- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
6.2. Мониторинг, анализ и улучшение менеджмента риска
Входными данными является вся информация о рисках, полученная в результате деятельности по управлению риска (см. рис. 1.1).
Процесс управления рисками ИБ подлежит постоянному управлению, анализу и улучшению.
Постоянное управление и переоценка необходимы для того, чтобы контекст, результат оценки и обработки риска, а также планы управления оставались уместными и соответствующими обстоятельствам.
Для системы должно быть определенно, что процесс управления рисками ИБ и связанная с ним деятельность остаются соответствующими при существующих обстоятельствах, и они соблюдаются. При любых согласованных улучшениях процесса или действиях, необходимых для повышения соответствия этому процессу, следует учитывать, что не существует ни одного риска или элемента риска, упущенного или недооцененного, что предпринимаются необходимые действия и принимаются решения для получения реалистичного представления о риске и способности реагировать на него.
Кроме того, для системы необходимо подтверждение того, что критерии, используемые для измерения риска и его элементов, по-прежнему остаются обоснованными и согласующимися с ее целями, стратегиями и политиками и что изменения контекста принимаются во внимание на адекватном уровне во время процесса управления рисками ИБ. Эта деятельность по управлению и переоценке должна учитывать (но не ограничиваться) следующее:
- правовой контекст и контекст окружающей среды;
- контекст конкуренции;
- подход к оценке риска;
- ценности и категории элементов;
- критерии влияния;
- критерии оценки риска;
- критерии принятия риска;
- необходимые ресурсы.
В системе должна обеспечиваться постоянная доступность оценки и обработки риска для переоценки риска, рассмотрения новых или изменившихся угроз или уязвимостей.
Мониторинг управления рисками может иметь результатом модификацию или дополнение подхода, методологии или инструментальных средств, используемых в зависимости от следующего:
- выявленных изменений;
- итерации оценки риска;
- цели процесса управления рисками ИБ (например, непрерывность, устойчивость к инцидентам, совместимость);
- объекта процесса управления рисками ИБ (например, система, информационный процесс, его техническая реализация, приложение, подключение к Интернету).
Результатом анализа и улучшения будет служить постоянная значимость процесса управления рисками ИБ для целей защиты системы или обновления процесса [40].
Заключение
Меры безопасности редко встречают быстрое положительное понимание со стороны персонала, чаще встречается сопротивление, а не одобрение. Пользователи возмущаются потерей определенных привилегий из-за введения мер безопасности, даже если эти возможности не являются существенными для их работы. Это объясняется тем, что привилегии дают им определенный статус. Поэтому необходима специальная работа по мотивации пользователей и получению согласия руководства на введение мер безопасности. Особенно в области управления информационной безопасностью руководство должно показать пример («разъяснять курс» и «вести за собой»). При отсутствии инцидентов по безопасности у руководства может возникнуть искушение сократить расходы на управление безопасностью.
Информационные системы небезопасны не из-за их технического несовершенства, а из-за ошибок при использовании технологии. Обычно это связано с человеческим отношением и поведением. Это означает, что процедуры безопасности должны быть интегрированы в рутинные операции.
В случае введения процесса управления информационной безопасностью реализация технических мер гораздо менее важна по сравнению с организационными мерами. Изменение организации требует поэтапного подхода и занимает длительное время. Новые системы, такие, как Интернет, не были рассчитаны на безопасность и необходимость обнаружения взлома. Причина заключается в том, что разработка защищенной системы требует больше времени, чем незащищенной, и находится в конфликте с требованиями по невысокой стоимости разработки и скорейшей поставке на рынок. Инфраструктуры требуют привлечения персонала, следовательно, и денег для принятия, поддержки и проверки мер безопасности. Однако неспособность защитить ИТ-инфраструктуру также стоит денег (стоимость непроизведенной продукции; стоимость замены; ущерб для данных, программного или аппаратного обеспечения; потеря репутации; штрафы или компенсации в связи с невозможностью выполнения договорных обязательств). Как всегда, необходимо соблюдение баланса.