Meniul
AcasăBios

Managementul riscului de securitate. Cum se stabilesc obiectivele de securitate a informațiilor? Cum se încalcă securitatea informațiilor prin metode tehnice de influență

Atunci când implementați un sistem de management al securității informațiilor (ISMS) într-o organizație, unul dintre principalele puncte de poticnire este de obicei sistemul de management al riscurilor. Discuțiile despre managementul riscului de securitate a informațiilor sunt asemănătoare cu problema OZN-urilor. Pe de o parte, nimeni din jur nu părea să fi văzut acest lucru și evenimentul în sine pare puțin probabil, pe de altă parte există multe dovezi, s-au scris sute de cărți, există chiar corespunzătoare discipline științificeși asociațiile de experti implicați în acest proces de cercetare și, ca de obicei, serviciile de informații au cunoștințe secrete speciale în acest domeniu.

Alexander Astakhov, CISA, 2006

Introducere

Nu există un consens în rândul specialiștilor în securitatea informațiilor cu privire la aspectele legate de managementul riscurilor. Cineva neagă metodele cantitative de evaluare a riscurilor, cineva neagă metodele calitative, cineva neagă în general fezabilitatea și însăși posibilitatea evaluării riscului, cineva acuză conducerea organizației de conștientizarea insuficientă a importanței problemelor de siguranță sau se plânge de dificultățile asociate cu obținerea unui obiectiv evaluarea valorii anumitor active, cum ar fi reputația organizației. Alții, nevăzând posibilitatea de a justifica costurile siguranței, propun să trateze acest lucru ca pe un fel de procedură igienă și să cheltuiască atât de mulți bani pe această procedură cât nu este păcat, sau cât mai rămâne în buget.

Indiferent de opiniile existente cu privire la problema managementului riscului de securitate a informațiilor și indiferent de modul în care tratăm aceste riscuri, un lucru este clar că în această problemă Constă esența activității multifațete a specialiștilor în securitatea informațiilor, conectând-o direct cu afacerea, dându-i sens și oportunitate rezonabilă. Acest articol subliniază o posibilă abordare a managementului riscurilor și răspunde la întrebarea de ce diferite organizații privesc și gestionează diferit riscurile de securitate a informațiilor.

Mijloace fixe și auxiliare

Când vorbim de riscuri de afaceri, ne referim la posibilitatea de a suferi anumite daune cu o anumită probabilitate. Aceasta poate fi fie daune materiale directe, fie daune indirecte, exprimate, de exemplu, în profituri pierdute, până la ieșirea din afacere, deoarece dacă riscul nu este gestionat, atunci afacerea poate fi pierdută.

De fapt, esența problemei este că organizația are și folosește mai multe categorii principale de resurse pentru a-și atinge rezultatele activităților sale (obiectivele sale de afaceri) (în continuare vom folosi conceptul de activ direct legat de afaceri). Un activ este orice lucru care are valoare pentru o organizație și care generează venituri ale acesteia (cu alte cuvinte, este ceva care creează un flux financiar pozitiv sau economisește bani)

Există bunuri materiale, financiare, umane și informaționale. Standardele internaționale moderne definesc și o altă categorie de active – procesele. Un proces este un activ agregat care operează toate celelalte active ale companiei pentru a atinge obiectivele de afaceri. Imaginea și reputația companiei sunt, de asemenea, considerate unul dintre cele mai importante atuuri. Aceste active cheie pentru orice organizație, nu sunt altceva decât un tip special de active informaționale, deoarece imaginea și reputația unei companii nu este altceva decât conținutul unei informații deschise și diseminate pe scară largă despre aceasta. Securitatea informațiilor se ocupă de problemele de imagine în măsura în care problemele cu securitatea organizației, precum și de scurgeri informații confidențiale afectează extrem de negativ imaginea.

Rezultatele afacerii sunt influențate de diverse externe și factori interni aparţinând categoriei de risc. Această influență se exprimă într-un impact negativ asupra unuia sau simultan mai multor grupuri de active ale organizației. De exemplu, o defecțiune a serverului afectează disponibilitatea informațiilor și a aplicațiilor stocate pe acesta, iar repararea acesteia deturnează resursele umane, creând un deficit de resurse Zona specifica munca și provocând dezorganizarea proceselor de afaceri, în timp ce indisponibilitatea temporară a serviciilor clienților poate afecta negativ imaginea companiei.

Prin definiție, toate tipurile de active sunt importante pentru o organizație. Cu toate acestea, fiecare organizație are active vitale de bază și active de sprijin. Este foarte ușor să determinați care sunt activele principale, deoarece... Acestea sunt activele în jurul cărora se construiește afacerea organizației. Astfel, afacerea unei organizații se poate baza pe deținerea și utilizarea active corporale(de exemplu, terenuri, imobiliare, echipamente, minerale), o afacere se poate construi și pe managementul activelor financiare (activități de credit, asigurări, investiții), o afacere se poate baza pe competența și autoritatea unor specialiști specifici (consultanță). , audit, instruire, industrii de înaltă tehnologie și de cunoștințe) sau o afacere se poate învârti în jurul activelor informaționale (dezvoltare software, produse informatice, e-commerce, afaceri pe Internet). Riscurile activelor fixe sunt pline de pierderi de afaceri și pierderi ireparabile pentru organizație, prin urmare, atenția proprietarilor de afaceri se concentrează în primul rând asupra acestor riscuri, iar conducerea organizației se ocupă de acestea personal. Riscurile pentru activele de susținere au ca rezultat de obicei daune recuperabile și nu sunt o prioritate majoră în sistemul de management al organizației. De obicei, astfel de riscuri sunt gestionate de persoane special desemnate sau aceste riscuri sunt transferate unei terțe părți, de exemplu, un externalizator sau o companie de asigurări. Pentru o organizație, aceasta este mai mult o chestiune de eficiență a managementului decât de supraviețuire.

Abordări existente ale managementului riscului

Deoarece riscurile de securitate a informațiilor nu sunt principalele pentru toate organizațiile, sunt practicate trei abordări principale de gestionare a acestor riscuri, care diferă în profunzime și nivel de formalism.

Pentru sistemele necritice, când activele informaționale sunt auxiliare și nivelul de informatizare nu este ridicat, ceea ce este tipic pentru majoritatea companiilor moderne din Rusia, există o nevoie minimă de evaluare a riscurilor. În astfel de organizații, ar trebui să vorbim despre un nivel de bază de securitate a informațiilor, determinat de reglementările și standardele existente, cele mai bune practici, experiență, precum și despre modul în care se realizează acest lucru în majoritatea celorlalte organizații. Cu toate acestea, standardele existente, care descriu unele set de bază cerințele și mecanismele de securitate prevăd întotdeauna necesitatea evaluării riscurilor și fezabilității economice a utilizării anumitor mecanisme de control pentru a le selecta dintr-un set general de cerințe și mecanisme pe cele care sunt aplicabile într-o anumită organizație.

Pentru sistemele critice în care activele informaționale nu sunt principalele, dar nivelul de informatizare a proceselor de afaceri este foarte ridicat și riscurile informaționale pot afecta semnificativ procesele principale de afaceri, trebuie aplicată evaluarea riscurilor, dar în în acest caz, Este indicat să ne limităm la abordări calitative informale pentru rezolvarea acestei probleme, acordând o atenție deosebită celor mai critice sisteme.

Atunci când afacerea unei organizații este construită în jurul activelor informaționale, iar riscurile de securitate a informațiilor sunt principalele, trebuie utilizate o abordare formală și metode cantitative pentru a evalua aceste riscuri.

În multe companii, mai multe tipuri de active pot fi vitale în același timp, de exemplu, atunci când afacerea este diversificată sau compania este angajată în crearea de produse informaționale și atât resursele umane, cât și resursele informaționale pot fi la fel de importante pentru aceasta. În acest caz, abordarea rațională este de a efectua o evaluare a riscurilor la nivel înalt pentru a determina care sisteme sunt foarte expuse la risc și care sunt esențiale pentru operațiunile de afaceri, urmată de o evaluare detaliată a riscurilor a sistemelor identificate. Pentru toate celelalte sisteme care nu sunt critice, este recomandabil să vă limitați la utilizarea unei abordări de bază, luând decizii de gestionare a riscurilor bazate pe experiența existentă, opiniile experților și cele mai bune practici.

Niveluri de maturitate

Alegerea abordării evaluării riscurilor într-o organizație, pe lângă natura activității sale și nivelul de informatizare a proceselor de afaceri, este influențată și de nivelul său de maturitate. Managementul riscului de securitate a informațiilor este o sarcină de afaceri inițiată de conducerea organizației datorită conștientizării și gradului de conștientizare a problemelor de securitate a informațiilor, al cărei sens este de a proteja afacerea de amenințările existente IB. În funcție de gradul de conștientizare, pot fi urmărite mai multe niveluri de maturitate ale organizațiilor, care într-o anumită măsură se corelează cu nivelurile de maturitate definite în COBIT și alte standarde:

  1. La nivel inițial, nu există o conștientizare ca atare, organizația ia măsuri fragmentate pentru a asigura securitatea informațiilor, inițiate și implementate de specialiști IT pe propria răspundere.
  2. La al doilea nivel, organizația definește responsabilitatea pentru securitatea informațiilor se încearcă să utilizeze soluții integrate cu management centralizat și să implementeze procese separate de management al securității informațiilor.
  3. Al treilea nivel se caracterizează prin aplicarea unei abordări procesuale a managementului securității informațiilor descrise în standarde. Sistemul de management al securității informațiilor devine atât de important pentru organizație încât este considerat o componentă necesară a sistemului de management al organizației. in orice caz sistem cu drepturi depline Managementul IS nu există încă, pentru că absent element de bază ale acestui sistem sunt procesele de management al riscului.
  4. Organizațiile cu cel mai înalt grad de conștientizare a problemelor de securitate a informațiilor se caracterizează prin utilizarea unei abordări formalizate a managementului riscului de securitate a informațiilor, caracterizată prin prezența unor procese documentate de planificare, implementare, monitorizare și îmbunătățire.

