В этом разделе в соответствии с международным стандартом ISO 31010 описываются 39 методов оценки риска, из которых 31 метод стандартизирован, а 8 — реально применяются на практике.
Международный стандарт ISO/IEC 31010 определяет следующие общие (не только для ИБ) методы оценки риска (эти методы можно комбинировать и применять на разных этапах оценки: идентификация риска, анализ угроз и последствий, определение уровня риска, оценивание риска):
Мозговой штурм
Структурированные или частично структурированные интервью
Метод Дельфи
Контрольные листы
Предварительный анализ опасностей (PHA)
Исследование опасности и работоспособности (HAZOP)
Анализ опасности и критических контрольных точек (HACCP)
Оценка токсикологического риска
Структурированный анализ сценариев методом «Что, если?» (SWIFT)
Анализ сценариев
Анализ воздействия на бизнес (BIA)
Анализ первопричины (RCA)
Анализ видов и последствий отказов (FMEA)
Анализ дерева неисправностей (FTA)
Анализ дерева событий (ETA)
Анализ причин и последствий
Причинно-следственный анализ
Анализ уровней защиты (LOPA)
Анализ дерева решений
Анализ влияния человеческого фактора (HRA)
Анализ «галстук-бабочка»
Техническое обслуживание, направленное на обеспечение надежности
Анализ скрытых дефектов (SA)
Марковский анализ
Моделирование методом Монте-Карло
Байесовский анализ и сети Байеса
Кривые FN
Индексы риска
Матрица последствий и вероятностей
Анализ эффективности затрат (CBA)
Мультикритериальный анализ решений (MCDA)
Отметим, что на практике чаще применяются следующие не описанные в стандартах методы оценки риска:
Метод отрицания необходимости и/или возможности оценки риска
Метод отрицания наличия риска
Метод интуитивной оценки риска
Метод интуитивного принятия решений
Метод голосования
Метод голословных утверждений
Метод общих рассуждений
Моделирование угроз (российский метод)
Преимуществом данной группы методов является то, что они нересурсоемкие (за исключением моделирования нетиповых угроз) и самодостаточные (не требуют комбинирования с другими методами).
Отсутствие какой-либо логически объяснимой связи между требованиями по обеспечению безопасности персональных данных и степенью конфиденциальности этих данных — основная причина отторжения, вызываемого в деловой среде действующим законодательством в этой области. Бизнес заставляют тратить деньги непонятно на что. В большинстве случаев ущерб, связанный с нарушением безопасности ПДн не очевиден ни для субъектов ПДн, ни для обработчиков этих данных. Для наведения мостов в этой области, очевидно, необходима согласованная методика, позволяющая определять характер и степень ущерба, наносимого субъектам ПДн, а также оценивать соответствующие риски.
Обратимся к разработанному британским информационным комиссариатом руководству по «оценке ущерба, вызванного нарушением приватности» — ICO PIA Handbook. Privacy impact assessment (PIA). Что такое приватность, на что она влияет и как можно оценивать степень этого влияния?
Приватность (privacy) означает частную жизнь и право личности на неприкосновенность своей частной жизни. Приватность включает в себя 4 составляющих:
приватность персональной информации (обеспечение прав граждан в области персональных данных, включая защиту ПДн)
приватность самой личности (защита организма человека от нежелательных воздействий на него, начиная с пересадки органов и заканчивая биометрической идентификацией)
приватность поведения этой личности (защита личного пространства и приватных мест от несанкционированных наблюдений и вторжений)
приватность персональных коммуникаций (тайна переписки и телефонных переговоров)
Британские регуляторы подразделяют риски приватности на две категории:
Риски индивидуума, связанные с нарушением его приватности (нарушением прав субъектов ПДн) в результате искажения, повреждения, фальсификации, разглашения и т.п. его персональной информации
Риски организации, допускающей нарушение приватности и выражающиеся в выплатах штрафов, компенсаций, утраты репутации и доверия, приостановке деятельности и т.п.
