- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
5. Определение последствий
Перед оценкой риска должны быть определены последствия для активов, вызванные потерей конфиденциальности, целостности и доступности. Последствием может быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб, нанесенный репутации, и т.д.
Эта деятельность определяет ущерб или последствия для организации, которые могут быть обусловлены сценарием инцидента. Сценарий инцидента – это описание угрозы, использующей определенную уязвимость или совокупность уязвимостей в инциденте. Влияние сценариев инцидентов обусловливается критериями влияния, определяемыми в течение деятельности по установлению контекста.
Организации должны определять операционные последствия сценариев инцидентов на основе (но не ограничиваясь):
времени на расследование и восстановление;
потерь (рабочего) времени;
упущенной возможности;
охраны труда и безопасности;
финансовых затрат на приобретение специфических навыков, необходимых для устранения неисправности;
репутации и иного «неосязаемого капитала».
Результатом данного шага является перечень сценариев инцидентов с их последствиями, связанными с активами и бизнес-процессами.
1.3.2.1.2. Установление значения риска (количественная оценка риска)
Анализ риска может быть выполнен с различной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации. Методология установления значения риска может быть качественной, количественной или комбинированной, в зависимости от обстоятельств. Форма анализа должна согласовываться с критериями оценки риска, разработанными как часть установления контекста.
Для установления качественного значения используется шкала квалификации атрибутов, с помощью которой описываются величины возможных последствий (например, «низкий», «средний» и «высокий») и вероятности возникновения этих последствий. Преимущество установления качественного значения заключается в доступности для понимания всем соответствующим персоналом, а недостатком – зависимость от субъективного выбора шкалы.
Такие шкалы могут быть адаптированы или скорректированы в соответствии с обстоятельствами, для разных рисков могут использоваться разные описания. Установление качественного значения может использоваться:
как начальная деятельность по тщательной проверке для идентификации рисков, требующих более детального анализа;
там, где этот вид анализа способствует принятию решения;
там, где числовые данные или ресурсы являются неадекватными для установления количественного значения.
Качественный анализ должен использовать фактическую информацию и доступные данные.
Для установления количественной оценки используется шкала с числовыми значениями (а не описательные шкалы, используемые при установлении качественного значения) как последствий, так и вероятности, с применением данных из различных источников. В табл. 1.12 приведен пример матрицы с величиной рисков, полученных в результате сопоставления ценности активов, вероятности угроз и уровня уязвимостей.
В этом примере величина рисков определяется по шкале от 0 до 8:
Величина риска в диапазоне от 0 до 2 соответствует относительно низкому уровню риска, который, как правило, может быть принят без дальнейшей обработки.
Величина риска в диапазоне от 3 до 5 соответствует среднему уровню риска, который может требовать определенной обработки.
Величина риска в диапазоне от 6 до 8 соответствует высокому уровню риска, который должен быть обработан в первую очередь.
Для многих организаций такой шкалы вполне достаточно. Однако ничто не мешает эту шкалу расширить, введя дополнительные уровни угроз, уязвимостей или ущерба (ценности актива).
В результате формируется Реестр информационных рисков — основной документ, описывающий текущую ситуацию с рисками в организации. Он формируется путем объединения таблицы ценности активов, таблицы оценки угроз и уязвимостей и таблицы величины рисков табл. 1.13.
Таблица 1.12
Матрица с величиной рисков
Стоимость |
Уровень угрозы |
||||||||
ресурса |
Низкий |
Средний |
Высокий |
||||||
|
Уровень уязвимости |
||||||||
|
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
Таблица 1.13
Реестр информационных рисков
№ |
Группы угроз |
Уязвимости |
Активы |
Вероятность угроз |
Уровень уязвимости |
Ценность актива |
Уровень риска |
Механизмы контроля |
Риски офисной сети Физические риски |
||||||||
1 |
Кража компьютерного оборудования и носителей информации инсайдерами.
Физический НСД помещении организации. кабинеты и серверные комнаты, к оборудованию, бумажным документам запоминающим устройствам, носителям информации и т. п. |
Не производится регистрация оборудования и информационных носителей, выносимых за пределы территории организации.
Отсутствуют правила работы в зонах безопасности.
При приеме на работу не производится проверка истории кандидатов |
Корпоративный веб-сайт |
М |
М |
0 |
2 |
Средний уровень лояльности сотрудников.
Существует политика безопасности в отношении мобильных носителей информации и использования внешних устройств.
Существует политика возврата оборудования, носителей информации и документации при увольнении сотрудников.
Для доступа на территорию ортаизации используются смарт-карты.
Территория охраняется службой безопасности.
Офисное оборудование и документация находится строго в зонах безопасности |
Отчеты по мероприятиям |
1 |
3 |
||||||
Электронные сообщения |
2 |
4 |
||||||
Проектная документация |
2 |
4 |
||||||
Договора, соглашения |
1 |
3 |
||||||
Бухгалтерская база данных |
3 |
5 |
||||||
Первичная бухгалтерская документация |
3 |
5 |
||||||
Финансовые документы |
3 |
5 |
||||||
Способ выражения последствий риска и вероятности его возникновения, а также способы их комбинирования для получения информации об уровне риска изменяются в зависимости от вида риска и цели, для достижения которой должны использоваться выходные данные оценки риска.
Качественная оценка риска, не привязанная к какой-либо количественной шкале, может быть полезна для правильной расстановки приоритетов, однако сама по себе не дает представления о масштабах возможной проблемы и вероятных потерях организации. Для того, чтобы качественная шкала оценки риска приобрела смысл для руководства организации, необходимо сопоставить ей количественные диапазоны среднегодовых потерь организации, то есть выполнить калибровку качественной шкалы оценки риска.