Risikovurderingsmetode for informasjonssikkerhet. Håndtering av risikoer. Full overlapping sikkerhetsmodell

Legg igjen en kommentar 6,950

Denne delen dekker følgende problemstillinger:

  • Sikkerhetsstyring
  • Fordeling av ansvar for sikkerhetsstyring
  • Top-down tilnærming
  • Sikkerhetsadministrasjon og beskyttelsestiltak
  • Fundamental Safety Principles (AIC Triad)
  • Tilgjengelighet
  • Integritet
  • konfidensialitet
  • Sikkerhetsdefinisjoner (sårbarhet, trussel, risiko, påvirkning, mottiltak)
  • Sikkerhet gjennom det ukjente

Oppdatert: 21.02.2010


Sikkerhetsstyring inkluderer risikostyring, retningslinjer for informasjonssikkerhet, prosedyrer, standarder, retningslinjer, rammeverk, informasjonsklassifisering, sikkerhetsorganisasjon og sikkerhetsopplæring. Disse nøkkelaspektene fungerer som ryggraden i et bedriftssikkerhetsprogram. Formålet med sikkerhets- og sikkerhetsprogrammet er å beskytte selskapet og dets eiendeler. Risikoanalyse gjør det mulig å identifisere disse eiendelene, identifisere trusler som forårsaker risiko for dem, vurdere mulige tap og potensielle tap som selskapet kan pådra seg hvis noen av disse truslene blir realisert. Resultatene av risikoanalysen hjelper ledelsen med å utarbeide et kostnadseffektivt budsjett for å beskytte identifiserte eiendeler fra identifiserte trusler og utvikle praktiske sikkerhetspolicyer som styrer sikkerhetsaktiviteter. Sikkerhetsopplæring og bevisstgjøring lar deg bringe riktig mengde informasjon til hver enkelt ansatt i selskapet, noe som forenkler arbeidet deres og bidrar til å nå sikkerhetsmålene.

Sikkerhetsstyringsprosessen er kontinuerlig. Det starter med en risikovurdering og behovsidentifikasjon, etterfulgt av overvåking og evaluering av systemer og driftsmetoder. Dette etterfølges av bevisstgjøring blant de ansatte i bedriften, noe som gir en forståelse av problemstillingene som må vurderes. Det siste trinnet er å implementere retningslinjer og sikkerhetstiltak for å redusere risikoen og møte behovene som ble identifisert i det første trinnet. Så starter syklusen på nytt. Dermed analyserer og overvåker denne prosessen hele tiden sikkerheten til bedriften, lar den tilpasse seg og utvikle seg, under hensyntagen til sikkerhetsbehovene og forholdene selskapet eksisterer og opererer under.

Sikkerhetsstyring endres over tid, ettersom nettverksmiljøet, datamaskiner og applikasjoner som behandler informasjon endres. Internett, ekstranett (nettverk av forretningspartnere), intranett gjør sikkerheten ikke bare mer kompleks, men også mer kritisk. Kjernen i nettverksarkitekturen har endret seg fra et lokalisert autonomt datamiljø til et distribuert datamiljø, som har multiplisert kompleksiteten. Mens intranetttilgang til Internett gir brukerne en rekke viktige funksjoner og bekvemmeligheter, øker det en bedrifts eksponering for Internett, noe som kan utgjøre ytterligere sikkerhetsrisiko.

De fleste organisasjoner i dag kan ikke operere uten datamaskiner og deres datakraft. Mange store selskaper har allerede innsett at deres data er en kritisk ressurs som må beskyttes sammen med bygninger, utstyr og andre fysiske eiendeler. Sikkerhet må endres etter hvert som nettverk og miljøer endres. Sikkerhet er mer enn bare en brannmur og en ACL-ruter. Disse systemene er utvilsomt viktige, men mye viktigere for sikkerheten er håndteringen av brukerhandlinger og prosedyrene de følger. Dette fører oss til en sikkerhetsstyringspraksis som fokuserer på løpende beskyttelse av et selskaps eiendeler.

I en verden av sikkerhet er en leders rolle å definere mål, grenser, retningslinjer, prioriteringer og strategier. Ledelsen må definere klare grenser og relevante mål som forventes oppnådd som følge av sikkerhetsprogrammet. Ledelsen må også vurdere forretningsmål, sikkerhetsrisikoer, brukerproduktivitet, funksjonelle krav og mål. Til slutt bør ledelsen identifisere trinn for å sikre at disse oppgavene er riktig fordelt og adressert.

Mange bedrifter ser på virksomhet som en del av ligningen og antar at IT- og IT-sikkerhet er IT-administratorens ansvar. Ledelsen i slike selskaper tar ikke informasjon og datasikkerhet på alvor, noe som gjør at sikkerheten i slike selskaper fremstår som underutviklet, dårlig vedlikeholdt, underfinansiert og mislykket. Sikkerhet må vurderes på toppledernivå. En IT-administrator (eller sikkerhetsadministrator) kan gi råd til ledelsen om sikkerhetsspørsmål, men bedriftssikkerhet bør ikke delegeres fullt ut til IT-administratoren (sikkerhetsadministratoren).

Sikkerhetsstyring er basert på klart identifiserte og verdsatte bedriftsmidler. Når eiendeler er identifisert og vurdert, implementeres sikkerhetspolicyer, prosedyrer, standarder og retningslinjer for å sikre integriteten, konfidensialiteten og tilgjengeligheten til disse eiendelene. Ulike verktøy brukes til å klassifisere data, utføre analyser og vurdere risikoer. Disse verktøyene hjelper til med å identifisere sårbarheter og vise deres alvorlighetsgrad, noe som lar deg implementere effektive mottiltak for å redusere risikoen på den mest optimale måten. Det er ledelsens ansvar å sikre at ressursene til selskapet som helhet beskyttes. Disse ressursene er mennesker, kapital, utstyr og informasjon. Ledelsen bør involveres i dette for å sikre at et sikkerhetsprogram er på plass, at trusler som påvirker selskapets ressurser blir adressert, og at nødvendige kontroller er på plass.

Tilgjengeligheten av nødvendige ressurser og finansiering må sikres, og de ansvarlige må være forberedt på å delta i sikkerhetsprogrammet. Ledelsen bør tildele ansvar og definere rollene som er nødvendige for å sette i gang implementeringen av sikkerhetsprogrammet, sikre vellykket utvikling og utvikle seg etter hvert som miljøet endres. Ledelsen må også integrere sikkerhetsprogrammet i det eksisterende forretningsmiljøet og overvåke ytelsen deres. Lederstøtte er en av de viktigste delene av et sikkerhetsprogram.

Under planleggingen og gjennomføringen av et sikkerhetsprogram skal sikkerhetseksperten bestemme hvilken funksjon som skal utføres og det forventede sluttresultatet. Ofte begynner bedrifter ganske enkelt å blokkere datamaskiner og installere brannmurer uten å forstå de generelle sikkerhetskravene, målene og tillitsnivåene de ønsker å oppnå fra sikkerhet i hele miljøet. Gruppen som er involvert i denne prosessen bør starte fra toppen, med veldig brede ideer og termer, og gå ned til detaljerte konfigurasjoner og systemparametere. På hvert trinn bør teammedlemmer ha de viktigste sikkerhetsmålene i tankene, slik at hver ny komponent legger til flere detaljer til det tilsvarende målet.

Sikkerhetspolitikken er et slags fundament for selskapets sikkerhetsprogram. Denne policyen bør tas på alvor fra begynnelsen og bør inkludere ideer for kontinuerlig oppdatering for å sikre at alle sikkerhetskomponenter er operative til enhver tid og jobber mot å oppfylle forretningsmålene.

Neste steg er å utvikle og implementere prosedyrer, standarder og retningslinjer som støtter sikkerhetspolitikken og definerer mottiltak og metoder som skal brukes for å ivareta sikkerheten. Når disse elementene er utviklet, bør sikkerhetsprogrammet detaljeres ved å utvikle rammer og konfigurasjoner for sikkerhetskontrollene og metodene som er valgt.

Hvis sikkerheten er bygget på et solid fundament og utformet med mål og mål i tankene, vil selskapet ikke måtte gjøre vesentlige endringer i det. I dette tilfellet kan prosessen være mer metodisk, kreve mindre tid, penger og ressurser, samtidig som den sikrer riktig balanse mellom funksjonalitet og sikkerhet. Dette er ikke et krav, men å forstå det kan gjøre din bedrifts tilnærming til sikkerhet mer håndterlig. Du kan forklare selskapet hvordan du planlegger, implementerer og vedlikeholder sikkerhet på en organisert måte som unngår en gigantisk haug med sikkerhetsfunksjoner, fragmenterte og fullstendige feil.

For et sikkerhetsprogram, bruk ovenfra og ned tilnærming , som betyr at initiativ, støtte og retning kommer fra toppledelsen og går gjennom mellomledere til ansatte. Motsatte nedenfra og opp tilnærming refererer til en situasjon der IT-avdelingen prøver å utvikle et sikkerhetsprogram på egen hånd, uten skikkelig veiledning og ledelsesstøtte. Bottom-up-tilnærmingen er generelt mindre effektiv, smal nok og selvødeleggende. En top-down-tilnærming sikrer at personene (seniorledelsen) som virkelig er ansvarlige for å beskytte selskapets eiendeler er drivkraften bak programmet.



Hvis det ikke er noen sikkerhetsadministratorrolle, bør ledelsen opprette en. Rollen Sikkerhetsadministrator er direkte ansvarlig for å overvåke nøkkelaspekter ved sikkerhetsprogrammet. Avhengig av organisasjonen, dens størrelse og sikkerhetsbehov, kan sikkerhetsadministrasjon utføres av én person eller en gruppe personer som arbeider sentralt eller desentralisert. Uavhengig av størrelse krever sikkerhetsadministrasjon en klar rapporteringsstruktur, forståelse av ansvar og revisjons- og overvåkingsevner for å sikre at det ikke er sikkerhetsbrudd forårsaket av kommunikasjons- eller forståelseshull.

