Профиль рисков ИБ (ПР) — документ, характеризующий риски ИБ объекта защиты (ОЗ). В качестве объекта защиты выступает информационная система. Здесь можно провести аналогию с Профилями защиты (ПЗ), определяемым стандартом ISO 15408, определяющими требования к объектам оценки (ОО) с учетом предположений об условиях функционирования ОО и задач по безопасности. Профиль рисков — определяет риски ИБ для ИС, способы их обработки и требования по ИБ, обусловленные существующими рисками и способами их обработки. Будут разрабатываться как частные ПР, описывающие информационные риски и состояние их обработки, в конкретных организациях и ИС, так и типовые ПР, которые будут общедоступны и будут публиковаться на этом сайте.
В практике таможенных органов, например, используется следующее определение профиля риска (не ИБ): «Профиль риска это — совокупность сведений об области риска, индикаторов риска, а также указания о применении необходимых мер по предотвращению или минимизации риска».
Профиль информационных рисков имеет следующую структуру:
Введение
Контекст управления рисками
— Цели управления рисками
— Критерии оценки ущерба
— Критерии оценки рисков
— Критерии принятия остаточных рисков
— Область и границы оценки рисков
— Организационная структура управления рисками
Активы
— Бизнес-процессы
— Информационные активы
— Ценность активов
Угрозы
— Модель нарушителя
— Модель угроз
— Профили и жизненные циклы угроз
— Оценка вероятности угроз
Уязвимости
— Организационные уязвимости
— Технические уязвимости
— Оценка уровня уязвимостей
Контрмеры
— Организационные контрмеры
— Технические контрмеры
— Оценка эффективности контрмер
Риски
— Матрица оценки риска
— Шкала оценки риска
— Реестр информационных рисков
— План обработки рисков
Оценка возврата инвестиций
— Стоимость контрмер
— Экономический эффект
— Коэффициент возврата инвестиций
Указания по применению
Структура ПР отражает весь процесс оценки и обработки рисков, поэтому частные профили рисков у нас уже есть. Их можно сделать из отчетов по результатам соответствующих проектов. Типовые ПР будут носить отраслевой характер. Для их разработки и согласования надо будет привлекать регуляторов и отраслевых экспертов.
Понятие Профиля риска мне пока в области ИБ не встречалось, мы его впервые вводим в нашей глобалтрастовской методологии управления рисками, базирующейся на ISO 2700x (описанию этой методологии посвящена моя книга, опубликованная на сайте http://анализ-риска.рф). Надеюсь, что разработка ПР будет поддержана и их потенциальными пользователями и регуляторами и интеграторами. Не дожидаясь этого счастливого момента, мы будем разрабатывать типовые ПР на нашем практикуме по анализу рисков http://globaltrust.ru/obuchenie/avtorskie-uchebnye-kursy/is002s-master-klass-praktikum-po-ocenke-riskov-informacionnoi-bezopasnosti
Экспертному сообществу уже порядком надоела безумная гонка нормативных документов и требований ИБ. На ничем не прикрытые головы сотрудников подразделений ИБ организаций вываливается все усиливающийся поток руководящих указаний, положений, стандартов, рекомендаций, методик и т.п., содержащих не связанные между собою, зачастую произвольным образом собранные требования, на 90% дублирующие друг друга (переписываемые из одного стандарта в другой), в каких-то местах противоречащие самим себе, в каких-то другим требованиям, в каких-то существующей практике и здравому смыслу. Об обосновании этих требований и речи не идет. Почему именно эти требования, почему именно в такой последовательности и именно в такой формулировке, какие угрозы и в какой степени они должны предотвращать? Излишнее усердие в нормотворчестве не решает реальных проблем ИБ и лишь создает новые. Службы ИБ должны в основном заниматься не обеспечением соответствия многочисленным нормативным и ненормативным актам, заключающемся в печатании и перепечатывании бумажек, к которым всерьез никто не относится, а уменьшением реальных рисков в реальном бизнесе.
Разработка ПР способствует улучшению ситуации в области нормативного регулирования ИБ. Допустим, какая-то всеми уважаемая организация решила выпустить очередной стандарт или руководящий документ по ИБ, который как брат-близнец похож на сотню уже ранее выпущенных стандартов. Прежде, чем принять этот очередной плод нормотворчества к исполнению и начинать плодить бумажки и оценки соответствия, мы попросим авторов предоставить ПР, обосновывающий на базе формального риск-ориентированного подхода необходимость применения данных конкретных требований к данным конкретным ИС в конкретных организациях. Если не будет ПР, тогда чем данный набор требований будет отличается от любого другого произвольным образом выбранного набора требований и какие разумные основания имеются для того, чтобы кому-то его начинать применять? Жестко формализованная структура ПР и детально проработанная методология оценки и обработки рисков, а также согласования остаточных рисков с лицами, принимающими решения, должны стать гарантиями того, что любую ерунду в ПР написать будет нельзя, т.е. конечно можно, но это будет очень заметно. Благодаря этому, плодить документы и требования по ИБ, четко не прослеживаемые до конкретных рисков конкретным информационным активам в конкретных ИС, станет невозможным.