АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Целью практического занятия является изучение рисков информационной безопасности предприятия и методик для ее оценки.
Краткие теоретические сведения
Основные термины и определения
Риск информационной безопасности (information security risk) – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб предприятию.
Риск ИБ измеряется, исходя из комбинации вероятности события и его последствия.
Коммуникация риска (risk communication) – это обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
Количественная оценка риска (risk estimation) – это процесс присвоения значений вероятности и последствий риска.
Идентификация риска (risk identification) – это процесс нахождения, составления перечня и описания элементов риска.
Снижение риска (risk reduction) – это действия, предпринятые для уменьшения вероятности и негативных последствий, связанных с риском.
Сохранение риска (risk retention) – это принятие бремени потерь или выгод от конкретного риска.
Перенос риска (risk transfer) – это разделение с другой стороной бремени потерь или выгод от риска.
Менеджмент риска информационной безопасности
Процесс менеджмента риска ИБ иллюстрируется рисунком 1.
Рисунок 1 – Процесс менеджмента риска
информационной безопасности
Как показано на рисунке 1, в процессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой последующей итерации. Итеративный подход позволяет сбалансировано затрачивать время и усилия на выбор мер и средств контроля и управления, в то же время по-прежнему обеспечивая соответствующую оценку высокоуровневых рисков.
Сначала устанавливается контекст, а затем проводится оценка риска. Если при этом удается получить достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача выполнена, после чего следует обработка риска. Если информация является недостаточной, то проводится очередная итерация оценки риска в условиях пересмотренного контекста (например, критериев оценки рисков, критериев принятия рисков или критериев влияния), возможно в ограниченной части полной предметной области (см. рисунок 1, первая точка принятия решения).
Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста (например, критериев оценки риска, принятия риска и влияния), за которой последует очередная процедура обработки риска (см. рисунок 1, вторая точка принятия решения).
Процедура принятия риска должна обеспечивать однозначное принятие остаточных рисков руководством предприятия. Это особенно важно в ситуации, когда корректирующие меры не предпринимаются, или их принятие откладывается, например, из-за высокой стоимости.
В таблице 1 показана взаимосвязь процедур менеджмента риска с четырьмя фазами процесса системы менеджмента ИБ (СМИБ).
Таблица 1 – Взаимосвязь процедур менеджмента риска
с фазами процесса системы менеджмента ИБ (СМИБ)
Процесс СМИБ |
Процесс менеджмента риска ИБ |
Планирование |
Установление контекста Оценка риска Планирование обработки риска Принятие риска |
Осуществление |
Реализация плана обработки риска |
Проверка |
Проведение непрерывного мониторинга и переоценки рисков |
Действие |
Поддержка и усовершенствование процесса менеджмента риска ИБ |
Установление контекста включает определение основных критериев, необходимых для менеджмента риска ИБ.
Критерии оценки рисков разрабатывают с учетом:
– стратегической ценности обработки бизнес-информации;
– критичности затронутых информационных активов;
– законодательно-нормативных требований и договорных обязательств;
– оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
– ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.