Modelul procesului de management al riscului

În luna martie a acestui an, a fost adoptat un nou standard britanic, BS 7799 Partea 3 – Sisteme de management al securității informațiilor - Practica de gestionare a riscurilor de securitate a informațiilor. ISO se așteaptă ca acest document să fie aprobat ca standard internațional până la sfârșitul anului 2007. BS 7799-3 definește evaluarea riscurilor și procesele de management ca un element integral al sistemului de management al unei organizații, folosind același model de proces ca și alte standarde de management, care include patru grupuri de procese: plan, face, review, act (PDA), care reflectă standardul. ciclul oricăror procese de management. În timp ce ISO 27001 descrie ciclul general de management al securității de la capăt la capăt, BS 7799-3 îl extinde la procesele de management al riscului de securitate a informațiilor.

În sistemul de management al riscului de securitate a informațiilor, în etapa de Planificare, se determină politica și metodologia de management al riscului și se realizează o evaluare a riscurilor, care include un inventar al activelor, compilarea profilurilor de amenințări și vulnerabilități, evaluarea eficacității contramăsurilor. și daune potențiale și determinarea nivelului acceptabil de riscuri reziduale.

În etapa de implementare, riscurile sunt procesate și sunt introduse mecanisme de control pentru a le minimiza. Conducerea organizației ia una dintre cele patru decizii pentru fiecare risc identificat: ignorarea, evitarea, transferul către o parte externă sau minimizarea. După aceasta, este elaborat și implementat un plan de tratare a riscurilor.

La etapa de Verificare este monitorizată funcționarea mecanismelor de control, sunt monitorizate modificările factorilor de risc (active, amenințări, vulnerabilități), sunt efectuate audituri și sunt efectuate diverse proceduri de control.

În etapa de acțiune, pe baza rezultatelor monitorizării continue și a auditurilor în curs, sunt efectuate acțiunile corective necesare, care pot include, în special, o reevaluare a amplorii riscurilor, ajustări ale politicii și metodologiei de gestionare a riscurilor, precum și ca plan de tratare a riscurilor.

Factori de risc

Esența oricărei abordări de management al riscului este de a analiza factorii de risc și de a lua decizii adecvate pentru a trata riscurile. Factorii de risc sunt principalii parametri pe care îi folosim atunci când evaluăm riscurile. Există doar șapte astfel de parametri:

  • Atu
  • Daune (pierdere)
  • Amenințare
  • Vulnerabilitate
  • Mecanism de control
  • Pierdere medie anuală (ALE)
  • Rentabilitatea investiției (ROI)

Modul în care acești parametri sunt analizați și evaluați este determinat de metodologia de evaluare a riscurilor utilizată în organizație. În același timp, abordarea generală și modelul de raționament sunt aproximativ aceleași, indiferent de metodologia folosită. Procesul de evaluare a riscurilor include două etape. În prima fază, care este definită în standarde ca analiză de risc, este necesar să se răspundă la următoarele întrebări:

  • Care este principalul atu al companiei?
  • Care este valoarea reală a acestui bun?
  • Ce amenințări există pentru acest bun?
  • Care sunt consecințele acestor amenințări și daunele aduse afacerii?
  • Cât de probabil sunt aceste amenințări?
  • Cât de vulnerabilă este afacerea la aceste amenințări?
  • Care este pierderea medie anuală estimată?

În a doua fază, care este definită de standarde ca evaluare a riscului, este necesar să se răspundă la întrebarea: Ce nivel de risc (cantitatea pierderilor medii anuale) este acceptabil pentru organizație și, pe baza acestuia, ce riscuri îl depășesc. nivel.

Astfel, pe baza rezultatelor evaluării riscurilor, obținem o descriere a riscurilor care depășesc nivelul acceptabil și o evaluare a amplorii acestor riscuri, care este determinată de mărimea pierderilor medii anuale. În continuare, trebuie să luați o decizie cu privire la tratamentul riscului, de exemplu. răspunde la următoarele întrebări:

  • Ce opțiune de tratament a riscului alegem?
  • Dacă se ia o decizie pentru a minimiza riscul, ce mecanisme de control ar trebui utilizate?
  • Cât de eficiente sunt aceste controale și ce rentabilitate a investiției vor oferi?

La iesire acest proces Apare un plan de tratare a riscurilor, care definește modul în care sunt tratate riscurile, costul contramăsurilor, precum și momentul și responsabilitatea implementării contramăsurilor.

Decizia privind tratamentul riscului

Luarea unei decizii cu privire la tratamentul riscului este momentul cheie și cel mai critic în procesul de management al riscului. Pentru ca managementul să ia decizia corectă, persoana responsabilă cu managementul riscului din organizație trebuie să îi furnizeze informații relevante. Forma de prezentare a unor astfel de informații este determinată de algoritmul standard de comunicare în afaceri, care include patru puncte principale:

  • Raportarea problemelor: Care este amenințarea pentru afacere (sursă, obiect, metodă de implementare) și care este motivul existenței acesteia?
  • Severitatea problemei: Cum amenință acest lucru organizația, conducerea și acționarii acesteia?
  • Soluția propusă: Ce se propune să se facă pentru a corecta situația, cât va costa, cine ar trebui să o facă și ce se cere direct de la conducere?
  • Soluții alternative: Ce alte modalități de rezolvare a problemei există (există întotdeauna alternative și managementul ar trebui să aibă posibilitatea de a alege).

Punctele 1 și 2, precum și 3 și 4 pot fi interschimbate, în funcție de situația specifică.

Metode de management al riscului

Există un număr suficient de metode de evaluare și management al riscurilor bine dovedite și utilizate pe scară largă. O astfel de metodă este OCTAVE, dezvoltată la Carnegie Melon University pentru uz intern în organizații. OCTAVE – Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților (evaluarea amenințărilor critice din punct de vedere operațional, a activelor și a vulnerabilităților) are o serie de modificări concepute pentru organizații marimi diferiteși domenii de activitate. Esența acestei metode este că o succesiune de ateliere interne organizate corespunzător este utilizată pentru a evalua riscurile. Evaluarea riscurilor se desfășoară în trei etape, care sunt precedate de un set de activități pregătitoare, inclusiv convenirea asupra programului atelierelor, atribuirea de roluri, planificarea și coordonarea acțiunilor membrilor echipei de proiect.

În prima etapă, în timpul atelierelor practice, sunt elaborate profiluri de amenințări, inclusiv un inventar și o evaluare a valorii activelor, identificarea cerințelor legale și de reglementare aplicabile, identificarea amenințărilor și evaluarea probabilității acestora, precum și determinarea unui sistem de măsuri organizatorice pentru menținerea regimului de securitate a informațiilor.

În a doua etapă, se efectuează o analiză tehnică a vulnerabilităților sisteme de informare organizații în raport cu amenințările, ale căror profiluri au fost elaborate în etapa anterioară, care include identificarea vulnerabilităților existente ale sistemelor informaționale ale organizației și evaluarea amplorii acestora.

În cea de-a treia etapă, sunt evaluate și procesate riscurile de securitate a informațiilor, ceea ce include determinarea amplorii și probabilității de a provoca daune ca urmare a amenințărilor la securitate folosind vulnerabilități identificate în etapele anterioare, determinarea unei strategii de protecție, precum și selectarea opțiunilor și luarea deciziilor privind tratamentul riscului. Mărimea riscului este definită ca pierderea medie anuală a organizației ca urmare a implementării amenințărilor de securitate.

O abordare similară este utilizată în binecunoscuta metodă de evaluare a riscurilor CRAMM, dezvoltată la un moment dat prin ordin al guvernului britanic. Metoda principală a CRAMM de evaluare a riscurilor este prin interviuri atent planificate, folosind chestionare detaliate. CRAMM este utilizat în mii de organizații din întreaga lume, datorită, printre altele, disponibilității instrumentelor software foarte dezvoltate, care conțin o bază de cunoștințe privind riscurile și mecanismele de minimizare a acestora, instrumente pentru colectarea informațiilor, generarea de rapoarte și, de asemenea, implementarea algoritmilor. pentru calcularea mărimii riscurilor.

Spre deosebire de metoda OCTAVE, CRAMM folosește o secvență ușor diferită de acțiuni și metode pentru a determina amploarea riscurilor. În primul rând, se determină fezabilitatea evaluării riscurilor în general, iar dacă sistemul informațional al organizației nu este suficient de critic, atunci i se va aplica un set standard de mecanisme de control descrise în standardele internaționale și conținute în baza de cunoștințe CRAMM.

În prima etapă, metoda CRAMM construiește un model al resurselor sistemului informațional care descrie relațiile dintre informații, software și resursele tehnice și, de asemenea, evaluează valoarea resurselor pe baza posibilelor daune pe care o organizație le poate suferi ca urmare a compromiterii acestora. .

În a doua etapă, se realizează o evaluare a riscurilor, care include identificarea și evaluarea probabilității amenințărilor, evaluarea amplorii vulnerabilităților și calcularea riscurilor pentru fiecare triplă: resursă - amenințare - vulnerabilitate. CRAMM evaluează riscurile „pure”, indiferent de mecanismele de control implementate în sistem. În etapa de evaluare a riscurilor, se presupune că nu se aplică deloc contramăsuri, iar pe baza acestei ipoteze se formează un set de contramăsuri recomandate pentru a minimiza riscurile.

