Thực đơn
trang chủTiểu sử

Quản lý rủi ro an ninh. Làm thế nào để đặt mục tiêu bảo mật thông tin? Bảo mật thông tin bị vi phạm như thế nào bởi các phương pháp gây ảnh hưởng kỹ thuật

Khi triển khai hệ thống quản lý bảo mật thông tin (ISMS) trong một tổ chức, một trong những điểm vấp ngã chính thường là hệ thống quản lý rủi ro. Các cuộc thảo luận về quản lý rủi ro an ninh thông tin cũng giống như vấn đề UFO. Một mặt, dường như không có ai xung quanh nhìn thấy điều này và bản thân sự kiện này dường như khó xảy ra, mặt khác có rất nhiều bằng chứng, hàng trăm cuốn sách đã được viết, thậm chí còn có những cuốn sách tương ứng. ngành khoa học và các hiệp hội chuyên gia tham gia vào quá trình nghiên cứu này, và như thường lệ, các cơ quan tình báo có kiến ​​thức bí mật đặc biệt trong lĩnh vực này.

Alexander Astakhov, CISA, 2006

Giới thiệu

Không có sự đồng thuận giữa các chuyên gia bảo mật thông tin về các vấn đề quản lý rủi ro. Ai đó phủ nhận các phương pháp đánh giá rủi ro định lượng, ai đó phủ nhận các phương pháp định tính, ai đó thường phủ nhận tính khả thi và khả năng đánh giá rủi ro, ai đó cáo buộc ban quản lý của tổ chức không nhận thức đầy đủ về tầm quan trọng của các vấn đề an toàn hoặc phàn nàn về những khó khăn liên quan đến việc đạt được mục tiêu đánh giá giá trị của một số tài sản nhất định, chẳng hạn như danh tiếng của tổ chức. Những người khác, không nhìn thấy khả năng biện minh cho chi phí an toàn, đề xuất coi đây như một loại quy trình vệ sinh và chi càng nhiều tiền cho quy trình này càng không đáng tiếc, hoặc số tiền còn lại trong ngân sách.

Dù có ý kiến ​​gì về vấn đề quản lý rủi ro an toàn thông tin và cho dù chúng ta xử lý những rủi ro này như thế nào đi chăng nữa thì có một điều rõ ràng là trong vấn đề này là bản chất của hoạt động nhiều mặt của các chuyên gia bảo mật thông tin, kết nối trực tiếp nó với hoạt động kinh doanh, mang lại cho nó ý nghĩa và tính thiết thực hợp lý. Bài viết này phác thảo một cách tiếp cận khả thi để quản lý rủi ro và trả lời câu hỏi tại sao các tổ chức khác nhau lại xem và quản lý rủi ro bảo mật thông tin một cách khác nhau.

Tài sản cố định và phụ trợ

Khi nói về rủi ro kinh doanh, chúng tôi muốn nói đến khả năng chịu thiệt hại nhất định với một xác suất nhất định. Đây có thể là thiệt hại vật chất trực tiếp hoặc thiệt hại gián tiếp, chẳng hạn như thiệt hại về lợi nhuận bị mất cho đến khi phải rời bỏ hoạt động kinh doanh, vì nếu rủi ro không được quản lý thì hoạt động kinh doanh có thể bị thua lỗ.

Trên thực tế, bản chất của vấn đề là tổ chức có và sử dụng một số loại nguồn lực chính để đạt được kết quả hoạt động của mình (mục tiêu kinh doanh) (sau đây chúng ta sẽ sử dụng khái niệm tài sản liên quan trực tiếp đến hoạt động kinh doanh). Tài sản là bất cứ thứ gì có giá trị cho một tổ chức và tạo ra thu nhập cho tổ chức đó (nói cách khác, nó là thứ tạo ra dòng tài chính tích cực hoặc tiết kiệm tiền)

Có tài sản vật chất, tài chính, con người và thông tin. Các tiêu chuẩn quốc tế hiện đại cũng xác định một loại tài sản khác – quy trình. Quy trình là một tài sản tổng hợp vận hành tất cả các tài sản khác của công ty để đạt được mục tiêu kinh doanh. Hình ảnh và danh tiếng của công ty cũng được coi là một trong những tài sản quan trọng nhất. Những cái này tài sản quan trọngđối với bất kỳ tổ chức nào, không gì khác hơn là một loại tài sản thông tin đặc biệt, vì hình ảnh và danh tiếng của một công ty không gì khác hơn là nội dung thông tin mở và được phổ biến rộng rãi về nó. Bảo mật thông tin giải quyết các vấn đề về hình ảnh cũng như các vấn đề về bảo mật của tổ chức, cũng như rò rỉ thông tin bí mậtảnh hưởng cực kỳ tiêu cực đến hình ảnh.

Kết quả kinh doanh bị ảnh hưởng bởi nhiều yếu tố bên ngoài và các yếu tố nội bộ thuộc loại rủi ro. Ảnh hưởng này được thể hiện dưới dạng tác động tiêu cực đến một hoặc đồng thời một số nhóm tài sản của tổ chức. Ví dụ: lỗi máy chủ ảnh hưởng đến tính khả dụng của thông tin và ứng dụng được lưu trữ trên đó và việc sửa chữa máy chủ sẽ làm tiêu tốn nguồn nhân lực, tạo ra sự thiếu hụt khu vực nhất định làm việc và gây ra tình trạng vô tổ chức trong quy trình kinh doanh, đồng thời việc tạm thời không cung cấp dịch vụ khách hàng có thể ảnh hưởng tiêu cực đến hình ảnh của công ty.

Theo định nghĩa, tất cả các loại tài sản đều quan trọng đối với một tổ chức. Tuy nhiên, mọi tổ chức đều có tài sản quan trọng cốt lõi và tài sản hỗ trợ. Rất dễ dàng để xác định tài sản nào là tài sản chính, bởi vì... Đây là những tài sản mà hoạt động kinh doanh của tổ chức được xây dựng xung quanh. Vì vậy, hoạt động kinh doanh của một tổ chức có thể dựa trên việc sở hữu và sử dụng Tài sản hữu hình(ví dụ đất đai, bất động sản, thiết bị, khoáng sản), một doanh nghiệp cũng có thể được xây dựng trên cơ sở quản lý tài sản tài chính (hoạt động tín dụng, bảo hiểm, đầu tư), một doanh nghiệp có thể dựa trên năng lực và quyền hạn của các chuyên gia cụ thể (tư vấn kiểm toán, đào tạo, các ngành công nghệ cao và thâm dụng tri thức) hoặc một doanh nghiệp có thể xoay quanh tài sản thông tin (phát triển phần mềm, sản phẩm thông tin, thương mại điện tử, kinh doanh trên Internet). Rủi ro về tài sản cố định gây ra tổn thất kinh doanh và những tổn thất không thể khắc phục cho tổ chức, do đó, sự chú ý của chủ doanh nghiệp chủ yếu tập trung vào những rủi ro này và ban quản lý của tổ chức sẽ giải quyết chúng một cách cá nhân. Rủi ro đối với tài sản hỗ trợ thường dẫn đến thiệt hại có thể phục hồi được và không phải là ưu tiên chính trong hệ thống quản lý của tổ chức. Thông thường, những rủi ro đó được quản lý bởi những người được chỉ định đặc biệt hoặc những rủi ro này được chuyển cho bên thứ ba, ví dụ: người thuê ngoài hoặc công ty bảo hiểm. Đối với một tổ chức, đây là vấn đề về hiệu quả quản lý hơn là sự sống còn.

Các phương pháp tiếp cận hiện tại để quản lý rủi ro

Vì rủi ro bảo mật thông tin không phải là vấn đề chính đối với tất cả các tổ chức nên ba cách tiếp cận chính để quản lý những rủi ro này được thực hiện, khác nhau về độ sâu và mức độ hình thức.

Đối với các hệ thống không quan trọng, khi tài sản thông tin chỉ mang tính phụ trợ và mức độ thông tin hóa không cao, đặc trưng của hầu hết các công ty hiện đại của Nga, thì nhu cầu đánh giá rủi ro là tối thiểu. Trong các tổ chức như vậy, chúng ta nên nói về một số mức độ cơ bản về bảo mật thông tin, được xác định bởi các quy định và tiêu chuẩn hiện hành, các biện pháp thực hành tốt nhất, kinh nghiệm cũng như cách thức thực hiện điều này ở hầu hết các tổ chức khác. Tuy nhiên, các tiêu chuẩn hiện tại, mô tả một số bộ cơ bản Các yêu cầu và cơ chế bảo mật luôn quy định nhu cầu đánh giá rủi ro và tính khả thi về mặt kinh tế của việc sử dụng các cơ chế kiểm soát nhất định để chọn từ một bộ yêu cầu và cơ chế chung có thể áp dụng trong một tổ chức cụ thể.

Đối với các hệ thống quan trọng trong đó tài sản thông tin không phải là tài sản chính nhưng mức độ tin học hóa các quy trình kinh doanh rất cao và rủi ro thông tin có thể ảnh hưởng đáng kể đến các quy trình kinh doanh chính thì phải áp dụng đánh giá rủi ro, nhưng trong trong trường hợp này Nên hạn chế sử dụng các phương pháp tiếp cận định tính không chính thức để giải quyết vấn đề này, đặc biệt chú ý đến các hệ thống quan trọng nhất.

Khi hoạt động kinh doanh của một tổ chức được xây dựng dựa trên tài sản thông tin và rủi ro bảo mật thông tin là những rủi ro chính thì phải sử dụng cách tiếp cận chính thức và phương pháp định lượng để đánh giá những rủi ro này.

Ở nhiều công ty, một số loại tài sản có thể quan trọng cùng một lúc, chẳng hạn như khi hoạt động kinh doanh đa dạng hóa hoặc công ty tham gia vào việc tạo ra các sản phẩm thông tin và cả nguồn nhân lực và thông tin đều có thể quan trọng như nhau đối với nó. Trong trường hợp này, cách tiếp cận hợp lý là tiến hành đánh giá rủi ro ở cấp độ cao để xác định hệ thống nào có nguy cơ cao gặp rủi ro và hệ thống nào quan trọng đối với hoạt động kinh doanh, sau đó là đánh giá rủi ro chi tiết đối với các hệ thống đã xác định. Đối với tất cả các hệ thống không quan trọng khác, bạn nên hạn chế sử dụng cách tiếp cận cơ bản, đưa ra quyết định quản lý rủi ro dựa trên kinh nghiệm hiện có, ý kiến ​​chuyên gia và phương pháp thực hành tốt nhất.

Mức độ trưởng thành

Việc lựa chọn cách tiếp cận để đánh giá rủi ro trong một tổ chức, ngoài bản chất hoạt động kinh doanh và mức độ thông tin hóa của các quy trình kinh doanh, còn bị ảnh hưởng bởi mức độ trưởng thành của tổ chức đó. Quản lý rủi ro bảo mật thông tin là một nhiệm vụ kinh doanh do ban quản lý của tổ chức khởi xướng do nhận thức và mức độ nhận thức của họ về các vấn đề bảo mật thông tin, ý nghĩa của nó là bảo vệ doanh nghiệp khỏi các rủi ro thực sự. các mối đe dọa hiện có IB. Theo mức độ nhận thức, có thể theo dõi một số mức độ trưởng thành của các tổ chức, ở một mức độ nhất định tương quan với mức độ trưởng thành được xác định trong COBIT và các tiêu chuẩn khác:

  1. Ở cấp độ ban đầu, không có nhận thức như vậy; tổ chức thực hiện các biện pháp rời rạc để đảm bảo an ninh thông tin, do các chuyên gia CNTT tự chịu trách nhiệm khởi xướng và thực hiện.
  2. Ở cấp độ thứ hai, tổ chức xác định trách nhiệm về bảo mật thông tin; nỗ lực sử dụng các giải pháp tích hợp với quản lý tập trung và thực hiện các quy trình quản lý bảo mật thông tin riêng biệt.
  3. Cấp độ thứ ba được đặc trưng bởi việc áp dụng cách tiếp cận theo quy trình để quản lý an ninh thông tin được mô tả trong các tiêu chuẩn. Hệ thống quản lý an ninh thông tin trở nên quan trọng đối với tổ chức đến mức nó được coi là một thành phần cần thiết trong hệ thống quản lý của tổ chức. Tuy nhiên hệ thống đầy đủ Quản lý IS chưa tồn tại, bởi vì vắng mặt phần tử cơ sở của hệ thống này là các quy trình quản lý rủi ro.
  4. Các tổ chức có mức độ nhận thức cao nhất về các vấn đề an toàn thông tin được đặc trưng bởi việc sử dụng cách tiếp cận chính thức để quản lý rủi ro an toàn thông tin, được đặc trưng bởi sự hiện diện của các quy trình được ghi lại để lập kế hoạch, thực hiện, giám sát và cải tiến.