Informasjonseiere bør angi hvilke brukere som har tilgang til ressursene deres og hva de kan gjøre med disse ressursene. Det er sikkerhetsadministratorens jobb å sørge for at denne prosessen er på plass. Følgende beskyttelsestiltak bør brukes for å overholde sikkerhetsinstruksjonene i håndboken:

  • Administrative tiltak omfatter utvikling og publisering av retningslinjer, standarder, prosedyrer og retningslinjer, risikostyring, rekruttering, opplæring i sikkerhetsspørsmål, implementering av prosedyrer for endringshåndtering.
  • Ttekniske (logiske) tiltak inkluderer implementering og vedlikehold av tilgangskontrollmekanismer, passord- og ressursadministrasjon, identifisering og autentiseringsmetoder, sikkerhetsenheter og infrastrukturinnstillinger.
  • Ffysiske tiltak Dette inkluderer kontroll av personers tilgang til bygningen og ulike rom, bruk av låser og fjerning av ubrukte stasjoner og CD-ROM-stasjoner, sikring av bygningens omkrets, oppdage inntrenging, overvåking av miljøet.
Figur 1-1 illustrerer hvordan administrative, tekniske og fysiske sikkerhetskontroller fungerer sammen for å gi det nødvendige beskyttelsesnivået.


Figur 1-1 Administrative, tekniske og fysiske lag av sikkerhetstiltak må fungere sammen for å beskytte selskapets eiendeler


Informasjonseier vanligvis er det en ansvarlig ansatt som er en del av ledelsen i selskapet eller leder for den aktuelle avdelingen. Eieren av opplysningene er forpliktet til å sørge for tilstrekkelig databeskyttelse, han er alene ansvarlig for enhver uaktsomhet i forhold til beskyttelse av selskapets informasjonsmidler. Den ansatte som fyller denne rollen er ansvarlig for klassifiseringen av informasjon, han spesifiserer hvordan denne informasjonen skal beskyttes. Hvis databeskyttelsen ikke er basert på kravene til informasjonseieren, hvis han ikke kontrollerer oppfyllelsen av kravene hans, kan konseptet bli krenket aktsomhet(aktsomhet).

Det bør være løpende kommunikasjon mellom sikkerhetsadministrasjonsteamet og toppledelsen for å sikre at sikkerhetsprogrammet er tilstrekkelig støttet og ledelsen tar de nødvendige implementeringsbeslutninger. Ofte utelukker toppledelsen helt sitt engasjement i sikkerhetsspørsmål, uten å ta hensyn til at ved alvorlige sikkerhetshendelser er det toppledelsen som vil forklare årsakene til dem til forretningspartnere, aksjonærer og offentligheten. Etter en slik hendelse endres holdningen radikalt, ledelsen er maksimalt involvert i sikkerhetsspørsmål. Det bør være en kontinuerlig kommunikasjonsprosess mellom sikkerhetsadministrasjonsteamet og toppledelsen for å sikre et toveis forhold.

Mangelfull ledelse kan undergrave et selskaps sikkerhetsarbeid. Potensielle årsaker til mangelfull ledelse er blant annet manglende forståelse for ledelsen av virksomhetens sikkerhetsbehov, konkurranse mellom sikkerhet og andre ledelsesmål, ledelsens syn på sikkerhet som en kostbar og unødvendig foretak, og ledelsens støtte til sikkerhet gjennom jungeltelegrafen. Kraftige og nyttige teknologier, enheter, programvare, prosedyrer og metodikk gir et visst nivå av sikkerhet, men uten full sikkerhetsadministrasjon og administrasjonsstøtte er de uten verdi.

Det er flere små og store oppgaver i et sikkerhetsprogram, men det er 3 grunnleggende prinsipper i alle programmer: tilgjengelighet, integritet og konfidensialitet. Det kalles AIC triade (Tilgjengelighet, Integritet, Konfidensialitet). Sikkerhetsnivået som kreves for å implementere disse prinsippene varierer fra selskap til selskap, da hvert selskap har sin egen unike blanding av forretnings- og sikkerhetsmål og behov. Alle sikkerhetstiltak og sikkerhetsmekanismer er implementert for å implementere ett (eller flere) av disse prinsippene, og alle risikoer, trusler og sårbarheter måles etter deres potensial til å bryte ett eller alle AIC-prinsippene. AIC-triaden er vist i figur 1-2.


Figur 1-2 AIC triade


Tilgjengelighet

Systemer og nettverk må gi et tilstrekkelig nivå av forutsigbarhet kombinert med et akseptabelt ytelsesnivå. De må raskt og trygt kunne komme seg etter forstyrrelser slik at de ikke påvirker bedriftens produktivitet negativt. Du bør unngå "single points of failure", utføre sikkerhetskopier, om nødvendig, gi et visst nivå av redundans, forhindre negativ påvirkning fra det ytre miljøet. Det er nødvendig å implementere mekanismer for å beskytte mot interne og eksterne trusler som kan påvirke tilgjengeligheten og ytelsen til nettverket, systemene og informasjonen. Tilgjengelighet gir autoriserte personer pålitelig og rettidig tilgang til data og ressurser.


Systemtilgjengelighet kan bli påvirket av maskinvare- eller programvarefeil. Redundant utstyr bør brukes for å muliggjøre varm utskifting av kritiske systemer. Vedlikeholdspersonellet må ha all nødvendig kunnskap og være tilgjengelig for i tide å bytte til backup-systemer og foreta passende justeringer. Eksterne faktorer som temperatur, fuktighet, statisk elektrisitet, støv kan også påvirke tilgjengeligheten til systemet. Disse problemene er diskutert i detalj i domene 04.

DoS-angrep er en populær hackerteknikk som forstyrrer virksomheten. Slike angrep reduserer brukernes mulighet til å få tilgang til system- og informasjonsressurser. For å beskytte mot dem bør du begrense antall tilgjengelige porter, bruke IDS-systemer, overvåke nettverkstrafikk og datamaskindrift. Riktig konfigurasjon av brannmurer og rutere kan også redusere trusselen for DoS-angrep.

Integritet

Integritet gir garantier for nøyaktighet og pålitelighet av informasjon og informasjonssystemer som gir det, forhindrer muligheten for uautoriserte endringer. Maskinvare, programvare og kommunikasjonsutstyr må fungere sammen for å lagre og behandle data på riktig måte og flytte dem til destinasjonen uendret. Systemer og nettverk må beskyttes mot forstyrrelser utenfra.


Systemangrep eller brukerfeil skal ikke påvirke integriteten til systemene og dataene. Hvis en angriper installerer et virus, logisk bombe eller skjult inngang (bakdør), vil systemets integritet bli kompromittert. Dette kan påvirke integriteten til informasjonen som er lagret i systemet negativt og føre til svindel, uautoriserte endringer av programvare og data. For å bekjempe disse truslene kreves streng tilgangskontroll og inntrengningsdeteksjonssystemer.

Brukere har en tendens til å påvirke integriteten til systemer eller data gjennom feil (selv om interne brukere også kan delta i uredelig eller ondsinnet aktivitet). For eksempel utilsiktet sletting av konfigurasjonsfiler, inntasting av feil transaksjonsbeløp osv.

Sikkerhetstiltak bør begrense brukernes evner til kun det minste nødvendige settet med funksjoner, noe som vil redusere sannsynligheten for og konsekvensene av deres feil. Tilgang til kritiske systemfiler bør begrenses til brukere. Applikasjoner bør gi mekanismer for å kontrollere innkommende informasjon for å verifisere dens korrekthet og tilstrekkelighet. Retten til å endre data i databaser bør kun gis til autoriserte personer, data som overføres via kommunikasjonskanaler bør beskyttes ved bruk av kryptering eller andre mekanismer.



konfidensialitet

konfidensialitet gir det nødvendige nivået av hemmelighold på hvert punkt for databehandling og forhindrer uautorisert avsløring av dem. Konfidensialitet bør sikres både under lagring av informasjon og i prosessen med overføringen.


Angripere kan bryte personvernet ved å avskjære nettverkstrafikk, spionere på ansattes arbeid, stjele passordfiler og bruke sosiale ingeniørteknikker. Brukere kan bevisst eller ved et uhell avsløre konfidensiell informasjon, glemme å kryptere den før de sendes til en annen person, bli offer for et sosialt ingeniørangrep, gi tilgang til sensitiv bedriftsinformasjon uten å gi nødvendig beskyttelse ved behandling av konfidensiell informasjon.

Konfidensialitet kan sikres ved å kryptere data under lagring og overføring, bruke et strengt tilgangskontrollsystem, klassifisere data og lære opp personell i riktige metoder for å jobbe med konfidensiell informasjon.




Det er viktig å forstå betydningen av ordene sårbarhet, trussel, risiko, påvirkning og forholdet mellom dem.

Sårbarhet er en feil i programvare, maskinvare eller prosedyre som kan gi en angriper muligheten til å få tilgang til en datamaskin eller et nettverk og få uautorisert tilgang til et selskaps informasjonsressurser. Sårbarhet er fravær eller svakhet ved beskyttelsestiltak. Sårbarheter kan være en tjeneste som kjører på en server, en "upatchet" applikasjon eller operativsystem, ubegrenset tilgang gjennom et modembasseng, en åpen port på en brannmur, svak fysisk sikkerhet som lar hvem som helst gå inn i et serverrom, mangel på passordadministrasjon på servere og arbeidsstasjoner.

En trussel er en potensiell fare for informasjon eller et system. En trussel er hvis noen eller noe avslører tilstedeværelsen av en viss sårbarhet og bruker den mot en bedrift eller person. Noe som tillater utnyttelse av en sårbarhet kalles kilde til trussel (trusselagent). Kilden til trusselen kan være en hacker som har fått tilgang til nettverket gjennom en port åpen på brannmuren; en prosess som får tilgang til data på en måte som bryter sikkerhetspolitikken; en tornado som ødela bygningen; en ansatt som har gjort en feil som kan føre til lekkasje av konfidensiell informasjon eller brudd på filers integritet.

