среда, 11 мая 2011 г.

Оценка рисков нарушения ИБ

Процесс оценки рисков информационной безопасности (ИБ) порождает множество вопросов и проблем о которых я и хочу рассказать. В серии постов по данному направлению начну с типового подхода к оценки рисков ИБ и по мере публикаций раскрою основные сложности по выполнению такого рода работ. Ни для кого, ни секрет, что оценка рисков ИБ является актуальным направлением в области обеспечения ИБ. Главным образом актуальность заключается в возможности прогнозировании величины риска и принятию превентивных мер по снижению уровня риска до приемлемего. Довольно часто в случае неудачи в каком-либо деле можно услышать фразу: "знал бы где упаду, подстелил бы соломинку". Так вот процесс оценки рисков ИБ предупреждает Вас о том, что в определенных местах Вы можете упасть и лучше бы подстелить соломинку. 

Оценка рисков, в классическом понимании, включает в себя следующие этапы:
1. Описание объекта исследования (организационной структуры предприятия, технологического процесса обработки информации ограниченного доступа, субъектов доступа в информационную систему (ИС), объектов доступа в ИС, топологию сети, существующие организационные, программно-аппаратные и технические меры защиты информации и т.д.).
2. Идентификация угроз ИБ (процесс выявления всех возможных угроз; тут Вы можете определять угрозы как на уровне ИС, так и на уровне отдельного физического объекта ИС или информационного актива ИС - все зависит от требуемого уровня детализации). 
3. Оценка вероятности реализации угроз ИБ (может определяться по качественной или количественной шкале, в зависимости от поставленной конечной цели)
4. Оценка ущерба от реализации угроз ИБ (стоимость потерь, которые могут быть выражены в виде финансовых убытков и/или потери деловой репутации и/или правовые и нормативные издержки, так же как и в 3. ущерб может оцениваться как по качественной шкале, так и по количественной).
5. Расчет риска ИБ (в зависимости от того, какая степень детализации на этапе 2. была принята, риск ИБ может быть рассчитан для информационного актива, физического объекта ИС и/или ИС в целом). Простейшая формула, довольно часто используемая на практике, РИСК = Вероятность реализации угрозы ИБ * Ущерб от реализации угрозы ИБ. Как правило риск выражается в денежных единицах руб., $ и т.д.

Полученные результаты передаются в процесс управления рисками ИБ, но это уже другая история.

3 комментария:

Алексей Волков комментирует...

Все указанные этапы служат высшей цели, каковой может быть построение СУИБ. У Вас же получается, что оценка рисков включает в себя оценку рисков (5 этап). Это методологически неверно.

Сергей Ерохин комментирует...

Угу, есть такая ошибочка в формулировке, поправлю на расчет значения риска. Оценка рисков - это одна из компонент СУИБ. Применяя только ее СУИБ построить не получится.

Алексей Волков комментирует...

Об этом и балакаем ;)