Metodologie de evaluare a riscurilor de securitate a informațiilor. Probleme legate de managementul riscului de securitate a informațiilor

Istoria a demonstrat de multe ori că stabilitatea, oricât de ideală și bună ar părea la prima vedere, duce la degradare. Dezvoltarea este imposibilă fără riscuri. Întreaga noastră viață este formată din probabilități, evaluări ale posibilităților și decizii care duc la succes sau eșec. Dar mult depind de noi. Se va termina săritul cu parașuta în siguranță? Depinde dacă a fost așezat corect, dacă cunoașteți procedura de săritură etc. Riscul este acum zero? Nu, dar prin acțiunile tale ai reușit să-l reduci semnificativ. Pe lângă riscurile individuale, există cele sociale, tehnologice și multe altele. Ne vom concentra pe riscurile de securitate a informațiilor și gestionarea acestora.

Anton Makariciov
Şeful Departamentului de Securitate Informaţională, Compulink Group of Companies

Standardul de management al riscului ISO 31000:2009 definește riscul ca rezultat al incertitudinii cu privire la obiective, unde rezultatul este o abatere de la un rezultat dorit (pozitiv sau negativ), iar incertitudinea este o stare de informație insuficientă asociată cu înțelegerea sau cunoașterea unui eveniment, consecințele sau probabilitatea acesteia. Având în vedere că majoritatea riscurilor nu pot fi reduse la zero, managementul riscului este în prim plan atât la nivel global, cât și la nivel local. Din păcate, în cazul în care se acționează înainte de analiză (și aceasta este situația tipică pentru multe companii rusești), eficiența măsurilor luate este și ea lăsată la voia întâmplării. Este ca și cum ai folosi un ferăstrău cu lanț pe post de topor fără să te obosești să citești instrucțiunile de utilizare. De aceea, înainte de a vă ocupa de gestionarea riscului de securitate a informațiilor, ar trebui să înțelegeți evoluțiile și standardele existente în acest domeniu.

De la general la specific

Atunci când luați în considerare gestionarea riscurilor printr-un accent pe securitatea informațiilor, este util să înțelegeți următoarele documente:

• standardul internațional ISO 31000:2009;
• Comitetul organizațiilor de sponsorizare a cadrului de management al riscului organizațional al Comisiei Treadway (COSO ERM);
• standard de management al riscului al Institutului de Management al Riscului (IRM) al Asociației pentru Managementul Riscului și Asigurărilor (AIRMIC), precum și al Forumului Național pentru Managementul Riscului în Sectorul Public al Regatului Unit.

Astăzi, informatizarea societății, cuplată cu automatizarea proceselor, se dezvoltă atât de rapid încât ignorarea riscurilor tot mai mari din domeniul tehnologiei informației devine inacceptabilă.

ISO 31000:2009 este standardul internațional principal pentru managementul riscurilor pentru organizații și oferă definițiile și principiile de bază care ar trebui să ghideze o organizație odată ce decide să implementeze un sistem de management al riscului. Acest document poate fi folosit ca ghid pentru primii pași, deoarece descrie precis managementul riscului, adică arhitectura.

Îndrumări mai detaliate sunt furnizate în cadrul Comitetului Treadway al organizațiilor de sponsorizare al organizațiilor de gestionare a riscurilor. În special, pe lângă documentul în sine, materialele suplimentare emise de Comitetul COSO sunt de folos practic:

• Evaluarea riscurilor ERM în practică (practica de a efectua evaluări de risc în sistemul de management al riscului);
• Managementul riscului de întreprindere pentru C
• oud Computing (gestionarea riscurilor pentru sistemele cloud computing);
• Enterprise Risk Management – ​​​​Înțelegerea și comunicarea apetitului pentru risc (înțelegerea și comunicarea apetitului pentru risc în sistemul de management al riscului);
• Adoptarea managementului riscului întreprinderii: practică
• Abordări pentru începerea (abordări practice pentru demararea implementării unui sistem de management al riscului), etc.

Scopul lor este o dezvăluire detaliată a tuturor aspectelor stabilite în cadrul conceptual, care în cele din urmă face posibilă punerea principiilor descrise pe o bază practică.

Cu toate acestea, merită menționată o nuanță importantă care poate duce la o anumită confuzie atunci când încercați să combinați standardele descrise mai sus - diferențele de definiții. De exemplu, definiția „riscului” în standardul ISO este probabilitatea consecințelor atât pozitive, cât și negative, în standardul COSO este doar probabilitatea unei consecințe negative, pentru una pozitivă există un termen separat - oportunitate. Cu toate acestea, având în vedere dezvoltarea permanentă a standardului, acesta merită cea mai mare atenție.

Un alt document util este standardul de management al riscului al Institutului de Management al Riscului (IRM) al Asociației pentru Managementul Riscului și Asigurărilor (AIRMIC), precum și al Forumului Național pentru Managementul Riscului în Sectorul Public al Regatului Unit. Luând ca bază terminologia ISO, acest standard dezvăluie procesul de management al riscului mai detaliat (Fig. 2).

Va fi extrem de util pentru întreprinderile mici și mijlocii, deoarece poate acționa ca un singur și unic document pentru implementarea unui sistem de management al riscului de înaltă calitate.

Astfel, înainte de a trece la aspectele specifice ale managementului riscului de securitate a informațiilor, putem trage concluzii intermediare cu privire la standardele luate în considerare:

• ISO 31000:2009 este potrivit ca bază pentru orice organizație;
• AIRMIC este orientat spre practică și potrivit ca document de bază pentru întreprinderile mici și mijlocii, precum și ca punct de plecare pentru companiile mari;
• COSO ERM acționează ca principalul document pentru implementarea practică a unui sistem de management al riscului în orice organizație, dar inițial gravitează către afacerile mari.

Managementul riscului de securitate a informațiilor

Astăzi, informatizarea societății, cuplată cu automatizarea proceselor, se dezvoltă atât de rapid încât ignorarea riscurilor tot mai mari din domeniul tehnologiei informației devine inacceptabilă. Disponibilitatea centrelor de date este măsurată în cinci și șase nouă, iar eșecurile în sistemele de informații ale marilor companii devin știri globale.

Ca urmare, organizațiile creează departamente separate pentru securitatea informațiilor și riscurile IT, care sunt angajate în identificarea și gestionarea riscurilor în acest domeniu.

Cererea a creat oferta. Astfel, organizația internațională ISO a emis un standard de gestionare a riscurilor de securitate a informațiilor într-o organizație – ISO 27005:2008 „Tehnologia informației – tehnici de securitate – managementul riscului de securitate a informațiilor”. Cu toate acestea, pe lângă aceasta, există și alte documente la fel de utile, de exemplu:

• mediu de lucru pentru gestionarea riscurilor IT (The Risk IT Framework) și instrucțiuni de utilizare pentru riscuri IT (The Risk IT Practitioner Guide), bazate pe standardul Cobit al organizației ISACA;
• Metodologia autorului pentru managementul riscului sistemelor informatice de Ken Jaworski.

Să ne uităm la fiecare dintre ele mai detaliat.

ISO 27005:2008 definește riscul de securitate a informațiilor ca fiind probabilitatea ca o anumită amenințare să exploateze vulnerabilitățile unui activ sau grup de active și, prin urmare, să provoace prejudicii unei organizații.

În conformitate cu standardul, procesul de management al riscului de securitate a informațiilor vă permite să organizați următoarele:

• identificarea riscului;
• evaluarea riscurilor în ceea ce privește consecințele asupra afacerii și probabilitatea apariției acestora;
• comunicarea și conștientizarea probabilității și consecințelor riscurilor;
• stabilirea unei ordini de priorități pentru tratarea riscurilor;
• prioritizarea acțiunilor pentru reducerea probabilității riscurilor;
• implicarea părților interesate în procesul de luare a deciziilor de management al riscului și comunicarea stadiului procesului de management al riscului;
• monitorizarea eficacității tratamentului riscului;
• monitorizează și revizuiește periodic riscurile și procesul de gestionare a riscurilor;
• identificarea informațiilor pentru îmbunătățirea abordării managementului riscului;
• instruirea managerilor și angajaților cu privire la riscuri și acțiuni de reducere a acestora.

Există unele progrese în domeniul managementului riscului de securitate a informațiilor, permițând profesioniștilor interesați să treacă de la descrierile teoretice la acțiuni practice. Astfel, standardul internațional ISO 27005:2008 servește ca punct de plecare teoretic, de la care calea practică ulterioară, în ciuda unei abordări individuale pentru fiecare organizație, poate fi implementată eficient folosind cel puțin două metode.

Este de remarcat faptul că diagrama procesului de management al riscului de securitate a informațiilor este identică cu diagrama standard 31000 prezentată mai devreme, ceea ce confirmă și mai mult aceeași abordare a managementului riscului din seria de standarde ISO. Standardul este de natură teoretică, dar va fi util ca bază pentru implementarea ulterioară a unui sistem de management al riscului.

Cadrul Risk IT, bazat pe standardul ISACA Cobit, include un cadru teoretic, instrucțiuni de utilizare - metodologie și exemple practice.

Acest document definește riscul IT ca risc de afaceri, în special riscul de afaceri asociat cu utilizarea, proprietatea, operarea, implicarea, influența sau adaptarea IT într-o organizație.

Modelul de proces al acestui mediu constă din trei domenii:

• managementul riscurilor (Risk Governance);
• Evaluarea riscurilor;
• Răspuns la risc.

Acest model cu trei domenii este disecat amănunțit în lucrare. Sunt furnizate toate definițiile necesare, este analizat modelul pentru procesele enumerate, precum și procedura de implementare.