Далее в этих категориях со свойственной англичанам дотошностью рассматриваются все возможные риски приватности и их категории, а также стратегии обработки этих рисков.
Процесс оценки рисков приватности включает в себя следующие основные этапы:
Предварительная оценка. Анализ проекта (создаваемой или уже существующей ИСПДн), идентификация всех заинтересованных лиц, первоначальная высокоуровневая оценка рисков приватности с целью определения подхода к последующей оценке приватности (полной или сокращенной)
Полномасштабная оценка и обработка рисков приватности, включая детальный анализ риска и интервьюирование всех заинтересованных лиц
Упрощенная оценка и обработка рисков приватности, менее формализованная, включающая в себя менее детальный анализ более ограниченного объема информации. В ходе упрощенной оценке обычно фокусируются лишь на наиболее критичных аспектах проекта.
Оценка соответствия требованиям законодательства и нормативной базы в области приватности и персональных данных, начиная с законодательных актов и заканчивая руководящими документами регуляторов, устанавливающих требования к защите персональных данных
Последующая плановая переоценка рисков приватности и вытекающие из этой переоценки корректирующие действия
Далее каждый из перечисленных этапов очень подробно расписывается и прилагаются списки проверки для оценки соответствия требованиям, ущербов и рисков приватности.
В заключении рассматриваются четыре вида стратегии организации в области обеспечения приватности: минималистская, всеобъемлющая, расширенная и социально ориентированная.
Если бы сократить этот документ раз в десять и соединить с ISO 27001-совместимой методикой оценки рисков, то получится нормальное руководство по управлению рисками приватности (и рисками ПДН в частности).
Онлайн версия ICO PIA Handbook: http://www.ico.gov.uk/pia_handbook_html_v2/html/0-advice.html
Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков:
актив (Asset);
ущерб (Loss);
угроза (Threat);
уязвимость (Vulnerability);
механизм контроля (Сontrol);
размер среднегодовых потерь (ALE);
возврат инвестиций (ROI).
Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась.
Процесс оценки рисков (assessment) включает в себя две фазы.
На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:
Что является активом компании?
Какова реальная ценность данного актива?
Какие существуют угрозы в отношении данного актива?
Каковы последствия этих угроз и ущерб для бизнеса?
Насколько вероятны эти угрозы?
Насколько уязвим бизнес в отношении этих угроз?
Каков ожидаемый размер среднегодовых потерь?
На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), когда величина риска уже определена, необходимо ответить на вопрос: какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и какие риски превышают этот уровень.
Таким образом, по результатам оценки рисков, включающей в себя процессы анализа и оценивания рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. На выходе данного процесса формируется реестр информационных рисков, подробно рассматриваемый ниже.
Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:
Какой вариант обработки риска выбираем?
Если принимается решение об уменьшении риска, то какие механизмы контроля необходимо использовать?
Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?
На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за их реализацию.
На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес-процессов, также оказывает влияние ее уровень зрелости. Управление рисками – это бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем, смысл которой заключается в защите бизнеса от реально существующих угроз.
По степени осознания можно условно выделить несколько уровней зрелости организаций:
На первом уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами на свой страх и риск.
На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматривается как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования СУИР.
Такое упрощенное описание уровней зрелости в определенной степени соотносится с моделями зрелости организации, в свое время предложенными Группой Гартнер (Gartner Group), Ассоциацией Аудита и Контроля Информационных Систем (ISACA) и Университетом Карнеги Меллон (Carnegie Mellon University). Несмотря на некоторые различия в этих моделях, все они сходятся в том, что осознанный формализованный подход к управлению информационными рисками применяется организациями с наивысшим уровнем зрелости. В то же время большинство российских организаций пока находятся на начальных уровнях.
