Предисловие к первому изданию

Книга Александра Астахова "Искусство управления информационными рисками" предоставляет читателям возможность познакомиться с основами управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве, сложности и нетривиальности задачи управления информационными рисками к простой и эффективной практике оценки, анализа и обработки рисков.

Любой специалист, занятый в сфере построения и управления системой менеджмента информационной безопасности, а также подготовкой ее к возможной сертификации (регистрации) на соответствие требованиями стандарта ISO 27001, сочтет эту книгу полезной и поучительной.

В книге читатель получит подробную инструкцию по организации процессного подхода управления рисками, найдет информацию об инструментах автоматизирующих этот процесс, освоит базовые определения и концепции, начиная с угроз и уязвимостей, и, заканчивая вопросами приемлемых уровней рисков, их обработки и принятия, превентивными и корректирующими действиями.

Последовательное изложение, формат, обеспечивающий легкое и интересное чтение, практический опыт автора и система взглядов, изложенная в международных стандартах серии ISO 2700х, все это позволяет надеяться, что книга может служить хорошим инструментом в повседневной работе специалистов, управляющих рисками информационной безопасности.

Александр Невский, CISA, CISSP

Начальник управления информационной безопасности

КБ "Ренессанс Капитал" (ООО)

Предисловие автора к первому изданию

Эта книга поможет профессионалу систематизировать имеющиеся знания и перейти к созданию эффективной системы управления рисками, соответствующей потребностям его организации. Новичку же она даст базовый набор знаний, необходимый для того, чтобы обеспечить ему хороший старт в области управления рисками.

Управление информационными рисками – тема для многих неочевидная, значение которой в жизни общества неуклонно возрастает. В скором времени она может выйти на первый план, наряду с политическими, финансовыми и военными событиями. Поэтому политикам, бизнесменам, военным, руководителям всех уровней, а также всем специалистам, имеющим какое-либо отношение к информационным технологиям, важно подготовить свое сознание к восприятию новой реальности и решению невиданных ранее проблем, связанных с возрастанием угроз информационной безопасности.

Однако в первую очередь эта книга адресована специалистам по информационной безопасности, которых совсем недавно начали готовить в университетах в соответствии с «лучшими традициями» высшего образования, т.е. далеко от реальной жизни. Большая же часть практикующих специалистов по информационной безопасности пришло в эту область из информационных технологий, унаследовав технический взгляд на безопасность, соответствующий менталитет и самоощущение «чужого среди своих». И тем и другим предстоит пройти долгий путь с целью обретения гармонии в такой сложной области, как информационная безопасность.

Эта странная область деятельности, ассоциирующаяся в массовом сознании с хакерами и компьютерными вирусами, а в наше время еще и с утечками данных, находится на стыке информационных технологий, безопасности, общего менеджмента и психологии. Для успешного решения проблем информационной безопасности требуются нетрадиционные подходы, а также совмещение знаний и навыков из различных технических и гуманитарных областей, которые сложно совместить в одном человеке. А упираются все эти непростые вопросы в конечном счете в управление рисками.

Автор будет считать свою задачу выполненной, если его многолетний опыт, приобретенный в пока еще слабо защищенном от информационных угроз российском бизнесе, окажется полезен читателям и будет способствовать укреплению безопасности и стабильности общества, повышению эффективности менеджмента и просветлению в умах.

У просвещенного читателя эта книга, возможно, вызовет даже больше вопросов, нежели сможет дать ответов. Безусловно какие-то темы в ней остались раскрыты недостаточно глубоко. Не стоит питать иллюзий на этот счет. Нельзя объять необъятного. Не стоит упрекать автора в том, что он ответил не на все вопросы и раскрыл не все «профессиональные тайны». Тем более, что основной секрет управления рисками заключается в отсутствии каких-либо секретов. Вместо «профессиональных тайн» автор предлагает систематический подход, основанный на здравом смысле, международных стандартах и обобщении практического опыта, накопленного в этой сфере профессиональным сообществом.

Автор не ставил перед собой цели в рамках одной книги дать ответы на все вопросы, раз и навсегда решив все проблемы, возникающие при управлении рисками. Слишком сложна и многогранна эта тема для того, чтобы ее можно было так скоро исчерпать. Поэтому автор с благодарностью и вниманием воспримет любые конструктивные замечания и предложения по улучшению и дополнению сего труда, отправленные читателями на его электронный адрес: alexastahov@globaltrust.ru.

Предисловие автора ко второму изданию

Вторая редакция книги "Искусство управления информационными рисками" называется по другому и существенно превосходит первую редакцию по объему.

Теперь книга называется "ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ как искусство управления рисками". Необходимость смены вывести связана с тем, что в магазинах эту книгу нельзя было найти в разделе ЗАЩИТА ИНФОРМАЦИИ, а помещали ее куда угодно: в бизнес-литературу, стратегический и риск-менеджмент, экономические аспекты информатики и др.

В книгу внесено много добавлений и исправлений, в том числе:

  1. Отныне речь идет о возможности реализации угрозы (theat likelihood), а не о вероятности (threat probability). Воспоминания о школьной теории вероятности не должны более вводить читателя в заблуждение при использовании формул количественной оценки риска.
  2. В книге дается определение новой структуры данных под названием "профиль риска" и приводятся примеры профилей риска для различных типов организаций и информационных систем. Использование шаблонных профилей риска значительно упрощает процессы управления рисками в каждой конкретной организации и позволяет осуществлять стандартизацию данной области по схеме принятой в международной стандарте ISO 15408 (Общие критерии оценки безопасности информационных технологий).
  3. В книге дается краткий обзор стандартов международных управления рисками общего назначения (ISO 31000, 31010), чтобы показать, что управления рисками ИБ осуществляется в общем контексте управления бизнес-рисками и основано на тех же самых общих принципах риск менеджмента.
  4. В соответствии с международным стандартом ISO 31010 описываются 39 методов оценки риска (Дельфи, Монте-Карло, мозговой штурм и пр.), из которых 31 метод стандартизирован, а 8 - реально применяются на практике.
  5. Интеграция риск-менеджмента в процессы управления организацией (стратегический менеджмент, управление изменениями, проектами, инцидентами, обучением и т.д.). Для наглядности добавлены схемы, иллюстрирующие взаимосвязи между этими процессами управления.
  6. Признаки улучшенного менеджмента риска.
  7. Дается методика измерения эффективности системы риск-менеджмента в соответствии со стандартом ISO 27004.
  8. Также в книгу было внесено множество других дополнений и корректировок.

Эти добавления сначала были сделаны в блоге автора по адресу http://iso27000.ru/blogi/aleksandr-astahov, затем переносились в электронную редакцию книги http://анализ-риска.рф, а затем в печатную редакцию, которая выходит как на русском, так и на английском языках.