Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante
Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel lavoro ti saranno molto grati.
Documenti simili
La natura delle banche. Il concetto e le ragioni dell'emergere dei rischi bancari. Descrizione dei principali rischi bancari. Metodi di base per ridurre al minimo i costi bancari. Analisi della minimizzazione dei rischi bancari sull'esempio di Halyk Bank of Kazakhstan JSC.
tesina, aggiunta il 12/06/2008
Il concetto di rischio sistemico nel settore bancario, criteri per la loro individuazione e valutazione. Le principali caratteristiche di classificazione del raggruppamento dei rischi bancari. L'influenza dei rischi sistemici sulla stabilità, stabilità, affidabilità ed equilibrio del settore bancario.
abstract, aggiunto il 22/02/2017
Problemi di valutazione e riduzione dei rischi nelle attività delle banche commerciali. Implementazione di un modello di scoring per la valutazione del merito creditizio della clientela bancaria. Aumento delle risorse creando un nuovo deposito "Successo". Emissione di prestiti assistiti da titoli.
tesi, aggiunta il 21/01/2015
Fondamenti metodologici per la costruzione di un sistema per garantire la sicurezza delle informazioni degli enti creditizi. Analisi e definizione delle minacce alle risorse protette. Metodo di analisi delle minacce alla sicurezza delle informazioni del centro di elaborazione dati di OJSC "Volga-Credit Bank".
tesi, aggiunta il 05/07/2014
Funzioni e composizione dei fondi propri e di prestito dell'ente creditizio. Studio della base di risorse delle banche commerciali russe. Analisi del capitale proprio, depositi, obbligazioni di debito di CJSC "UniCredit Bank". Problemi di attrarre risorse finanziarie.
tesina, aggiunta il 20/02/2013
Rischi bancari. Livello di rischio bancario. Classificazione dei rischi bancari. Sistema di ottimizzazione del rischio bancario. Il sistema bancario della Russia: le principali tendenze e prospettive di sviluppo.
abstract, aggiunto il 28/09/2006
Caratteristiche della banca di JSC "UniCredit Bank". La struttura e la dinamica dell'attivo e del passivo del bilancio. Analisi fattoriale degli interessi attivi e passivi da operazioni con titoli. Analisi della solvibilità, stabilità finanziaria della banca e prospettive di sviluppo.
tesina aggiunta 21/03/2016
NRU ITMO, ***** @ *** com
Supervisore accademico - Dottore in Scienze, Professore, NRU ITMO, ***** @
annotazione
I metodi per calcolare il rischio per la sicurezza delle informazioni sono considerati nell'articolo, viene effettuato un confronto con l'indicazione delle carenze critiche. Viene presentata una proposta per utilizzare il nostro metodo di valutazione del rischio.
Parole chiave: rischio, sistema informativo, sicurezza delle informazioni, metodo di calcolo del rischio, valutazione del rischio, asset informativo.
introduzione
Il sistema di gestione dei rischi per la sicurezza delle informazioni (IS) è un compito urgente in tutte le fasi del complesso della sicurezza delle informazioni. Allo stesso tempo, è impossibile gestire in anticipo i rischi senza valutarli, che a loro volta devono essere eseguiti secondo un metodo. Nella fase di valutazione del rischio, le più interessanti sono le formule ei dati di input per il calcolo del valore di rischio. L'articolo analizza diversi metodi per il calcolo del rischio e presenta una propria metodologia. Lo scopo del lavoro è derivare una formula per il calcolo del rischio per la sicurezza delle informazioni, che permetta di ottenere una serie di rischi effettivi e di valutare le perdite in termini monetari.
Il rischio per la sicurezza delle informazioni nella forma classica è definito in funzione di tre variabili:
- la probabilità di una minaccia; la probabilità di una vulnerabilità (insicurezza); impatto potenziale.
Se una di queste variabili si avvicina allo zero, anche il rischio complessivo tende a zero.
Metodi di valutazione del rischio
ISO/IEC 27001. Per quanto riguarda la metodologia per il calcolo del valore di rischio, si afferma che la metodologia scelta dovrebbe garantire che le valutazioni del rischio diano risultati comparabili e riproducibili. Allo stesso tempo, lo standard non fornisce una formula di calcolo specifica.
Il NIST 800-30 offre una formula classica per il calcolo del rischio:
dove R è il valore di rischio;
P (t) è la probabilità di realizzare una minaccia IS (viene utilizzata una combinazione di scale qualitative e quantitative);
S - il grado di influenza della minaccia sull'attività (il prezzo dell'attività su scala qualitativa e quantitativa).
Di conseguenza, il valore del rischio è calcolato in unità relative, classificabili in base al grado di importanza per la procedura di gestione del rischio per la sicurezza delle informazioni.
GOST R ISO / IEC TO 7. Il calcolo del rischio, contrariamente allo standard NIST 800-30, si basa su tre fattori:
R = P (t) * P (v) * S,
dove R è il valore di rischio;
P (t) è la probabilità che la minaccia IS si realizzi;
P (v) è la probabilità di una vulnerabilità;
S è il valore del bene.
Come esempio dei valori delle probabilità P (t) e P (v), viene fornita una scala qualitativa a tre livelli: basso, medio e alto. Per valutare il valore del valore dell'asset S, i valori numerici sono presentati nell'intervallo da 0 a 4. Il confronto dei valori qualitativi dovrebbe essere eseguito dall'organizzazione in cui vengono valutati i rischi per la sicurezza delle informazioni.
BS 7799. Il livello di rischio viene calcolato tenendo conto di tre indicatori: il valore della risorsa, il livello di minaccia e il grado di vulnerabilità. Con un aumento dei valori di questi tre parametri, il rischio aumenta, quindi la formula può essere rappresentata come segue:
R = S * L (t) * L (v),
dove R è il valore di rischio;
S è il valore del bene/risorsa;
L (t) - livello di minaccia;
L (v) - livello / grado di vulnerabilità.
In pratica, il calcolo dei rischi IS viene effettuato secondo la tabella di posizionamento dei valori del livello di minaccia, del grado di probabilità di sfruttamento della vulnerabilità e del valore del bene. Il valore del rischio può cambiare nell'intervallo da 0 a 8, di conseguenza, per ogni asset, si ottiene un elenco di minacce con diversi valori di rischio. Lo standard offre anche una scala di classificazione dei rischi: basso (0-2), medio (3-5) e alto (6-8), che consente di determinare i rischi più critici.
STO BR IBBS. Secondo lo standard, la valutazione del grado della possibilità di realizzare una minaccia alla sicurezza delle informazioni viene effettuata su scala qualitativa e quantitativa, una minaccia irrealizzabile - 0%, una media - dal 21% al 50%, ecc. - una quantitativa scala, cioè il minimo è lo 0,5% del capitale della banca, alto - dall'1,5% al 3% del capitale della banca.
Per effettuare una valutazione qualitativa dei rischi per la sicurezza delle informazioni viene utilizzata una tabella di corrispondenza tra la gravità delle conseguenze e la probabilità che la minaccia si realizzi. Se è necessario effettuare una valutazione quantitativa, la formula può essere rappresentata come:
dove R è il valore di rischio;
P (v) è la probabilità che la minaccia IS si realizzi;
S è il valore del bene (la gravità delle conseguenze).
Il metodo proposto
Considerati tutti i suddetti metodi di valutazione del rischio in termini di calcolo del valore del rischio per la sicurezza delle informazioni, vale la pena notare che il calcolo del rischio viene effettuato utilizzando il valore delle minacce e il valore dell'asset. Uno svantaggio significativo è la valutazione del valore dei beni (l'importo del danno) sotto forma di valori condizionali. I valori condizionali non hanno unità di misura applicabili nella pratica, in particolare, non sono equivalenti monetari. Di conseguenza, questo non dà un'idea reale del livello di rischio che può essere trasferito ai beni reali dell'oggetto protetto.
Si propone pertanto di suddividere la procedura di calcolo del rischio in due fasi:
1. Calcolo del valore del rischio tecnico.
2. Calcolo del danno potenziale.
Il rischio tecnico è inteso come il valore del rischio per la sicurezza delle informazioni, che consiste nelle probabilità di implementazione delle minacce e di sfruttamento delle vulnerabilità di ciascun componente dell'infrastruttura informativa, tenuto conto del livello della loro riservatezza, integrità e disponibilità. Per la prima fase, abbiamo le seguenti 3 formule:
Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),
Ra = Ka * P (T) * P (V),
dove Rc è il valore del rischio di riservatezza;
Ri è il valore del rischio di integrità;
Ra è il valore del rischio di disponibilità;
Kс - coefficiente di riservatezza di un bene informativo;
Ki è il fattore di integrità del patrimonio informativo;
Ka è il coefficiente di disponibilità di un bene informativo;
P (T) è la probabilità che la minaccia si realizzi;
P (V) è la probabilità di sfruttare la vulnerabilità.
L'utilizzo di tale algoritmo consentirà di effettuare una valutazione del rischio più dettagliata, avendo ottenuto in uscita un valore adimensionale della probabilità di rischio di compromettere separatamente ciascun asset informativo.
Successivamente è possibile calcolare il valore del danno, per questo si utilizza il valore medio del rischio di ciascun asset informativo e l'ammontare delle potenziali perdite:
dove L è il valore del danno;
Rav - valore medio del rischio;
S - perdite (in termini monetari).
La metodologia proposta consente di valutare correttamente il valore del rischio per la sicurezza delle informazioni e calcolare le perdite monetarie in caso di incidenti di sicurezza.