Fare er sannsynligheten for at kilden til trusselen vil utnytte sårbarheten, noe som resulterer i en negativ innvirkning på virksomheten. Hvis brannmuren har flere åpne porter, er det stor sannsynlighet for at en angriper vil bruke en av dem for å få uautorisert tilgang til nettverket. Hvis brukere ikke er opplært i de riktige prosessene og prosedyrene, er det stor sannsynlighet for bevisste og utilsiktede feil som kan føre til dataødeleggelse. Hvis nettverket ikke har et IDS-system på plass, er det stor sannsynlighet for at angrepet vil forbli uoppdaget til det er for sent.

innvirkning (eksponering) er noe som resulterer i tap på grunn av handlingene til kilden til trusselen. Sårbarheter påvirker selskapet, noe som fører til muligheten for skade på det. Hvis passordbehandlingen er svak og passordkravene ikke håndheves, utsettes selskapet for mulig eksponering for kompromitterte brukerpassord og deres bruk for uautorisert tilgang. Hvis en bedrift ikke overvåker sine elektriske ledninger og ikke tar skritt for å forhindre brann, er den utsatt for potensielle branneffekter.

Mottiltak (eller beskyttende tiltak ) - dette er tiltak, hvis implementering lar deg redusere nivået av potensiell risiko. Mottiltak kan være å finpusse programvare, maskinvare eller prosedyrer for å rette opp sårbarheten eller redusere sannsynligheten for at en trusselkilde kan utnytte sårbarheten. Eksempler på mottiltak inkluderer sterk passordadministrasjon, sikkerhetsvakter, tilgangskontrollmekanismer for operativsystemer, innstilling av BIOS-passord og gir brukeropplæring i sikkerhetsspørsmål.

Hvis et selskap bruker antivirusprogramvare, men ikke oppdaterer virussignaturdatabasene, er dette en sårbarhet. Selskapet er sårbart for virusangrep. Trusselen er at et virus vil trenge inn i selskapets nettverk og lamme arbeidet. Risikoen i dette tilfellet er sannsynligheten for at et virus kommer inn i selskapets nettverk og forårsaker skade på det. Hvis et virus trenger inn i et selskaps nettverk, vil sårbarheten bli utnyttet og selskapet vil bli utsatt for skadene det har påført. Mottiltak i denne situasjonen vil være å installere antivirusprogramvare på alle datamaskiner i selskapet og holde deres virussignaturdatabaser oppdatert. Sammenhengen mellom risiko, sårbarheter, trusler og mottiltak er vist i figur 1-3.

Figur 1-3 Sammenheng mellom ulike sikkerhetskomponenter


Lenker

Hvordan vurdere informasjonssikkerhetsrisikoer riktig - vår oppskrift

Oppgaven med å vurdere informasjonssikkerhetsrisikoer oppfattes i dag av ekspertmiljøet tvetydig, og det er flere årsaker til dette. For det første er det ingen gullstandard eller akseptert tilnærming. Tallrike standarder og metoder, selv om de er like i generelle termer, varierer betydelig i detaljer. Anvendelsen av en bestemt metodikk avhenger av området og objektet for vurderingen. Men å velge riktig metode kan bli et problem dersom deltakerne i vurderingsprosessen har ulike oppfatninger av den og dens resultater.

For det andre er vurdering av informasjonssikkerhetsrisiko en ren ekspertoppgave. Analyse av risikofaktorer (som skade, trussel, sårbarhet osv.) utført av ulike eksperter gir ofte ulike resultater. Utilstrekkelig reproduserbarhet av vurderingsresultatene reiser spørsmålet om påliteligheten og nytten av de innhentede dataene. Menneskets natur er slik at abstrakte vurderinger, spesielt de som er knyttet til sannsynlige måleenheter, oppfattes av mennesker på ulike måter. Eksisterende anvendte teorier designet for å ta hensyn til målet for subjektiv oppfatning av en person (for eksempel prospektteori) kompliserer den allerede kompliserte metodikken for risikoanalyse og bidrar ikke til populariseringen.

For det tredje er selve prosedyren for risikovurdering i klassisk forstand, med dekomponering og inventar av eiendeler, en svært arbeidskrevende oppgave. Forsøk på å utføre manuell analyse ved hjelp av vanlige kontorverktøy (som regneark) drukner uunngåelig i et hav av informasjon. Spesialiserte programvareverktøy utviklet for å forenkle individuelle stadier av risikoanalyse, letter til en viss grad modellering, men de forenkler ikke i det hele tatt innsamling og systematisering av data.

Til slutt er selve definisjonen av risiko i sammenheng med informasjonssikkerhetsproblemet ennå ikke etablert. Bare se på endringene i ISO Guide 73: 2009-terminologien sammenlignet med 2002-versjonen. Mens tidligere risiko ble definert som potensialet for skade på grunn av utnyttelse av sårbarhet av enhver trussel, er det nå effekten av avvik fra de forventede resultatene. Lignende konseptuelle endringer har skjedd i den nye utgaven av ISO/IEC 27001:2013.

Av disse, samt av en rekke andre grunner, behandles vurderingen av informasjonssikkerhetsrisiko i beste fall, og i verste fall med stor mistillit. Dette miskrediterer selve ideen om risikostyring, som som et resultat fører til sabotasje av denne prosessen av ledelsen, og som et resultat forekomsten av en rekke hendelser som er fulle av årlige analytiske rapporter.

Med tanke på ovenstående, hvilken side er det best å nærme seg oppgaven med å vurdere informasjonssikkerhetsrisikoer?

Et friskt utseende

Informasjonssikkerhet i dag er i økende grad fokusert på forretningsmål og er integrert i forretningsprosesser. En lignende metamorfose finner sted med risikovurdering – den får den nødvendige forretningsmessige konteksten. Hvilke kriterier bør en moderne IS-risikovurderingsmetodikk oppfylle? Det skal selvsagt være enkelt og universelt nok slik at resultatene av søknaden inspirerer til tillit og er nyttige for alle deltakere i prosessen. La oss fremheve en rekke prinsipper som en slik teknikk bør baseres på:

  1. unngå unødvendige detaljer;
  2. stole på virksomhetens mening;
  3. bruk eksempler;
  4. vurdere eksterne informasjonskilder.

Essensen av den foreslåtte metodikken illustreres best med et praktisk eksempel. Vurder problemet med å vurdere informasjonssikkerhetsrisikoer i et handels- og produksjonsselskap. Hvordan starter det vanligvis? Med definisjonen av grensene for vurderingen. Hvis risikovurdering utføres for første gang, bør grensene omfatte de viktigste forretningsprosessene som genererer inntekter, samt prosesser som betjener dem.

Hvis forretningsprosesser ikke er dokumentert, kan en generell ide om dem fås ved å undersøke organisasjonsstrukturen og regelverket på avdelinger, som inneholder en beskrivelse av mål og mål.

Etter å ha definert verdivurderingsgrensene, la oss gå videre til å identifisere eiendeler. I samsvar med ovenstående vil vi vurdere hovedforretningsprosessene som konsoliderte eiendeler, og utsette beholdningen av informasjonsressurser til de neste stadiene (regel 1). Dette skyldes det faktum at metodikken forutsetter en gradvis overgang fra det generelle til det spesielle, og på dette detaljnivået er disse dataene rett og slett ikke nødvendige.

Risikofaktorer

Vi vil anta at vi har tatt stilling til sammensetningen av eiendelene som skal verdsettes. Deretter må du identifisere truslene og sårbarhetene knyttet til dem. Denne tilnærmingen er imidlertid kun anvendelig når du utfører en detaljert risikoanalyse, der objektene i informasjonsaktivummiljøet er gjenstander for vurdering. I den nye versjonen av ISO / IEC 27001: 2013 har fokus for risikovurdering flyttet seg fra tradisjonelle IT-ressurser til informasjon og behandlingen av den. Siden vi på det nåværende detaljnivået vurderer de utvidede forretningsprosessene til selskapet, er det tilstrekkelig å identifisere bare de høye risikofaktorene som er iboende i dem.

En risikofaktor er en spesifikk egenskap ved et objekt, teknologi eller prosess som er en kilde til problemer i fremtiden. Samtidig kan vi snakke om tilstedeværelsen av risiko som sådan bare hvis problemene påvirker selskapets ytelse negativt. En logisk kjede bygges:

Dermed reduseres oppgaven med å identifisere risikofaktorer til å identifisere mislykkede egenskaper og egenskaper ved prosesser som bestemmer sannsynlige scenarier for implementering av risiko som har en negativ innvirkning på virksomheten. For å forenkle løsningen, la oss bruke ISACAs forretningsmodell for informasjonssikkerhet (se figur 1):

Ris. 1. Forretningsmodell for informasjonssikkerhet

Nodene til modellen indikerer de grunnleggende drivkreftene til enhver organisasjon: strategi, prosesser, mennesker og teknologier, og kantene representerer de funksjonelle forbindelsene mellom dem. I disse ribbeina er i utgangspunktet de viktigste risikofaktorene konsentrert. Det er lett å se at risikoen ikke bare er knyttet til informasjonsteknologi.

Hvordan identifisere risikofaktorer basert på den gitte modellen? Det er nødvendig å involvere næringslivet i dette (regel 2). Forretningsenheter er vanligvis godt klar over utfordringene de møter på jobben. Erfaringene til kolleger i bransjen blir også ofte tilbakekalt. Du kan få denne informasjonen ved å stille de riktige spørsmålene. Det er tilrådelig å ta opp personalrelaterte problemer til HR-avdelingen, teknologiske problemer til automatiseringstjenesten (IT) og forretningsrelaterte problemer til de aktuelle forretningsenhetene.

I oppgaven med å identifisere risikofaktorer er det mer praktisk å starte fra problemer. Etter å ha identifisert et problem, er det nødvendig å fastslå årsaken. Som et resultat kan en ny risikofaktor identifiseres. Den største vanskeligheten her er ikke å skli spesielt. For eksempel, hvis en hendelse skjedde som følge av en ansatts ulovlige handlinger, vil risikofaktoren ikke være at den ansatte har brutt bestemmelsene i en eller annen forskrift, men det faktum at handlingen i seg selv ble mulig. En risikofaktor er alltid en forutsetning for et problem.