Поскольку риски информационной безопасности являются основными далеко не для всех организаций, условно можно выделить три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.
________________________________________
Различие подходов к управлению рисками:
Некритичные системы – применяется набор базовых требований безопасности, определяемых опытом, законодательством и стандартами.
Критичные системы – высокоуровневая оценка рисков. Особое внимание на системы с наибольшим риском.
Особо критичные системы – детальная оценка рисков с использованием формализованного подхода.
________________________________________
Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации невысок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации. Поэтому определенные элементы оценки информационных рисков требуются и для таких организаций.
Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес-процессов очень высок и информационные риски могут существенно повлиять на основные бизнес-процессы, оценку рисков применять необходимо, но в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.
Когда бизнес построен вокруг информационных активов и риски информационной безопасности являются основными, необходимо применять формальный подход и проводить детализированную оценку рисков по всем активам.
Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные активы. В этом случае рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.
Заметим, что со временем доля критичных и особо критичных информационных систем в организациях любой сферы деятельности неуклонном повышается.
_________________________________
Примеры организаций с высоким уровнем информационных рисков
Интернет-магазины, электронные биржи, расчетные системы, электронные торговые площадки
Основной акцент – киберугрозы и действия инсайдеров.
Производственные предприятия, использующие АСУТП
Основной акцент: физические, техногенные и киберугрозы, защита коммерческой и государственной тайны.
Основной акцент – защита финансовых транзакций, предотвращение утечки информации и действий инсайдеров.
____________________________________
Международным стандартом ISO 27001 допускается использовать различные подходы к оценке рисков, однако далеко не любой подход будет удовлетворять требованиям этого стандарта.
В британском стандарте BS 7799-3 конкретизируются обязательные элементы, которые должен содержать процесс оценки рисков. Они включают в себя следующее:
Определение критериев принятия риска. Эти критерии должны описывать обстоятельства, при которых организация намерена принимать риски.
Идентификация приемлемых уровней риска. Какой бы подход к оценке рисков ни был выбран, должны быть идентифицированы уровни риска, которые организация считает приемлемыми.
Идентификация и оценка рисков. Необходимо, чтобы выбранный подход к оценке рисков охватывал все факторы риска, включая активы, угрозы, уязвимости, механизмы контроля и ущерб.
Охват всех аспектов области действия СУИБ. Выбранный подход к оценке рисков должен охватывать все области контроля, содержащиеся в ISO 27001, Приложение А. Некоторые подходы к оценке рисков концентрируются только на ИТ, не учитывая физические, кадровые, организационные и законодательные аспекты. Такие подходы непригодны для оценки, требуемой в ISO 27001.
Учет каждого информационного актива (группы активов). Риски должны оцениваться для каждого информационного актива, а не только для отдельных процессов или информационных систем.
Результаты оценки должны быть воспроизводимыми. Выводы должны быть аргументированы таким образом, чтобы независимые эксперты, используя те же методы, могли бы получить аналогичные результаты.
Руководство организации должно принимать риски осознанно. Другими словами, руководство должно осознавать реальные размеры и вероятность ущерба. Это достигается путем применения качественных и количественных шкал оценки риска и их калибровки в соответствии с правилами, описанными ниже.
Для того чтобы продемонстрировать свое соответствие стандарту ISO 27001, например, на сертификационном аудите СУИБ, организация должна не просто показать аудиторам таблицу с оценкой рисков, но также объяснить, на основании чего были получены такие оценки по всем элементам риска и по каждому информационному активу.
_______________________________________
Обязательные элементы, которые должны быть отражены в выбранном организацией подходе к оценке рисков:
определение критериев принятия риска;
идентификация приемлемых уровней риска;
идентификация и оценка рисков;
охват всех аспектов области действия СУИБ, всех активов и областей контроля;
учет каждого информационного актива (группы активов);
воспроизводимость результатов;
осознанное принятие рисков руководством организации.