Mô hình quy trình quản lý rủi ro

Vào tháng 3 năm nay, tiêu chuẩn mới của Anh, BS 7799 Phần 3 – Hệ thống quản lý bảo mật thông tin – Thực hành quản lý rủi ro bảo mật thông tin, đã được thông qua. ISO hy vọng tài liệu này sẽ được phê duyệt thành Tiêu chuẩn quốc tế vào cuối năm 2007. BS 7799-3 xác định các quy trình quản lý và đánh giá rủi ro là một yếu tố không thể thiếu trong hệ thống quản lý của tổ chức, sử dụng mô hình quy trình giống như các tiêu chuẩn quản lý khác, bao gồm bốn nhóm quy trình: lập kế hoạch, thực hiện, xem xét, hành động (PDA), phản ánh tiêu chuẩn chu kỳ của bất kỳ quy trình quản lý nào. Trong khi ISO 27001 mô tả chu trình quản lý bảo mật tổng thể từ đầu đến cuối thì BS 7799-3 lại mở rộng nó sang các quy trình quản lý rủi ro bảo mật thông tin.

Trong hệ thống quản lý rủi ro an toàn thông tin, ở giai đoạn Lập kế hoạch, chính sách và phương pháp quản lý rủi ro được xác định và đánh giá rủi ro được thực hiện, bao gồm kiểm kê tài sản, tổng hợp hồ sơ mối đe dọa và lỗ hổng, đánh giá hiệu quả của các biện pháp đối phó thiệt hại tiềm tàng và xác định mức rủi ro tồn dư có thể chấp nhận được.

Ở giai đoạn Thực hiện, các rủi ro được xử lý và các cơ chế kiểm soát được đưa ra để giảm thiểu chúng. Ban quản lý của tổ chức đưa ra một trong bốn quyết định đối với từng rủi ro được xác định: bỏ qua, tránh, chuyển giao cho bên ngoài hoặc giảm thiểu. Sau đó, một kế hoạch xử lý rủi ro được phát triển và thực hiện.

Ở giai đoạn Xác minh, chức năng của các cơ chế kiểm soát được giám sát, các thay đổi trong các yếu tố rủi ro (tài sản, mối đe dọa, lỗ hổng) được giám sát, kiểm toán được tiến hành và các thủ tục kiểm soát khác nhau được thực hiện.

Ở Giai đoạn hành động, dựa trên kết quả giám sát liên tục và kiểm toán liên tục, các hành động khắc phục cần thiết sẽ được thực hiện, đặc biệt có thể bao gồm việc đánh giá lại mức độ rủi ro, điều chỉnh chính sách và phương pháp quản lý rủi ro cũng như như kế hoạch xử lý rủi ro.

Các yếu tố rủi ro

Bản chất của bất kỳ phương pháp quản lý rủi ro nào là phân tích các yếu tố rủi ro và đưa ra quyết định thích hợp để xử lý rủi ro. Các yếu tố rủi ro là thông số chính mà chúng tôi sử dụng khi đánh giá rủi ro. Chỉ có bảy tham số như vậy:

  • Tài sản
  • Thiệt hại (Mất mát)
  • Mối đe dọa
  • Tính dễ bị tổn thương
  • Cơ chế điều khiển
  • Tổn thất trung bình hàng năm (ALE)
  • Lợi tức đầu tư (ROI)

Cách thức phân tích và đánh giá các thông số này được xác định bằng phương pháp đánh giá rủi ro được sử dụng trong tổ chức. Đồng thời, cách tiếp cận chung và mô hình lập luận gần như giống nhau, bất kể sử dụng phương pháp nào. Quá trình đánh giá rủi ro bao gồm hai giai đoạn. Trong giai đoạn đầu tiên, được định nghĩa trong các tiêu chuẩn là phân tích rủi ro, cần phải trả lời các câu hỏi sau:

  • Tài sản chính của công ty là gì?
  • Giá trị thực của tài sản này là bao nhiêu?
  • Những mối đe dọa tồn tại đối với tài sản này?
  • Hậu quả của những mối đe dọa này và thiệt hại cho doanh nghiệp là gì?
  • Những mối đe dọa này có khả năng xảy ra như thế nào?
  • Doanh nghiệp dễ bị tổn thương như thế nào trước những mối đe dọa này?
  • Mức lỗ trung bình hàng năm dự kiến ​​là bao nhiêu?

Trong giai đoạn thứ hai, được các tiêu chuẩn xác định là đánh giá rủi ro, cần phải trả lời câu hỏi: Mức độ rủi ro nào (lượng tổn thất trung bình hàng năm) được tổ chức chấp nhận và dựa trên đó, rủi ro nào vượt quá mức này. mức độ.

Do đó, dựa trên kết quả đánh giá rủi ro, chúng ta có được mô tả về những rủi ro vượt quá mức chấp nhận được và đánh giá về mức độ nghiêm trọng của những rủi ro này, được xác định bằng quy mô tổn thất trung bình hàng năm. Tiếp theo, bạn cần đưa ra quyết định về cách xử lý rủi ro, tức là. trả lời các câu hỏi sau:

  • Chúng ta chọn phương án xử lý rủi ro nào?
  • Nếu quyết định được đưa ra để giảm thiểu rủi ro thì nên sử dụng cơ chế kiểm soát nào?
  • Những biện pháp kiểm soát này có hiệu quả như thế nào và chúng sẽ mang lại lợi tức đầu tư như thế nào?

Ở lối ra quá trình này Một kế hoạch xử lý rủi ro xuất hiện, xác định cách xử lý rủi ro, chi phí cho các biện pháp đối phó, cũng như thời gian và trách nhiệm thực hiện các biện pháp đối phó.

Ra quyết định xử lý rủi ro

Đưa ra quyết định xử lý rủi ro là thời điểm then chốt và quan trọng nhất trong quá trình quản lý rủi ro. Để ban quản lý đưa ra quyết định đúng đắn, người chịu trách nhiệm quản lý rủi ro trong tổ chức phải cung cấp cho anh ta những thông tin liên quan. Hình thức trình bày thông tin đó được xác định bởi thuật toán giao tiếp kinh doanh tiêu chuẩn, bao gồm bốn điểm chính:

  • Báo cáo vấn đề: Mối đe dọa đối với doanh nghiệp là gì (nguồn, đối tượng, phương pháp thực hiện) và lý do tồn tại của nó là gì?
  • Mức độ nghiêm trọng của vấn đề: Điều này đe dọa tổ chức, ban quản lý và các cổ đông như thế nào?
  • Giải pháp đề xuất: Đề xuất phải làm gì để khắc phục tình trạng này, chi phí sẽ là bao nhiêu, ai nên thực hiện và yêu cầu trực tiếp từ ban quản lý là gì?
  • Giải pháp thay thế: Có những cách nào khác để giải quyết vấn đề (luôn có những giải pháp thay thế và ban quản lý nên có cơ hội lựa chọn).

Điểm 1 và 2 cũng như điểm 3 và 4 có thể thay thế cho nhau tùy theo tình huống cụ thể.

Phương pháp quản lý rủi ro

Có đủ số lượng các phương pháp quản lý và đánh giá rủi ro đã được chứng minh rõ ràng và được sử dụng rộng rãi. Một phương pháp như vậy là OCTAVE, được phát triển tại Đại học Carnegie Melon để sử dụng nội bộ trong các tổ chức. OCTAVE – Đánh giá mối đe dọa nghiêm trọng trong hoạt động, tài sản và lỗ hổng bảo mật (Đánh giá mối đe dọa nghiêm trọng trong hoạt động, tài sản và lỗ hổng bảo mật) có một số sửa đổi được thiết kế cho các tổ chức kích cỡ khác nhau và các lĩnh vực hoạt động. Bản chất của phương pháp này là sử dụng một chuỗi các hội thảo nội bộ được tổ chức phù hợp để đánh giá rủi ro. Đánh giá rủi ro được thực hiện theo ba giai đoạn, trước đó là một loạt các hoạt động chuẩn bị, bao gồm thống nhất về lịch trình hội thảo, phân công vai trò, lập kế hoạch và điều phối hành động của các thành viên trong nhóm dự án.

Ở giai đoạn đầu tiên, trong các hội thảo thực tế, hồ sơ mối đe dọa được phát triển, bao gồm kiểm kê và đánh giá giá trị tài sản, xác định các yêu cầu pháp lý và quy định hiện hành, xác định các mối đe dọa và đánh giá khả năng xảy ra của chúng, cũng như xác định hệ thống quản lý. biện pháp tổ chức duy trì chế độ an toàn thông tin.

Ở giai đoạn thứ hai, phân tích kỹ thuật về các lỗ hổng được thực hiện hệ thông thông tin các tổ chức liên quan đến các mối đe dọa, có hồ sơ được phát triển ở giai đoạn trước, bao gồm việc xác định các lỗ hổng hiện có trong hệ thống thông tin của tổ chức và đánh giá mức độ nghiêm trọng của chúng.

Ở giai đoạn thứ ba, rủi ro bảo mật thông tin được đánh giá và xử lý, bao gồm việc xác định mức độ và khả năng gây thiệt hại do các mối đe dọa bảo mật sử dụng các lỗ hổng bảo mật đã được xác định ở các giai đoạn trước, xác định chiến lược bảo vệ cũng như lựa chọn các phương án và ra quyết định xử lý rủi ro. Mức độ rủi ro được xác định là tổn thất trung bình hàng năm của tổ chức do việc thực hiện các mối đe dọa an ninh.

Một cách tiếp cận tương tự được sử dụng trong phương pháp đánh giá rủi ro CRAMM nổi tiếng, được phát triển một thời theo lệnh của chính phủ Anh. Phương pháp đánh giá rủi ro chính của CRAMM là thông qua các cuộc phỏng vấn được lên kế hoạch cẩn thận bằng bảng câu hỏi chi tiết. CRAMM được sử dụng ở hàng nghìn tổ chức trên khắp thế giới, nhờ vào sự sẵn có của các công cụ phần mềm phát triển cao chứa nền tảng kiến ​​thức về rủi ro và cơ chế giảm thiểu chúng, các công cụ thu thập thông tin, tạo báo cáo và triển khai các thuật toán để tính toán mức độ rủi ro.

Không giống như phương pháp OCTAVE, CRAMM sử dụng một chuỗi hành động và phương pháp hơi khác một chút để xác định mức độ rủi ro. Đầu tiên, tính khả thi của việc đánh giá rủi ro nói chung được xác định và nếu hệ thống thông tin của tổ chức không đủ quan trọng thì một bộ cơ chế kiểm soát tiêu chuẩn được mô tả trong tiêu chuẩn quốc tế và có trong cơ sở tri thức CRAMM sẽ được áp dụng cho hệ thống đó.

