Управление рисками информационной безопасности в россии. Основные принципы управления рисками информационной безопасности

Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.

Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.

Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.

План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.

1. Обработка рисков информационной безопасности
   

2.1. Степень влияния риска информационной безопасности

В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:

• минимальный риск : финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
• средний риск : финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
• высокий риск : финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
• критический риск : критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.

2.2. Способы обработки риска

2.2.1. Снижение риска

Действие : Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Руководство по реализации : Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.

Ограничениями при реализации способа «Снижение риска » являются:

• временные ограничения;
• финансовые ограничения;
• технические ограничения;
• операционные ограничения;
• юридические ограничения;
• простота использования;
• кадровые ограничения;
• ограничения, касающиеся интеграции новых и существующих средств контроля.

2.2.2. Сохранение риска

Руководство по реализации : Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.

2.2.3. Предотвращение риска

Действие : Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации : Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия ).

2.2.4. Перенос риска

Действие : Риск должен быть передан (перенесен ) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации : Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.

Перенос может быть осуществлен:

• страхованием, которое будет поддерживать последствия;
• с помощью заключения договора субподряда (аутсорсинга ) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.

2.2.5. Принятие риска информационной безопасности

Входные данные : План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.

Действие : Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.

Руководство по реализации : Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.

В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.

Выходные данные : Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.

2.2.6. Коммуникация риска информационной безопасности

Входные данные : Вся информация о рисках, полученная в результате действий по менеджменту риска.

Действие : Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации : Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени ).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные : Постоянное понимание процесса менеджмента риска информационной безопасности организации.

1. Распределение ролей по реализации плана обработки рисков

3.1. Руководство организации:

• определяет правила и процедуры управления рисками;
• рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
• оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
• определяет организационно – штатную структуру организации.

3.2. Департамент экономической безопасности:

• участвует в разработке и апробации методик оценки риска информационной безопасности;
• проводит мониторинг, анализ и оценку рисков информационной безопасности;
• участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
• готовит предложения по коррекции методики оценки рисков информационной безопасности;
• готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
• участвует в реализации (внедрении ) защитных мер;
• осуществляет контроль реализованных защитных мер;
• разрабатывает внутренние положения организации по рискам информационной безопасности.

3.3. Управление по анализу и контролю за рисками:

• осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
• проводит оценку операционного риска;
• осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
• регулярно представляет Комитету по рискам отчеты;
• осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.

3.4. Работник организации:

• оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
• докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.

1. Заключение

Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.

Скачать ZIP файл (22660)

Пригодились документы - поставь «лайк» или .

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

• физические источники;
• нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
• утечка из закрытых источников;
• утечка техническими путями;
• несанкционированное вторжение;
• атака информационных активов;
• нарушение целостности модификации данных;
• чрезвычайные ситуации;
• правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

• преодоление неэффективного использования средств аудита;
• уменьшение степени пользования людьми специальных средств для обработки данных;
• снижение применения ресурсов и активов;
• приучение к получению доступа к сетевым средствам только установленными методами;
• выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

• веб-сайт и внешние хосты;
• беспроводная сеть предприятия;
• резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

• материальные;
• человеческие;
• информационные;
• финансовые;
• процессы;
• бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

• люди;
• стратегия;
• технологии;
• процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

1. Установка целей и способов их достижения.
2. Анализ информации, необходимой для вынесения вердикта.
3. Обработка собранных данных.
4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

Одной из важнейших задач управления информационной безопасностью организации и ее КИСС является управление рисками, или менеджмент риска - скоординированная деятельность по управлению организацией в отношении риска. В контексте рисков информационной безопасности рассматриваются только негативные последствия (потери).

В плане достижения бизнес-целей организации управление риском - это процесс создания и динамичного развития экономически целесообразной системы обеспечения информационной безопасности и эффективной системы управления информационной безопасностью . Поэтому управление риском - одна из главных задач и обязанностей руководства организации.

Управление рисками использует свой понятийный аппарат, который является в настоящее время стандартизованным, и приведен в стандартах ГОСТ Р ИСО/МЭК 13335-1-2006, ГОСТ Р ИСО/МЭК 27001-2006. Стандарт ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» предоставляет руководство концептуального характера по менеджменту риска информационной безопасности и поддерживает общие концепции и модель СУИБ, определенные в ГОСТ Р ИСО/МЭК 27001-2006. Он построен на базе британского стандарта BS 7799-3:2006 и в определенной степени перекликается с американским стандартом NIST SP 800-30:2002, также представляющим руководство по управлению рисками для систем информационных технологий, и предназначен для содействия адекватному обеспечению информационной безопасности организации и ее КИСС на основе подхода, связанного с менеджментом риска. Подготовлен проект российского национального стандарта ГОСТ Р ИСО/МЭК 27005-2008, гармонизированного с ISO/IEC 27005:2008.