_________________________________________
Выбор подходов к оценке рисков определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов. Однако эффективность процесса управления рисками определяется не только точностью и полнотой анализа факторов риска и выбранным подходом, но также в значительной степени эффективностью механизмов принятия управленческих решений и контроля их исполнения, что целиком находится в компетенции высшего руководства организации.
Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.
Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.
_____________________________________
Виды активов организации
материальные;
финансовые;
имущественные и неимущественные права;
интеллектуальная собственность;
кадровые;
информационные;
процессы и сервисы;
имидж и репутация.
_______________________________________
Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.
Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.
Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT-специалистов, специалистов по управлению непрерывностью бизнеса.
Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.
Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).
Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.
Организации подвержены различным типам рисков, которые неизбежно сопровождают любую деятельность. Мы называем такие риски бизнес-рисками. Бизнес-риски отличаются большим разнообразием. Они могут быть классифицированы различными способами. Один из возможных подходов заключается в том, чтобы рассматривать источник риска. Примерами таких рисков являются инвестиционный, юридический, политический или рыночный риски. При другом подходе рассматривается природа актива, подвергающегося риску, примерами являются люди, имущество или информация. Еще один подход рассматривает последствия риска с точки зрения его долгосрочного, среднесрочного либо краткосрочного влияния на деятельность организации; примерами являются стратегический, тактический и операционный риски.
____________________________
Категории бизнес-рисков:
финансовые;
политические;
экономические;
физические;
юридические;
стратегические;
операционные;
информационные;
инвестиционные.
_____________________________
Риски информационной безопасности (информационные риски) – риски, которым подвергаются информационные активы организации. Информационные риски должны рассматриваться в качестве одной из основных категорий бизнес-риска. В зависимости от используемой классификации они могут быть отнесены к другим категориям, таким как стратегические и операционные риски. Система управления рисками информационной безопасности имеет дело со всеми информационными рисками, независимо от способа классификации.
Информационная составляющая есть во многих категориях рисков. Надо уметь выделять эту составляющую в любых бизнес-рисках. В следующей таблице приведены примеры угроз информационной безопасности, обуславливающих различные категории рисков, а также возможные последствия этих угроз.
Таблица. Примеры угроз информационной безопасности, обуславливающих различные категории рисков
Категория риска
Информационные угрозы
Последствия
Юридические(санкции со стороны регулирующих и правоохранительных органов)
Неисполнение требований законодательства и нормативной базы в области защиты информацииОтсутствие необходимых лицензийОшибки в договорах или налоговой отчетности
Штрафы, испорченная репутация, запрещение деятельности, выход из бизнеса
Рыночные (изменение ситуации на рынке, дефолты, девальвации и т.п.)
Несвоевременное получение информацииОшибки в прогнозахФальсификация финансовой отчетности
Финансовые потери, потеря бизнеса
Инвестиционные (неправильные решения по вложению средств)
Недостаточная либо ложная информация, используемая для принятия инвестиционных решенийНесвоевременное получение информации
Финансовые потери
Финансовые (ошибки учета, планирования, неправильное управление финансовыми активами, кража наличности, финансовое мошенничество и т.п.)
Финансовые махинации инсайдеров с использованием компьютерных системКибератаки на банковские счетаКибермошенничество с пластиковыми картамиФальсификация финансовой отчетности
Финансовые потери, ущерб репутации
Репутационные(негативные воздействия на имидж и репутацию компании)
Утечка конфиденциальной информацииНевыполнение обязательств по причине недоступности информационных сервисов
Сокращение клиентской базы
Природные катаклизмы (Пожары, наводнения, землетрясения и т.п.)
Утрата информационных носителей и находящейся на них критичной для бизнеса информацииНедоступность информационных сервисов
Финансовые потери, дезорганизация деятельности, потеря бизнеса
Техногенные(сбои оборудования или ПО)
Потеря критичной для бизнеса информацииПотеря результатов работы
Финансовые потери, дезорганизация деятельности, невозможность исполнения обязательств
Физические(кража, ограбление, саботаж и т.п.)