Ở giai đoạn đầu tiên, phương pháp CRAMM xây dựng mô hình tài nguyên hệ thống thông tin mô tả mối quan hệ giữa thông tin, phần mềm và tài nguyên kỹ thuật, đồng thời đánh giá giá trị của tài nguyên dựa trên thiệt hại có thể xảy ra mà tổ chức có thể phải chịu do sự xâm phạm của chúng. .

Ở giai đoạn thứ hai, đánh giá rủi ro được thực hiện, bao gồm xác định và đánh giá khả năng xảy ra các mối đe dọa, đánh giá mức độ nghiêm trọng của lỗ hổng và tính toán rủi ro cho từng bộ ba: tài nguyên - mối đe dọa - lỗ hổng. CRAMM đánh giá rủi ro “thuần túy”, bất kể cơ chế kiểm soát được triển khai trong hệ thống. Ở giai đoạn đánh giá rủi ro, giả định rằng không có biện pháp đối phó nào được áp dụng và một tập hợp các biện pháp đối phó được khuyến nghị để giảm thiểu rủi ro được hình thành dựa trên giả định này.

TRÊN Giai đoạn cuối cùng Bộ công cụ CRAMM tạo ra một tập hợp các biện pháp đối phó để giảm thiểu rủi ro đã xác định và so sánh các biện pháp đối phó được đề xuất và hiện có, sau đó lập kế hoạch xử lý rủi ro.

Bộ công cụ quản lý rủi ro

Trong quá trình đánh giá rủi ro, chúng tôi trải qua một số giai đoạn liên tiếp, định kỳ quay lại các giai đoạn trước đó, chẳng hạn như đánh giá lại một rủi ro nhất định sau khi chọn một biện pháp đối phó cụ thể để giảm thiểu rủi ro đó. Ở mỗi giai đoạn, cần phải có sẵn bảng câu hỏi, danh sách các mối đe dọa và lỗ hổng, sổ đăng ký tài nguyên và rủi ro, tài liệu, biên bản cuộc họp, tiêu chuẩn và hướng dẫn. Về vấn đề này, chúng ta cần một số loại thuật toán, cơ sở dữ liệu và giao diện được lập trình để làm việc với những dữ liệu khác nhau này.

Để quản lý rủi ro bảo mật thông tin, bạn có thể sử dụng các công cụ, chẳng hạn như trong phương pháp CRAMM hoặc RA2 (hiển thị trong hình), nhưng điều này không bắt buộc. Tiêu chuẩn BS 7799-3 cũng nói lên điều tương tự. Tính hữu ích của việc sử dụng bộ công cụ này có thể nằm ở chỗ nó chứa một thuật toán được lập trình cho quy trình đánh giá rủi ro và quản lý rủi ro, giúp đơn giản hóa công việc đối với một chuyên gia thiếu kinh nghiệm.

Việc sử dụng các công cụ cho phép bạn thống nhất phương pháp luận và đơn giản hóa việc sử dụng kết quả để đánh giá lại rủi ro, ngay cả khi việc đó được thực hiện bởi các chuyên gia khác. Nhờ sử dụng các công cụ, có thể hợp lý hóa việc lưu trữ dữ liệu và làm việc với các mô hình tài nguyên, hồ sơ mối đe dọa, danh sách các lỗ hổng và rủi ro.

Ngoài bản thân các công cụ quản lý và đánh giá rủi ro, các công cụ phần mềm còn có thể chứa các công cụ bổ sung để ghi lại ISMS, phân tích sự khác biệt với các yêu cầu tiêu chuẩn, phát triển sổ đăng ký tài nguyên cũng như các công cụ khác cần thiết cho việc triển khai và vận hành ISMS.

kết luận

Việc lựa chọn các phương pháp tiếp cận định tính hoặc định lượng để đánh giá rủi ro được xác định bởi tính chất hoạt động kinh doanh của tổ chức và mức độ thông tin hóa của tổ chức, tức là. tầm quan trọng của tài sản thông tin đối với anh ta, cũng như mức độ trưởng thành của tổ chức.

Khi thực hiện cách tiếp cận chính thức để quản lý rủi ro trong một tổ chức, cần phải dựa chủ yếu vào nhận thức chung, các tiêu chuẩn hiện có (ví dụ BS 7799-3) và các phương pháp đã được thiết lập tốt (ví dụ OCTAVE hoặc CRAMM). Có thể hữu ích nếu sử dụng các công cụ phần mềm cho những mục đích này để triển khai các phương pháp thích hợp và đáp ứng các yêu cầu của tiêu chuẩn ở mức tối đa có thể (ví dụ: RA2).

Hiệu quả của quy trình quản lý rủi ro an toàn thông tin được xác định bởi tính chính xác và đầy đủ của việc phân tích và đánh giá các yếu tố rủi ro, cũng như hiệu quả của các cơ chế được sử dụng trong tổ chức để đưa ra quyết định quản lý và giám sát việc thực hiện chúng.

Liên kết

  • Astakhov A.M., “Lịch sử tiêu chuẩn BS 7799”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
  • Astakhov A.M., “Làm thế nào để xây dựng và chứng nhận hệ thống quản lý bảo mật thông tin?”,

Một trong những khía cạnh quan trọng nhất của việc thực hiện chính sách bảo mật thông tin là phân tích các mối đe dọa, đánh giá độ tin cậy của chúng và mức độ nghiêm trọng của các hậu quả có thể xảy ra. Trong thực tế, rủi ro xuất hiện khi có khả năng xảy ra mối đe dọa và mức độ rủi ro tỷ lệ thuận với mức độ xác suất này (Hình 4.11).

Bản chất của hoạt động quản lý rủi ro là đánh giá quy mô, xây dựng các biện pháp giảm thiểu và tạo ra cơ chế đảm bảo rủi ro tồn dư không vượt quá giới hạn chấp nhận được. Vì vậy, quản lý rủi ro bao gồm hai hoạt động: đánh giá rủi ro và lựa chọn các cơ chế quản lý và bảo vệ hiệu quả và tiết kiệm chi phí. Quá trình quản lý rủi ro có thể được chia thành các giai đoạn sau [Galatenko V. A., 2006]:

  • xác định tài sản, giá trị tài nguyên cần bảo vệ;
  • lựa chọn các đối tượng được phân tích và mức độ chi tiết của việc xem xét chúng;
  • phân tích các mối đe dọa và hậu quả của chúng, xác định các điểm yếu trong việc bảo vệ;
  • phân loại rủi ro, lựa chọn phương pháp và đánh giá rủi ro;
  • lựa chọn, thực hiện và thử nghiệm các biện pháp bảo vệ;
  • đánh giá rủi ro tồn dư.

Cơm. 4.11. Sự không chắc chắn là cơ sở hình thành rủi ro

Chính sách bảo mật thông tin bao gồm việc phát triển chiến lược quản lý rủi ro của các loại khác nhau.

Một danh sách ngắn các mối đe dọa phổ biến nhất đã được đưa ra ở trên (xem điều 17.2). Bạn nên xác định không chỉ bản thân các mối đe dọa mà còn cả nguồn gốc xuất hiện của chúng - điều này sẽ giúp đánh giá chính xác rủi ro và lựa chọn các biện pháp vô hiệu hóa thích hợp. Ví dụ: đăng nhập vào hệ thống một cách bất hợp pháp sẽ làm tăng nguy cơ đoán mật khẩu hoặc người dùng hoặc thiết bị trái phép kết nối vào mạng.

Rõ ràng là để chống lại từng phương thức xâm nhập trái phép cần có cơ chế bảo mật riêng. Sau khi xác định được mối đe dọa, cần đánh giá khả năng thực hiện mối đe dọa đó và mức độ thiệt hại tiềm ẩn.

Khi đánh giá mức độ nghiêm trọng của thiệt hại, cần lưu ý không chỉ chi phí trước mắt của việc thay thế thiết bị hoặc khôi phục thông tin mà còn cả những chi phí xa hơn, đặc biệt là làm suy yếu danh tiếng của công ty, làm suy yếu vị thế của công ty trên thị trường, v.v.

Sau khi xác định và phân tích các mối đe dọa cũng như hậu quả có thể xảy ra của chúng, có một số cách tiếp cận quản lý: đánh giá rủi ro, giảm thiểu rủi ro, tránh rủi ro, thay đổi bản chất rủi ro, chấp nhận rủi ro, xây dựng các biện pháp khắc phục (Hình 4.12).

Cơm. 4.12. Khung quản lý rủi ro

Khi xác định tài sản và nguồn thông tin—những giá trị cần được bảo vệ—người ta không chỉ nên xem xét các thành phần của hệ thống thông tin mà còn cả cơ sở hạ tầng hỗ trợ, nhân sự và tài sản vô hình, bao gồm xếp hạng hiện tại và danh tiếng của công ty . Tuy nhiên, một trong những kết quả chính của quá trình xác định tài sản là thu được thông tin chi tiết cấu trúc thông tin tổ chức và cách sử dụng nó.


Việc lựa chọn các đối tượng được phân tích và mức độ chi tiết của việc xem xét chúng là bước tiếp theo trong đánh giá rủi ro. Đối với một tổ chức nhỏ, có thể chấp nhận việc xem xét toàn bộ cơ sở hạ tầng thông tin, đối với dịch vụ lớn, bạn nên tập trung vào các dịch vụ quan trọng (quan trọng) nhất. Nếu như dịch vụ quan trọng nhiều, thì những người đó được chọn có rủi ro rõ ràng là cao hoặc chưa được biết đến. Nếu cơ sở thông tin của tổ chức là mạng cục bộ thì số lượng đối tượng phần cứng sẽ bao gồm máy tính, thiết bị ngoại vi, giao diện bên ngoài, quản lý cáp và thiết bị mạng hoạt động.

Đối tượng phần mềm bao gồm hệ điều hành (mạng, máy chủ và máy khách), ứng dụng phần mềm, công cụ, chương trình để quản lý mạng và các hệ thống con riêng lẻ. Điều quan trọng là phải ghi lại phần mềm được lưu trữ ở các nút mạng nào, ở đâu và như thế nào. Loại thứ ba đối tượng thông tin là dữ liệu được lưu trữ, xử lý và truyền qua mạng. Dữ liệu phải được phân loại theo loại và mức độ bảo mật, nơi nó được lưu trữ và xử lý cũng như cách truy cập dữ liệu đó phải được xác định. Tất cả điều này rất quan trọng để đánh giá rủi ro và hậu quả của việc vi phạm an ninh thông tin.

Đánh giá rủi ro được thực hiện trên cơ sở dữ liệu ban đầu được tích lũy và đánh giá mức độ chắc chắn của các mối đe dọa. Hoàn toàn có thể chấp nhận được khi sử dụng một phương pháp đơn giản như nhân xác suất xảy ra mối đe dọa với mức độ thiệt hại dự kiến. Nếu chúng ta sử dụng thang điểm ba điểm cho xác suất và thiệt hại thì sẽ có sáu sản phẩm có thể xảy ra: 1, 2, 3, 4, 6 và 9. Hai kết quả đầu tiên có thể được phân loại là rủi ro thấp, kết quả thứ ba và thứ tư - như trung bình và hai cái cuối cùng - cao. Thang đo này có thể được sử dụng để đánh giá khả năng chấp nhận rủi ro.