Pe stadiu final Setul de instrumente CRAMM generează un set de contramăsuri pentru a minimiza riscurile identificate și compară contramăsurile recomandate și existente, după care este generat un plan de tratare a riscurilor.

Setul de instrumente de management al riscului

În procesul de evaluare a riscului, parcurgem o serie de etape succesive, revenind periodic la etapele anterioare, de exemplu, reevaluând un anumit risc după alegerea unei contramăsuri specifice pentru a-l minimiza. În fiecare etapă, este necesar să aveți la îndemână chestionare, liste de amenințări și vulnerabilități, registre de resurse și riscuri, documentație, procese-verbale ale întâlnirilor, standarde și linii directoare. În acest sens, avem nevoie de un fel de algoritm programat, bază de date și interfață pentru a lucra cu aceste date diferite.

Pentru a gestiona riscurile de securitate a informațiilor, puteți utiliza instrumente, de exemplu, ca în metoda CRAMM sau RA2 (prezentat în figură), dar acest lucru nu este obligatoriu. Standardul BS 7799-3 spune cam la fel. Utilitatea utilizării setului de instrumente poate consta în faptul că acesta conține un algoritm programat pentru evaluarea riscurilor și fluxul de lucru al managementului riscului, ceea ce simplifică munca unui specialist fără experiență.

Utilizarea instrumentelor vă permite să unificați metodologia și să simplificați utilizarea rezultatelor pentru a reevalua riscurile, chiar dacă este efectuată de alți specialiști. Datorită utilizării instrumentelor, este posibil să eficientizați stocarea datelor și să lucrați cu modele de resurse, profiluri de amenințări, liste de vulnerabilități și riscuri.

Pe lângă instrumentele de evaluare și management al riscurilor în sine, instrumentele software pot conține și instrumente suplimentare pentru documentarea ISMS, analiza discrepanțelor cu cerințele standard, dezvoltarea unui registru de resurse, precum și alte instrumente necesare pentru implementarea și funcționarea ISMS.

concluzii

Alegerea abordărilor calitative sau cantitative ale evaluării riscurilor este determinată de natura activității organizației și de nivelul de informatizare a acesteia, de exemplu. importanța activelor informaționale pentru el, precum și nivelul de maturitate al organizației.

Atunci când se implementează o abordare formală a managementului riscului într-o organizație, este necesar să se bazeze în primul rând pe bunul simț, pe standardele existente (de ex. BS 7799-3) și pe metodologii bine stabilite (de exemplu, OCTAVE sau CRAMM). Poate fi util să se utilizeze instrumente software în aceste scopuri care implementează metodologiile adecvate și îndeplinesc cerințele standardelor în măsura maximă posibilă (de exemplu, RA2).

Eficacitatea procesului de management al riscului de securitate a informațiilor este determinată de acuratețea și completitudinea analizei și evaluării factorilor de risc, precum și de eficacitatea mecanismelor utilizate în organizație pentru luarea deciziilor de management și monitorizarea implementării acestora.

Legături

  • Astakhov A.M., „Istoria standardului BS 7799”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
  • Astakhov A.M., „Cum să construiți și să certificați un sistem de management al securității informațiilor?”,

Unul dintre cele mai importante aspecte ale implementării politicii de securitate a informațiilor este analiza amenințărilor, evaluarea fiabilității acestora și severitatea consecințelor probabile. În realitate, riscul apare acolo unde există probabilitatea apariției unei amenințări, iar magnitudinea riscului este direct proporțională cu magnitudinea acestei probabilități (Fig. 4.11).

Esența activităților de management al riscului este evaluarea dimensiunii acestora, dezvoltarea măsurilor de atenuare și crearea unui mecanism care să asigure că riscurile reziduale nu depășesc limitele acceptabile. Astfel, managementul riscului presupune două activități: evaluarea riscurilor și selectarea mecanismelor de protecție și de reglementare eficiente și rentabile. Procesul de management al riscului poate fi împărțit în următoarele etape [Galatenko V. A., 2006]:

  • identificarea activelor și valorilor resurselor care au nevoie de protecție;
  • selectarea obiectelor analizate și gradul de detaliu al luării în considerare a acestora;
  • analiza amenințărilor și a consecințelor acestora, identificarea punctelor slabe în protecție;
  • clasificarea riscurilor, selectarea metodologiei și a evaluării riscurilor;
  • selectarea, implementarea și testarea măsurilor de protecție;
  • evaluarea riscului rezidual.

Orez. 4.11. Incertitudinea ca bază pentru formarea riscului

Politica de securitate a informațiilor include dezvoltarea unei strategii de gestionare a riscurilor de diferite clase.

O listă scurtă a celor mai frecvente amenințări a fost dată mai sus (a se vedea clauza 17.2). Este recomandabil să identificați nu numai amenințările în sine, ci și sursele apariției acestora - acest lucru va ajuta la evaluarea corectă a riscului și la selectarea măsurilor de neutralizare adecvate. De exemplu, autentificarea ilegală la un sistem crește riscul ghicirii parolei sau ca un utilizator sau echipament neautorizat să se conecteze la rețea.

Este evident că pentru a contracara fiecare metodă de intrare ilegală este nevoie de propriile mecanisme de securitate. După identificarea unei amenințări, este necesar să se evalueze probabilitatea implementării acesteia și amploarea daunelor potențiale.

Atunci când se evaluează gravitatea prejudiciului, este necesar să se țină cont nu numai de costurile imediate de înlocuire a echipamentului sau de restabilire a informațiilor, ci și de cele mai îndepărtate, în special, subminând reputația companiei, slăbirea poziției acesteia pe piață etc.

După identificarea și analizarea amenințărilor și a posibilelor consecințe ale acestora, există mai multe abordări ale managementului: evaluarea riscului, reducerea riscului, evitarea riscului, modificarea naturii riscului, acceptarea riscului, dezvoltarea măsurilor corective (Fig. 4.12).

Orez. 4.12. Cadrul de management al riscului

La identificarea activelor și resurselor informaționale - acele valori care trebuie protejate - ar trebui să se ia în considerare nu numai componentele sistemului informațional, ci și infrastructura suport, personalul și activele necorporale, inclusiv ratingul și reputația actuală a companiei. . Cu toate acestea, unul dintre principalele rezultate ale procesului de identificare a activelor este obținerea detaliilor structura informatiei organizare și modalități de utilizare.


Selecția obiectelor analizate și gradul de detaliu al luării în considerare a acestora este următorul pas în evaluarea riscurilor. Pentru o organizație mică, este acceptabil să se ia în considerare întregul infrastructura informaţională, pentru unul mare, ar trebui să vă concentrați pe cele mai importante servicii (critice). Dacă servicii importante multe, apoi sunt selectate acelea ale căror riscuri sunt evident mari sau necunoscute. Dacă baza de informații a organizației este o rețea locală, atunci numărul de obiecte hardware ar trebui să includă computere, periferice, interfețe externe, managementul cablurilor și echipamente active de rețea.

Obiectele software includ sisteme de operare (rețea, server și client), aplicație software, instrumente, programe pentru gestionarea rețelei și a subsistemelor individuale. Este important să înregistrați în ce noduri de rețea este stocat software-ul, unde și cum este utilizat. Al treilea tip obiecte informaţionale sunt date care sunt stocate, procesate și transmise prin rețea. Datele ar trebui clasificate în funcție de tipul și gradul de confidențialitate, locul în care sunt stocate și prelucrate, precum și modalitatea de accesare a acestora. Toate acestea sunt importante pentru evaluarea riscurilor și consecințelor încălcărilor securității informațiilor.

Evaluarea riscurilor se realizează pe baza datelor inițiale acumulate și a unei evaluări a gradului de certitudine a amenințărilor. Este destul de acceptabil să folosiți o metodă atât de simplă, cum ar fi înmulțirea probabilității apariției unei amenințări cu valoarea prejudiciului așteptat. Dacă folosim o scară de trei puncte pentru probabilitate și daune, atunci vor exista șase produse posibile: 1, 2, 3, 4, 6 și 9. Primele două rezultate pot fi clasificate ca risc scăzut, al treilea și al patrulea - ca mediu, iar ultimele două - la fel de ridicate. Această scară poate fi utilizată pentru a evalua acceptabilitatea riscurilor.

Dacă se constată că riscurile sunt inacceptabil de mari, trebuie implementate măsuri de protecție suplimentare. Mai multe mecanisme de securitate care sunt eficiente și ieftine pot fi utilizate pentru a elimina sau reduce slăbiciunea care face reală o amenințare periculoasă. De exemplu, dacă există un risc ridicat de autentificare ilegală, puteți introduce parole lungi, puteți utiliza un program de generare a parolelor sau puteți achiziționa un sistem de autentificare integrat bazat pe carduri inteligente. Dacă există posibilitatea de deteriorare intenționată a serverelor pentru diverse scopuri, care poate avea consecințe grave, puteți limita accesul fizic al personalului la sălile serverelor și puteți consolida securitatea acestora.

Tehnologia de evaluare a riscurilor trebuie să combine metrica formală și formarea unor indicatori cantitativi reali pentru evaluare. Cu ajutorul lor, este necesar să răspundem la două întrebări: riscurile existente sunt acceptabile și, dacă nu, atunci ce echipament de protecție este rentabil din punct de vedere economic de utilizat.