Letteratura
1. ISO / IEC 27001. Lo standard internazionale contiene i requisiti di sicurezza delle informazioni per la creazione, lo sviluppo e la manutenzione di un sistema di gestione della sicurezza delle informazioni. 20 anni.
2. GOST R ISO / IEC TO 7. Standard nazionale della Federazione Russa. Metodi e mezzi per garantire la sicurezza. Parte 3. Metodi di gestione della sicurezza informatica. Mosca. 20 anni.
3. BS 7799-2: 2005 Specifiche del sistema di gestione della sicurezza delle informazioni. Inghilterra. 20 anni.
4. RS BR IBBS-2.2-200. Garantire la sicurezza delle informazioni delle organizzazioni nel sistema bancario della Federazione Russa. Metodi per valutare i rischi di violazione della sicurezza delle informazioni. Mosca. 20 anni.
5. Guida alla gestione dei rischi per i sistemi informatici. Raccomandazioni dell'Istituto nazionale di standard e tecnologia. STATI UNITI D'AMERICA. 20 anni.
6. Fonte elettronica Wikipedia, articolo "Rischio".
È noto che il rischio è la probabilità di una minaccia alla sicurezza delle informazioni. Nella visione classica, la valutazione del rischio include una valutazione delle minacce, delle vulnerabilità e dei danni causati durante la loro attuazione. L'analisi del rischio consiste nel modellare il quadro dell'insorgenza di queste condizioni più sfavorevoli tenendo conto di tutti i possibili fattori che determinano il rischio in quanto tale. Da un punto di vista matematico, nell'analisi dei rischi, tali fattori possono essere considerati parametri di input.
Elenchiamo questi parametri:
1) asset - componenti chiave dell'infrastruttura di sistema coinvolti nel processo aziendale e aventi un certo valore;
2) minacce, la cui attuazione è possibile attraverso lo sfruttamento della vulnerabilità;
3) vulnerabilità - debolezza nei mezzi di protezione causata da errori o imperfezioni nelle procedure, nella progettazione, nell'implementazione, che possono essere utilizzati per penetrare nel sistema;
4) danno, che viene valutato tenendo conto dei costi di ripristino del sistema allo stato originario dopo un possibile incidente di sicurezza delle informazioni.
Quindi, il primo passo per condurre un'analisi del rischio multivariato è l'identificazione e la classificazione dei parametri di input analizzati. Successivamente, è necessario effettuare una gradazione di ciascun parametro in base ai livelli di significatività (ad esempio: alto, medio, basso). Nella fase finale di modellazione del rischio probabile (che precede la ricezione di dati numerici sul livello di rischio), le minacce e le vulnerabilità individuate sono legate a componenti specifici dell'infrastruttura informatica (tale collegamento può implicare, ad esempio, analisi del rischio con e indipendentemente dalla disponibilità delle difese del sistema, la probabilità che il sistema venga compromesso a causa di fattori non contabilizzati, ecc.). Esaminiamo passo dopo passo il processo di modellazione del rischio. Per fare questo, prima di tutto, prestiamo attenzione al patrimonio aziendale.
Inventario dei beni aziendali
(CARATTERIZZAZIONE DEL SISTEMA)
Prima di tutto, è necessario determinare quale sia un bene prezioso dell'azienda dal punto di vista della sicurezza delle informazioni. La norma ISO 17799, che descrive in dettaglio le procedure per un sistema di gestione della sicurezza delle informazioni, individua le seguenti tipologie di asset:
... risorse informative (banche dati e file di dati, contratti e accordi, documentazione di sistema, informazioni sulla ricerca, documentazione, materiali di formazione, ecc.);
... Software;
... beni materiali (materiale informatico, telecomunicazioni, ecc.);
... servizi (servizi di telecomunicazione, sistemi di supporto vitale, ecc.);
... dipendenti dell'azienda, loro qualifiche ed esperienza;
... risorse immateriali (reputazione e immagine dell'azienda).
È necessario determinare quale risorsa la violazione della sicurezza delle informazioni può danneggiare l'azienda. In questo caso, il bene sarà considerato prezioso e dovrà essere preso in considerazione durante l'analisi dei rischi informativi. L'inventario è la compilazione di un elenco dei beni preziosi dell'azienda. In genere, questo processo viene eseguito dai proprietari delle risorse. Il termine "proprietario" definisce le persone oi soggetti che hanno responsabilità approvate dalla direzione aziendale per gestire la creazione, lo sviluppo, la manutenzione, l'uso e la protezione dei beni.
Nel processo di categorizzazione degli asset, è necessario valutare la criticità degli asset per i processi aziendali dell'azienda o, in altre parole, determinare quanti danni subirà l'azienda in caso di violazione della sicurezza delle informazioni degli asset. Questo processo è il più difficile, perché il valore dei beni è determinato sulla base delle perizie dei loro proprietari. Durante questa fase, si tengono spesso discussioni tra consulenti per lo sviluppo di sistemi di gestione e proprietari di asset. Questo aiuta i proprietari delle risorse a capire come determinare il valore delle risorse da un punto di vista della sicurezza delle informazioni (di norma, il processo di determinazione della criticità delle risorse è nuovo e non banale per il proprietario). Inoltre, sono in fase di sviluppo diverse tecniche di valutazione per i proprietari di attività. In particolare, tali metodologie possono contenere criteri specifici (rilevanti per una determinata azienda) che dovrebbero essere considerati nella valutazione delle criticità.
Valutazione della criticità degli asset
La valutazione della criticità degli asset viene effettuata secondo tre parametri: riservatezza, integrità e disponibilità. Quelli. va fatta una valutazione del danno che la società subirà in caso di violazione della riservatezza, integrità o disponibilità dei beni. La valutazione della criticità degli asset può essere effettuata in unità monetarie e in livelli. Tuttavia, dato che l'analisi dei rischi informativi richiede valori in unità monetarie, nel caso di valutazione della criticità delle attività in livelli, dovrebbe essere determinata la valutazione di ciascun livello in moneta.
Secondo l'autorevole classificazione NIST contenuta nella GUIDA ALLA GESTIONE DEI RISCHI PER I SISTEMI INFORMATIVI, la categorizzazione e la valutazione delle minacce è preceduta dall'identificazione diretta delle loro fonti. Quindi, secondo la classificazione di cui sopra, possono essere identificate le principali fonti di minacce, tra cui:
... minacce naturali (terremoti, alluvioni, ecc.);
... minacce provenienti da una persona (accesso non autorizzato, attacchi di rete, errori dell'utente, ecc.);
... minacce provocate dall'uomo (incidenti di vario genere, interruzioni di corrente, inquinamento chimico, ecc.).
La suddetta classificazione può essere ulteriormente classificata in modo più dettagliato.
Pertanto, secondo la suddetta classificazione NIST, le categorie indipendenti di fonti di minaccia umana includono:
- hacker;
- strutture criminali;
- terroristi;
- società dedite allo spionaggio industriale;
- addetti ai lavori.
Ciascuna delle minacce elencate, a sua volta, deve essere dettagliata e classificata su una scala di significatività (ad esempio: bassa, media, alta).
Ovviamente l'analisi delle minacce va considerata in stretta connessione con le vulnerabilità del sistema che stiamo esaminando. L'obiettivo di questa fase di gestione del rischio è compilare un elenco di possibili vulnerabilità del sistema e classificare queste vulnerabilità in base alla loro "forza". Quindi, secondo la pratica globale, la gradazione delle vulnerabilità può essere suddivisa in livelli: Critico, Alto, Medio, Basso. Consideriamo questi livelli in modo più dettagliato:
1. Livello critico di pericolo. Questo livello di gravità include le vulnerabilità che consentono la compromissione remota di un sistema senza ulteriore esposizione all'utente di destinazione e attualmente vengono sfruttate attivamente. Questo livello di pericolo implica che l'exploit sia di dominio pubblico.
2. Alto grado di pericolo. Questo livello di gravità include vulnerabilità che consentono la compromissione del sistema remoto. Di norma, non esistono exploit pubblicamente disponibili per tali vulnerabilità.
3. Grado di pericolo medio. Questo livello di gravità include vulnerabilità che consentono la negazione del servizio remota, l'accesso non autorizzato ai dati o l'esecuzione di codice arbitrario tramite l'interazione diretta dell'utente (ad esempio, tramite un'applicazione vulnerabile che si connette a un server dannoso).
4. Basso livello di pericolo. Questo livello include tutte le vulnerabilità che vengono sfruttate localmente, nonché le vulnerabilità difficili da sfruttare o che hanno un impatto minimo (ad esempio XSS, denial of service per un'applicazione client).
La fonte per la compilazione di tale elenco/elenco di vulnerabilità dovrebbe essere:
... elenchi di vulnerabilità regolarmente pubblicati pubblicamente disponibili (ad esempio: www.securitylab.ru);
... un elenco di vulnerabilità pubblicato dal produttore del software (ad esempio: www.apache.org);
... risultati dei test di penetrazione (ad esempio: www.site-sec.com);
... analisi delle segnalazioni di scanner di vulnerabilità (effettuate dall'amministratore della sicurezza all'interno dell'azienda).
In generale, le vulnerabilità possono essere classificate come segue:
... Vulnerabilità del sistema operativo e del software (errori di codice) scoperte dal produttore o da esperti indipendenti (al momento della stesura di questo documento, il numero totale di vulnerabilità scoperte ha raggiunto circa ~ 1900 - questo includeva le vulnerabilità pubblicate nei "bugtracks" su xakep.ru, securitylab, milw0rm.com e securityfocus .com).
