asyan.org
добавить свой файл
1 2 3
Зміст

1.Основні та допоміжні активи

2.Існуючі підходи до управління ризиками

3.Оцінка ризиків

а) Кількісна оцінка ризиків

б) Якісна оцінка ризиків

в) Порівняння двох підходів

4.Визначення рівня зрілості використовуваної в організації системи управління ризиками

5.Самостійна оцінка рівня зрілості системи управління ризиками в організації

6. Процесна модель управління ризиками

7. Реактивний підхід

8. Проактивних підхід

9. Інструментарій для управління ризиками

10. Розвиток стандарту

Основні та допоміжні активи

Говорячи про ризики для бізнесу ми маємо на увазі можливість з певною вірогідністю зазнати певних збитків. Це може бути як прямий матеріальний збиток, так і непрямий збиток, що виражається, наприклад, в упущеної вигоди, аж до виходу з бізнесу, адже, якщо ризиком не управляти, то бізнес можна втратити.

Власне, суть питання полягає в тому, що організація має в своєму розпорядженні та використовує для досягнення результатів своєї діяльності (своїх бізнес цілей) кілька основних категорій ресурсів (далі будемо використовувати безпосередньо пов'язане з бізнесом поняття активу). Актив - це все що має цінність для організації і генерує її дохід (іншими словами це те, що створює позитивний фінансовий потік, або зберігає кошти). Розрізняють матеріальні, фінансові, людські та інформаційні активи. Сучасні міжнародні стандарти також визначають ще одну категорію активів - це процеси. Процес - це агрегований актив, який оперує всіма іншими активами компанії для досягнення бізнес цілей. Як один з найважливіших активів також розглядаються імідж і репутація компанії. Ці ключові активи для будь-якої організації, є ні чим іншим як особливим різновидом інформаційних активів, оскільки імідж і репутація компанії - це не що інше як вміст відкритої і широко поширеною інформацією про неї. Інформаційна безпека займається іміджевими питаннями остільки, оскільки проблеми з безпекою організації, а також витік конфіденційної інформації вкрай негативно впливають на імідж.

На результати бізнесу впливають різні зовнішні і внутрішні фактори, що відносяться до категорії ризику. Вплив це виражається у негативному впливі на одну або одночасно кілька груп активів організації. Наприклад, збій сервера впливає на доступність що зберігається на ньому інформації та програм, а його ремонт відволікає людські ресурси, створюючи їх дефіцит на певній ділянці робіт і викликаючи дезорганізацію бізнес процесів, при цьому тимчасова недоступність клієнтських сервісів може негативно вплинути на імідж компанії.

За визначенням, для організації важливі всі види активів. Однак у кожної організації є основні життєво важливі активи та активи допоміжні. Визначити які активи є основними дуже просто, тому що це ті активи, навколо яких побудований бізнес організації. Так, бізнес організації може бути заснований на володіння та використання матеріальних активів (наприклад, землі, нерухомості, обладнання, корисних копалин), бізнес також може бути побудований на управлінні фінансовими активами (кредитна діяльність, страхування, інвестування), бізнес може бути заснований на компетенції і авторитет конкретних фахівців (консалтинг, аудит, навчання, високотехнологічні та наукомісткі галузі) або бізнес може обертатися навколо інформаційних активів (розробка ПЗ, інформаційних продуктів, електронна комерція, бізнес в Інтернет). Ризики основних активів загрожують втратою бізнесу і непоправними втратами для організації, тому на цих ризики в першу чергу зосереджено увагу власників бізнесу і ними керівництво організації займається особисто. Ризики допоміжних активів зазвичай призводять до надолужуваних збитку і не є основним пріоритетом в системі управління організації. Зазвичай управлінням такими ризиками займаються спеціально призначені люди, або ці ризики передаються сторонньої організації, наприклад, аутсорсеру або страхової компанії. Для організації це швидше питання ефективності управління, аніж виживання.

Існуючі підходи до управління ризиками

Оскільки ризики інформаційної безпеки є основними далеко не для всіх організацій, що практикуються три основні підходи до управління цими ризиками, що розрізняються глибиною і рівнем формалізму.

