- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1. Менеджмент риска информационной безопасности
1.1. Основные термины и определения
В настоящее время имеется большое количество учебно-методической и научной литературы, посвященной вопросам информационной безопасности, риск-анализа, управления рисками, в том числе, информационными [3, 4, 6, 9, 23, 26-28, 39-41, 43, 46, 48-61, 63-67, 72, 75-77]. В них приводятся термины и определения, которые, могут отличаться друг от друга, в зависимости от первоисточника – нормативно-правовые документы (федеральные законы, указы Президента РФ, постановления Правительства РФ, межведомственные и ведомственные руководящие документы и стандарты) [11-22, 24, 45, 47, 70], словари [69], личная формулировка автора.
Для однозначности трактовки будем использовать терминологию, обозначенную в российских государственных стандартах, посвященных вопросам информационной безопасности и менеджменту рисков, при этом, приоритет отдадим ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» [13], который был введен в действие 01.12.2013 г.
Далее приводятся основные термины и определения, прописанные в вышеуказанном стандарте и имеющие непосредственное отношение в управлению информационными рисками.
Актив (asset): что-либо, что имеет ценность для организации.
Примечание. Имеются различные типы активов:
информация;
программное обеспечение;
материальные активы, например, компьютер;
услуги;
люди и их квалификация, навыки и опыт;
нематериальные активы, такие как репутация и имидж.
Информационный актив (information asset): знания или данные, которые имеют значение для организации.
Контроль доступа (access control): обеспечение того, чтобы доступ к активам был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.
Атака (attack): попытка уничтожения, открытия доступа, внесения изменения, вывода из строя, кражи, получения несанкционированного доступа или несанкционированного использования актива.
Воздействие (impact): неблагоприятное изменение уровня достигнутых бизнес-целей.
Риск (risk): сочетание вероятности события и его последствий.
Событие (event): Возникновение специфического набора обстоятельств.
Событие в системе информационной безопасности (information security event): выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение информационной безопасности, политики, нарушение или отказ средств управления или прежде неизвестная ситуация, которая может иметь значение для безопасности.
Инцидент информационной безопасности (information security incident): одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс подвергнуть риску деловые операции и поставить под угрозу информационную безопасность.
Менеджмент инцидента информационной безопасности (information security incident management): процессы обнаружения, информирования, оценки, реагирования, рассмотрения и изучения инцидентов информационной безопасности.
Система менеджмента информационной безопасности (СМИБ) (information security management system (ISMS): часть общей системы менеджмента, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности.
Угроза (threat): возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации.
Уязвимость (vulnerability): слабость актива или средства управления, которой может воспользоваться угроза.
Риск информационной безопасности (information security risk): потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации.
Средства управления (control): средства управления риском, включая политики, процедуры, рекомендации, практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер.
Примечание. Термин «средство управления» также используется как синоним термина «мера безопасности» или «контрмера».
Политика (policy): общее намерение и направление, официально выраженное руководством.
Процедура (procedure): установленный способ действия или процесса.
Рекомендация (guideline): рекомендация, поясняющая действия и способы их выполнения, необходимые для достижения установленных целей.
Цель управления (control objective): формулировка, описывающая, что должно быть достигнуто в результате применения средств управления.
Анализ риска (risk analysis): систематическое использование информации для выявления источников и оценки риска.
Примечание. Анализ риска обеспечивает базу для оценивания риска, обработки риска и принятия риска.
Оценивание риска (risk evaluation): процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска.
Количественная оценка риска (risk estimation): процесс присвоения значений вероятности и последствий риска.
Критерии риска (risk criteria): правила, по которым оценивают значимость риска.
Обработка риска (risk treatment): процесс выбора и осуществления мер по модификации риска.
Принятие риска (risk acceptance): решение принять риск.
Оценка риска (risk assessment): общий процесс анализа риска и оценивания риска.
Коммуникация риска (risk communication): обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.
Менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска, коммуникацию риска, мониторинг и обзор риска.
Эффективность (effectiveness): степень реализации запланированной деятельности и достижения запланированных результатов.
Результативность (efficiency): связь между достигнутым результатом и использованными ресурсами.