Подписаться на рассылку новых сообщений в блоге

Постоянные читатели

среда, 27 июня 2012 г.

Управление рисками

Теория управления рисками  рассматривает риск с позиции негативных отклонений фактических результатов деятельности от запланированных, также и со стороны возможных негативных последствий. В том случае, если инцидент приводит к негативным последствиям, управление рисками направлено на гарантированное уменьшение нежелательного последствия. Если же рисковое событие приводит к позитивным последствиям, инструментарий управления рисками позволяет управлять потенциальной выгодой, возникающей в результате рисковой ситуации.
В большинстве своем, дается такое определение риску:  «Риск это сочетание вероятности события и его последствий». NIST SP 800-30, дает нам следующую формулу определения риска Риск=R(P(T,V),I)
Где, (R) – функция вероятности (P) реализации отдельным источником угрозы (T) отдельной потенциальной уязвимости (V) и результирующего влияния (I) этого враждебного события на организацию или индивида. Система управления рисками (Рис. 10) направлена на достижение сбалансированности между увеличением прибыли и сокращением убытков.
Данная система должна являться неотъемлемой частью всей системы взаимодействия бизнеса и информационной безопасности. Систему управления рисками стоит рассматривать как отдельный бизнес процесс, который входит  домен Экономики и служит для достижения определенных финансовых показателей.
Рис. 1 – Система управления рисками