Orez. 4.13. Cadrul de evaluare și atenuare a riscurilor

Metodologia de reducere a riscului. Multe riscuri pot fi reduse semnificativ prin utilizarea unor contramăsuri simple și ieftine. De exemplu, controlul accesului competent (reglementat) reduce riscul intruziunii neautorizate. Unele clase de riscuri pot fi evitate - mutarea serverului web al organizației în afara rețelei locale evită riscul accesului neautorizat la retea locala de la clienții Web. Unele riscuri nu pot fi reduse la o valoare mică, dar după implementarea unui set standard de contramăsuri pot fi acceptate, monitorizându-se constant riscul rezidual (Figura 4.13).

O evaluare a costului măsurilor de protecție ar trebui să țină seama nu numai de costurile directe ale achiziției de echipamente și/sau software, ci și de costurile de introducere a noilor produse, de formare și recalificare a personalului. Acest cost poate fi exprimat pe o anumită scară și apoi comparat cu diferența dintre riscul calculat și riscul acceptabil. Dacă, conform acestui indicator, remediul se dovedește a fi profitabil din punct de vedere economic, acesta poate fi acceptat pentru o analiză ulterioară.

Orez. 4.14. Proces iterativ de management al riscului

Controlul riscurilor reziduale este inclus în mod necesar în controlul actual al sistemului de securitate a informațiilor. Când măsurile planificate au fost luate, este necesar să se verifice eficacitatea acestora - pentru a se asigura că riscurile reziduale au devenit acceptabile. În cazul unei creșteri sistematice a riscurilor reziduale, este necesar să se analizeze greșelile comise și să se ia imediat măsuri corective.

Managementul riscului este un proces iterativ în mai multe etape (Figura 4.14).

Aproape toate etapele sale sunt interconectate și, la finalizarea aproape oricăreia dintre ele, poate deveni evidentă nevoia de a reveni la cea anterioară. Astfel, la identificarea activelor, se poate înțelege că limitele de analiză selectate ar trebui extinse și gradul de detaliu crescut. Analiza primară este deosebit de dificilă atunci când mai multe întoarceri la început sunt inevitabile. Managementul riscului este o problemă tipică de optimizare; dificultatea fundamentală constă în formularea sa competentă la nivelul managementului de vârf, combinarea metodelor optime și descrierea datelor inițiale (Fig. 4.15).

Orez. 4.15. Formarea activităților de management al riscului IT

Metodologiile de Evaluare a Riscului și Management al Riscului au devenit parte integrantă a activităților din domeniul Continuității Afacerii și Securității Informației. Programul de implementare a securității informațiilor și seturile de politici se bazează pe un set de acțiuni ale sistemului și etape practice(Fig. 4.16-Fig. 4.19).

Orez. 4.16. Set de acțiuni sistemice și pași practici (1)

Orez. 4.17. Seturi de acțiuni sistemice și pași practici (2)

Orez. 4.18. Seturi de acțiuni sistemice și pași practici (3)

Orez. 4.19. Seturi de acțiuni sistemice și pași practici (4)

Mai mult de o duzină de standarde și specificații internaționale diferite au fost pregătite și sunt utilizate în mod activ, reglementând în detaliu procedurile de management al riscului informațional: ISO 15408: 1999 („Criteri comune pentru informații Technology Security Evaluation"), ISO 17799:2002 ("Codul de practică pentru managementul securității informațiilor"), NIST 80030, SAS 78/94, COBIT.

Metodologia și instrumentul RA Software Tool se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele britanice. institut national standarde (BSI) - PD 3002 ("Ghid pentru evaluarea și managementul riscurilor"), PD 3003 ("Evaluarea pregătirii unei companii pentru audit în conformitate cu BS 7799"), PD 3005 ("Ghid pentru selectarea unui sistem de securitate") .

În practică, astfel de tehnici de management al riscului vă permit să:

  • să creeze modele ale activelor informaționale ale companiei din punct de vedere al securității;
  • clasifică și evaluează valorile activelor;
  • alcătuiește liste cu cele mai semnificative amenințări de securitate și vulnerabilități;
  • clasarea amenințărilor de securitate și a vulnerabilităților;
  • să evalueze și să gestioneze riscurile;
  • elaborarea de măsuri corective;
  • justifica mijloacele și măsurile de control al riscurilor;
  • evalua eficacitatea/costul diverse opțiuni protecţie;
  • formalizează și automatizează procedurile de evaluare și management al riscurilor.

Managementul riscului include o serie de etape importante, care sunt incluse în mod necesar în activitatea planificată pentru asigurarea securității informațiilor (Fig. 4.20).

Aplicarea corespunzătoare software vă permite să reduceți intensitatea muncii de analiză a riscurilor și selectarea contramăsurilor. În prezent, au fost dezvoltate peste o duzină de produse software pentru a analiza și gestiona riscurile la un nivel de bază de securitate. Un exemplu este suficient remediu simplu este pachetul software BSS (Baseline Security Survey, Marea Britanie).

Produse software de ultimă generație: CRAMM (Insight Consulting Limited, Marea Britanie), Risk Watch, COBRA (Obiectiv consultativ și Analiză de risc bifuncțională), Buddy System. Cea mai populară dintre ele este CRAMM (Complex Risk Analysis and Management Method), care implementează o metodă de analiză și control al riscurilor. Un avantaj semnificativ al metodei este capacitatea de a efectua un studiu detaliat într-un timp scurt, cu o documentare completă a rezultatelor.

Orez. 4.20. Etapele managementului riscului

Metode precum CRAMM se bazează pe o abordare integrată a evaluării riscurilor, combinând metode de analiză cantitativă și calitativă. Metoda este universală și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în ​​sectorul guvernamental, cât și în cel comercial.

LA punctele forte Metoda CRAMM include următoarele:

  • CRAMM este o metodă de analiză a riscului bine structurată și testată pe scară largă, care produce rezultate reale, practice;
  • Instrumentele software CRAMM pot fi utilizate în toate etapele unui audit de securitate SI;
  • in nucleu produs software există o bază de cunoștințe destul de mare privind contramăsurile în domeniul securității informațiilor, pe baza recomandărilor standardului BS 7799;
  • flexibilitatea și versatilitatea metodei CRAMM îi permit să fie utilizat pentru auditarea IP de orice nivel de complexitate și scop;
  • CRAMM poate fi folosit ca instrument pentru a dezvolta planul de continuitate a afacerii și politicile de securitate a informațiilor unei organizații;
  • CRAMM poate fi folosit ca mijloc de documentare a mecanismelor de securitate IS.

Pentru organizațiile comerciale există un profil comercial al standardelor de securitate (Profil comercial), pentru organizațiile guvernamentale - guvern (Profil guvernamental). Versiunea guvernamentală a profilului vă permite, de asemenea, să verificați conformitatea cu cerințele standardului american TCSEC („Cartea portocalie”).

Istoria a demonstrat de multe ori că stabilitatea, oricât de ideală și bună ar părea la prima vedere, duce la degradare. Dezvoltarea este imposibilă fără riscuri. Întreaga noastră viață este formată din probabilități, evaluări ale posibilităților și decizii care duc la succes sau eșec. Dar mult depind de noi. Se va termina săritul cu parașuta în siguranță? Depinde dacă a fost așezat corect, dacă cunoașteți procedura de săritură etc. Riscul este acum zero? Nu, dar prin acțiunile tale ai reușit să-l reduci semnificativ. Pe lângă riscurile individuale, există cele sociale, tehnologice și multe altele. Ne vom concentra pe riscurile de securitate a informațiilor și gestionarea acestora.

Anton Makariciov
Șeful Departamentului de Securitate Informațională, Compulink Group of Companies

Standardul de management al riscului ISO 31000:2009 definește riscul ca rezultat al incertitudinii cu privire la obiective, unde rezultatul este o abatere de la un rezultat dorit (pozitiv sau negativ), iar incertitudinea este o stare de informație insuficientă asociată cu înțelegerea sau cunoașterea unui eveniment. consecințele sau probabilitatea acesteia. Având în vedere că majoritatea riscurilor nu pot fi reduse la valori zero, managementul lor este pe primul loc atât la nivel global, cât și la nivel local. Din păcate, în cazul în care acțiunea are loc înainte de analiză (și tocmai aceasta este situația tipică pentru multe companii rusești), eficacitatea măsurile luate este de asemenea lăsat la voia întâmplării. Este ca și cum ai folosi un ferăstrău cu lanț pe post de topor fără să te obosești să citești instrucțiunile de utilizare. De aceea, înainte de a vă ocupa de gestionarea riscului de securitate a informațiilor, ar trebui să înțelegeți evoluțiile și standardele existente în acest domeniu.


De la general la specific

Atunci când luați în considerare gestionarea riscurilor printr-un accent pe securitatea informațiilor, este util să înțelegeți următoarele documente:

  • standardul internațional ISO 31000:2009;
  • Comitetul organizațiilor de sponsorizare a cadrului de management al riscului organizațional al Comisiei Treadway (COSO ERM);
  • standard de management al riscului al Institutului de Management al Riscului (IRM) al Asociației pentru Managementul Riscului și Asigurărilor (AIRMIC), precum și al Forumului Național pentru Managementul Riscului în Sectorul Public al Regatului Unit.

Astăzi, informatizarea societății, cuplată cu automatizarea proceselor, se dezvoltă atât de rapid încât ignorarea riscurilor tot mai mari din domeniul tehnologiei informației devine inacceptabilă.

ISO 31000:2009 este standardul internațional principal pentru managementul riscurilor pentru organizații și oferă definițiile și principiile de bază care ar trebui să ghideze o organizație odată ce decide să implementeze un sistem de management al riscului. Acest document poate fi folosit ca ghid pentru primii pași, deoarece descrie precis managementul riscului, adică arhitectura.

