената връзка? Няма какво да се чудим. Правим системата, за да може организацията по-сигурно да постига целите си. Кой преценява дали е така? Ние, а също и заинтересованите страни! Кои са те? Какви са техните очаквания и изисквания? От отговорите на тези въпроси ще имаме някаква представа до къде е разумно да се "разтяга" хоризонта на рисковете. И да не забравяме, че всичко е свързано с пари! Не искаме да прилагаме скъпи защити за мижави рискове. Даже и да не са "мижави", парите може да ни накарат някои рискове да си ги оставим без да им реагираме, за да не ни се издъни бюджета.
Има и друг поглед на тези неща. Трябва да се пазим от едно нещо, за което няма дума, но приблизително може да бъде наречено "рископатия", "рискофобия", "рискофрения" или някаква смесица от такива психични малформации. Отнася се за всички. Който проектира система, ако е рископат, ще създаде тромава и неефикасна система (преди години гледах една такава система, в която за "актив" нивото беше паднало до "порт на компютър"). Който ползва и прилага система, ако е "рископат", ще затормози работата - собствената си и тази на колегите си. Който одитира система, ако е рискофреник, ще изтормози хората, които одитира. В най-добрия случай ще предизвиква у тях първо недоумение и, в крайна сметка, съчувствено съжаление че е станал жертва на професионално заболяване...
В църквата, преди четене на евангелие, попът казва "Да внимаваме!"
Не е зле и ние да внимаваме, когато четем стандартите! И да мислим!
