Управление рисками для информационной безопасности | Комплект-1
Предварительное условие - моделирование угроз
Риск - это не что иное, как пересечение активов, угроз и уязвимости.
А + Т + V = R
NIST SP 800-30 Руководство по управлению рисками для специалистов по информационным технологиям определяет риск как функцию вероятности того, что данный источник угрозы реализует конкретную потенциальную уязвимость, и результирующего воздействия этого неблагоприятного события на организацию.
Итак, основными компонентами оценки рисков являются:
- Угрозы
- Уязвимость
- Воздействие (т.е. потенциальные убытки)
- Вероятность возникновения (т.е. вероятность того, что событие - угроза успешного использования уязвимости - произойдет)
Угрозы - это все, что может случайно или намеренно воспользоваться уязвимостью и уничтожить или повредить актив . Активом может быть что угодно, люди, собственность или информация. Актив - это то, что мы пытаемся защитить, а угроза - это то, от чего мы пытаемся защититься. Уязвимость означает пробел или слабость в наших усилиях по защите.
Источник угрозы - это метод намеренного или непреднамеренного использования уязвимости или ситуации. Например, вредоносное ПО, к которому прикрепляется вирус или червь, чтобы распространяться в системе и на другие компьютеры по электронной почте, содержащей вирус в виде вложения или ссылки. Если отправитель поделился этим электронным письмом, не зная злонамеренной цели вложения или ссылки, то это будет непреднамеренный источник угрозы, в противном случае он будет источником преднамеренной угрозы.
Полный процесс обработки риска можно разделить на следующие этапы:
- Установление контекста
- Оценка рисков
- Идентификация рисков
- Оценка риска
- Оценка риска
- Управление рисками / снижение рисков
- Допущение риска
- Избежание риска
- Ограничение риска
- Планирование рисков
- Исследования и признание
- Передача риска
- Уведомление о рисках
- Мониторинг и анализ рисков
- Оценка и оценка ИТ
1. Установление контекста -
На этом этапе получается информация об организации и основных критериях, целях, объеме и границах деятельности по управлению рисками. Помимо этих данных, важно собрать подробную информацию об организации, отвечающей за деятельность по управлению рисками.
Миссия организации, ценности, структура, стратегия, местоположение и культурная среда изучаются, чтобы иметь глубокое понимание ее масштабов и границ.
Ограничения (бюджетные, культурные, политические, технические) организации должны быть собраны и задокументированы в качестве руководства для следующих шагов.
Основную роль внутри организации, отвечающую за деятельность по управлению рисками, можно рассматривать как:
- Руководство
- Главный информационный директор (CIO)
- Владельцы систем и информации
- бизнес-менеджеры и функциональные менеджеры
- сотрудник по безопасности информационной системы (ISSO) или директор по информационной безопасности (CISO)
- Практики ИТ-безопасности
- Тренеры по вопросам безопасности
Управление рисками для информационной безопасности | Комплект-2