For at personalet bedre skal forstå hva de blir spurt om, er det lurt å følge spørsmålene med eksempler (regel 3). Følgende er eksempler på flere risikofaktorer på høyt nivå som kan finnes i mange forretningsprosesser:

Personale:

  • Utilstrekkelige kvalifikasjoner (Human Factors-kanten i fig. 1)
  • Mangel på ansatte (Emergence rib)
  • Lav motivasjon (ribbekultur)

Prosesser:

  • Hyppige endringer i eksterne krav (styrende kant)
  • Underutviklet prosessautomatisering (edge-enabling & support)
  • Kombinere roller av utøvere (Emergence rib)

Teknologier:

  • Utdatert programvare (edge-aktivering og støtte)
  • Lav brukeransvar (Human Factors edge)
  • Heterogent IT-landskap (arkitekturribbe)

En viktig fordel med den foreslåtte vurderingsmetoden er muligheten for kryssanalyse, der to ulike avdelinger vurderer samme problemstilling fra ulike vinkler. Med dette i tankene er det svært nyttig å stille intervjuobjektene spørsmål som "Hva synes du om problemene som kollegene dine har identifisert?" Dette er en fin måte å få flere karakterer på samt justere eksisterende. Det kan gjennomføres flere runder med denne vurderingen for å finpusse resultatet.

Innvirkning på virksomheten

Som det følger av definisjonen av risiko, er den preget av graden av innvirkning på virksomhetens ytelse til organisasjonen. Balanced Scorecards-systemet er et praktisk verktøy for å bestemme innvirkningen av risikorealiseringsscenarier på virksomheten. Uten å gå i detaljer, merker vi at Balanced Scorecards identifiserer 4 forretningsperspektiver for ethvert selskap, koblet på en hierarkisk måte (se fig. 2).

Ris. 2. Fire forretningsperspektiver til Balanced Scorecard

I forhold til den vurderte metodikken kan en risiko anses som betydelig dersom den påvirker minst ett av følgende tre forretningsprospekter negativt: økonomi, kunder og/eller prosesser (se fig. 3).

Ris. 3. Viktige forretningsindikatorer

For eksempel kan en "lav brukeransvarlighet"-risikofaktor resultere i et "Kundeinformasjonslekkasje"-scenario. I sin tur vil dette påvirke kundetellingen.

Hvis selskapet har utviklet forretningsmålinger, forenkler dette situasjonen betydelig. Når det er mulig å spore virkningen av et bestemt risikoscenario på en eller flere forretningsindikatorer, kan den tilsvarende risikofaktoren anses som betydelig, og resultatene av vurderingen må registreres i spørreskjemaer. Jo høyere i hierarkiet av forretningsberegninger påvirkningen av et scenario spores, desto større er potensielle konsekvenser for virksomheten.

Oppgaven med å analysere disse konsekvensene er en ekspert, derfor bør den løses med involvering av spesialiserte forretningsenheter (regel 2). For ytterligere kontroll av de innhentede estimatene, er det nyttig å bruke eksterne informasjonskilder som inneholder statistikk over mengden tap som følge av hendelser (regel 4), for eksempel årsrapporten "Cost of Data Breach Study".

Sannsynlighetspoeng

På det siste stadiet av analysen, for hver identifisert risikofaktor, hvis innvirkning på virksomheten ble bestemt, er det nødvendig å vurdere sannsynligheten for de tilknyttede scenariene. Hva avhenger denne vurderingen av? I stor grad avhenger det av tilstrekkeligheten av beskyttelsestiltakene som er iverksatt i virksomheten.

Det er en liten antagelse her. Det er logisk å anta at siden problemet er identifisert, betyr det at det fortsatt er relevant. Samtidig er de iverksatte tiltakene mest sannsynlig ikke nok til å utjevne forutsetningene for fremveksten. Tilstrekkeligheten av mottiltak bestemmes av resultatene av å vurdere effektiviteten av deres anvendelse, for eksempel ved å bruke et system med beregninger.

En enkel 3-nivå skala kan brukes til vurdering, hvor:

3 - iverksatte mottiltak er generelt tilstrekkelige;

2 - mottiltak er utilstrekkelig implementert;

1 - det er ingen mottiltak.

Bransjespesifikke standarder og retningslinjer som CobiT 5, ISO / IEC 27002 m.fl. kan brukes som referanser som beskriver mottiltak Hvert mottiltak må være forbundet med en spesifikk risikofaktor.

Det er viktig å huske at vi analyserer risikoene knyttet ikke bare til bruk av IT, men også med organiseringen av interne informasjonsprosesser i bedriften. Derfor bør mottiltak vurderes bredere. Det er ikke for ingenting at den nye versjonen av ISO / IEC 27001: 2013 har et forbehold om at ved valg av mottiltak er det nødvendig å bruke eventuelle eksterne kilder (regel 4), og ikke bare vedlegg A, som finnes i standarden for referanseformål.

Risikostørrelse

For å bestemme den totale risikoverdien kan du bruke den enkleste tabellen (se tabell. 1).

Tab. 1. Risikovurderingsmatrise

I tilfelle en risikofaktor påvirker flere forretningsprospekter, for eksempel "Kunder" og "Finans", legges deres beregninger sammen. Dimensjonen på skalaen, så vel som de akseptable nivåene av informasjonssikkerhetsrisikoer, kan bestemmes på en hvilken som helst praktisk måte. I dette eksemplet anses risiko som høy hvis de har nivå 2 og 3.

På dette tidspunktet kan den første fasen av risikovurderingen anses som fullført. Den totale verdien av risikoen knyttet til den vurderte forretningsprosessen bestemmes som summen av de sammensatte verdiene for alle identifiserte faktorer. Eier av risiko kan anses som ansvarlig i virksomheten for det vurderte objektet.

Det resulterende tallet forteller oss ikke hvor mye penger organisasjonen risikerer å tape. I stedet indikerer det området for konsentrasjon av risikoer og arten av deres innvirkning på virksomhetens ytelse. Denne informasjonen er nødvendig for å kunne fokusere ytterligere på de viktigste detaljene.

Detaljert evaluering

Hovedfordelen med metoden som vurderes er at den lar deg utføre infmed ønsket detaljnivå. Om nødvendig kan du "falle" inn i elementene i IS-modellen (fig. 1) og vurdere dem mer detaljert. For eksempel, ved å identifisere den høyeste konsentrasjonen av risiko i IT-relaterte kanter, kan du øke detaljnivået i teknologinoden. Hvis tidligere en egen forretningsprosess var gjenstand for risikovurdering, vil fokus nå flyttes til et spesifikt informasjonssystem og prosessene for bruk av det. For å gi nødvendig detaljnivå kan det være nødvendig å foreta en oversikt over informasjonsressurser.

Alt dette gjelder også andre vurderingsområder. Når granulariteten til People-noden endres, kan målene for vurdering være personalroller eller til og med individuelle ansatte. For en prosessnode kan dette være spesifikke arbeidspolicyer og prosedyrer.

Endring av detaljnivå endrer automatisk ikke bare risikofaktorene, men også gjeldende mottiltak. Begge vil bli mer spesifikke for vurderingsfaget. Samtidig vil den generelle tilnærmingen til vurdering av risikofaktorer ikke endres. For hver identifiserte faktor vil det være nødvendig å vurdere:

  • i hvilken grad risiko påvirker forretningsutsiktene;
  • tilstrekkelig med mottiltak.

Russisk syndrom

Utgivelsen av ISO / IEC 27001: 2013-standarden har satt mange russiske selskaper i en vanskelig posisjon. På den ene siden har de allerede utviklet en viss tilnærming til å vurdere informasjonssikkerhetsrisikoer, basert på klassifisering av informasjonsmidler, vurdering av trusler og sårbarheter. Nasjonale regulatorer klarte å utstede en rekke forskrifter som støtter denne tilnærmingen, for eksempel Bank of Russia-standarden, FSTEC-ordrer. På den annen side er det et forlengst behov for endringer i oppgaven med risikovurdering, og nå er det nødvendig å modifisere den etablerte prosedyren slik at den møter både gamle og nye krav. Ja, i dag er det fortsatt mulig å bli sertifisert i henhold til GOST R ISO / IEC 27001: 2006-standarden, som er identisk med den forrige versjonen av ISO / IEC 27001, men dette er ikke lenge til.

Risikoanalyseteknikken diskutert ovenfor løser dette problemet. Ved å kontrollere detaljnivået i en vurdering kan du vurdere eiendeler og risikoer i alle skalaer, fra forretningsprosesser til individuelle informasjonsflyter. Denne tilnærmingen er også praktisk fordi den lar deg dekke alle risikoer på høyt nivå uten å gå glipp av noe. Samtidig vil selskapet redusere lønnskostnadene betydelig for videre analyse og vil ikke kaste bort tid på en detaljert vurdering av uvesentlig risiko.

Det skal bemerkes at jo høyere detaljeringsgrad i vurderingsområdet, desto større ansvar tildeles ekspertene og jo mer kompetanse er nødvendig, for når analysedybden endres, endres ikke bare risikofaktorer, men også landskapet. av gjeldende mottiltak.

Til tross for alle forsøk på å forenkle, er det fortsatt tidkrevende og komplekst å analysere informasjonssikkerhetsrisikoer. Lederen av denne prosessen har et spesielt ansvar. Mange ting vil avhenge av hvor kompetent han bygger en tilnærming og takler oppgaven - fra tildelingen av et budsjett for informasjonssikkerhet til bærekraften til virksomheten.

I januar 2018 ble Global Risks to Humanity Report 2018 presentert på World Economic Forum i Davos. Det følger av rapporten at betydningen av informasjonssikkerhetsrisikoer øker både på grunn av økningen i antall iverksatte angrep og tatt i betraktning deres destruktive potensial.

