Volodina-vasilisa.ru

Антикризисное мышление
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Общие подходы к оценке риска

Общие основы оценки рисков

Качественный и количественный подходы к анализу рисков

Анализ риска состоит в систематическом выявлении рисков, характерных для дан­ного предприятия, и изучении факторов, вызывающих риск (объективных факто­ров) и оказывающих влияние на степень его реализации (субъективных факторов), а также побочных эффектов и последствий, которые могут иметь место при реа­лизации той или иной альтернативы, содержащей риск или множество рисков. Поэтому к анализу риска необходимо применять два взаи­мосвязанных подхода: качественный и количественный.

На практике чаще всего к анализу риска применяется качественный подход, т. е. подход, сформированный на качественных методах.

Качественные (эксперт­ные) методы основаны на субъективном анализе риска, который позволяет раз­делить выявляемые риски на такие классы, как:

1) высокий, средний, низкий;

2) приемлемый полностью, частично приемлемый, неприемлемый;

3) допустимый, критический, катастрофический.

Затем ранжируются выявленные варианты решения проблемы по принципу «лучше — хуже». Качественный подход при­меняют тогда, когда требуется скорейшее принятие решения, и нет времени на розыск нужных формализованных моделей.

В качественном анализе очень важно не пропустить важных обстоятельств и подробно описать все существенные риски и возможные последствия.

Анализировать риски можно в два этапа:

— во-первых, на основе комплексного системного анализа деятельности предприятия — до-событийный анализ риска;

— во-вторых, когда рисковое событие уже произошло и имеются количественные размеры убытков, необходимо выяснить причины его возникновения, факторы, повлиявшие на его развитие и возможные отдаленные последствия — после-событийный анализ риска.

Количественный подход основан на объективном анализе рисков следующими методами: статистическим, аналитическим, комбинированным и др.

Качественный и количественный подходы тесно взаимосвязаны, их трудно разделить на самостоятельные части общего процесса анализа риска.

После того как проведен анализ риска, необходимо переходить к оценке риска.

Оценка риска имеет ряд общих положений независимо от конкретной методи­ки оценки и специфики решаемых задач:

1. Определение допустимого уровня риска.

2. Определение допустимого уровня риска происходит, как правило, в услови­ях недостаточной информации.

3. В ходе анализа в значительной мере приходится решать вероятностные за­дачи, что может привести к существенным расхождениям в получаемых ре­зультатах.

4. Оценка риска, во всех случаях, это процесс решения многокритериаль­ной задачи, которая может изменяться в ходе оценки.

Процесс оценки риска может происходить в несколько этапов:

1. Использование данных анализа риска.

2. Составление перечня результатов ана­лиза с целью их определения и классификации.

3. Оценка количественного и качественного аспектов конкретного риска с использованием различных методов.

4. Определение финансовой состоятельности проекта, определение экономической целесообразности (эффектив­ности вложений финансовых средств).

5. Отбор и ранжирование возможных вариантов решений.

6. Установка допустимого уровня риска.

7. Оценка отдельных вариантов по выбранному уровню риска с учетом других проектов, выбор варианта действий.

8. Применение результатов оценки риска в принятии решения в ситуации рис­ка и разработка мероприятий по нейтрализации возможных потерь.

Первый этап процесса оценки риска совпадает с конечным этапом процесса анализа риска, а его конечный этап совпадает с первым этапом процесса управле­ния рисками. Данные процессы тесно взаимосвязаны и взаимозависимы, в реаль­ности очень трудно отделить одно от другого.

Исходными данными для оценки риска предприятий служат:

— информация (данные), полученная в результате анализа риска в виде коли­чественных оценок каждого из предполагаемых вариантов решений;

— экономические и другие данные, относящиеся к затратам на осуществление каждого варианта и величины предполагаемых выгод.

Сложность оценки конкретного вида риска предприятия обусловле­на: неразработанностью методик; противоречивостью объективных и личностных оценок, количественных и качественных характеристик; множеством факторов внутренней и внешней среды предприятия, оказывающих влияние на возникно­вение и реализацию рисков; сложностью и многоаспектностью исследуемого предмета.

Одним из наиболее приемлемых подходов к оценке риска, который может ис­пользоваться на практике, является интегральная оценка риска,включающая два взаимосвязанных аспекта — количественный и качественный.

Количественная оценка риска (это численное определение размеров отдель­ных рисков и риска в целом) включает несколько аспектов.

