Управление рисками для информационной безопасности | Комплект-1

Предварительное условие - моделирование угроз

Риск - это не что иное, как пересечение активов, угроз и уязвимости.

 А + Т + V = R

NIST SP 800-30 Руководство по управлению рисками для специалистов по информационным технологиям определяет риск как функцию вероятности того, что данный источник угрозы реализует конкретную потенциальную уязвимость, и результирующего воздействия этого неблагоприятного события на организацию.

Итак, основными компонентами оценки рисков являются:

• Угрозы
• Уязвимость
• Воздействие (т.е. потенциальные убытки)
• Вероятность возникновения (т.е. вероятность того, что событие - угроза успешного использования уязвимости - произойдет)

Угрозы - это все, что может случайно или намеренно воспользоваться уязвимостью и уничтожить или повредить актив . Активом может быть что угодно, люди, собственность или информация. Актив - это то, что мы пытаемся защитить, а угроза - это то, от чего мы пытаемся защититься. Уязвимость означает пробел или слабость в наших усилиях по защите.

Источник угрозы - это метод намеренного или непреднамеренного использования уязвимости или ситуации. Например, вредоносное ПО, к которому прикрепляется вирус или червь, чтобы распространяться в системе и на другие компьютеры по электронной почте, содержащей вирус в виде вложения или ссылки. Если отправитель поделился этим электронным письмом, не зная злонамеренной цели вложения или ссылки, то это будет непреднамеренный источник угрозы, в противном случае он будет источником преднамеренной угрозы.

Полный процесс обработки риска можно разделить на следующие этапы:

1. Установление контекста
2. Оценка рисков
   • Идентификация рисков
   • Оценка риска
   • Оценка риска
3. Управление рисками / снижение рисков
   • Допущение риска
   • Избежание риска
   • Ограничение риска
   • Планирование рисков
   • Исследования и признание
   • Передача риска
4. Уведомление о рисках
5. Мониторинг и анализ рисков
6. Оценка и оценка ИТ

1. Установление контекста -
На этом этапе получается информация об организации и основных критериях, целях, объеме и границах деятельности по управлению рисками. Помимо этих данных, важно собрать подробную информацию об организации, отвечающей за деятельность по управлению рисками.

Миссия организации, ценности, структура, стратегия, местоположение и культурная среда изучаются, чтобы иметь глубокое понимание ее масштабов и границ.
Ограничения (бюджетные, культурные, политические, технические) организации должны быть собраны и задокументированы в качестве руководства для следующих шагов.

Основную роль внутри организации, отвечающую за деятельность по управлению рисками, можно рассматривать как:

1. Руководство
2. Главный информационный директор (CIO)
3. Владельцы систем и информации
4. бизнес-менеджеры и функциональные менеджеры
5. сотрудник по безопасности информационной системы (ISSO) или директор по информационной безопасности (CISO)
6. Практики ИТ-безопасности
7. Тренеры по вопросам безопасности

Управление рисками для информационной безопасности | Комплект-2