... Vulnerabilità del sistema associate ad errori di amministrazione (impostazioni inadeguate del server web o PHP, porte con servizi vulnerabili non chiusi da firewall, ecc.).
... Vulnerabilità, le cui fonti possono essere incidenti non coperti dalla politica di sicurezza, nonché eventi naturali. L'overflow del buffer è un ottimo esempio di un sistema operativo comune e di una vulnerabilità del software. A proposito, va detto, la stragrande maggioranza degli exploit esistenti implementa una classe di vulnerabilità di buffer overflow.
Metodi numerici di valutazione del rischio
La valutazione del rischio informativo più semplice consiste nel calcolo del rischio, che viene eseguito tenendo conto delle informazioni sulla criticità degli asset, nonché sulla probabilità che si realizzino le vulnerabilità.
La formula classica per la valutazione del rischio:
R = D * P (V), dove R è il rischio informativo;
D è la criticità del bene (danno);
P (V) è la probabilità che la vulnerabilità si realizzi.
Un esempio dell'attuazione pratica dell'approccio di cui sopra per determinare i livelli di rischio è la matrice di rischio proposta dal NIST.
| Minaccia Probabilità-minaccia (la sua probabilità) | Danno da impatto | ||
| Basso - 10 | Medio -50 | Alto -100 | |
| Alto - 1 | Basso 10x1 = 10 | Medio 50x1 = 50 | Alto 100x1 = 100 |
| Medio - 0,5 | Basso 10x0,5 = 5 | Medio 50x0,5 = 25 | Medio 100x0,5 = 50 |
| Basso - 0.1 | Basso 10x0.1 = 1 | Basso 50x0.1 = 5 | Basso 100x0.1 = 10 |
| Livello di rischio: alto (da 50 a 100); Medio (da 10 a 50); Basso (da 1 a 10). | |||
Ciascuno dei possibili parametri di input (ad esempio vulnerabilità, minaccia, bene e danno) è descritto dalla propria funzione di appartenenza, tenendo conto del coefficiente corrispondente.
Valutazione del rischio in logica fuzzy
I meccanismi di valutazione del rischio basati su logica fuzzy includono una sequenza di fasi, ciascuna delle quali utilizza i risultati della fase precedente. La sequenza di questi passaggi è solitamente la seguente:
... Inserimento di regole di programmazione sotto forma di regole di produzione ("IF, ... THEN"), che riflettono la relazione tra il livello dei dati in ingresso e il livello di rischio in uscita.
... Impostazione della funzione di appartenenza delle variabili di input (ad esempio - utilizzando programmi specializzati come "Fuzyy logic" - in questo esempio abbiamo usato MatLab).
... Ottenere il risultato principale della valutazione delle variabili di input.
... Fuzzificazione delle stime delle variabili di input (ricerca di valori specifici delle funzioni di appartenenza).
... Aggregazione (implica il controllo della verità delle condizioni trasformando le funzioni di appartenenza attraverso la congiunzione fuzzy e la disgiunzione fuzzy).
... Attivazione delle conclusioni (ricerca dei coefficienti di peso per ciascuna delle regole e funzioni di verità).
... Accumulo di conclusioni (trovare la funzione di appartenenza per ciascuna delle variabili di output).
... Defazificazione (trovare valori chiari delle variabili di output).
Quindi, nell'esempio sopra (Tabella 1.1.), In effetti, è stato considerato un algoritmo a due parametri per la valutazione del rischio con scale a tre livelli di parametri di input. in cui:
... per i valori di input e rischio sono state impostate scale a tre livelli, sulle quali sono stati definiti termini fuzzy (corrispondenti a valori "grandi", "medi" e "bassi" delle variabili - vedi Fig. 1);
... il significato di tutte le regole di inferenza logica è lo stesso (tutti i pesi delle regole di produzione sono uguali a uno).
Riso. 1. Funzioni di appartenenza trapezoidale di una scala di "vulnerabilità" a tre livelli
Ovviamente, un algoritmo a due parametri che coinvolge l'input di due variabili di input non può fornire un risultato oggettivo dell'analisi del rischio, soprattutto tenendo conto di molti fattori - variabili di input, che, tra l'altro, riflettono il quadro reale della valutazione del rischio IS.
Algoritmo a quattro parametri
Supponiamo che con l'ausilio di regole di produzione di logica fuzzy sia necessario riprodurre il motore di inferenza tenendo conto di quattro variabili di input. Tali variabili in questo caso sono:
... risorse;
... vulnerabilità;
... minaccia (o meglio, la sua probabilità);
... danno.
Ciascuna delle variabili di input elencate viene valutata secondo la propria scala. Supponiamo quindi che, sulla base di un'analisi preliminare, siano state ottenute alcune stime delle variabili di input (Fig. 2.):
Riso. 2. Input di stime variabili e motore di inferenza
Usando l'esempio più semplice, considera il tipo di regole di produzione per un determinato caso con una scala a tre livelli:
Riso. 3. Regole di produzione dell'algoritmo a quattro parametri
L'interfaccia grafica di Fuzzy Logic Toolbox in questo caso consente di visualizzare i grafici della dipendenza del rischio dalla probabilità di minaccia e, di conseguenza, altre variabili di input.
figura 4. Dipendenza del rischio dalla probabilità di una minaccia
Riso. 5. Dipendenza del rischio dal danno
Un grafico uniforme e monotono della "curva di inferenza" indica la sufficienza e la coerenza delle regole di inferenza utilizzate. Una rappresentazione grafica visiva consente di valutare l'adeguatezza delle proprietà del meccanismo di inferenza ai requisiti. In questo caso, la "curva di inferenza" indica che è consigliabile utilizzare il meccanismo di inferenza solo nella regione dei valori di bassa probabilità, cioè con una probabilità inferiore a 0,5. Come puoi spiegare un tale "blocco" in valori con una probabilità maggiore di 0,5? Probabilmente perché l'uso di una scala a tre livelli, di regola, influisce sulla sensibilità dell'algoritmo nella regione dei valori di alta probabilità.
Una panoramica di alcuni strumenti di analisi del rischio multifattoriale
Quando si esegue un'analisi completa del rischio, tenendo conto di molti fattori, è necessario risolvere una serie di problemi difficili:
... Come determinare il valore delle risorse?
... Come compilare un elenco completo delle minacce alla sicurezza delle informazioni e valutarne i parametri?
... Come scegliere le giuste contromisure e valutarne l'efficacia?
Per risolvere questi problemi, esistono strumenti appositamente progettati costruiti utilizzando metodi strutturali di analisi e progettazione dei sistemi (SSADM - Structured Systems Analysis and Design), che forniscono:
- costruire un modello IS dal punto di vista IS;
- modalità di valutazione del valore delle risorse;
- strumenti per compilare un elenco di minacce e valutarne le probabilità;
- selezione delle contromisure e analisi della loro efficacia;
- analisi delle opzioni per la protezione degli edifici;
- documentazione (generazione di report).
Attualmente sul mercato sono presenti diversi prodotti software di questa classe. Il più popolare di questi è CRAMM. Ne parleremo brevemente di seguito.
Metodo CRAMM
Nel 1985, la Central Computer and Telecommunications Agency (CCTA) del Regno Unito ha iniziato a ricercare i metodi di analisi della sicurezza delle informazioni esistenti al fine di raccomandare metodi adatti all'uso nelle agenzie governative coinvolte nell'elaborazione di informazioni non classificate ma critiche. Nessuno dei metodi di cui sopra ha funzionato. Pertanto, è stato sviluppato un nuovo metodo che soddisfa i requisiti del CCTA. È stato chiamato CRAMM - Metodo di analisi e controllo del rischio CCTA. Quindi sono apparse diverse versioni del metodo, incentrate sui requisiti del Ministero della Difesa, delle istituzioni governative civili, delle istituzioni finanziarie e delle organizzazioni private. Una delle versioni - "profilo commerciale" - è un prodotto commerciale. Attualmente, il CRAMM è, a giudicare dal numero di collegamenti su Internet, il metodo più comune per analizzare e controllare i rischi. L'analisi dei rischi include l'identificazione e il calcolo dei livelli di rischio (misure) sulla base delle valutazioni assegnate alle risorse, alle minacce e alle vulnerabilità delle risorse. Il controllo del rischio consiste nell'identificare e selezionare contromisure per ridurre i rischi a un livello accettabile. Un metodo formale basato su questo concetto dovrebbe garantire che la protezione copra l'intero sistema e che vi sia la certezza che:
Tutti i possibili rischi sono stati identificati;
... vengono identificate le vulnerabilità delle risorse e valutati i loro livelli;
... vengono identificate le minacce e valutati i loro livelli;
... le contromisure sono efficaci;
... i costi associati alla sicurezza delle informazioni sono giustificati.
Oleg Boytsev, capo di "Cerber Security // Analisi della sicurezza del tuo sito"
Attualmente vengono utilizzati vari metodi per valutare e gestire i rischi informativi delle aziende. La valutazione del rischio delle informazioni di un'azienda può essere effettuata secondo il seguente piano:
1) Individuazione e valutazione quantitativa delle risorse informative aziendali rilevanti per il business.
2) Valutazione delle possibili minacce.
3) Valutazione delle vulnerabilità esistenti.
4) Valutazione dell'efficacia degli strumenti di sicurezza delle informazioni.