Risk IT Practitioner Guide este o continuare logică a mediului de lucru, axată pe implementarea practică a modelului cu trei domenii în organizație. Documentul oferă șabloanele necesare, tabele și alte documente care pot fi modificate dacă este necesar și utilizate în sistemul de management al riscului al organizației dumneavoastră. De asemenea, este oferită o descriere a celor mai bune practici pentru implementarea sistemelor de risc IT.

Metodologia de management al riscului în sistemele informaționale a lui Ken Jaworski se bazează pe standardul ISO și se concentrează pe aspectele practice ale implementării unui sistem de management al riscului și conține, de asemenea, șabloanele și metodele necesare pentru calcularea impactului riscurilor asupra activităților organizației.

Pentru a rezuma, putem concluziona că în domeniul managementului riscului de securitate a informațiilor există unele progrese care permit specialiștilor interesați să treacă de la descrierile teoretice la acțiunile practice. Astfel, standardul internațional ISO 27005:2008 servește ca punct de plecare teoretic, de la care calea practică ulterioară, în ciuda unei abordări individuale pentru fiecare organizație, poate fi implementată eficient folosind cel puțin două metode.

Concluzie

Sistemul de management al riscului ca parte a guvernanței corporative își arată deja eficacitatea în acele companii în care acesta începe să fie implementat sau a fost deja implementat. Datorită stării actuale de criză a economiei globale, se poate presupune că sisteme similare se vor răspândi în viitor în sectorul public. Acest lucru este posibil și astăzi, deoarece există deja standarde și alte documente privind sistemul de management al riscurilor care fac posibilă implementarea acestui sistem cu o calitate ridicată și într-un timp relativ scurt. Punctul fundamental este faptul că, pe lângă documentele „generale”, există standarde industriale pentru managementul riscurilor, în special managementul riscului IT/IS. Cu toate acestea, având în vedere specificul economiei ruse, multe organizații se bazează mai mult pe sprijinul statului sau pe așa-numitele resurse administrative, acordând o atenție insuficientă sistemului de guvernanță corporativă și în special managementului riscului. Ca urmare, în țara noastră există o predispoziție din ce în ce mai mare la falimente mai mari decât în ​​Statele Unite. Dar inacțiunea este puțin probabil să ajute la rezolvarea problemei.

În ianuarie 2018, Raportul Global Riscurile pentru Umanitate 2018 a fost prezentat la Forumul Economic Mondial de la Davos. Din raport rezultă că semnificația riscurilor de securitate a informațiilor este în creștere atât datorită creșterii numărului de atacuri implementate, cât și ținând cont de potențialul lor distructiv.

Unele dintre cele mai comune tehnici de management al riscului de securitate a informațiilor din lume sunt CRAMM, COBIT for Risk, FRAP, Octave și Microsoft. Pe lângă anumite avantaje, ele au și limitările lor. În special, metodele străine enumerate pot fi utilizate în mod eficient de companiile comerciale, în timp ce organizațiile guvernamentale, atunci când evaluează și gestionează riscurile de securitate a informațiilor, trebuie să fie ghidate de prevederile reglementărilor FSTEC din Rusia. De exemplu, pentru sistemele de control automate pentru producție și procesele tehnologice la instalațiile critice, ar trebui să se ghideze de Ordinul nr. 31 al FSTEC din Rusia din 14 martie 2014. În același timp, acest document ar putea fi folosit și ca material suplimentar de către autoritățile executive federale.

Riscurile securității informațiilor în societatea modernă

Recent, numărul atacurilor asupra organizațiilor s-a dublat. Atacurile care provoacă daune extraordinare devin obișnuite. Pierderile financiare din atacuri sunt în creștere, iar unele dintre cele mai mari pierderi sunt asociate cu atacurile ransomware. Un exemplu izbitor în acest sens îl reprezintă atacurile virușilor ransomware WannaCry și NotPetya, care au afectat peste 300 de mii de computere din 150 de țări și au dus la pierderi financiare de peste 300 de milioane de dolari.

O altă tendință este creșterea numărului de atacuri asupra infrastructurii critice și a instalațiilor industriale strategice, care poate duce la incapacitatea sistemelor care sprijină susținerea vieții umanității de către atacatori și la apariția dezastrelor globale provocate de om.

Astfel, riscurile de securitate a informațiilor sunt incluse în primele trei riscuri cele mai probabile (împreună cu riscurile de dezastre naturale și condiții meteorologice extreme) și în lista celor șase cele mai critice riscuri pentru posibile daune (împreună cu riscurile utilizării armelor). de distrugere în masă, dezastre naturale, anomalii meteorologice și deficit de apă potabilă). Prin urmare, managementul riscului de securitate a informațiilor este unul dintre domeniile prioritare pentru dezvoltarea organizațiilor din întreaga lume și este absolut necesar pentru funcționarea lor ulterioară.

Obiective și abordări ale managementului riscului de securitate a informațiilor

Scopul oricărei organizații este atingerea anumitor indicatori care caracterizează rezultatele activităților sale. De exemplu, pentru companiile comerciale aceasta este realizarea de profit, creșterea capitalizării, cotei de piață sau a cifrei de afaceri, iar pentru organizațiile guvernamentale este furnizarea de servicii publice populației și rezolvarea problemelor de management. În orice caz, indiferent de scopul activităților organizației, implementarea riscurilor de securitate a informațiilor poate împiedica atingerea acestui scop. În același timp, fiecare organizație evaluează riscurile și posibilitatea de a investi în reducerea acestora în felul său.

Astfel, scopul managementului riscului de securitate a informațiilor este menținerea acestora la un nivel acceptabil pentru organizație. Pentru a rezolva această problemă, organizațiile creează sisteme complete de securitate a informațiilor (ISS).

La realizarea unor astfel de sisteme se pune problema alegerii instrumentelor de securitate care să asigure reducerea riscurilor de securitate a informațiilor identificate în timpul analizei fără costuri excesive pentru implementarea și suportul acestor instrumente. Analiza riscurilor de securitate a informațiilor ne permite să determinăm setul necesar și suficient de mijloace de securitate a informațiilor, precum și măsuri organizaționale menite să reducă riscurile de securitate a informațiilor și să dezvoltăm arhitectura ISS a unei organizații care este cea mai eficientă pentru activitățile sale specifice și care vizează reducerea tocmai riscurile sale de securitate a informațiilor.

Toate riscurile, inclusiv riscurile de securitate a informațiilor, sunt caracterizate de doi parametri: daune potențiale aduse organizației și probabilitatea implementării. Utilizarea unei combinații a acestor două caracteristici pentru analiza riscului vă permite să comparați riscurile cu diferite niveluri de daune și probabilitate, aducându-le la o expresie comună care este de înțeles pentru factorii de decizie privind minimizarea riscului în organizație. Totodată, procesul de management al riscului constă din următoarele etape logice, a căror compoziție și conținut depind de metodologia utilizată pentru evaluarea și managementul riscurilor:

1. Determinarea nivelului de risc acceptabil pentru organizație (apetitul pentru risc) - un criteriu utilizat atunci când se decide dacă să accepte sau să trateze un risc. Pe baza acestui criteriu, se determină care riscuri identificate în viitor vor fi acceptate necondiționat și excluse de la analiza ulterioară și care vor fi supuse unei analize ulterioare și incluse în planul de răspuns la risc.
2. Identificarea, analiza si evaluarea riscurilor. Pentru a lua o decizie cu privire la riscuri, acestea trebuie să fie clar identificate și evaluate în ceea ce privește prejudiciul cauzat de risc și probabilitatea implementării acestuia. Evaluarea daunelor determină gradul de impact al riscului asupra activelor IT ale unei organizații și asupra proceselor de afaceri pe care le suportă. Atunci când se evaluează probabilitatea, se face o analiză a probabilității apariției riscului. Evaluarea acestor parametri se poate baza pe identificarea și analiza vulnerabilităților inerente activelor IT care pot fi afectate de risc și amenințărilor care pot fi realizate prin exploatarea acestor vulnerabilități. De asemenea, în funcție de metodologia de evaluare a riscului utilizată, se pot utiliza modelul atacatorului, informații despre procesele de afaceri ale organizației și alți factori asociați cu implementarea riscului, precum situația politică, economică, de piață sau socială din mediul de operare al organizației. ca date iniţiale pentru evaluarea acestora. Atunci când se evaluează riscurile, se poate folosi o abordare calitativă, cantitativă sau mixtă a evaluării acestora. Avantajul abordării calitative este simplitatea acesteia, minimizarea timpului și a costurilor cu forța de muncă pentru efectuarea evaluărilor de risc, limitările sunt vizibilitatea insuficientă și complexitatea utilizării rezultatelor analizei de risc pentru justificarea economică și evaluarea fezabilității investițiilor în măsurile de răspuns la risc. Avantajul abordării cantitative este acuratețea evaluării riscului, claritatea rezultatelor și capacitatea de a compara valoarea riscului, exprimată în bani, cu suma investiției necesare pentru a răspunde acestui risc, dezavantajele sunt complexitatea; intensitate mare a muncii și durata de execuție.
3. Clasamentul riscului. Pentru a determina prioritatea în răspunsul la riscuri și pentru a dezvolta ulterior un plan de răspuns, toate riscurile trebuie să fie clasificate. La ierarhizarea riscurilor, în funcție de metodologia utilizată, pot fi aplicate criterii de determinare a criticității, cum ar fi prejudiciul din realizarea riscurilor, probabilitatea implementării, activele IT și procesele de afaceri afectate de risc, protestele publice și prejudiciul reputațional ca urmare a realizării riscurilor. riscul etc.
4. Luarea deciziilor cu privire la riscuri și elaborarea unui plan de răspuns la risc. Pentru a determina un set de măsuri de răspuns la risc, este necesară analizarea riscurilor identificate și evaluate pentru a lua una dintre următoarele decizii cu privire la fiecare dintre ele:
   • evitarea riscurilor;
   • Asumarea riscurilor;
   • Transferul riscului;
   • Reducerea riscului.
   Decizia luată pentru fiecare risc trebuie înregistrată în planul de răspuns la risc. De asemenea, acest plan poate conține, în funcție de metodologia utilizată, următoarele informații necesare pentru a răspunde la riscuri:
   • Responsabil pentru răspuns;
   • Descrierea măsurilor de răspuns;
   • Evaluarea investiției necesare în măsuri de răspuns;
   • Momentul de implementare a acestor măsuri.
5. Implementarea măsurilor de răspuns la riscuri. Pentru implementarea măsurilor de răspuns la risc, persoanele responsabile organizează implementarea acțiunilor descrise în planul de răspuns la risc în intervalul de timp necesar.
6. Evaluarea eficacității măsurilor implementate. Pentru a obține încrederea că măsurile aplicate în conformitate cu planul de răspuns sunt eficiente și nivelul riscurilor este acceptabil pentru organizație, se evaluează eficiența fiecărei măsuri de răspuns la risc implementate, precum și riscurile organizației sunt identificate, analizate și evaluate în mod regulat. .