Nếu phát hiện bất kỳ rủi ro nào ở mức cao không thể chấp nhận được thì phải thực hiện các biện pháp bảo vệ bổ sung. Một số cơ chế bảo mật hiệu quả và không tốn kém có thể được sử dụng để loại bỏ hoặc giảm bớt điểm yếu khiến mối đe dọa nguy hiểm trở thành hiện thực. Ví dụ: nếu có nguy cơ đăng nhập bất hợp pháp cao, bạn có thể nhập mật khẩu dài, sử dụng chương trình tạo mật khẩu hoặc mua hệ thống xác thực dựa trên thẻ thông minh tích hợp. Nếu có khả năng cố ý gây thiệt hại cho máy chủ cho nhiều mục đích khác nhau, có thể gây ra hậu quả nghiêm trọng, bạn có thể hạn chế quyền truy cập vật lý của nhân viên vào phòng máy chủ và tăng cường bảo mật cho họ.

Công nghệ đánh giá rủi ro phải kết hợp các thước đo hình thức và hình thành các chỉ số định lượng thực tế để đánh giá. Với sự giúp đỡ của họ, cần phải trả lời hai câu hỏi: những rủi ro hiện tại có thể chấp nhận được không, và nếu không, thì sử dụng thiết bị bảo hộ nào sẽ mang lại lợi ích kinh tế.

Cơm. 4.13. Khung đánh giá và giảm thiểu rủi ro

Phương pháp giảm thiểu rủi ro. Nhiều rủi ro có thể được giảm thiểu đáng kể bằng cách sử dụng các biện pháp đối phó đơn giản và không tốn kém. Ví dụ: kiểm soát truy cập có thẩm quyền (được quy định) giúp giảm nguy cơ xâm nhập trái phép. Có thể tránh được một số loại rủi ro - di chuyển máy chủ Web của tổ chức ra ngoài mạng cục bộ sẽ tránh được nguy cơ truy cập trái phép vào mạng nội bộ từ các máy khách Web. Một số rủi ro không thể giảm xuống giá trị nhỏ, nhưng sau khi thực hiện một bộ biện pháp đối phó tiêu chuẩn, chúng có thể được chấp nhận, liên tục theo dõi rủi ro tồn dư (Hình 4.13).

Việc đánh giá chi phí của các biện pháp bảo vệ cần tính đến không chỉ chi phí trực tiếp của việc mua thiết bị và/hoặc phần mềm mà còn cả chi phí giới thiệu sản phẩm mới, đào tạo và đào tạo lại nhân sự. Chi phí này có thể được thể hiện ở một mức độ nào đó và sau đó so sánh với sự khác biệt giữa rủi ro được tính toán và rủi ro có thể chấp nhận được. Nếu theo chỉ số này, biện pháp khắc phục mang lại lợi nhuận kinh tế thì có thể được chấp nhận để xem xét thêm.

Cơm. 4.14. Quy trình quản lý rủi ro lặp đi lặp lại

Kiểm soát rủi ro tồn đọng nhất thiết phải nằm trong quy trình kiểm soát hệ thống an toàn thông tin hiện nay. Khi các biện pháp theo kế hoạch đã được thực hiện, cần phải kiểm tra tính hiệu quả của chúng - để đảm bảo rằng các rủi ro tồn tại ở mức có thể chấp nhận được. Trong trường hợp rủi ro tồn đọng gia tăng một cách có hệ thống, cần phải phân tích những sai sót đã mắc phải và ngay lập tức có biện pháp khắc phục.

Quản lý rủi ro là một quá trình lặp đi lặp lại nhiều giai đoạn (Hình 4.14).

Hầu như tất cả các giai đoạn của nó đều được kết nối với nhau và sau khi hoàn thành hầu hết mọi giai đoạn trong số đó, nhu cầu quay lại giai đoạn trước có thể trở nên rõ ràng. Do đó, khi xác định tài sản, có thể nảy sinh hiểu biết rằng ranh giới phân tích đã chọn cần được mở rộng và mức độ chi tiết tăng lên. Phân tích sơ cấp đặc biệt khó khăn khi nhiều lần quay lại từ đầu là không thể tránh khỏi. Quản lý rủi ro là một vấn đề tối ưu hóa điển hình; khó khăn cơ bản nằm ở việc xây dựng nó ở cấp quản lý cấp cao, sự kết hợp giữa các phương pháp tối ưu và mô tả dữ liệu ban đầu (Hình 4.15).

Cơm. 4.15. Hình thành hoạt động quản lý rủi ro CNTT

Các phương pháp đánh giá rủi ro và quản lý rủi ro đã trở thành một phần không thể thiếu trong các hoạt động trong lĩnh vực Kinh doanh liên tục và An ninh thông tin. Chương trình triển khai bảo mật thông tin và các bộ chính sách dựa trên một tập hợp các hành động và các bước thực hành(Hình 4.16-Hình 4.19).

Cơm. 4.16. Tập hợp các hành động mang tính hệ thống và các bước thực tế (1)

Cơm. 4.17. Tập hợp các hành động mang tính hệ thống và các bước thực tế (2)

Cơm. 4.18. Tập hợp các hành động mang tính hệ thống và các bước thực tế (3)

Cơm. 4.19. Tập hợp các hành động mang tính hệ thống và các bước thực tế (4)

Hơn chục tiêu chuẩn và thông số kỹ thuật quốc tế khác nhau đã được soạn thảo và sử dụng tích cực, quy định chi tiết các quy trình quản lý rủi ro thông tin: ISO 15408: 1999 (“Tiêu chí chung để biết thông tinĐánh giá An ninh Công nghệ"), ISO 17799:2002 ("Quy tắc Thực hành Quản lý An ninh Thông tin"), NIST 80030, SAS 78/94, COBIT.

Phương pháp và công cụ của RA Software Tool dựa trên các yêu cầu của tiêu chuẩn quốc tế ISO 17999 và ISO 13335 (phần 3 và 4), cũng như các yêu cầu của Chính phủ Anh. viện quốc gia tiêu chuẩn (BSI) - PD 3002 ("Hướng dẫn đánh giá và quản lý rủi ro"), PD 3003 ("Đánh giá mức độ sẵn sàng kiểm toán của công ty theo BS 7799"), PD 3005 ("Hướng dẫn lựa chọn hệ thống bảo mật") .

Trong thực tế, các kỹ thuật quản lý rủi ro như vậy cho phép bạn:

  • tạo ra các mô hình tài sản thông tin của công ty từ quan điểm bảo mật;
  • phân loại, đánh giá giá trị tài sản;
  • biên soạn danh sách các mối đe dọa và lỗ hổng bảo mật quan trọng nhất;
  • xếp hạng các mối đe dọa và lỗ hổng bảo mật;
  • đánh giá và quản lý rủi ro;
  • xây dựng các biện pháp khắc phục;
  • biện minh cho các phương tiện và biện pháp kiểm soát rủi ro;
  • đánh giá hiệu quả/chi phí Các tùy chọn khác nhau sự bảo vệ;
  • chính thức hóa và tự động hóa các thủ tục đánh giá và quản lý rủi ro.

Quản lý rủi ro bao gồm một số giai đoạn quan trọng, nhất thiết phải có trong công việc đã lên kế hoạch để đảm bảo an ninh thông tin (Hình 4.20).

Áp dụng thích hợp phần mềm cho phép bạn giảm cường độ lao động của việc phân tích rủi ro và lựa chọn các biện pháp đối phó. Hiện tại, hơn chục sản phẩm phần mềm đã được phát triển để phân tích và quản lý rủi ro ở mức độ bảo mật cơ bản. Một ví dụ là đủ biện pháp khắc phục đơn giản là gói phần mềm BSS (Baseline Security Survey, UK).

Các sản phẩm phần mềm cao cấp hơn: CRAMM (Insight Consulting Limited, UK), Risk Watch, COBRA (Mục tiêu tư vấn và Phân tích rủi ro hai chức năng), Buddy System. Phổ biến nhất trong số đó là CRAMM (Phương pháp quản lý và phân tích rủi ro phức tạp), thực hiện phương pháp phân tích và kiểm soát rủi ro. Ưu điểm đáng kể của phương pháp này là khả năng tiến hành nghiên cứu chi tiết trong thời gian ngắn với đầy đủ tài liệu về kết quả.

Cơm. 4,20. Các giai đoạn quản lý rủi ro

Các phương pháp như CRAMM dựa trên cách tiếp cận tổng hợp để đánh giá rủi ro, kết hợp các phương pháp phân tích định lượng và định tính. Phương pháp này phổ biến và phù hợp cho cả tổ chức lớn và nhỏ, cả khu vực chính phủ và thương mại.

ĐẾN điểm mạnh Phương pháp CRAMM bao gồm:

  • CRAMM là một phương pháp phân tích rủi ro có cấu trúc tốt và được thử nghiệm rộng rãi, mang lại kết quả thực tế;
  • Các công cụ phần mềm CRAMM có thể được sử dụng ở tất cả các giai đoạn của quá trình kiểm tra an ninh IS;
  • cốt lõi sản phẩm phần mềm có nền tảng kiến ​​thức khá lớn về các biện pháp đối phó trong lĩnh vực an toàn thông tin, dựa trên khuyến nghị của tiêu chuẩn BS 7799;
  • tính linh hoạt và linh hoạt của phương pháp CRAMM cho phép nó được sử dụng để kiểm tra IP ở mọi mức độ phức tạp và mục đích;
  • CRAMM có thể được sử dụng như một công cụ để phát triển kế hoạch kinh doanh liên tục và các chính sách bảo mật thông tin của tổ chức;
  • CRAMM có thể được sử dụng như một phương tiện ghi lại các cơ chế bảo mật IS.

Đối với các tổ chức thương mại có Hồ sơ thương mại đạt tiêu chuẩn bảo mật (Commercial Profile), dành cho tổ chức chính phủ – chính phủ (Government Profile). Phiên bản chính phủ của hồ sơ cũng cho phép bạn kiểm tra việc tuân thủ các yêu cầu của TCSEC tiêu chuẩn Hoa Kỳ ("Sách Cam").

Lịch sử đã nhiều lần chứng minh rằng sự ổn định, dù thoạt nhìn có vẻ lý tưởng và tốt đẹp đến đâu, cũng sẽ dẫn đến suy thoái. Không thể phát triển nếu không có rủi ro. Toàn bộ cuộc sống của chúng ta được tạo thành từ những xác suất, những đánh giá về khả năng và những quyết định dẫn đến thành công hay thất bại. Nhưng rất nhiều điều phụ thuộc vào chúng tôi. Cuộc nhảy dù sẽ kết thúc an toàn? Phụ thuộc vào việc nó có được đặt đúng cách hay không, liệu bạn có biết quy trình nhảy hay không, v.v. Rủi ro bây giờ có bằng không không? Không, nhưng thông qua hành động của mình, bạn đã có thể giảm thiểu nó một cách đáng kể. Ngoài những rủi ro cá nhân, còn có những rủi ro xã hội, công nghệ và nhiều rủi ro khác. Chúng tôi sẽ tập trung vào các rủi ro bảo mật thông tin và cách quản lý chúng.

Anton Makarychev
Trưởng phòng An toàn thông tin, Tập đoàn Compulink

Tiêu chuẩn quản lý rủi ro ISO 31000:2009 định nghĩa rủi ro là kết quả của sự không chắc chắn về mục tiêu, trong đó kết quả là sự sai lệch so với kết quả dự kiến ​​(tích cực hoặc tiêu cực) và sự không chắc chắn là tình trạng thiếu thông tin liên quan đến sự hiểu biết hoặc kiến ​​thức về một sự kiện, hậu quả hoặc xác suất của nó. Xét thấy rằng hầu hết các rủi ro không thể giảm thiểu được giá trị 0, việc quản lý của họ được đặt lên hàng đầu cả trên toàn cầu và địa phương. Thật không may, trong trường hợp hành động xảy ra trước khi phân tích (và đây chính xác là tình huống điển hình của nhiều công ty Nga), hiệu quả Các biện pháp được thực hiện cũng được để lại cho cơ hội. Nó giống như việc sử dụng cưa máy làm rìu mà không thèm đọc hướng dẫn sử dụng. Đó là lý do tại sao, trước khi thực hiện quản lý rủi ro bảo mật thông tin, bạn nên hiểu rõ những phát triển và tiêu chuẩn hiện có trong lĩnh vực này.


