Учебники 80358

51

Способ выражения последствий риска и вероятности его возникновения, а также способы их комбинирования для получения информации об уровне риска изменяются в зависимости от вида риска и цели, для достижения которой должны использоваться выходные данные оценки риска.

Качественная оценка риска, не привязанная к какойлибо количественной шкале, может быть полезна для правильной расстановки приоритетов, однако сама по себе не дает представления о масштабах возможной проблемы и вероятных потерях организации. Для того, чтобы качественная шкала оценки риска приобрела смысл для руководства организации, необходимо сопоставить ей количественные диапазоны среднегодовых потерь организации, то есть выполнить калибровку качественной шкалы оценки риска.

1.3.2.2. Оценивание риска

Для оценивания рисков организация должна сравнивать установленные значения рисков с критериями оценки риска, выбранными на этапе установления контекста.

Критерии оценки риска, используемые для принятия решений, должны согласовываться с определенным внешним и внутренним контекстом менеджмента риска ИБ и учитывать цели организации, мнения причастных сторон и т.д.

На выходе получают перечень рисков с назначенными приоритетами в соответствии с критериями оценки рисков, касающимися сценариев инцидентов, которые приводят к этим рискам.

1.3.3. Обработка риска

Целью обработки рисков является их уменьшение до приемлемого уровня путем уменьшения вероятности инцидента, либо минимизации возможного ущерба.

52

Должны быть выбраны меры и средства контроля и управления для снижения, сохранения, предотвращения или переноса рисков, а также определен план обработки рисков.

Для обработки риска имеется четыре варианта: 1) снижение риска, 2) сохранение риска, 3) предотвращение риска и 4) перенос риска [18].

На рис. 3 иллюстрируется деятельность по обработке риска в рамках процесса менеджмента риска ИБ.

Рис. 1.3. Деятельность по обработке риска

53

Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности.

Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при относительно небольших затратах.

Четыре варианта обработки риска не являются взаимоисключающими. В отдельных случаях организация может получить значительную выгоду от объединения вариантов, таких, как снижение вероятности риска, уменьшение последствий и перенос или сохранение любого остаточного риска.

Некоторые варианты обработки риска могут быть эффективными для более чем одного риска (например, обучение и осведомленность в части ИБ). План обработки риска должен четко определять порядок приоритетов, при соблюдении которого должна реализовываться обработка отдельного риска. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ «затраты-выгоды». Для разных вариантов обработки риска должно учитываться:

как риск осознается затрагиваемыми сторонами; наиболее подходящие способы обмена информацией с этими сторонами.

Установление контекста предоставляет информацию о законодательных и нормативных требованиях, которым необходимо следовать организации. Отказ от следования указанным требованиям является риском для организаций, поэтому должны быть рассмотрены варианты решений, ограничивающие эту возможность. Все ограничения – организационные, технические, структурные и др., которые определяются в течение деятельности, связанной с установлением контекста, следует учитывать в течение обработки риска.

54

После уточнения плана обработки риска необходимо определить остаточные риски. Это включает обновление или повторную операцию оценки риска с учетом ожидаемого эффекта от предполагаемой обработки риска. Если остаточные риски по-прежнему не будут удовлетворять критериям принятия риска организации, может возникнуть необходимость в дополнительной итерации обработки риска, прежде чем перейти к принятию риска.

1) Снижение риска

Снижение риска (risk reduction) – действия, предпри-

нятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском [18].

Уровень риска должен быть снижен путем выбора меры и средства контроля и управления так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Должны быть выбраны соответствующие и обоснованные меры и средства контроля и управления, чтобы удовлетворять требованиям, определенным путем оценки и обработки рисков. Такой выбор должен учитывать критерии принятия рисков, а также законодательные, нормативные и договорные требования. При выборе должны также учитываться стоимость и время реализации мер и средств контроля и управления или технические аспекты, аспекты среды и культурные аспекты.

Уменьшить риски можно следующими способами уменьшением вероятности воздействия угрозы на

активы; ликвидацией имеющихся уязвимостей;

уменьшением вероятности использования уязвимости; уменьшением возможного ущерба в случае

осуществления риска путем обнаружения нежелательных событий, реагирования и восстановления после них.

55

В целом меры и средства контроля и управления могут обеспечивать один или несколько из перечисленных видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

При выборе механизмов контроля должно учитываться большое количество других факторов, включая:

простоту внедрения и эксплуатации механизма контроля;

надежность и воспроизводимость механизма контроля (является ли он документированным, исполняется он вручную или запрограммирован);

относительную силу механизмов контроля по сравнению с другими мерами; типы выполняемых функции (предотвращение,

сдерживание, обнаружение, восстановление, исправление, мониторинг или оповещение).