Să luăm în considerare cele mai cunoscute metode de management al riscului de securitate a informațiilor: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Prezentare generală a tehnicii CRAMM

CRAMM (CCTA Risk Analysis and Management Method), dezvoltat de Serviciul de Securitate al Regatului Unit în 1985, se bazează pe seria BS7799 de standarde de management al securității informațiilor (revizuite acum la ISO 27000) și descrie o abordare a evaluării calitative a riscurilor. În acest caz, trecerea la scara de valori a indicatorilor calitativi are loc cu ajutorul unor tabele speciale care determină corespondența dintre indicatorii calitativi și cantitativi. Evaluarea riscurilor se bazează pe o analiză a valorii unui activ IT pentru afaceri, a vulnerabilităților, a amenințărilor și a probabilității implementării acestora.

Procesul de management al riscului prin metoda CRAMM constă din următoarele etape:

1. Iniţiere. În această etapă se desfășoară o serie de interviuri cu persoane interesate de procesul de analiză a riscului de securitate a informațiilor, inclusiv cu cei responsabili cu operarea, administrarea, securitatea și utilizarea activelor IT pentru care se efectuează analiza de risc. Ca urmare, se oferă o descriere oficială a zonei pentru cercetări ulterioare, limitele acesteia și se determină componența persoanelor implicate în analiza riscului.
2. Identificarea și Evaluarea Activelor. Se stabilește o listă a activelor IT utilizate de organizație în domeniul de studiu definit anterior. Conform metodologiei CRAMM, activele IT pot fi unul dintre următoarele tipuri:
   • Date;
   • Software;
   • Bunuri fizice.
   Pentru fiecare activ, se va determina criticitatea acestuia pentru activitățile organizației și, împreună cu reprezentanții departamentelor care utilizează activul IT pentru a rezolva problemele aplicate, se vor evalua consecințele pentru activitățile organizației din încălcarea confidențialității, integrității și disponibilității acesteia.
3. Evaluarea amenințărilor și vulnerabilităților. Pe lângă evaluarea criticității activelor IT, o parte importantă a metodologiei CRAMM este evaluarea probabilității amenințărilor și vulnerabilităților activelor IT. Metodologia CRAMM conține tabele care descriu corespondența dintre vulnerabilitățile activelor IT și amenințările care pot afecta activele IT prin aceste vulnerabilități. Există, de asemenea, tabele care descriu daunele aduse activelor IT dacă aceste amenințări se materializează. Această etapă se realizează numai pentru cele mai critice active IT, pentru care implementarea unui set de bază de măsuri de securitate a informațiilor nu este suficientă. Vulnerabilitățile și amenințările actuale sunt identificate prin intervievarea persoanelor responsabile cu administrarea și operarea activelor IT. Pentru alte active IT, metodologia CRAMM conține un set de măsuri de bază necesare pentru asigurarea securității informațiilor.
4. Calculul riscului. Riscul se calculează folosind formula: Risc = P (realizare) * Daune. În acest caz, probabilitatea realizării riscului se calculează prin formula: P (implementare) = P (amenințare) * P (vulnerabilitate). În etapa de calcul a riscurilor pentru fiecare activ IT, cerințele pentru un set de măsuri pentru asigurarea securității informațiilor acestuia sunt determinate pe o scară de la „1” la „7”, unde valoarea „1” corespunde setului minim necesar. de măsuri pentru asigurarea securității informației, iar valoarea „7” – maxim.
5. Managementul riscurilor. Pe baza rezultatelor calculului riscului, metodologia CRAMM determină setul de măsuri necesare pentru asigurarea securității informațiilor. În acest scop, se folosește un catalog special, care cuprinde aproximativ 4 mii de măsuri. Setul de măsuri recomandate de metodologia CRAMM este comparat cu măsurile care au fost deja luate de organizație. Ca urmare, sunt identificate zonele care necesită o atenție suplimentară în ceea ce privește aplicarea măsurilor de protecție și zonele cu măsuri de protecție redundante. Aceste informații sunt folosite pentru a formula un plan de acțiune pentru modificarea componenței măsurilor de protecție utilizate în organizație – pentru a aduce nivelul riscurilor la nivelul necesar.

Din punct de vedere al aplicării practice, pot fi identificate următoarele avantaje ale tehnicii CRAMM:

• O metodă care a fost testată de mai multe ori și care a acumulat experiență și competențe profesionale semnificative; rezultatele utilizării CRAMM sunt recunoscute de instituțiile internaționale;
• Prezența unei descrieri clare, formalizate a metodologiei minimizează posibilitatea apariției erorilor la implementarea proceselor de analiză și management al riscului;
• Prezența instrumentelor de automatizare pentru analiza riscurilor vă permite să minimizați costurile cu forța de muncă și timpul necesar pentru realizarea activităților de analiză și management al riscurilor;
• Cataloagele de amenințări, vulnerabilități, consecințe și măsuri de securitate a informațiilor simplifică cerințele pentru cunoștințele și competențele speciale ale celor implicați direct în activitățile de analiză și management al riscurilor.

Cu toate acestea, tehnica CRAMM are următoarele dezavantaje:

• Complexitatea ridicată și intensitatea muncii în colectarea datelor inițiale, necesitând resurse semnificative din interiorul organizației sau din exterior;
• Cheltuieli mari de resurse și timp pentru implementarea proceselor de analiză și gestionare a riscurilor de securitate a informațiilor;
• Implicarea unui număr mare de părți interesate necesită costuri semnificative pentru organizarea colaborării, comunicări în cadrul echipei de proiect și coordonare a rezultatelor;
• Incapacitatea de a evalua riscurile în termeni monetari face dificilă utilizarea rezultatelor evaluărilor riscurilor de securitate a informațiilor în studiul de fezabilitate al investițiilor necesare implementării instrumentelor și metodelor de securitate a informațiilor.

CRAMM este utilizat pe scară largă atât în ​​organizațiile guvernamentale, cât și în organizațiile comerciale din întreaga lume, fiind standardul de facto pentru managementul riscului de securitate a informațiilor în Marea Britanie. Metodologia poate fi aplicată cu succes în organizațiile mari axate pe interacțiunea internațională și pe respectarea standardelor internaționale de management, realizând implementarea inițială a proceselor de management al riscului de securitate a informațiilor pentru a acoperi întreaga organizație deodată. Cu toate acestea, organizațiile trebuie să fie capabile să aloce resurse și timp semnificativ aplicării CRAMM.

Prezentare generală a metodologiei COBIT for Risk

Metodologia COBIT for Risk a fost dezvoltată de ISACA (Asociația de Audit și Control al Sistemelor Informaționale) în 2013 și se bazează pe cele mai bune practici de management al riscului (COSO ERM, ISO 31000, ISO\IEC 27xxx etc.). Metodologia examinează riscurile de securitate a informațiilor în relație cu riscurile activităților de bază ale organizației, descrie abordări ale implementării funcției de management al riscului de securitate a informațiilor în organizație și proceselor de analiză calitativă a riscurilor de securitate a informațiilor și managementul acestora.

La implementarea funcției și a procesului de management al riscului într-o organizație, metodologia identifică următoarele componente care afectează atât riscurile de securitate a informațiilor, cât și procesul de gestionare a acestora:
• Principii, politici, proceduri ale organizației;
• procese;
• Structura organizationala;
• Cultura corporativă, etica și regulile de conduită;
• Informație;
• servicii IT, infrastructură și aplicații IT;
• Oamenii, experiența și competențele lor.