Noen av de vanligste risikostyringsteknikkene for informasjonssikkerhet i verden er CRAM, COBIT for Risk, FRAP, Octave og Microsoft. Sammen med visse fordeler har de også sine begrensninger. Spesielt kan de oppførte utenlandske metodene brukes effektivt av kommersielle selskaper, mens statlige organisasjoner, når de vurderer og administrerer informasjonssikkerhetsrisikoer, må veiledes av bestemmelsene i forskriftene til FSTEC i Russland. For eksempel, for automatiserte kontrollsystemer for produksjon og teknologiske prosesser ved kritiske anlegg, bør man være veiledet av ordre fra FSTEC i Russland datert 14. mars 2014 nr. 31. Samtidig kan dette dokumentet brukes som tilleggsmateriale av de føderale utøvende myndighetene.

Informasjonssikkerhetsrisikoer i det moderne samfunn

De siste årene har antallet angrep på organisasjoner doblet seg. Angrep som fører til ekstraordinære skader er i ferd med å bli vanlig. Den økonomiske skaden fra angrep er på vei opp, og et av de største tapene er knyttet til løsepenge-angrep. Et slående eksempel på dette er angrepene fra løsepengevarene WannaCry og NotPetya, som påvirket mer enn 300 tusen datamaskiner i 150 land rundt om i verden og resulterte i økonomiske tap på mer enn 300 millioner dollar.

En annen trend er en økning i antall angrep på kritisk infrastruktur og strategiske industrianlegg, noe som kan føre til deaktivering av systemene som støtter menneskehetens livsstøtte og fremveksten av globale menneskeskapte katastrofer.

Informasjonssikkerhetsrisikoer er derfor inkludert i de tre mest sannsynlige risikoene (sammen med risikoen for naturkatastrofer og ekstreme værforhold) og i listen over de seks mest kritiske risikoene for mulig skade (sammen med risikoen ved bruk av massevåpen ødeleggelse, naturkatastrofer, værfeil og mangel på drikkevann). Derfor er risikostyring av informasjonssikkerhet et av de prioriterte områdene for utvikling av organisasjoner rundt om i verden og er helt avgjørende for deres videre funksjon.

Mål og tilnærminger til risikostyring av informasjonssikkerhet

Målet for enhver organisasjon er å oppnå visse indikatorer som karakteriserer resultatene av dens aktiviteter. For kommersielle selskaper er dette for eksempel å tjene penger, øke kapitaliseringen, markedsandelen eller omsetningen, og for statlige organisasjoner - tilby offentlige tjenester til befolkningen og løse ledelsesproblemer. I alle fall, uavhengig av formålet med organisasjonens aktiviteter, kan oppnåelsen av dette målet hindres av realiseringen av informasjonssikkerhetsrisikoer. Samtidig vurderer hver organisasjon på sin måte risikoene og muligheten for å investere i reduksjonen.

Dermed er målet med infå opprettholde dem på et akseptabelt nivå for organisasjonen. For å løse dette problemet oppretter organisasjoner integrerte informasjonssikkerhetssystemer (ISS).

Når man oppretter slike systemer, oppstår spørsmålet om å velge beskyttelsesverktøy som sikrer reduksjon av informasjonssikkerhetsrisikoer identifisert i analyseprosessen uten for store kostnader for implementering og støtte for disse verktøyene. Analyse av informasjonssikkerhetsrisiko lar deg bestemme det nødvendige og tilstrekkelige settet med informasjonsbeskyttelsesverktøy, samt organisatoriske tiltak rettet mot å redusere informasjonssikkerhetsrisikoer, og å utvikle en organisasjons ISS-arkitektur som er mest effektiv for dens spesifikke aktiviteter og rettet mot å redusere dens informasjonssikkerhetsrisikoer.

Alle risikoer, inkludert informasjonssikkerhetsrisikoer, er preget av to parametere: potensiell skade på organisasjonen og sannsynligheten for implementering. Å bruke kombinasjonen av disse to egenskapene for risikoanalyse gjør det mulig å sammenligne risikoer med ulike nivåer av skade og sannsynlighet, noe som fører dem til et generelt uttrykk som er forståelig for de som tar beslutninger om å minimere risiko i en organisasjon. Samtidig består risikostyringsprosessen av følgende logiske stadier, hvis sammensetning og innhold avhenger av den brukte risikovurderingen og styringsmetodikken:

  1. Bestemmelse av et akseptabelt risikonivå for organisasjonen (risikoappetitt) - et kriterium som brukes når man skal avgjøre om man skal akseptere en risiko eller behandle den. Ut fra dette kriteriet fastsettes det hvilke risikoer identifisert i fremtiden som vil bli ubetinget akseptert og utelukket fra videre vurdering, og hvilke som skal analyseres nærmere og inkluderes i risikoresponsplanen.
  2. Identifisering, analyse og vurdering av risikoer. For å ta en beslutning om risikoer, må de identifiseres unikt og vurderes med tanke på skade fra realiseringen av risikoen og sannsynligheten for realisering. Skadevurdering bestemmer graden av risikopåvirkning på organisasjonens IT-ressurser og forretningsprosessene de støtter. Ved vurdering av sannsynligheten foretas en analyse av sannsynligheten for at risikoen realiseres. Vurderingen av disse parameterne kan baseres på identifisering og analyse av sårbarheter som ligger i IT-eiendeler som kan påvirkes av risiko og trusler, hvis implementering er mulig gjennom utnyttelse av disse sårbarhetene. Avhengig av risikovurderingsmetodikken som brukes, kan angriperens modell, informasjon om organisasjonens forretningsprosesser og andre faktorer knyttet til implementering av risiko, som den politiske, økonomiske, markedsmessige eller sosiale situasjonen i organisasjonens miljø, også brukes som de første dataene for deres vurdering. Ved vurdering av risiko kan en kvalitativ, kvantitativ eller blandet tilnærming til vurderingen av dem brukes. Fordelen med en kvalitativ tilnærming er dens enkelhet, minimering av tid og arbeidskostnader for å utføre risikovurdering, begrensninger - utilstrekkelig synlighet og kompleksitet ved å bruke resultatene av risikoanalyse for økonomisk begrunnelse og vurdere gjennomførbarheten av å investere i risikoresponstiltak. Fordelen med den kvantitative tilnærmingen er nøyaktigheten av risikovurdering, klarheten av resultatene og evnen til å sammenligne verdien av risiko, uttrykt i penger, med mengden av investeringer som kreves for å svare på denne risikoen, ulempene er kompleksiteten, høy arbeidsintensitet og varighet av utførelse.
  3. Risikorangering. For å prioritere respons på risiko og påfølgende utvikling av en responsplan, må alle risikoer rangeres. Ved rangering av risikoer, avhengig av metoden som brukes, vil slike kriterier for å bestemme kritikalitet som skade fra realisering av risiko, sannsynlighet for realisering, IT-eiendeler og forretningsprosesser påvirket av risikoen, offentlig resonans og omdømmeskade fra realisering av risiko, etc. ., kan brukes.
  4. Bestem deg for risikoer og lag en risikoresponsplan. For å bestemme settet med tiltak for å reagere på risikoer, er det nødvendig å analysere de identifiserte og vurderte risikoene for å ta en av følgende beslutninger for hver av dem:
    • Unngå risiko;
    • Risikotaking;
    • Risikooverføring;
    • Risikoreduksjon.
    Beslutningen som tas for hver risiko bør registreres i en risikoresponsplan. Denne planen kan også inneholde, avhengig av metoden som brukes, følgende informasjon som er nødvendig for å reagere på risikoer:
    • Ansvarlig for respons;
    • Beskrivelse av innsatstiltak;
    • Vurdere investeringen som trengs for responsen;
    • Tidsramme for gjennomføring av disse tiltakene.
  5. Implementering av tiltak for å reagere på risiko. For å iverksette risikoresponstiltak vil de ansvarlige organisere gjennomføringen av handlingen beskrevet i risikoresponsplanen innen den nødvendige tidsrammen.
  6. Evaluering av effektiviteten til de iverksatte tiltakene. For å sikre at tiltakene som er iverksatt i henhold til responsplanen er effektive og risikonivået er hensiktsmessig for organisasjonen, vurderes effektiviteten av hver implementert risikorespons, samt at organisasjonens risikoer jevnlig identifiseres, analyseres og vurderes.
La oss vurdere de mest kjente risikostyringsteknikkene for informasjonssikkerhet: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

CRAM Metodikkgjennomgang

CRAMM (CCTA Risk Analysis and Management Method), utviklet av den britiske sikkerhetstjenesten i 1985, er basert på BS7799-serien av styringsstandarder for informasjonssikkerhet (for tiden revidert til ISO 27000) og beskriver en tilnærming til kvalitativ risikovurdering. I dette tilfellet skjer overgangen til en skala av verdier av kvalitative indikatorer ved hjelp av spesielle tabeller som bestemmer samsvaret mellom kvalitative og kvantitative indikatorer. Risikovurdering er basert på en analyse av forretningsverdien til en IT-aktiva, sårbarheter, trusler og sannsynligheten for at de inntreffer.