При формировании рекомендаций и в процессе реализации должны учитываться различные ограничения. Типичными ограничениями являются:

временные ограничения (время реализации может быть неприемлемым, например, превышать жизненный цикл процесса, для которого требуется уменьшить риск);

финансовые ограничения;

законодательные ограничения (ограничения на использование средств шифрования);

технические ограничения;

операционные ограничения (необходимость обеспечения непрерывной доступности системы 24 часа в сутки); культурные ограничения (досмотр сумок можно

ввести в Европе, но это недопустимо в странах Ближнего Востока, а успешность внедрения в

56

значительной степени зависит от поддержки со стороны персонала); этические ограничения (не во всех организациях

уместна перлюстрация почты, а сообщения о подозрительных действиях в ряде случаев млгут трактоваться как доносительство); ограничения, связанные с окружающей средой;

ограничения, связанные с простотой использования; кадровые ограничения (доступность специализированного персонала); ограничения, касающиеся интеграции новых и

существующих мер и средств контроля и управления.

Более подробную информацию об ограничениях, сопутствующих решениям по снижению риска, можно найти в приложении F ГОСТ Р ИСО/МЭК 27005-2010 [18], а в ГОСТ Р ИСО/МЭК 27002-2012 дается подробная информация по выбору мер и средств контроля и управления [15].

Математическим основам принятия решений при управлении рисками, в частности, при рациональном выборе мер и средств контроля и управления посвящена вторая глава настоящего пособия.

2) Сохранение риска

Сохранение риска (risk retention) – принятие бремени потерь или выгод от конкретного риска [18].

Примечание: в контексте рисков ИБ применительно к сохранению риска рассматриваются только негативные последствия (потери).

Решение сохранить риск, не предпринимая дальнейшего действия, следует принимать в зависимости от оценки риска.

Основными факторами, влияющими на решение о принятии рисков, являются:

возможные последствия осуществления риска, то есть расходы организации в каждом случае, когда это происходит;

ожидаемая частота подобных событий.

57

Количественные оценки этих факторов являются очень неточными и субъективными, поэтому лица, принимающие решение, должны осторожно взвешивать точность и достоверность информации, на основании которой они принимают решение, и величину потерь, которую они готовы принять.

К числу субъективных факторов, оказывающих влияние на принятие решений по рискам, относятся в том числе:

готовность к принятию рисков (также известная как терпимость или склонность к риску); доступные финансовые, кадровые и информационные ресурсы;

существующие деловые/технологические приоритеты; политика организации и руководства, например, в

отношении следования тем или иным требованиям.

На этапе анализа контекста организации должны быть установлены критерии принятия риска, определяющие максимально допустимый уровень остаточного риска, а также возможные исключения для определенных рисков при определенных обстоятельствах.

Риски, превышающие установленный руководством организации допустимый уровень, – это те риски, которые являются неприемлемыми для бизнеса, а связанная с ними деятельность – слишком рискованной. Все остальные риски, ниже этого уровня, являются допустимыми и могут быть приняты без дальнейшей обработки.

На практике многие риски занимают промежуточное положение между однозначно приемлемыми и очевидно неприемлемыми. Такие риски также нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены при обеспечении хорошего возврата инвестиций. Поэтому в дополнение максимально допустимому уровню остаточного

58

риска также используется уровень однозначно приемлемого риска.

Например, для величин рисков, приведенных в табл. 10, могут быть установлены следующие уровни принятия рисков:

Низкий риск (уровень риска: от 0 до 2) – однозначно приемлемые риски, составляющие обычный рисковый фон организации.

Средний риск (уровень риска: от 3 до 5) - потенциально приемлемые риски, уменьшение которых, однако, может дать положительный экономический эффект. Эти риски обычно нуждаются в обработке, но не в первую очередь.

Высокий риск (уровень риска: от 6 до 8) – неприемлемые риски, нуждающиеся в скорейшей обработке. Сохранение данных рисков руководство организации считает крайне рискованным для своего бизнеса.

Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные меры и средства контроля и управления, и риск может быть сохранен.

3)Предотвращение риска

Предотвращение риска (risk avoidance) - решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее [18].

Если идентифицированные риски считаются слишком высокими или расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем отказа от планируемой или существующей деятельности, или их совокупности, или изменения условий, при которых осуществляется деятельность.

Например, избежание риска может быть достигнуто

путем:

59

отказа от определенных бизнес-активностей (например, неиспользования возможностей, предоставляемых электронной коммерцией, или неиспользования Интернет для осуществления некоторых операций);

перемещения ресурсов из зоны риска (например, отказ от хранения конфиденциальных файлов в Интренет-сети организации или перемещение ресурсов из зон, недостаточно защищенных физически); принятия решения о том, чтобы не обрабатывать

конкретную конфиденциальную информацию, например, совместно с третьей стороной в случае, если адекватный уровень защиты не может быть гарантирован.

4)Перенос риска

Перенос риска (risk transfer) – разделение с другой стороной бремени потерь или выгод от риска [18].

Примечание: в контексте рисков ИБ применительно к переносу риска рассматриваются только негативные последствия (потери).

Риск должен быть перенесен на сторону, которая может наиболее эффективно осуществлять менеджмент конкретного риска, в зависимости от оценки риска.

Перенос риска включает в себя решение разделить определенные риски с внешними сторонами. Перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски. Поэтому может быть необходима дополнительная обработка риска.

Перенос может быть осуществлен путем страхования, которое будет поддерживать последствия, или путем заключения договора субподряда с партнером, чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении незамедлительных действий по

60