În ceea ce privește organizarea funcției de management al riscului de securitate a informațiilor, metodologia definește și descrie cerințele pentru următoarele componente:
• Procesul necesar;
• Fluxuri de informații;
• Structura organizationala;
• Oameni și competențe.
Elementul principal de analiză și management al riscurilor de securitate a informațiilor în conformitate cu metodologia sunt scenariile de risc. Fiecare scenariu este „o descriere a unui eveniment care, dacă are loc, ar putea avea ca rezultat un impact incert (pozitiv sau negativ) asupra realizării obiectivelor organizației”. Metodologia conține peste 100 de scenarii de risc care acoperă următoarele categorii de impact:
• Crearea si intretinerea portofoliilor de proiecte IT;
• Managementul ciclului de viață al programului/proiectului;
• Investiții în IT;
• expertiza și abilitățile personalului IT;
• Operațiuni de personal;
• Informație;
• Arhitectură;
• Infrastructură IT;
• Software;
• Utilizarea ineficientă a IT;
• Selectia si managementul furnizorilor IT;
• Respectarea reglementărilor;
• Geopolitică;
• Furtul elementelor de infrastructură;
• Software rău intenționat;
• Atacurile logice;
• Impact tehnologic;
• Mediu inconjurator;
• Fenomene naturale;
• Inovaţie.
Pentru fiecare scenariu de risc, metodologia determină gradul de apartenență al acestuia la fiecare tip de risc:
• Riscuri strategice – riscuri asociate cu oportunitățile ratate de a utiliza IT pentru a dezvolta și îmbunătăți eficiența activităților de bază ale organizației;
• Riscuri de proiect – riscuri asociate cu influența IT asupra creării sau dezvoltării proceselor existente ale organizației;
• Riscurile managementului IT și furnizării serviciilor IT sunt riscuri asociate cu asigurarea disponibilității, stabilității și furnizării serviciilor IT către utilizatori cu nivelul de calitate cerut, probleme cu care pot duce la deteriorarea activităților de bază ale organizației.
Fiecare scenariu de risc conține următoarele informații:
• Tipul sursei de amenințare - intern/extern.
• Tip de amenințare - acțiune rău intenționată, fenomen natural, eroare etc.
• Descrierea evenimentului - acces la informații, distrugere, modificare, dezvăluire de informații, furt etc.
• Tipuri de active (componente) ale organizației care sunt afectate de eveniment - oameni, procese, infrastructură IT etc.
• Ora evenimentului.
Dacă apare un scenariu de risc, organizația va suferi daune. Astfel, atunci când se analizează riscurile de securitate a informațiilor în conformitate cu metodologia COBIT for Risk, sunt identificate scenarii de risc relevante pentru organizație, iar măsurile de atenuare a riscurilor au ca scop reducerea probabilității apariției acestor scenarii. Pentru fiecare dintre riscurile identificate, se efectuează o analiză a conformității acestuia cu apetitul pentru risc al organizației, urmată de luarea uneia dintre următoarele decizii:
• evitarea riscurilor;
• Asumarea riscurilor;
• Transferul riscului;
• Reducerea riscului.
Managementul suplimentar al riscului se realizează prin analiza nivelului rezidual al riscurilor și luarea deciziei cu privire la necesitatea implementării unor măsuri suplimentare de reducere a riscurilor. Metodologia conține recomandări pentru implementarea măsurilor de atenuare a riscurilor pentru fiecare tip de componentă organizațională.

Din punct de vedere al aplicării practice, pot fi evidențiate următoarele avantaje ale metodologiei COBIT for Risk:
• Conectarea la biblioteca comună COBIT și capacitatea de a utiliza abordări și „controale IT” (diminuarea riscurilor) din domenii conexe pentru a lua în considerare riscurile și atenuările de securitate a informațiilor în legătură cu impactul riscurilor asupra proceselor de afaceri ale unei organizații;
• O metodă testată în mod repetat în care s-au acumulat experiență semnificativă și competențe profesionale și ale cărei rezultate sunt recunoscute de instituțiile internaționale;
• Prezența unei descrieri clare, formalizate a metodologiei ne permite să minimizăm erorile în implementarea proceselor de analiză și management al riscurilor;
• Cataloagele de scenarii de risc și „Controale IT” fac posibilă simplificarea cerințelor de cunoștințe și competențe speciale ale celor direct implicați în activitățile de analiză și management al riscurilor;
• Capacitatea de a utiliza metodologia la efectuarea auditurilor vă permite să reduceți costurile cu forța de muncă și timpul necesar pentru interpretarea rezultatelor auditurilor externe și interne.
În același timp, metodologia COBIT for Risk are următoarele dezavantaje și limitări:
• Complexitatea ridicată și intensitatea muncii a colectării datelor inițiale necesită implicarea unor resurse semnificative fie în cadrul organizației, fie extern;
• Implicarea unui număr mare de părți interesate necesită costuri semnificative pentru organizarea colaborării, alocarea timpului persoanelor implicate pentru comunicare în cadrul echipei de proiect și acordarea rezultatelor cu toți factorii interesați;
• Lipsa capacității de a evalua riscurile în termeni monetari face dificilă utilizarea rezultatelor unei evaluări a riscurilor de securitate a informațiilor atunci când se justifică investițiile necesare pentru implementarea instrumentelor și metodelor de securitate a informațiilor.
Această metodă este folosită atât în ​​organizațiile guvernamentale, cât și în organizațiile comerciale din întreaga lume. Metoda este cea mai potrivită pentru organizațiile tehnologice mari sau organizațiile cu un grad ridicat de dependență a activităților lor de bază față de tehnologia informației, pentru cei care folosesc deja (sau intenționează să utilizeze) standardele și metodologiile COBIT pentru gestionarea tehnologiei informației și au resursele și resursele necesare. competențe pentru aceasta. În acest caz, este posibilă integrarea eficientă a proceselor de management al riscului de securitate a informațiilor și a proceselor generale de management IT și obținerea unui efect sinergic care va optimiza costurile de implementare a proceselor de analiză și management al riscului de securitate a informațiilor.

În prezent, riscurile de securitate a informațiilor reprezintă o mare amenințare pentru activitățile normale ale multor întreprinderi și instituții. În era noastră a tehnologiei informației, obținerea oricăror date nu este practic dificilă. Pe de o parte, acest lucru, desigur, aduce multe aspecte pozitive, dar devine o problemă pentru chipul și brandul multor companii.

Protejarea informațiilor în întreprinderi devine acum aproape o prioritate de top. Experții consideră că numai prin dezvoltarea unei anumite secvențe conștiente de acțiuni poate fi atins acest obiectiv. În acest caz, este posibil să te ghidezi numai după fapte de încredere și să folosești metode analitice avansate. Dezvoltarea intuiției și experienței specialistului responsabil de această divizie în întreprindere aduce o anumită contribuție.

Acest material vă va spune despre gestionarea riscurilor de securitate a informațiilor ale unei entități de afaceri.

Ce tipuri de posibile amenințări există în mediul informațional?

Pot exista multe tipuri de amenințări. Analiza riscurilor de securitate a informațiilor întreprinderii începe cu luarea în considerare a tuturor amenințărilor potențiale posibile. Acest lucru este necesar pentru a decide asupra metodelor de verificare în cazul acestor situații neprevăzute, precum și pentru a crea un sistem de protecție adecvat. Riscurile de securitate a informațiilor sunt împărțite în anumite categorii în funcție de diverse criterii de clasificare. Ele vin în următoarele tipuri:

• surse fizice;
• utilizarea necorespunzătoare a rețelei de calculatoare și a World Wide Web;
• scurgeri din surse sigilate;
• scurgeri prin mijloace tehnice;
• intrare neautorizată;
• atacul bunurilor informaționale;
• încălcarea integrității modificării datelor;
• urgențe;
• încălcări legale.

Ce este inclus în conceptul de „amenințări fizice la adresa securității informațiilor”?

Tipurile de riscuri de securitate a informațiilor sunt determinate în funcție de sursele apariției acestora, de modalitatea de implementare a intruziunii ilegale și de scop. Cele mai simple din punct de vedere tehnic, dar care necesită încă o execuție profesională, sunt amenințările fizice. Acestea reprezintă acces neautorizat la surse închise. Adică, acest proces este de fapt un furt obișnuit. Informațiile pot fi obținute personal, cu propriile mâini, prin simpla invadare a teritoriului instituției, birourilor, arhivelor pentru a avea acces la echipamente tehnice, documentație și alte medii de informare.

Furtul poate să nu implice nici măcar datele în sine, ci locul în care sunt stocate, adică echipamentul informatic în sine. Pentru a perturba activitățile normale ale unei organizații, atacatorii pot cauza pur și simplu funcționarea defectuoasă a suporturilor de stocare sau a echipamentelor tehnice.

Scopul unei intruziuni fizice poate fi, de asemenea, acela de a obține acces la un sistem de care depinde protecția informațiilor. Un atacator poate modifica opțiunile de rețea responsabile de securitatea informațiilor pentru a facilita și mai mult implementarea metodelor ilegale.

Posibilitatea unei amenințări fizice poate fi oferită și de membrii diferitelor grupuri care au acces la informații clasificate care nu sunt făcute publice. Scopul lor este o documentare valoroasă. Astfel de persoane sunt numite persoane din interior.

Activitatea atacatorilor externi poate fi îndreptată către același obiect.

Cum pot angajații companiei să devină înșiși cauza amenințărilor?

Riscurile de securitate a informațiilor apar adesea din cauza utilizării necorespunzătoare de către angajați a internetului și a sistemelor informatice interne. Atacatorii sunt grozavi să profite de lipsa de experiență, nepăsarea și lipsa de educație a unor oameni în ceea ce privește securitatea informațiilor. Pentru a exclude această opțiune de sustragere a datelor confidențiale, conducerea multor organizații urmărește o politică specială în rândul personalului lor. Scopul său este de a învăța oamenii regulile de comportament și de utilizare a rețelelor. Aceasta este o practică destul de comună, deoarece amenințările care apar în acest fel sunt destul de frecvente. Programele pentru dobândirea abilităților de securitate a informațiilor pentru angajații întreprinderii includ următoarele:

• depășirea utilizării ineficiente a instrumentelor de audit;
• reducerea gradului în care oamenii folosesc instrumente speciale pentru prelucrarea datelor;
• reducerea utilizării resurselor și activelor;
• instruire în obținerea accesului la instrumentele de rețea numai prin metode stabilite;
• identificarea zonelor de influență și desemnarea teritoriului de responsabilitate.

