- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Предотвращение риска
Предотвращение риска (risk avoidance) - решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее [18].
Если идентифицированные риски считаются слишком высокими или расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем отказа от планируемой или существующей деятельности, или их совокупности, или изменения условий, при которых осуществляется деятельность.
Например, избежание риска может быть достигнуто путем:
отказа от определенных бизнес-активностей (например, неиспользования возможностей, предоставляемых электронной коммерцией, или неиспользования Интернет для осуществления некоторых операций);
перемещения ресурсов из зоны риска (например, отказ от хранения конфиденциальных файлов в Интренет-сети организации или перемещение ресурсов из зон, недостаточно защищенных физически);
принятия решения о том, чтобы не обрабатывать конкретную конфиденциальную информацию, например, совместно с третьей стороной в случае, если адекватный уровень защиты не может быть гарантирован.
Перенос риска
Перенос риска (risk transfer) – разделение с другой стороной бремени потерь или выгод от риска [18].
Примечание: в контексте рисков ИБ применительно к переносу риска рассматриваются только негативные последствия (потери).
Риск должен быть перенесен на сторону, которая может наиболее эффективно осуществлять менеджмент конкретного риска, в зависимости от оценки риска.
Перенос риска включает в себя решение разделить определенные риски с внешними сторонами. Перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски. Поэтому может быть необходима дополнительная обработка риска.
Перенос может быть осуществлен путем страхования, которое будет поддерживать последствия, или путем заключения договора субподряда с партнером, чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении незамедлительных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.
Следует заметить, что может быть возможным перенести ответственность за менеджмент риска, но, как правило, невозможно перенести ответственность за ущерб.
Форма представления руководству организации информации для принятия решения по рискам определяется стандартным алгоритмом делового общения и может включать в себя следующие основные пункты:
Сообщение о проблеме: в чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
Степень серьезности проблемы: чем это грозит организации, ее сотрудникам, руководству, акционерам?
Предлагаемое решение: что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства? (Используя оценки ROI для обоснования предлагаемого решения).
Альтернативные решения: какие еще способы решения проблемы существуют (альтернативы есть всегда, и у руководства должна быть возможность выбора). Для сравнения альтернативных решений, помимо экономического обоснования (оценок ROI), могут также использоваться соображения о времени реализации решения, учитываться морально-этические аспекты и любые другие факторы, которые целесообразно принимать во внимание.
Каков остаточный риск? Не превышает ли он приемлемого уровня? Если уровень остаточного риска не устраивает руководство, то потребуется дополнительная обработка риска.
После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.
Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков» (табл. 1.14). Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.
Таблица 14
План обработки рисков (фрагмент)
№ |
Угрозы |
Уязвимости |
Максимальный уровень риска |
Меры по обработке риска |
Остаточный уровень риска |
Дата |
Комментарии, ресурсы, ответственные |
Обработка рисков офисной сети Физические риски |
|||||||
1 |
Кража компьютерного оборудования и носителей информации инсайдерами
Физический НСД в помещении организации, а кабинеты и серверные комнаты, к оборудованию, бумажным документам, запоминающим устройствам, носителям информации и т. п. |
Не производится регистрация оборудования и информационных носителей, выносимых за пределы территории организации.
Отсутствуют правила работы в зонах безопасности.
При приеме на работу не производится проверка истории кандидатов |
5 |
Разработать систему мер, ограничивающих неконтролируемое использование внешних носителей и мобильных устройств вне офиса.
Реализовать меры по проверке кредитной истории кандидатов для критичных должностей.
Разработать правила работы в зонах безопасности. |
4 |
|
|
Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнес-процессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.
Разработка и реализация плана обработки рисков включает в себя следующие меры:
определение последовательности мероприятий по реализации принятых решений по обработке рисков;
детализацию и приоритетизацию мероприятий по обработке рисков;
распределение ответственности между исполнителями;
выделение необходимых ресурсов;
определение вех и контрольных точек;
определение критериев достижения целей;
мониторинг продвижения.