Từ chung đến cụ thể

Khi xem xét quản lý rủi ro thông qua trọng tâm bảo mật thông tin, việc hiểu rõ các tài liệu sau sẽ rất hữu ích:

  • tiêu chuẩn quốc tế ISO 31000:2009;
  • Ủy ban các tổ chức tài trợ của Khung quản lý rủi ro tổ chức của Ủy ban Treadway (COSO ERM);
  • tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh.

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được.

ISO 31000:2009 là tiêu chuẩn quốc tế cơ bản về quản lý rủi ro cho các tổ chức và cung cấp các định nghĩa và nguyên tắc cơ bản hướng dẫn tổ chức khi tổ chức quyết định triển khai hệ thống quản lý rủi ro. Tài liệu này có thể được sử dụng làm hướng dẫn cho các bước đầu tiên vì nó mô tả chính xác việc quản lý rủi ro, tức là kiến ​​trúc.

Hơn hướng dẫn chi tiếtđược bao gồm trong Khung quản lý rủi ro tổ chức của Ủy ban các tổ chức tài trợ của Ủy ban Treadway. Đặc biệt, ngoài bản thân tài liệu, các tài liệu bổ sung do Ủy ban COSO ban hành đều mang lại lợi ích thiết thực:

  • Đánh giá rủi ro ERM trong thực tế (thực hành tiến hành đánh giá rủi ro trong hệ thống quản lý rủi ro);
  • Quản lý rủi ro doanh nghiệp cho C
  • oud Computing (quản lý rủi ro cho hệ thống điện toán đám mây);
  • Quản lý rủi ro doanh nghiệp – ​​Hiểu và truyền đạt khẩu vị rủi ro (hiểu và truyền đạt khẩu vị rủi ro trong hệ thống quản lý rủi ro);
  • Nắm bắt quản lý rủi ro doanh nghiệp: Thực hành
  • Các phương pháp tiếp cận để bắt đầu (các phương pháp thực tế để bắt đầu triển khai hệ thống quản lý rủi ro), v.v.

Mục tiêu của họ là tiết lộ chi tiết tất cả các khía cạnh được nêu trong khuôn khổ khái niệm, điều này cuối cùng giúp đưa các nguyên tắc được mô tả vào cơ sở thực tế.

Tuy nhiên, điều đáng nói là một sắc thái quan trọng có thể dẫn đến một số nhầm lẫn khi cố gắng kết hợp các tiêu chuẩn được mô tả ở trên - sự khác biệt trong định nghĩa. Ví dụ, định nghĩa về “rủi ro” trong tiêu chuẩn ISO là xác suất xảy ra cả hậu quả tích cực và tiêu cực, trong tiêu chuẩn COSO nó chỉ là xác suất xảy ra hậu quả tiêu cực, đối với hậu quả tích cực thì có một thuật ngữ riêng - cơ hội. Tuy nhiên, với sự phát triển lâu dài của tiêu chuẩn, nó xứng đáng nhận được sự quan tâm sâu sắc nhất.

Một tài liệu hữu ích khác là tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh. Sử dụng thuật ngữ ISO làm cơ sở, tiêu chuẩn này tiết lộ quy trình quản lý rủi ro chi tiết hơn (Hình 2).


Nó sẽ cực kỳ hữu ích cho các doanh nghiệp vừa và nhỏ vì nó có thể hoạt động như một tài liệu duy nhất để thực hiện. hệ thống chất lượng quản lý rủi ro.

Vì vậy, trước khi chuyển sang các vấn đề cụ thể về quản lý rủi ro an toàn thông tin, chúng ta có thể rút ra kết luận trung gian về các tiêu chuẩn được xem xét:

  • ISO 31000:2009 phù hợp làm cơ sở cho mọi tổ chức;
  • AIRMIC được định hướng thực hành và phù hợp làm tài liệu cốt lõi cho các doanh nghiệp vừa và nhỏ, đồng thời là điểm khởi đầu cho các công ty lớn;
  • COSO ERM đóng vai trò là tài liệu chính để triển khai thực tế hệ thống quản lý rủi ro trong bất kỳ tổ chức nào, nhưng ban đầu hướng tới các doanh nghiệp lớn.

Quản lý rủi ro an ninh thông tin

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được. Tính khả dụng của trung tâm dữ liệu được đo bằng năm và sáu chín, và những lỗi trong hệ thống thông tin của các công ty lớn trở thành tin tức toàn cầu.

Do đó, các tổ chức đang thành lập các bộ phận riêng biệt về bảo mật thông tin và rủi ro CNTT, có nhiệm vụ xác định và quản lý rủi ro trong lĩnh vực này.


Cầu tạo ra cung. Như vậy, tổ chức quốc tế ISO đã ban hành tiêu chuẩn quản lý rủi ro an toàn thông tin trong một tổ chức – ISO 27005:2008 “Công nghệ thông tin - kỹ thuật bảo mật - quản lý rủi ro an toàn thông tin”. Tuy nhiên, bên cạnh đó còn có những tài liệu khác cũng hữu ích không kém, ví dụ:

  • môi trường làm việc để quản lý rủi ro CNTT (Khung công nghệ thông tin rủi ro) và hướng dẫn sử dụng rủi ro CNTT (Hướng dẫn người thực hành công nghệ thông tin rủi ro), dựa trên tiêu chuẩn Cobit của tổ chức ISACA;
  • phương pháp quản lý rủi ro hệ thống thông tin của tác giả Ken Jaworski.

Chúng ta hãy xem xét từng người trong số họ chi tiết hơn.

ISO 27005:2008 định nghĩa rủi ro bảo mật thông tin là khả năng một mối đe dọa nhất định sẽ khai thác lỗ hổng của một tài sản hoặc một nhóm tài sản và do đó gây tổn hại cho tổ chức.

Theo tiêu chuẩn, quy trình quản lý rủi ro bảo mật thông tin cho phép bạn tổ chức những việc sau:

  • xác định rủi ro;
  • đánh giá rủi ro về mặt hậu quả kinh doanh và khả năng xảy ra của chúng;
  • truyền thông và nhận thức về khả năng xảy ra cũng như hậu quả của rủi ro;
  • thiết lập thứ tự ưu tiên xử lý rủi ro;
  • ưu tiên các hành động để giảm thiểu khả năng xảy ra rủi ro;
  • thu hút các bên liên quan tham gia vào quá trình ra quyết định quản lý rủi ro và truyền đạt tình trạng của quá trình quản lý rủi ro;
  • giám sát hiệu quả xử lý rủi ro;
  • thường xuyên theo dõi, xem xét rủi ro và quy trình quản lý rủi ro;
  • xác định thông tin để cải thiện phương pháp quản lý rủi ro;
  • đào tạo người quản lý và nhân viên về rủi ro và hành động để giảm thiểu chúng.

Có một số tiến bộ trong lĩnh vực quản lý rủi ro an toàn thông tin, cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang hành động thực tế. Do đó, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, từ đó con đường thực tiễn tiếp theo, dù mỗi tổ chức có cách tiếp cận riêng, vẫn có thể được thực hiện một cách hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Đáng chú ý là sơ đồ quy trình quản lý rủi ro bảo mật thông tin giống hệt với sơ đồ tiêu chuẩn 31000 được trình bày trước đó, điều này khẳng định thêm cách tiếp cận tương tự đối với quản lý rủi ro trong loạt tiêu chuẩn ISO. Tiêu chuẩn này mang tính chất lý thuyết nhưng sẽ hữu ích làm cơ sở cho việc triển khai sâu hơn hệ thống quản lý rủi ro.

Khung CNTT về rủi ro, dựa trên tiêu chuẩn ISACA Cobit, bao gồm khung lý thuyết, hướng dẫn sử dụng - phương pháp và ví dụ thực tế.

Tài liệu này định nghĩa rủi ro CNTT là rủi ro kinh doanh, cụ thể là rủi ro kinh doanh liên quan đến việc sử dụng, quyền sở hữu, vận hành, sự tham gia, ảnh hưởng hoặc điều chỉnh CNTT trong một tổ chức.

Mô hình quy trình của môi trường này bao gồm ba miền:

  • quản lý rủi ro (Risk Governance);
  • Đánh giá rủi ro;
  • Phản hồi rủi ro.

Mô hình ba miền này được mổ xẻ kỹ lưỡng trong bài báo. Tất cả các định nghĩa cần thiết đều được cung cấp, mô hình vai trò cho các quy trình được liệt kê cũng như quy trình thực hiện được phân tích.

Hướng dẫn sử dụng cho các rủi ro CNTT (Hướng dẫn dành cho người thực hành CNTT về rủi ro) là sự tiếp nối hợp lý môi trường làm việc hướng tới việc triển khai thực tế mô hình ba lĩnh vực trong tổ chức. Tài liệu trình bày mẫu cần thiết, bảng và các tài liệu khác có thể được sửa đổi khi cần và được sử dụng trong hệ thống quản lý rủi ro của tổ chức bạn. Phần mô tả về các phương pháp thực hành tốt nhất để triển khai hệ thống rủi ro CNTT cũng được đưa ra.

Phương pháp quản lý rủi ro hệ thống thông tin của Ken Jaworski dựa trên tiêu chuẩn ISO và tập trung vào các khía cạnh thực tế của việc triển khai hệ thống quản lý rủi ro, đồng thời chứa các mẫu và phương pháp cần thiết để tính toán tác động của rủi ro đối với hoạt động của tổ chức.

Tóm lại, chúng ta có thể kết luận rằng trong lĩnh vực quản lý rủi ro an toàn thông tin đã có một số tiến bộ cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang hành động thực tế. Do đó, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, từ đó con đường thực tiễn tiếp theo, dù mỗi tổ chức có cách tiếp cận riêng, vẫn có thể được thực hiện một cách hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Phần kết luận

Hệ thống quản lý rủi ro như một phần của quản trị doanh nghiệp đã cho thấy tính hiệu quả của nó ở những công ty mà hệ thống này đang bắt đầu hoặc đã được triển khai. Do tình hình khủng hoảng của nền kinh tế thế giới ở khoảnh khắc này có thể dự đoán sẽ lan rộng trong tương lai hệ thống tương tự và trong khu vực công. Điều này thậm chí có thể thực hiện được cho đến ngày nay vì đã có các tiêu chuẩn và tài liệu khác về hệ thống quản lý rủi ro cho phép thực hiện hệ thống này chất lượng và trong thời gian tương đối ngắn. Điểm cơ bản là ngoài các tài liệu “chung”, còn có các tiêu chuẩn ngành về quản lý rủi ro, đặc biệt là quản lý rủi ro CNTT/IS. Tuy nhiên, do đặc thù của nền kinh tế Nga, nhiều tổ chức phụ thuộc nhiều hơn vào sự hỗ trợ của nhà nước hay còn gọi là nguồn lực hành chính, đặc biệt là chưa quan tâm đúng mức đến hệ thống quản trị doanh nghiệp và quản lý rủi ro. Kết quả là, ở nước ta, xu hướng phá sản lớn hơn ở nước ta ngày càng tăng so với ở Hoa Kỳ. Nhưng không hành động khó có thể giúp giải quyết vấn đề.

Trong thực tế, các phương pháp định lượng và định tính để đánh giá rủi ro bảo mật thông tin được sử dụng. Có gì khác biệt?

