Analiza metodelor existente de evaluare a riscurilor IB și dezvoltarea unei metodologii proprii pentru sectorul bancar. Metode de evaluare a riscului informațional

Riscurile informaționale reprezintă riscul de pierdere sau deteriorare ca urmare a utilizării tehnologiei informației de către o companie.

Cu alte cuvinte, riscurile IT sunt asociate cu crearea, transmiterea, stocarea și utilizarea informațiilor folosind medii electronice și alte mijloace de comunicare. riscurile sunt împărțite în două categorii:

• ? riscurile cauzate de scurgerea de informații și utilizarea acesteia de către concurenți sau angajați în scopuri care ar putea dăuna afacerii;
• ? riscuri de defecțiuni tehnice în funcționarea canalelor de transmitere a informațiilor, care pot duce la pierderi.

Munca de a minimiza riscurile IT este de a preveni accesul neautorizat la date, precum și accidentele și defecțiunile echipamentelor.

Procesul de minimizare a riscurilor IT este luat în considerare în mod cuprinzător: în primul rând, sunt identificate posibilele probleme și apoi se determină prin ce metode pot fi rezolvate.

În prezent, sunt utilizate diverse metode pentru a evalua și gestiona riscurile informaționale ale companiilor naționale.

Evaluarea riscului informațional al unei companii poate fi efectuată în conformitate cu următorul plan:

• ? identificarea și evaluarea cantitativă a resurselor informaționale ale companiei care sunt semnificative pentru afacere;
• ? evaluarea posibilelor amenințări;
• ? evaluarea vulnerabilităților existente;
• ? evaluarea eficacității instrumentelor de securitate a informațiilor.

Riscurile caracterizează pericolul care poate amenința componentele sistemului informațional corporativ.

Riscurile informaționale ale companiei depind de:

• ? indicatori ai valorii resurselor informaţionale;
• ? probabilitatea implementării amenințărilor la adresa resurselor;
• ? eficacitatea instrumentelor de securitate a informațiilor existente sau planificate.

Scopul evaluării riscurilor este de a determina caracteristicile riscurilor sistemului informațional corporativ și resurselor acestuia.

După evaluarea riscurilor, puteți alege mijloacele care asigură nivelul dorit de securitate a informațiilor companiei. Atunci când se evaluează riscurile, sunt luați în considerare factori precum valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea apărărilor existente și planificate.

Posibilitatea unei amenințări la adresa unei anumite resurse a unei companii este estimată prin probabilitatea realizării acesteia într-o anumită perioadă de timp. În același timp, probabilitatea ca amenințarea să fie realizată este determinată de următorii factori principali:

• ? atractivitatea resursei (luată în considerare atunci când se ia în considerare amenințarea din cauza influenței umane deliberate);
• ? posibilitatea de a utiliza resursa pentru a genera venituri (și în cazul unei amenințări din cauza influenței umane deliberate);
• ? capabilități tehnice de implementare a amenințărilor în cazul influenței umane deliberate;
• ? ușurința cu care vulnerabilitatea poate fi exploatată.

În Rusia, în prezent, sunt utilizate cel mai adesea diverse metode „de hârtie”, ale căror avantaje sunt flexibilitatea și adaptabilitatea. De regulă, aceste metode sunt dezvoltate de companii - integratori de sistem și specializați în domeniul securității informațiilor.

Software-ul specializat care implementează tehnici de analiză a riscului poate face parte din categoria produselor software (disponibile pe piață) sau poate fi proprietatea unui departament sau organizație și nu poate fi vândut.

Dacă software-ul este dezvoltat ca produs software, acesta trebuie să fie suficient de versatil. Opțiunile software departamentale sunt adaptate specificului stabilirii sarcinilor de analiză și management al riscurilor și permit luarea în considerare a specificului tehnologiilor informaționale ale organizației.

Software-ul oferit pe piață este axat în principal pe nivelul de securitate a informațiilor, depășind ușor nivelul de bază de securitate. Astfel, trusa de instrumente este concepută în principal pentru nevoile organizațiilor cu 3-4 grade de maturitate, descrise în primul capitol.

Pentru rezolvarea acestei probleme au fost dezvoltate sisteme software de analiză și control al riscurilor informaționale: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. Mai jos sunt descrieri scurte ale unui număr de tehnici comune de analiză a riscurilor.

Tehnici comune de analiză a riscurilor:

• ? metodologii care utilizează o evaluare calitativă a riscului (de exemplu, pe o scară de „înalt”, „mediu”, „scăzut”). Aceste tehnici includ, în special, FRAP;
• ? metode cantitative (riscul este evaluat printr-o valoare numerică, de exemplu, valoarea pierderilor anuale așteptate). Această clasă include tehnica RiskWatch;
• ? metode care utilizează estimări mixte (această abordare este utilizată în CRAMM, metodologia Microsoft etc.).

Metodologia CRAMM este una dintre primele lucrări străine de analiză a riscurilor în domeniul securității informațiilor, dezvoltată în anii 80.

Se bazează pe o abordare integrată a evaluării riscurilor, combinând metode cantitative și calitative de analiză. Metoda este versatilă și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în ​​sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM care vizează diferite tipuri de organizații diferă unele de altele în bazele lor de cunoștințe (profiluri):

• ? profil comercial;
• ? profil guvernamental.

Când se lucrează cu tehnica, în primele etape, se ia în considerare valoarea resurselor sistemului studiat și se colectează informații primare despre configurația sistemului. Se realizează identificarea resurselor: fizice, software și informaționale, cuprinse în limitele sistemului.

Rezultatul acestei etape este construirea unui model de sistem, cu un arbore de conexiune la resurse. Această schemă vă permite să evidențiați elementele critice. Valoarea resurselor fizice în CRAMM este determinată de costul refacerii acestora în caz de distrugere.

Valoarea datelor și a software-ului este determinată în următoarele situații:

• ? indisponibilitatea resurselor pentru o anumită perioadă de timp;
• ? distrugerea unei resurse - pierderea informațiilor primite de la ultima copie de rezervă sau distrugerea completă a acesteia;
• ? încălcarea confidențialității în cazurile de acces neautorizat al personalului sau al persoanelor neautorizate;
• ? modificare - luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de program, erori deliberate;
• ? erori legate de transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită.

• ? deteriorarea reputației organizației;
• ? încălcarea legislației în vigoare;
• ? afectarea sănătății personalului;
• ? daune cauzate de dezvăluirea datelor cu caracter personal ale persoanelor fizice;
• ? pierderi financiare din dezvăluirea informațiilor;
• ? pierderi financiare asociate cu refacerea resurselor;
• ? pierderi asociate cu incapacitatea de a îndeplini obligațiile;
• ? dezorganizarea activitatilor.

A doua etapă examinează tot ceea ce este legat de identificarea și evaluarea nivelurilor de amenințare pentru grupurile de resurse și vulnerabilitățile acestora. La sfârșitul etapei, clientul primește nivelurile de risc identificate și evaluate pentru sistemul său. În această etapă, se evaluează dependența serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități, se calculează nivelurile de risc și se analizează rezultatele.

Resursele sunt grupate după tipul de amenințare și vulnerabilitate. Software-ul CRAMM generează o listă de întrebări clare pentru fiecare grup de resurse și pentru fiecare dintre cele 36 de tipuri de amenințări.

Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca foarte ridicat, ridicat, mediu, scăzut și foarte scăzut. Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca înalt, mediu și scăzut.

Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7. Nivelurile rezultate ale amenințărilor, vulnerabilităților și riscurilor sunt analizate și convenite cu clientul.

