Что такое система управления рисками?

Система управления рисками – это четко структурированный и основанный на правилах документированный подход, который помогает изучать, снижать и мониторить риски в организации. Организации выбирают стандартизированные системы или создают собственные, а не применяют к рискам разовые процессы. Использование системы гарантирует достижение лучших результатов и более быстрое реагирование в случае непредвиденных обстоятельств.

Управление рисками – это функция по управлению рисками и соответствию требованиям (GRC), за которую обычно отвечает отдел кибербезопасности или соответствия требованиям. Способ, которым организация управляет рисками, может иметь решающее значение для устойчивости бизнеса, деятельности, соответствия нормативным требованиям и репутации. Системы управления рисками помогают выявлять, оценивать, снижать и отслеживать риски в организации. 

Риски могут влиять на организацию, направления бизнеса и активы компании. К ним относятся операционные, деловые, правовые, договорные риски, риски несоответствия требованиям, нарушения конфиденциальности, риски кибербезопасности, слияний и поглощений, а также риски для аппаратного и программного обеспечения. Компании часто сосредотачиваются на киберрисках, но важно также не обделять вниманием другие виды рисков. В этом документе в основном рассматриваются операционные, деловые риски и риски несоответствия требованиям, относящиеся к облаку.

Операционные риски связаны с доступностью, надежностью, производительностью и безопасностью инфраструктуры. Эта категория рисков наиболее важна для повседневной деятельности.

Деловые риски связаны с репутацией, конкурентоспособностью и рыночными условиями. Эта категория рисков шире, чем операционные риски, и такие риски могут оказывать более значительное влияние на компанию в целом.

Риски несоответствия требованиям – это вероятность того, что деятельность компании не будет отвечать требуемому стандарту соответствия нормативным требованиям. Этот вид рисков может привести к штрафам, санкциям, правовым последствиям или повышению уровня аудита и отчетности. Цели по соответствию требованиям устанавливаются отраслевыми стандартами, федеральными агентствами и другими регулирующими органами.

Некоторые примеры распространенных систем управления рисками:

• система управления рисками (RMF) Национального института стандартов и технологий (NIST) для информационных систем и организаций;
• COBIT;
• ISO/IEC 31000 «Управление рисками. Руководящие указания»;
• ISO/IEC 27005:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство по управлению рисками информационной безопасности»;
• факторный анализ информационных рисков.

Целесообразно использовать известную и регулярно обновляемую систему управления рисками, чтобы быть в курсе рекомендаций по управлению рисками.

Надежная система управления рисками помогает управлять рисками всех типов в организации.

Идентификация рисков

Определение всех активов, угроз и уязвимостей в организационной архитектуре. Риск – это угроза ресурсу, возникающая в результате уязвимости. Выявление потенциальных рисков может быть длительным процессом, охватывающим множество организационных направлений и бизнес-целей.

Можно разделить риски на такие области, как технические, кадровые, технологические, финансовые риски или риски третьих лиц. Кроме того, каждую из этих более широких категорий можно разделить на подкатегории. Например, кадровые риски можно разделить на риски, связанные с навыками, с ручными ошибками и с разрозненностью знаний.

Анализ влияния

Анализируя активы, угрозы и уязвимости, можно определить вероятность и степень влияния потенциального риска. Анализ и оценка рисков включают в себя качественные и количественные показатели. Например, можно собрать все сведения о конкретном типе риска или разработать матрицы оценки рисков для их классификации, что позволит определить последствия рисков и стратегии их снижения. Эти категории могут включать низкий, средний, высокий и очень высокий уровни риска в зависимости от вероятности наступления события и его ожидаемого влияния.

Стратегии снижения рисков

Ниже приведены четыре стратегии снижения рисков, которые подходят для каждого конкретного риска.

• Снижение рисков. Внедрение средств управления для устранения или снижения рисков.
• Принятие риска. Принятие риска как есть с тщательным мониторингом изменения его вероятности или серьезности.
• Уклонение от риска. Устранение риска и перенастройка системы.
• Передача риска. Передача функции, связанной с риском, на аутсорсинг, разработка договорных условий по снижению риска или страхование от события.