Când fiecare angajat înțelege că soarta instituției depinde de îndeplinirea responsabilă a sarcinilor care îi sunt atribuite, el încearcă să respecte toate regulile. Este necesar să se stabilească sarcini specifice pentru oameni și să se justifice rezultatele obținute.

Cum sunt încălcați termenii de confidențialitate?

Riscurile și amenințările la adresa securității informațiilor sunt asociate în mare măsură cu achiziționarea ilegală de informații care nu ar trebui să fie disponibile persoanelor neautorizate. Primul și cel mai comun canal de scurgere este tot felul de metode de comunicare și comunicare. Într-un moment în care s-ar părea că corespondența personală este disponibilă doar pentru două părți, aceasta este interceptată de părțile interesate. Deși oamenii rezonabili înțeleg că este necesar să transmită ceva extrem de important și secret în alte moduri.

Deoarece o mulțime de informații sunt acum stocate pe medii portabile, atacatorii stăpânesc în mod activ interceptarea informațiilor prin acest tip de tehnologie. Ascultarea canalelor de comunicare este foarte populară, doar că acum toate eforturile geniilor tehnice sunt menite să spargă barierele de protecție ale smartphone-urilor.

Informațiile confidențiale pot fi dezvăluite neintenționat de către angajații unei organizații. Ele nu pot dezvălui în mod direct toate „aparițiile și parolele”, ci doar ghidează atacatorul pe calea cea bună. De exemplu, oamenii, fără să știe, oferă informații despre locația documentației importante.

Nu numai subordonații sunt vulnerabili. Contractorii pot oferi, de asemenea, informații confidențiale în timpul parteneriatelor.

Cum este încălcată securitatea informațiilor prin mijloace tehnice?

Asigurarea securității informațiilor se datorează în mare măsură utilizării unor mijloace tehnice de protecție fiabile. Dacă sistemul de suport este eficient și eficient, cel puțin în echipamentul în sine, atunci acesta este deja jumătate din succes.

Practic, scurgerea de informații se realizează astfel prin controlul diferitelor semnale. Metode similare includ crearea de surse specializate de emisie sau semnale radio. Acestea din urmă pot fi electrice, acustice sau vibraționale.

Destul de des se folosesc instrumente optice care permit citirea informațiilor de pe afișaje și monitoare.

Varietatea dispozitivelor oferă o gamă largă de metode pentru infiltrarea și extragerea informațiilor de către atacatori. Pe lângă metodele de mai sus, există și televiziune, recunoaștere fotografică și vizuală.

Datorită posibilităților atât de largi, un audit de securitate a informațiilor include în primul rând verificarea și analizarea funcționării mijloacelor tehnice de protejare a datelor confidențiale.

Ce este considerat acces neautorizat la informațiile companiei?

Gestionarea riscului de securitate a informațiilor este imposibilă fără a preveni amenințările de acces neautorizat.

Unul dintre cei mai proeminenți reprezentanți ai acestei metode de a pirata sistemul de securitate al altcuiva este atribuirea unui ID de utilizator. Această metodă se numește „Masquerade”. Accesul neautorizat în acest caz implică utilizarea datelor de autentificare. Adică, scopul intrusului este să obțină o parolă sau orice alt identificator.

Atacatorii pot exercita influență din interiorul obiectului însuși sau din exterior. Ei pot obține informațiile de care au nevoie din surse precum jurnalul de audit sau instrumentele de audit.

Adesea, infractorul încearcă să aplice politica de implementare și să folosească metode aparent complet legale.

Accesul neautorizat se aplică următoarelor surse de informații:

• site web și gazde externe;
• rețea fără fir pentru întreprinderi;
• copii de siguranță ale datelor.

Există nenumărate moduri și metode de acces neautorizat. Atacatorii caută defecte și lacune în configurația și arhitectura software-ului. Ei obțin date prin modificarea software-ului. Pentru a neutraliza și a calma vigilența, infractorii lansează malware și bombe logice.

Care sunt amenințările legale la adresa securității informațiilor unei companii?

Managementul riscului de securitate a informațiilor funcționează în diferite direcții, deoarece scopul său principal este de a asigura o protecție completă și holistică a întreprinderii împotriva intruziunilor externe.

Nu mai puțin importantă decât direcția tehnică este cea juridică. În acest fel, care, s-ar părea, dimpotrivă, ar trebui să apere interesele, se dovedește a obține informații foarte utile.

Încălcările din punct de vedere legal se pot referi la drepturi de proprietate, drepturi de autor și drepturi de brevet. În această categorie intră și utilizarea ilegală a software-ului, inclusiv importul și exportul. Puteți încălca cerințele legale doar nerespectând termenii contractului sau cadrul legal în ansamblu.

Cum se stabilesc obiectivele de securitate a informațiilor?

Asigurarea securității informațiilor începe cu stabilirea zonei de protecție. Este necesar să se definească clar ce trebuie protejat și de cine. Pentru a face acest lucru, este determinat un portret al unui potențial criminal, precum și posibile metode de hacking și infiltrare. Pentru a stabili obiective, trebuie mai întâi să discutați cu managementul. Acesta va sugera zone prioritare de protecție.

Din acest moment începe auditul de securitate a informațiilor. Vă permite să determinați în ce raport este necesar să aplicați tehnici tehnologice și metode de afaceri. Rezultatul acestui proces este o listă finală de activități, care stabilește obiectivele cu care se confruntă unitatea pentru a asigura protecția împotriva intruziunilor neautorizate. Procedura de audit are ca scop identificarea punctelor critice și a punctelor slabe ale sistemului care interferează cu funcționarea și dezvoltarea normală a întreprinderii.

După stabilirea obiectivelor, se dezvoltă un mecanism de implementare a acestora. Sunt dezvoltate instrumente pentru monitorizarea și minimizarea riscurilor.

Ce rol joacă activele în analiza riscului?

Riscurile de securitate a informațiilor organizaționale afectează direct activele întreprinderii. La urma urmei, scopul atacatorilor este să obțină informații valoroase. Pierderea sau dezvăluirea acestuia va duce cu siguranță la pierderi. Daunele cauzate de intruziunea neautorizată pot avea un impact direct sau pot avea doar un impact indirect. Adică, acțiunile ilegale împotriva unei organizații pot duce la o pierdere completă a controlului asupra afacerii.

Valoarea prejudiciului este evaluată în funcție de bunurile de care dispune organizația. Resursele subiectului sunt toate resursele care contribuie în orice fel la implementarea obiectivelor managementului. Activele unei întreprinderi înseamnă toate activele corporale și necorporale care generează și ajută la generarea de venituri.

Există mai multe tipuri de active:

• material;
• uman;
• informativ;
• financiar;
• procese;
• marcă și autoritate.

Ultimul tip de activ suferă cel mai mult din cauza intruziunii neautorizate. Acest lucru se datorează faptului că orice risc real de securitate a informațiilor afectează imaginea. Problemele cu acest domeniu reduc automat respectul și încrederea într-o astfel de întreprindere, deoarece nimeni nu dorește ca informațiile lor confidențiale să devină publice. Fiecare organizație care se respectă are grijă să își protejeze propriile resurse de informații.

Diferiți factori influențează cât de mult și ce active vor avea de suferit. Ele sunt împărțite în externe și interne. Impactul lor complex, de regulă, afectează simultan mai multe grupuri de resurse valoroase.

Întreaga afacere a întreprinderii este construită pe active. Sunt prezenți într-o oarecare măsură în activitățile oricărei instituții. Doar că pentru unii oameni unele grupuri sunt mai importante, iar altele mai puțin importante. În funcție de ce tip de bunuri au putut influența atacatorii, depinde rezultatul, adică prejudiciul cauzat.

Evaluarea riscurilor de securitate a informațiilor vă permite să identificați în mod clar principalele active, iar dacă acestea au fost afectate, aceasta este plină de pierderi ireparabile pentru întreprindere. Conducerea în sine ar trebui să acorde atenție acestor grupuri de resurse valoroase, deoarece siguranța lor este în interesul proprietarilor.

Zona prioritară pentru departamentul de securitate a informațiilor este ocupată de active auxiliare. O persoană specială este responsabilă pentru protecția lor. Riscurile privind acestea nu sunt critice și afectează doar sistemul de management.

Care sunt factorii de securitate a informațiilor?

Calculul riscurilor de securitate a informațiilor include construirea unui model specializat. Reprezintă noduri care sunt conectate între ele prin conexiuni funcționale. Nodurile sunt aceleași active. Modelul folosește următoarele resurse valoroase:

• Oameni;
• strategie;
• tehnologii;
• proceselor.

Coastele care le unesc sunt chiar factorii de risc. Pentru a identifica posibile amenințări, cel mai bine este să contactați direct departamentul sau specialistul care lucrează cu aceste active. Orice factor de risc potențial poate fi o condiție prealabilă pentru formarea unei probleme. Modelul evidențiază principalele amenințări care pot apărea.

În ceea ce privește echipa, problema constă în nivelul scăzut de educație, lipsa personalului și lipsa motivației.

Riscurile de proces includ variabilitatea mediului, automatizarea slabă a producției și împărțirea neclară a responsabilităților.

