МЕТОДОЛОГИЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И СОВРЕМЕННЫЕ МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ
Понимание риска в информационной безопасности начинается с его определения, которое может варьироваться в зависимости от применяемого стандарта. Два широко используемых стандарта - ISO 31000 и NIST 800-30 rev.1 предлагают различные, но дополняющие друг друга взгляды на риск.
В соответствии со стандартом ISO 31000, риск определяется как «влияние неопределенности на цели» [1]. Это определение акцентирует внимание на неопределенности как ключевом элементе риска. Неопределенность может возникнуть из-за различных факторов, таких как изменения в технологиях или внутренние проблемы в организации. Влияние этих неопределенностей на достижение целей организации и составляет суть риска в рамках ISO 31000.
Согласно стандарту NIST 800-30 rev.1, риск определяется как «мера того, в какой степени организация подвержена угрозе от потенциальных обстоятельств или событий» [2]. Здесь акцент делается на угрозах, которые могут возникнуть и на вероятности их возникновения. Этот подход особенно важен в контексте информационной безопасности, где угрозы могут быть разнообразными - от кибератак до утечек данных. В рамках NIST риск рассматривается как функция от потенциального вреда (или неблагоприятных последствий), который может возникнуть, и вероятности наступления таких событий.
Концепция риска в информационной безопасности представляет собой сложный и многогранный подход. Разные стандарты и практики предлагают разные определения, но общая идея заключается в том, чтобы определить и минимизировать потенциальный ущерб для организации от различных угроз.
Центральной идеей в контексте информационной безопасности является то, что риск – это не просто вероятность возникновения нежелательного события, но и потенциальное воздействие этого события на организацию.
Методология оценки рисков
Оценка рисков информационной безопасности является важным этапом в обеспечении безопасности информации. Организации могут использовать несколько подходов для оценки рисков: количественный, качественный, основанный на активах, на уязвимостях или на угрозах.
Качественная методология оценки рисков основана на экспертных оценках и категоризации рисков. При использовании данной методологии, риски оцениваются на основе их вероятности и воздействия, используя качественные оценки, такие как «низкий», «средний» и «высокий» уровень риска. Это позволяет быстро оценить риски и принять предварительные меры без необходимости в большом количестве данных. Ключевым преимуществом качественной методологии является ее простота и относительная быстрота проведения оценки рисков. Однако, она может быть менее точной, поскольку оценки основаны на субъективном мнении экспертов.
Количественная методология оценки рисков основана на использовании численных данных и статистических моделей для оценки вероятности и воздействия рисков. При использовании данной методологии, риски оцениваются с помощью детального сбора и анализа данных, чтобы определить точные значения вероятности и воздействия. Количественная методология позволяет проводить более точные расчеты рисков и предоставляет более детальную информацию для принятия решений. Однако, она требует большего количества данных и экспертизы для проведения оценки рисков. Ключевым преимуществом количественной методологии является ее точность и возможность проведения более детальных анализов рисков.[10]
Обе методологии могут быть использованы для достижения наилучших результатов в оценке рисков информационной безопасности. Качественная методология может использоваться для быстрой предварительной оценки рисков и принятия мер предосторожности, в то время как количественная методология может быть применена для проведения более точных и детальных расчетов рисков, основанных на конкретных данных и статистических моделях.
Подход основанный на активах фокусируется на критических активах организации, таких как базы данных, серверы, приложения и другие ценные ресурсы. Главной задачей является идентификация активов, которые могут подвергаться угрозам, и определение потенциального ущерба от их нарушения или потери. Этот подход требует детального понимания структуры активов, их значимости для бизнеса и возможных последствий их утраты.
Подход основанный на уязвимостях центрируется вокруг потенциальных слабостей в системах или процессах, которые могут быть эксплуатированы нарушителями. Цель этого подхода - определить уязвимости, оценить их серьезность и определить необходимые меры для их устранения или снижения риска. Оценка уязвимостей часто требует технических навыков и инструментов для анализа систем на наличие слабых мест.
Подход основанный на угрозах фокусируется на потенциальных угрозах, которые могут столкнуться с организацией. Это включает в себя внешние и внутренние угрозы, такие как кибератаки, естественные катастрофы или внутренние угрозы от сотрудников. Основная цель - определить вероятные угрозы, их источники и потенциальное воздействие на активы организации.
Ниже приведена таблица, которая сравнивает методологии по оценке рисков.
Пожалуйста, не забудьте правильно оформить цитату:
Аскарбеккызы А., Ташатов Н.Н. МЕТОДОЛОГИЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И СОВРЕМЕННЫЕ МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ // Вопросы технических и физико-математических наук в свете современных исследований: сб. ст. по матер. LXIX междунар. науч.-практ. конф. № 11(60). – Новосибирск: СибАК, 2023. – С. 6-14.