осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.
Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:
1. Установление контекста (сферы применения)
Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.
Действие: Для установления контекста организации необходимо определить:
— основные критерии управления рисками;
— сферы действия и границы;
— организационную структуру управления рисками.
Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:
— поддержка СУИБ;
— правовое соответствие и свидетельство должного внимания;
— подготовка плана обеспечения непрерывности бизнеса;
— подготовка плана реагирования на инциденты;
— описание требований ИБ для продукта, услуги или механизма.
Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.
1.1. Основные критерии
Должны быть разработаны следующие критерии управления рисками ИБ:
— оценки риска;
— воздействия риска;
— принятия риска.
Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:
— выполнения оценки риска и установления плана обработки риска;
— определения и осуществления политики и процедуры, включая реализацию управления рисками;
— контроля мониторинга;
— мониторинга процесса управления рисками.
Критерии оценки риска
При разработке критериев оценки рисков необходимо учитывать следующее:
— стратегическая ценность обработки бизнес-информации;
— критичность затрагиваемых информационных активов;
— нормативно-правовые требования и договорные обязательства;
— важность для бизнеса доступности, конфиденциальности и целостности информации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.
Критерии воздействия
Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:
— уровень классификации информационного актива, на который оказывается влияние;
— нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);
— ухудшение бизнес-операции;
— потеря ценности бизнеса и финансовой ценности;
— нарушение планов и конечных сроков;
— ущерб для репутации;
— нарушение нормативно-правовых или договорных требований.
Критерии принятия риска
Организация должна определять собственную шкалу уровней принятия риска.
При разработке критериев принятия риска следует учитывать, что они могут:
— включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;
— выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;
— включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.
Критерии принятия риска должны устанавливаться с учётом:
— критериев бизнеса;
— правовых и регулирующих аспектов;
— операций;
— технологий;
— финансов;
— социальных и гуманитарных факторов.
1.2. Область применения и границы
Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.
При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
— стратегические цели бизнеса организации, стратегии и политики;
— процессы бизнеса;
— функции и структура организации;
— нормативно-правовые и договорные требования;
— политика ИБ;
— общий подход к управлению рисками;
— информационные активы;
— местоположение организации и географические характеристики;
— ограничения, влияющие на организацию;
— социальная и культурная среда.
Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ— инфраструктура, бизнес-процесс или определённая часть организации.
1.3. Организационная структура
Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.
Главными ролями и обязанностями в такой структуре являются:
— разработка процесса управления рисками ИБ в организации;
— идентификация и анализ заинтересованных сторон;
— определение ролей и обязанностей всех сторон, как внутренних, так и внешних;
— установление требуемых взаимосвязей между заинтересованными сторонами;
— определение путей принятия решений;
— определение документов, которые необходимо вести.
Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.
Действие: Оценку риска обеспечивают следующие меры:
— идентификация рисков;
— измерение рисков;
— оценивание рисков.
Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.
Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.
Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.
Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.
2.1. Идентификация рисков
Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.
Для идентификация рисков необходимо идентифицировать следующие объекты:
— активы;
— угрозы;
— средства защиты;
— уязвимости;
— последствия.
2.1.1. Идентификация активов
Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.
Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.
Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Можно выделить два вида активов:
— первичные активы: бизнес-процессы и информация;
— активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.
Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.
Они включают в себя:
— нарушение законодательства и/или предписаний;
— ухудшение функционирования бизнеса;
— потеря «неосязаемого капитала»/негативное влияние на репутацию;
— нарушения, связанные с личной информацией;
— создание угрозы личной безопасности;
— неблагоприятное влияние на обеспечение правопорядка;
— нарушение конфиденциальности;
— нарушение общественного порядка;
— финансовые потери;
— нарушение бизнес-деятельности;
— создание угрозы для безопасности окружающей среды.
Другим подходом к оценке последствий может быть:
— прерывание сервиса;
— потеря репутации и доверия клиента;
— нарушение внутреннего функционирования;
— нарушение функционирования третьей стороны;
— нарушение законов/предписаний;
— нарушение договора;
— опасность для персонала / безопасность пользователей;
— вторжение в частную жизнь пользователей;
— финансовые потери;
— финансовые потери, связанные с непредвиденными случаями или ремонтом:
— потеря товаров / денежных средств / активов;
— потеря клиентов, поставщиков;
— судебные дела и штрафы;
— потеря конкурентного преимущества;
— потеря технологического/технического лидерства;
— потеря эффективности/надёжности;
— потеря технической репутации;
— снижение способности к