В этих стандартах риск определяется как потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. Риск информационной безопасности - возможность того, что данная угроза будет использовать уязвимости информационного актива (группы активов) и, тем самым, нанесет вред организации. Он измеряется комбинацией вероятности нежелательного события и его последствий (возможного ущерба).

Управление риском информационной безопасности охватывает несколько процессов, важнейшие из которых - оценка риска, включающая анализ и оценивание риска, и обработка риска - выбор и реализация мер по модификации риска с использованием результатов оценки. Управление рисками информационной безопасности - итеративный процесс, который требует контроля и периодического пересмотра.

В зависимости от области применения, объекта и целей менеджмента риска могут применяться различные подходы к управлению и оценке риска информационной безопасности - высокоуровневая и детальная оценка риска. Подход может быть также разным для каждой итерации.

Анализ (идентификация и измерение) риска может быть осуществлен с различной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации. Форма анализа должна согласовываться с выбранными критериями оценивания риска. Методология измерения может быть качественной или количественной, или их комбинацией, в зависимости от обстоятельств. На практике качественная оценка часто используется первой для получения общих сведений об уровне риска и выявления основных значений рисков. Позднее может возникнуть необходимость в осуществлении более специфичного или количественного анализа основных значений рисков, поскольку обычно выполнение качественного анализа по сравнению с количественным является менее сложным и менее затратным.

При выборе подхода к управлению и оценке рисков принимаются во внимание три группы основных критериев - критерии оценивания риска, критерии влияния, критерии принятия риска. Они должны быть разработаны и определены.

Критерии оценивания рисков информационной безопасности организации должны разрабатываться, учитывая следующее:

• - стратегическую ценность обработки бизнес-информации;
• - критичность затрагиваемых информационных активов;
• - правовые и регулирующие требования и договорные обязательства;
• - операционную важность и важность для бизнеса доступности, конфиденциальности и целостности информации;
• - ожидания восприятия причастных сторон, а также негативные последствия для «неосязаемого капитала» и репутации.

Кроме того, критерии оценивания рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии влияния идентифицируются с критериями возможной утраты конфиденциальности, целостности и доступности активов и отражают неблагоприятное изменение уровня достигнутых бизнес-целей.

Критерии влияния должны разрабатываться и определяться, исходя из степени ущерба или расходов для организации, вызываемых событием, связанным с информационной безопасностью, учитывая следующее:

• - уровень классификации информационного актива, на который оказывается влияние;
• - нарушения информационной безопасности (например, утрата конфиденциальности, целостности и доступности);
• - ухудшенные операции (внутренние или третьих сторон);
• - потеря ценности бизнеса и финансовой ценности;
• - нарушение планов и конечных сроков;
• - ущерб для репутации;
• - нарушение законодательных, регулирующих или договорных требований.

Критерии принятия риска соответствуют «критериям принятия рисков и идентификации приемлемого уровня риска», определенным в ГОСТ Р ИСО/МЭК 27001-2006. Они должны быть разработаны и определены. Критерии принятия риска зачастую зависят от политик, намерений, целей организации и интересов причастных сторон.

Организация должна определять собственные шкалы для уровней принятия риска. При разработке следует учитывать следующее:

• - критерии принятия риска могут включать многие пороговые значения, с желаемым целевым уровнем риска, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, находящиеся выше указанного уровня;
• - критерии принятия риска могут выражаться как соотношение количественно оцененной выгоды (или иной выгоды бизнеса) к количественно оцененному риску;
• - различные критерии принятия риска могут применяться к различным классам риска, например, риски несоответствия директивам и законам не могут быть приняты, в то время как принятие рисков высокого уровня может быть разрешено, если это определено в договорном требовании;
• - критерии принятия риска могут включать требования, касающиеся будущей дополнительной обработки, например, риск может быть принят, если имеется одобрение и согласие на осуществление действия по его снижению до приемлемого уровня в рамках определенного периода времени.

Критерии принятия риска могут различаться в зависимости от того, насколько долго, предположительно, риск будет существовать, например, риск может быть связан с временной или кратковременной деятельностью. Критерии принятия риска должны устанавливаться с учетом критериев бизнеса; правовых и регулирующих аспектов; операций; технологий; финансов; социальных и гуманитарных факторов.