Principala abordare pentru rezolvarea acestei probleme este de a lua în considerare:

• ? Nivel de amenintare;
• ? nivelul de vulnerabilitate;
• ? mărimea pierderilor financiare aşteptate.

Pe baza estimărilor costului resurselor IP protejate, a evaluărilor amenințărilor și vulnerabilităților, se determină „pierderile anuale așteptate”.

A treia etapă a studiului este căutarea unei opțiuni de sistem de securitate care se potrivește cel mai bine cerințelor clientului.

În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora.

Astfel, CRAMM este un exemplu de metodologie de calcul în care aprecierile inițiale sunt date la nivel calitativ, iar apoi se face trecerea la o evaluare cantitativă (în puncte).

Lucrarea asupra metodologiei CRAMM se desfășoară în trei etape, fiecare având propriul obiectiv în construirea unui model de risc pentru sistemul informațional în ansamblu. Sunt luate în considerare amenințările la adresa sistemului pentru resursele sale specifice. La fiecare pas se realizează o analiză atât a software-ului, cât și a stării tehnice a sistemului, construind un arbore de dependențe în sistem, puteți vedea punctele slabe ale acestuia și puteți preveni pierderea de informații ca urmare a unui blocaj al sistemului, ambele din cauza la un atac de virus și amenințări de hacker.

Dezavantajele metodei CRAMM:

• ? utilizarea metodei CRAMM necesită pregătire specială și calificări înalte ale auditorului;
• ? CRAMM este mult mai potrivit pentru auditarea SI deja existentă în etapa operațională decât pentru SI în etapa de dezvoltare;
• ? auditul folosind metoda CRAMM este un proces destul de laborios și poate necesita luni de muncă continuă a auditorului;
• ? Setul de instrumente software CRAMM generează o cantitate mare de documentație pe hârtie, care nu este întotdeauna utilă în practică;
• ? CRAMM nu vă permite să vă creați propriile șabloane de raport sau să le modificați pe cele existente;
• ? posibilitatea de a face completări la baza de cunoștințe CRAMM nu este disponibilă utilizatorilor, ceea ce provoacă anumite dificultăți în adaptarea acestei metode la nevoile unei anumite organizații;
• ? Software-ul CRAMM este disponibil numai în limba engleză;
• ? cost ridicat de licență.

NRU ITMO, ***** @ *** com

Supraveghetor Academic - Doctor în Științe, Profesor, NRU ITMO, ***** @

adnotare

În articol sunt luate în considerare metodele de calculare a riscului de securitate a informațiilor, se face o comparație cu indicarea deficiențelor critice. Este prezentată o propunere de utilizare a propriei metode de evaluare a riscurilor.

Cuvinte cheie: risc, sistem informatic, securitatea informatiei, metoda de calcul al riscului, evaluarea riscului, activ informatic.

Introducere

Sistemul de management al riscului de securitate a informațiilor (IS) este o sarcină urgentă în toate etapele complexului de securitate a informațiilor. În același timp, este imposibil să gestionezi riscurile în prealabil fără a le evalua, care la rândul lor trebuie efectuate după o anumită metodă. În etapa de evaluare a riscului, cele mai interesante sunt formulele și datele de intrare pentru calcularea valorii riscului. Articolul analizează mai multe metode diferite de calculare a riscului și prezintă propria metodologie. Scopul lucrării este de a deriva o formulă pentru calcularea riscului de securitate a informațiilor, care să permită obținerea unei game de riscuri reale și evaluarea pierderilor în termeni monetari.

Riscul de securitate a informațiilor în forma clasică este definit în funcție de trei variabile:

probabilitatea unei amenințări; probabilitatea unei vulnerabilități (nesiguranță); impact potențial.

Dacă oricare dintre aceste variabile se apropie de zero, riscul general tinde, de asemenea, spre zero.

Metode de evaluare a riscurilor

ISO / IEC 27001. În ceea ce privește metodologia de calcul a valorii riscului, se precizează că metodologia aleasă trebuie să asigure că evaluările riscurilor dau rezultate comparabile și reproductibile. În același timp, standardul nu prevede o formulă de calcul specifică.

NIST 800-30 oferă o formulă clasică pentru calcularea riscului:

unde R este valoarea riscului;

P (t) este probabilitatea realizării unei amenințări IS (se folosește un amestec de scale calitative și cantitative);

S - gradul de influență a amenințării asupra activului (prețul activului pe scară calitativă și cantitativă).

Ca urmare, valoarea riscului este calculată în unități relative, care pot fi clasificate în funcție de gradul de importanță pentru procedura de management al riscului de securitate a informațiilor.

GOST R ISO / IEC TO 7. Calcularea riscului, spre deosebire de standardul NIST 800-30, se bazează pe trei factori:

R = P (t) * P (v) * S,

unde R este valoarea riscului;

P (t) este probabilitatea ca amenințarea IS să fie realizată;

P (v) este probabilitatea unei vulnerabilități;

S este valoarea activului.

Ca exemplu de valori ale probabilităților P (t) și P (v), este dată o scală calitativă cu trei niveluri: scăzut, mediu și ridicat. Pentru aprecierea valorii activului S, valorile numerice sunt prezentate în intervalul de la 0 la 4. Compararea valorilor calitative trebuie efectuată de organizația în care sunt evaluate riscurile de securitate a informațiilor.

BS 7799. Nivelul de risc este calculat luând în considerare trei indicatori - valoarea resursei, nivelul de amenințare și gradul de vulnerabilitate. Odată cu creșterea valorilor acestor trei parametri, riscul crește, astfel încât formula poate fi reprezentată după cum urmează:

R = S * L (t) * L (v),

unde R este valoarea riscului;

S este valoarea activului/resursei;

L (t) - nivelul de amenințare;

L (v) - nivelul / gradul de vulnerabilitate.

În practică, calculul riscurilor IS se realizează în funcție de tabelul de poziționare a valorilor nivelului de amenințare, gradul de probabilitate de exploatare a vulnerabilității și valoarea activului. Valoarea riscului se poate modifica în intervalul de la 0 la 8, ca urmare, pentru fiecare activ, se obține o listă de amenințări cu valori de risc diferite. Standardul oferă, de asemenea, o scală pentru clasificarea riscurilor: scăzut (0-2), mediu (3-5) și ridicat (6-8), care vă permite să determinați cele mai critice riscuri.

STO BR IBBS. Conform standardului, evaluarea gradului de posibilitate de realizare a unei amenințări la securitatea informațiilor se face la scară calitativă și cantitativă, o amenințare irealizabilă - 0%, o medie - de la 21% la 50% etc. - o amenințare cantitativă. scară, adică minimul este de 0,5% din capitalul băncii, mare - de la 1,5% la 3% din capitalul băncii.

Pentru a efectua o evaluare calitativă a riscurilor de securitate a informațiilor, se utilizează un tabel de corespondență între severitatea consecințelor și probabilitatea realizării amenințării. Dacă este necesar să se facă o evaluare cantitativă, atunci formula poate fi reprezentată ca:

unde R este valoarea riscului;

P (v) este probabilitatea ca amenințarea IS să fie realizată;

S este valoarea activului (gravitatea consecințelor).

