Автор: Аналитический центр УЦСБ
Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.
Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).
При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.
Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:
- Установление контекста: определение области оценки рисков ИБ, установление внешних и внутренних факторов.
- Оценка рисков ИБ, включающая в себя:
- идентификацию риска ИБ;
- анализ риска ИБ;
- сравнительную оценку риска ИБ;
- оценку остаточного риска (при необходимости).
- Обработка рисков ИБ (снижение, перенос, уклонение, принятие).
- Мониторинг и пересмотр рисков ИБ.
- Документирование и отчетность.
Для наглядного понимания процесса управления рисками приведем упрощенный жизненный пример, не связанный с ИБ.
Представим ситуацию. Январь 2022-го года, вы живете в Сочи, работаете в ИТ-компании и каждый будний день ходите в офис – установили контекст. Допустим, у вас низкий иммунитет (ваша уязвимость) и для вас самый актуальный риск – заболеть. Идентификация риска – done. Одна из угроз, из-за которой вы можете заболеть, – это промокнуть под дождем. Вы отправились утром на работу, надев обычную одежду, не имеющую водонепроницаемых свойств. Одежда по сути является вашей защитой мерой, но недостаточной для защиты от дождя. Пройдя 5 минут, вас озарило: «Это же Сочи! Дождь пойдет в любой момент!». Так вы оценили, что вероятность возникновения угрозы, которая приведет к риску заболеть, – высокая. И следующая мысль: «Если я заболею, то не выполню проект вовремя и меня уволят». Так риск обретает ущерб и его анализ выполнен полностью. И вот вы остановились, чтобы определиться: идти дальше или вернуться домой за зонтиком. Это уже сравнительная оценка риска, вы принимаете решение – ничего не предпринимать (принять риск) или рассмотреть иные варианты обработки риска.
Но процесс еще не завершен. Скажем, что вы приняли решение вернуться за зонтиком. С риском заболеть вы справились, но появился остаточный риск – опоздать на работу. В нашем случае, как во многих современных ИТ-компаниях, никто даже и не заметит вашего опоздания (гибкий график hello!), поэтому смело принимаете остаточный риск.
Мы осуществили оценку и обработку риска, а также принятие остаточного риска. Не будем забывать о мониторинге и пересмотре рисков. Завтра Вас отправят в командировку в Екатеринбург, и риск заболеть будет зависеть уже совершенно от других факторов.
Для чего же оценивать риски ИБ? Эта оценка послужит обоснованием руководству организации при определении мероприятий по обработке рисков ИБ, которые являются составляющей обеспечения ИБ, и затрат на них. Понятно, что оценка рисков ИБ не столь очевидна, как понимание того, нужно взять с собой зонтик или нет. Как же быть? На сегодняшний день существует достаточное количество методик оценки рисков ИБ.
Чтобы вы смогли принять решение, какую из приведенных методик оценки рисков ИБ использовать в вашей организации, мы подготовили серию обзоров. Ознакомиться с ними вы сможете в ближайшее время.
Если у вас останутся вопросы, вы можете проконсультироваться с экспертами УЦСБ. Если вы поймете, что ни одна из этих методик не подходит для вашей организации или у вас просто нет ресурсов, чтобы самостоятельно провести оценку рисков ИБ, вы можете воспользоваться нашими услугами.
#информационнаябезопасность
#иб
#риск
#рискинформационнойбезопасности