Risikostyringsprosessen ved bruk av CRMM-metoden består av følgende stadier:

  1. Initiering På dette stadiet gjennomføres en rekke intervjuer med personer som er interessert iyseprosessen, inkludert de som er ansvarlige for drift, administrasjon, sikkerhet og bruk av IT-midler som risikoanalysen utføres for. Som et resultat gis det en formalisert beskrivelse av området for videre forskning, dets grenser og sammensetningen av personene som er involvert i risikoanalysen.
  2. Identifikasjon og verdsettelse av eiendeler. En liste over IT-ressurser som brukes av organisasjonen i et tidligere definert forskningsområde fastsettes. I henhold til CRAM-metoden kan IT-ressurser være av en av følgende typer:
    • Data;
    • Programvare;
    • Fysiske eiendeler.
    For hvert aktiva bestemmes dets kritikkverdighet for organisasjonens aktiviteter, og sammen med representanter for avdelinger som bruker IT-middelet for å løse anvendte problemer, vurderes konsekvensene for organisasjonens aktiviteter fra brudd på dens konfidensialitet, integritet og tilgjengelighet.
  3. Trussel- og sårbarhetsvurdering. I tillegg til å vurdere hvor kritiske IT-midler er, er en viktig del av CRAMM-metodikken å vurdere sannsynligheten for trusler og sårbarheter ved IT-ressurser. CRAMM-metodikken inneholder tabeller som beskriver samsvaret mellom sårbarhetene til IT-ressurser og truslene som kan påvirke IT-ressurser gjennom disse sårbarhetene. Det finnes også tabeller som beskriver skaden på IT-eiendeler i tilfelle disse truslene. Dette stadiet utføres kun for de mest kritiske IT-midlene, for hvilke det ikke er nok å implementere et grunnleggende sett med informasjonssikkerhetstiltak. Identifisering av aktuelle sårbarheter og trusler gjøres ved å intervjue personer med ansvar for administrasjon og drift av IT-midler. For resten av IT-midlene inneholder CRAM-metodikken et sett med nødvendige grunnleggende informasjonssikkerhetstiltak.
  4. Risikoberegning. Beregningen av risiko gjøres etter formelen: Risiko = P (realisering) * Skade. I dette tilfellet beregnes sannsynligheten for risikorealisering med formelen: P (realisering) = P (trussel) * P (sårbarhet). På stadiet for å beregne risikoen for hver IT-eiendel, bestemmes kravene til et sett med tiltak for å sikre informasjonssikkerheten på en skala fra "1" til "7", der verdien "1" tilsvarer minimumskravet. av tiltak for å sikre informasjonssikkerhet, og verdien "7" - maksimum.
  5. Risikostyring. Basert på resultatene av risikoberegningen, bestemmer CRMM-metodikken det nødvendige settet med tiltak for å sikre informasjonssikkerhet. For dette brukes en spesiell katalog, som inkluderer omtrent 4 tusen tiltak. Tiltakssettet anbefalt av CRAM-metodikken sammenlignes med tiltakene som allerede er tatt av organisasjonen. Som et resultat av dette identifiseres områder som krever ekstra oppmerksomhet når det gjelder anvendelse av sikkerhetstiltak og områder med overflødige sikkerhetstiltak. Denne informasjonen brukes til å danne en handlingsplan for å endre sammensetningen av beskyttelsestiltak som brukes i organisasjonen - for å bringe risikonivået til det nødvendige nivået.
Fra et praktisk brukssynspunkt kan følgende fordeler med CRAM-teknikken skilles:
  • En gjentatte ganger utprøvd metode hvor det er samlet opp betydelig erfaring og faglig kompetanse; resultatene av CRAM-søknaden er anerkjent av internasjonale institusjoner;
  • Tilstedeværelsen av en forståelig formalisert beskrivelse av metodikken minimerer muligheten for feil i implementeringen av prosessene for analyse og risikostyring;
  • Tilgjengeligheten av automatiseringsverktøy for risikoanalyse lar deg minimere arbeidskostnadene og tiden det tar å utføre aktiviteter for analysen og risikostyringen;
  • Kataloger over trusler, sårbarheter, konsekvenser, informasjonssikkerhetstiltak forenkler kravene til spesialkunnskap og kompetanse til de direkte utførerne av risikoanalyse og styringstiltak.
Denne CRAM-teknikken har følgende ulemper:
  • Høy kompleksitet og arbeidskrevende å samle inn første data, som krever involvering av betydelige ressurser i organisasjonen eller utenfra;
  • Store utgifter til ressurser og tid for implementering av prosesser for analyse og styring av informasjonssikkerhetsrisikoer;
  • Involvering av et stort antall interessenter krever betydelige kostnader for å organisere felles arbeid, kommunikasjon i prosjektteamet og enighet om resultatene;
  • Manglende evne til å vurdere risikoen i penger gjør det vanskelig å bruke resultatene fra informai mulighetsstudien av investeringer som kreves for å implementere informasjonssikkerhetsverktøy og metoder.
CRAMM er mye brukt i både offentlige og kommersielle organisasjoner rundt om i verden, og er de facto-standarden for infi Storbritannia. Teknikken kan med hell brukes i store organisasjoner fokusert på internasjonal interaksjon og overholdelse av internasjonale styringsstandarder, og utfører den første implementeringen av informasjonssfor å dekke hele organisasjonen på en gang. Samtidig må organisasjoner kunne avsette betydelige ressurser og tid til implementering av CRAM.

Oversikt over COBIT for Risk Methodology

COBIT for Risk-metodikken ble utviklet av ISACA (Information Systems Audit and Control Association) i 2013 og er basert på beste risikostyringspraksis (COSO ERM, ISO 31000, ISO \ IEC 27xxx, etc.). Metodikken vurderer informasjonssikkerhetsrisikoer i forhold til risikoene ved organisasjonens kjerneaktiviteter, beskriver tilnærmingene til implementering av informasjonssii organisasjonen og til prosessene for kvalitativ analyse av informasjonssikkerhetsrisikoer og håndteringen av disse.

    Når du implementerer funksjonen og prosessen for risikostyring i en organisasjon, identifiserer metodikken følgende komponenter som påvirker både informasjonssikkerhetsrisikoer og prosessen med å administrere dem:
    • Organisasjonsprinsipper, retningslinjer, prosedyrer;
    • prosesser;
    • Organisasjonsstruktur;
    • Bedriftskultur, etikk og atferdsregler;
    • Informasjon;
    • IT-tjenester, IT-infrastruktur og applikasjoner;
    • Mennesker, deres erfaring og kompetanse.

    Når det gjelder organisering avingsfunksjonen, definerer og beskriver metodikken kravene til følgende komponenter:
    • Nødvendig prosess;
    • Informasjonsflyter;
    • Organisasjonsstruktur;
    • Mennesker og kompetanser.
    Hovedelementet i analysen og håndteringen av informasjonssikkerhetsrisikoer i henhold til metodikken er risikoscenarier. Hvert scenario er "en beskrivelse av en hendelse som, hvis den inntreffer, kan resultere i en usikker (positiv eller negativ) innvirkning på oppnåelsen av organisasjonens mål." Metodikken inneholder over 100 risikoscenarier som dekker følgende påvirkningskategorier:
    • Oppretting og vedlikehold av porteføljer av IT-prosjekter;
    • Program / prosjekt livssyklus ledelse;
    • Investering i IT;
    • Kompetanse og ferdigheter til IT-personell;
    • Operasjoner med personell;
    • Informasjon;
    • Arkitektur;
    • IT-infrastruktur;
    • Programvare;
    • Ineffektiv bruk av IT;
    • Valg og ledelse av IT-leverandører;
    • Overholdelse av regulatoriske krav;
    • Geopolitikk;
    • Tyveri av infrastrukturelementer;
    • Skadelig programvare;
    • Logiske angrep;
    • Teknogen påvirkning;
    • Miljø;
    • Naturfenomener;
    • Innovasjon.
    For hvert risikoscenario definerer metodikken graden av tilhørighet til hver type risiko:
    • Strategiske risikoer - risiko forbundet med tapte muligheter til å bruke IT for utvikling og forbedring av effektiviteten til organisasjonens hovedaktiviteter;
    • Prosjektrisiko - risiko forbundet med innvirkningen av IT på opprettelsen eller utviklingen av eksisterende prosesser i organisasjonen;
    • Risikoer ved IT-styring og levering av IT-tjenester - risiko forbundet med å sikre tilgjengelighet, stabilitet og levering av IT-tjenester til brukere med det nødvendige kvalitetsnivået, problemer med dette kan føre til skade på organisasjonens hovedaktiviteter.
    Hvert risikoscenario inneholder følgende informasjon:
    • Trusselkildetype - intern / ekstern.
    • Trusseltype - ondsinnet handling, naturfenomen, feil, etc.
    • Beskrivelse av hendelsen - tilgang til informasjon, ødeleggelse, modifikasjon, avsløring av informasjon, tyveri, etc.
    • Hvilke typer eiendeler (komponenter) i organisasjonen som påvirkes av hendelsen - personer, prosesser, IT-infrastruktur, etc.
    • Tidspunkt for arrangementet.
    Ved gjennomføring av risikoscenarioet for organisasjonens aktiviteter, forårsakes skade. Når man analyserer informasjonssikkerhetsrisikoer i samsvar med COBIT for Risk-metodikken, identifiseres derfor relevante risikoscenarier og risikoreduserende tiltak for å redusere sannsynligheten for at disse scenariene inntreffer. For hver av de identifiserte risikoene utføres en analyse av dens samsvar med organisasjonens risikovilje med påfølgende vedtak av en av følgende avgjørelser:
    • Unngå risiko;
    • Risikotaking;
    • Risikooverføring;
    • Risikoreduksjon.
    Videre risikostyring utføres ved å analysere det gjenværende risikonivået og ta en beslutning om behovet for å implementere ytterligere risikoreduserende tiltak. Metodikken gir veiledning om hvordan man implementerer risikoreduserende tiltak for hver type organisasjonskomponent.