Metoda propusă

Având în vedere toate metodele de mai sus de evaluare a riscului în ceea ce privește calcularea valorii riscului de securitate a informațiilor, este de remarcat faptul că calculul riscului se realizează folosind valoarea amenințărilor și valoarea activului. Un dezavantaj semnificativ este evaluarea valorii activelor (valoarea prejudiciului) sub forma unor valori condiționate. Valorile condiționate nu au unități de măsură aplicabile în practică, în special, nu sunt echivalente monetare. În consecință, acest lucru nu oferă o idee reală a nivelului de risc care poate fi transferat la activele reale ale obiectului protejat.

Astfel, se propune împărțirea procedurii de calcul al riscului în două etape:

1. Calculul valorii riscului tehnic.

2. Calculul potenţialului daune.

Riscul tehnic este înțeles ca valoarea riscului de securitate a informațiilor, care constă în probabilitățile de implementare a amenințărilor și de exploatare a vulnerabilităților fiecărei componente a infrastructurii informaționale, ținând cont de nivelul de confidențialitate, integritate și disponibilitate a acestora. Pentru prima etapă, avem următoarele 3 formule:

Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),

Ra = Ka * P (T) * P (V),

unde Rc este valoarea riscului de confidențialitate;

Ri este valoarea riscului de integritate;

Ra este valoarea riscului de disponibilitate;

Kс - coeficientul de confidențialitate al unui activ informațional;

Ki este factorul de integritate al activului informațional;

Ka este coeficientul de disponibilitate al unui activ informațional;

P (T) este probabilitatea ca amenințarea să fie realizată;

P (V) este probabilitatea exploatării vulnerabilității.

Utilizarea acestui algoritm va face posibilă realizarea unei evaluări mai detaliate a riscului, obținând la ieșire o valoare adimensională a probabilității riscului de compromitere a fiecărui activ informațional separat.

Ulterior, este posibil să se calculeze valoarea daunei, pentru aceasta se utilizează valoarea medie a riscului fiecărui activ de informare și valoarea pierderilor potențiale:

unde L este valoarea daunei;

Rav - valoarea medie de risc;

S - pierderi (în termeni monetari).

Metodologia propusă face posibilă evaluarea corectă a valorii riscului de securitate a informațiilor și calcularea pierderilor bănești în cazul unor incidente de securitate.

Literatură

1. ISO / IEC 27001. Standardul internațional conține cerințe de securitate a informațiilor pentru crearea, dezvoltarea și întreținerea unui sistem de management al securității informațiilor. 20 de ani.

2. GOST R ISO / IEC TO 7. Standard național al Federației Ruse. Metode și mijloace de asigurare a siguranței. Partea 3. Metode de management al securității tehnologiei informației. Moscova. 20 de ani.

3. BS 7799-2: 2005 Specificația sistemului de management al securității informațiilor. Anglia. 20 de ani.

4. RS BR IBBS-2.2-200. Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Metode de evaluare a riscurilor de încălcare a securității informațiilor. Moscova. 20 de ani.

5. Ghid de management al riscurilor pentru sistemele de tehnologie a informației. Recomandările Institutului Național de Standarde și Tehnologie. STATELE UNITE ALE AMERICII. 20 de ani.

6. Sursa electronică Wikipedia, articol „Risc”.

Cum să evaluăm corect riscurile de securitate a informațiilor - rețeta noastră

Sarcina de a evalua riscurile de securitate a informațiilor este percepută astăzi de comunitatea de experți în mod ambiguu și există mai multe motive pentru aceasta. În primul rând, nu există un standard de aur sau o abordare acceptată. Numeroase standarde și metodologii, deși similare în termeni generali, diferă semnificativ în detalii. Aplicarea unei anumite metodologii depinde de domeniul și obiectul evaluării. Cu toate acestea, alegerea metodei adecvate poate deveni o problemă dacă participanții la procesul de evaluare au percepții diferite despre aceasta și despre rezultatele sale.

În al doilea rând, evaluarea riscurilor de securitate a informațiilor este o sarcină pur expertă. Analiza factorilor de risc (cum ar fi daune, amenințare, vulnerabilitate etc.) efectuată de diferiți experți dă adesea rezultate diferite. Reproductibilitatea insuficientă a rezultatelor evaluării ridică problema fiabilității și utilității datelor obținute. Natura umană este de așa natură încât evaluările abstracte, în special cele legate de unitățile probabilistice de măsură, sunt percepute de oameni în moduri diferite. Teoriile aplicate existente menite să ia în considerare măsura percepției subiective a unei persoane (de exemplu, teoria prospectului) complică metodologia deja complicată a analizei riscului și nu contribuie la popularizarea acesteia.

În al treilea rând, însăși procedura de evaluare a riscurilor în sensul său clasic, cu descompunerea și inventarierea activelor este o sarcină foarte laborioasă. Încercarea de a efectua analize manuale folosind instrumente de birou obișnuite (cum ar fi foile de calcul) se îneacă inevitabil într-o mare de informații. Instrumentele software specializate concepute pentru a simplifica etapele individuale ale analizei riscurilor, într-o oarecare măsură, facilitează modelarea, dar nu simplifică deloc colectarea și sistematizarea datelor.

În sfârșit, însăși definiția riscului în contextul problemei securității informațiilor nu a fost încă stabilită. Priviți doar modificările din terminologia Ghidului ISO 73: 2009 în comparație cu versiunea din 2002. În timp ce mai devreme riscul era definit ca potențialul de daune datorate exploatării vulnerabilității de către orice amenințare, acum este efectul abaterii de la rezultatele așteptate. Schimbări conceptuale similare au avut loc în noua ediție a ISO / IEC 27001: 2013.

Pentru acestea, precum și pentru o serie de alte motive, evaluarea riscurilor de securitate a informațiilor este tratată cu prudență în cel mai bun caz și cu mare neîncredere în cel mai rău caz. Acest lucru discreditează însăși ideea de management al riscului, care, ca urmare, duce la sabotarea acestui proces de către conducere și, ca urmare, la apariția a numeroase incidente care sunt pline de rapoarte analitice anuale.

Având în vedere cele de mai sus, care parte este cel mai bine să abordăm sarcina de evaluare a riscurilor de securitate a informațiilor?

Un aspect proaspăt

Securitatea informației astăzi este din ce în ce mai concentrată pe obiectivele de afaceri și este încorporată în procesele de afaceri. O metamorfoză asemănătoare are loc cu evaluarea riscului - capătă contextul de afaceri necesar. Ce criterii ar trebui să îndeplinească o metodologie modernă de evaluare a riscurilor IS? Evident, ar trebui să fie suficient de simplu și universal, astfel încât rezultatele aplicării sale să inspire încredere și să fie utile tuturor participanților la proces. Să evidențiem o serie de principii pe care ar trebui să se bazeze o astfel de tehnică:

1. evitați detaliile inutile;
2. se bazează pe opinia afacerii;
3. folosiți exemple;
4. luați în considerare sursele externe de informații.

Esența metodologiei propuse este cel mai bine ilustrată printr-un exemplu practic. Luați în considerare problema evaluării riscurilor de securitate a informațiilor într-o companie de comerț și producție. Cum începe de obicei? Odată cu definirea limitelor evaluării. Dacă evaluarea riscului este efectuată pentru prima dată, limitele sale ar trebui să includă principalele procese de afaceri care generează venituri, precum și procesele care le deservesc.

Dacă procesele de afaceri nu sunt documentate, o idee generală a acestora poate fi obținută prin examinarea structurii organizaționale și a reglementărilor pe departamente, care să conțină o descriere a scopurilor și obiectivelor.