Phương pháp định lượng

Đánh giá rủi ro định lượng được sử dụng trong các tình huống mà các mối đe dọa đang được nghiên cứu và rủi ro liên quan đến chúng có thể được so sánh với các giá trị định lượng cuối cùng được thể hiện bằng tiền, lãi suất, thời gian, nguồn nhân lực, v.v. Phương pháp này cho phép bạn thu được các giá trị cụ thể của các đối tượng đánh giá rủi ro khi nhận ra các mối đe dọa bảo mật thông tin.

Trong phương pháp định lượng, tất cả các yếu tố đánh giá rủi ro đều được gán các giá trị định lượng cụ thể và thực tế. Thuật toán để có được các giá trị này phải rõ ràng và dễ hiểu. Đối tượng đánh giá có thể là giá trị của tài sản tính bằng tiền, khả năng xảy ra mối đe dọa, thiệt hại do mối đe dọa gây ra, chi phí của các biện pháp bảo vệ, v.v.

Làm thế nào để đánh giá rủi ro một cách định lượng?

1. Xác định giá trị tài sản thông tin bằng tiền.

2. Đánh giá về mặt định lượng thiệt hại tiềm tàng từ việc thực hiện từng mối đe dọa liên quan đến từng tài sản thông tin.

Cần có câu trả lời cho các câu hỏi “Thiệt hại bao nhiêu phần giá trị tài sản khi thực hiện từng mối đe dọa?”, “Chi phí thiệt hại tính bằng tiền do một sự cố trong quá trình thực hiện mối đe dọa này là bao nhiêu?” mối đe dọa đối với tài sản này?

3. Xác định khả năng thực hiện từng mối đe dọa an toàn thông tin.

Để làm được điều này, bạn có thể sử dụng dữ liệu thống kê, khảo sát nhân viên và các bên liên quan. Trong quá trình xác định xác suất, hãy tính toán tần suất xảy ra sự cố liên quan đến việc thực hiện mối đe dọa an toàn thông tin được xem xét trong khoảng thời gian kiểm soát (ví dụ: một năm).

4. Xác định tổng thiệt hại tiềm tàng từ mỗi mối đe dọa liên quan đến từng tài sản trong khoảng thời gian kiểm soát (một năm).

Giá trị được tính bằng cách nhân thiệt hại một lần do mối đe dọa với tần suất của mối đe dọa.

5. Phân tích dữ liệu thiệt hại nhận được cho từng mối đe dọa.

Đối với mỗi mối đe dọa, phải đưa ra quyết định: chấp nhận rủi ro, giảm thiểu rủi ro hoặc chuyển giao rủi ro.

Chấp nhận rủi ro có nghĩa là nhận ra nó, chấp nhận khả năng xảy ra của nó và tiếp tục hành động như trước. Áp dụng cho các mối đe dọa có mức độ sát thương thấp và xác suất xảy ra thấp.

Giảm rủi ro có nghĩa là đưa ra các biện pháp bổ sung và thiết bị bảo hộ, đào tạo nhân viên, v.v. Nghĩa là thực hiện công việc có chủ ý để giảm thiểu rủi ro. Đồng thời, cần đánh giá định lượng hiệu quả của các biện pháp, phương tiện bảo vệ bổ sung. Tất cả các chi phí mà tổ chức phải gánh chịu, từ việc mua thiết bị bảo vệ đến vận hành thử (bao gồm lắp đặt, cấu hình, đào tạo, bảo trì, v.v.), không được vượt quá mức thiệt hại do mối đe dọa gây ra.

Chuyển giao rủi ro có nghĩa là chuyển hậu quả của rủi ro sang bên thứ ba, ví dụ, thông qua bảo hiểm.

Theo kết quả đánh giá rủi ro định lượng, cần xác định những điều sau:

  • giá trị tài sản tính bằng tiền;
  • danh sách đầy đủ tất cả các mối đe dọa an ninh thông tin kèm theo thiệt hại từ một sự cố đối với từng mối đe dọa;
  • tần suất thực hiện từng mối đe dọa;
  • thiệt hại tiềm ẩn từ mỗi mối đe dọa;
  • Các biện pháp bảo mật, biện pháp đối phó và hành động được đề xuất cho từng mối đe dọa.

Phân tích rủi ro bảo mật thông tin định lượng (ví dụ)

Hãy xem xét kỹ thuật sử dụng ví dụ về máy chủ web của một tổ chức, được sử dụng để bán một sản phẩm nhất định. Định lượng một lần thiệt hại do lỗi máy chủ có thể được ước tính bằng tích của biên lai mua hàng trung bình và số lượng yêu cầu trung bình trong một khoảng thời gian nhất định, bằng thời gian ngừng hoạt động của máy chủ. Giả sử chi phí thiệt hại một lần do lỗi máy chủ trực tiếp sẽ là 100 nghìn rúp.

Bây giờ cần phải đánh giá bằng các phương tiện chuyên môn về tần suất xảy ra tình huống như vậy (có tính đến cường độ hoạt động, chất lượng cung cấp điện, v.v.). Ví dụ, có tính đến ý kiến ​​chuyên gia và thông tin thống kê, chúng tôi hiểu rằng máy chủ có thể bị lỗi tới 2 lần một năm.

Nhân hai đại lượng này ta được Trung bình hàng năm thiệt hại do nguy cơ hỏng máy chủ trực tiếp lên tới 200 nghìn rúp mỗi năm.

Những tính toán này có thể được sử dụng để biện minh cho việc lựa chọn các biện pháp bảo vệ. Ví dụ, việc triển khai hệ thống cung cấp điện liên tục và hệ thống Dự trữ bản sao với tổng chi phí 100 nghìn rúp mỗi năm sẽ giảm thiểu nguy cơ lỗi máy chủ và sẽ là một giải pháp hoàn toàn hiệu quả.

Phương pháp định tính

Thật không may, không phải lúc nào cũng có thể có được biểu hiện cụ thể của đối tượng đánh giá do độ không chắc chắn lớn. Làm thế nào để đánh giá chính xác mức độ thiệt hại về uy tín của công ty khi xuất hiện thông tin về sự cố an toàn thông tin? Trong trường hợp này, một phương pháp định tính được sử dụng.

Phương pháp định tính không sử dụng các biểu thức định lượng hoặc tiền tệ cho đối tượng được đánh giá. Thay vào đó, đối tượng đánh giá được giao một chỉ số xếp theo thang điểm ba (thấp, trung bình, cao), năm điểm hoặc mười điểm (0...10). Để thu thập dữ liệu nhằm đánh giá rủi ro định tính, khảo sát các nhóm mục tiêu, phỏng vấn, bảng câu hỏi và gặp gỡ cá nhân được sử dụng.

Phân tích rủi ro an toàn thông tin bằng phương pháp định tính cần được thực hiện với sự tham gia của nhân viên có kinh nghiệm và năng lực trong lĩnh vực mà các mối đe dọa được xem xét.

Cách tiến hành đánh giá rủi ro tốt:

1. Xác định giá trị tài sản thông tin.

Giá trị của tài sản có thể được xác định theo mức độ quan trọng (hậu quả) nếu các đặc điểm bảo mật (bảo mật, tính toàn vẹn, tính khả dụng) của tài sản thông tin bị vi phạm.

2. Xác định khả năng xảy ra mối đe dọa liên quan đến tài sản thông tin.

Để đánh giá khả năng xảy ra mối đe dọa, có thể sử dụng thang đo định tính ba cấp độ (thấp, trung bình, cao).

3. Xác định mức độ cơ hội thực hiện thành công các mối đe dọa có tính đến hiện trạng an ninh thông tin, các biện pháp và phương tiện bảo vệ đã thực hiện.

Để đánh giá mức độ có khả năng xảy ra mối đe dọa, cũng có thể sử dụng thang đo định tính ba cấp độ (thấp, trung bình, cao). Giá trị khả thi của mối đe dọa cho biết mức độ khả thi để thực hiện thành công mối đe dọa.

4. Đưa ra kết luận về mức độ rủi ro dựa trên giá trị của tài sản thông tin, khả năng xảy ra mối đe dọa và khả năng xảy ra mối đe dọa.

Để xác định mức độ rủi ro, bạn có thể sử dụng thang điểm năm hoặc mười điểm. Khi xác định mức độ rủi ro, bạn có thể sử dụng các bảng tham khảo để hiểu rõ về sự kết hợp của các chỉ số (giá trị, xác suất, cơ hội) dẫn đến mức độ rủi ro nào.

5. Phân tích dữ liệu thu được cho từng mối đe dọa và mức độ rủi ro thu được đối với mối đe dọa đó.

Thông thường, nhóm phân tích rủi ro sử dụng khái niệm “mức độ rủi ro có thể chấp nhận được”. Đây là mức độ rủi ro mà công ty sẵn sàng chấp nhận (nếu mối đe dọa có mức độ rủi ro nhỏ hơn hoặc bằng mức chấp nhận được thì nó được coi là không liên quan). Nhiệm vụ toàn cầu trong đánh giá định tính là giảm thiểu rủi ro đến mức có thể chấp nhận được.

6. Xây dựng các biện pháp an ninh, biện pháp đối phó và hành động đối với từng mối đe dọa hiện tại nhằm giảm mức độ rủi ro.

Bạn nên chọn phương pháp nào?

Mục tiêu của cả hai phương pháp là hiểu những rủi ro thực sự về bảo mật thông tin của công ty, xác định danh sách các mối đe dọa hiện tại và chọn các biện pháp đối phó và phương tiện bảo vệ hiệu quả. Mỗi phương pháp đánh giá rủi ro đều có những ưu điểm và nhược điểm riêng.

Phương pháp định lượng đưa ra đại diện trực quan bằng tiền cho các đối tượng giám định (thiệt hại, chi phí), nhưng tốn nhiều công sức hơn và trong một số trường hợp không thể áp dụng được.

Phương pháp định tính cho phép đánh giá rủi ro nhanh hơn nhưng đánh giá và kết quả mang tính chủ quan hơn và không cung cấp hiểu biết rõ ràng về thiệt hại, chi phí và lợi ích của việc thực hiện bảo mật thông tin.

Việc lựa chọn phương pháp nên được thực hiện dựa trên đặc thù của một công ty cụ thể và các nhiệm vụ được giao cho chuyên gia.

Stanislav Shilyaev, giám đốc dự án bảo mật thông tin tại SKB Kontur

Rủi ro bảo mật thông tin (rủi ro bảo mật thông tin)- “khả năng một mối đe dọa nhất định có thể khai thác điểm yếu của một tài sản hoặc một nhóm tài sản và do đó gây thiệt hại cho tổ chức.”

Theo GOST R 51897-2011 “Quản lý rủi ro. Thuật ngữ và định nghĩa" và tiêu chuẩn quốc tế ISO 27001-2013 "Hệ thống quản lý bảo mật thông tin" - quy trình quản lý rủi ro là nỗ lực phối hợp để quản lý và kiểm soát một tổ chức đối với rủi ro bảo mật thông tin. Quản lý rủi ro bao gồm đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro và truyền thông rủi ro.

Mục đích của quá trình đánh giá rủi ro là xác định các đặc điểm rủi ro liên quan đến hệ thống thông tin và các tài nguyên (tài sản) của nó. Dựa trên dữ liệu thu được, họ có thể được chọn quỹ cần thiết sự bảo vệ. Khi đánh giá rủi ro, nhiều yếu tố được tính đến: giá trị của nguồn lực, đánh giá về tầm quan trọng của các mối đe dọa và lỗ hổng, tính hiệu quả của các biện pháp bảo vệ hiện có và theo kế hoạch, v.v.

Mức độ bảo mật cơ bản (bảo mật cơ bản)- mức độ bảo mật tối thiểu bắt buộc đối với IP. Một số quốc gia có tiêu chí để xác định mức này. Ví dụ: chúng tôi đưa ra tiêu chí của Vương quốc Anh - Khảo sát an ninh cơ sở CCTA, xác định Yêu cầu tối thiểu trong lĩnh vực an toàn thông tin cho cơ quan chính phủ của đất nước này. Ở Đức những tiêu chí này được quy định trong tiêu chuẩn BSI.