Tehnologiile pot suferi din cauza software-ului învechit și a lipsei de control asupra utilizatorilor. Problemele legate de peisajul eterogen al tehnologiei informației pot fi, de asemenea, cauza.

Avantajul acestui model este că valorile de prag ale riscurilor de securitate a informațiilor nu sunt clar stabilite, deoarece problema este privită din unghiuri diferite.

Ce este un audit de securitate a informațiilor?

O procedură importantă în domeniul securității informațiilor întreprinderii este auditul. Este o verificare a stării actuale a sistemului de protecție împotriva intruziunilor neautorizate. Procesul de audit determină gradul de conformitate cu cerințele stabilite. Implementarea sa este obligatorie pentru unele tipuri de instituții este consultativă. Examinarea se desfășoară în raport cu documentația compartimentelor de contabilitate și fiscalitate, a echipamentelor tehnice și a părților financiare și economice.

Un audit este necesar pentru a înțelege nivelul de securitate, iar în caz de neconformitate, optimizarea la normal. Această procedură vă permite, de asemenea, să evaluați fezabilitatea investițiilor financiare în securitatea informațiilor. În cele din urmă, expertul va da recomandări cu privire la rata cheltuielilor financiare pentru a obține o eficiență maximă. Un audit vă permite să ajustați controalele.

Expertiza în securitatea informațiilor este împărțită în mai multe etape:

1. Stabilirea obiectivelor și modalităților de a le atinge.
2. Analiza informațiilor necesare pentru a ajunge la un verdict.
3. Prelucrarea datelor colectate.
4. Opinie și recomandări ale experților.

În cele din urmă, specialistul își va da decizia. Recomandările comisiei vizează cel mai adesea schimbarea configurațiilor echipamentelor tehnice, precum și a serverelor. Adesea, unei întreprinderi cu probleme i se cere să aleagă o metodă de securitate diferită. Poate că, pentru o consolidare suplimentară, experții vor prescrie un set de măsuri de protecție.

Munca după primirea rezultatelor auditului are ca scop informarea echipei despre probleme. Dacă acest lucru este necesar, atunci merită să se efectueze instruire suplimentară pentru a crește educația angajaților cu privire la protecția resurselor de informații ale întreprinderii.

Cum să evaluăm corect riscurile de securitate a informațiilor - rețeta noastră

Sarcina de a evalua riscurile de securitate a informațiilor este astăzi percepută în mod ambiguu de către comunitatea de experți și există mai multe motive pentru aceasta. În primul rând, nu există un standard de aur sau o abordare general acceptată. Numeroase standarde și metode, deși similare în termeni generali, diferă semnificativ în detalii. Utilizarea unei anumite tehnici depinde de zona și obiectul evaluării. Dar alegerea metodei adecvate poate deveni o problemă dacă participanții la procesul de evaluare au înțelegeri diferite despre aceasta și rezultatele sale.

În al doilea rând, evaluarea riscurilor de securitate a informațiilor este o sarcină pur expertă. Analiza factorilor de risc (cum ar fi daune, amenințare, vulnerabilitate etc.) efectuată de diferiți experți dă adesea rezultate diferite. Lipsa reproductibilității rezultatelor evaluării ridică semne de întrebare cu privire la fiabilitatea și utilitatea datelor obținute. Natura umană este de așa natură încât evaluările abstracte, în special cele legate de unitățile probabilistice de măsură, sunt percepute diferit de oameni. Teoriile aplicate existente menite să ia în considerare măsura percepției subiective a unei persoane (de exemplu, teoria prospectului) complică metodologia deja complexă a analizei riscului și nu contribuie la popularizarea acesteia.

În al treilea rând, procedura de evaluare a riscurilor în sine, în sensul său clasic, cu descompunerea și inventarierea activelor, este o sarcină foarte intensivă în muncă. Încercarea de a efectua analize manual folosind instrumente de birou obișnuite (cum ar fi foile de calcul) vă lasă inevitabil să vă înecați într-o mare de informații. Instrumentele software specializate concepute pentru a simplifica etapele individuale ale analizei riscului facilitează într-o oarecare măsură modelarea, dar nu simplifică deloc colectarea și sistematizarea datelor.

În sfârșit, însăși definiția riscului în contextul problemei securității informațiilor nu a fost încă stabilită. Uită-te la modificările terminologiei Ghidului ISO 73:2009 în comparație cu versiunea din 2002. Dacă anterior riscul era definit ca potențialul de deteriorare datorat exploatării unei vulnerabilități de către o amenințare, acum este efectul abaterii de la rezultatele așteptate. Schimbări conceptuale similare au avut loc în noua ediție a standardului ISO/IEC 27001:2013.

Pentru acestea, precum și pentru o serie de alte motive, evaluările riscurilor de securitate a informațiilor sunt tratate cu prudență în cel mai bun caz și cu mare neîncredere în cel mai rău caz. Acest lucru discreditează însăși ideea de management al riscului, care duce în cele din urmă la sabotarea acestui proces de către conducere și, ca urmare, la apariția a numeroase incidente care sunt pline de rapoarte analitice anuale.

Având în vedere cele de mai sus, din ce parte este mai bine să abordăm sarcina de evaluare a riscurilor de securitate a informațiilor?

Un aspect proaspăt

Securitatea informațiilor este astăzi din ce în ce mai concentrată pe obiectivele de afaceri și este integrată în procesele de afaceri. Metamorfoze similare apar cu evaluarea riscului - dobândește contextul de afaceri necesar. Ce criterii ar trebui să îndeplinească o metodologie modernă de evaluare a riscurilor de securitate a informațiilor? Evident, ar trebui să fie suficient de simplu și universal, astfel încât rezultatele aplicării sale să fie credibile și utile tuturor participanților la proces. Să evidențiem o serie de principii pe care ar trebui să se bazeze o astfel de metodologie:

1. evitați detaliile excesive;
2. se bazează pe opinia afacerilor;
3. folosiți exemple;
4. luați în considerare sursele externe de informații.

Esența metodologiei propuse este cel mai bine demonstrată cu un exemplu practic. Să luăm în considerare sarcina de a evalua riscurile de securitate a informațiilor într-o companie comercială și de producție. De unde începe de obicei? De la definirea limitelor evaluării. Dacă o evaluare a riscurilor este efectuată pentru prima dată, limitele acesteia ar trebui să includă principalele procese de afaceri care generează venituri, precum și procesele care le deservesc.

Dacă procesele de afaceri nu sunt documentate, o idee generală a acestora poate fi obținută prin studierea structurii organizaționale și a reglementărilor pe departamente care conțin o descriere a scopurilor și obiectivelor.

După ce am stabilit limitele evaluării, să trecem la identificarea activelor. În conformitate cu cele de mai sus, vom considera principalele procese de afaceri ca active extinse, amânând inventarierea resurselor informaționale la etapele următoare (regula 1). Acest lucru se datorează faptului că metodologia implică o tranziție treptată de la general la specific, iar la acest nivel de detaliu aceste date pur și simplu nu sunt necesare.

Factori de risc

Vom presupune că ne-am hotărât asupra compoziției activelor care se evaluează. Apoi, trebuie să identificați amenințările și vulnerabilitățile asociate cu acestea. Cu toate acestea, această abordare este aplicabilă numai atunci când se efectuează o analiză de risc detaliată, unde obiectele mediului de active informaționale fac obiectul evaluării. În noua versiune a standardului ISO/IEC 27001:2013, accentul evaluării riscurilor s-a mutat de la activele IT tradiționale la informații și procesarea acestora. Deoarece la nivelul actual de detaliu luăm în considerare procesele de afaceri extinse ale companiei, este suficient să identificăm doar factorii de risc de nivel înalt inerenți acestora.

Un factor de risc este o caracteristică specifică a unui obiect, tehnologie sau proces care este o sursă de probleme viitoare. În același timp, putem vorbi despre prezența riscului ca atare doar dacă problemele afectează negativ performanța companiei. Se construiește un lanț logic:

Astfel, sarcina identificării factorilor de risc se rezumă la identificarea proprietăților și caracteristicilor nereușite ale proceselor care determină scenarii de risc probabile care au un impact negativ asupra afacerii. Pentru a simplifica soluția sa, vom folosi modelul de afaceri de securitate a informațiilor dezvoltat de asociația ISACA (vezi Fig. 1):

Orez. 1. Modelul de afaceri pentru securitatea informațiilor

Nodurile modelului indică forțele motrice fundamentale ale oricărei organizații: strategie, procese, oameni și tehnologie, iar marginile sale reprezintă conexiunile funcționale dintre ele. Principalii factori de risc sunt concentrați în principal în aceste coaste. După cum puteți vedea cu ușurință, riscurile sunt asociate nu numai cu tehnologia informației.

Cum se identifică factorii de risc pe baza modelului de mai sus? Întreprinderile trebuie să fie implicate în acest lucru (regula 2). Unitățile de afaceri au de obicei o bună înțelegere a problemelor cu care se confruntă în operațiunile lor. Experiența colegilor din industrie este adesea amintită. Puteți obține aceste informații punând întrebările potrivite. Este recomandabil să adresați întrebările legate de personalul serviciului de resurse umane, întrebările tehnologice serviciului de automatizare (IT) și întrebările legate de procesele de afaceri unităților de afaceri relevante.

În sarcina identificării factorilor de risc, este mai convenabil să pornim de la probleme. Odată ce ați identificat o problemă, trebuie să determinați cauza acesteia. Ca urmare, poate fi identificat un nou factor de risc. Principala dificultate aici este evitarea alunecării în special. De exemplu, dacă un incident a avut loc ca urmare a acțiunilor ilegale ale unui angajat, factorul de risc nu va fi faptul că angajatul a încălcat prevederile unei anumite reglementări, ci faptul că acțiunea în sine a devenit posibilă. Un factor de risc este întotdeauna o condiție prealabilă pentru a apărea o problemă.