Si presume che le risorse di informazioni vulnerabili business-critical dell'azienda siano a rischio in caso di minacce. In altre parole, i rischi caratterizzano il pericolo che può minacciare le componenti del sistema informativo aziendale. Allo stesso tempo, i rischi informativi dell'azienda dipendono da:
Indicatori del valore delle risorse informative;
La probabilità di attuazione di minacce alle risorse;
L'efficacia degli strumenti di sicurezza delle informazioni esistenti o pianificati.
Lo scopo della valutazione dei rischi è determinare le caratteristiche dei rischi del sistema informativo aziendale e delle sue risorse. Dopo aver valutato i rischi, è possibile scegliere i mezzi che garantiscono il livello di sicurezza delle informazioni desiderato per l'azienda. Nella valutazione dei rischi si tiene conto di fattori quali il valore delle risorse, l'importanza delle minacce e delle vulnerabilità e l'efficacia delle difese esistenti e pianificate. La possibilità di una minaccia a una determinata risorsa di un'azienda è stimata dalla probabilità della sua realizzazione entro un determinato periodo di tempo. Allo stesso tempo, la probabilità che la minaccia si realizzi è determinata dai seguenti fattori principali:
L'attrattiva della risorsa (presa in considerazione quando si considera la minaccia derivante da un'influenza umana deliberata);
La capacità di utilizzare la risorsa per generare reddito (anche in caso di minaccia da deliberata influenza umana);
Le capacità tecniche dell'implementazione della minaccia in caso di deliberata influenza umana;
La facilità con cui la vulnerabilità può essere sfruttata.
Attualmente, la gestione del rischio delle informazioni è una delle aree più rilevanti e in via di sviluppo dinamico della gestione strategica e operativa nel campo della sicurezza delle informazioni. Il suo compito principale è quello di identificare e valutare oggettivamente i rischi informativi dell'impresa più significativi per il business, nonché l'adeguatezza dei presidi di rischio utilizzati per aumentare l'efficienza e la redditività delle attività economiche dell'impresa. Pertanto, il termine "gestione del rischio informativo" è solitamente inteso come un processo sistemico di identificazione, controllo e mitigazione dei rischi informatici delle aziende in conformità con alcune restrizioni del quadro normativo russo nel campo della protezione delle informazioni e della propria politica di sicurezza aziendale. Si ritiene che un'elevata qualità della gestione dei rischi consenta l'utilizzo di strumenti di controllo dei rischi e di protezione delle informazioni ottimali in termini di efficienza e costo, adeguati agli attuali scopi e obiettivi di business dell'impresa.
Non è un segreto che oggi vi sia un diffuso aumento della dipendenza delle attività commerciali di successo delle società nazionali dalle misure organizzative utilizzate e dai mezzi tecnici di controllo e riduzione dei rischi. Per una gestione efficace dei rischi informativi, sono stati sviluppati metodi speciali, ad esempio metodi degli standard internazionali ISO 15408, ISO 17799 (BS7799), BSI; così come gli standard nazionali NIST 80030, SAC, COSO, SAS 55/78 e alcuni altri simili ad essi. In conformità con questi metodi, la gestione del rischio informativo di qualsiasi azienda assume quanto segue. In primo luogo, definire gli obiettivi principali e gli obiettivi di protezione del patrimonio informativo dell'azienda. In secondo luogo, la creazione di un sistema efficace per la valutazione e la gestione dei rischi informativi. Terzo, il calcolo di una serie di dettagliate valutazioni del rischio non solo qualitative, ma anche quantitative, adeguate agli obiettivi aziendali dichiarati. In quarto luogo, l'uso di strumenti speciali per la valutazione e la gestione dei rischi.
Tecniche di gestione del rischio di qualità
Tecniche di gestione del rischio di alta qualità sono state adottate nei paesi tecnologicamente sviluppati da un vasto esercito di revisori IT interni ed esterni. Queste tecniche sono abbastanza popolari e relativamente semplici e sono sviluppate, di regola, sulla base dei requisiti della norma internazionale ISO 177992002.
Lo standard ISO 17799 contiene due parti.
Parte 1: Linee guida pratiche per la gestione della sicurezza delle informazioni, 2002, definisce gli aspetti principali dell'organizzazione di un regime di sicurezza delle informazioni in un'azienda: Politica di sicurezza. Organizzazione della protezione. Classificazione e gestione delle risorse informative. Gestione personale. Sicurezza fisica. Amministrazione di sistemi e reti informatiche. Controllo dell'accesso ai sistemi. Sviluppo e manutenzione di sistemi. Pianificazione del buon funzionamento dell'organizzazione. Verifica del sistema per la conformità ai requisiti IS.
La Parte 2: Specifiche, 2002, affronta questi stessi aspetti in termini di certificazione del regime di sicurezza delle informazioni di un'azienda per soddisfare i requisiti dello standard. Da un punto di vista pratico, questa parte è uno strumento per un revisore informatico e consente di condurre rapidamente un audit interno o esterno della sicurezza delle informazioni di qualsiasi azienda.
Le metodologie qualitative di gestione del rischio basate sui requisiti ISO 17999 includono le metodologie COBRA e RA Software Tool. Diamo una rapida occhiata alle tecniche nominate.
Questa tecnica consente di eseguire in modalità automatizzata l'opzione più semplice per valutare i rischi informativi per qualsiasi azienda. Per questo, si propone di utilizzare speciali basi di conoscenza elettroniche e procedure di inferenza focalizzate sui requisiti della ISO 17799. È essenziale che, se lo si desidera, l'elenco dei requisiti da prendere in considerazione possa essere integrato con vari requisiti degli organismi di regolamentazione nazionali , ad esempio, i requisiti dei documenti di orientamento (RD) della Commissione tecnica statale sotto il presidente della Federazione Russa.
La metodologia COBRA presenta i requisiti dello standard ISO 17799 sotto forma di questionari tematici (liste di controllo), a cui è necessario rispondere durante la valutazione del rischio delle risorse informative e delle transazioni commerciali elettroniche dell'azienda ( Riso. 1. - Esempio di una raccolta tematica di domande COBRA). Inoltre, le risposte inserite vengono elaborate automaticamente e, utilizzando le opportune regole di inferenza, viene generato un report finale con le valutazioni attuali dei rischi informativi aziendali e le raccomandazioni per la loro gestione.
Strumento software RA
Metodologia e strumento con lo stesso nome RA Software Tool ( Riso. 2. - I moduli principali della metodologia RA Software Tool) si basano sui requisiti degli standard internazionali ISO 17999 e ISO 13335 (parti 3 e 4), nonché sui requisiti di alcune linee guida del British National Standards Institute (BSI), ad esempio PD 3002 (Risk Assessment and Management Guida), PD 3003 (Società di valutazione della prontezza per audit in conformità con BS 7799), PD 3005 (Guida alla selezione del sistema di protezione), ecc.
Tale metodologia consente la valutazione dei rischi informativi (moduli 4 e 5) in accordo con i requisiti della ISO 17799, e, se desiderato, in accordo con le specifiche più dettagliate della linea guida PD 3002 del British Standards Institute.
Tecniche quantitative di gestione del rischio
Il secondo gruppo di tecniche di gestione del rischio è costituito da tecniche quantitative, la cui rilevanza è dovuta alla necessità di risolvere vari problemi di ottimizzazione che spesso si presentano nella vita reale. L'essenza di questi compiti si riduce a trovare l'unica soluzione ottimale tra molte di quelle esistenti. Ad esempio, è necessario rispondere alle seguenti domande: "Come, pur rimanendo all'interno del budget annuale (trimestrale) approvato per la sicurezza delle informazioni, raggiungere il massimo livello di protezione del patrimonio informativo aziendale?" o "Quali alternative per la creazione di una sicurezza delle informazioni aziendali (sito WWW protetto o posta elettronica aziendale) scegliere, tenendo conto delle note limitazioni delle risorse aziendali dell'azienda?" Per risolvere questi problemi, si stanno sviluppando metodi e tecniche per la valutazione quantitativa e la gestione del rischio basati su metodi strutturali e, meno spesso, orientati agli oggetti di analisi e progettazione del sistema (SSADM - Structured Systems Analysis and Design). In pratica, queste tecniche di gestione del rischio consentono di: Creare modelli del patrimonio informativo aziendale dal punto di vista della sicurezza; Classificare e valutare il valore dei beni; Compilare elenchi delle minacce e delle vulnerabilità di sicurezza più significative; Classificare le minacce e le vulnerabilità alla sicurezza; Giustificare i mezzi e le misure di controllo del rischio; Valutare l'efficacia/costo delle varie opzioni di protezione; Formalizzare e automatizzare le procedure di valutazione e gestione dei rischi.
Una delle tecniche più conosciute in questa classe è la tecnica CRAMM.
prima è stato creato un metodo, quindi un metodo con lo stesso nome CRAMM (analisi e controllo dei rischi), che soddisfa i requisiti del CCTA. Quindi sono apparse diverse versioni della metodologia, incentrate sui requisiti di varie organizzazioni e strutture governative e commerciali. Una delle versioni del "profilo commerciale" si è ampiamente diffusa nel mercato della sicurezza informatica.
Gli obiettivi principali della metodologia CRAMM sono: formalizzazione e automazione delle procedure di analisi e gestione dei rischi; Ottimizzazione dei costi per mezzi di controllo e protezione; Pianificazione completa e gestione dei rischi in tutte le fasi del ciclo di vita dei sistemi informativi; Ridurre il tempo dedicato allo sviluppo e alla manutenzione di un sistema di sicurezza delle informazioni aziendali; Giustificazione dell'efficacia delle misure di protezione e dei controlli proposti; Gestione del cambiamento e degli incidenti; Supporto alla continuità aziendale; Pronto processo decisionale su questioni di gestione della sicurezza, ecc.
