Описание процесса оценки рисков информационной безопасности

Основным фактором, от которого зависит отношение организации к вопросам информационной безопасности, является степень ее зрелости.

Университет Сате&е Ме11оп предложил модель определения зрелости организации с позиции И Б. В соответствии с этой моделью выделяется пять уровней зрелости, которым можно поставить в соответствие различное понимание проблем И Б в организации.

На первом уровне проблема обеспечения И Б руководством формально не выдвигается. С точки зрения руководства организации, находящейся на первом уровне зрелости, задачи обеспечения режима И Б неактуальны.

На втором уровне проблема обеспечения И Б решается неформально, существуют стихийно сложившиеся процедуры обеспечения И Б, • ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

их полнота и эффективность не анализируются. На уровне руководства существует определенное понимание задач обеспечения ИБ.

На третьем уровне руководство организации осознает задачи в области ИБ и заинтересовано в использовании стандартов в области ИБ. В организации принято следовать в той или иной мере стандартам и рекомендациям, обеспечивающим базовый уровень И Б.

На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим ИБ. В организации имеется полный комплект документов в области ИБ, действующие инструкции соблюдаются. Регулярно проводится внутренний аудит в области И Б.

На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима И Б .

Используя модель зрелости, руководство может определить:

  • • текущее положение организации;
  • • средний показатель для отрасли;
  • • цель организации.

Для простоты интерпретации результатов далее (рис. 3.3) приведено графическое изображение модели зрелости[1] [2].

  • 12 3 4
  • * И ?

Рис. 3.3. Графическое изображение модели зрелости: ^ — текущее

положение организации; — средний показатель для отрасли;

^ — цель организации

По данным исследований большинство российских компаний находятся ниже третьего уровня зрелости[3]. Однако наблюдается стремление к повышению уровня зрелости с позиции ИБ. Инструментом, позволяющим принимать эффективные решения по минимизации последствий нарушения безопасности информации и вероятности их наступления, а также выбору защитных мер, является управление рисками.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры, средства контроля и управления, а также их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

Оценка риска часто проводится за две или более итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия или с использованием иного метода.

Выбор подхода к оценке риска в зависимости от задач и целей оценки риска осуществляет руководство организации1.

На рис. 3.4 схематично изображен процесс оценки рисков ИБ.

Процесс оценки рисков информационной безопасности

Рис. 3.4. Процесс оценки рисков информационной безопасности

Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей. Выделяются следующие типы объектов защиты (рис. 3.1):

  • • информационные активы;
  • • программное обеспечение;
  • • физические активы;
  • • сервисы;
  • • люди, а также их квалификации, навыки и опыт;
  • • нематериальные ресурсы, такие как репутация и имидж организации.
  • • ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков также выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используют результаты аудитов, данные об инцидентах информационной безопасности, экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

  • • возможного ущерба, наносимого организации в результате нарушений безопасности активов1;
  • • вероятности наступления такого нарушения;
  • • величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Выделяют три подхода к оценке стоимости активов:

  • • затратный (затраты, необходимые для создания актива);
  • • доходный (ожидаемые доходы от использования активов);
  • • сравнительный (сравнение актива с аналогами, в отношении которых имеется информация о стоимости).

Затем полученные различными подходами результаты обобщают, получая интегрированную оценку стоимости.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После того как были определены величина возможного ущерба и вероятность реализации угроз, определяют величину риска. Риск вычисляют комбинированием возможного ущерба, выражающего вероятные последствия нарушения безопасности активов, и вероятности реализации угроз. Такое комбинирование часто проводят при помощи матрицы, где в строках размещаются возможные значения ущерба, в столбцах — вероятности реализации угрозы, а на пересечении — величина риска.

• Федеральный стандарт оценки № 1 (ФСО № 1) «Общие понятия оценки, подходы к оценке и требования к проведению оценки».

Далее сравнивают вычисленные уровни риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства. Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Для обработки риска информационной безопасности входными данными являются сведения о перечне рисков с назначенными приоритетами в соответствии с критериями оценки рисков, касающимися сценариев инцидентов, которые приводят к этим рискам. Для обработки риска имеется четыре варианта: снижение риска, сохранение риска, предотвращение риска и перенос риска (рис. 3.5).

Деятельность по обработке риска (ГОСТ Р ИСО/МЭК 27005-2010)

Рис. 3.5. Деятельность по обработке риска (ГОСТ Р ИСО/МЭК 27005-2010)

При снижении риска уровень риска должен быть снижен путем выбора меры и средства контроля и управления так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Решение сохранить риск, не предпринимая дальнейшего действия, следует принимать в зависимости от оценки риска.

Предотвращение риска — отказ от деятельности или условия, вызывающего конкретный риск.

Перенос риска — разделение с другой стороной бремени потерь или выгод от риска.

В процессе обработки должны быть выбраны меры и средства контроля и управления для снижения, сохранения, предотвращения или переноса рисков, а также определен план обработки рисков.

Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности. Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при относительно небольших затратах. Дополнительные варианты повышения эффективности могут быть неэкономичными, и необходимо принимать решение о целесообразности их применения.

Неблагоприятные последствия рисков необходимо снижать до разумных пределов независимо от каких-либо абсолютных критериев. Редкие, но серьезные риски должны рассматриваться руководством. В таких случаях может возникнуть необходимость реализации мер и средств контроля и управления, которые являются необоснованными по причинам затратности (например, меры и средства контроля и управления непрерывности бизнеса для охвата высоких специфических рисков).

Четыре варианта обработки риска не являются взаимоисключающими. В отдельных случаях организация может получить значительную выгоду от объединения вариантов, таких как снижение риска, уменьшение последствий и перенос или сохранение любого остаточного риска.

Некоторые варианты обработки риска могут быть эффективными для более чем одного риска (например, обучение и осведомленность в части И Б). План обработки риска должен четко определять порядок приоритетов, при соблюдении которого должна реализовываться обработка отдельного риска. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ «затраты — выгоды». В обязанности руководства входит принятие решения о балансе между затратами на реализацию мер и средств контроля и управления и бюджетными отчислениями.

При определении существующих мер и средств контроля и управления может быть установлено, что существующие меры и средства контроля и управления превышают текущую потребность в показателях сравнения затрат, включая поддержку. В случае удаления избыточных или ненужных мер и средств контроля и управления (особенно, если расходы на их поддержку велики) должны учитываться факторы И Б и стоимости. Поскольку меры и средства контроля и управления оказывают влияние друг на друга, удаление избыточных мер и средств контроля и управления может в итоге снизить эффективность использования всех оставшихся мер и средств обеспечения безопасности. Кроме того, может быть менее затратным оставить избыточные или ненужные средства контроля, чем удалить их.

  • [1] Петренко С.Л., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. — М.: ДМК Пресс, 2005.
  • [2] СОВ1Т 4.1 Российское издание. — М.: Аудит и контроль информационных систем, 2008.
  • [3] Петренко С.Л., Симонов С.В. Указ. соч.
 
< Пред   СОДЕРЖАНИЕ     След >