Для выбора подходящей стратегий, помимо уровня критичности и вероятности риска, необходимо учитывать допустимый для организации уровень риска.

Внедрение решения

В зависимости от выбранной стратегии снижения рисков можно применять средства управления, вносить изменения в систему, внедрять решения по мониторингу и передавать риски на аутсорсинг. Средства управления могут быть административными, физическими или техническими. На этом этапе для достижения желаемого результата могут быть задействованы различные системы, бизнес-подразделения и заинтересованные стороны, а также предпринят ряд шагов.

Решение по снижению рисков может включать в себя процессы передачи рисков на более высокий уровень, ответственных за риски, а также сотрудничество с группами реагирования на инциденты для разработки планов действий после инцидентов.

После внедрения решения необходимо рассчитать остаточный риск. Большинство решений не могут полностью устранить риск, поэтому существует остаточный риск. Этот остаточный риск может меняться в ответ на изменение условий.

Управление и непрерывный мониторинг

После внедрения решения по снижению рисков необходимо мониторить, отслеживать, анализировать риски и при необходимости проводить их аудит. В процесс отслеживания рисков необходимо встроить отчетность для ответственных за риски, команд по управлению рисками и соответствия требованиям и руководства.

В рамках системы управления должен быть организован процесс выявления новых рисков и передачи рисков на более высокий уровень, выполняемый по требованию и на регулярной основе. Следует разработать политики управления рисками и установить периодичность переоценки текущего процесса, а также организовать обучение соответствующих участников команды. Внедрите ограничения, чтобы автоматически предотвращать повторное возникновение одних и тех же рисков.

В этом руководстве показано, как внедрить конвейер AWS, соответствующий этапам типичной системы управления рисками.

Для поддержки на каждом этапе процесса управления рисками используются три ключевых сервиса AWS, перечисленные ниже.

• Диспетчер аудита AWS – для непрерывного отслеживания объемов использования сервисов AWS в целях упрощения оценки рисков и соответствия требованиям.
• AWS Config – для оценки, аудита и анализа конфигурации ресурсов.
• AWS Security Hub – для приоритизации критических проблем безопасности с помощью автоматизированной корреляции и расширенного контекста рисков, а также отчетов о состоянии безопасности и многого другого.

1. Планирование

Этап планирования обеспечивает организации прочную основу для построения рекомендуемых процессов управления рисками.

Ниже перечислены сервисы, с помощью которых можно планировать выполнение рекомендуемых мероприятий по управлению рисками.

• AWS CloudTrail – для отслеживания активности пользователей и использования API.
• AWS Control Tower – для настройки безопасной среды AWS для множества аккаунтов, а также управления ею.
• Управление идентификацией и доступом AWS – для безопасного управления удостоверениями и доступом к сервисам и ресурсам AWS.
• Диспетчер доступа AWS IAM – для выявления внешнего, внутреннего и неиспользуемого доступа к ресурсам AWS.
• Организации AWS – для управления множеством аккаунтов AWS на основе политик.
• Менеджер секретов AWS – для управления доступом к секретам в организации.
• Менеджер систем AWS – для автоматического внесения исправлений и обеспечения соответствия требованиям.

2. Обнаружение

На этапе обнаружения выполняют обнаружение и маркировку активов, ресурсов и сервисов.

Для поиска и классификации активов можно использовать сервисы AWS, перечисленные ниже.

• Amazon Macie – для обнаружения и защиты конфиденциальных данных.
• AWS CloudFormation – для использования инфраструктуры как кода (IaC).
• Обозреватель ресурсов AWS – для поиска и обнаружения соответствующих ресурсов в AWS.
• Реестр Менеджера систем AWS – для обеспечения наглядности вычислительной среды AWS.
• Инструмент AWS Well-Architected – для оценки облачной архитектуры с учетом рекомендаций.

3. Выбор средств управления и правил

На этапе выбора устанавливают средства управления и правила для защиты от выявленных рисков.

Выбирать средства управления из предопределенных рекомендуемых правил можно в сервисах AWS, перечисленных ниже.