La gestione del rischio nella metodologia СRAMM viene eseguita in più fasi (Fig. 3).
Nella prima fase di avvio - "Iniziazione" - vengono determinati i confini del sistema informativo indagato della società, la composizione e la struttura delle sue principali risorse informative e transazioni.
Nella fase di identificazione e valutazione delle risorse - "Identificazione e valutazione dei beni" - vengono chiaramente identificati i beni e viene determinato il loro valore. Il calcolo del costo delle risorse informative consente in modo inequivocabile di determinare la necessità e l'adeguatezza dei mezzi di controllo e protezione proposti.
Nella fase di valutazione delle minacce e delle vulnerabilità - "Threat and Vulnerability Assessment" - vengono identificate e valutate le minacce e le vulnerabilità del patrimonio informativo aziendale.
La fase di analisi del rischio - "Analisi del rischio" - consente di ottenere valutazioni di rischio qualitative e quantitative.
Nella fase di gestione del rischio - "Gestione del rischio" - vengono proposte misure e mezzi per ridurre o evitare il rischio.
Diamo un'occhiata alle capacità di CRAMM usando il seguente esempio. Consentire la valutazione dei rischi informativi per il seguente sistema informativo aziendale (Fig. 4).
In questo schema individueremo condizionalmente i seguenti elementi del sistema: luoghi di lavoro in cui gli operatori inseriscono informazioni provenienti dal mondo esterno; un server di posta a cui vengono ricevute informazioni da nodi di rete remoti via Internet; il server di elaborazione su cui è installato il DBMS; server di backup; luoghi di lavoro del team di risposta rapida; postazione di lavoro dell'amministratore della sicurezza; Postazione di lavoro dell'amministratore del DB.
Il sistema funziona come segue. I dati immessi dalle postazioni degli utenti e ricevuti sul server di posta vengono inviati al server di elaborazione dati aziendale. Quindi i dati vengono inviati ai luoghi di lavoro del team di risposta rapida e lì vengono prese le decisioni appropriate.
Eseguiamo ora un'analisi del rischio utilizzando la metodologia CRAMM e suggeriamo alcuni mezzi di controllo e gestione del rischio adeguati alle finalità e agli obiettivi di business dell'azienda.
Determinazione dei confini dello studio. La fase inizia con la risoluzione del problema di determinare i confini del sistema in studio. Per questo vengono raccolte le seguenti informazioni: Responsabile delle risorse fisiche e software; chi è l'utente e come gli utenti utilizzano o utilizzeranno il sistema; configurazione di sistema. Le informazioni primarie vengono raccolte tramite conversazioni con project manager, user manager o altri dipendenti.
Individuazione delle risorse e costruzione di un modello del sistema dal punto di vista della sicurezza delle informazioni. Viene effettuata l'identificazione delle risorse: materiale, software e informazioni contenute entro i confini del sistema. Ogni risorsa deve essere assegnata a una delle classi predefinite. La classificazione delle risorse fisiche è riportata in appendice. Quindi viene costruito un modello del sistema informativo dal punto di vista della sicurezza delle informazioni. Per ogni processo informativo, che ha un significato indipendente dal punto di vista dell'utente e viene chiamato servizio utente (EndUserService), viene costruito un albero di collegamenti delle risorse utilizzate. In questo esempio, ci sarà un solo servizio di questo tipo (Fig. 5). Il modello costruito permette di evidenziare gli elementi critici.
Il valore delle risorse. La tecnica consente di determinare il valore delle risorse. Questo passaggio è necessario nell'analisi completa dei rischi. Il valore delle risorse fisiche in questo metodo è determinato dal costo del loro ripristino in caso di distruzione. Il valore dei dati e del software è determinato nelle seguenti situazioni: indisponibilità di una risorsa per un certo periodo di tempo; distruzione di una risorsa - perdita di informazioni ricevute dall'ultimo backup o dalla sua completa distruzione; violazione della riservatezza nei casi di accesso non autorizzato da parte di membri del personale o persone non autorizzate; la modifica è considerata per i casi di errori personali minori (errori di input), errori di programmazione, errori intenzionali; errori relativi al trasferimento delle informazioni: rifiuto di consegna, mancato recapito delle informazioni, consegna all'indirizzo sbagliato. Per valutare l'eventuale danno si propone di utilizzare i seguenti criteri: danno alla reputazione dell'organizzazione; violazione della normativa vigente; danno alla salute del personale; danno connesso alla comunicazione di dati personali delle persone fisiche; perdite finanziarie dalla divulgazione di informazioni; perdite finanziarie associate al ripristino delle risorse; perdite connesse all'impossibilità di adempiere alle obbligazioni; disorganizzazione delle attività.
Il set di criteri dato viene utilizzato nella versione commerciale del metodo (profilo standard). In altre versioni, l'aggregato sarà diverso, ad esempio, nella versione utilizzata nelle agenzie governative, vengono aggiunti parametri che riflettono aree come la sicurezza nazionale e le relazioni internazionali.
Per i dati e il software vengono selezionati i criteri applicabili al dato IS e il danno viene valutato su una scala da 1 a 10.
Ad esempio, se i dati contengono dettagli di informazioni commerciali riservate (critiche), l'esperto che conduce la ricerca pone la domanda: in che modo l'accesso non autorizzato di persone non autorizzate a tali informazioni può influire sull'organizzazione?
È possibile la seguente risposta: fallimento in più parametri tra quelli sopra elencati contemporaneamente, e ogni aspetto dovrebbe essere considerato in modo più dettagliato e assegnato il punteggio più alto possibile.
Quindi vengono sviluppate le scale per il sistema di parametri selezionato. Potrebbero assomigliare a questo.
Danno alla reputazione dell'organizzazione: 2 - reazione negativa di singoli funzionari, personaggi pubblici; 4 - critiche nei media, che non hanno un'ampia risposta di pubblico; 6 - reazione negativa di alcuni deputati della Duma e del Consiglio della Federazione; 8 - critiche nei media, che hanno conseguenze sotto forma di grandi scandali, audizioni parlamentari, ispezioni su larga scala, ecc .; 10 - Reazione negativa a livello del Presidente e del Governo.
Danni alla salute del personale: 2 - danno minimo (le conseguenze non sono associate a ricoveri o cure a lungo termine); 4 - danno di media entità (il trattamento è necessario per uno o più dipendenti, ma non ci sono conseguenze negative a lungo termine); 6 - conseguenze gravi (ricovero prolungato, invalidità di uno o più dipendenti); 10 - perdita della vita.
Perdite finanziarie associate al ripristino delle risorse: 2 - meno di $ 1000; 6 - da $ 1000 a $ 10.000; 8 - da $ 10.000 a $ 100.000; 10 - oltre $ 100.000.
Disorganizzazione dell'attività per indisponibilità dei dati: 2 - mancato accesso alle informazioni per un massimo di 15 minuti; 4 - mancanza di accesso alle informazioni per un massimo di 1 ora; 6 - mancato accesso alle informazioni fino a 3 ore; 8 - mancato accesso alle informazioni da 12 ore; 10 - mancanza di accesso alle informazioni per più di un giorno.
In questa fase è possibile preparare diversi tipi di report (confini del sistema, modello, determinazione del valore delle risorse). Se i valori delle risorse sono bassi, è possibile utilizzare l'opzione di difesa di base. In questo caso, il ricercatore può passare direttamente da questa fase alla fase di analisi del rischio. Tuttavia, per tenere adeguatamente conto del potenziale impatto di qualsiasi minaccia, vulnerabilità o combinazione di minacce e vulnerabilità di livello elevato, è necessario utilizzare una versione abbreviata della fase di valutazione delle minacce e delle vulnerabilità. Ciò consente di sviluppare un sistema più efficace per proteggere le informazioni aziendali.
Nella fase di valutazione delle minacce e delle vulnerabilità, vengono valutate le dipendenze dei servizi utente da determinati gruppi di risorse e il livello esistente di minacce e vulnerabilità.
Inoltre, i beni aziendali sono raggruppati in termini di minacce e vulnerabilità.Ad esempio, in caso di minaccia di incendio o furto, è ragionevole considerare tutte le risorse localizzate in un luogo come un gruppo di risorse (sala server, comunicazione camera, ecc.).
In questo caso, la valutazione dei livelli di minaccia e vulnerabilità può essere effettuata sulla base di fattori indiretti o sulla base di valutazioni dirette di esperti. Nel primo caso il software CRAMM per ogni gruppo di risorse e per ciascuna di esse genera un elenco di domande che consentono una risposta univoca ( Riso. 8. -Valutazione del livello di minaccia alla sicurezza da fattori indiretti).
Il livello di minaccia viene valutato, a seconda delle risposte, come: molto alto; alto; media; breve; molto basso.
Il livello di vulnerabilità è valutato, a seconda delle risposte, come: alto; media; breve; mancante.
È possibile correggere i risultati o utilizzare altri metodi di valutazione. Sulla base di queste informazioni, i livelli di rischio sono calcolati su una scala discreta con gradazioni da 1 a 7 (la fase di analisi del rischio). I conseguenti livelli di minacce, vulnerabilità e rischi vengono analizzati e concordati con il cliente. Solo dopo puoi procedere alla fase finale del metodo.
Gestione dei rischi. Le fasi principali della fase di gestione del rischio sono mostrate in Fig. 9.