Во-первых, решение, выбираемое в ситуации риска, должно оцениваться с позиций вероятности достижения предполагаемого результата, неуспеха и возможного отклонения от цели. Для этой операции можно использо­вать некоторые приемы из теории статистических решений, с помощью которых определяется, насколько выгодно и оптимально выбираемое решение.

Во-вторых, оптимальным будет решение, обеспечивающее для данных условий достижение нужного результата при минимальных затратах.

В-третьих, оптимальность выби­раемого решения зависит от времени, затрачиваемого на выбор данной альтерна­тивы.

Качественная оценка риска включает несколько аспектов.

Во-первых, необхо­димо сравнивать предполагаемые положительные результаты с возможными от­рицательными (ближайшими и отдаленными) последствиями.

Во-вторых, необ­ходимо выявлять вероятное воздействие анализируемых рисков на решения, которые будут приняты в будущем.

В-третьих, необходимо выявлять вероятное воздействие анализируемой альтернативы на интересы людей, которых они затра­гивают, и выяснить, чьим интересам риск соответствует.

Эффективность эконо­мической деятельности выявляется через оценочное отношение «польза — вред». Риск целесообразен тогда, когда он социально приемлем и приносит пользу не только в материальном плане, но и как временной фактор, как степень безопасности или надежности.

Таким образом, интегральная оценка риска позволяет из многих вариантов вы­бирать решения с обоснованным уровнем риска — это вариант, обеспечивающий для данных условий достижение нужного результата с меньшими совокупными затратами и учетом интересов всех участников рисковой деятельности, выбран­ный в оптимальные временные сроки, на основе сравнения предполагаемых прак­тических выгод с возможными отрицательными последствиями, сопоставления полезности данной альтернативы с ожидаемым ущербом от ее реализации, учета вероятностного воздействия на интересы экономического, политического, соци­ального характера. В интегральной модели применяется как бы двойной критерий оценки действий: экономический с точки зрения эффективности хозяйственных, управленческих усилий и качественный, связанный с выявлением творческого, интеллектуального потенциалов.

Необходимо отметить, что в результате установления наличия риска в выяв­ленных альтернативах и оценки этого риска появляется возможность ранжиро­вания имеющихся альтернатив по принципу приемлемости содержащегося в них риска. Например, риск приемлем полностью, риск приемлем частично, риск не­приемлем вообще. Большое значение в определении приемлемости риска играет тот подход (субъективный или объективный), который был выбран.

Существуют четыре разных подхода к оценке риска;

Наконец, последний этап анализа риска технологической системы — разработка рекомендаций по уменьшению уровня риска (управлению риском) в случае, если степень риска выше приемлемой.

По проведенной таким образом работе все нормативные документы предписывают составление отчета, требования к содержанию которого строго сформулированы и касаются перечисленных выше вопросов.

Множественность результатов анализа и возможность компромиссных решений дают основание считать, что анализ риска не является строго научным процессом, поддающимся проверке объективными, научными методами.

2.2 Оценка риска: понятие и место в обеспечении безопасности технических систем

С анализом риска тесно связан другой процесс — оценка риска.

В англоязычной литературе употребляют термины “risk estimation”, ”risk assessment”, “risk evaluation”, зачастую имеющие разные значения, но переводимые как оценка риска.

Оценка риска — этап, на котором идентифицированные опасности должны быть оценены на основе критериев приемлемого риска с целью выделить опасности с неприемлемым уровнем риска, и этот шаг послужит основой для разработки рекомендаций и мер по уменьшению опасностей. При этом и критерии приемлемого риска и результаты оценки риска могут быть выражены как качественно, так и количественно.

Согласно определению, оценка риска включает в себя анализ частоты и анализ последствий. Однако, когда последствия незначительны и частота крайне мала, достаточно оценить один параметр.

Первый — инженерный. Он опирается на статистику поломок и аварий, на вероятностный анализ безопасности (ВАБ): построение и расчет так называемых деревьев событий и деревьев отказов — процесс основан на ориентированных графах. С помощью первых предсказывают, во что может развиться тот или иной отказ техники, а деревья отказов, наоборот, помогают проследить все причины, которые способны вызвать какое-то нежелательное явление. Когда деревья построены, рассчитывается вероятность реализации каждого из сценариев (каждой ветви), а затем — общая вероятность аварии на объекте.