Для некритичних систем, коли інформаційні активи є допоміжними, а рівень інформатизації не високий, що характерно для більшості сучасних російських компаній, що існує мінімальна необхідність в оцінці ризиків. У таких організаціях слід вести мову про деяке базовому рівні ІБ, що визначається існуючими нормативами та стандартами, кращими практиками, досвідом, а також тим, як це робиться в більшості інших організацій. Однак, існуючі стандарти, описуючи деякий базовий набір вимог і механізмів безпеки, завжди обумовлюють необхідність оцінки ризиків та економічної доцільності застосування тих чи інших механізмів контролю для того, щоб вибрати з загального набору вимоги і механізмів ті з них, що застосовуються в конкретній організації.

Для критичних систем, в яких інформаційні активи не є основними, проте рівень інформатизації бізнес процесів дуже високий та інформаційні ризики можуть суттєво вплинути на основні бізнес-процеси, оцінку ризиків застосовувати необхідно, однак у цьому випадку доцільно обмежитися неформальними якісними підходами до вирішення цього завдання, приділяючи особливу увагу найбільш критичних систем.

Коли ж бізнес організації побудований навколо інформаційних активів і ризики інформаційної безпеки є основними, для оцінки цих ризиків необхідно застосовувати формальний підхід і кількісні методи.

У багатьох компаніях одночасно кілька видів активів можуть бути життєво важливими, наприклад, коли бізнес диверсифікований або компанія займається створенням інформаційних продуктів і для неї можуть бути однаково важливі і людські та інформаційні ресурси. У цьому випадку, раціональний підхід полягає в проведенні високорівневої оцінки ризиків, з метою визначення того, які системи схильні до ризиків у високому ступені і які мають критичне значення для ведення ділових операцій, з подальшим проведенням детальної оцінки ризиків для виділених систем. Для всіх інших некритичних систем доцільно обмежитися застосуванням базового підходу, приймаючи рішення з управління ризиками на основі існуючого досвіду, експертних висновків та кращої практики.

^ Оцінка ризиків

Оцінка ризиків (risk assessment) - перший етап в управлінні системи інформаційної безпеки, призначений для ідентифікації джерел ризиків і визначення його рівня значущості. Оцінку розбивають на аналіз ризиків та оцінювання ризиків.

У рамках аналізу проводиться інвентаризація і категоризація захищаються ресурсів, з'ясовуються нормативні, технічні, договірні вимоги до ресурсів у сфері ІБ, а потім з урахуванням цих вимог визначається вартість ресурсів. У вартість входять всі потенційні витрати, пов'язані з можливою компрометацією захищаються ресурсів. Наступним етапом аналізу ризиків є складання переліку значущих загроз і вразливостей для кожного ресурсу, а потім обчислюється ймовірність їх реалізації. Стандарт допускає двояке тлумачення поняття загрози ІБ: як умова реалізації вразливості ресурсу (в цьому випадку уразливості і загрози ідентифікуються окремо) і як загальне потенційне подія, здатне привести до компрометації ресурсу (коли наявність можливості реалізації вразливості і є загроза). Не забороняється поділ загроз ІБ на загрози цілісності, доступності та конфіденційності.

Оцінювання ризику проводиться шляхом його обчислення і зіставлення із заданою шкалою. Обчислення ризику полягає в збільшенні ймовірності компрометації ресурсу на значення величини збитку, пов'язаного з його компрометацією. Зіставлення ризику виконується з метою спрощення процесу використання на практиці точкових значень ризику.

BS 7799-3 допускає використання як кількісних, так і якісних методів оцінки ризиків, але, на жаль, у документі немає обгрунтування та рекомендацій з вибору математичного і методичного апарату оцінки ризиків ІБ. Додаток до стандарту містить єдиний приклад, який умовно можна віднести до якісного методу оцінки. Даний приклад використовує три-і п'ятибальні оцінні шкали:

Оцінюються рівні вартості ідентифікованого ресурсу за п'ятибальною шкалою: «незначний», «низький», «середній», «високий», «дуже високий».

Оцінюються рівні ймовірності загрози по трьохбальной шкалою: «низький», «середній», «високий».

Оцінюються рівні ймовірності уразливості: «низький», «середній», «високий».

^ Кількісна оцінка ризиків

Метою кількісної оцінки ризиків є обчислення об'єктивних числових значень кожного компонента, виявленого в ході оцінки ризиків і аналізу вигод і витрат. Наприклад, організація може оцінити реальну вартість кожного бізнес-активу з точки зору витрат на його заміну, збитку в показниках зниження продуктивності, збитку в показниках зниження ділової репутації і інших прямих і непрямих бізнес-цінностей. Цей же підхід слід застосовувати при визначенні схильності активу дії, вартості елементів контролю і інших величин, виявлених в ході управління ризиками.