Потеря критичной для бизнеса информацииУтечка конфиденциальной информацииНедоступность информационных сервисов
Ущерб репутации, финансовые потери, дезорганизация деятельности
Подробный перечень угроз безопасности, рассматриваемых при оценке информационных рисков, приведен в Приложении № 5.
Конечно, точно определить вероятность угрозы, величину уязвимости либо размер ущерба на практике обычно не представляется возможным, поэтому речь может идти только о числовых оценках в некотором диапазоне величин. Так, оценочные среднегодовые потери (ALE) могут лежать в диапазоне от 100 тыс. до 1 млн. рублей, либо в диапазоне от 100 млн. рублей до 500 млн. рублей, либо превышать 1 млрд. рублей. Каждому количественному диапазону можно сопоставить определенный качественный уровень риска. В результате приходим к качественной шкале оценки риска, которой сопоставляются некоторые приблизительные количественные оценки, без которых любая качественная шкала лишается смысла, т.к. перестает быть связанной с реальными потерями организации.
На рисунке приведен пример матрицы для определения величины риска. Такая матрица возникает в результате рассмотрения вероятности сценария инцидента с учетом влияния на бизнес. В этой матрице по горизонтали откладываются качественные значения вероятности успешной реализации угрозы (сценария инцидента), а по вертикали – качественные уровни ущерба (влияния на бизнес). Результирующий риск измеряется по шкале от 0 до 8, который может оцениваться по критериям принятия рисков, т.е. сравниваться с максимально допустимым уровнем риска, в качестве которого может быть выбрано, например, значение 3. Минимальный уровень риска, равный 0, соответствует очень низкой вероятности инцидента и очень низкому влиянию этого инцидента на бизнес, а максимальный уровень риска, равный 8, соответствует очень высокой вероятности инцидента и очень высокому влиянию на бизнес. Данная шкала рисков также может быть сведена к простому общему рейтингу риска, например: низкий риск: 0–2, средний риск: 3–5, высокий риск: 6–8. Все риски, значение которых превышает 3, будут нуждаться в обработке.
Вероятность сценария инцидента в свою очередь может быть представлена вероятностью осуществления угрозы и уровнем уязвимости. Комбинируя угрозу и уязвимости, которые используются для ее реализации, мы получаем сценарий инцидента.
Для определения значения вероятности инцидента может использоваться следующая матрица.
После определения уровня (величины) рисков, их необходимо проранжировать с целью определения приоритетов обработки этих рисков. Следующая таблица может использоваться для связи факторов ущерба (ценность актива) и вероятности инцидента (угроза и уязвимость объединяются и становятся причиной конкретного инцидента). На первом шаге по предопределенной шкале оценивается ущерб, например от 1 до 5 по каждому активу (столбец b в табл. С.7). На втором шаге по предопределенной шкале оценивается вероятность осуществления инцидента, например, от 1 до 5 по каждому инциденту (столбец с в табл. С.7). На следующем шаге вычисляется величина риска путем умножения b на с. В конечном итоге инциденты могут быть проранжированы по степени их критичности. Следует отметить, что в этом примере за 1 был принят самый низкий ущерб и самая низкая вероятность.
Приведенные выше способы качественного определения уровня риска и ранжирования инцидентов по уровню риска служат примерами табличных методов оценки рисков. Выбор конкретного табличного метода и настройка соответствующих шкал является прерогативой конкретной организации.
Еще раз подчеркнем, что любому качественному уровню, выражаемому числовыми значениями либо словами «низкий», «средний», «высокий» и т.п., должны соответствовать определенные диапазоны оценочных количественных величин. Без такого сопоставления использование качественных шкал для оценки рисков, конечно, возможно, однако в этом случае оценка рисков утрачивает экономический смысл.