Mai mult instrucțiuni detaliate sunt cuprinse în Cadrul de management al riscului organizațional al Comitetului organizațiilor de sponsorizare al Comisiei Treadway. În special, pe lângă documentul în sine, materialele suplimentare emise de Comitetul COSO sunt de folos practic:

  • ERM Risk Assessment in Practice (practica de a efectua evaluări de risc în sistemul de management al riscului);
  • Managementul riscului de întreprindere pentru C
  • oud Computing (gestionarea riscurilor pentru sistemele cloud computing);
  • Enterprise Risk Management – ​​​​Understanding and Communicating Risk Appetite (înțelegerea și comunicarea apetitului pentru risc în sistemul de management al riscului);
  • Adoptarea managementului riscului întreprinderii: practică
  • Abordări pentru începerea (abordări practice pentru începerea implementării unui sistem de management al riscului), etc.

Scopul lor este o dezvăluire detaliată a tuturor aspectelor stabilite în cadrul conceptual, care în cele din urmă face posibilă punerea principiilor descrise pe o bază practică.

Cu toate acestea, merită menționată o nuanță importantă care poate duce la o anumită confuzie atunci când se încearcă combinarea standardelor descrise mai sus - diferențele de definiții. De exemplu, definiția „riscului” în standardul ISO este probabilitatea consecințelor atât pozitive, cât și negative, în standardul COSO este doar probabilitatea unei consecințe negative, pentru una pozitivă există un termen separat - oportunitate. Cu toate acestea, având în vedere dezvoltarea permanentă a standardului, acesta merită cea mai mare atenție.

Un alt document util este standardul de management al riscului al Institutului de Management al Riscului (IRM) al Asociației pentru Managementul Riscului și Asigurărilor (AIRMIC), precum și al Forumului Național pentru Managementul Riscului în Sectorul Public al Regatului Unit. Folosind terminologia ISO ca bază, acest standard dezvăluie procesul de management al riscului mai detaliat (Fig. 2).


Va fi extrem de util pentru întreprinderile mici și mijlocii, deoarece poate acționa ca un singur și unic document pentru implementare sistem de calitate managementul riscurilor.

Astfel, înainte de a trece la aspectele specifice ale managementului riscului de securitate a informațiilor, putem trage concluzii intermediare cu privire la standardele luate în considerare:

  • ISO 31000:2009 este potrivit ca bază pentru orice organizație;
  • AIRMIC este orientat spre practică și potrivit ca document de bază pentru întreprinderile mici și mijlocii, precum și ca punct de plecare pentru companiile mari;
  • COSO ERM acționează ca principalul document pentru implementarea practică a unui sistem de management al riscului în orice organizație, dar inițial gravitează către afacerile mari.

Managementul riscului de securitate a informațiilor

Astăzi, informatizarea societății, cuplată cu automatizarea proceselor, se dezvoltă atât de rapid încât ignorarea riscurilor tot mai mari din domeniul tehnologiei informației devine inacceptabilă. Disponibilitatea centrelor de date este măsurată în cinci și șase nouă, iar eșecurile în sistemele de informații ale marilor companii devin știri globale.

Ca urmare, organizațiile creează departamente separate pentru securitatea informațiilor și riscurile IT, care sunt angajate în identificarea și gestionarea riscurilor în acest domeniu.


Cererea a creat oferta. Astfel, organizația internațională ISO a emis un standard de gestionare a riscurilor de securitate a informațiilor într-o organizație – ISO 27005:2008 „Tehnologia informației – tehnici de securitate – managementul riscului de securitate a informațiilor”. Cu toate acestea, pe lângă aceasta, există și alte documente la fel de utile, de exemplu:

  • mediu de lucru pentru gestionarea riscurilor IT (The Risk IT Framework) și instrucțiuni de utilizare pentru riscuri IT (The Risk IT Practitioner Guide), bazate pe standardul Cobit al organizației ISACA;
  • Metodologia autorului pentru managementul riscului sistemelor informatice de Ken Jaworski.

Să ne uităm la fiecare dintre ele mai detaliat.

ISO 27005:2008 definește riscul de securitate a informațiilor ca fiind probabilitatea ca o anumită amenințare să exploateze vulnerabilitățile unui activ sau grup de active și, prin urmare, să provoace prejudicii unei organizații.

În conformitate cu standardul, procesul de management al riscului de securitate a informațiilor vă permite să organizați următoarele:

  • identificarea riscului;
  • evaluarea riscurilor în ceea ce privește consecințele asupra afacerii și probabilitatea apariției acestora;
  • comunicarea și conștientizarea probabilității și consecințelor riscurilor;
  • stabilirea unei ordini de priorități pentru tratarea riscurilor;
  • prioritizarea acțiunilor pentru reducerea probabilității riscurilor;
  • implicarea părților interesate în procesul de luare a deciziilor de management al riscului și comunicarea stadiului procesului de management al riscului;
  • monitorizarea eficacității tratamentului riscului;
  • monitorizează și revizuiește periodic riscurile și procesul de gestionare a riscurilor;
  • identificarea informațiilor pentru îmbunătățirea abordării managementului riscului;
  • instruirea managerilor și angajaților cu privire la riscuri și acțiuni de reducere a acestora.

Există unele progrese în domeniul managementului riscului de securitate a informațiilor, permițând profesioniștilor interesați să treacă de la descrierile teoretice la acțiuni practice. Astfel, standardul internațional ISO 27005:2008 servește ca punct de plecare teoretic, de la care calea practică ulterioară, în ciuda unei abordări individuale pentru fiecare organizație, poate fi implementată eficient folosind cel puțin două metode.

Este de remarcat faptul că diagrama procesului de management al riscului de securitate a informațiilor este identică cu diagrama standard 31000 prezentată mai devreme, ceea ce confirmă și mai mult aceeași abordare a managementului riscului din seria de standarde ISO. Standardul este de natură teoretică, dar va fi util ca bază pentru implementarea ulterioară a unui sistem de management al riscului.

Cadrul Risk IT, bazat pe standardul ISACA Cobit, include un cadru teoretic, instrucțiuni de utilizare - metodologie și exemple practice.

Acest document definește riscul IT ca risc de afaceri, în special riscul de afaceri asociat cu utilizarea, proprietatea, operarea, implicarea, influența sau adaptarea IT într-o organizație.

Modelul de proces al acestui mediu constă din trei domenii:

  • managementul riscurilor (Risk Governance);
  • Evaluarea riscurilor;
  • Răspuns la risc.

Acest model cu trei domenii este disecat amănunțit în lucrare. Sunt date toate definițiile necesare, se analizează modelul pentru procesele enumerate, precum și procedura de implementare.

Instrucțiunile de utilizare pentru riscurile IT (The Risk IT Practitioner Guide) este o continuare logică mediu de lucru orientată spre implementarea practică a modelului cu trei domenii în organizaţie. Documentul prezintă șabloanele necesare, tabele și alte documente care pot fi modificate după cum este necesar și utilizate în sistemul de management al riscului al organizației dvs. De asemenea, este oferită o descriere a celor mai bune practici pentru implementarea sistemelor de risc IT.

Metodologia de management al riscului în sistemele informaționale a lui Ken Jaworski se bazează pe standardul ISO și se concentrează pe aspectele practice ale implementării unui sistem de management al riscului și conține, de asemenea, șabloanele și metodele necesare pentru calcularea impactului riscurilor asupra activităților organizației.

Pentru a rezuma, putem concluziona că în domeniul managementului riscului de securitate a informațiilor există unele progrese care permit specialiștilor interesați să treacă de la descrierile teoretice la acțiunile practice. Astfel, standardul internațional ISO 27005:2008 servește ca punct de plecare teoretic, de la care calea practică ulterioară, în ciuda unei abordări individuale pentru fiecare organizație, poate fi implementată eficient folosind cel puțin două metode.

Concluzie

Sistemul de management al riscului ca parte a guvernanței corporative își arată deja eficiența în acele companii în care acesta începe să fie implementat sau a fost deja implementat. Datorită stării de criză a economiei mondiale în acest moment poate fi de așteptat să se răspândească în viitor sisteme similareși în sectorul public. Acest lucru este posibil și astăzi, deoarece există deja standarde și alte documente privind sistemul de management al riscului care fac posibilă implementarea acest sistem calitativ şi într-un timp relativ scurt. Punctul fundamental este faptul că, pe lângă documentele „generale”, există standarde industriale pentru managementul riscurilor, în special managementul riscului IT/IS. Cu toate acestea, având în vedere specificul economiei ruse, multe organizații se bazează mai mult pe sprijinul statului sau pe așa-numitele resurse administrative, acordând o atenție insuficientă sistemului de guvernanță corporativă și în special managementului riscului. Ca urmare, în țara noastră există o predispoziție din ce în ce mai mare la falimente mai mari decât în ​​Statele Unite. Dar inacțiunea este puțin probabil să ajute la rezolvarea problemei.

În practică, sunt utilizate abordări cantitative și calitative pentru evaluarea riscurilor de securitate a informațiilor. Care este diferența?

Metoda cantitativă

Evaluarea cantitativă a riscurilor este utilizată în situațiile în care amenințările care sunt studiate și riscurile asociate acestora pot fi comparate cu valori cantitative finale exprimate în bani, dobândă, timp, resurse umane etc. Metoda vă permite să obțineți valori specifice ale obiectelor de evaluare a riscurilor atunci când sunt realizate amenințări la securitatea informațiilor.

În abordarea cantitativă, tuturor elementelor evaluării riscului li se atribuie valori cantitative specifice și realiste. Algoritmul pentru obținerea acestor valori ar trebui să fie clar și ușor de înțeles. Obiectul evaluării poate fi valoarea bunului în termeni monetari, probabilitatea realizării amenințării, prejudiciul cauzat de amenințare, costul măsurilor de protecție etc.