După ce am definit limitele de evaluare, să trecem la identificarea activelor. În conformitate cu cele de mai sus, vom considera principalele procese de afaceri drept active consolidate, amânând inventarierea resurselor informaționale la etapele următoare (regula 1). Acest lucru se datorează faptului că metodologia presupune o tranziție treptată de la general la particular, iar la acest nivel de detaliu, aceste date pur și simplu nu sunt necesare.

Factori de risc

Vom presupune că ne-am hotărât asupra compoziției activelor care se evaluează. Apoi, trebuie să identificați amenințările și vulnerabilitățile asociate cu acestea. Cu toate acestea, această abordare este aplicabilă numai atunci când se efectuează o analiză de risc detaliată, unde obiectele mediului de active informaționale sunt obiectele evaluării. În noua versiune a ISO / IEC 27001: 2013, accentul evaluării riscurilor s-a mutat de la activele IT tradiționale la informații și procesarea acestora. Întrucât la nivelul actual de detaliu avem în vedere procesele de afaceri extinse ale companiei, este suficient să identificăm doar factorii de risc de nivel înalt inerenți acestora.

Un factor de risc este o caracteristică specifică a unui obiect, tehnologie sau proces care este o sursă de probleme în viitor. În același timp, putem vorbi despre prezența riscului ca atare doar dacă problemele afectează negativ performanța companiei. Se construiește un lanț logic:

Astfel, sarcina identificării factorilor de risc se reduce la identificarea proprietăților și caracteristicilor nereușite ale proceselor care determină scenariile probabile de implementare a riscului care au un impact negativ asupra afacerii. Pentru a simplifica soluția, să folosim modelul de afaceri ISACA pentru securitatea informațiilor (vezi Figura 1):

Orez. 1. Model de afaceri de securitate a informațiilor

Nodurile modelului indică forțele motrice fundamentale ale oricărei organizații: strategie, procese, oameni și tehnologii, iar marginile sale reprezintă conexiunile funcționale dintre ele. În aceste coaste, practic, se concentrează principalii factori de risc. Este ușor de observat că riscurile sunt asociate nu numai cu tehnologia informației.

Cum se identifică factorii de risc pe baza modelului dat? Este necesar să se implice afaceri în acest sens (regula 2). Unitățile de afaceri sunt de obicei foarte conștiente de provocările cu care se confruntă la locul de muncă. Experiența colegilor din industrie este, de asemenea, adesea amintită. Puteți obține aceste informații punând întrebările potrivite. Este recomandabil să se adreseze departamentului de resurse umane problemele legate de personal, problemele tehnologice serviciului de automatizare (IT) și problemele legate de afaceri unităților de afaceri corespunzătoare.

În sarcina identificării factorilor de risc, este mai convenabil să pornim de la probleme. După identificarea unei probleme, este necesar să se determine cauza acesteia. Ca urmare, poate fi identificat un nou factor de risc. Principala dificultate aici este să nu aluneci în special. De exemplu, dacă un incident a avut loc ca urmare a acțiunilor ilegale ale unui angajat, factorul de risc nu va fi faptul că angajatul a încălcat prevederile unor reglementări, ci faptul că acțiunea în sine a devenit posibilă. Un factor de risc este întotdeauna o condiție prealabilă pentru o problemă.

Pentru ca personalul să înțeleagă mai bine despre ce anume este întrebat, este indicat să însoțiți întrebările cu exemple (regula 3). Următoarele sunt exemple de mai mulți factori de risc de nivel înalt care pot fi găsiți în multe procese de afaceri:

Personal:

• Calificări insuficiente (marginea Factorilor Umani din Fig. 1)
• Lipsa angajaților (costă de apariție)
• Motivație scăzută (Cultura coastei)

Procese:

• Schimbarea frecventă a cerințelor externe (marginea de guvernare)
• Automatizare subdezvoltată a proceselor (activare și asistență de margine)
• Combinarea rolurilor de către interpreți (Emergence rib)

Tehnologii:

• Software învechit (activare margine și asistență)
• Responsabilitate scăzută a utilizatorului (marginea factorilor umani)
• Peisaj IT eterogen (arhitectură nervură)

Un avantaj important al metodei de evaluare propuse este posibilitatea analizei încrucișate, în care două departamente diferite consideră aceeași problemă din unghiuri diferite. Având în vedere acest lucru, este foarte util să puneți întrebări intervievaților precum: „Ce părere aveți despre problemele pe care colegii dumneavoastră le-au identificat?” Aceasta este o modalitate excelentă de a obține note suplimentare, precum și de a le ajusta pe cele existente. Mai multe runde ale acestei evaluări pot fi efectuate pentru a rafina rezultatul.

Impact asupra afacerilor

După cum reiese din definiția riscului, acesta se caracterizează prin gradul de impact asupra performanței de afaceri a organizației. Sistemul Balanced Scorecards este un instrument convenabil pentru a determina natura impactului scenariilor de realizare a riscului asupra afacerii. Fără a intra în detalii, observăm că Balanced Scorecards identifică 4 perspective de afaceri pentru orice companie, conectate în mod ierarhic (vezi Fig. 2).

Orez. 2. Patru perspective de afaceri ale Balanced Scorecard

În raport cu metodologia avută în vedere, un risc poate fi considerat semnificativ dacă afectează negativ cel puțin una dintre următoarele trei perspective de afaceri: finanțe, clienți și/sau procese (vezi Fig. 3).

Orez. 3. Indicatori cheie de afaceri

De exemplu, un factor de risc „Răspundere scăzută a utilizatorului” ar putea duce la un scenariu „Scurgere de informații despre clienți”. La rândul său, acest lucru va afecta valoarea de afaceri Număr clienți.

Dacă compania a dezvoltat valori de afaceri, acest lucru simplifică foarte mult situația. Ori de câte ori este posibilă urmărirea impactului unui anumit scenariu de risc asupra unuia sau mai multor indicatori de afaceri, factorul de risc corespunzător poate fi considerat semnificativ, iar rezultatele evaluării acestuia trebuie înregistrate în chestionare. Cu cât influența unui scenariu este urmărită mai sus în ierarhia parametrilor de afaceri, cu atât consecințele potențiale pentru afacere sunt mai semnificative.

Sarcina analizării acestor consecințe este una de specialitate, de aceea ar trebui rezolvată cu implicarea unităților de afaceri specializate (regula 2). Pentru controlul suplimentar al estimărilor obținute, este utilă utilizarea surselor externe de informații care conțin statistici privind valoarea pierderilor ca urmare a incidentelor (regula 4), de exemplu, raportul anual „Studiu costul încălcării datelor”.

Scorul de probabilitate

În etapa finală a analizei, pentru fiecare factor de risc identificat, al cărui impact asupra afacerii a fost determinat, este necesar să se evalueze probabilitatea scenariilor asociate. De ce depinde această evaluare? În mare măsură, depinde de adecvarea măsurilor de protecție implementate în companie.

Există o mică presupunere aici. Este logic să presupunem că, din moment ce problema a fost identificată, înseamnă că este încă relevantă. În același timp, măsurile implementate, cel mai probabil, nu sunt suficiente pentru a nivela condițiile prealabile apariției acesteia. Suficiența contramăsurilor este determinată de rezultatele evaluării eficacității aplicării lor, de exemplu, folosind un sistem de metrici.

Pentru evaluare poate fi utilizată o scară simplă cu 3 niveluri, unde:

3 - contramăsurile implementate sunt în general suficiente;

2 - contramăsurile sunt insuficient implementate;

1 - nu există contramăsuri.

Standardele și liniile directoare specifice industriei, cum ar fi CobiT 5, ISO / IEC 27002 și altele pot fi folosite ca referințe care descriu contramăsuri.Fiecare contramăsuri trebuie să fie asociată cu un anumit factor de risc.