    Fra et praktisk anvendelsessynspunkt kan følgende fordeler med COBIT for Risk-metodikken skilles ut:
    • Kobling til det felles COBIT-biblioteket og muligheten til å bruke tilnærminger og "IT-kontroller" (risikoreduserende tiltak) fra relaterte områder, slik at du kan vurdere informasjonssikkerhetsrisikoer og avbøtende tiltak i forhold til risikoens innvirkning på organisasjonens forretningsprosesser;
    • En godt utprøvd metode der betydelig erfaring og faglig kompetanse har blitt akkumulert, og resultatene er anerkjent av internasjonale institusjoner;
    • Tilstedeværelsen av en forståelig formalisert beskrivelse av metodikken lar deg minimere feil i implementeringen av prosessene for analyse og risikostyring;
    • Katalogene over risikoscenarier og "IT-kontroller" gjør det mulig å forenkle kravene til spesiell kunnskap og kompetanse til de direkte utførerne av tiltak for analyse og styring av risiko;
    • Evnen til å bruke metodikken når du gjennomfører revisjoner lar deg redusere arbeidskostnadene og tiden som kreves for å tolke resultatene av eksterne og interne revisjoner.
    Samtidig har COBIT for Risk-metodikken følgende ulemper og begrensninger:
    • Den høye kompleksiteten og arbeidskrevende med å samle inn første data krever involvering av betydelige ressurser enten i organisasjonen eller utenfra;
    • Involvering av et stort antall interessenter krever betydelige kostnader for å organisere felles arbeid, tildele tid for de involverte personene til å kommunisere i prosjektgruppen og bli enige om resultatene med alle interessenter;
    • Mangelen på evne til å vurdere risiko i penger gjør det vanskelig å bruke resultatene av vurdering av informasjonssikkerhetsrisikoer når man skal rettferdiggjøre investeringene som kreves for å implementere midlene og metodene for informasjonsbeskyttelse.
    Denne metoden brukes i både offentlige og kommersielle organisasjoner rundt om i verden. Metoden egner seg best for store teknologiorganisasjoner eller organisasjoner med høy grad av avhengighet av sine hovedaktiviteter av informasjonsteknologi, for de som allerede bruker (eller planlegger å bruke) COBIT-standarder og -metodikker for informasjonsteknologiledelse og har nødvendige ressurser og kompetanser. I dette tilfellet er det mulig å effektivt integrere informasjonssog generelle IT-styringsprosesser og oppnå en synergistisk effekt som vil optimere kostnadene ved å implementere infog styringsprosesser.

En av de viktigste oppgavene for å administrere informasjonssikkerheten til en organisasjon og dens KISS er risikostyring, eller risikostyring - koordinerte aktiviteter for å styre organisasjonen i forhold til risiko. I sammenheng med informasjonssikkerhetsrisikoer vurderes kun negative konsekvenser (tap).

Når det gjelder å oppnå forretningsmålene til en organisasjon, er risikostyring prosessen med å skape og dynamisk utvikle et økonomisk levedyktig informasjonssikkerhetssystem og et effektivt styringssystem for informasjonssikkerhet. Derfor er risikostyring en av hovedoppgavene og ansvaret til organisasjonens ledelse.

Risikostyring bruker sitt eget konseptuelle rammeverk, som i dag er standardisert, og er gitt i standardene GOST R ISO / IEC 13335-1-2006, GOST R ISO / IEC 27001-2006. ISO / IEC 27005: 2008 "Informasjonsteknologi. Metoder og midler for å sikre sikkerhet. Inf"gir konseptuell veiledning om risikostyring av informasjonssikkerhet og støtter de generelle konseptene og ISMS-modellen definert i GOST R ISO / IEC 27001-2006. Den er bygget på grunnlag av den britiske standarden BS 7799-3: 2006 og gjenspeiler til en viss grad den amerikanske standarden NIST SP 800-30: 2002, som også gir veiledning om risikostyring for informasjonsteknologisystemer, og er designet for å tilrettelegge for tilstrekkelig informasjonssikkerhet for organisasjonen og dens KISS basert på en risikostyringstilnærming. Et utkast til russisk nasjonal standard GOST R ISO / IEC 27005-2008, harmonisert med ISO / IEC 27005: 2008, er utarbeidet.

I disse standardene er risiko definert som den potensielle trusselen om skade på en organisasjon som følge av implementeringen av en trussel ved bruk av sårbarhetene til en eiendel eller gruppe av eiendeler. Informasjonssikkerhetsrisiko - muligheten for at denne trusselen vil utnytte sårbarhetene til et informasjonsmiddel (gruppe av eiendeler) og dermed skade organisasjonen. Det måles ved en kombinasjon av sannsynligheten for en uønsket hendelse og dens konsekvenser (mulig skade).

Risikostyring av informasjonssikkerhet omfatter flere prosesser, hvorav de viktigste er risikovurdering, som inkluderer risikoanalyse og vurdering, og risikobehandling - valg og implementering av risikomodifikasjonstiltak ved hjelp av vurderingsresultatene. Risikostyring for informasjonssikkerhet er en iterativ prosess som krever overvåking og periodisk gjennomgang.

Avhengig av omfanget, objektet og målene for risikostyring, kan ulike tilnærminger til styring og vurdering av informasjonssikkerhetsrisiko brukes - en høynivå og detaljert risikovurdering. Tilnærmingen kan også være forskjellig for hver iterasjon.

Risikoanalyse (identifikasjon og måling) kan utføres med varierende grad av granularitet, avhengig av hvor kritiske eiendelene er, utbredelsen av kjente sårbarheter og tidligere hendelser som påvirker organisasjonen. Analysens form bør være i samsvar med de valgte risikovurderingskriteriene. Målemetodikken kan være kvalitativ eller kvantitativ, eller en kombinasjon av begge, etter behov. I praksis brukes ofte kvalitativ vurdering først for å få generell informasjon om risikonivået og for å identifisere hovedverdiene av risiko. Senere kan det være nødvendig å gjennomføre en mer spesifikk eller kvantitativ analyse av hovedrisikoverdiene, siden det vanligvis er mindre vanskelig og rimeligere å utføre en kvalitativ analyse sammenlignet med en kvantitativ.

Ved valg av tilnærming til risikostyring og vurdering tas det hensyn til tre grupper av hovedkriterier – risikovurderingskriterier, påvirkningskriterier og risikoakseptkriterier. De må utvikles og defineres.

Kriteriene for å vurdere organisasjonens informasjonssikkerhetsrisikoer bør utvikles under hensyntagen til følgende:

  • - den strategiske verdien avg;
  • - kritiskheten til de berørte informasjonsmidlene;
  • - juridiske og forskriftsmessige krav og kontraktsmessige forpliktelser;
  • - den operasjonelle og forretningsmessige betydningen av informasjonens tilgjengelighet, konfidensialitet og integritet;
  • - forventninger om oppfatning av de involverte partene, samt negative konsekvenser for «immateriell kapital» og omdømme.

I tillegg kan risikovurderingskriterier brukes for å prioritere risikobehandling.

Påvirkningskriterier er identifisert med kriterier for potensielt tap av konfidensialitet, integritet og tilgjengelighet av eiendeler og reflekterer negative endringer i nivået på oppnådde forretningsmål.

Påvirkningskriterier bør utformes og bestemmes basert på graden av skade eller kostnad for organisasjonen forårsaket av en informasjonssikkerhetshendelse, med hensyn til følgende:

  • - klassifiseringsnivået til informasjonseiendelen, som påvirkes;
  • - brudd på informasjonssikkerhet (for eksempel tap av konfidensialitet, integritet og tilgjengelighet);
  • - svekket drift (intern eller tredjepart);
  • - tap av forretningsverdi og økonomisk verdi;
  • - brudd på planer og tidsfrister;
  • - skade på omdømmet;
  • - brudd på juridiske, forskriftsmessige eller kontraktsmessige krav.

Risikoakseptkriterier tilsvarer "risikoakseptkriteriene og identifisering av et akseptabelt risikonivå" definert i GOST R ISO / IEC 27001-2006. De må utvikles og defineres. Kriteriene for å akseptere risiko avhenger ofte av retningslinjer, intensjoner, mål for organisasjonen og interessentenes interesser.

Organisasjonen bør definere sine egne skalaer for nivåene for risikoaksept. Tenk på følgende når du utvikler:

  • - Kriteriene for å akseptere risiko kan omfatte mange terskler, med et ønsket målrisikonivå, men forutsatt at toppledelsen under visse omstendigheter aksepterer risikoer som er over det spesifiserte nivået;
  • - kriteriene for å akseptere risiko kan uttrykkes som forholdet mellom den kvantifiserte fordelen (eller annen forretningsfordel) og den kvantifiserte risikoen;
  • - ulike kriterier for å akseptere risiko kan gjelde for ulike risikoklasser, for eksempel kan risikoer for manglende overholdelse av direktiver og lover ikke aksepteres, mens aksept av risiko på høyt nivå kan tillates dersom det er spesifisert i kontraktskravet;
  • - kriteriene for å akseptere risikoen kan omfatte krav om fremtidig tilleggsbehandling, for eksempel kan risikoen aksepteres dersom det foreligger godkjenning og avtale om å iverksette tiltak for å redusere den til et akseptabelt nivå innen en spesifisert tidsperiode.

Kriteriene for å akseptere risiko kan variere avhengig av hvor lenge risikoen forventes å eksistere, for eksempel kan risikoen være knyttet til midlertidige eller kortsiktige aktiviteter. Kriteriene for å akseptere risiko bør fastsettes under hensyntagen til virksomhetens kriterier; juridiske og regulatoriske aspekter; operasjoner; teknologier; finansiere; sosiale og humanitære faktorer.

I samsvar med ISO/IEC 27005:2008 dekker risikostyring for informasjonssikkerhet følgende prosesser: kontekstsetting, risikovurdering, risikobehandling, risikoaksept, risikokommunikasjon og risikoovervåking og gjennomgang.

Som sett fra fig. 3.5, kan risikostyringsprosessen for informasjonssikkerhet være iterativ for aktiviteter som risikovurdering og/eller risikobehandling. En iterativ tilnærming til å gjennomføre en risikovurdering kan øke dybden og granulariteten til vurderingen med hver iterasjon. En iterativ tilnærming gir en god balanse mellom tiden og innsatsen som brukes på å definere kontroller (sikkerhetskontroller og sikkerhetskontroller), samtidig som den sikrer at risikoer på høyt nivå håndteres riktig.

I BC&S og RAPAs firefasemodell er det å etablere konteksten, vurdere risikoen, utvikle en risikobehandlingsplan og akseptere risikoen en del av "plan"-fasen. I "gjør"-fasen av handlingen

Ris. 3.5.

og kontrollene som kreves for å redusere risikoen til et akseptabelt nivå, implementeres i samsvar med risikobehandlingsplanen. I «sjekk»-fasen avgjør ledere behovet for å revidere risikobehandlingen i lys av hendelser og endringer i omstendigheter. I «act»-fasen utføres alt nødvendig arbeid, inkludert reinitiering av risikostyringsprosessen for informasjonssikkerhet.

