- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
2.5. Оценка последствий
При оценке последствий должно быть оценено влияние на систему, которое может быть результатом предполагаемых или фактических инцидентов ИБ с учетом последствий нарушения ИБ, таких, как потеря конфиденциальности, целостности или доступности элементов.
После определения всех проверяемых элементов присвоенная им ценность должна учитываться при оценке последствий.
Значение влияния на систему может быть выражено в качественной или количественной формах. Тем не менее, более наглядным является метод присвоения ценностного выражения, который, как правило, дает больше информации для принятия решений и, следовательно, делает процесс принятия решений более эффективным.
Определение ценности элементов начинается с классификации элементов в соответствии с их критичностью, с точки зрения важности элементов для осуществления целей системы. Затем ценность элементов определяется с использованием двух мер:
- восстановительной ценности элемента ;
- последствий для системы от потери или компрометации элемента, например, возможные неблагоприятные последствия для системы и/или законодательные или регулирующие последствия раскрытия, модификации, недоступности и/или разрушения информации, а также других информационных элементов.
Это определение ценности может быть установлено на основе анализа влияния на систему. Ценность, определяемая последствиями для системы, обычно значительно выше просто восстановительной стоимости и зависит от значимости элемента для системы при выполнении ее целей.
Определение ценности элементов является ключевым фактором оценки влияния сценария инцидента, поскольку инцидент может затрагивать более одного элемента (например, зависимые элементы) или только часть элемента. Различные угрозы и уязвимости могут иметь различное влияние на элементы, например, потеря конфиденциальности, целостности и доступности. Поэтому оценка последствий связана с определением ценности элементов или становится связанной, исходя из анализа влияния на систему.
Последствия или влияние на систему могут определяться путем моделирования результатов события или совокупности событий, экстраполяции экспериментальных исследований или данных за прошедшее время.
Последствия могут быть выражены с помощью денежных, технических персональных критериев влияния или других критериев, значимых для системы. В отдельных случаях для определения последствий, различающихся по времени, месту, группам или ситуациям, требуется более одного цифрового значения.
Последствия, различающиеся по времени или финансам, должны измеряться с использованием того же подхода, который применяется в отношении вероятности угрозы и уязвимости. Должна поддерживаться последовательность количественного или качественного подхода [68].
2.6. Установление значений уровня рисков
При установлении значений рисков присваиваются значения вероятности возникновения риска и его последствий. Эти значения могут быть выражены качественно или количественно. Установление значений рисков основывается на оцененных последствиях и их вероятности. Кроме того, оно может также учитывать стоимость и эффективность, проблемы причастных сторон и другие переменные, используемые при оценке риска. Установленное значение риска является комбинацией значений вероятности сценария инцидента и его последствий [11].