Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— общий подход к управлению рисками;

— информационные активы;

— местоположение организации и географические характеристики;

— ограничения, влияющие на организацию;

— социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ— инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются:

— разработка процесса управления рисками ИБ в организации;

— идентификация и анализ заинтересованных сторон;

— определение ролей и обязанностей всех сторон, как внутренних, так и внешних;

— установление требуемых взаимосвязей между заинтересованными сторонами;

— определение путей принятия решений;

— определение документов, которые необходимо вести.

Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.

Действие: Оценку риска обеспечивают следующие меры:

— идентификация рисков;

— измерение рисков;

— оценивание рисков.

Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.

Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.

Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.

Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.

2.1. Идентификация рисков

Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.

Для идентификация рисков необходимо идентифицировать следующие объекты:

— активы;

— угрозы;

— средства защиты;

— уязвимости;

— последствия.

2.1.1. Идентификация активов

Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.

Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.

Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.

Можно выделить два вида активов:

— первичные активы: бизнес-процессы и информация;

— активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.

Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.

Они включают в себя:

— нарушение законодательства и/или предписаний;

— ухудшение функционирования бизнеса;

— потеря «неосязаемого капитала»/негативное влияние на репутацию;

— нарушения, связанные с личной информацией;

— создание угрозы личной безопасности;

— неблагоприятное влияние на обеспечение правопорядка;

— нарушение конфиденциальности;

— нарушение общественного порядка;

— финансовые потери;

— нарушение бизнес-деятельности;

— создание угрозы для безопасности окружающей среды.

Другим подходом к оценке последствий может быть:

— прерывание сервиса;

— потеря репутации и доверия клиента;

— нарушение внутреннего функционирования;

— нарушение функционирования третьей стороны;

— нарушение законов/предписаний;

— нарушение договора;

— опасность для персонала / безопасность пользователей;

— вторжение в частную жизнь пользователей;

— финансовые потери;

— финансовые потери, связанные с непредвиденными случаями или ремонтом:

— потеря товаров / денежных средств / активов;