Bord 3.3 lister opp aktivitetene (prosessene) knyttet til risikostyring som er relevante for de fire fasene av ISMS-prosessen basert på PDAP-modellen.

Tabell 3.3

Forholdet mellom fasene i ISMS-prosessen og prosessene og delprosessene for risikostyring av informasjonssikkerhet

Å etablere konteksten for risikostyring for informasjonssikkerhet inkluderer å etablere hovedkriteriene (vurdere risikoer, påvirke eller akseptere risikoer), definere omfanget og grensene, og etablere en hensiktsmessig organisasjonsstruktur for risikostyring.

Konteksten etableres først når det gjennomføres en risikovurdering på høyt nivå. Vurdering på høyt nivå gir muligheten til å prioritere og tidslinje handlinger. Hvis den gir tilstrekkelig informasjon til å effektivt bestemme handlingene som kreves for å redusere risikoen til et akseptabelt nivå, er oppgaven fullført og risikobehandling følger. Hvis informasjonen er utilstrekkelig, utføres en ny iterasjon av risikovurderingen ved å bruke den reviderte konteksten (for eksempel ved bruk av risikovurderingskriterier, risikoaksept eller konsekvenskriterier), muligens i begrensede deler av det fulle omfanget (se figur 3.5, risiko). vedtakspunkt nr. 1).

I praksis brukes kvantitative og kvalitative tilnærminger for å vurdere informasjonssikkerhetsrisikoer. Hva er forskjellen mellom dem?

Kvantitativ metode

Kvantitativ risikovurdering brukes i situasjoner der truslene som undersøkes og de tilhørende risikoene kan sammenlignes med de endelige kvantitative verdiene uttrykt i penger, prosent, tid, menneskelige ressurser, etc. Metoden lar deg få spesifikke verdier av objekter for risikovurdering ved implementering av trusler mot informasjonssikkerhet.

I en kvantitativ tilnærming tildeles alle elementer i risikovurderingen spesifikke og reelle kvantitative verdier. Algoritmen for å oppnå disse verdiene bør være klar og forståelig. Gjenstanden for vurdering kan være verdien av en eiendel i monetære termer, sannsynligheten for at en trussel blir realisert, skade fra en trussel, kostnadene for beskyttelsestiltak, og så videre.

Hvordan kvantifisere risiko?

1. Bestem verdien av informasjonsmidler i monetære termer.

2. Vurder i kvantitative termer den potensielle skaden fra implementeringen av hver trussel i forhold til hver informasjonsressurs.

Du bør få svar på spørsmålene "Hvilken del av eiendelsverdien vil være skaden fra implementeringen av hver trussel?"

3. Bestem sannsynligheten for implementering av hver av IS-truslene.

For å gjøre dette kan du bruke statistikk, undersøkelser av ansatte og interessenter. I prosessen med å bestemme sannsynligheten, beregne frekvensen av hendelser knyttet til implementeringen av den betraktede IS-trusselen over en kontrollperiode (for eksempel ett år).

4. Bestem den totale potensielle skaden fra hver trussel i forhold til hver eiendel for kontrollperioden (i ett år).

Verdien beregnes ved å multiplisere engangsskaden fra trusselrealiseringen med trusselrealiseringsfrekvensen.

5. Gjennomfør en analyse av mottatte data om skade for hver trussel.

For hver trussel må det tas en beslutning: aksepter risikoen, reduser risikoen eller overfør risikoen.

Å akseptere en risiko betyr å realisere den, akseptere dens mulighet og fortsette å handle som før. Gjelder for trusler med lav skade og lav sannsynlighet.

Å redusere risikoen innebærer å innføre ytterligere tiltak og beskyttelsesmidler, drive opplæring av personell osv. Det vil si å utføre bevisst arbeid for å redusere risikoen. Samtidig er det nødvendig å foreta en kvantitativ vurdering av effektiviteten av tilleggstiltak og beskyttelsesmidler. Alle kostnader som påløper av organisasjonen, fra kjøp av verneutstyr til igangkjøring (inkludert installasjon, konfigurasjon, opplæring, vedlikehold, etc.), bør ikke overstige mengden skade fra implementeringen av trusselen.

Å overføre risiko innebærer å flytte konsekvensene fra realiseringen av risikoen til en tredjepart, for eksempel ved hjelp av forsikring.

Som et resultat av en kvantitativ risikovurdering, bør følgende bestemmes:

  • pengeverdien av eiendeler;
  • en fullstendig liste over alle IS-trusler med skade fra en enkelt hendelse for hver trussel;
  • hyppigheten av implementering av hver trussel;
  • potensiell skade fra hver trussel;
  • Anbefalte sikkerhetstiltak, mottiltak og handlinger for hver trussel.

Kvantitativ analyse av informasjonssikkerhetsrisikoer (eksempel)

La oss vurdere teknikken ved å bruke eksemplet med en organisasjons webserver, som brukes til å selge et spesifikt produkt. Kvantitativ engangs Skaden fra en serverfeil kan estimeres som produktet av gjennomsnittlig kjøpskvittering ved gjennomsnittlig antall treff over et visst tidsintervall, lik servernedetiden. La oss si at kostnaden for en engangsskade fra en direkte serverfeil er 100 tusen rubler.

Nå er det nødvendig å evaluere av en ekspert hvor ofte en slik situasjon kan oppstå (under hensyntagen til driftsintensiteten, kvaliteten på strømforsyningen, etc.). For eksempel, med tanke på eksperters mening og statistisk informasjon, forstår vi at serveren kan svikte opptil 2 ganger i året.

Vi multipliserer disse to mengdene, vi får det gjennomsnittlig årlig skaden fra implementeringen av trusselen om en direkte serverfeil er 200 tusen rubler per år.

Disse beregningene kan brukes til å begrunne valg av beskyttelsestiltak. For eksempel vil innføringen av et avbruddsfri strømforsyningssystem og et backupsystem med en total kostnad på 100 tusen rubler per år minimere risikoen for serverfeil og vil være en helt effektiv løsning.

Kvalitativ metode

Dessverre er det ikke alltid mulig å få et konkret uttrykk for vurderingsobjektet på grunn av den store usikkerheten. Hvordan vurdere nøyaktig skaden på et selskaps omdømme når det dukker opp informasjon om en informasjonssikkerhetshendelse med det? I dette tilfellet brukes den kvalitative metoden.

Den kvalitative tilnærmingen bruker ikke kvantitative eller monetære termer for emnet. I stedet tildeles vurderingsobjektet en indikator, rangert på en trepunkts (lav, middels, høy), fempunkts eller tipunkts skala (0 ... 10). For å samle inn data for en kvalitativ risikovurdering benyttes undersøkelser av målgrupper, intervjuer, spørreskjemaer og personlige møter.

En kvalitativ analyse av informasjonssikkerhetsrisiko bør gjennomføres med involvering av ansatte med erfaring og kompetanse på det området trusler vurderes.

Slik gjennomfører du en kvalitativ risikovurdering:

1. Bestem verdien av informasjonsmidler.

Verdien av en eiendel kan bestemmes av kritikalitetsnivået (konsekvenser) i tilfelle brudd på sikkerhetskarakteristikkene (konfidensialitet, integritet, tilgjengelighet) til en informasjonsmiddel.

2. Bestem sannsynligheten for at trusselen blir realisert i forhold til informasjonsmiddelet.

En kvalitativ skala på tre nivåer (lav, middels, høy) kan brukes til å vurdere sannsynligheten for at en trussel blir realisert.

3. Bestem nivået på muligheten for vellykket implementering av trusselen, under hensyntagen til dagens informasjonssikkerhetstilstand, implementerte tiltak og beskyttelsesmidler.

En kvalitativ skala på tre nivåer (lav, middels, høy) kan også brukes til å vurdere nivået på muligheten for trusselrealisering. Verdien av muligheten for trusselrealisering viser hvor gjennomførbart det er å lykkes med å implementere trusselen.

4. Lag en konklusjon om risikonivået basert på verdien av informasjonsmiddelet, sannsynligheten for trusselen, muligheten for trusselen.

For å bestemme risikonivået kan du bruke en fem- eller ti-punkts skala. Ved fastsettelse av risikonivå kan det benyttes referansetabeller som gir en forståelse av hvilke kombinasjoner av indikatorer (verdi, sannsynlighet, mulighet) som fører til hvilket risikonivå.

5. Gjennomfør en analyse av dataene som er innhentet for hver trussel og risikonivået som er oppnådd for den.

Ofte opererer risikoanalysegruppen med konseptet «akseptabelt risikonivå». Dette er risikonivået som selskapet er villig til å akseptere (hvis en trussel har et risikonivå mindre enn eller lik akseptabelt, anses det ikke som relevant). Den globale oppgaven for en kvalitativ vurdering er å redusere risiko til et akseptabelt nivå.

6. Utvikle sikkerhetstiltak, mottiltak og handlinger for hver faktisk trussel for å redusere risikonivået.

Hvilken metode bør du velge?

Hensikten med begge metodene er å forstå de reelle risikoene for selskapets informasjonssikkerhet, å bestemme listen over aktuelle trusler, samt å velge effektive mottiltak og beskyttelsesmidler. Hver risikovurderingsmetode har sine egne fordeler og ulemper.

Den kvantitative metoden gir en visuell representasjon i penger ved vurderingsobjektene (skade, kostnader), men den er mer arbeidskrevende og i noen tilfeller uanvendelig.

Den kvalitative metoden gjør det mulig å vurdere risiko raskere, men vurderingene og resultatene er mer subjektive og gir ikke en klar forståelse av skader, kostnader og fordeler ved implementering av informasjonssikkerhetssystemer.

Valget av metode bør gjøres basert på spesifikasjonene til et bestemt selskap og oppgavene som er tildelt spesialisten.

Stanislav Shilyaev, Prosjektleder for informasjonssikkerhet i SKB Kontur



© Copyright 2017, https://qzoreteam.ru