Читать еще:  Социальные риски примеры

Второй подход, модельный, — построение моделей воздействия вредных факторов на человека и окружающую среду. Эти модели могут описывать как последствия обычной работы предприятий, так и ущерб от аварий на них.

Первые два подхода основаны на расчетах, однако, для таких расчетов далеко не всегда хватает надежных исходных данных. В этом случае приемлем третий подход — экспертный: вероятности различных событий, связи между ними и последствия аварий определяют не вычислениями, а опросом опытных экспертов.

Наконец, в рамках четвертого подхода — социологического — исследуется отношение населения к разным видам риска, например с помощью социологических опросов.

То, что для определения риска используются четыре столь несхожих между собой метода, не должно удивлять. В разных задачах под риском следует понимать то вероятность какой-то аварии, то масштаб возможного ущерба от нее, а то и комбинацию двух этих величин. Описывая риск, нужно учитывать и выгоду, которую получает общество, когда на него идет (бесполезный риск недопустим, даже если он ничтожно мал). Иными словами, величина риска — это не какое-то одно число, а скорее вектор, состоящий из нескольких компонент. И поэтому мы имеем дело с так называемым многокритериальным выбором, процедура которого описывается теорией принятия решений.

Имеется много неопределенностей, связанных с оценкой риска. Анализ неопределенностей — необходимая составная часть оценки риска. Как правило, основные источники неопределенностей — информация по надежности оборудования и человеческим ошибкам, а также допущения применяемых моделей аварийного процесса. Чтобы правильно интерпретировать величины риска, надо понимать неопределенности и их причины. Анализ неопределенности — это перевод неопределенности исходных параметров и предложений, использованных при оценке риска, в неопределенность результатов.

Источники неопределенности должны по возможности идентифицироваться. Основные параметры, к которым анализ является чувствительным, должны быть представлены в результатах.

Важно подчеркнуть, что сложные и дорогостоящие расчеты зачастую дают значение риска, точность которого очень невелика. Для сложных технических систем точность расчетов индивидуального риска, даже в случае наличия всей необходимой информации, не выше одного порядка. При этом проведение полной количественной оценки риска более полезно для сравнения различных вариантов (например, размещения оборудования), чем для заключения о степени безопасности объекта. Зарубежный опыт показывает, что наибольший объем рекомендаций по обеспечению безопасности вырабатывается с применением качественных (из числа инженерных) методов анализа риска, позволяющих достигать основных целей риск-анализа при использовании меньшего объема информации и затрат труда. Однако количественные методы оценки риска всегда очень полезны, а в некоторых ситуациях — и единственно допустимы, в частности, для сравнения опасностей различной природы или при экспертизе особо опасных, сложных и дорогостоящих технических систем.

В исследованиях по проблеме риска возникло отдельное направление работ под общим названием «Управление риском».

Для процесса управления риском существует несколько названий как в нашей стране (обеспечение промышленной безопасности), так и за рубежом (“safety management”, “management of process hazards”), которые фактически являются синонимами.

Под этими терминами понимается совокупность мероприятий, направленных на снижение уровня технологического риска, уменьшение потенциальных материальных потерь и других негативных последствий аварий. По сути дела, речь идет о предотвращении возникновения аварийных ситуаций на производстве и мерах по локализации негативных последствий в тех случаях, когда аварии произошли.

Особенностью этого направления является комплексность, включающая в себя различные аспекты — технические, организационно-управленческие, социально-экономические, медицинские, биологические и др.

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

Читать еще:  Риск изменения процентных ставок

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Методы оценки риска

Метод экспертных оценок

Метод состоит в возможности использования опыта экспертов в процессе анализа проекта и учета влияния разнообразных качествен-ных факторов.

Формальная процедура экспертной оценки чаще всего сводится к следующему. Руководство проекта (фирмы) разрабатывает перечень критериев оценки в виде экспертных (опросных) листов, содержащих вопросы. Для каждого критерия назначаются (реже — исчисляются) соответствующие весовые коэффициенты, которые не сообщаются экспертам. Затем по каждому критерию составляются варианты отве-тов, веса которых также не известны экспертам. Эксперты должны обладать полной информацией об оцениваемом проекте и, проводя экспертизу, анализировать поставленные вопросы и отмечать вы-бранный вариант ответа. Далее заполненные экспертные листы обра-батываются соответствующим образом (на основании известных компьютерных пакетов обработки статистической информации) и выдается результат или результаты проведенной экспертизы.