Có các tiêu chí từ một số tổ chức - NASA, X/Open, ISACA và các tổ chức khác. Ở nước ta, đây có thể là lớp bảo mật theo yêu cầu của FSTEC của Nga, hồ sơ bảo vệ được phát triển theo tiêu chuẩn ISO-15408 hoặc một số bộ yêu cầu khác.

Khi đó tiêu chí để đạt được mức độ bảo mật cơ bản là việc đáp ứng một bộ yêu cầu nhất định.

Nền tảng ( đường cơ sở) phân tích rủi ro - phân tích rủi ro được thực hiện phù hợp với các yêu cầu về mức độ bảo mật cơ bản. Các ứng dụng phân tích rủi ro tập trung vào cấp độ này thường không xem xét giá trị của nguồn lực hoặc đánh giá tính hiệu quả của các biện pháp đối phó. Các phương pháp thuộc loại này được sử dụng trong trường hợp không áp dụng các yêu cầu tăng cường trong lĩnh vực bảo mật thông tin đối với hệ thống thông tin.

Đầy (đầy) phân tích rủi ro - phân tích rủi ro cho các hệ thống thông tin có yêu cầu ngày càng cao trong lĩnh vực an toàn thông tin. Bao gồm việc xác định giá trị của tài nguyên thông tin, đánh giá các mối đe dọa và lỗ hổng, lựa chọn các biện pháp đối phó thích hợp và đánh giá hiệu quả của chúng.

Theo GOST R ISO/IEC 27005-2010, quy trình quản lý bảo mật thông tin bao gồm các giai đoạn được trình bày trong Hình. 1.

Đánh giá rủi ro

Phân tích rủi ro

Nhận dạng rủi ro

Đánh giá rủi ro định lượng

  • 0x:
    • (b o;

Đánh giá rủi ro

Điểm quyết định thứ hai. . Kết quả xử lý rủi ro có thỏa đáng không?

Cơm. 1.

Theo GOST R ISO/IEC 27005-2010, quy trình đánh giá rủi ro bao gồm việc phân tích rủi ro và đánh giá rủi ro.

Phân tích rủi ro bao gồm: xác định rủi ro (xác định tài sản, xác định các mối đe dọa, xác định các biện pháp kiểm soát và kiểm soát hiện có, xác định lỗ hổng, xác định hậu quả) và thiết lập các giá trị rủi ro (đánh giá hậu quả, đánh giá khả năng xảy ra sự cố, thiết lập các giá trị mức độ rủi ro).

Việc đánh giá rủi ro phải xác định rủi ro, định lượng và ưu tiên rủi ro dựa trên các tiêu chí và mục tiêu chấp nhận rủi ro có ý nghĩa đối với tổ chức.

Theo khuyến nghị của GOST R ISO/IEC 27002-2012, việc đánh giá rủi ro phải được thực hiện định kỳ để tính đến những thay đổi trong yêu cầu bảo mật và trong tình huống rủi ro, ví dụ: liên quan đến tài sản, mối đe dọa, lỗ hổng, tác động, đánh giá rủi ro.

Trước khi xem xét việc xử lý một rủi ro nhất định, công ty phải lựa chọn các tiêu chí để xác định xem rủi ro đó có thể chấp nhận được hay không.

Quá trình đánh giá rủi ro thiết lập giá trị của tài sản thông tin, xác định các mối đe dọa và lỗ hổng tiềm ẩn tồn tại hoặc có thể tồn tại, xác định các biện pháp kiểm soát hiện có và tác động của chúng đối với các rủi ro đã xác định, xác định Những hậu quả có thể xảy ra và cuối cùng, mức độ ưu tiên được gán cho các rủi ro đã được xác định và chúng được xếp hạng theo tiêu chí đánh giá rủi ro được ghi lại khi thiết lập bối cảnh.

Do đánh giá rủi ro theo GOST R ISO/IEC 27003-2012, cần phải:

  • - xác định các mối đe dọa và nguồn gốc của chúng;
  • - xác định các biện pháp kiểm soát và kiểm soát hiện có và theo kế hoạch;
  • - xác định các điểm yếu mà nếu bị đe dọa có thể gây thiệt hại cho tài sản hoặc tổ chức;
  • - xác định hậu quả của việc mất tính bảo mật, an ninh, tính sẵn sàng, tính không thể chối bỏ hoặc vi phạm các yêu cầu an ninh khác đối với tài sản;
  • - đánh giá tác động có thể phát sinh đối với doanh nghiệp do các sự cố an toàn thông tin thực tế hoặc đáng ngờ;
  • - đánh giá khả năng xảy ra các tình huống khẩn cấp;
  • - đánh giá mức độ rủi ro;
  • - so sánh mức độ rủi ro với các tiêu chí đánh giá rủi ro và chấp nhận được.

Phương pháp được sử dụng để đánh giá rủi ro phải bao gồm các bước được liệt kê dưới đây.

  • 1. Định nghĩa tài sản.
  • 2. Xác định các mối đe dọa.
  • 3. Xác định các lỗ hổng.
  • 4. Xác định hậu quả.
  • 5. Đánh giá khả năng xảy ra sự cố.
  • 6. Thiết lập các giá trị mức độ rủi ro.
  • 7. Mối tương quan giữa rủi ro với các tiêu chí.
  • 8. Xác định biện pháp xử lý rủi ro.

Sơ đồ các hoạt động xử lý rủi ro được thể hiện trong Hình 2. 2.

Đạt yêu cầu

Điểm quyết định đầu tiên. Kết quả đánh giá rủi ro có thỏa đáng không?

XỬ LÝ RỦI RO


Cơm. 2.

với GOST R ISO/IEC 27005-2010

Ngoài những hành động này, tổ chức cũng phải cung cấp dịch vụ giám sát rủi ro.

Rủi ro và động lực của chúng (tức là giá trị tài sản, tác động, mối đe dọa, lỗ hổng, xác suất xảy ra) cần được theo dõi và đánh giá lại để xác định bất kỳ thay đổi nào trong bối cảnh của tổ chức ở giai đoạn đầu và cần duy trì cái nhìn tổng thể về toàn bộ bức tranh rủi ro. Quy trình quản lý rủi ro bảo mật thông tin phải được giám sát, phân tích và cải tiến liên tục.

Trong phân tích rủi ro, thiệt hại dự kiến ​​nếu các mối đe dọa được nhận ra sẽ được so sánh với chi phí của các biện pháp và phương tiện bảo vệ, sau đó đưa ra quyết định liên quan đến rủi ro đã đánh giá, có thể là:

  • - giảm bớt, ví dụ, thông qua việc áp dụng các phương tiện và cơ chế bảo vệ làm giảm khả năng xảy ra mối đe dọa hoặc hệ số phá hủy;
  • - được lưu (được chấp nhận) là chấp nhận được đối với đối tượng đánh giá;
  • - ngăn chặn bằng cách từ chối sử dụng tài nguyên có nguy cơ;
  • - ví dụ như được chuyển giao, được bảo hiểm, do đó, trong trường hợp có mối đe dọa về an ninh, tổn thất sẽ do công ty bảo hiểm chứ không phải chủ sở hữu tài nguyên gánh chịu.

Quy trình sử dụng nhiều lao động nhất là quy trình đánh giá rủi ro, có thể chia thành các giai đoạn sau: xác định rủi ro; phân tích rủi ro; đánh giá rủi ro.

Trong bộ lễ phục. Hình 3 mô tả sơ đồ quá trình đánh giá rủi ro bảo mật thông tin. Xác định rủi ro bao gồm việc biên soạn danh sách và mô tả các yếu tố rủi ro: đối tượng bảo vệ, các mối đe dọa, lỗ hổng.

Thông thường người ta phân biệt các loại đối tượng bảo vệ sau: tài sản thông tin; phần mềm; tài sản vật chất; Dịch vụ; con người và trình độ, kỹ năng và kinh nghiệm của họ; nguồn lực vô hình như danh tiếng và hình ảnh của tổ chức.

Theo quy định, trong thực tế, ba nhóm đầu tiên được xem xét. Các đối tượng bảo hộ còn lại không được xem xét do tính phức tạp của việc đánh giá chúng.

Ở giai đoạn xác định rủi ro, các mối đe dọa và lỗ hổng cũng được xác định.

Kết quả kiểm toán được sử dụng làm dữ liệu đầu vào cho việc này; dữ liệu sự cố an toàn thông tin; đánh giá của chuyên gia từ người dùng, chuyên gia bảo mật thông tin, chuyên gia CNTT và chuyên gia tư vấn bên ngoài.

Thông tin thu được ở giai đoạn xác định rủi ro được sử dụng trong quá trình phân tích rủi ro để xác định:

  • - thiệt hại có thể xảy ra cho tổ chức do vi phạm an ninh tài sản;
  • - khả năng xảy ra vi phạm đó;
  • - mức độ rủi ro.

Mức độ thiệt hại có thể xảy ra được xác định có tính đến giá trị của tài sản và mức độ nghiêm trọng của hậu quả do vi phạm an ninh của chúng.

Thành phần thứ hai hình thành nên giá trị thiệt hại có thể xảy ra là mức độ nghiêm trọng của hậu quả do vi phạm biện pháp bảo đảm tài sản. Được tính đến


Cơm. 3.

tất cả các hậu quả có thể xảy ra và mức độ tác động tiêu cực của chúng đối với tổ chức, đối tác và nhân viên của tổ chức.

Cần xác định mức độ nghiêm trọng của hậu quả của việc vi phạm tính bảo mật, tính toàn vẹn, tính sẵn sàng và các vấn đề khác tính chất quan trọng tài sản thông tin và sau đó tìm điểm tổng thể.

Giai đoạn tiếp theo của phân tích rủi ro là đánh giá khả năng xảy ra các mối đe dọa.

Sau khi xác định được mức độ thiệt hại có thể xảy ra và khả năng xảy ra các mối đe dọa, thì mức độ rủi ro cũng được xác định.

Việc tính toán rủi ro được thực hiện bằng cách kết hợp những thiệt hại có thể xảy ra, thể hiện những hậu quả có thể xảy ra khi vi phạm an ninh tài sản và khả năng xảy ra các mối đe dọa.

Sự kết hợp này thường được thực hiện bằng cách sử dụng ma trận, trong đó các giá trị thiệt hại có thể xảy ra được đặt trong các hàng và xác suất xảy ra mối đe dọa trong các cột cũng như mức độ rủi ro tại giao lộ.

Tiếp theo, mức độ rủi ro được tính toán sẽ được so sánh với thang mức độ rủi ro. Điều này là cần thiết để đánh giá thực tế tác động của các rủi ro được tính toán đối với hoạt động kinh doanh của tổ chức và truyền đạt ý nghĩa của các mức độ rủi ro cho ban quản lý.

Việc đánh giá rủi ro cũng phải xác định mức độ rủi ro có thể chấp nhận được mà ở đó hành động hơn nữa không yêu cầu. Tất cả các rủi ro khác yêu cầu các biện pháp bổ sung.

Kết quả đánh giá rủi ro được sử dụng để xác định tính khả thi về mặt kinh tế và mức độ ưu tiên của các biện pháp xử lý rủi ro và cho phép đưa ra quyết định sáng suốt về việc lựa chọn các biện pháp bảo vệ giúp giảm mức độ rủi ro.

Có nhiều phương pháp phân tích, đánh giá rủi ro an toàn thông tin. Một số trong số chúng dựa trên khá đơn giản phương pháp bảng và không liên quan đến việc sử dụng các công cụ phần mềm chuyên dụng; ngược lại, họ tích cực sử dụng chúng.

