четверг, 4 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 8

В этой части рассмотрены следующие вопросы:
  • Общий риск и Остаточный риск
  • Обработка риска


Обновлено: 28.02.2010


Общий риск (total risk) - это риск, перед лицом которого стоит компания, не внедрившая никаких защитных мер. Если его уровень не приемлем для компании (вероятный ущерб от реализации риска превышает стоимость защитных мер), она внедряет защитные меры чтобы снизить общий риск до приемлемого уровня. Однако систем или сред, защищенных на 100%, не существует - всегда есть некоторый остаточный риск (residual risk). Необходимо обеспечить, чтобы уровень остаточного риска был приемлем для компании.

Общий риск = угроза х уязвимость х ценность актива

Остаточный риск = (угроза х уязвимость х ценность актива) х недостаток контроля
 
Это никогда не закончится. Необходимо учитывать, что только переоценивая риски на периодической основе можно обеспечить постоянную эффективность защитных мер и поддерживать уровень рисков информационной безопасности на приемлемом уровне. Если риск не изменился и защитные меры внедрены и хорошо работают, значит риски снижены достаточно. Продолжение анализа уязвимостей и выявления нуждающихся в защите активов также является важной задачей управления рисками.

Когда компания рассчитала величину общего и остаточного риска, она должна принять решение о дальнейших действиях. Существует 4 варианта действий, которые можно предпринять в отношении риска: перенести, избежать, уменьшить или принять риск.

Если общий или остаточный риск слишком высок для компании, она может купить страховку, чтобы перенести риск на страховую компанию.

Если компания решает прекратить деятельность, которая вызывает риск, это называется избежанием риска. Например, компания может запретить использование сотрудниками программ передачи мгновенных сообщений (IM – Instant Messenger), вместо того, чтобы бороться с множеством рисков, связанных с этой технологией.

Другим подходом является снижение риска до уровня, считающегося приемлемым для компании. Примером может быть внедрение межсетевого экрана, проведение обучения сотрудников и т.д.

И последний подход заключается в осознанном принятии риска компанией, которая осознает его уровень, размеры потенциального ущерба, и, тем не менее, решает жить с этим риском и не внедрять контрмеры. Для компании целесообразно принять риск, когда анализ затрат / выгоды показывает, что расходы на контрмеры превышают размеры потенциальных потерь.

Ключевым вопросом при принятии риска является понимание того, почему это является наилучшим выходом из конкретной ситуации. К сожалению, в наше время многие ответственные лица в компаниях принимают риски, не понимая в полной мере, что они принимают. Обычно это связано с относительной новизной процессов управления рисками в области безопасности, недостаточным уровнем образования и опытом работы этих людей. Когда руководителям бизнес-подразделений вменяются обязанности по борьбе с рисками в их подразделениях, чаще всего они принимают любые риски, т.к. их реальные цели связаны с производством компанией готовой продукции и выводом ее на рынок, а вовсе не с рисками. Они не хотят увязать в этой глупой, непонятной и раздражающей безопасности...

Принятие риска должно быть основано на нескольких факторах. В частности, нужно ответить на следующие вопросы. Потенциальные потери меньше стоимости контрмер? Сможет ли компания жить с той "болью", которую причинит ей принятие этого риска? Второй вопрос имеет отношения в том числе и к бесплатным решениям. Например, если компания примет этот риск, она должна будет добавить еще три шага в свой производственный процесс. Имеет ли это смысл для нее? В другом случае, принятие риска может привести к возрастанию количества инцидентов безопасности – готовы ли компания справиться с этим?

Человек или группа, принимающая риск, должны понимать потенциальные последствия этого решения. Предположим, было установлено, что компания не нуждается в защите имен клиентов, но она должна защищать другие сведения, такие как номера социального страхования, номера счетов и т.д. При этом ее деятельность останется в рамках действующего законодательства. Но что будет, если ее клиенты узнают что компания не защищает должным образом их имена? Ведь они из-за отсутствия знаний по этому вопросу могут подумать, что это может стать причиной «кражи личности», что приведет к серьезному удару по репутации компании, с которым она может и не справиться. Восприятие клиентов часто не обосновано, и всегда существует вероятность, что они перенесут свой бизнес в другую компанию, и вам нужно считаться с этой потенциальной возможностью.

Рисунок 1-8 показывает, как может быть создана программа управления рисками, которая объединяет все понятия, описанные в настоящем разделе.
Рисунок 1-8. Как может быть создана программа управления рисками

Ссылки по теме:
- Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology
- Carnegie Mellon Software Engineering Institute
- Handbook of Information Security Management, Domain 3, “Risk Management and Business Continuity Planning,” Micki Krause and Harold F. Tipton, editors (CRC Press LLC)
- Security Metrics Guide for Information Technology Systems
- Threat and Risk Assessment Working Guide (Government of Canada, 1999)


1 комментарий:

eagle комментирует...

Существенно дополнен раздел по обработке рисков