Cum se evaluează cantitativ riscurile?

1. Determinați valoarea activelor informaționale în termeni monetari.

2. Evaluați în termeni cantitativi daunele potențiale din implementarea fiecărei amenințări în raport cu fiecare activ informațional.

Este necesar să se obțină răspunsuri la întrebările „Care parte din valoarea activului va fi prejudiciul din implementarea fiecărei amenințări?”, „Care este costul prejudiciului în termeni monetari dintr-un singur incident în timpul implementării acestui amenințare la adresa acestui bun?”

3. Determinați probabilitatea implementării fiecăreia dintre amenințările la securitatea informațiilor.

Pentru a face acest lucru, puteți utiliza date statistice, sondaje ale angajaților și părților interesate. În procesul de determinare a probabilității, calculați frecvența incidentelor asociate cu implementarea amenințării considerate pentru securitatea informațiilor pe perioada de control (de exemplu, un an).

4. Determinați daunele potențiale totale de la fiecare amenințare în raport cu fiecare activ pe perioada de control (un an).

Valoarea se calculează prin înmulțirea daunei unice cauzate de amenințare cu frecvența amenințării.

5. Analizați datele de daune primite pentru fiecare amenințare.

Pentru fiecare amenințare, trebuie luată o decizie: acceptați riscul, reduceți riscul sau transferați riscul.

Acceptarea unui risc înseamnă recunoașterea acestuia, acceptarea posibilității sale și continuarea acțiunii ca înainte. Aplicabil pentru amenințări cu daune reduse și probabilitate scăzută de apariție.

Reducerea riscului înseamnă introducerea unor măsuri suplimentare și echipamente de protecție, instruirea personalului etc. Adică efectuarea unor lucrări deliberate pentru reducerea riscului. În același timp, este necesar să se evalueze cantitativ eficacitatea măsurilor și mijloacelor de protecție suplimentare. Toate costurile suportate de organizație, de la achiziționarea de echipamente de protecție până la punerea în funcțiune (inclusiv instalare, configurare, instruire, întreținere etc.), nu trebuie să depășească valoarea daunelor cauzate de amenințare.

A transfera riscul înseamnă a transfera consecințele riscului către un terț, de exemplu, prin asigurare.

Ca rezultat al evaluării cantitative a riscului, ar trebui determinate următoarele:

  • valoarea activelor în termeni monetari;
  • o listă completă a tuturor amenințărilor la securitatea informațiilor cu daune de la un singur incident pentru fiecare amenințare;
  • frecvența de implementare a fiecărei amenințări;
  • daune potențiale de la fiecare amenințare;
  • Măsuri de securitate, contramăsuri și acțiuni recomandate pentru fiecare amenințare.

Analiza cantitativă a riscului de securitate a informațiilor (exemplu)

Să luăm în considerare tehnica folosind exemplul serverului web al unei organizații, care este folosit pentru a vinde un anumit produs. Cantitativ o dată daunele cauzate de o defecțiune a serverului pot fi estimate ca rezultat al chitanței medii de achiziție și al numărului mediu de solicitări pentru un anumit interval de timp, egal cu timpul de nefuncționare a serverului. Să presupunem că costul daunelor unice cauzate de o defecțiune directă a serverului va fi de 100 de mii de ruble.

Acum este necesar să se evalueze prin mijloace experte cât de des poate apărea o astfel de situație (ținând cont de intensitatea funcționării, calitatea sursei de alimentare etc.). De exemplu, luând în considerare opinia experților și informatii statistice, înțelegem că serverul poate eșua de până la 2 ori pe an.

Înmulțind aceste două cantități, obținem asta Media anuală prejudiciul cauzat de amenințarea eșecului direct al serverului se ridică la 200 de mii de ruble pe an.

Aceste calcule pot fi folosite pentru a justifica alegerea măsurilor de protecție. De exemplu, implementarea unui sistem sursă de alimentare neîntreruptibilăși sisteme Rezervă copie cu un cost total de 100 de mii de ruble pe an va minimiza riscul de defecțiune a serverului și va fi o soluție complet eficientă.

Metoda calitativă

Din păcate, nu este întotdeauna posibil să se obțină o expresie specifică a obiectului evaluării din cauza incertitudinii mari. Cum să evaluăm cu exactitate prejudiciul adus reputației unei companii atunci când apar informații despre un incident de securitate a informațiilor? În acest caz, se utilizează o metodă calitativă.

Abordarea calitativă nu utilizează expresii cantitative sau monetare pentru obiectul evaluat. În schimb, obiectului evaluării i se atribuie un indicator clasat pe o scară de trei puncte (scăzut, mediu, ridicat), cinci puncte sau zece puncte (0... 10). Pentru a colecta date pentru evaluarea calitativă a riscurilor, sunt utilizate anchete ale grupurilor țintă, interviuri, chestionare și întâlniri personale.

Analiza riscului de securitate a informațiilor folosind o metodă calitativă ar trebui efectuată cu implicarea angajaților cu experiență și competență în domeniul în care sunt luate în considerare amenințările.

Cum se efectuează o evaluare bună a riscurilor:

1. Determinați valoarea activelor informaționale.

Valoarea unui activ poate fi determinată de nivelul de criticitate (consecințe) dacă sunt încălcate caracteristicile de securitate (confidențialitate, integritate, disponibilitate) ale unui activ informațional.

2. Determinați probabilitatea apariției unei amenințări în legătură cu un activ de informații.

Pentru a evalua probabilitatea realizării unei amenințări, poate fi utilizată o scară calitativă pe trei niveluri (scăzut, mediu, ridicat).

3. Determinați nivelul de oportunitate implementare cu succes amenințări ținând cont de starea actuală a securității informațiilor, măsurile implementate și mijloacele de protecție.

Pentru a evalua nivelul posibilității ca o amenințare să fie realizată, se poate folosi și o scară calitativă pe trei niveluri (scăzut, mediu, ridicat). Valoarea de fezabilitate a amenințării indică cât de fezabil este îndeplinirea cu succes a amenințării.

4. Trageți o concluzie despre nivelul de risc pe baza valorii activului informațional, a probabilității ca amenințarea să fie realizată și a posibilității ca amenințarea să fie realizată.

Pentru a determina nivelul de risc, puteți utiliza o scală de cinci sau zece puncte. Atunci când determinați nivelul de risc, puteți utiliza tabele de referință care oferă o înțelegere a combinațiilor de indicatori (valoare, probabilitate, oportunitate) care conduc la ce nivel de risc.

5. Analizați datele obținute pentru fiecare amenințare și nivelul de risc obținut pentru aceasta.

Adesea, echipa de analiză a riscurilor folosește conceptul de „nivel acceptabil de risc”. Acesta este nivelul de risc pe care compania este dispusă să-l accepte (dacă amenințarea are un nivel de risc mai mic sau egal cu acceptabil, atunci nu este considerat relevant). Sarcina globală într-o evaluare calitativă este de a reduce riscurile la un nivel acceptabil.

6. Dezvoltați măsuri de securitate, contramăsuri și acțiuni pentru fiecare amenințare curentă pentru a reduce nivelul de risc.

Ce metodă ar trebui să alegi?

Scopul ambelor metode este de a înțelege riscurile reale ale securității informațiilor unei companii, de a determina o listă de amenințări curente și de a selecta contramăsuri și mijloace eficiente de protecție. Fiecare metodă de evaluare a riscurilor are propriile sale avantaje și dezavantaje.

Metoda cantitativă dă reprezentare vizualaîn bani pentru obiectele de evaluare (daune, costuri), însă, este mai laborioasă și în unele cazuri inaplicabilă.

Metoda calitativă permite o evaluare mai rapidă a riscurilor, dar evaluările și rezultatele sunt mai subiective și nu oferă o înțelegere clară a daunelor, costurilor și beneficiilor implementării securității informațiilor.

Alegerea metodei trebuie făcută pe baza specificului unei anumite companii și a sarcinilor atribuite specialistului.

Stanislav Shilyaev, manager de proiect pentru securitatea informațiilor la SKB Kontur

Risc pentru securitatea informațiilor (risc pentru securitatea informațiilor)- „posibilitatea ca o anumită amenințare să poată exploata vulnerabilitatea unui activ sau a unui grup de active și, prin urmare, să provoace daune organizației.”

În conformitate cu GOST R 51897-2011 „Managementul riscurilor. Termeni și definiții” și standardul internațional ISO 27001-2013 „Sistem de management al securității informațiilor” – procesul de management al riscului este un efort coordonat de a gestiona și controla o organizație în ceea ce privește riscul de securitate a informațiilor. Managementul riscului include evaluarea riscului, tratamentul riscului, acceptarea riscului și comunicarea riscului.

Scopul procesului de evaluare a riscului este de a determina caracteristicile de risc în raport cu sistemul informațional și resursele (activele) acestuia. Pe baza datelor obținute, acestea pot fi selectate fondurile necesare protecţie. La evaluarea riscurilor, sunt luați în considerare mulți factori: valoarea resurselor, evaluările semnificației amenințărilor și vulnerabilităților, eficacitatea măsurilor de protecție existente și planificate și multe altele.

Nivel de bază de securitate (securitate de bază)- nivelul minim obligatoriu de securitate pentru IP. Un număr de țări au criterii pentru determinarea acestui nivel. Ca exemplu, să luăm criteriile din Regatul Unit - CCTA Baseline Security Survey, care determină Cerințe minimeîn domeniul securităţii informaţiei pentru agentii guvernamentale a acestei tari. În Germania, aceste criterii sunt stabilite în standardul BSI.