На практике при анализе рисков и принятии решений часто не сто-ит задача получения количественных характеристик. Важнее полу-чить сравнительный анализ, для чего эксперты используют для оцен-ки наступления рисковых событий упрощенную шкалу градаций. Например, поместим каждое из рассмотренных событий на диаграм-му в осях «воздействие — вероятность». Диаграмма представляет со-бой 9 клеток, каждая из которых соответствует единственному набо-ру оценок (таблица 3.1.). [6]. Так, например, событие, характеризуемое оценками «слабое воздействие, низкая вероятность», должно быть отображено в нижней левой клетке диаграммы, а событие с оценками «слабое воздействие, высокая вероятность» должно быть отображено в нижней правой клетке и т.д.

Вся диаграмма делится на 3 примерно равные части. Три клетки диаграммы, находящиеся в левой нижней части, — это область несу-щественных рисков. Три клетки диаграммы, находящиеся в ее правой верхней части, — это область существенных рисков. Оставшаяся часть диаграммы (3 клетки) — это область средних рисков. Таким образом, риск, связанный с событием А, является несущественным, риск собы-тия Б — средний, риск события В — существенный. Получившаяся диа-грамма, на которую в соответствии с экспертными оценками нанесе-ны все рисковые события, получила название карты рисков. Эта карта наглядно показывает, какие рисковые события могут иметь место, каково соотношение между различными видами рисков и каким рис-кам необходимо уделить максимальное внимание (в нашем примере это риск события В). Такой подход получил широкое распростране-ние в практике управления рисками компаний реального бизнеса. Риск-менеджеры обычно используют 3 или 5 (редко 7) градаций для вероятности, воздействия и существенности. Описанная карта рисков представляет удобный способ визуализации рисков. На практике применяются и другие способы визуализации, например с помощью круговых или цветовых диаграмм.

Рассмотрим практические аспекты получения такого рода экс-пертных оценок. Казалось бы, первое с чего необходимо начать — это построить шкалу градаций. Пусть принимается шкала из пяти града-ций воздействия: «катастрофическое», «сильное», «значительное», «умеренное», «незначительное». Называться они могут по-разному, но суть заключается в том, что принадлежность рискового события к самой верхней градации означает состояние, близкое к катастрофе для бизнеса компании. Наступление такого события повлечет вынуж-денную реструктуризацию, изменение структуры собственности и другие радикальные изменения. Принадлежность рискового события к самой нижней градации означает незначительное ухудшение состо-яния компании, что можно объяснить обычными колебаниями, кото-рые характерны для данной отрасли.

Пример формирования результатов экспертной оценки представ-лен таблицами 3.2, 3.3, 3.4. В таблице 3.2. проводится оценка влияния основных показателей на итоговый результат проекта, в таблице 3.3. проводится экспертная оценка вероятности фактора риска, при кото-рой все факторы распределяются на пять уровней , в зависимости от вероятности их наступления при реализации проекта. Таблица 3.4. является результатом композиции первых двух таблиц и показывает меру риска проекта, определяемую как произведение вероятности факторов риска на величину их воздействия. Проекты, оказавшиеся в правой верхней зоне являются рисковыми и требуют отклонения или глубокого анализа. Проекты, относящиеся к нижней левой зоне отли-чаются слабой подверженностью факторам риска и могут быть реко-мендованы к реализации. Проекты, относящиеся к промежуточной между этими рассмотренными зонами отличаются средним влиянием факторов риска на результаты проекта и их реализация возможна, но требует анализа на основные факторы риска.

Приложение Е (справочное). Подходы к оценке риска информационной безопасности

Подходы к оценке риска информационной безопасности

Е.1 Высокоуровневая оценка риска информационной безопасности

Высокоуровневая оценка дает возможность определять приоритеты и хронологию действий. По разным причинам, например, бюджетным, одновременная реализация всех мер и средств контроля и управления не всегда возможна, и с помощью процесса обработки риска могут рассматриваться только наиболее критичные риски. Также может быть преждевременным начинать детальный менеджмент риска, если реализация предусматривается только через год или два. Для достижения этой цели высокоуровневая оценка может начаться с высокоуровневой оценки последствий, а не с систематического анализа угроз, уязвимостей, активов и последствий.

