воскресенье, 31 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 6

В этой части рассмотрены следующие вопросы:
  • Качественный анализ рисков
  • Техника DELPHI

Обновлено: 28.02.2010
5.7. Качественный анализ рисков


Другим методом анализа рисков является качественный метод, который не присваивает количественные или денежные значения компонентам и потерям, вместо этого он использует различные сценарии вероятности риска, уровней серьезности угроз и обоснованности различных возможных контрмер. Для качественного анализа рисков применяются суждения, лучшие практики, интуиция и опыт. Примерами техник сбора данных для качественного анализа рисков являются: метод Delphi, мозговой штурм, работа с архивными документами, опросы целевых групп, анкетирование, чек-листы, личные встречи, интервью. Группа анализа рисков должна выбрать лучшую технику в зависимости от видов оцениваемых угроз, культуры компании, людей, вовлеченных в процесс анализа.

В группу анализа рисков должны быть включены сотрудники, которые имеют опыт и образование в той области, в которой они будут оценивать угрозы. В процессе оценки угрозы и ущерба каждый член группы высказывает свою оценку, основываясь на своем предчувствии и опыте.

Каждый член группы описывает приблизительный сценарий (не более страницы) для каждой существенной угрозы. Тот "эксперт", кто лучше всех разбирается в данном виде угроз, делает общий сценарий, описывающий процесс реализации угрозы. Затем оцениваются защитные меры, уменьшающие опасность этой угрозы, и описывается сценарий противодействия для каждой защитной меры. Возможное воздействие и возможный ущерб должны быть проранжированы по трех (высокий-средний-низкий), пяти или десятибалльной шкале. Уровни вероятности угрозы, потенциальных потерь и преимущества каждой защитной меры объединяются в отчет, который предоставляется руководству для принятия правильного решения. Преимущество данного метода анализа заключается в постоянном взаимодействии между всеми членами группы в процессах ранжирования рисков, определения сильных и слабых сторон защитных мер. Также преимуществом является подготовка окончательного отчета именно тем членом группы, который наиболее компетентен в соответствующей области.

Рассмотрим простой пример качественного анализа рисков. Группа анализа рисков написала одностраничный сценарий, описывающий угрозу получения хакером доступа к конфиденциальной информации, хранящейся на файловых серверах компании. Группа распространяет этот сценарий между пятью сотрудниками (ИТ-директор, администратор базы данных, программист, системный инженер и руководители подразделения технической поддержки), которые заполняют лист оценки, ранжируя (от 1 до 5) серьезность угрозы, уровень потенциального ущерба, эффективность каждой защитной меры. Результаты показаны в Таблице 1-5. Затем на основе этих результатов один из членов группы готовит отчет для руководства, в котором указывает, что из проанализированных трех вариантов защиты (межсетевой экран, система IDS и honeypot (приманка)), наиболее эффективной является защита с помощью межсетевого экрана.

Таблица 1-5 Пример качественного анализа рисков

Анализируя отчет по анализу рисков, руководство видит оценки серьезности угроз, вероятности их реализации, а также уровень потенциальных потерь от каждой угрозы. На основе этой информации руководство может выбрать наиболее критичные для компании риски, которые должны быть учтены в первую очередь. 

Техника Delphi – это метод группового принятия решений, обеспечивающий получение от каждого члена его истинного мнения, не подверженного влиянию мнения других. Каждый член группы указывает свое мнение на листке бумаги, после чего все члены группы показывают свои листки для выполнения окончательного анализа. Результаты объединяются и распространяются между членами группы, которые пишут свои комментарии и возвращают их. Комментарии объединяются и снова распространяются до тех пор, пока не будет достигнут консенсус. Этот метод позволяет получить согласованное общее мнение по стоимости, уровню потерь, вероятности события без устного обсуждения. С использованием данной техники возможно проведение анонимных опросов.


3 комментария:

eagle комментирует...

Добавилась матрица рисков

Анонимный комментирует...

Дмитрий, у вас в изображении матрицы рисков закралась ошибка.
В обозначении двух нижних квадратов должно стоять "низкий уровень воздействия" (как в пояснениях к этим квадратам)

от Альберта (Рязань)

eagle комментирует...

Альберт, спасибо за наблюдательность! :) Исправил.