In questa fase, CRAMM genera diverse opzioni per contromisure adeguate ai rischi identificati e ai loro livelli. Le contromisure sono suddivise in gruppi e sottogruppi nelle seguenti categorie: Sicurezza a livello di rete. Fornire sicurezza fisica. Messa in sicurezza dell'infrastruttura di supporto. Misure di sicurezza a livello di amministratore di sistema.
Come risultato di questa fase, vengono generati diversi tipi di report.
Pertanto, la metodologia considerata di analisi e gestione del rischio è pienamente applicabile nel contesto russo, nonostante il fatto che gli indicatori di sicurezza contro l'accesso non autorizzato alle informazioni e i requisiti per la protezione delle informazioni differiscano nella RD russa e negli standard stranieri. È particolarmente utile utilizzare strumenti come il metodo CRAMM quando si esegue l'analisi dei rischi di sistemi informativi con requisiti maggiori nel campo della sicurezza delle informazioni. Ciò consente di ottenere valutazioni ragionevoli dei livelli esistenti e accettabili di minacce, vulnerabilità ed efficacia della protezione.
Metodo MethodWare
MethodWare ha sviluppato una propria metodologia di valutazione e gestione del rischio e ha rilasciato una serie di strumenti correlati. Questi strumenti includono il software di gestione e analisi dei rischi Operational Risk Builder e Risk Advisor. La metodologia è conforme allo standard di gestione del rischio australiano / neozelandese (AS / NZS 4360: 1999) e allo standard ISO17799. Software di gestione del ciclo di vita delle tecnologie dell'informazione secondo CobiT Advisor 3rd Edition (Audit) e CobiT 3rd Edition Management Advisor. Le guide CobiT pongono un'enfasi significativa sull'analisi e la gestione dei rischi. Software per automatizzare la costruzione di una varietà di questionari per il generatore di questionari.
Diamo una rapida occhiata alle capacità di Risk Advisor. Questo software è posizionato come un toolkit per un analista o un manager nel campo della sicurezza delle informazioni. È stata implementata una tecnica che consente di impostare un modello di un sistema informativo dalla posizione di sicurezza delle informazioni, identificare rischi, minacce, perdite a seguito di incidenti. Le principali fasi del lavoro sono: descrizione del contesto, identificazione dei rischi, valutazione delle minacce e dei possibili danni, sviluppo delle azioni di controllo e sviluppo di un piano di ripristino e risposta alle emergenze. Diamo un'occhiata più da vicino ai passaggi elencati. Descrizione dei rischi. La matrice di rischio è impostata ( Riso. 10. - Identificazione e definizione dei rischi nel Risk Advisor) sulla base di un modello. I rischi sono valutati su una scala qualitativa e divisi in accettabili e inaccettabili ( Riso. 11. - Separazione dei rischi in accettabile e inaccettabile nel Risk Advisor). Quindi vengono selezionate le azioni di controllo (contromisure) tenendo conto del sistema di criteri precedentemente fissato, dell'efficacia delle contromisure e del loro costo. Anche il costo e l'efficacia sono valutati su scale di qualità.
Descrizione delle minacce. All'inizio, viene formato un elenco di minacce. Le minacce vengono classificate in un certo modo, quindi viene descritta la relazione tra rischi e minacce. La descrizione è fatta anche a livello qualitativo e permette di registrare la loro relazione.
Descrizione delle perdite. Vengono descritti gli eventi (conseguenze) associati alla violazione del regime di sicurezza delle informazioni. Le perdite sono stimate nel sistema di criteri selezionato.
Analisi dei risultati. Come risultato della costruzione di un modello, puoi generare un rapporto dettagliato (circa 100 sezioni), guardare lo schermo per le descrizioni aggregate sotto forma di grafici.
La metodologia considerata consente di automatizzare vari aspetti della gestione del rischio di un'azienda. Allo stesso tempo, le valutazioni del rischio sono fornite in scale qualitative. Non viene fornita un'analisi dettagliata dei fattori di rischio. Il punto di forza della metodologia considerata è la capacità di descrivere varie relazioni, un'adeguata considerazione di molti fattori di rischio e un'intensità di lavoro significativamente inferiore rispetto al CRAMM.
Conclusione
I moderni metodi e tecnologie di gestione del rischio informativo consentono di valutare il livello esistente di rischi informativi residui nelle società nazionali. Ciò è particolarmente importante nei casi in cui vengono imposti requisiti maggiori al sistema informativo aziendale nel campo della protezione delle informazioni e della continuità operativa.Oggi esistono numerosi metodi di analisi dei rischi, incluso l'uso di strumenti CASE, adattati per l'uso in condizioni domestiche . È essenziale che un'analisi ben eseguita dei rischi informativi ci permetta di condurre un'analisi comparativa della “costo-efficacia” delle diverse opzioni di protezione, selezionare contromisure e controlli adeguati e valutare il livello dei rischi residui. Inoltre, strumenti di analisi del rischio basati su moderne basi di conoscenza e procedure di inferenza consentono di costruire modelli strutturali e orientati agli oggetti del patrimonio informativo di un'azienda, modelli di minaccia e modelli di rischio associati a informazioni individuali e transazioni commerciali e, quindi, identificare tali beni informativi di un società il cui rischio di violazione della sicurezza è critico, cioè inaccettabile. Tali strumenti offrono l'opportunità di costruire vari modelli per proteggere il patrimonio informativo di un'azienda, confrontare diverse opzioni per complessi di misure di protezione e controllo secondo il criterio "efficacia dei costi" e anche monitorare la conformità ai requisiti per l'organizzazione del regime di sicurezza delle informazioni di una società nazionale.
I problemi di applicazione pratica dell'analisi dei rischi nei processi di gestione della sicurezza delle informazioni, nonché i problemi generali del processo di analisi dei rischi per la sicurezza delle informazioni stesso.
Nel processo di gestione di qualsiasi area di attività, è necessario sviluppare decisioni consapevoli ed efficaci, la cui adozione aiuta a raggiungere determinati obiettivi. A nostro avviso, una decisione adeguata può essere presa solo sulla base dei fatti e dell'analisi delle relazioni causa-effetto. Naturalmente, in alcuni casi le decisioni vengono prese anche a livello intuitivo, ma la qualità di una decisione intuitiva dipende molto dall'esperienza del manager e, in misura minore, da una riuscita combinazione di circostanze.
Per illustrare quanto sia complesso il processo per prendere una decisione fondata e pertinente, daremo un esempio dal campo della gestione della sicurezza delle informazioni (IS). Prendiamo una situazione tipica: il capo del dipartimento di sicurezza delle informazioni deve capire in quali direzioni muoversi per svolgere efficacemente la sua funzione principale: garantire la sicurezza delle informazioni dell'organizzazione. Da un lato, tutto è molto semplice. Esistono una serie di approcci standard per risolvere i problemi di sicurezza: protezione dei perimetri, protezione dagli addetti ai lavori, protezione da circostanze di forza maggiore. E ci sono molti prodotti che ti permettono di risolvere questo o quel problema (per proteggerti da questa o quella minaccia).
Tuttavia, c'è un piccolo "ma". Gli specialisti della sicurezza delle informazioni si trovano di fronte al fatto che la scelta di prodotti di varie classi è molto ampia, l'infrastruttura informativa dell'organizzazione è molto ampia, il numero di potenziali bersagli di attacchi da parte di intrusi è ampio e le attività delle divisioni dell'organizzazione sono eterogeneo e non unificabile. Allo stesso tempo, ogni specialista del dipartimento ha la propria opinione sulla priorità delle aree di attività, corrispondente alla sua specializzazione e priorità personali. E l'implementazione di una soluzione tecnica o lo sviluppo di un regolamento o istruzione in una grande organizzazione si traduce in un piccolo progetto con tutti gli attributi delle attività del progetto: pianificazione, budget, persone responsabili, scadenze, ecc.
Quindi, non è fisicamente possibile difendersi ovunque e da tutto, in primo luogo, e, in secondo luogo, non ha senso. Cosa può fare il capo del dipartimento di sicurezza delle informazioni in questo caso?
Primo, non può fare nulla fino al primo incidente grave. In secondo luogo, cercare di implementare qualsiasi standard di sicurezza delle informazioni generalmente accettato. In terzo luogo, fidarsi dei materiali di marketing dei produttori e degli integratori di software e hardware o dei consulenti per la sicurezza delle informazioni. Tuttavia, c'è un altro modo.
Definizione degli obiettivi di gestione della sicurezza delle informazioni
Puoi provare - con l'aiuto della direzione e dei dipendenti dell'organizzazione - a capire cosa ha davvero bisogno di essere protetto e da chi. Da questo punto in poi, all'incrocio delle tecnologie e del business principale, iniziano le attività specifiche, che consiste nel determinare la direzione dell'attività e (se possibile) lo stato obiettivo della sicurezza delle informazioni, che sarà formulato contemporaneamente sia in termini di business che in termini di di sicurezza delle informazioni.
Il processo di analisi dei rischi è uno strumento con il quale è possibile determinare gli obiettivi della gestione della sicurezza delle informazioni, valutare i principali fattori di criticità che incidono negativamente sui principali processi aziendali dell'azienda e sviluppare decisioni informate, efficaci e ragionevoli per controllarli o minimizzarli.
Di seguito ti diremo quali compiti vengono risolti nell'ambito dell'analisi dei rischi per la sicurezza delle informazioni per ottenere i risultati elencati e come questi risultati vengono raggiunti nell'ambito dell'analisi dei rischi.