Определение контекста риска.
Определение контекста риска является подготовительным этапам, который в большинстве своём является ознакомительным по отношению к объекту исследования. На этом этапе происходит знакомство с первыми лицами, с целями и задачами компании и способами их реализации. Осуществляется анализ элементов системы и их взаимосвязей, утверждается программа оценки риска, критерии рисков, а также ставятся цели оценки рисков. На этом этапе происходит знакомство с исполнительной документацией по защите информации, проверяется выполнение процедур по защите информации.
Оценка риска.
Оценка риска  – это процесс, который  включает в себя:
a.        Идентификацию рисков;
b.       Анализ рисков;
c.        Оценку рисков.
Оценку риска можно проводить на всех уровнях информационного взаимодействия. Хорошая оценка риска должна производиться внутренними объектами, участвующими в деятельности, субъектами, и внешними объектами.  Оценка риска, дает представление о причинах возникновения, среде возникновения риска, а также позволяет принимать решения касающихся:
1.       Необходимости обработки рисков;
2.       Выбора приоритетных вариантов при обработке рисков;
3.       Выбора пути, при котором достигается приемлемые  финансовые затраты.
Оценка риска должна проводиться объективно с учётом всех факторов влияющих на систему. Оценка риска должна отображать действительное положение вещей.
Идентификация риска.
При идентификации риска основными задачи процесса являются:
·     Выявление риска;
·     Исследование риска;
·     Описание риска
Процесс идентификации риска должен выявлять причины и источники рисков, а также обнаруживать зависимость от внешних факторов, которые могут воздействовать на риск и изменять его. Для полноты и точности определения рисков могут использоваться различные методики, основанные на анализе данных опросных листов, индуктивных методах исследования, применение «мозговых атак».  Анализ сильных и слабых сторон методик можно найти в белорусском стандарте СТБ ISO/IEC 31010 «Менеджмент риска. Методики оценки риска». Каждая организация для самой себя определяет методики, лучше будет, если это методика будет не одна. Объектом исследования может быть отдельный человек, так и группа людей представляющий интерес для экспертов. Важно учитывать все риски, даже те, которые не попадают под контроль субъекта.
Каждая компания обладает некоторыми активами. На этапе идентификации риска необходимо идентифицировать активы с достаточным уровнем детализации. Когда активы будут идентифицированы, этим активам необходимо присвоить класс ценности для субъекта, это позволит провести классификацию активов по их значимости для субъекта.   В качестве примера можно использовать РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности.
Так как в большинстве своем, угрозы информационной безопасности возникают путем нарушения правил использования программных продуктов или технических средств то основными активами для изучения будут: локально вычислительная сеть, компьютеры, программное обеспечение и базы данных, а также каналы связи.
Далее необходимо определить угрозы. Угрозы достаточно в большом количестве присутствуют в различных справочниках и стандартах. Их можно брать оттуда или составлять свой собственный реестр угроз. На этом этапе необходимо сопоставить угрозы, которые присутствуют в «модели угроз». В случае возникновения коллизий, необходимо принять те угрозы, которые определяются в процессе анализа риска. Так как в этом процессе идет более масштабное рассмотрение зависимостей между всеми элементами системы.
Когда определены угрозы, необходимо найти уязвимости. Для анализа уязвимостей в информационных системах используются программно-технические средства. Уязвимости могут использоваться не только нарушителями, но и сотрудниками компаний, которые по незнанию своему захотят её использовать.
На последнем этапе идентификации риска происходит его количественная или качественная оценка. Хорошей практикой является, когда на первом этапе используется качественная оценка, а на втором этапе количественная.
Анализ рисков
Основной целью этого процесса является достижение такого понимания риска, при котором принятые решения об обработке риска, способствуют минимизации финансовых затрат.  Анализ риска определяет последствия, вероятность возникновения риска и воздействующих факторов, уровень риска.
На мой взгляд, достаточно определить 4 уровня риска:
1.  Высокий риск. Предполагается, что без снижения таких рисков использование информационной системы предприятия может оказать отрицательное влияние на бизнес.
2.       Существенный риск. Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения.
3.       Умеренный риск. В отношении рисков, попавших в эту область, достаточно использовать некоторые основных процедур управления рисками.
4.       Незначительный риск. Усилия по управлению рисками в данном случае не будут играть важной роли.
Не надо забыть о том, что чем больше делать уровней, тем сложней будет происходить процесс анализа риска. Анализ риска обычно включает количественную оценку ряда возможных последствий, которые могут возникать в результате события, ситуации или обстоятельства, и связанных с ними вероятностей для того, чтобы была возможность измерить уровень риска. В последнее время, большое распространение получили табличные методы анализа риска.
Оценка риска.
Оценивание риска включает в себя сравнение  оцененных уровней риска с критериями риска, определенными при установлении контекста, с целью определения значительности уровня риска и его типа. При оценивании рисков рекомендуется рассматривать следующие аспекты:
·         шкалы и критерии, по которым можно измерять риски;
·         оценку вероятностей событий;
·         технологии измерения рисков.
Процесс оценки риска должен быть качественно задокументирован, риски должны быть выражены в простых для понимания терминах. Документация должна включать:
цели и область применения;
описание соответствующих частей системы и её функций;
ситуацией, системой или обстоятельствами;
 применяемые критерии риска и их обоснование;
методологию оценки;
 результаты идентификации риска;
результаты анализа риска и их оценивание;
обсуждение результатов;
заключения и рекомендации.
Реализация рискового решения
При реализации риска, необходимо правильно сформировать контрмеры для достижения приемлемого уровня риска. Контрмеры можно взять из серии 27000. Там достаточно полно представлен процесс построения системы защиты информации, однако иногда требуются и дополнительные меры, не описанные в стандарте. К таким мерам, относится защита от утечки по вибро-акустическим каналам, каналам ПЭМИН и т.д. Изучение риска это последний шаг к проектированию системы защиты. При проектировании системы следует учитывать статьи бюджета на информационно безопасность, квалификацию сотрудников. В проекте должны быть указаны сроки тестирования каждого элемента защиты. Следует проверить, что средство защиты, обеспечивает достаточный уровень защиты, не открывает дополнительный канал утечки информации, но и то, что средство защиты не увеличивает риск неправильного функционирования информационный системы из-за конфликта с другими средствами защиты. Использование двух МЭ или двух антивирусов, является показательным примером таких коллизий.
Мониторинг и анализ
Процесс управления рисками, процесс не линейный. Все этапы связаны между собой, и нет ничего странно, если будет происходить цикличность этапов. Необходимо установить метрики, при достижении которых будет осуществляться принятие решения идти дальше или вернуться на предыдущий этап.
Мониторинг и анализ риска служит для слежения за любыми факторами, которые могут измениться со временем и привести к изменению оценки риска. Такие факторы должны быть заранее определены и зафиксированы с тем, чтобы своевременно можно было усовершенствовать процесс оценки риска. Другими словами этот процесс отвечает за постоянное улучшение качества управления риском. Мониторинг и пересмотр должны уделять внимание:
·         правовому контексту и контексту окружающей среды; контексту конкуренции;
·         критериям оценивания риска; ценности и категориям активов;
·         пороговым значениям рассмотрения элементов риска;
·         пороговым значениям решений об обработке риска;
·         значениям стоимости средств контроля.
Взаимодействие и консультирование
На каждом этапе процесса управления риском необходимо постоянно проводить совещания и консультации по схеме: внутренний объект-субъект-внешний объект.  Для этого должны быть разработаны планы коммуникаций, роли лиц участвующих во взаимодействии. Должны быть разработаны схемы, определяющие когда, и что должно произойти чтобы, инициировать изменения.
Страхование рисков.
Планируя программу обеспечения информационной безопасности, работник службы информационной безопасности должен консультироваться со страховым отделом и, если это возможно, со страховой компанией по выбору активов для страхования и определения условий их страхования. В результате, это должно привести к более эффективной программе обеспечения информационной безопасности и к более эффективному использованию страховых премий.
Страховые компании могут потребовать, чтобы до того, как страховое   требование было удовлетворено, были осуществлены определенные меры управления, называемые условиями до наступления ответственности или предшествующими условиями. Условия до наступления ответственности часто имеют дело с мерами управления информационной безопасности. Поскольку эти меры управления должны присутствовать в страховых документах, они должны быть включены в программу обеспечения информационной безопасности организации. Может также требоваться гарантирование некоторых мер управления, т. е. необходимо показать, что они постоянно присутствовали с момента принятия политики. Страховая компенсация прерываний бизнеса и в особенности ошибок и упущений должно быть включено в планирование обеспечения информационной безопасности. Страховые компании готовы компенсировать ущерб, нанесенный следующими событиями:
пожаром, ударом молнии, взрывом, падением пилотируемого летательного аппарата или его отдельных частей, а также повреж­дением застрахованного оборудования, вызванным воздействием гасящих средств при тушении пожара;
коротким замыканием, перенапряжением, повреждением изоля­ции, индукцией, магнетизмом, имплозией и т.п.;
непреднамеренными ошибками, неосторожностью Стра­хователя (Выгодоприобретателя) при эксплуатации или обслуживании застрахованного оборудо­вания без нарушения действующих правил эксплуатации;
землетрясением,  извержением вулкана, тайфуном, ураганом, бурей, циклоном при   условии установления предельного размера страховой выплаты;
выходом из строя систем кондиционирования воздуха, вклю­чая ущерб, причиненный самой системе, при условии, что она застрахо­вана на тех же условиях, что и электронные системы, поддерживается в рабочем состоянии и оборудована приборами измерения температуры и влажности;
внезапным прекращением подачи электроэнергии из общест­венных сетей энергоснабжения;
использованием застрахованного оборудования для проведения экспериментальных или исследовательских работ;
Удачной должна получиться программа по страхованию рисков информационной компаний «Росно» и Group IB, по пока к сожалению в России отсутствует страхование рисков информационной безопасности, а присутствует компенсация ущерба. 

Комментариев нет:

Отправить комментарий