Mặc dù mối quan tâm đến quản lý rủi ro ngày càng tăng, hầu hết các kỹ thuật hiện đang được sử dụng đều tương đối kém hiệu quả vì quy trình này ở nhiều công ty được thực hiện độc lập bởi từng bộ phận. Thường không có sự kiểm soát tập trung đối với các hành động của họ, điều này ngăn cản khả năng thực hiện một cách tiếp cận thống nhất và toàn diện để quản lý rủi ro trong toàn tổ chức.

Để giải quyết vấn đề đánh giá rủi ro bảo mật thông tin, sau đây là những điều kinh điển: hệ thống phần mềm: CRAMM, FRAP, Theo dõi rủi ro, Bảo mật của Microsoft Công cụ đánh giá (MSAT), GRIF, CORAS và một số công cụ khác. Tất cả các kỹ thuật đã biết có thể được phân loại như sau:

  • - các phương pháp sử dụng đánh giá rủi ro ở mức độ định tính (ví dụ, trên thang đo “cao”, “trung bình”, “thấp”), cụ thể là các phương pháp này bao gồm FRAP;
  • - phương pháp định lượng (rủi ro được đánh giá thông qua giá trị số, ví dụ: quy mô tổn thất dự kiến ​​​​hàng năm), phương pháp RiskWatch thuộc loại này;
  • - phương pháp sử dụng đánh giá hỗn hợp (phương pháp này được sử dụng trong phương pháp CRAMM, MSAT).

Trước khi đưa ra quyết định triển khai một phương pháp quản lý rủi ro bảo mật thông tin cụ thể, bạn nên đảm bảo rằng phương pháp đó tính đến đầy đủ nhu cầu kinh doanh của công ty, quy mô của công ty, đồng thời cũng tuân thủ các thông lệ toàn cầu tốt nhất và có đủ miêu tả cụ thể các quy trình và hành động cần thiết.

Trong bảng 1 trình bày phân tích so sánh các phương pháp cổ điển (CRAMM, GRIF, RiskWatch, CORAS, MSAT).

Bảng 1

So sánh các công cụ phần mềm quản lý rủi ro an toàn thông tin

Tiêu chí so sánh

GRIF

Theo dõi rủi ro

Rủi ro

Sử dụng khái niệm rủi ro tối đa có thể chấp nhận được

Chuẩn bị kế hoạch hành động để giảm thiểu rủi ro

Điều khiển

Thông báo cho người quản lý

Kế hoạch làm việc để giảm thiểu rủi ro

Bao gồm các khóa đào tạo, hội thảo, cuộc họp

Rủi ro kinh doanh/rủi ro hoạt động/Đánh giá rủi ro CNTT

Đánh giá rủi ro ở cấp độ tổ chức

Đánh giá rủi ro cho trình độ kỹ thuật

Đề xuất các biện pháp giảm thiểu rủi ro

Bỏ qua (ngăn chặn) rủi ro

Giảm rủi ro

Chấp nhận rủi ro

Quy trình

Sử dụng các yếu tố rủi ro

Tiền bạc

Tài sản vô hình

Giá trị tài sản

Lỗ hổng

Các biện pháp an ninh

Thiệt hại tiềm ẩn

Xác suất của các mối đe dọa

Tiêu chí so sánh

Các loại rủi ro được xem xét

Rủi ro kinh doanh

Rủi ro liên quan đến vi phạm pháp luật

Rủi ro liên quan đến việc sử dụng công nghệ

Rủi ro thương mại

Rủi ro liên quan đến sự tham gia của bên thứ ba

Rủi ro liên quan đến tuyển dụng nhân sự

Phương pháp đo lường giá trị rủi ro

Đánh giá định tính

Định lượng

Phương pháp kiểm soát

Xếp hạng rủi ro định tính

Sử dụng đánh giá độc lập

Tính toán lợi tức đầu tư

Tính toán mức cân bằng tối ưu giữa các loại biện pháp bảo mật khác nhau, chẳng hạn như:

Các biện pháp phòng ngừa

Biện pháp phát hiện

Biện pháp khắc phục

Biện pháp phục hồi

Tích hợp các phương pháp kiểm soát

Mô tả mục đích của các phương pháp kiểm soát

Thủ tục chấp nhận rủi ro tồn dư

Quản lý rủi ro còn lại

Giám sát rủi ro

Ứng dụng giám sát hiệu quả các biện pháp an toàn thông tin

Thực hiện các biện pháp giảm thiểu rủi ro

Sử dụng Quy trình ứng phó sự cố bảo mật thông tin

Tài liệu có cấu trúc về kết quả đánh giá rủi ro

Ghi chú : Bảng so sánh các công cụ phần mềm phục vụ phân tích, đánh giá rủi ro được đưa ra dựa trên tài liệu của bài viết: Baranova E.K., Chernova M.V. Phân tích so sánh công cụ phần mềm phân tích, đánh giá rủi ro bảo mật thông tin // Các vấn đề về bảo mật thông tin. Hệ thống máy tính. -

2014.-№4.- P. 160-168.

Ghi điểm bằng RAMM

Kỹ thuật này không tính đến tài liệu hỗ trợ, chẳng hạn như mô tả quy trình kinh doanh hoặc báo cáo đánh giá rủi ro. Liên quan đến chiến lược quản lý rủi ro, CRAMM giả định chỉ sử dụng các phương pháp giảm thiểu rủi ro. Các kỹ thuật quản lý rủi ro như bỏ qua hoặc chấp nhận không được xem xét. Phương pháp này không bao gồm:

quá trình tích hợp các phương pháp kiểm soát và mô tả mục đích của một phương pháp cụ thể; giám sát tính hiệu quả của các phương pháp quản lý được sử dụng và các phương pháp quản lý rủi ro còn sót lại; tính toán lại giá trị rủi ro tối đa cho phép; quá trình ứng phó sự cố.

Việc áp dụng CRAMM vào thực tế đòi hỏi phải thu hút các chuyên gia có trình độ cao; quá trình đánh giá rủi ro tốn nhiều công sức và lâu dài. Ngoài ra, cần lưu ý chi phí cao của giấy phép.

Đánh giá GRIF

Phương pháp GRIF sử dụng các phương pháp định lượng và định tính để đánh giá rủi ro, đồng thời xác định các điều kiện mà công ty có thể chấp nhận các điều kiện sau và bao gồm việc tính toán lợi tức đầu tư để thực hiện các biện pháp bảo mật. Không giống như các kỹ thuật phân tích rủi ro khác, GRIF đưa ra mọi cách để giảm thiểu rủi ro (bỏ qua, giảm thiểu và chấp nhận). Phương pháp này tính đến tài liệu đi kèm, chẳng hạn như mô tả quy trình kinh doanh hoặc báo cáo về đánh giá rủi ro bảo mật thông tin.

Đánh giá theo dõi rủi ro

Kỹ thuật này sử dụng các phương pháp đánh giá rủi ro định lượng và định tính. Cường độ lao động của việc phân tích rủi ro bằng phương pháp này là tương đối nhỏ. Phương pháp này phù hợp nếu bạn cần tiến hành phân tích rủi ro ở cấp độ bảo vệ phần mềm và phần cứng mà không tính đến các yếu tố tổ chức và hành chính. Một lợi thế đáng kể của RiskWatch là tính trực quan của nó giao diện rõ ràng và tính linh hoạt cao hơn của phương pháp, được cung cấp bởi khả năng giới thiệu các danh mục, mô tả, câu hỏi mới, v.v.

Đánh giá CORAS

CORAS không cung cấp như vậy biện pháp hiệu quả về quản lý rủi ro như “Chương trình nâng cao nhận thức của nhân viên trong lĩnh vực an toàn thông tin”. Chương trình như vậy giúp giảm thiểu rủi ro bảo mật thông tin liên quan đến việc nhân viên công ty vi phạm chế độ bảo mật thông tin do họ thiếu hiểu biết về các yêu cầu của công ty trong lĩnh vực này và các quy tắc sử dụng an toàn hệ thống thông tin. Ngoài ra, CORAS không cung cấp tần suất đánh giá rủi ro và cập nhật các giá trị của chúng, điều này cho thấy phương pháp này phù hợp để thực hiện đánh giá một lần và không phù hợp để sử dụng thường xuyên.

Mặt tích cực của CORAS là sản phẩm phần mềm triển khai kỹ thuật này được phân phối miễn phí và không yêu cầu tài nguyên đáng kể để cài đặt và sử dụng.

Điểm MSA T

Các chỉ số chính cho sản phẩm phần mềm này là: hồ sơ rủi ro kinh doanh (thực tế là mức độ thay đổi rủi ro tùy thuộc vào môi trường kinh doanh, tham số quan trọng, không phải lúc nào cũng được tính đến khi đánh giá mức độ bảo mật hệ thống trong các tổ chức thuộc các lĩnh vực hoạt động khác nhau) và chỉ số bảo vệ theo chiều sâu (giá trị tóm tắt về mức độ bảo mật). MS AT không cung cấp đánh giá định lượng về mức độ rủi ro, tuy nhiên, đánh giá định tính có thể được gắn với thang xếp hạng.

MS AT cho phép bạn đánh giá hiệu quả của các khoản đầu tư được thực hiện trong việc thực hiện các biện pháp bảo mật, nhưng không thể tìm ra sự cân bằng tối ưu giữa các biện pháp nhằm ngăn chặn, xác định, sửa chữa hoặc khôi phục tài sản thông tin.

Các phương pháp được xem xét tương ứng tốt với các yêu cầu của nhóm “Rủi ro” và “Quy trình (Sử dụng các yếu tố rủi ro)”, nhưng một số trong số chúng (CRAMM, CORAS) có những thiếu sót theo các phần “Giám sát” và “Quản lý”, như cũng như với nhiều tiểu mục “Quy trình” . Rất ít (GRIF, RiskWatch, MSAT) cung cấp hướng dẫn chi tiết về lập kế hoạch đánh giá lại rủi ro.

Trong trường hợp chỉ cần thực hiện đánh giá một lần về mức độ rủi ro ở một công ty cỡ trung bình, nên sử dụng phương pháp CORAS. Để quản lý rủi ro dựa trên đánh giá định kỳ ở cấp độ kỹ thuật, CRAMM là phù hợp nhất. Công cụ đánh giá bảo mật của Microsoft và các phương pháp theo dõi rủi ro được ưu tiên sử dụng trong các công ty lớn, trong đó dự kiến ​​áp dụng quản lý rủi ro an toàn thông tin trên cơ sở đánh giá thường xuyên, ở cấp độ không thấp hơn cấp độ tổ chức và cần phải xây dựng một kế hoạch hành động hợp lý để giảm thiểu chúng.

GOST R ISO/IEC 27003-2012. Công nghệ thông tin. Phương pháp và phương tiện đảm bảo an ninh. Hệ thống quản lý an toàn thông tin. Hướng dẫn triển khai hệ thống quản lý an ninh thông tin.

  • GOST R ISO/IEC 13335-1-2006. Công nghệ thông tin. Phương pháp và phương tiện đảm bảo an ninh. Phần 1. Khái niệm và mô hình quản lý an toàn công nghệ thông tin và viễn thông.
  • Baranova E.K. Phương pháp và phần mềm đánh giá rủi ro trong lĩnh vực bảo mật thông tin // Quản lý rủi ro. - 2009. - Số 1(49). - Trang 15-26.
  • Baranova E.K. Phương pháp phân tích và đánh giá rủi ro bảo mật thông tin // Bản tin của Đại học Moscow mang tên. S.Yu. Witte. Tập 3: Phương pháp giáo dục Và công nghệ. - 2015. - Số 1(9). - trang 73-79.