• AWS Config с управляемыми правилами – для получения предопределенных, но настраиваемых правил, которые сервис AWS Config использует для оценивания ресурсов AWS на соответствие типичным рекомендациям.
• AWS Control Tower и AWS Security Hub – для управления безопасностью и Диспетчер аудита AWS – для средств управления соответствием политикам.
• Средство обеспечения соответствия требованиям Менеджера систем AWS – это инструмент Менеджера систем AWS, с помощью которого можно создавать собственные типы и определения соответствия требованиям на основе ИТ-требований или бизнес-требований.

4. Внедрение

Внедрение обеспечивает последовательное применение средств управления ко всем требуемым активам и средам.

Ниже перечислены инструменты для внедрения средств управления в рамках сервисов AWS, которые можно использовать.

• AWS CloudFormation – для развертывания встроенных средств управления, а также Каталог сервисов AWS – для создания, совместного использования, организации рекомендованных шаблонов IaC и управления ими.
• AWS Config – для определения правил управления и дальнейших шагов.
• AWS Security Hub – для внедрения правил безопасности.
• Менеджер систем AWS – для соблюдения политик в рамках ресурсов и сервисов.

5. Оценка

Оценка показывает, насколько эффективно применяемые средства управления работают на практике.

Ниже перечислен ряд сервисов AWS, которые можно использовать для оценки того, насколько хорошо организация управляет рисками.

• Диспетчер аудита AWS – для отслеживаемых оценок.
• AWS Config – для проверки соблюдения правил соответствия требованиям.
• Amazon Detective – для анализа и визуализации конфиденциальных данных в целях расследования потенциальных проблем безопасности.
• Amazon GuardDuty – для непрерывного мониторинга угроз для аккаунтов, рабочих нагрузок и данных AWS.
• AWS Inspector – для автоматизированных оценок рисков и уязвимостей.
• AWS Security Hub – для постоянных оценок рисков безопасности.

AWS Trusted Advisor – еще один вариант для организаций, создающих систему управления рисками. Сервис AWS Trusted Advisor обеспечивает проверки оптимизации затрат, производительности, безопасности, отказоустойчивости, ограничений обслуживания и операционной эффективности. На панели управления можно просматривать предупреждения, рекомендуемые действия и дополнительные ресурсы. Клиенты AWS могут получить доступ к инструменту по адресу​https://console.aws.amazon.com/trustedadvisor/home.

6. Авторизация

Функция авторизации формализует подход, предыдущие шаги, принятие остаточного риска и мониторинг.

Ниже перечислены сервисы AWS, которые обеспечат надежную авторизацию.

• AWS Artifact создает отчеты о безопасности и соответствии требованиям AWS и ISV.
• Диспетчер аудита AWS предоставляет отчеты для лиц, принимающих решения.
• AWS Config обеспечивает подробные отчеты о соответствии требованиям и отслеживание.
• AWS Security Hub позволяет отслеживать состояние безопасности системы и составлять отчеты в реальном времени.

7. Мониторинг

Непрерывный мониторинг обеспечивает актуальность процесса управления рисками с учетом новых и меняющихся рисков.

Ниже перечислены сервисы AWS, которые обеспечивают непрерывный мониторинг.

• AWS CloudWatch – для мониторинга приложений, получения предупреждений об аномалиях и аналитической информации о работоспособности системы для соответствия требованиям.
• AWS Config – для непрерывного мониторинга соответствия требованиям.
• Amazon EventBridge – для создания автоматических ответов на основе триггеров в других сервисах AWS.
•  AWS Security Hub – для непрерывного мониторинга безопасности.
• Менеджер систем AWS – для мониторинга исправлений и конфигураций.

Организациям, которые стремятся повысить свою организационную устойчивость и эффективность, следует внедрить систему управления рисками. Системы управления рисками помогают снизить и понять риски для предприятия, делая эти неизвестные факторы гораздо более управляемыми.

Для начала необходимо выбрать стандартизированную систему, а затем совершенствовать ее. AWS предлагает сервисы, облегчающие внедрение систем. В сочетании с платформой AWS Well-Architected можно создать прочную основу для управления рисками и соответствия требованиям в AWS.

Начните создавать процессы управления рисками в AWS, создав бесплатный аккаунт уже сегодня.