Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.
Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.
2.1. Идентификация рисков
Целью
Для идентификация рисков необходимо идентифицировать следующие объекты:
– активы;
– угрозы;
– средства защиты;
– уязвимости;
– последствия.
2.1.1. Идентификация активов
Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.
Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.
Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Можно выделить два вида активов:
– первичные активы: бизнес-процессы и информация;
– активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.
Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.
Они включают в себя:
– нарушение законодательства и/или предписаний;
– ухудшение функционирования бизнеса;
– потеря «неосязаемого капитала»/негативное влияние на репутацию;
– нарушения, связанные с личной информацией;
– создание угрозы личной безопасности;
– неблагоприятное влияние на обеспечение правопорядка;
– нарушение конфиденциальности;
– нарушение общественного порядка;
– финансовые потери;
– нарушение бизнес-деятельности;
– создание угрозы для безопасности окружающей среды.
Другим подходом к оценке последствий может быть:
– прерывание сервиса;
– потеря репутации и доверия клиента;
– нарушение внутреннего функционирования;
– нарушение функционирования третьей стороны;
– нарушение законов/предписаний;
– нарушение договора;
– опасность для персонала / безопасность пользователей;
– вторжение в частную жизнь
пользователей;– финансовые потери;
– финансовые потери, связанные с непредвиденными случаями или ремонтом:
– потеря товаров / денежных средств / активов;
– потеря клиентов, поставщиков;
– судебные дела и штрафы;
– потеря конкурентного преимущества;
– потеря технологического/технического лидерства;
– потеря эффективности/надёжности;
– потеря технической репутации;
– снижение способности к заключению соглашений;
– промышленный кризис (забастовки);
– правительственный кризис;
– материальный ущерб.
После установления критериев ценности активов организация должна согласовать шкалу, которая будет использоваться в масштабах организации. Первым шагом является принятие решения о числе используемых уровней. Обычно может использоваться любое число уровней от 3 (например, низкий, средний и высокий) до 10 в соответствии с подходом, используемым организацией для всего процесса оценки риска.
Организация может определить собственные границы для ценности активов, такие как «низкая», «средняя» или «высокая». Эти границы должны оцениваться в соответствии с выбранными критериями (например, для возможных финансовых потерь они должны быть даны в денежном выражении, но при рассмотрении угрозы личной безопасности, определить денежную ценность может быть затруднительно).
Выходные данные: Перечень активов, подлежащий управлению рисками, и перечень бизнес-процессов, связанных с активами, и их ценность.
2.1.2. Идентификация угроз
Входные данные: Информация об угрозах, полученная от владельцев активов, пользователей, в результате анализа инцидента, а также из других источников, включая реестры известных угроз.
Действие: Угрозы и их источники должны быть идентифицированы.
Руководство по реализации: Угроза обладает потенциалом причинения вреда активам. Должны быть идентифицированы и случайные, и умышленные источники угроз. Угроза может проистекать как из самой организации, так и вне её пределов. Угрозы должны идентифицироваться в общем и по виду (например, неавторизованные действия, физический ущерб, технические сбои).
Некоторые угрозы могут влиять более, чем на один актив. В таких случаях они могут являться причиной различных влияний, в зависимости от того, на какие активы оказывается воздействие
Используя реестры угроз или результаты прежних оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются бизнес-среда или информационные системы.
Выходные данные: Перечень угроз с идентификацией вида и источника. Например, угрозы могут быть преднамеренными, случайными и экологическими. Особое внимание должно быть обращено на человеческие источники угроз.
2.1.3. Идентификация средств защиты