- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ.
Фаза оптимизации риска содержит переоценку риска и, соответственно, пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности.
Процедуры контроля рисков и оптимизации — включая использование политик, мер и средств безопасности, идентификацию ресурсов, угроз и уязвимостей, документирование — гармонизированы с ISO IEC 27001 и 27002.
Отличительной чертой стандарта является принцип осведомленности о процессах оценки, отработки, контроля и оптимизации рисков в организации. На каждом этапе управления рисками предусмотрено информирование всех участников процесса управления безопасностью, а также фиксирование событий СУИБ.
Наряду с планом обеспечения непрерывности бизнеса, к основным документам по управлению рисками в британском стандарте отнесены: описание методологии оценки рисков, отчет об оценке рисков, план обработки рисков. Кроме того, в непрерывном цикле управления рисками задействовано огромное множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и др.
Стандарт перечисляет обязанности и задает требования к категории лиц, непосредственно участвующих при управлении рисками, а именно: экспертам по оценке рисков, менеджерам по безопасности, менеджерам рисков безопасности, а также владельцам ресурсов и даже руководству организации [59].
Основными видами информационных активов, которые затрагиваются при управлении информационными рисками, в соответствии с документом, являются:
процессы и службы информационной системы;
программное обеспечение;
технические средства;
человеческие ресурсы;
нематериальные ресурсы – репутация, имидж организации, а также другие нематериальные факторы, влияющие на ведение бизнеса.
В приложении к стандарту приводятся различные угрозы, в соответствии со стандартом ISO IEC 17799-2005.
Приведенный в стандарте метод оценки рисков, как уже было сказано выше, является универсальным, но при этом не предполагает использование какой-то определенной методологии оценки рисков. Это порождает определенную неоднозначность в выборе методов управления рисками.
В основе приведенного метода оценки обычно лежат взвешенные качественные оценки, которые делает эксперт в процессе анализа защищаемой системы. Естественно, такой метод не лишен недостатков, а именно:
проблемы задания масштаба при построении качественных шкал;
проблемы адекватности экспертной оценки;
невозможности определить, какие параметры системы и в какой степени влияют на общий уровень риска.
Это затрудняет управление рисками и говорит об актуальности разработки универсальной методологии оценки и управления информационными рисками, которая бы позволяла совместно использовать аналитические и качественные методы.
Но, несмотря на вышеуказанные недостатки, стандарт является цельным документом, на базе которого разрабатывается международный стандарт ISO IEC 27005. Принятие стандарта такого уровня определяет то, что управление информационной безопасностью на базе анализа рисков становится основным подходом. Это определяет парадигму, в рамках которой закономерным будет постепенным развитие методов анализа и управления рисками: повышение их точности, усиление прикладного значения, нахождение баланса между формализованными и качественными методиками. С разработкой этого документа линейка международных стандартов в области мониторинга и управления информационными рисками (а именно линейка ISO IEC 27000) будет гармонична и следующим шагом уже должно стать не появление, а совершенствование документов.