Причиной начать с высокоуровневой оценки является синхронизация с другими планами, связанными с управлением изменениями (или обеспечением непрерывности бизнеса). Например не имеет смысла обеспечивать полную защиту системы или приложения, если в ближайшем будущем планируется привлечь для работы с ними внешние ресурсы, хотя, возможно, стоит выполнить оценку риска, чтобы определить целесообразность заключения договора о привлечении внешних ресурсов.

Особенности итерации высокоуровневой оценки риска могут включать следующее.

Высокоуровневая оценка риска может быть связана с более глобальным рассмотрением организации и ее информационных систем, когда технологические аспекты рассматриваются как независимые от проблем бизнеса. В результате этого анализ контекста больше сосредотачивается на бизнес- и эксплуатационной среде, чем на технологических компонентах.

Читать еще:  Риски управляемые и неуправляемые

Высокоуровневая оценка риска может быть связана с более ограниченным перечнем угроз и уязвимостей, сгруппированных в определенных сферах, или для ускорения процесса она может сосредотачиваться на сценариях риска или нападений вместо их компонентов.

Риски, представленные в высокоуровневой оценке риска, часто носят более общий характер, чем конкретно идентифицированные риски. Когда сценарии или угрозы группируются в сферы, обработка риска предлагает перечни мер и средств контроля и управления для конкретной сферы. Деятельность по обработке риска затем стремится, прежде всего, предложить и выбрать общие меры и средства контроля и управления, являющиеся действенными во всей системе.

Вследствие того, что при использовании высокоуровневой оценки риска редко рассматриваются технологические детали, она более уместна для обеспечения организационных и нетехнических средств контроля, а также аспектов менеджмента технических средств контроля или ключевых и общих технических защитных мер, таких, как резервное копирование и антивирусные программы.

Преимущества высокоуровневой оценки риска таковы:

— включение первоначального простого подхода, вероятно, необходимо для одобрения программы оценки риска;

— должно быть возможным создание стратегической картины программы обеспечения безопасности организации, т.е. она будет действовать как хорошая помощь в планировании;

— ресурсы и денежные средства могут быть применены там, где они наиболее полезны, и системы, вероятно, больше всего нуждающиеся в защите, будут рассмотрены первыми.

Поскольку первоначальные анализы риска выполняются на высоком уровне и потенциально могут быть менее точными, единственный возможный недостаток состоит в том, что некоторые бизнес-процессы или системы не могут быть определены как нуждающиеся во вторичной, более детальной оценке риска. Этого можно избежать, если существует адекватная информация обо всех аспектах организации, ее информации и системах, включая информацию, полученную в результате оценка инцидентов ИБ.

При использовании высокоуровневой оценки риска рассматривается ценность для бизнеса информационных активов и риски с точки зрения бизнеса организации. В первой точке принятия решения (см. рисунок 1) несколько факторов помогают в определении того, является ли высокоуровневая оценка адекватной для обработки риска; этими факторами могут быть:

— бизнес-цели, которые должны быть достигнуты посредством использования различных информационных активов;

— степень зависимости бизнеса организации от каждого информационного актива, т.е., являются ли функции, которые организация считает критичными для своего выживания или эффективного ведения бизнеса, зависящими от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, учетности, подлинности и надежности информации, хранящейся и обрабатываемой в данном активе;

— уровень инвестиций в каждый информационный актив с точки зрения разработки, поддержки или замены актива;

— информационные активы, которым организация напрямую присваивает ценность.

После того как эти факторы оценены, решение становится проще. Если цели актива крайне важны для ведения бизнеса организации или если активы имеют высокий уровень риска, то для конкретного информационного актива (или его части) должна быть проведена вторая итерация, детальная оценка риска.

Здесь применяется следующее общее правило: если отсутствие ИБ может привести к значительным неблагоприятным последствиям для организации, ее бизнес-процессов или ее активов, то необходима вторая итерация оценки риска на более детальном уровне для идентификации потенциальных рисков.

Е.2 Детальная оценка риска информационной безопасности

Детальный процесс оценки риска ИБ включает тщательное определение и установление ценности активов, оценку угроз этим активам и оценку уязвимостей. Результаты этой деятельности используются для оценки рисков, а затем для определения способа обработки риска.

Детальная последовательность действий обычно требует продолжительного времени, значительных усилий и компетентности и поэтому может быть наиболее пригодной для информационных систем с высоким уровнем риска.