Există criterii de la o serie de organizații - NASA, X/Open, ISACA și altele. În țara noastră, aceasta poate fi o clasă de securitate în conformitate cu cerințele FSTEC din Rusia, un profil de protecție dezvoltat în conformitate cu standardul ISO-15408 sau un alt set de cerințe.

Atunci criteriul pentru atingerea unui nivel de bază de securitate este îndeplinirea unui anumit set de cerințe.

De bază ( de bază) analiza de risc - analiza de risc efectuată în conformitate cu cerințele nivelului de bază de securitate. Aplicațiile de analiză a riscurilor care se concentrează pe acest nivel de obicei nu iau în considerare valoarea resurselor și nu evaluează eficacitatea contramăsurilor. Metodele acestei clase sunt utilizate în cazurile în care nu sunt impuse cerințe sporite în domeniul securității informațiilor sistemului informațional.

Deplin (deplin) analiza de risc - analiza de risc pentru sistemele informatice care au cerinte sporite in domeniul securitatii informatiilor. Include determinarea valorii resurselor informaționale, evaluarea amenințărilor și vulnerabilităților, selectarea contramăsurilor adecvate și evaluarea eficacității acestora.

Conform GOST R ISO/IEC 27005-2010, procesul de management al securității informațiilor constă din etapele prezentate în Fig. 1.

Evaluare a riscurilor

Analiza de risc

Identificarea riscului

Evaluarea cantitativă a riscului

  • 0 x:
    • (b o;

Evaluare a riscurilor

Al doilea punct de decizie. . Este rezultatul tratamentului de risc satisfăcător?

Orez. 1.

Conform GOST R ISO/IEC 27005-2010, procesul de evaluare a riscului constă în analiza riscului și evaluarea riscului în sine.

Analiza riscurilor include: identificarea riscurilor (identificarea activelor, identificarea amenințărilor, identificarea controalelor și controalelor existente, identificarea vulnerabilităților, determinarea consecințelor) și stabilirea valorilor de risc (evaluarea consecințelor, evaluarea probabilității unui incident, stabilirea valorilor nivelului de risc).

Evaluarea riscurilor trebuie să identifice riscurile, să cuantifice și să prioritizeze riscurile pe baza criteriilor și obiectivelor de acceptare a riscurilor care sunt semnificative pentru organizație.

Urmând recomandările GOST R ISO/IEC 27002-2012, evaluările riscurilor ar trebui efectuate periodic pentru a lua în considerare schimbările în cerințele de securitate și în situația de risc, de exemplu, în legătură cu active, amenințări, vulnerabilități, impacturi, evaluări de risc.

Înainte de a lua în considerare tratamentul unui anumit risc, o companie trebuie să selecteze criterii pentru a determina dacă riscurile sunt acceptabile sau inacceptabile.

Procesul de evaluare a riscurilor stabilește valoarea activelor informaționale, identifică potențialele amenințări și vulnerabilități care există sau pot exista, identifică controalele existente și impactul acestora asupra riscurilor identificate, determină consecințe posibile iar în sfârșit, se atribuie priorități riscurilor identificate, iar acestea sunt ierarhizate în funcție de criteriile de evaluare a riscurilor înregistrate la stabilirea contextului.

Ca urmare a evaluării riscurilor în conformitate cu GOST R ISO/IEC 27003-2012, este necesar să:

  • - identificarea amenințărilor și sursele acestora;
  • - identifica controalele și controalele existente și planificate;
  • - identificarea vulnerabilităților care, dacă sunt amenințate, ar putea cauza daune activelor sau organizației;
  • - să determine consecințele pierderii confidențialității, securității, disponibilității, nerepudierii sau încălcării altor cerințe de securitate pentru bunuri;
  • - să evalueze impactul asupra întreprinderii care poate apărea ca urmare a unor incidente suspectate sau reale de securitate a informațiilor;
  • - evaluează probabilitatea unor scenarii de urgență;
  • - evaluarea nivelului de risc;
  • - compara nivelurile de risc cu evaluarea riscului și criteriile de acceptabilitate.

Metodologia utilizată pentru evaluarea riscurilor ar trebui să includă pașii enumerați mai jos.

  • 1. Definirea activelor.
  • 2. Identificarea amenințărilor.
  • 3. Identificarea vulnerabilităților.
  • 4. Determinarea consecințelor.
  • 5. Evaluarea probabilității unui incident.
  • 6. Stabilirea valorilor nivelului de risc.
  • 7. Corelarea riscurilor cu criteriile.
  • 8. Determinarea măsurilor de tratare a riscurilor.

O diagramă a activităților de tratare a riscurilor este prezentată în Fig. 2.

Satisfăcător

Primul punct de decizie. Este rezultatul evaluării riscurilor satisfăcător?

TRATAMENTUL RISCURILOR


Orez. 2.

cu GOST R ISO/IEC 27005-2010

Pe lângă aceste acțiuni, organizația trebuie să prevadă și monitorizarea riscurilor.

Riscurile și factorii lor (adică valoarea activelor, impactul, amenințările, vulnerabilitățile, probabilitatea de apariție) ar trebui monitorizate și reevaluate pentru a identifica orice schimbări în contextul organizației într-un stadiu incipient și ar trebui menținută o vedere de ansamblu asupra întregii imagini a riscurilor. Procesul de management al riscului de securitate a informațiilor este supus unei monitorizări, analize și îmbunătățiri constante.

În analiza riscului, prejudiciul așteptat în cazul realizării amenințărilor este comparat cu costurile măsurilor și mijloacelor de protecție, după care se ia o decizie cu privire la riscul evaluat, care poate fi:

  • - redus, de exemplu, prin introducerea de mijloace și mecanisme de protecție care reduc probabilitatea apariției unei amenințări sau coeficientul de distructivitate;
  • - salvat (acceptat) ca acceptabil pentru subiectul de evaluare;
  • - prevenit prin refuzul utilizării resursei aflate în pericol;
  • - transferat, de exemplu, asigurat, în urma căruia, în cazul unei amenințări la securitate, pierderile vor fi suportate de societatea de asigurări, și nu de proprietarul resursei.

Cel mai laborios proces este procesul de evaluare a riscurilor, care poate fi împărțit în următoarele etape: identificarea riscului; analiza de risc; evaluare a riscurilor.

În fig. Figura 3 prezintă schematic procesul de evaluare a riscurilor de securitate a informațiilor. Identificarea riscurilor constă în alcătuirea unei liste și descriere a elementelor de risc: obiecte de protecție, amenințări, vulnerabilități.

Se obișnuiește să se distingă următoarele tipuri de obiecte de protecție: bunuri informaționale; software; bunuri fizice; Servicii; oamenii și calificările, aptitudinile și experiența acestora; resurse intangibile precum reputația și imaginea organizației.

De regulă, în practică, sunt luate în considerare primele trei grupuri. Obiectele de protecție rămase nu sunt luate în considerare din cauza complexității evaluării lor.

În etapa de identificare a riscurilor, sunt identificate și amenințările și vulnerabilitățile.

Rezultatele auditurilor sunt utilizate ca date de intrare pentru aceasta; date despre incidente de securitate a informațiilor; evaluări experți de la utilizatori, specialiști în securitatea informațiilor, specialiști IT și consultanți externi.

Informațiile obținute în etapa de identificare a riscului sunt utilizate în procesul de analiză a riscului pentru a determina:

  • - posibile daune cauzate organizației ca urmare a încălcărilor securității activelor;
  • - probabilitatea producerii unei astfel de încălcări;
  • - amploarea riscului.

Valoarea eventualelor pagube este determinată ținând cont de valoarea bunurilor și de gravitatea consecințelor unei încălcări a securității acestora.

A doua componentă care modelează valoarea posibilelor daune este severitatea consecințelor unei încălcări a securității activelor. Sunt luate în considerare


Orez. 3.

toate consecințele posibile și gradul de impact negativ al acestora asupra organizației, partenerilor și angajaților acesteia.

Este necesar să se determine gravitatea consecințelor încălcării confidențialității, integrității, disponibilității și altele. proprietăți importante activ informațional și apoi găsiți scorul general.

Următoarea etapă a analizei riscului este de a evalua probabilitatea apariției amenințărilor.

După ce am stabilit amploarea posibilelor daune și probabilitatea realizării amenințărilor, se determină amploarea riscului.

Calculul riscului se face prin combinarea posibilelor daune, care exprimă consecințele probabile ale unei încălcări a securității activelor și probabilitatea apariției amenințărilor.

Această combinație este adesea efectuată folosind o matrice, în care valorile posibile ale daunelor sunt plasate în rânduri și probabilitățile ca amenințarea să fie realizată în coloane și cantitatea de risc la intersecție.

În continuare, nivelurile de risc calculate sunt comparate cu scala nivelului de risc. Acest lucru este necesar pentru a evalua în mod realist impactul pe care riscurile calculate îl au asupra afacerii organizației și pentru a comunica conducerii sensul nivelurilor de risc.

Evaluarea riscului trebuie să identifice, de asemenea, nivelurile acceptabile de risc la care actiunile urmatoare nu este necesar. Toate celelalte riscuri necesită măsuri suplimentare.

Rezultatele evaluării riscurilor sunt utilizate pentru a determina fezabilitatea economică și prioritatea măsurilor de tratare a riscurilor și permit luarea unei decizii informate cu privire la selectarea măsurilor de protecție care reduc nivelurile de risc.

Există multe metode de analiză și evaluare a riscurilor de securitate a informațiilor. Unele dintre ele se bazează pe destul de simple metode tabelareși nu implică utilizarea unor instrumente software specializate, dimpotrivă, le folosesc în mod activ;

În ciuda interesului crescut pentru managementul riscului, majoritatea tehnicilor utilizate în prezent sunt relativ ineficiente deoarece procesul în multe companii este realizat independent de fiecare departament. Adesea, nu există un control centralizat asupra acțiunilor lor, ceea ce exclude posibilitatea implementării unei abordări unificate și holistice a managementului riscului în întreaga organizație.

