Управление рисками

Опубликовано в Управление рисками

Управление рисками. Известно, что риск – это вероятность реализации угрозы информационной безопасности. Анализ риска заключается в моделировании картины наступления неблагоприятных условий посредством учета всех возможных факторов, определяющих риск.

ПРИМЕЧАНИЕ
Более подробно про управление рисками можно узнать на страницах специального руководства NIST «Risk Management Guide for Information Technology Systems».

С математической точки зрения, при анализе рисков такие факторы можно считать входными параметрами. Перечислю эти параметры.

Управление рисками? Активы – ключевые компоненты инфраструктуры системы, вовлеченные в бизнес-процесс и имеющие определенную ценность.
? Угроза, реализация которой возможна посредством эксплуатации уязвимости.
? Уязвимости – слабость в средствах защиты, вызванная ошибками или несовершенством в процедурах, проекте, реализации, которая может быть использована для проникновения в систему.
? Ущерб, который оценивается с учетом затрат на восстановление системы возможного инцидента ИБ. Оценка ущерба включает в себя не только калькуляцию прямых убытков вследствие реализации угроз. Удобнее говорить о степени нанесенного ущерба в диапазоне от незначительного до высокого.

Итак, первым этапом при проведении многофакторного анализа рисков являются идентификация и классификация анализируемых входных параметров.

Далее необходимо провести градацию каждого параметра по уровням значимости (например, высокий, средний, низкий). На заключительном этапе моделирования вероятного риска (предшествующем получению численных данных уровня риска) происходит привязка выявленных угроз и уязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка может подразумевать, к примеру, анализ риска с учетом и без учета наличия средств защиты системы, вероятности того, что система будет скомпрометирована ввиду неучтенных факторов, и т. д.).

Рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим свое внимание на активы компании.

0