В данной статье мы расскажем Вам о методах оценки ИТ-Рисков и научим ревизоров самостоятельно оценивать ИТ-Риски.
Почему следует оценивать ИТ-Риски?
Ревизор всегда должен в своих проверках ИТ-рисков опираться на требования законодательства РФ
- ГОСТ Р 57580.1-2017 Защита информации финансовых организаций. Базовый состав организационных и технических мер
- ФЗ-161 «О национальной платежной системе»
- Положения ЦБ РФ №№ 683, 684, 607, 382-П
- ФЗ-187 «О безопасности КИИ...› и др.
- Приказ ФСТЭК от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в АСУ ТП...» и др.
Какие бывают виды и способы оценки ИТ-Рисков?
- качественно/количественно
- мозговой штурм, программное средство, опросники, интервью
- в любом случае нужна методология
Популярные иностранные методологии оценки ИТ-Рисков
- CRAMM
- CORAS
- RiskWatch
- OCTAVE
- Oracle Crystal Ball
В России также существуют методологии оценки ИТ-Рисков
- ФСТЭК. Методический документ. Методика оценки угроз безопасности информации, 2021 г.
- ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска
- ГОСТ Р ИСО/МЭК 27005-20100 Менеджмент риска информационной безопасности
- ГРИФ и др.
Основные понятия, используемые в оценках ИТ-Рисков
- Угроза (злоумышленник, катастрофа, поломка техники и т.п.)
- Уязвимость/Защищенность
- Вероятность реализации угрозы
- Потенциальный ущерб от реализации угрозы
- Риск, например, ущерб в единицу времени
Основные шаги в методологиях оценки ИТ-Рисков
- Идентификация активов, уязвимостей
- Шкала оценки рисков
- Разработка моделей угроз и нарушителей
- Определение вероятностей реализации угроз
- Оценка рисков (формулы, «мозговые штурмы» и т.п.)
- Разработка мероприятий по снижению ИТ-Рисков
"Ахиллесовы пятки" методологий оценок ИТ-Рисков и их последствия
- Недоверие результатам оценки рисков из-за сложности расчетов
- Оценивается ущерб ИТ, а не бизнесу
- Полнота модели угроз и нарушителей
- Вероятность реализации угроз
Почему сложно оценивать ИТ-Риски по имеющимся методикам?
- Сложные методики
- Нет собственной экспертизы
- Большой объём работ
Плюсы предлагаемого способа оценки ИТ-Рисков
- Используется мнение менеджмента о величине рисков
- Нет моделей угроз и нарушителей
- Используются понятные бизнесу ИТ-сервисы
- Материальная/Нематериальная шкала
- Основан на известной методологии ОСТАVЕ
Приведём Вам пример на основе предполагаемого способа на базе OCTAVE
РИСК = УЯЗВИМОСТЬ * ВЕРОЯТНОСТЬ * ПОТЕНЦИАЛЬНЫЙ УЩЕРБ
Источник информации по уязвимости - информационная безопасность;
Источник информации по вероятности - статистика;
Источник информации по вероятности - бизнес.
Четыре группы ИТ-Угроз
Три вероятности реализации угроз
Пример шкалы величин ущерба
Пример мер информационной безопасности (контролей)
Пример оценки ИТ-Рисков
Выводы:
- Предложенная методика устраняет большинство «ахиллесовых пяток» оценок ИТ-Рисков
- По такой методике реально оценить ИТ-Риски самостоятельно
- Вовлеченность менеджмента и отсутствие сложной математики повышает доверие топ-менеджмента к результатам оценки
Alexey.Pastoev@yandex.ru
CISSP