Este important de reținut că analizăm riscurile asociate nu numai cu utilizarea IT, ci și cu organizarea proceselor interne de informare în companie. Prin urmare, contramăsurile ar trebui luate în considerare într-un mod mai larg. Nu degeaba noua versiune a ISO/IEC 27001: 2013 are o avertizare că atunci când alegeți contramăsuri, este necesar să folosiți orice surse externe (regula 4), și nu numai Anexa A, care este prezentă în standardul pentru scopuri de referință.

Mărimea riscului

Pentru a determina valoarea totală a riscului, puteți utiliza cel mai simplu tabel (vezi tabelul. 1).

Tab. 1. Matricea de evaluare a riscurilor

În cazul în care un factor de risc afectează mai multe perspective de afaceri, de exemplu, „Clienți” și „Finanțe”, valorile acestora sunt adăugate împreună. Dimensiunea scalei, precum și nivelurile acceptabile ale riscurilor de securitate a informațiilor, pot fi determinate în orice mod convenabil. În acest exemplu, riscurile sunt considerate mari dacă au nivelurile 2 și 3.

În acest moment, prima etapă a evaluării riscului poate fi considerată finalizată. Valoarea totală a riscului asociat procesului de afaceri evaluat este determinată ca suma valorilor compuse pentru toți factorii identificați. Proprietarul riscului poate fi considerat persoana responsabilă în societate pentru obiectul evaluat.

Cifra rezultată nu ne spune câți bani riscă să piardă organizația. În schimb, indică zona de concentrare a riscurilor și natura impactului acestora asupra performanței afacerii. Aceste informații sunt necesare pentru a ne concentra în continuare asupra celor mai importante detalii.

Evaluare detaliată

Principalul avantaj al metodei luate în considerare este că vă permite să efectuați o analiză a riscului de securitate a informațiilor cu nivelul de detaliu dorit. Dacă este necesar, puteți „cădea” în elementele modelului IS (Fig. 1) și le puteți analiza mai detaliat. De exemplu, prin identificarea celei mai mari concentrații de risc în marginile legate de IT, puteți crește nivelul de detaliu în nodul Tehnologie. Dacă mai devreme un proces separat de afaceri a fost obiectul evaluării riscului, acum accentul se va muta asupra unui sistem informațional specific și asupra proceselor de utilizare a acestuia. Pentru a oferi nivelul de detaliu necesar, poate fi necesară realizarea unui inventar al resurselor informaționale.

Toate acestea se aplică și altor domenii de evaluare. Când se modifică granularitatea nodului Oameni, țintele de evaluare pot fi rolurile de personal sau chiar angajați individuali. Pentru un nod de proces, acestea pot fi politici și proceduri de lucru specifice.

Schimbarea nivelului de detaliu schimbă automat nu numai factorii de risc, ci și contramăsurile aplicabile. Ambele vor deveni mai specifice subiectului de evaluare. În același timp, abordarea generală a evaluării factorilor de risc nu se va schimba. Pentru fiecare factor identificat, va fi necesar să se evalueze:

• gradul în care riscul afectează perspectivele de afaceri;
• suficiența contramăsurilor.

sindromul rusesc

Lansarea standardului ISO / IEC 27001: 2013 a pus multe companii rusești într-o poziție dificilă. Pe de o parte, au dezvoltat deja o anumită abordare a evaluării riscurilor de securitate a informațiilor, bazată pe clasificarea activelor informaționale, evaluarea amenințărilor și vulnerabilităților. Autoritățile naționale de reglementare au reușit să emită o serie de reglementări care susțin această abordare, de exemplu, standardul Băncii Rusiei, ordinele FSTEC. Pe de altă parte, există o nevoie de mult așteptată de modificări în sarcina de evaluare a riscurilor, iar acum este necesar să se modifice procedura stabilită, astfel încât să îndeplinească atât cerințele vechi, cât și cele noi. Da, astăzi este încă posibil să fiți certificat conform standardului GOST R ISO / IEC 27001: 2006, care este identic cu versiunea anterioară a ISO / IEC 27001, dar acest lucru nu este pentru mult timp.

Tehnica de analiză a riscurilor discutată mai sus rezolvă această problemă. Prin controlul nivelului de detaliu al unei evaluări, puteți lua în considerare activele și riscurile la orice scară, de la procese de afaceri până la fluxuri individuale de informații. Această abordare este, de asemenea, convenabilă, deoarece vă permite să acoperiți toate riscurile de nivel înalt fără a pierde nimic. În același timp, compania va reduce semnificativ costurile cu forța de muncă pentru analize ulterioare și nu va pierde timpul cu o evaluare detaliată a riscurilor nesemnificative.

De remarcat că, cu cât nivelul de detaliere este mai ridicat în zona de evaluare, cu atât responsabilitatea este mai mare experților și este nevoie de mai multă competență, deoarece atunci când se modifică profunzimea analizei, nu se schimbă doar factorii de risc, ci și peisajul. a contramăsurilor aplicabile.

În ciuda tuturor încercărilor de simplificare, analiza riscurilor de securitate a informațiilor este încă consumatoare de timp și complexă. Liderul acestui proces are o responsabilitate specială. Multe lucruri vor depinde de cât de competent construiește o abordare și face față sarcinii pe care o are la îndemână - de la alocarea unui buget pentru securitatea informațiilor până la sustenabilitatea afacerii.

În prezent, riscurile de securitate a informațiilor reprezintă o mare amenințare pentru funcționarea normală a multor întreprinderi și instituții. În era noastră a tehnologiei informației, obținerea oricăror date nu este practic dificilă. Pe de o parte, acest lucru, desigur, are multe aspecte pozitive, dar devine o problemă pentru fața și marca multor companii.

Protecția informațiilor la întreprinderi devine acum aproape o sarcină prioritară. Experții cred că numai prin dezvoltarea unei anumite secvențe conștiente de acțiuni, puteți atinge acest obiectiv. În acest caz, este posibil să te ghidezi numai după fapte de încredere și să folosești metode analitice avansate. O anumită contribuție o aduce dezvoltarea intuiției și experiența specialistului responsabil cu această unitate la întreprindere.

Acest material vă va spune despre gestionarea riscului de securitate a informațiilor unei entități de afaceri.

Care sunt tipurile de posibile amenințări în mediul informațional?

Pot exista multe tipuri de amenințări. O analiză a riscurilor de securitate a informațiilor întreprinderii începe cu luarea în considerare a tuturor amenințărilor potențiale posibile. Acest lucru este necesar pentru a determina metodele de verificare în cazul acestor situații neprevăzute, precum și pentru a forma un sistem de protecție adecvat. Riscurile de securitate a informațiilor sunt împărțite în categorii specifice în funcție de diferite criterii de clasificare. Sunt de următoarele tipuri:

• surse fizice;
• utilizarea necorespunzătoare a rețelei de calculatoare și a World Wide Web;
• scurgeri din surse sigilate;
• scurgeri prin mijloace tehnice;
• intruziune neautorizată;
• atac asupra activelor informaționale;
• încălcarea integrității modificării datelor;
• urgențe;
• încălcări legale.

Ce este inclus în conceptul de „amenințări fizice la adresa securității informațiilor”?