Pentru a rezolva problema evaluării riscurilor de securitate a informațiilor, sunt clasice următoarele: sisteme software: CRAMM, FRAP, RiskWatch, Microsoft Security Instrument de evaluare (MSAT), GRIF, CORAS și o serie de altele. Toate tehnicile cunoscute pot fi clasificate după cum urmează:

  • - metode care utilizează evaluarea riscului la nivel calitativ (de exemplu, pe o scară de „ridicat”, „mediu”, „scăzut”), astfel de metode, în special, includ FRAP;
  • - metode cantitative (riscul este evaluat prin valoare numerica, de exemplu, mărimea pierderilor anuale așteptate), metodologia RiskWatch aparține acestei clase;
  • - metode care utilizează evaluări mixte (această abordare este utilizată în metodologia CRAMM, MSAT).

Înainte de a lua o decizie de implementare a unei anumite metodologii de gestionare a riscului de securitate a informațiilor, ar trebui să vă asigurați că aceasta ține cont suficient de nevoile de afaceri ale companiei, de amploarea acesteia și, de asemenea, că respectă cele mai bune practici globale și are suficiente descriere detaliata proceselor și acțiunilor necesare.

În tabel 1 prezintă o analiză comparativă a metodelor clasice (CRAMM, GRIF, RiskWatch, CORAS, MSAT).

tabelul 1

Comparația instrumentelor software pentru managementul riscului de securitate a informațiilor

Criterii de comparare

GRIF

RiskWatch

Riscuri

Utilizarea conceptului de risc maxim acceptabil

Pregătirea unui plan de acțiune pentru reducerea riscurilor

Control

Informarea managerului

Plan de lucru pentru reducerea riscurilor

Include traininguri, seminarii, întâlniri

Evaluarea riscului de afaceri/risc operațional/risc IT

Evaluarea riscului la nivel organizațional

Evaluarea riscului pentru nivel tehnic

Modalități sugerate de reducere a riscurilor

Ocolirea (prevenirea) riscului

Reducerea riscului

Asumarea riscurilor

Procesele

Utilizarea elementelor de risc

Bani

Active necorporale

Valoarea activului

Vulnerabilități

Masuri de securitate

Daune potențiale

Probabilitatea amenințărilor

Criterii de comparare

Tipuri de riscuri luate în considerare

Riscuri de afaceri

Riscuri asociate cu încălcarea legilor

Riscuri asociate cu utilizarea tehnologiei

Riscuri comerciale

Riscuri asociate cu implicarea terților

Riscuri asociate cu recrutarea personalului

Metode de măsurare a valorilor de risc

Evaluare calitativă

Cuantificare

Metode de control

Clasamentul calitativ al riscului

Utilizarea evaluării independente

Calculul randamentului investiției

Calculul echilibrului optim între diferitele tipuri de măsuri de securitate, cum ar fi:

Măsuri de prevenire

Măsuri de detectare

Măsuri de corecție

Măsuri de recuperare

Integrarea metodelor de control

Descrierea scopului metodelor de control

Procedura de acceptare a riscurilor reziduale

Managementul riscului rezidual

Monitorizarea riscului

Aplicarea monitorizării eficacității măsurilor de securitate a informațiilor

Efectuarea măsurilor de reducere a riscurilor

Utilizarea procesului de răspuns la incident de securitate a informațiilor

Documentație structurată a rezultatelor evaluării riscurilor

Notă : Un tabel de comparație a instrumentelor software pentru analiză și evaluarea riscurilor este oferit pe baza materialelor articolului: Baranova E.K., Chernova M.V. Analiza comparativa instrumente software pentru analiza și evaluarea riscurilor de securitate a informațiilor // Probleme de securitate a informațiilor. Sisteme informatice. -

2014.-№4.- P. 160-168.

Scor cu RAMM

Această tehnică nu ia în considerare documentația justificativă, cum ar fi descrierile proceselor de afaceri sau rapoartele privind evaluările riscurilor. În raport cu strategia de management al riscului, CRAMM presupune utilizarea doar a metodelor de reducere a riscului. Tehnicile de management al riscului, cum ar fi bypass-ul sau acceptarea, nu sunt luate în considerare. Metoda nu include:

procesul de integrare a metodelor de control și descrierea scopului unei anumite metode; monitorizarea eficacității metodelor de management utilizate și a metodelor de gestionare a riscurilor reziduale; recalcularea valorilor maxime de risc admisibile; procesul de răspuns la incident.

Aplicarea practică a CRAMM presupune nevoia de a atrage specialiști de înaltă calificare; proces de evaluare a riscurilor de lungă durată și intensivă în muncă. În plus, trebuie remarcat costul ridicat al licenței.

Evaluarea GRIF

Metodologia GRIF folosește metode cantitative și calitative de evaluare a riscurilor, precum și determină condițiile în care acestea din urmă pot fi acceptate de companie, și include calculul rentabilității investiției pentru implementarea măsurilor de securitate. Spre deosebire de alte tehnici de analiză a riscurilor, GRIF oferă toate modalitățile de reducere a riscurilor (ocolire, reducere și acceptare). Această metodologie ia în considerare documentația însoțitoare, cum ar fi o descriere a proceselor de afaceri sau rapoarte privind evaluările riscurilor de securitate a informațiilor.

Evaluarea RiskWatch

Această tehnică utilizează metode cantitative și calitative de evaluare a riscurilor. Intensitatea muncii de analiză a riscurilor folosind această metodă este relativ mică. Această metodă este potrivită dacă trebuie să efectuați o analiză de risc la nivel de protecție software și hardware, fără a lua în considerare factorii organizatorici și administrativi. Un avantaj semnificativ al RiskWatch este intuitiv interfață clară si o mai mare flexibilitate a metodei, asigurata de posibilitatea introducerii de noi categorii, descrieri, intrebari etc.

Evaluarea CORAS

CORAS nu oferă așa ceva măsură eficientă privind managementul riscurilor, cum ar fi „Programul de conștientizare a angajaților în domeniul securității informațiilor”. Un astfel de program face posibilă reducerea riscurilor de securitate a informațiilor asociate cu încălcările regimului de securitate a informațiilor de către angajații companiei din cauza necunoașterii de către aceștia a cerințelor corporative în acest domeniu și a regulilor de utilizare în siguranță a sistemelor informaționale. De asemenea, CORAS nu prevede frecvența evaluării riscurilor și a actualizării valorilor acestora, ceea ce indică faptul că metodologia este potrivită pentru efectuarea de evaluări unice și nu este adecvată pentru utilizare regulată.

Partea pozitivă a CORAS este că produsul software care implementează această tehnică este distribuit gratuit și nu necesită resurse semnificative pentru instalare și utilizare.

Scorul MSA T

Indicatorii cheie pentru acest produs software sunt: ​​profilul de risc de afaceri (cantitatea de modificare a riscului în funcție de mediul de afaceri, într-adevăr, parametru important, care nu este întotdeauna luat în considerare la evaluarea nivelului de securitate a sistemului în organizațiile din diferite domenii de activitate) și indicele de apărare în profunzime (o valoare sumară a nivelului de securitate). MS AT nu oferă o evaluare cantitativă a nivelului riscurilor, cu toate acestea, evaluările calitative pot fi legate de o scară de clasare.

MS AT vă permite să evaluați eficacitatea investițiilor realizate în implementarea măsurilor de securitate, dar nu face posibilă găsirea echilibrului optim între măsurile care vizează prevenirea, identificarea, corectarea sau refacerea activelor informaționale.

Metodele luate în considerare corespund bine cerințelor grupelor „Riscuri” și „Procese (Utilizarea elementelor de risc)”, dar unele dintre ele (CRAMM, CORAS) prezintă deficiențe în conformitate cu secțiunile „Monitorizare” și „Management”, așa cum precum și cu multe subsecțiuni „Procese” . Puțini (GRIF, RiskWatch, MSAT) oferă îndrumări detaliate privind programarea reevaluărilor de risc.

În cazurile în care este necesar să se efectueze doar o singură evaluare a nivelului riscurilor într-o companie mijlocie, este recomandabil să se recomande utilizarea metodologiei CORAS. Pentru managementul riscului bazat pe evaluări periodice la nivel tehnic, CRAMM este cel mai potrivit. Instrumentul de evaluare a securității Microsoft și metodologiile RiskWatch sunt preferate pentru utilizare în companii mari, unde se preconizează introducerea managementului riscului de securitate a informațiilor pe baza unor evaluări periodice, la un nivel nu mai mic decât cel organizațional, și se impune elaborarea unui plan de acțiune rezonabil pentru reducerea acestora.

GOST R ISO/IEC 27003-2012. Tehnologia de informație. Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor. Orientări pentru implementarea unui sistem de management al securității informațiilor.

  • GOST R ISO/IEC 13335-1-2006. Tehnologia de informație. Metode și mijloace de asigurare a securității. Partea 1. Concept și modele de management al securității tehnologiilor informației și telecomunicațiilor.
  • Baranova E.K. Metode și software de evaluare a riscurilor în domeniul securității informațiilor // Managementul riscurilor. - 2009. - Nr. 1(49). - P. 15-26.
  • Baranova E.K. Metode pentru analiza și evaluarea riscurilor de securitate a informațiilor // Buletinul Universității din Moscova. S.Yu. Witte. Episodul 3: Resurse educaționaleși tehnologie. - 2015. - Nr. 1(9). - pp. 73-79.