Даний підхід містить декілька вад, які нелегко здолати. По-перше, не існує ефективного формалізованого методу, що дозволяє точно визначити вартості активів і елементів контролю. Іншими словами, не дивлячись на точність отриманих характеристик, що здається, фінансові показники фактично ґрунтуються на оцінках. Як, наприклад, точно визначити вплив проблеми з безпекою, що отримала широкий розголос, на імідж фірми? В деяких випадках цього можна добитися, проаналізувавши статистичні дані, проте частенько це неможливо.

По-друге, організації, що намагалися скрупульозно реалізувати всі аспекти кількісного підходу до управління ризиками, виявили, що це вимагає дуже великих витрат. Як правило, завершення першого повного циклу подібних проектів вимагає довгого часу, а в самі проекти залучено велике число співробітників, які не можуть погоджувати принципи обчислення конкретних фінансових показників. По-третє, організації, в яких схильність дії дорогих бізнес-активів може наводити до дуже великих збитків, можуть порахувати доцільним виділити значні додаткові кошти на зниження всіх ризиків, які можуть виникнути (хоча дана ситуація маловірогідна - організація не витрачатиме весь бюджет на захист одного активу або навіть п'яти основних активів).

^ Детальний розгляд кількісного підходу

На даному етапі слід скласти загальне уявлення про переваги і недоліки кількісного підходу до оцінки ризиків. У частині даного розділу, що залишилася, розглядаються деякі чинники і значення, які зазвичай визначаються при використанні кількісного підходу: вартості активів, витрати на елементи контролю і рівень повернення інвестицій в безпеку (УВІБ), а також розраховані значення очікуваного разового збитку (КРИЧУ), щорічної частоти виникнення (ЕЧВ) і очікуваного річного збитку (ОГУ). Приведений матеріал не містить повного опису всіх аспектів кількісної оцінки ризиків, а включає лише загальні відомості про цей підхід і демонструє, що числові показники, лежачі в основі всіх розрахунків, є суб'єктивними характеристиками.

^ Якісна оцінка ризиків

Якісний підхід до оцінки ризиків відрізняється від кількісного тим, що при використанні якісного підходу не потрібно визначати точні фінансові показники вартості активів, очікуваного збитку і вартості елементів контролю. Замість цього розраховуються відносні вартості. Як правило, аналіз ризиків виконується шляхом заповнення опитних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти по інформаційній безпеці, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів і старші менеджери. Якщо використовуються опитні листи, то вони поширюються в строк від декількох днів до декількох тижнів до початку першого обговорення. Опитні листи покликані допомогти скласти перелік вже розгорнутих активів і елементів контролю. Зібрані відомості можуть виявитися дуже корисними при проведенні подальших обговорень. В ході обговорень учасники формують перелік активів і визначають їх відносні вартості. Після цього їм необхідно з'ясувати, з якими погрозами може зіткнутися кожен актив і які типи вразливих місць можуть бути використані цими погрозами в майбутньому. Як правило, ІТ-спеціалісти системні адміністратори пропонують групі управління ризиками безпеки перелік елементів контролю для зниження ризиків і вказують орієнтовну вартість кожного елементу контролю. Після закінчення результати надаються Стандарту компанії в ході аналізу вигод і витрат.

Як видно, основний процес оцінки якісних характеристик дуже схожий на процес, використовуваний в кількісному підході. Відмінності полягають в деталях. При порівнянні вартостей різних активів використовуються відносні значення, і учасникам не доводиться витрачати багато часу на спроби точно обчислити фінансові вартості активів. Аналогічна ситуація спостерігається при визначенні можливого впливу ризиків і витрат на реалізацію елементів контролю.

Переваги якісного підходу полягають в тому, що даний підхід висуває менше вимог до співробітників і дозволяє відмовитися від складних процедур визначення точної вартості активу, витрат на елемент контролю і тому подібне Проекти, засновані на якісному підході до управління ризиками, дозволяють добитися помітних результатів вже через декілька тижнів, тоді як організації, що використовують кількісний підхід, можуть не отримати скільки-небудь значних результатів, витрачаючи зусилля протягом місяців або навіть років. Недолік якісного підходу полягає в тому, що отримані результати не мають однозначної інтерпретації, а відносні величини, визначені в ході якісної оцінки ризиків, можуть не задовольняти деяких співробітників, відповідальних за ухвалення ділових рішень (особливо співробітників, що працюють у сфері обліку або фінансів).



следующая страница >>