Tipurile de riscuri de securitate a informațiilor sunt determinate în funcție de sursele apariției acestora, de metoda de implementare a intruziunii ilegale și de scop. Cele mai simple din punct de vedere tehnic, dar care necesită încă o execuție profesională, sunt amenințările fizice. Acestea reprezintă acces neautorizat la surse închise. Adică, acest proces este de fapt un furt obișnuit. Informațiile pot fi obținute personal, cu propriile mâini, prin simpla invadare a teritoriului instituției, în birouri, arhive pentru a avea acces la echipamente tehnice, documentație și alte medii.

Furtul poate să nu stea nici măcar în datele în sine, ci în locul stocării acestora, adică direct în echipamentul informatic în sine. Pentru a perturba activitățile normale ale unei organizații, atacatorii pot cauza pur și simplu o defecțiune în funcționarea mediilor de stocare sau a echipamentelor tehnice.

Scopul unei intruziuni fizice poate fi, de asemenea, acela de a obține acces la sistemul de care depinde protecția informațiilor. Un atacator poate modifica opțiunile rețelei de securitate a informațiilor pentru a facilita și mai mult implementarea metodelor ilegale.

Posibilitatea unei amenințări fizice poate fi oferită și de membrii diferitelor grupuri care au acces la informații clasificate care nu sunt disponibile publicului. Scopul lor este o documentare valoroasă. Astfel de persoane sunt numite persoane din interior.

Activitatea intrușilor externi poate fi îndreptată către același obiect.

Cum pot angajații întreprinderii înșiși să devină cauza apariției amenințărilor?

Riscurile de securitate a informațiilor apar adesea din utilizarea necorespunzătoare a internetului și a sistemului informatic intern de către angajați. Atacatorii sunt grozavi să joace cu lipsa de experiență, neatenția și ignoranța unor oameni în ceea ce privește securitatea informațiilor. Pentru a exclude această opțiune de furt de date confidențiale, conducerea multor organizații are o politică specială în rândul personalului lor. Scopul său este de a educa oamenii despre regulile de comportament și de utilizare a rețelelor. Aceasta este o practică destul de comună, deoarece amenințările care apar în acest fel sunt destul de frecvente. Programele de obținere a competențelor de securitate a informațiilor de către angajații întreprinderii includ următoarele puncte:

• depășirea utilizării ineficiente a instrumentelor de audit;
• o scădere a gradului în care oamenii folosesc mijloace speciale pentru prelucrarea datelor;
• utilizarea redusă a resurselor și activelor;
• obișnuiți să obțineți acces la facilitățile de rețea numai prin metode stabilite;
• alocarea zonelor de influență și desemnarea teritoriului de responsabilitate.

Când fiecare angajat înțelege că soarta instituției depinde de îndeplinirea responsabilă a sarcinilor care îi sunt atribuite, atunci încearcă să respecte toate regulile. Este necesar ca oamenii să stabilească sarcini specifice și să justifice rezultatele obținute.

Cum sunt încălcate condițiile de confidențialitate?

Riscurile și amenințările privind securitatea informațiilor sunt asociate în mare măsură cu achiziția ilegală de informații care nu ar trebui să fie disponibile persoanelor neautorizate. Primul și cel mai comun canal de scurgere este orice fel de comunicare și comunicare. Într-un moment în care, se pare, corespondența personală este disponibilă doar pentru două părți, aceasta este interceptată de persoanele interesate. Deși oamenii rezonabili înțeleg că este necesar să transmită ceva extrem de important și secret în alte moduri.

Deoarece acum multe informații sunt stocate pe medii portabile, atacatorii stăpânesc în mod activ interceptarea informațiilor prin acest tip de tehnologie. Ascultarea canalelor de comunicare este foarte populară, doar că acum toate eforturile geniilor tehnice au ca scop spargerea barierelor de protecție ale smartphone-urilor.

Informațiile confidențiale pot fi dezvăluite din neatenție de către angajații organizației. S-ar putea să nu dea direct toate „login-urile și parolele”, ci doar să conducă atacatorul pe calea cea bună. De exemplu, oamenii, fără să știe, raportează informații despre locația de stocare a documentelor importante.

Numai subordonații nu sunt întotdeauna vulnerabili. Contractanții pot, de asemenea, să elibereze informații confidențiale în cursul parteneriatelor.

Cum este încălcată securitatea informațiilor prin mijloace tehnice de influență?

Securitatea informațiilor se datorează în mare măsură utilizării unor mijloace tehnice de protecție fiabile. Dacă sistemul de suport este eficient și eficient chiar și în echipamentul în sine, atunci acesta este deja jumătate din succes.

Practic, scurgerea de informații este asigurată în acest fel prin controlul diferitelor semnale. Astfel de metode includ crearea de surse specializate de emisie sau semnale radio. Acesta din urmă poate fi electric, acustic sau vibrațional.

Dispozitivele optice sunt adesea folosite pentru a citi informații de pe afișaje și monitoare.

Varietatea dispozitivelor determină o gamă largă de metode de introducere și extragere a informațiilor de către intruși. Pe lângă metodele de mai sus, există și televiziune, recunoaștere fotografică și vizuală.

Datorită capacităților atât de largi, auditul de securitate a informațiilor include în primul rând verificarea și analizarea funcționării mijloacelor tehnice de protejare a datelor confidențiale.

Ce este considerat acces neautorizat la informațiile companiei?

Gestionarea riscului de securitate a informațiilor este imposibilă fără prevenirea amenințărilor de acces neautorizat.

Unul dintre cei mai proeminenți reprezentanți ai acestei metode de a pirata sistemul de securitate al altcuiva este atribuirea unui ID de utilizator. Această metodă se numește „Masquerade”. Accesul neautorizat în acest caz constă în utilizarea datelor de autentificare. Adică scopul intrusului este de a obține o parolă sau orice alt identificator.

Atacatorii pot influența din interiorul obiectului în sine sau din exterior. Ei pot obține informațiile de care au nevoie din surse, cum ar fi o pistă de audit sau instrumente de audit.

Adesea, contravenientul încearcă să aplice politica de implementare și să folosească, la prima vedere, metode complet legale.

Accesul neautorizat se aplică următoarelor surse de informații:

• site web și gazde externe;
• rețea fără fir pentru întreprinderi;
• copii de siguranță ale datelor.

Există nenumărate moduri și metode de acces neautorizat. Atacatorii caută defecte și lacune în configurația și arhitectura software-ului. Ei primesc date prin modificarea software-ului. Intrușii lansează programe malware și bombe logice pentru a neutraliza și a-și calma vigilența.

Care sunt amenințările legale la adresa securității informațiilor companiei?

Managementul riscului de securitate a informațiilor funcționează în direcții diferite, deoarece scopul său principal este de a oferi o protecție completă și holistică a întreprinderii împotriva intruziunilor externe.

Legala nu este mai puțin importantă decât direcția tehnică. Astfel, cine, s-ar părea, dimpotrivă, ar trebui să apere interesele, se dovedește că obține informații foarte utile.

Încălcările legale pot viza drepturi de proprietate, drepturi de autor și drepturi de brevet. Această categorie include și utilizarea ilegală a software-ului, inclusiv importul și exportul. Este posibilă încălcarea cerințelor legale doar prin nerespectarea termenilor contractului sau a cadrului legal în general.

Cum vă stabiliți obiectivele de securitate a informațiilor?

Asigurarea securității informațiilor începe cu stabilirea zonei de protecție. Este necesar să se definească clar ce trebuie protejat și de cine. Pentru aceasta, se determină un portret al unui potențial criminal, precum și posibile metode de hacking și introducere. Pentru a stabili obiective, trebuie mai întâi să discutați cu conducerea. Vă va spune zonele prioritare de protecție.