В соответствии с ISO/IEC 27005:2008 управление риском информационной безопасности охватывает следующие процессы: установление контекста, оценка риска, обработка риска, принятие риска, коммуникация риска, а также мониторинг и пересмотр риска.

Как видно из рис. 3.5, процесс менеджмента риска информационной безопасности может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход дает хороший баланс между временем и усилиями, затрачиваемыми на определение средств контроля (средств защиты и обеспечения безопасности), в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются должным образом.

В СУ И Б и четырехфазной модели ПДПД установление контекста, оценка риска, разработка плана обработки риска и принятие риска являются частью фазы «планируй». В фазе «делай» действия

Рис. 3.5.

и средства контроля, требуемые для снижения риска до приемлемого уровня, реализуются в соответствии с планом обработки риска. В фазе «проверяй» менеджеры определяют потребность в пересмотре обработки риска с учетом инцидентов и изменений обстоятельств. В фазе «действуй» осуществляются любые необходимые работы, включая повторное инициирование процесса менеджмента риска информационной безопасности.

В табл. 3.3 приводятся виды деятельности (процессы), связанные с менеджментом риска, значимые для четырех фаз процесса СУИБ на основе модели ПДПД.

Таблица 3.3

Соотношение фаз процесса СУИБ и процессов и подпроцессов менеджмента рисков информационной безопасности

Установление контекста менеджмента риска информационной безопасности включает установление основных критериев (оценивания рисков, влияния или принятия рисков), определение сферы действия и границ и установление соответствующей организационной структуры для осуществления менеджмента риска.

Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Высокоуровневая оценка дает возможность определения приоритетов и хронологии действий. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, с помощью критериев оценки рисков, принятия рисков или критериев влияния), возможно на ограниченных частях полной области применения (см. рис. 3.5, точка принятия решений о риске № 1).

«Ничто так не удивляет людей, как здравый смысл и действия по плану».

Ральф Эмерсон, американский писатель

После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.

Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков». Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.

Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнес-процессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.

___________________________________

Разработка и реализация плана обработки рисков включает в себя следующие меры:

• определение последовательности мероприятий по реализации принятых решений по обработке рисков;
• детализацию и приоритетизацию мероприятий по обработке рисков;
• распределение ответственности между исполнителями;
• выделение необходимых ресурсов;
• определение вех и контрольных точек;
• определение критериев достижения целей;
• мониторинг продвижения.

______________________________________

Должны быть правильно расставлены приоритеты по реализации мер обработки риска. Время, когда может предприниматься каждое действие, зависит от его абсолютного приоритета по отношению к другим действиям, доступности ресурсов (включая финансовые и кадровые ресурсы), а также от мероприятий, которые должны быть завершены, прежде чем процесс может быть запущен. План обработки рисков должен быть скоординирован с другими бизнес-планами. Любые зависимости между этими планами должны быть идентифицированы.

Приоритетизация мер по обработке рисков может осуществляться следующим образом:

1. Все контрмеры разделяются на группы по уровню риска, для уменьшения которого они предназначены. Наивысший приоритет присваивается контрмерам, служащим для уменьшения самых больших рисков.

2. В каждой группе на первое место ставятся те меры, которые быстрее и проще реализовать и которые дают скорейший эффект.

3. Повышается приоритет контрмер, обеспечивающих наибольший возврат инвестиций ROI.

4. Первичным контрмерам, от которых зависит успешность реализации других контрмер, присваивается более высокий приоритет.

5. Учитываются все прочие соображения, способные повлиять на порядок реализации контрмер, включая связь с другими планами, доступность тех или иных ресурсов, политические, экономические и прочие соображения.

На выходе данного процесса получаем приоритетный перечень мер по обработке рисков, на базе которого производится дальнейшее более детальное планирование, выделение ресурсов и реализация решений по управлению рисками.

Координация всех шагов по реализации плана обработки рисков (включая приобретение, внедрение, тестирование механизмов безопасности, заключение договоров страхования и аутсорсинга и т.п.) осуществляется менеджером информационной безопасности или риск-менеджером, который должен контролировать, чтобы реализация мероприятий осуществлялась в соответствии с планом, с надлежащим качеством и в рамках выделенных финансовых, временных и кадровых ресурсов. При внедрении контрмер в информационную систему должно проводиться тестирование с целью подтверждения надежности и работоспособности реализованных механизмов безопасности, а также измерение эффективности их функционирования.