Поэтому на практике количественный подход всегда превращается в качественный и наоборот, в связи с чем противопоставление качественных и количественных методов оценки рисков является, вообще говоря, занятием довольно бессмысленным.
Процесс сопоставления качественным уровням рисков соответствующих количественных диапазонов прогнозируемого среднегодового ущерба организации будет рассмотрен далее в соответствующей главе.
Количественно величину риска, связанного с осуществлением конкретной угрозы безопасности в отношении конкретного актива, можно выразить при помощи следующей простой математической формулы:
Вероятность успешной реализации угрозы в отношении актива с использованием уязвимости и причинения ущерба организации
Вероятность угрозы
Вероятность того, что угроза в отношении актива будет реализовываться (успешность либо неуспешность реализации угрозы определяется величиной уязвимости). На практике для вычисления риска используется не математическая вероятность угрозы, а ожидаемое количество попыток реализации угрозы за определенный период времени. Специально, чтобы не было путаницы в стандартах, вместо математического термина probability используется понятие likelihood. Этот термин, хотя и переводится на русский так же, как «вероятность», на практике означает возможность реализации угрозы, характеризующуюся примерной частотой ее реализации за определенный период времени
Величина уязвимости
Вероятность того, что в случае реализации угрозы в отношении актива эта угроза будет реализована успешно с использованием данной уязвимости, т.е. безопасность актива в результате будет нарушена и организация понесет определенный ущерб
Для определения величины риска используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования, а также на основании статистических данных. Размер ущерба как правило выражается в денежных единицах, величина уязвимости принимает значения в диапазоне от 0 до 1, а вероятность угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы за определенный период времени.
Для вычисления рисков удобно использовать период времени, равный одному году. В этом случае величина риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов безопасности (Annual Loss Expectancy – ALE). Эту величину удобно использовать для соотнесения расходов на безопасность с величиной риска и для оценки возврата инвестиций, достигаемого за счет уменьшения величины риска, что соответствует определенному сокращению среднегодовых потерь организации.
____________________________________
Величина риска = Среднегодовые потери организации в результате осуществления угрозы в отношении актива с использованием уязвимости (ALE – AnnualLossExpectancy).
_____________________________________
Это наиболее прагматичный и повсеместно используемый способ определения величины рисков. Потери организации выражаются в определенном денежном эквиваленте, ведь деньги – это наиболее универсальный инструмент для измерения ценности, применяемый в современном обществе. Каким бы ни был ущерб, материальный или нематериальный, прямой или косвенный, желательно его сопоставить определенной денежной величине. Иначе, что это за ущерб такой, ежели он ломаного гроша не стоит?
На практике оценка рисков всегда проводится на определенном уровне детализации. Все составляющие риска могут быть разложены на более мелкие составные элементы, что позволяет получить более точные и детализированные оценки рисков, и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок.
Поэтому формула для вычисления риска принимает следующий вид:
[Величина группы рисков] = [Ожидаемое количество попыток реализации группы угроз в течение года] × [Суммарная величина группы уязвимостей] × [Размер суммарного ущерба].
________________________________
Практичная формула для определения величина рисков:
[Величина группы рисков] = [Ожидаемое количество попыток реализации группы угроз в течение года] × [Суммарная величина группы уязвимостей] × [Размер суммарного ущерба].
_________________________________
В зависимости от уровня детализации для одной организации могут рассматриваться от нескольких десятков до нескольких сотен и даже тысяч рисков информационной безопасности. Всегда следует начинать с высокоуровневой оценки рисков, которой соответствует наиболее низкий уровень детализации, повышая детализацию по мере необходимости. Поводом для проведения более низкоуровневой (более детализированной) оценки рисков может служить то, что проведенная высокоуровневая оценка не предоставляет достаточной информации для принятия руководством организации обоснованных решений по обработке рисков.
