Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Составляющие процесса управления рисками ИБ
|
Рис. 2.3. Основные элементы управления рисками ИБ применительно к понятиям ИБ
Прежде чем приступить к любым действиям, связанным с управлением рисками ИБ, организация должна иметь стратегию проведения такого управления, причем составные части этой стратегии (методы, способы и т. д.) должны быть отражены в ее ПолИБ. Эти методы и критерии выбора вариантов стратегии управления должны отвечать потребностям организации и обеспечивать соответствие выбранного варианта стратегии условиям осуществления бизнес-операций и приложения усилий по ОИБ в тех областях, где это действительно необходимо. Выделим основные задачи управления рисками ИБ, соответствующие стандартной методике организации работ по управлению рисками ИБ: планирование управления рисками ИБ - отражается в политике рисками ИБ и плане обработки рисков ИБ, описывающих общий контекст управления рисками ИБ в организации, подходы к управлению ими, основные действия, которые требуется выполнять для реализации политики и плана, методологии и средства, с помощью которых будет производиться оценка рисков ИБ. Также назначаются ответственные лица, которые будут заниматься управлением рисками ИБ и определяется бюджет на эту деятельность; выявление, идентификация и документирование рисков ИБ, включающие определение тех ситуаций или событий, которые могут вызвать отрицательные последствия для бизнеса организации, на основе лучших практик и собственного опыта; детальная оценка рисков ИБ и их приоритетности с целью выявления их потенциального влияния на бизнес, выражаемого величиной ожидаемого ущерба, и вероятности реализации (с учетом вероятности нахождения в системах неустраненных уязвимостей), а также установка критериев приемлемости рисков ИБ на основе принятой методики; планирование ответных действий для каждого риска ИБ (обработка рисков ИБ), определяющее шаги, необходимые для снижения вероятности реализации каждого риска ИБ и его последствий, и соответствующих резервов (финансовых, людских, временных); мониторинг рисков ИБ, по результатам которого возможно изменение приоритетов и планов обработки ранее выявленных рисков ИБ, а также своевременное выявление новых рисков ИБ, которые проявились в настоящий момент; мониторинг всех работ по управлению рисками ИБ в организации с целью внесения необходимых корректив в этот процесс. Поскольку риски ИБ не во всех организациях рассматриваются как одни из основных, можно условно выделить три подхода к управлению рисками ИБ: для некритичных (вспомогательных для бизнеса) систем организации, когда применяются стандартные требования по ОИБ, определяемые законодательством, стандартами, лучшими практиками, опытом; для критичных систем, когда особое внимание уделяется системам с наибольшими рисками ИБ (для них требуется проведение высокоуровневой оценки рисков ИБ с неформальными качественными подходами); для особо критичных систем, для которых необходима детальная оценка рисков ИБ для всех активов. Составляющие процесса управления рисками ИБ Процесс управления рисками ИБ можно определить как систематическое применение политик, процедур и практик управления рисками ИБ к задачам коммуникации, установления контекста, идентификации, анализа, оценивания, обработки, мониторинга и пересмотра (переоценки) риска ИБ.
Как видно из рисунка, анализ рисков ИБ складывается из идентификации и количественной оценки рисков ИБ, а оценка рисков ИБ объединяет анализ и оценивание рисков ИБ. В первую очередь устанавливается контекст управления рисками ИБ. Далее проводится оценка рисков ИБ. Если на выходе получается обоснованная информация для определения действий, требуемых для модификации рисков до приемлемого уровня, тогда задача выполнена, и наступает этап обработки рисков. Если полученной информации недостаточно, тогда проводится следующая итерация оценки рисков при пересмотренном контексте - например, критериях оценки или принятия рисков, критериях оценки последствий, но, возможно, только для части области действия рисков ИБ. На рис. 2.4 это соответствует точке 1 принятия решения по рискам. Эффективность обработки рисков ИБ существенно зависит от оценки рисков. Возможно, что обработка рисков ИБ не сразу даст результат в виде приемлемого уровня остаточного риска ИБ. В этой ситуации, возможно, потребуется следующая итерация оценки рисков ИБ с пересмотренными параметрами контекста - например, критериями оценки или принятия рисков, критериями оценки последствий. После этого опять будет произведена обработка рисков ИБ. На рис. 2.4 это соответствует точке 2 принятия решения по рискам. Принятие рисков ИБ должно гарантировать, что остаточные риски ИБ точно поняты и приняты руководством организации. Это особенно важно в ситуации, когда осуществление контроля не проводилось или отложено, например, из-за стоимости. В процессе управления рисками ИБ также важно, чтобы информация о рисках ИБ своевременно доводилась до всех причастных и заинтересованных сторон. Так еще до обработки рисков ИБ информация о выявленных рисках может быть очень ценна при управлении инцидентами ИБ и может помочь уменьшить потенциальный ущерб. Детальные результаты всех названных действий должны быть обязательно документированы. Таким образом, процесс управления рисками ИБ включает в себя два основных вида деятельности, которые чередуются циклически (итерационно): (пере)оценку рисков ИБ и выбор эффективных защитных средств для требуемой обработки рисков (в идеале для полного устранения или нейтрализации рисков ИБ). Эта итерационность процесса особенно прослеживается в оценке и обработке рисков ИБ - с каждой итерацией увеличивается глубина и детальность оценки рисков ИБ. Такой подход позволяет добиться хорошего баланса между минимизацией времени и трудозатрат на определение соответствующих средств управления, при этом гарантируя, что наибольшие риски оценены должным образом. Приведем толкования всех выше упомянутых терминов применительно к области ИБ согласно следующим документам - 180/1ЕС 27005:2011 [3], ГОСТ Р ИСО/МЭК 27005-2010 [4], 180/1ЕС 27001:2005 , ГОСТ Р ИСО/МЭК 27001-2006 [1], 180/1ЕС 27002:2005 [16], ГОСТ Р ИСО/МЭК 17799-2005 [15], ГОСТ Р 51897-2002 [9] и СТО БО ИББС- 0-2010 [14]. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|