Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– общий подход к управлению рисками;

– информационные активы;

– местоположение организации и географические характеристики;

– ограничения, влияющие на организацию;

– социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ– инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются:

– разработка процесса управления рисками ИБ в организации;

– идентификация и анализ заинтересованных сторон;

– определение ролей и обязанностей всех сторон, как внутренних, так и внешних;

– установление требуемых взаимосвязей между заинтересованными сторонами;

– определение путей принятия решений;

– определение документов, которые необходимо вести.

Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.

Действие: Оценку риска обеспечивают следующие меры:

– идентификация рисков;

– измерение рисков;

– оценивание рисков.

Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.

Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.

Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.

Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.

2.1. Идентификация рисков

Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.

Для идентификация рисков необходимо идентифицировать следующие объекты:

– активы;

– угрозы;

– средства защиты;

– уязвимости;

– последствия.

2.1.1. Идентификация активов

Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.

Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.

Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.

Можно выделить два вида активов:

– первичные активы: бизнес-процессы и информация;

– активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.

Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.

Они включают в себя:

– нарушение законодательства и/или предписаний;

– ухудшение функционирования бизнеса;

– потеря «неосязаемого капитала»/негативное влияние на репутацию;

– нарушения, связанные с личной информацией;

– создание угрозы личной безопасности;

– неблагоприятное влияние на обеспечение правопорядка;

– нарушение конфиденциальности;

– нарушение общественного порядка;

– финансовые потери;

– нарушение бизнес-деятельности;

– создание угрозы для безопасности окружающей среды.

Другим подходом к оценке последствий может быть:

– прерывание сервиса;

– потеря репутации и доверия клиента;

– нарушение внутреннего функционирования;

– нарушение функционирования третьей стороны;

– нарушение законов/предписаний;

– нарушение договора;

– опасность для персонала / безопасность пользователей;

– вторжение в частную жизнь пользователей;

– финансовые потери;

– финансовые потери, связанные с непредвиденными случаями или ремонтом:

– потеря товаров / денежных средств / активов;