Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
Documente similare
Natura activităților bancare. Conceptul și cauzele riscurilor bancare. Caracteristicile principalelor riscuri bancare. Metode de bază pentru minimizarea cheltuielilor bancare. Analiza minimizării riscurilor bancare folosind exemplul Halyk Bank of Kazakhstan JSC.
lucrare curs, adaugat 12/06/2008
Conceptul de riscuri sistemice în sectorul bancar, criterii de identificare și evaluare a acestora. Criterii de bază de clasificare pentru gruparea riscurilor bancare. Influența riscurilor sistemice asupra stabilității, stabilității, fiabilității și echilibrului sectorului bancar.
rezumat, adăugat 22.02.2017
Probleme de evaluare și reducere a riscurilor în activitățile băncilor comerciale. Introducerea unui model de scoring pentru evaluarea bonității clienților băncii. Creșterea resurselor prin crearea unui nou depozit „Succes”. Emiterea de împrumuturi garantate cu titluri de valoare.
teză, adăugată 21.01.2015
Baza metodologică pentru construirea unui sistem de asigurare a securității informațiilor instituțiilor de credit. Analiza și identificarea amenințărilor la adresa resurselor protejate. Metodă de analiză a amenințărilor la adresa securității informațiilor din centrul de prelucrare a datelor al OJSC Volga-Credit Bank.
teză, adăugată 05.07.2014
Funcțiile și componența fondurilor proprii și împrumutate ale unei instituții de credit. Studierea bazei de resurse a băncilor comerciale rusești. Analiza capitalului propriu, depozitelor, obligațiilor de creanță ale UniCredit Bank CJSC. Probleme de atragere a resurselor financiare.
lucrare curs, adăugată 20.02.2013
Riscuri in activitatile bancare. Nivelul riscurilor bancare. Clasificarea riscurilor în domeniul bancar. Sistem de optimizare a riscului bancar. Sistemul bancar rusesc - principalele tendințe și perspective de dezvoltare.
rezumat, adăugat 28.09.2006
Caracteristicile băncii SA „UniCredit Bank”. Structura și dinamica activelor și pasivelor bilanțului. Analiza factorială a veniturilor și cheltuielilor din dobânzi din tranzacțiile cu valori mobiliare. Analiza solvabilitatii bancii, stabilitatea financiara si perspectivele de dezvoltare a acesteia.
lucrare curs, adăugată 21.03.2016
NRU ITMO, *****@***com
Conducator stiintific - Doctor in Stiinte Tehnice, Profesor NRU ITMO, *****@
adnotare
Articolul discută metode de calculare a riscului de securitate a informațiilor și face o comparație indicând deficiențe critice. Este prezentată o propunere de a folosi propria noastră metodă de evaluare a riscurilor.
Cuvinte cheie: risc, sistem informatic, securitatea informatiei, metoda de calcul al riscului, evaluarea riscului, activ informatic.
Introducere
Sistemul de management al riscului de securitate a informațiilor (IS) este o sarcină presantă în toate etapele complexului de securitate a informațiilor. În același timp, este imposibil să gestionezi riscurile fără a le evalua mai întâi, ceea ce, la rândul său, trebuie făcut folosind o anumită metodă. În etapa de evaluare a riscului, cel mai mare interes este direct în formulele și datele de intrare pentru calcularea valorii riscului. Articolul analizează mai multe metode diferite de calculare a riscului și prezintă propria metodologie. Scopul lucrării este de a deriva o formulă pentru calcularea riscului de securitate a informațiilor, care ne permite să obținem o serie de riscuri curente și să estimăm pierderile în termeni monetari.
Riscul de securitate a informațiilor în forma sa clasică este definit ca o funcție a trei variabile:
- probabilitatea unei amenințări; probabilitatea de vulnerabilitate (nesiguranță); impact potențial.
Dacă oricare dintre aceste variabile se apropie de zero, riscul total se apropie și de zero.
Metode de evaluare a riscurilor
ISO/IEC 27001 În ceea ce privește metodologia de calcul a valorii riscului, se precizează că metodologia aleasă trebuie să asigure că evaluările riscurilor produc rezultate comparabile și reproductibile. Cu toate acestea, standardul nu oferă o formulă de calcul specifică.
NIST 800-30 oferă o formulă clasică de calcul al riscului:
unde R este valoarea riscului;
P(t) - probabilitatea realizării unei amenințări la securitatea informațiilor (se folosește un amestec de scale calitative și cantitative);
S este gradul de influență a amenințării asupra activului (prețul activului la scară calitativă și cantitativă).
