- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1) Снижение риска
Снижение риска (risk reduction) – действия, предпри-нятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском [18].
Уровень риска должен быть снижен путем выбора меры и средства контроля и управления так, чтобы остаточный риск мог быть повторно оценен как допустимый.
Должны быть выбраны соответствующие и обоснованные меры и средства контроля и управления, чтобы удовлетворять требованиям, определенным путем оценки и обработки рисков. Такой выбор должен учитывать критерии принятия рисков, а также законодательные, нормативные и договорные требования. При выборе должны также учитываться стоимость и время реализации мер и средств контроля и управления или технические аспекты, аспекты среды и культурные аспекты.
Уменьшить риски можно следующими способами
уменьшением вероятности воздействия угрозы на активы;
ликвидацией имеющихся уязвимостей;
уменьшением вероятности использования уязвимости;
уменьшением возможного ущерба в случае осуществления риска путем обнаружения нежелательных событий, реагирования и восстановления после них.
В целом меры и средства контроля и управления могут обеспечивать один или несколько из перечисленных видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.
При выборе механизмов контроля должно учитываться большое количество других факторов, включая:
простоту внедрения и эксплуатации механизма контроля;
надежность и воспроизводимость механизма контроля (является ли он документированным, исполняется он вручную или запрограммирован);
относительную силу механизмов контроля по сравнению с другими мерами;
типы выполняемых функции (предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг или оповещение).
При формировании рекомендаций и в процессе реализации должны учитываться различные ограничения. Типичными ограничениями являются:
временные ограничения (время реализации может быть неприемлемым, например, превышать жизненный цикл процесса, для которого требуется уменьшить риск);
финансовые ограничения;
законодательные ограничения (ограничения на использование средств шифрования);
технические ограничения;
операционные ограничения (необходимость обеспечения непрерывной доступности системы 24 часа в сутки);
культурные ограничения (досмотр сумок можно ввести в Европе, но это недопустимо в странах Ближнего Востока, а успешность внедрения в значительной степени зависит от поддержки со стороны персонала);
этические ограничения (не во всех организациях уместна перлюстрация почты, а сообщения о подозрительных действиях в ряде случаев млгут трактоваться как доносительство);
ограничения, связанные с окружающей средой;
ограничения, связанные с простотой использования;
кадровые ограничения (доступность специализированного персонала);
ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления.
Более подробную информацию об ограничениях, сопутствующих решениям по снижению риска, можно найти в приложении F ГОСТ Р ИСО/МЭК 27005-2010 [18], а в ГОСТ Р ИСО/МЭК 27002-2012 дается подробная информация по выбору мер и средств контроля и управления [15].
Математическим основам принятия решений при управлении рисками, в частности, при рациональном выборе мер и средств контроля и управления посвящена вторая глава настоящего пособия.