- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.3.1. Установление контекста
Установление контекста включает определение основных критериев, необходимых для менеджмента риска ИБ, определение области применения и границ, а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ.
Основные критерии представляют собой правила, по которым оценивается значимость риска. Выделяют критерии оценки риска, критерии влияния, критерии принятия риска.
Критериями оценки рисков информационной безопасности обычно являются финансовые и иные последствия, связанные с событиями нарушения ИБ. Данные критериями разрабатываются для того, чтобы оценить риски информационной безопасности с учетом:
стратегической ценности обработки бизнес-информации;
критичности затронутых информационных активов;
законодательно-нормативных требований и договорных обязательств;
оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.
Критерии влияния разрабатываются и определяются исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с ИБ, с учетом:
уровня классификации информационного актива, на который оказывается влияние;
нарушения ИБ (например, утрата конфиденциальности, целостности и доступности);
нарушения оперативной деятельности (как собственной, так и третьих сторон);
потери ценности бизнеса и финансовой ценности;
нарушения планов и конечных сроков;
ущерба для репутации;
нарушения законодательных, нормативных или договорных требований.
Критерии принятия риска зависят от политик, намерений, целей организации и интересов причастных сторон.
Организация должна определять собственные шкалы для уровней принятия риска, при этом необходимо учитывать следующее:
критерии принятия риска могут включать ряд пороговых значений, когда указывается желаемый целевой уровень риска, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, находящиеся выше этого уровня;
критерии принятия риска могут выражаться как соотношение количественно оцененной прибыли (или иной выгоды бизнеса) к количественно оцененному риску;
различные критерии принятия риска могут применяться к различным классам риска, например, могут не приниматься риски, связанные с неисполнением законодательно-нормативных требований, в то время как принятие рисков высокого уровня может быть допустимо, если это определено договорным обязательством;
критерии принятия риска могут включать требования о проведении в будущем дополнительной обработки риска, например, риск может быть принят, если принято решение и взяты обязательства предпринять меры по его снижению до приемлемого уровня в течение определенного периода времени.
Область применения процесса менеджмента ИБ необходимо определять для того, чтобы все значимые активы принимались в расчет при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.
Должна быть собрана информация об организации для определения параметров среды, в которой функционирует организация, и их влияния на процесс менеджмента риска ИБ.
При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
стратегические цели бизнеса организации, стратегии и политики;
бизнес-процессы;
функции и структура организации;
правовые, нормативные и договорные требования, применимые к организации;
политика ИБ организации;
общий подход организации к менеджменту риска;
информационные активы;
местоположение организации, ее подразделений и филиалов, а также их географические характеристики;
ограничения, влияющие на организацию;
ожидания причастных сторон;
социокультурная среда;
интерфейсы (т.е. обмен информацией с внешней средой).
Примерами области применения менеджмента риска могут быть ИТ-приложение, ИТ-инфраструктура, бизнес-процесс или определенная часть организации.
Организационная структура менеджмента риска информационной безопасности
Для процесса менеджмента риска ИБ необходимо устанавливать и поддерживать организационную структуру и распределение обязанностей. В организационной структуре выделяют следующие основные роли и области ответственности:
разработка процесса менеджмента риска ИБ, подходящего для данной организации;
выявление и изучение причастных сторон;
определение ролей и обязанностей всех сторон, как внутренних, так и внешних по отношению к организации;
установление требуемых взаимосвязей между организацией и причастными сторонами, а также взаимодействия с высокоуровневыми функциями менеджмента риска организации (например, менеджмента операционного риска), а также взаимодействия с другими значимыми проектами и видами деятельности;
определение путей передачи принятия решений на более высокий уровень и/или другим специалистам;
определение подлежащих ведению документов.
Эта организационная структура должна одобряться соответствующим руководством организации.
Более подробную информацию об определении области применения и границ процесса менеджмента риска информационной безопасности можно найти в приложении А ГОСТ Р ИСО/МЭК 27005-2010 [18].