Pentru ca personalul să înțeleagă mai bine despre ce anume este întrebat, este recomandabil să însoțiți întrebările cu exemple (regula 3). Următoarele sunt exemple de mai mulți factori de risc de nivel înalt care pot fi comuni pentru multe procese de afaceri:

Personal:

• Calificări insuficiente (marginea factorilor umani în Fig. 1)
• Lipsa de personal (costă de apariție)
• Motivație scăzută (cultură de vârf)

Procese:

• Schimbări frecvente ale cerințelor externe (Marginea de guvernare)
• Automatizare a proceselor nedezvoltate (margine de activare și asistență)
• Combinație de roluri de către interpreți (Emergence Edge)

Tehnologii:

• Software moștenit (activare și suport margine)
• Responsabilitate scăzută a utilizatorilor (marginea factorilor umani)
• Peisaj IT eterogen (marginea arhitecturii)

Un avantaj important al metodei de evaluare propuse este posibilitatea analizei încrucișate, în care două departamente diferite privesc aceeași problemă din unghiuri diferite. Având în vedere acest fapt, este foarte util să puneți intervievaților întrebări precum: „Ce părere aveți despre problemele identificate de colegii dumneavoastră?” Aceasta este o modalitate excelentă de a obține note suplimentare, precum și de a le corecta pe cele existente. Pentru a clarifica rezultatul, pot fi efectuate mai multe runde de astfel de evaluare.

Impact asupra afacerilor

După cum reiese din definiția riscului, acesta se caracterizează prin gradul de influență pe care îl are asupra performanței de afaceri a unei organizații. Un instrument convenabil care vă permite să determinați natura impactului scenariilor de risc asupra unei afaceri este sistemul Balanced Scorecards. Fără a intra în detalii, observăm că Balanced Scorecards identifică 4 perspective de afaceri pentru orice companie, conectate în mod ierarhic (vezi Fig. 2).

Orez. 2. Patru perspective de afaceri ale Balanced Scorecard

În raport cu metodologia luată în considerare, un risc poate fi considerat semnificativ dacă afectează negativ cel puțin una dintre următoarele trei perspective de afaceri: finanțe, clienți și/sau procese (vezi Fig. 3).

Orez. 3. Indicatori cheie de afaceri

De exemplu, factorul de risc „Răspunderea scăzută a utilizatorului” poate duce la scenariul „Scurgere de informații despre clienți”. La rândul său, acest lucru va afecta indicatorul de afaceri „Număr de clienți”.

Dacă compania a dezvoltat valori de afaceri, acest lucru simplifică foarte mult situația. Ori de câte ori este posibilă urmărirea impactului unui anumit scenariu de risc asupra unuia sau mai multor indicatori de afaceri, factorul de risc corespunzător poate fi considerat semnificativ, iar rezultatele evaluării acestuia trebuie înregistrate în chestionare. Cu cât este urmărit mai sus în ierarhia parametrilor de afaceri impactul unui scenariu, cu atât este mai mare impactul potențial asupra afacerii.

Sarcina analizării acestor consecințe este una de specialitate, deci ar trebui rezolvată cu implicarea unităților de afaceri specializate (regula 2). Pentru un control suplimentar al estimărilor obținute, este util să se utilizeze surse externe de informații care conțin date statistice cu privire la valoarea pierderilor ca urmare a incidentelor survenite (regula 4), de exemplu, raportul anual „Studiul costului încălcării datelor” .

Estimarea probabilității

În etapa finală a analizei, pentru fiecare factor de risc identificat, al cărui impact asupra afacerii a fost determinat, este necesar să se evalueze probabilitatea implementării scenariilor asociate. De ce depinde această evaluare? În mare măsură, depinde de suficiența măsurilor de protecție implementate în companie.

Există o mică presupunere aici. Este logic să presupunem că, din moment ce problema a fost identificată, înseamnă că este încă relevantă. În același timp, măsurile puse în aplicare, cel mai probabil, nu sunt suficiente pentru a neutraliza condițiile prealabile pentru apariția acesteia. Suficiența contramăsurilor este determinată de rezultatele evaluării eficacității aplicării lor, de exemplu, folosind un sistem de metrici.

Pentru evaluare, puteți utiliza o scară simplă pe 3 niveluri, unde:

3 - contramăsurile implementate sunt în general suficiente;

2 - contramăsurile nu au fost implementate suficient;

1 - fără contramăsuri.

Ca cărți de referință care descriu contramăsuri, puteți utiliza standarde și linii directoare specializate, de exemplu CobiT 5, ISO/IEC 27002 etc. Fiecare contramăsuri trebuie să fie asociată cu un anumit factor de risc.

Este important de reținut că analizăm riscurile asociate nu numai cu utilizarea IT, ci și cu organizarea proceselor informaționale interne în companie. Prin urmare, contramăsurile trebuie luate în considerare într-un mod mai larg. Nu degeaba noua versiune a ISO/IEC 27001:2013 conține o clauză conform căreia la alegerea contramăsurilor este necesară utilizarea oricăror surse externe (regula 4), și nu doar Anexa A, care este prezentă în standardul pentru scopuri de referință.

Amploarea riscului

Pentru a determina valoarea finală a riscului, puteți utiliza un tabel simplu (vezi Tabelul 1).

Masa 1. Matricea de evaluare a riscurilor

În cazul în care un factor de risc afectează mai multe perspective de afaceri, de exemplu, „Clienți” și „Finanțe”, indicatorii acestora sunt rezumați. Dimensiunea scalei, precum și nivelurile acceptabile ale riscurilor de securitate a informațiilor, pot fi determinate în orice mod convenabil. În exemplul de mai sus, riscurile nivelurilor 2 și 3 sunt considerate ridicate.

În acest moment, prima etapă a evaluării riscului poate fi considerată finalizată. Valoarea finală a riscului asociat procesului de afaceri evaluat este determinată ca suma valorilor compuse pentru toți factorii identificați. Proprietarul riscului poate fi considerat persoana responsabilă în societate pentru obiectul evaluat.

Cifra rezultată nu ne spune câți bani riscă să piardă organizația. În schimb, indică zona în care sunt concentrate riscurile și natura impactului acestora asupra performanței afacerii. Aceste informații sunt necesare pentru a ne concentra în continuare asupra celor mai importante detalii.

Evaluare detaliată

Principalul avantaj al metodologiei luate în considerare este că vă permite să efectuați o analiză a riscului de securitate a informațiilor cu nivelul de detaliu dorit. Dacă este necesar, puteți „cădea” în elementele modelului de securitate a informațiilor (Fig. 1) și le puteți analiza mai detaliat. De exemplu, prin identificarea celei mai mari concentrații de risc în marginile IT, puteți crește nivelul de detaliu în nodul Tehnologie. Dacă anterior un proces separat de afaceri acționa ca obiect al evaluării riscurilor, acum accentul se va muta asupra unui sistem informațional specific și asupra proceselor de utilizare a acestuia. Pentru a oferi nivelul de detaliu necesar, poate fi necesară realizarea unui inventar al resurselor informaționale.

Toate acestea se aplică și altor domenii de evaluare. Când modificați detaliile nodului Oameni, rolurile personalului sau chiar angajații individuali pot deveni obiecte de evaluare. Pentru nodul „Proces”, acestea pot fi reglementări și proceduri specifice de lucru.

Modificarea nivelului de detaliu va schimba automat nu numai factorii de risc, ci și contramăsurile aplicabile. Ambele vor deveni mai specifice obiectului evaluat. Cu toate acestea, abordarea generală a efectuării evaluării factorilor de risc nu se va schimba. Pentru fiecare factor identificat va fi necesar să se evalueze:

• gradul de influență a riscului asupra perspectivelor de afaceri;
• suficiența contramăsurilor.

sindromul rusesc

Lansarea standardului ISO/IEC 27001:2013 a pus multe companii rusești într-o poziție dificilă. Pe de o parte, au dezvoltat deja o anumită abordare a evaluării riscurilor de securitate a informațiilor, bazată pe clasificarea activelor informaționale, evaluarea amenințărilor și vulnerabilităților. Autoritățile naționale de reglementare au reușit să emită o serie de reglementări care susțin această abordare, de exemplu, standardul Băncii Rusiei, ordinele FSTEC. Pe de altă parte, sarcina de evaluare a riscurilor este de mult așteptată pentru schimbare, iar acum este necesară modificarea procedurii stabilite astfel încât să îndeplinească atât cerințele vechi, cât și cele noi. Da, astăzi este încă posibil să obțineți certificare conform standardului GOST R ISO/IEC 27001:2006, care este identic cu versiunea anterioară a ISO/IEC 27001, dar aceasta nu va dura mult.

Metodologia de analiză a riscurilor discutată mai sus rezolvă această problemă. Controlând nivelul de detaliu atunci când efectuați o evaluare, puteți lua în considerare activele și riscurile la orice scară: de la procese de afaceri până la fluxuri individuale de informații. Această abordare este, de asemenea, convenabilă, deoarece vă permite să acoperiți toate riscurile de nivel înalt fără a pierde nimic. În același timp, compania va reduce semnificativ costurile cu forța de muncă pentru analize ulterioare și nu va pierde timpul cu o evaluare detaliată a riscurilor nesemnificative.