Din acest moment începe auditul de securitate a informațiilor. Vă permite să determinați în ce raport este necesar să aplicați metode tehnologice și metode de afaceri. Rezultatul acestui proces este lista finală de măsuri, care consolidează obiectivele unității de a asigura protecția împotriva intruziunilor neautorizate. Procedura de audit are ca scop identificarea punctelor critice și a punctelor slabe ale sistemului care interferează cu funcționarea și dezvoltarea normală a întreprinderii.

După stabilirea obiectivelor, se dezvoltă și un mecanism pentru implementarea acestora. Se formează instrumente pentru controlul și minimizarea riscurilor.

Ce rol joacă activele în analiza riscului?

Riscurile de securitate a informațiilor ale unei organizații afectează direct activele întreprinderii. La urma urmei, scopul atacatorilor este să obțină informații valoroase. Pierderea sau dezvăluirea acestuia va duce inevitabil la pierderi. Daunele cauzate de intruziunea neautorizată pot avea un impact direct, sau doar indirect. Adică, acțiunile ilegale împotriva unei organizații pot duce la o pierdere completă a controlului asupra afacerii.

Valoarea prejudiciului este estimată în funcție de bunurile de care dispune organizația. Sunt afectate toate resursele care contribuie în orice fel la realizarea obiectivelor conducerii. Activele unei întreprinderi înseamnă toate valorile tangibile și intangibile care aduc și ajută la generarea de venituri.

Activele sunt de mai multe tipuri:

• material;
• uman;
• informativ;
• financiar;
• procese;
• marcă și credibilitate.

Cel din urmă tip de activ suferă cel mai mult din cauza intruziunii neautorizate. Acest lucru se datorează faptului că orice risc real de securitate a informațiilor afectează imaginea. Problemele cu acest domeniu reduc automat respectul și încrederea într-o astfel de întreprindere, deoarece nimeni nu dorește ca informațiile sale confidențiale să devină publice. Fiecare organizație care se respectă are grijă să-și protejeze propriile resurse de informații.

Cât de mult și ce active vor suferi este influențată de diverși factori. Ele sunt împărțite în externe și interne. Impactul lor complex, de regulă, privește simultan mai multe grupuri de resurse valoroase.

Întreaga afacere a întreprinderii este construită pe active. Sunt prezenți într-o oarecare măsură în activitățile oricărei instituții. Doar că pentru unii, unele grupuri sunt mai importante, iar altele mai puțin importante. În funcție de ce tip de bunuri au reușit să influențeze atacatorii, rezultatul depinde, adică daunele cauzate.

Evaluarea riscurilor de securitate a informațiilor face posibilă identificarea clară a principalelor active, iar dacă acestea au fost afectate, atunci aceasta este plină de pierderi ireparabile pentru întreprindere. Conducerea ar trebui să acorde atenție acestor grupuri de resurse valoroase, deoarece siguranța lor este în interesul proprietarilor.

Zona prioritară pentru divizia de securitate a informațiilor este ocupată de active auxiliare. O persoană specială este responsabilă pentru protecția lor. Riscurile legate de acestea nu sunt critice și afectează doar sistemul de management.

Care sunt factorii de securitate a informațiilor?

Calculul riscurilor de securitate a informațiilor include construirea unui model specializat. Reprezintă noduri care sunt conectate între ele prin legături funcționale. Nodurile sunt chiar atuurile. Modelul folosește următoarele resurse valoroase:

• oameni;
• strategie;
• tehnologii;
• proceselor.

Coastele care le unesc sunt tocmai acei factori de risc. Pentru a identifica eventualele amenințări, cel mai bine este să contactați direct departamentul sau specialistul care se ocupă de aceste active. Orice potențial factor de risc poate fi o condiție prealabilă pentru formarea unei probleme. Modelul evidențiază principalele amenințări care pot apărea.

În ceea ce privește echipa, problema este nivelul scăzut de educație, lipsa de personal și absența unui moment de motivare.

Riscurile de proces includ variabilitatea mediului extern, automatizarea slabă a producției și împărțirea neclară a responsabilităților.

Tehnologia poate suferi de software-ul învechit, lipsa controlului utilizatorului. Problemele legate de peisajul eterogen al tehnologiei informației pot fi, de asemenea, cauza.

Avantajul acestui model este că pragurile pentru riscurile de securitate a informațiilor nu sunt clar definite, deoarece problema este privită din unghiuri diferite.

Ce este auditul de securitate a informațiilor?

O procedură importantă în domeniul securității informațiilor unei întreprinderi este auditul. Este o verificare a stării actuale a sistemului de protecție împotriva intruziunilor. Pe parcursul auditului se determină gradul de conformitate cu cerințele stabilite. Conduita sa este obligatorie pentru unele tipuri de institutii, pentru restul este de natura consultativa. Examinarea se efectuează în raport cu documentația direcțiilor de contabilitate și fiscalitate, mijloace tehnice și partea financiară și economică.

Un audit este necesar pentru a înțelege nivelul de securitate, iar în caz de inconsecvență a acestuia, optimizarea la normal. Această procedură vă permite, de asemenea, să evaluați fezabilitatea investițiilor financiare în securitatea informațiilor. În cele din urmă, expertul va da recomandări cu privire la rata cheltuielilor financiare pentru a obține o eficiență maximă. Auditul vă permite să ajustați controalele.

Expertiza în securitatea informațiilor este împărțită în mai multe etape:

1. Stabilirea obiectivelor și modul de realizare a acestora.
2. Analiza informațiilor necesare pentru un verdict.
3. Prelucrarea datelor colectate.
4. Opinie și recomandări ale experților.

În cele din urmă, specialistul își va da decizia. Recomandările comisiei vizează cel mai adesea schimbarea configurațiilor echipamentelor tehnice, precum și a serverelor. Adesea, unei întreprinderi problematice i se cere să aleagă o metodă de securitate diferită. Este posibil ca, pentru o consolidare suplimentară, experții să desemneze un set de măsuri de protecție.

Lucrarea după primirea rezultatelor auditului are ca scop informarea echipei despre probleme. Dacă este necesar, merită să se efectueze instruire suplimentară pentru a crește educația angajaților cu privire la protecția resurselor informaționale ale întreprinderii.

În practică, abordările cantitative și calitative sunt utilizate pentru a evalua riscurile de securitate a informațiilor. Care este diferența dintre ele?

Metoda cantitativă

Evaluarea cantitativă a riscurilor este utilizată în situațiile în care amenințările investigate și riscurile asociate pot fi comparate cu valorile cantitative finale exprimate în bani, procent, timp, resurse umane etc. Metoda vă permite să obțineți valori specifice ale obiectelor de evaluare a riscurilor în implementarea amenințărilor la adresa securității informațiilor.

Într-o abordare cantitativă, tuturor elementelor evaluării riscului li se atribuie valori cantitative specifice și reale. Algoritmul pentru obținerea acestor valori ar trebui să fie clar și ușor de înțeles. Obiectul evaluării poate fi valoarea unui activ în termeni monetari, probabilitatea realizării unei amenințări, prejudiciul cauzat de o amenințare, costul măsurilor de protecție și așa mai departe.

Cum se cuantifică riscurile?

1. Determinați valoarea activelor informaționale în termeni monetari.

2. Evaluați în termeni cantitativi daunele potențiale din implementarea fiecărei amenințări în raport cu fiecare activ informațional.

Ar trebui să obțineți răspunsuri la întrebările „Care parte din valoarea activului va fi prejudiciul cauzat de implementarea fiecărei amenințări?”