Identificazione e valutazione dei beni
L'obiettivo della gestione della sicurezza delle informazioni è preservare la riservatezza, l'integrità e la disponibilità delle informazioni. L'unica domanda è che tipo di informazioni devono essere protette e quali sforzi dovrebbero essere fatti per garantirne la sicurezza (Fig. 1).
Qualsiasi gestione si basa sulla consapevolezza della situazione in cui si verifica. In termini di analisi dei rischi, la consapevolezza della situazione si esprime nell'inventario e nella valutazione dei beni dell'organizzazione e del loro ambiente, ovvero tutto ciò che garantisce lo svolgimento delle attività aziendali. Dal punto di vista dell'analisi dei rischi per la sicurezza delle informazioni, i principali asset includono direttamente informazioni, infrastrutture, personale, immagine e reputazione dell'azienda. Senza un inventario delle risorse a livello aziendale, è impossibile rispondere alla domanda su cosa debba essere protetto esattamente. È molto importante capire quali informazioni vengono elaborate in un'organizzazione e dove vengono elaborate.
In una grande organizzazione moderna, il numero di risorse informative può essere molto elevato. Se le attività di un'organizzazione sono automatizzate utilizzando un sistema ERP, allora possiamo dire che quasi tutti gli oggetti materiali utilizzati in questa attività corrispondono a qualche oggetto informativo. Pertanto, il compito principale della gestione del rischio è identificare gli asset più significativi.
È impossibile risolvere questo problema senza coinvolgere i responsabili della direzione principale delle attività dell'organizzazione, sia di livello medio che di livello superiore. La situazione ottimale è quando il top management dell'organizzazione imposta personalmente le aree di attività più critiche, per le quali è estremamente importante garantire la sicurezza delle informazioni. Il parere del top management sulle priorità nel garantire la sicurezza delle informazioni è molto importante e prezioso nel processo di analisi dei rischi, ma in ogni caso dovrebbe essere chiarito raccogliendo informazioni sulle criticità degli asset al livello medio del management aziendale. Allo stesso tempo, è opportuno svolgere ulteriori analisi proprio nelle aree di attività aziendale designate dall'alta direzione. Le informazioni ricevute vengono elaborate, aggregate e trasmesse al top management per una valutazione completa della situazione (ma ne parleremo più avanti).
Le informazioni possono essere identificate e localizzate sulla base della descrizione dei processi aziendali, all'interno della quale l'informazione è considerata come uno dei tipi di risorse. Il compito è alquanto semplificato se l'organizzazione ha adottato un approccio alla regolamentazione delle attività aziendali (ad esempio, al fine di gestire la qualità e ottimizzare i processi aziendali). Le descrizioni formalizzate dei processi aziendali forniscono un buon punto di partenza per l'inventario delle risorse. Se non sono presenti descrizioni, è possibile identificare le risorse in base alle informazioni ricevute dalle persone dell'organizzazione. Una volta identificati i beni, è necessario determinarne il valore.
Determinare il valore del patrimonio informativo nel contesto dell'intera organizzazione è allo stesso tempo il più significativo e difficile. È la valutazione del patrimonio informativo che consentirà al responsabile del dipartimento di sicurezza delle informazioni di scegliere le principali aree di attività per garantire la sicurezza delle informazioni.
Il valore di un bene è espresso in termini di importo delle perdite subite dall'organizzazione in caso di violazione della sicurezza del bene. La determinazione del valore è problematica perché nella maggior parte dei casi, i manager di un'organizzazione non possono rispondere immediatamente alla domanda su cosa succede se, ad esempio, le informazioni sul prezzo di acquisto memorizzate su un file server vanno a un concorrente. Piuttosto, nella maggior parte dei casi, i manager dell'organizzazione non hanno mai pensato a tali situazioni.
Ma l'efficienza economica del processo di gestione della sicurezza delle informazioni dipende in gran parte dalla comprensione di ciò che deve essere protetto e quali sforzi saranno necessari per questo, poiché nella maggior parte dei casi l'ammontare dello sforzo è direttamente proporzionale alla quantità di denaro speso e ai costi operativi . La gestione del rischio ti consente di rispondere alla domanda su dove puoi correre dei rischi e dove no. Nel caso della sicurezza delle informazioni, il termine "rischio" significa che in una determinata area non si possono compiere sforzi significativi per proteggere il patrimonio informativo e, allo stesso tempo, in caso di violazione della sicurezza, l'organizzazione non subirà danni significativi perdite. Qui possiamo tracciare un'analogia con le classi di protezione dei sistemi automatizzati: più significativi sono i rischi, più stringenti dovrebbero essere i requisiti per la protezione.
Per determinare le conseguenze di una violazione della sicurezza, è necessario disporre di informazioni sugli incidenti registrati di natura simile o condurre un'analisi di scenario. L'analisi dello scenario esamina le relazioni causali tra gli eventi di sicurezza degli asset e le conseguenze di questi eventi per le attività aziendali dell'organizzazione. Le conseguenze degli scenari dovrebbero essere valutate da più persone, in modo iterativo o deliberato. Va notato che lo sviluppo e la valutazione di tali scenari non possono essere completamente separati dalla realtà. Va sempre ricordato che lo scenario deve essere probabile. I criteri e le scale per la determinazione del valore sono individuali per ogni organizzazione. Sulla base dei risultati dell'analisi di scenario, è possibile ottenere informazioni sul valore degli asset.
Se i beni sono identificati e il loro valore è determinato, si può dire che gli obiettivi di garantire la sicurezza delle informazioni sono parzialmente stabiliti: sono determinati gli oggetti di protezione e l'importanza di mantenerli nello stato di sicurezza delle informazioni per l'organizzazione. Forse, resta solo da determinare da chi è necessario difendersi.
Analisi delle fonti dei problemi
Dopo aver determinato gli obiettivi della gestione della sicurezza delle informazioni, è necessario analizzare i problemi che impediscono di avvicinarsi allo stato di destinazione. A questo livello, il processo di analisi dei rischi si riduce all'infrastruttura informativa e ai concetti tradizionali di sicurezza informatica: intrusi, minacce e vulnerabilità (Fig. 2).
Modello intruso
Per valutare i rischi non basta introdurre un modello standard di trasgressore che separi tutti i trasgressori in base al tipo di accesso al bene e alla conoscenza della struttura del bene. Questa separazione aiuta a determinare quali minacce possono essere dirette alla risorsa, ma non risponde alla domanda se queste minacce possano in linea di principio essere realizzate.
Nel processo di analisi del rischio, è necessario valutare la motivazione dei trasgressori nell'attuazione delle minacce. In questo caso per trasgressore non si intende un astratto hacker esterno o insider, ma un soggetto interessato ad ottenere vantaggi violando la sicurezza di un bene.
È consigliabile ottenere le prime informazioni sul modello del trasgressore, come nel caso della scelta delle aree iniziali delle attività di sicurezza delle informazioni, dal top management, che ha un'idea della posizione dell'organizzazione nel mercato, che ha informazioni sui concorrenti e quali metodi di influenza ci si può aspettare da loro. Le informazioni necessarie per sviluppare un modello di intruso possono essere ottenute anche da ricerche specializzate sulle violazioni nel campo della sicurezza informatica nell'area di attività per la quale viene eseguita l'analisi dei rischi. Un modello di intruso adeguatamente progettato integra gli obiettivi IS identificati durante la valutazione delle risorse dell'organizzazione.
Modello di minaccia
Lo sviluppo di un modello di minaccia e l'identificazione delle vulnerabilità sono indissolubilmente legati a un inventario dell'ambiente delle risorse informative di un'organizzazione. Le informazioni stesse non vengono archiviate o elaborate. L'accesso ad esso viene fornito utilizzando un'infrastruttura informativa che automatizza i processi aziendali dell'organizzazione. È importante capire come sono correlate l'infrastruttura informativa di un'organizzazione e le risorse informative. Dal punto di vista della gestione della sicurezza delle informazioni, l'importanza dell'infrastruttura delle informazioni può essere stabilita solo dopo aver determinato la relazione tra risorse informative e infrastruttura. Nel caso in cui i processi di manutenzione e gestione dell'infrastruttura informativa in un'organizzazione siano regolamentati e trasparenti, la raccolta delle informazioni necessarie per identificare le minacce e valutare le vulnerabilità è notevolmente semplificata.
Lo sviluppo di un modello di minaccia è un lavoro per i professionisti della sicurezza delle informazioni che hanno una buona idea di come un intruso può ottenere l'accesso non autorizzato alle informazioni violando il perimetro di sicurezza o utilizzando metodi di ingegneria sociale. Quando si sviluppa un modello di minaccia, si può anche parlare di scenari come passaggi sequenziali in base ai quali è possibile implementare le minacce. Raramente accade che le minacce vengano implementate in un unico passaggio sfruttando una singola vulnerabilità nel sistema.
Il modello di minaccia dovrebbe includere tutte le minacce identificate dai relativi processi di gestione della sicurezza delle informazioni, come la gestione delle vulnerabilità e degli incidenti. Va ricordato che le minacce dovranno essere classificate l'una rispetto all'altra in base al livello di probabilità della loro attuazione. Per questo, nel processo di sviluppo di un modello di minaccia per ciascuna minaccia, è necessario indicare i fattori più significativi, la cui esistenza influisce sulla sua attuazione.
Identificazione delle vulnerabilità
Di conseguenza, dopo aver sviluppato un modello di minaccia, è necessario identificare le vulnerabilità nell'ambiente delle risorse. L'identificazione e la valutazione delle vulnerabilità possono essere eseguite come parte di un altro processo di gestione della sicurezza delle informazioni: l'audit. Non va dimenticato che per condurre un audit IS è necessario sviluppare criteri di verifica. E i criteri di verifica possono essere sviluppati proprio sulla base del modello della minaccia e del modello dell'intruso.