Trebuie remarcat faptul că, cu cât este mai mare detaliul domeniului de evaluare, cu atât responsabilitatea atribuită experților este mai mare și competența cerută este mai mare, deoarece atunci când se modifică profunzimea analizei, se modifică nu doar factorii de risc, ci și peisajul contramăsurilor aplicabile. .

În ciuda tuturor încercărilor de simplificare, analiza riscului de securitate a informațiilor este încă consumatoare de timp și complexă. Liderul acestui proces are o responsabilitate specială. Multe lucruri vor depinde de cât de competent își construiește abordarea și face față sarcinii pe care o are la îndemână - de la alocarea unui buget pentru securitatea informațiilor până la sustenabilitatea afacerii.

În practică, sunt utilizate abordări cantitative și calitative pentru evaluarea riscurilor de securitate a informațiilor. Care este diferența?

Metoda cantitativă

Evaluarea cantitativă a riscurilor este utilizată în situațiile în care amenințările care sunt studiate și riscurile asociate acestora pot fi comparate cu valori cantitative finale exprimate în bani, dobândă, timp, resurse umane etc. Metoda vă permite să obțineți valori specifice ale obiectelor de evaluare a riscurilor atunci când sunt realizate amenințări la securitatea informațiilor.

În abordarea cantitativă, tuturor elementelor evaluării riscului li se atribuie valori cantitative specifice și realiste. Algoritmul pentru obținerea acestor valori ar trebui să fie clar și ușor de înțeles. Obiectul evaluării poate fi valoarea bunului în termeni monetari, probabilitatea realizării amenințării, prejudiciul cauzat de amenințare, costul măsurilor de protecție etc.

Cum se evaluează cantitativ riscurile?

1. Determinați valoarea activelor informaționale în termeni monetari.

2. Evaluați în termeni cantitativi daunele potențiale din implementarea fiecărei amenințări în raport cu fiecare activ informațional.

Este necesar să se obțină răspunsuri la întrebările „Care parte din valoarea activului va fi prejudiciul din implementarea fiecărei amenințări?”, „Care este costul prejudiciului în termeni monetari dintr-un singur incident în timpul implementării acestui amenințare la adresa acestui bun?”

3. Determinați probabilitatea implementării fiecăreia dintre amenințările la securitatea informațiilor.

Pentru a face acest lucru, puteți utiliza date statistice, sondaje ale angajaților și părților interesate. În procesul de determinare a probabilității, calculați frecvența incidentelor asociate cu implementarea amenințării considerate pentru securitatea informațiilor pe perioada de control (de exemplu, un an).

4. Determinați daunele potențiale totale de la fiecare amenințare în raport cu fiecare activ pe perioada de control (un an).

Valoarea este calculată prin înmulțirea daunei unice cauzate de amenințare cu frecvența amenințării.

5. Analizați datele de daune primite pentru fiecare amenințare.

Pentru fiecare amenințare, trebuie luată o decizie: acceptați riscul, reduceți riscul sau transferați riscul.

Acceptarea unui risc înseamnă recunoașterea acestuia, acceptarea posibilității sale și continuarea acțiunii ca înainte. Aplicabil pentru amenințări cu daune reduse și probabilitate scăzută de apariție.

Reducerea riscului înseamnă introducerea de măsuri suplimentare și echipamente de protecție, instruirea personalului etc. Adică efectuarea unor lucrări deliberate pentru reducerea riscului. În același timp, este necesară cuantificarea eficienței măsurilor și mijloacelor de protecție suplimentare. Toate costurile suportate de organizație, de la achiziționarea de echipamente de protecție până la punerea în funcțiune (inclusiv instalare, configurare, instruire, întreținere etc.), nu trebuie să depășească valoarea daunelor cauzate de amenințare.

A transfera riscul înseamnă a transfera consecințele riscului către un terț, de exemplu, prin asigurare.

Ca rezultat al evaluării cantitative a riscului, ar trebui determinate următoarele:

• valoarea activelor în termeni monetari;
• o listă completă a tuturor amenințărilor la securitatea informațiilor cu daune de la un singur incident pentru fiecare amenințare;
• frecvența de implementare a fiecărei amenințări;
• daune potențiale de la fiecare amenințare;
• Măsuri de securitate, contramăsuri și acțiuni recomandate pentru fiecare amenințare.

Analiza cantitativă a riscului de securitate a informațiilor (exemplu)

Să luăm în considerare tehnica folosind exemplul serverului web al unei organizații, care este folosit pentru a vinde un anumit produs. Cantitativ o dată daunele cauzate de o defecțiune a serverului pot fi estimate ca rezultat al chitanței medii de achiziție și al numărului mediu de solicitări pentru un anumit interval de timp, egal cu timpul de nefuncționare a serverului. Să presupunem că costul daunelor unice cauzate de o defecțiune directă a serverului va fi de 100 de mii de ruble.

Acum este necesar să se evalueze prin mijloace experte cât de des poate apărea o astfel de situație (ținând cont de intensitatea funcționării, calitatea sursei de alimentare etc.). De exemplu, luând în considerare opinia experților și informațiile statistice, înțelegem că un server poate defecta de până la 2 ori pe an.

Înmulțind aceste două cantități, obținem asta Media anuală prejudiciul cauzat de amenințarea eșecului direct al serverului se ridică la 200 de mii de ruble pe an.

Aceste calcule pot fi folosite pentru a justifica alegerea măsurilor de protecție. De exemplu, implementarea unui sistem de alimentare neîntreruptibilă și a unui sistem de rezervă cu un cost total de 100 de mii de ruble pe an va minimiza riscul de defecțiune a serverului și va fi o soluție complet eficientă.

Metoda calitativă

Din păcate, nu este întotdeauna posibil să se obțină o expresie specifică a obiectului de evaluare din cauza incertitudinii mari. Cum să evaluăm cu exactitate prejudiciul adus reputației unei companii atunci când apar informații despre un incident de securitate a informațiilor? În acest caz, se utilizează o metodă calitativă.

Abordarea calitativă nu utilizează expresii cantitative sau monetare pentru obiectul evaluat. În schimb, obiectului evaluării i se atribuie un indicator clasat pe o scală de trei puncte (scăzut, mediu, ridicat), cinci puncte sau zece puncte (0... 10). Pentru a colecta date pentru evaluarea calitativă a riscurilor, sunt utilizate anchete ale grupurilor țintă, interviuri, chestionare și întâlniri personale.

Analiza riscului de securitate a informațiilor folosind o metodă calitativă ar trebui efectuată cu implicarea angajaților cu experiență și competență în domeniul în care sunt luate în considerare amenințările.

Cum se efectuează o evaluare bună a riscurilor:

1. Determinați valoarea activelor informaționale.

Valoarea unui activ poate fi determinată de nivelul de criticitate (consecințe) dacă sunt încălcate caracteristicile de securitate (confidențialitate, integritate, disponibilitate) ale unui activ informațional.

2. Determinați probabilitatea apariției unei amenințări în legătură cu un activ de informații.

Pentru a evalua probabilitatea realizării unei amenințări, poate fi utilizată o scară calitativă pe trei niveluri (scăzut, mediu, ridicat).

3. Determinați nivelul posibilității de implementare cu succes a amenințării, ținând cont de starea actuală a securității informațiilor, măsurile implementate și mijloacele de protecție.

Pentru a evalua nivelul posibilității ca o amenințare să fie realizată, se poate folosi și o scară calitativă pe trei niveluri (scăzut, mediu, ridicat). Valoarea de fezabilitate a amenințării indică cât de fezabil este îndeplinirea cu succes a amenințării.

4. Trageți o concluzie despre nivelul de risc pe baza valorii activului informațional, a probabilității ca amenințarea să fie realizată și a posibilității ca amenințarea să fie realizată.

Pentru a determina nivelul de risc, puteți utiliza o scală de cinci sau zece puncte. Atunci când determinați nivelul de risc, puteți utiliza tabele de referință care oferă o înțelegere a combinațiilor de indicatori (valoare, probabilitate, oportunitate) care conduc la ce nivel de risc.

5. Analizați datele obținute pentru fiecare amenințare și nivelul de risc obținut pentru aceasta.

Adesea, echipa de analiză a riscurilor folosește conceptul de „nivel acceptabil de risc”. Acesta este nivelul de risc pe care compania este dispusă să-l accepte (dacă amenințarea are un nivel de risc mai mic sau egal cu acceptabil, atunci nu este considerat relevant). Sarcina globală într-o evaluare calitativă este de a reduce riscurile la un nivel acceptabil.

6. Dezvoltați măsuri de securitate, contramăsuri și acțiuni pentru fiecare amenințare curentă pentru a reduce nivelul de risc.

Ce metodă ar trebui să alegi?

Scopul ambelor metode este de a înțelege riscurile reale ale securității informațiilor unei companii, de a determina lista amenințărilor actuale și de a selecta contramăsuri și mijloace eficiente de protecție. Fiecare metodă de evaluare a riscurilor are propriile sale avantaje și dezavantaje.

Metoda cantitativă oferă o reprezentare vizuală în termeni monetari a obiectelor de evaluare (daune, costuri), dar este mai laborioasă și în unele cazuri inaplicabilă.

Metoda calitativă permite o evaluare mai rapidă a riscurilor, dar evaluările și rezultatele sunt mai subiective și nu oferă o înțelegere clară a daunelor, costurilor și beneficiilor implementării securității informațiilor.

Alegerea metodei trebuie făcută pe baza specificului unei anumite companii și a sarcinilor atribuite specialistului.

Stanislav Shilyaev, manager de proiect securitatea informațiilor la SKB Kontur