Управление рисками иб

Руководитель организации, знающий потенциальные риски и рекомендованные механизмы, может спросить, «Когда и при каких условиях я должен предпринять необходимые действия? Когда я должен реализовать эти меры для снижения риска и защиты нашей организации?»

Диаграмма снижения риска, представленная на Рисунке 4-1, как раз и способствует решению этого вопроса. Соответствующие контрольные точки для реализации мер безопасности показаны на этом рисунке с помощью слова Да.

Рисунок 4-1. Диаграмма процесса снижения риска

Эту стратегию можно представить в виде следующих практических методов, которые помогают руководству в решении вопросов снижения рисков от преднамеренных человеческих угроз:

-       Когда недостаток или слабое место существует -> реализуются методы безопасности для гарантии, что определенные недостатки или слабые места удалены, а вероятность возникновения или проявления других снижена.

-       Когда существует уязвимость (реализуемый недостаток или слабо место) -> применяются многоуровневая защита, архитектурные принципы и/или административные механизмы для затруднения или снижения вероятности реализации недостатка или слабого места.

-       Когда затраты атакующего меньше потенциальной выгоды -> применяются методы для снижения мотивации атакующего с помощью увеличения затрат атакующего или снижения выгоды атакующего (для примера, административные меры, такие как ограничение по объему и видам обрабатываемой информации в одной системе, может существенно понизить выгоду атакующего).

-       Когда потери очень большие -> применяются такие архитектурные принципы и принципы проектирования, чтобы техническая и нетехническая защита вели к ограничению пределов атаки, тем самым, снижая потенциальные потери. (Снова, следует учитывать, что административные меры такие, как ограничение по объему и видам обрабатываемой информации в одной системе, могут обеспечить достаточно эффективное снижение риска).

Управление рисками иб

Описанная выше стратегия, за исключением перечня элементов («Когда затраты атакующего меньше потенциальной выгоды»), также применяется для снижения риска исходящего от источников угроз, которые являются природными, средой функционирования системы и непреднамеренны человеческими (например, сбои системы или ошибки пользователя). В этих случаях нет атакующего, мотивации или прибыли.

При внедрении мер безопасности, должно применяться следующее правило: Меры безопасности направлены в отношении наибольшего риска и стремятся к достаточному снижению уровня этого риска за наименьшую стоимость, при этом внедрение мер оказывает минимальное влияние на возможности функционирования организации.

Далее представлен подход к реализации мер безопасности.

Рисунок 4-2. Схема методологии снижения риска

-       Шаг 1 – Определение приоритетов действий

В соответствии с уровнями риска, представленными в отчете оценки риска, производится определение приоритетов действий по реализации рекомендуемых мер безопасности. При выделении ресурсов, наибольший приоритет следует отдавать действиям, которые отвечают рискам с неприемлемо высоким рангом (например, риски со значениями уровня – Очень Высокий или Высокий). Для защиты интересов организации пары уязвимость/угроза этих рисков потребуют немедленных корректирующих действий. Результат Шага 1 – Перечень действий ранжированных по приоритету реализации – от Высокого до Низкого.

-       Шаг 2 – Оценка рекомендуемых мер безопасности.

Меры безопасности, рекомендуемые в процессе оценки риска, могут не обладать необходимыми свойствами или функциями для конкретной организации и ИС. В течение этого шага выполняется анализ свойств: пригодности (например, совместимость, дружелюбие интерфейса пользователя) и эффективности (например, степень защищенности и уровень снижения риска) рекомендуемых мер. Целью этого шага является выбор наиболее пригодных для минимизации риска мер. Результат Шага 2 – Перечень пригодных мер безопасности.