3. Determinați probabilitatea implementării fiecăreia dintre amenințările IS.

Pentru a face acest lucru, puteți utiliza statistici, sondaje ale angajaților și părților interesate. În procesul de determinare a probabilității, calculați frecvența incidentelor asociate cu implementarea amenințării considerate IS pe o perioadă de control (de exemplu, un an).

4. Determinați daunele potențiale totale de la fiecare amenințare în raport cu fiecare activ pentru perioada de control (pentru un an).

Valoarea se calculează prin înmulțirea daunei unice de la realizarea amenințării cu frecvența de realizare a amenințării.

5. Efectuați o analiză a datelor primite privind daunele pentru fiecare amenințare.

Pentru fiecare amenințare, trebuie luată o decizie: acceptați riscul, reduceți riscul sau transferați riscul.

A accepta un risc înseamnă a-l realiza, a accepta posibilitatea lui și a continua să acționezi ca înainte. Aplicabil pentru amenințări cu daune reduse și cu probabilitate redusă.

Reducerea riscului înseamnă introducerea unor măsuri și mijloace suplimentare de protecție, efectuarea de instruire a personalului etc. Adică efectuarea unor lucrări deliberate pentru reducerea riscului. În același timp, este necesar să se facă o evaluare cantitativă a eficacității măsurilor și mijloacelor de protecție suplimentare. Toate costurile suportate de organizație, de la achiziționarea de echipamente de protecție până la punerea în funcțiune (inclusiv instalare, configurare, instruire, întreținere etc.), nu trebuie să depășească valoarea daunelor cauzate de implementarea amenințării.

Transferarea riscului înseamnă mutarea consecințelor de la realizarea riscului către un terț, de exemplu, cu ajutorul asigurării.

În urma unei evaluări cantitative a riscului, ar trebui determinate următoarele:

• valoarea monetară a activelor;
• o listă completă a tuturor amenințărilor IS cu daune de la un singur incident pentru fiecare amenințare;
• frecvența de implementare a fiecărei amenințări;
• daune potențiale de la fiecare amenințare;
• Măsuri de securitate, contramăsuri și acțiuni recomandate pentru fiecare amenințare.

Analiza cantitativă a riscurilor de securitate a informațiilor (exemplu)

Să luăm în considerare tehnica folosind exemplul serverului web al unei organizații, care este folosit pentru a vinde un anumit produs. Cantitativ unică Daunele cauzate de o defecțiune a serverului pot fi estimate ca produsul din chitanța medie de achiziție prin numărul mediu de accesări într-un anumit interval de timp, egal cu timpul de nefuncționare a serverului. Să presupunem că costul unei daune unice de la o defecțiune directă a serverului este de 100 de mii de ruble.

Acum este necesar să evalueze de către un expert cât de des poate apărea o astfel de situație (ținând cont de intensitatea funcționării, calitatea sursei de alimentare etc.). De exemplu, luând în considerare opinia experților și informațiile statistice, înțelegem că serverul poate eșua de până la 2 ori pe an.

Înmulțim aceste două cantități, obținem asta Media anuală prejudiciul cauzat de implementarea amenințării unei eșecuri directe a serverului este de 200 de mii de ruble pe an.

Aceste calcule pot fi folosite pentru a justifica alegerea măsurilor de protecție. De exemplu, introducerea unui sistem de alimentare neîntreruptibilă și a unui sistem de rezervă cu un cost total de 100 de mii de ruble pe an va minimiza riscul de defecțiune a serverului și va fi o soluție complet eficientă.

Metoda calitativă

Din păcate, nu este întotdeauna posibilă obținerea unei expresii specifice a obiectului de evaluare din cauza marii incertitudini. Cum să evaluăm cu exactitate daunele aduse reputației unei companii atunci când apar informații despre un incident de securitate a informațiilor cu aceasta? În acest caz, se aplică metoda calitativă.

Abordarea calitativă nu folosește termeni cantitativi sau monetari pentru subiect. În schimb, obiectului evaluării i se atribuie un indicator, clasat pe o scală de trei puncte (scăzut, mediu, ridicat), cinci puncte sau zece puncte (0 ... 10). Pentru a colecta date pentru o evaluare calitativă a riscurilor, sunt utilizate anchete ale grupurilor țintă, interviuri, chestionare și întâlniri personale.

O analiză calitativă a riscurilor de securitate a informațiilor ar trebui efectuată cu implicarea angajaților cu experiență și competență în domeniul în care sunt luate în considerare amenințările.

Cum se efectuează o evaluare calitativă a riscului:

1. Determinați valoarea activelor informaționale.

Valoarea unui activ poate fi determinată de nivelul de criticitate (consecințe) în cazul încălcării caracteristicilor de securitate (confidențialitate, integritate, disponibilitate) a unui activ informațional.

2. Determinați probabilitatea ca amenințarea să fie realizată în raport cu activul informațional.

O scară calitativă cu trei niveluri (scăzut, mediu, ridicat) poate fi utilizată pentru a evalua probabilitatea realizării unei amenințări.

3. Determinați nivelul posibilității de implementare cu succes a amenințării, ținând cont de starea actuală a securității informațiilor, măsurile implementate și mijloacele de protecție.

O scară calitativă cu trei niveluri (scăzut, mediu, ridicat) poate fi, de asemenea, utilizată pentru a evalua nivelul posibilității de realizare a amenințărilor. Valoarea posibilității de realizare a amenințării arată cât de fezabilă este implementarea cu succes a amenințării.

4. Faceți o concluzie despre nivelul de risc pe baza valorii activului informațional, probabilitatea amenințării, posibilitatea amenințării.

Pentru a determina nivelul de risc, puteți utiliza o scală de cinci sau zece puncte. La determinarea nivelului de risc, pot fi folosite tabele de referință, care oferă o înțelegere a combinațiilor de indicatori (valoare, probabilitate, oportunitate) care conduc la ce nivel de risc.

5. Efectuați o analiză a datelor obținute pentru fiecare amenințare și a nivelului de risc obținut pentru aceasta.

Adesea, grupul de analiză a riscurilor operează cu conceptul de „nivel acceptabil de risc”. Acesta este nivelul de risc pe care compania este dispusă să-l accepte (dacă o amenințare are un nivel de risc mai mic sau egal cu acceptabil, atunci nu este considerată relevantă). Sarcina globală pentru o evaluare calitativă este de a reduce riscurile la un nivel acceptabil.

6. Dezvoltați măsuri de securitate, contramăsuri și acțiuni pentru fiecare amenințare reală pentru a reduce nivelul de risc.

Ce metodă ar trebui să alegi?

Scopul ambelor metode este de a înțelege riscurile reale ale securității informațiilor companiei, de a determina lista amenințărilor actuale, precum și de a selecta contramăsuri și mijloace eficiente de protecție. Fiecare metodă de evaluare a riscurilor are propriile sale avantaje și dezavantaje.

Metoda cantitativă oferă o reprezentare vizuală în bani de către obiectele de evaluare (daune, costuri), dar este mai laborioasă și în unele cazuri inaplicabilă.

Metoda calitativă face posibilă evaluarea mai rapidă a riscurilor, totuși, evaluările și rezultatele sunt mai subiective și nu oferă o înțelegere clară a prejudiciului, costurilor și beneficiilor din implementarea sistemelor de securitate a informațiilor.

Alegerea metodei trebuie făcută pe baza specificului unei anumite companii și a sarcinilor atribuite specialistului.

Stanislav Shilyaev, Manager de proiect pentru Securitatea Informației la SKB Kontur