- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.3.2. Оценка риска нарушения информационной безопасности
Риски должны быть идентифицированы, количественно или качественно охарактеризованы, для них должны быть назначены приоритеты в соответствии с критериями оценки риска и целями организации.
Процесс оценки риска состоит из:
анализа риска, включающего идентификацию риска и установление значения риска;
оценивания риска.
В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.
Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода.
1.3.2.1. Анализ риска
1.3.2.1.1. Идентификация риска
Идентификация риска (risk identification) – процесс нахождения, составления перечня и описания элементов риска [18].
Цель идентификации риска - определить, что могло бы произойти при нанесении возможного ущерба, и получить представление о том, как, где и почему мог иметь место этот ущерб.
Этапы идентификации риска.
Определение (идентификация) активов
Определение угроз
Определение существующих мер и средств контроля и управления
Выявление уязвимостей
Определение последствий
1. Определение (идентификация) активов
Активом является что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите. При определении активов следует иметь в виду, что информационная система состоит не только из аппаратных и программных средств. Должны быть определены активы, входящие в установленную сферу действия.
Идентификация активов включает в себя [3]:
формирование модели бизнес-процессов;
инвентаризацию активов;
формирование реестра активов;
определение взаимосвязей между реестрами активов;
построение модели активов;
определение владельцев активов и их обязанностей;
делегирование обязанностей по обеспечению безопасности активов;
классификацию и категорирование активов;
определение правил допустимого использования активов.
Идентификацию активов необходимо начинать сверху вниз, то есть с идентификации и описания бизнес-процессов. Бизнес-процессы сами по себе рассматриваются в качестве основных активов организации, которые представляют собой комбинацию разнородных активов, таких как информация, технические и программные средства, кадровые ресурсы, юридические и контрактные обязательства и т.п. Все эти активы представляют ценность для организации только в контексте ее бизнес-процессов, в рамках которых они используются для достижения целей бизнеса. Поэтому, прежде чем начинать заниматься активами, необходимо разобраться с целями организации и процессами, реализуемыми для достижения этих целей.
Бизнес-процессы идентифицируются в ходе интервьюирования сотрудников организации, результаты фиксируются в таблице (табл. 1.2).
Определение активов следует проводить с соответствующей степенью детализации, обеспечивающей информацию, достаточную для оценки риска.
Степень детализации, используемая при определении активов, влияет на общий объем информации, собранной во время оценки риска. Эта информация может быть более детализирована при последующих итерациях оценки риска.
Таблица 1.2
Описание бизнес-процессов и классификация информационных ресурсов
Название (информацион-ного ресурса или группы ресурсов) |
Назначение (краткое описание для чего используется) |
Размещение (помещения, оборудование,носители информации) |
Приложения и сервисы |
Пользователи и владельцы |
Критичность (конфиден-циальность, целостность, доступность) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Для установления учетности и ответственности в отношении каждого актива должен быть определен владелец. Владелец актива может не обладать правами собственности на актив, но он несет ответственность за его получение, разработку, поддержку, использование и безопасность. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Границей анализа является периметр активов организации, управляемый в рамках процесса менеджмента риска ИБ.
Более подробную информацию об определении и установлении ценности активов и оценке влияния можно найти в приложении В ГОСТ Р ИСО/МЭК 27005-2010 [18].
Различается два вида активов:
основные активы, включающие бизнес-процессы, бизнес- деятельность и информацию;
вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации, структуру организации.
Основные активы бывают двух типов.
Бизнес-процессы (или подпроцессы) и бизнес-деятельность, например:
процессы, утрата или ухудшение которых делает невозможным реализацию целей и задач организации;
процессы, содержащие засекреченные процессы или процессы, созданные с использованием патентованной технологии;
процессы, модификация которых может значительно повлиять на реализацию целей и задач организации;
процессы, которые необходимы организации для выполнения договорных, законодательных или нормативных требований.
Информация. В общем основная информация включает в себя:
информацию, необходимую для реализации назначения или бизнеса организации;
информацию личного характера, которая определена особым образом, соответствующим национальным законам о неприкосновенности частной жизни;
стратегическую информацию, необходимую для достижения целей, определяемых направлением стратегии организации;
ценную информацию, сбор, хранение, обработка и передача которой требуют продолжительного времени и/или связаны с большими затратами на ее приобретение.
Конечной целью этапа идентификации активов является формирование реестра информационных активов. В реестре активов вводится определенная классификация активов по своему назначению, месторасположению, принадлежности к бизнес-процессам. Пример реестра информационных активов приведен в табл. 3 [3].
После идентификации активов должны быть определены требования безопасности для этих активов. Идентифицируются:
законодательные и нормативные требования;
контрактные обязательства;
требования бизнеса.
Применимые к организации требования оформляются в виде реестра требований безопасности (табл. 1.4–1.6) [3].
Таблица 1.3
Пример реестра информационных активов компании