Ca urmare, valoarea riscului este calculată în unități relative, care pot fi clasificate în funcție de gradul de semnificație pentru procedura de management al riscului de securitate a informațiilor.
GOST R ISO/IEC TO 7. Calcularea riscului, spre deosebire de standardul NIST 800-30, se bazează pe trei factori:
R = P(t) * P(v) * S,
unde R este valoarea riscului;
P(t) - probabilitatea implementării unei amenințări la securitatea informațiilor;
P(v) - probabilitatea de vulnerabilitate;
S este valoarea activului.
Ca exemplu al valorilor de probabilitate P(t) și P(v), este dată o scală calitativă cu trei niveluri: scăzut, mediu și ridicat. Pentru a evalua valoarea activului S, valorile numerice sunt prezentate în intervalul de la 0 la 4. Compararea valorilor calitative cu acestea ar trebui efectuată de organizația în care sunt evaluate riscurile de securitate a informațiilor.
BS 7799. Nivelul de risc este calculat luând în considerare trei indicatori - valoarea resursei, nivelul de amenințare și gradul de vulnerabilitate. Pe măsură ce valorile acestor trei parametri cresc, riscul crește, astfel încât formula poate fi prezentată după cum urmează:
R = S * L(t) * L(v),
unde R este valoarea riscului;
S este valoarea activului/resursei;
L(t) - nivelul de amenințare;
L(v) - nivelul/gradul de vulnerabilitate.
În practică, calculul riscurilor de securitate a informațiilor are loc în funcție de un tabel cu valorile de poziționare ale nivelului de amenințare, gradul de probabilitate de exploatare a vulnerabilității și valoarea activului. Valoarea riscului poate varia de la 0 la 8, rezultând o listă de amenințări cu valori de risc diferite pentru fiecare activ. Standardul oferă, de asemenea, o scală de clasificare a riscurilor: scăzut (0-2), mediu (3-5) și ridicat (6-8), care vă permite să determinați cele mai critice riscuri.
STO BR IBBS. Conform standardului, evaluarea gradului de posibilitate de realizare a unei amenințări la securitatea informațiilor se realizează la scară calitativ-cantitativă, o amenințare nerealizată este 0%, o amenințare medie este de la 21% la 50% etc. severitatea consecințelor pentru diferite tipuri de active informaționale se propune, de asemenea, să fie evaluată pe scară calitativ-cantitativă, adică minim - 0,5% din capitalul băncii, mare - de la 1,5% până la 3% din capitalul băncii.
Pentru a efectua o evaluare calitativă a riscurilor de securitate a informațiilor, se utilizează un tabel de corespondență între severitatea consecințelor și probabilitatea realizării amenințării. Dacă este necesar să se facă o evaluare cantitativă, formula poate fi prezentată astfel:
unde R este valoarea riscului;
P(v) - probabilitatea implementării unei amenințări la securitatea informațiilor;
S este valoarea activului (gravitatea consecințelor).
Metoda sugerată
Având în vedere toate metodele de evaluare a riscurilor de mai sus în ceea ce privește calcularea valorii riscului de securitate a informațiilor, este de remarcat faptul că calculul riscului se face folosind valoarea amenințărilor și valoarea activului. Un dezavantaj semnificativ este evaluarea valorii activelor (valoarea prejudiciului) sub forma unor valori condiționate. Valorile convenționale nu au unități de măsură aplicabile în practică, în special, nu sunt un echivalent monetar. Ca urmare, acest lucru nu oferă o idee reală a nivelului de risc care poate fi transferat activelor reale ale obiectului protejat.
Astfel, se propune împărțirea procedurii de calcul al riscului în două etape:
1. Calculul valorii riscului tehnic.
2. Calculul potenţialului daune.
Riscul tehnic este înțeles ca valoarea riscului de securitate a informațiilor constând în probabilitatea realizării amenințărilor și a vulnerabilităților fiecărei componente a infrastructurii informaționale exploatate, ținând cont de nivelul de confidențialitate, integritate și disponibilitate a acestora. Pentru prima etapă avem următoarele 3 formule:
Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),
Ra = Ka * P(T) * P(V),
unde Rс este valoarea riscului de confidențialitate;
Ri - valoarea riscului de integritate;
Ra - valoarea riscului de disponibilitate;
Kс - coeficientul de confidențialitate al unui activ informațional;
Ki este coeficientul de integritate al activului informațional;
Ka este coeficientul de disponibilitate al unui activ informațional;
P(T) - probabilitatea implementării amenințării;
P(V) - probabilitatea exploatării vulnerabilității.
Utilizarea acestui algoritm va face posibilă realizarea unei evaluări mai detaliate a riscului, obținând la ieșire o valoare adimensională a probabilității riscului de compromitere a fiecărui activ informațional separat.