Sulla base dei risultati dello sviluppo del modello della minaccia, del modello dell'intruso e dell'identificazione delle vulnerabilità, possiamo dire che sono state identificate le ragioni che influenzano il raggiungimento dello stato target della sicurezza delle informazioni dell'organizzazione.
Valutazione del rischio
Identificare e valutare le risorse, sviluppare un modello di intruso e un modello di minaccia, identificare le vulnerabilità sono tutti passaggi standard che dovrebbero essere descritti in qualsiasi metodologia di analisi del rischio. Tutti i passaggi precedenti possono essere eseguiti con diversi livelli di qualità e dettaglio. È molto importante capire cosa e come si può fare con un'enorme quantità di informazioni accumulate e modelli formalizzati. A nostro avviso, questa domanda è la più importante e il metodo di analisi del rischio utilizzato dovrebbe fornire una risposta.
I risultati ottenuti devono essere valutati, aggregati, classificati e visualizzati. Poiché il danno è determinato nella fase di identificazione e valutazione dei beni, è necessario valutare la probabilità di eventi di rischio. Come nel caso della valutazione degli asset, una stima della probabilità può essere ottenuta sulla base di statistiche sugli incidenti, le cui cause coincidono con le minacce IS considerate, o tramite il metodo di previsione - basato sulla ponderazione dei fattori corrispondenti al modello di minaccia sviluppato .
Una buona pratica per valutare la probabilità sarebbe quella di classificare le vulnerabilità secondo un insieme selezionato di fattori che caratterizzano la facilità di sfruttamento delle vulnerabilità. La previsione della probabilità di minacce viene effettuata sulla base delle proprietà della vulnerabilità e dei gruppi di trasgressori da cui provengono le minacce.
Un esempio di sistema di classificazione delle vulnerabilità è lo standard CVSS, il sistema comune di punteggio delle vulnerabilità. Va notato che nel processo di identificazione e valutazione delle vulnerabilità, sono molto importanti l'esperienza degli specialisti della sicurezza delle informazioni che eseguono la valutazione dei rischi e i materiali e i rapporti statistici utilizzati sulle vulnerabilità e le minacce nel campo della sicurezza delle informazioni.
L'entità (livello) del rischio dovrebbe essere determinata per tutti gli asset-minaccia identificati e corrispondenti. Allo stesso tempo, l'entità del danno e la probabilità non devono essere necessariamente espresse in termini monetari e percentuali assoluti; inoltre, di norma, non è possibile presentare i risultati in questa forma. La ragione di ciò sono i metodi utilizzati per analizzare e valutare i rischi per la sicurezza delle informazioni: analisi di scenario e previsione.
Il processo decisionale
Cosa si può fare con la valutazione risultante?
Prima di tutto, dovrebbe essere sviluppato un rapporto semplice e chiaro sull'analisi dei rischi, il cui scopo principale sarà la presentazione delle informazioni raccolte sul significato e sulla struttura dei rischi per la sicurezza delle informazioni nell'organizzazione. La relazione deve essere presentata all'alta direzione dell'organizzazione. È un errore comune presentare risultati intermedi al senior management invece di conclusioni. Indubbiamente, tutte le conclusioni devono essere supportate da argomenti: tutti i calcoli intermedi devono essere allegati al rapporto.
Per chiarezza del report, i rischi devono essere classificati in termini aziendali familiari all'organizzazione, rischi simili devono essere aggregati. In generale, la classificazione dei rischi può essere multiforme. Da un lato, stiamo parlando di rischi per la sicurezza delle informazioni, dall'altro - dei rischi di danno alla reputazione o perdita di un cliente. I rischi classificati devono essere classificati in base alla loro probabilità di accadimento e alla loro importanza per l'organizzazione.
Il rapporto di analisi dei rischi riflette le seguenti informazioni:
- le aree più problematiche della sicurezza delle informazioni nell'organizzazione;
- l'impatto delle minacce IS sulla struttura complessiva dei rischi dell'organizzazione;
- le direzioni primarie delle attività del dipartimento IS per migliorare l'efficienza della manutenzione IS.
Sulla base del rapporto di analisi dei rischi, il responsabile del dipartimento per la sicurezza delle informazioni può sviluppare un piano di lavoro per il dipartimento a medio termine e stabilire un budget basato sulla natura delle misure necessarie per ridurre i rischi. Si noti che un rapporto di analisi dei rischi correttamente redatto consente al responsabile del dipartimento di sicurezza delle informazioni di trovare un linguaggio comune con il vertice dell'organizzazione e di risolvere problemi urgenti relativi alla gestione della sicurezza delle informazioni (Fig. 3).
Politica di trattamento del rischio
Una questione molto importante è la politica di gestione del rischio dell'organizzazione. La policy definisce le regole per la gestione dei rischi. Ad esempio, una policy può stabilire che i rischi di perdita di reputazione dovrebbero essere mitigati per primi e che la mitigazione dei rischi di media gravità non confermata da incidenti di sicurezza delle informazioni è posticipata alla fine della coda. La politica di gestione del rischio può essere determinata dall'unità di gestione del rischio aziendale.
La politica di trattamento del rischio può chiarire le questioni dell'assicurazione del rischio e della ristrutturazione delle attività nel caso in cui i potenziali rischi superino un livello accettabile. Se la politica non è definita, la sequenza di lavoro per ridurre i rischi dovrebbe essere basata sul principio della massima efficienza, ma dovrebbe comunque essere determinata dall'alta direzione.
Riassumiamo
L'analisi dei rischi è una procedura piuttosto laboriosa. Nel processo di analisi del rischio, dovrebbero essere utilizzati materiali e strumenti metodologici. Tuttavia, questo non è sufficiente per implementare con successo un processo ripetibile; un'altra componente importante è la normativa sulla gestione del rischio. Può essere autosufficiente e interessare solo i rischi per la sicurezza delle informazioni, oppure può essere integrato con il processo complessivo di gestione del rischio nell'organizzazione.
Nel processo di analisi dei rischi sono coinvolte molte divisioni strutturali dell'organizzazione: divisioni che guidano le direzioni principali delle sue attività, una divisione di gestione dell'infrastruttura delle informazioni, una divisione di gestione della sicurezza delle informazioni. Inoltre, per il buon esito dell'analisi dei rischi e l'efficace utilizzo dei suoi risultati, è necessario coinvolgere i vertici dell'organizzazione, garantendo così l'interazione tra le divisioni strutturali.
Una metodologia di analisi dei rischi o uno strumento specializzato per valutare i rischi per la sicurezza delle informazioni da soli non è sufficiente. Sono necessarie procedure per identificare le risorse, determinare l'importanza delle risorse, sviluppare modelli di intrusi e minacce, identificare le vulnerabilità, aggregare e classificare i rischi. In diverse organizzazioni, tutte le procedure elencate possono variare in modo significativo. Gli obiettivi e la portata dell'analisi dei rischi per la sicurezza delle informazioni influiscono anche sui requisiti per i processi associati all'analisi dei rischi.
L'applicazione del metodo di analisi dei rischi per la gestione della sicurezza delle informazioni richiede che l'organizzazione abbia un livello di maturità sufficiente, al quale sarà possibile implementare tutti i processi necessari nell'ambito dell'analisi dei rischi.
La gestione dei rischi consente di strutturare le attività della funzione di sicurezza delle informazioni, trovare un linguaggio comune con il vertice dell'organizzazione, valutare l'efficacia della funzione di sicurezza delle informazioni e giustificare le decisioni sulla scelta di specifiche misure di protezione tecniche e organizzative per il vertice .
Il processo di analisi dei rischi è continuo, poiché gli obiettivi di sicurezza delle informazioni di primo livello possono rimanere invariati per lungo tempo e l'infrastruttura informativa, le modalità di elaborazione delle informazioni ei rischi associati all'utilizzo dell'IT sono in continua evoluzione.
Il dipartimento di sicurezza delle informazioni e l'organizzazione nel suo insieme, nel caso di strutturare le proprie attività attraverso l'analisi continua dei rischi, ricevono i seguenti vantaggi molto significativi:
- identificazione degli obiettivi di gestione;
- definizione delle modalità di gestione;
- efficienza gestionale basata sull'assunzione di decisioni informate e tempestive.
In relazione alla gestione del rischio e alla gestione della sicurezza delle informazioni, è necessario notare alcuni altri punti.
L'analisi dei rischi, la gestione degli incidenti e l'audit della sicurezza delle informazioni sono indissolubilmente legati tra loro, poiché gli input e gli output dei processi elencati sono collegati. Lo sviluppo e l'attuazione del processo di gestione del rischio dovrebbero essere effettuati tenendo conto della gestione degli incidenti e degli audit IS.
Il processo di analisi del rischio stabilito è un requisito obbligatorio dello standard STO-BR IBBS-1.0-2006 per garantire la sicurezza delle informazioni nel settore bancario.
L'impostazione di un processo di analisi dei rischi è necessaria per un'organizzazione se decide di sottoporsi alla certificazione per la conformità ai requisiti della norma internazionale ISO/IEC 27001:2005.
L'istituzione di un regime per la protezione dei segreti commerciali e dei dati personali è indissolubilmente legata all'analisi dei rischi, poiché tutti i processi elencati utilizzano metodi simili per identificare e valutare le risorse, sviluppare un modello di intruso e un modello di minaccia.