Окончательным этапом детальной оценки риска ИБ является оценка общих рисков, находящаяся в фокусе данного приложения.

Последствия могут оцениваться несколькими методами, включая количественные, например денежные, и качественные меры (с использованием таких определений, как «умеренные» или «серьезные») или их комбинации. Для оценки вероятности возникновения угрозы должны быть установлены временные рамки, в которых актив будет обладать ценностью или нуждаться в защите. На вероятность возникновения конкретной угрозы оказывают влияние следующие факторы:

— привлекательность актива или возможное воздействие — применимо при рассмотрении умышленной угрозы со стороны персонала;

— простота преобразования актива, использующего уязвимость за вознаграждение, — применимо при рассмотрении умышленной угрозы со стороны персонала;

— технические возможности действующего фактора угрозы — применимо при рассмотрении умышленной угрозы со стороны персонала;

— чувствительность уязвимости к использованию — применимо к техническим и нетехническим уязвимостям.

Во многих методах используются таблицы и объединяются субъективные и эмпирические меры. Важно, чтобы организация использовала метод, который является для нее наиболее удобным, в котором организация уверена и который будет обеспечивать повторяемость результатов. Несколько примеров, основанных на таблицах методов, приведено ниже.

Е.2.1 Пример 1 — Таблица с заранее определенными значениями

В методах оценки риска данного вида фактические или предполагаемые физические активы оцениваются с точки зрения стоимости замены или восстановления (т.е. количественные меры). Эта стоимость затем переводится в ту же качественную шкалу, которая используется для информации (см. ниже). Фактические или предполагаемые программные активы оцениваются таким же образом, как и физические активы, — определяется стоимость приобретения или восстановления, а затем переводится в ту же качественную шкалу, которая используется для информации. Кроме того, если считается, что любая прикладная программа имеет собственные присущие ей требования в отношении конфиденциальности или целостности (например, если исходный текст программы сам по себе является коммерчески критичным), она оценивается таким же образом, как и информация.

Ценность информации определяется из опросов отдельных представителей бизнес-менеджмента (владельцев информации), которые могут авторитетно судить о данных с целью определения ценности и критичности фактически используемых данных или данных, которые должны храниться, обрабатываться или оцениваться. Опросы облегчают оценку значимости и критичности информации с точки зрения сценариев наихудших вариантов, возникновение которых можно предполагать исходя из неблагоприятных последствий для бизнеса, обусловленных несанкционированным раскрытием, несанкционированной модификацией, недоступностью в течение различных периодов времени и разрушением.

Ценность определяется использованием принципов определения ценности информации, которые охватывают следующие проблемы:

— юридические и нормативные обязательства;

— коммерческие и экономические интересы;

— финансовые потери/нарушение деятельности;

— политика и операции бизнеса;

— потеря «неосязаемого капитала»;

— договор или соглашение с клиентом.

Принципы облегчают определение значений ценности по числовой шкале, как, например, на шкале от 0 до 4, показанной в приведенном ниже примере (см. таблицу Е.1а), осуществляя таким образом присвоение количественных значений, если это возможно и обоснованно, и качественных значений там, где количественные значения невозможны, например в случае создания опасности для человеческой жизни.

Следующим важным этапом деятельности является заполнение ряда опросных листов для каждого вида угрозы, каждой группы активов, с которой связан данный вид угрозы, чтобы сделать возможной оценку уровней угроз (вероятности возникновения) и уровней уязвимостей (простоты использования угроз для создания неблагоприятных последствий). Каждый ответ на вопрос дает баллы. Эти баллы складываются с использованием базы знаний и сравниваются с диапазонами. Это идентифицирует уровни угроз, например, по шкале от высокого до низкого и, аналогично, уровни уязвимостей, как показано в таблице Е.1а, с проведением различий между видами последствий. Информация для заполнения опросных листов должна собираться из опросов технического персонала, представителей отдела кадров, из данных обследований фактического месторасположения и проверки документации.

Ценность активов, уровни угроз и уязвимостей, относящиеся к каждому виду последствий, приводятся в табличной форме (матрице), представленной в таблице Е.1а, чтобы для каждой комбинации идентифицировать соответствующую меру риска на основе шкалы от 0 до 8. Значения заносятся в матрицу структурированным образом.

Таблица Е.1а — Ценность активов, уровни угроз и уязвимостей

Ссылка на основную публикацию
Adblock
detector