Ulterior, este posibil să se calculeze valoarea daunei; pentru aceasta, se utilizează valoarea medie de risc a fiecărui activ de informații și valoarea pierderilor potențiale:
unde L este valoarea daunei;
Rav - valoarea medie de risc;
S - pierderi (în termeni monetari).
Metodologia propusă vă permite să evaluați corect valoarea riscului de securitate a informațiilor și să calculați pierderile bănești în cazul unor incidente de securitate.
Literatură
1. ISO/IEC 27001. Standardul internațional conține cerințe în domeniul securității informațiilor pentru stabilirea, dezvoltarea și întreținerea unui sistem de management al securității informațiilor. 20 de ani.
2. GOST R ISO/IEC TO 7. Standard național al Federației Ruse. Metode și mijloace de asigurare a securității. Partea 3. Metode de management al securității în tehnologia informației. Moscova. 20 de ani.
3. BS 7799-2:2005 Specificația sistemului de management al securității informațiilor. Anglia. 20 de ani.
4. RS BR IBBS-2.2-200. Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Metodologie de evaluare a riscurilor de încălcare a securității informațiilor. Moscova. 20 de ani.
5. Ghid de management al riscului pentru sistemele tehnologice informaţionale. Recomandările Institutului Național de Standarde și Tehnologie. STATELE UNITE ALE AMERICII. 20 de ani.
6. Sursa electronică Wikipedia, articol „Risc”.
Se știe că riscul este probabilitatea apariției unei amenințări la securitatea informațiilor. În viziunea clasică, evaluarea riscurilor include o evaluare a amenințărilor, vulnerabilităților și daunelor cauzate de implementarea acestora. Analiza riscului constă în modelarea modelului de apariție a acestor condiții cele mai nefavorabile, luând în considerare toți factorii posibili care determină riscul ca atare. Din punct de vedere matematic, la analiza riscurilor, astfel de factori pot fi considerați parametri de intrare.
Să enumerăm acești parametri:
1) active - componente cheie ale infrastructurii sistemului care sunt implicate în procesul de afaceri și au o anumită valoare;
2) amenințări, a căror implementare este posibilă prin exploatarea unei vulnerabilități;
3) vulnerabilități - o slăbiciune a măsurilor de securitate cauzată de erori sau imperfecțiuni în proceduri, proiectare, implementare, care poate fi folosită pentru a pătrunde în sistem;
4) daune care se evaluează ținând cont de costurile restabilirii sistemului la starea inițială după un posibil incident de securitate a informațiilor.
Deci, primul pas în efectuarea analizei multifactoriale a riscului este identificarea și clasificarea parametrilor de intrare analizați. În continuare, este necesar să gradați fiecare parametru în funcție de nivelurile de semnificație (de exemplu: ridicat, mediu, scăzut). În etapa finală a modelării riscului probabil (precedentă primirii datelor numerice privind nivelul de risc), amenințările și vulnerabilitățile identificate sunt legate de componente specifice ale infrastructurii IT (o astfel de legătură poate implica, de exemplu, analiza riscului cu și fără luând în considerare disponibilitatea măsurilor de securitate a sistemului, probabilitatea ca sistemul să fie compromis din cauza unor factori necontabiliați etc.). Să aruncăm o privire pas cu pas asupra procesului de modelare a riscului. Pentru a face acest lucru, în primul rând, să fim atenți la activele companiei.
Inventarul activelor companiei
(CARACTERIZAREA SISTEMULUI)
În primul rând, este necesar să se stabilească care este un bun valoros al companiei din punct de vedere al securității informațiilor. Standardul ISO 17799, care descrie în detaliu procedurile sistemului de management al securității informațiilor, distinge următoarele tipuri de active:
. resurse informaționale (baze de date și dosare, contracte și acorduri, documentație de sistem, informații de cercetare, documentație, materiale de instruire etc.);
. software;
. active corporale (echipamente informatice, telecomunicații etc.);
. servicii (servicii de telecomunicații, sisteme de susținere a vieții etc.);
. angajații companiei, calificările și experiența acestora;
. resurse necorporale (reputația și imaginea companiei).
Este necesar să se determine ce încălcări ale securității informațiilor ale căror active ar putea cauza daune companiei. În acest caz, activul va fi considerat valoros și va trebui să fie luat în considerare la analiza riscurilor informaționale. Inventarul constă în alcătuirea unei liste cu activele valoroase ale companiei. De obicei, acest proces este efectuat de proprietarii de active. Conceptul de „proprietar” definește persoanele sau părțile care au responsabilități, aprobate de conducerea companiei, să gestioneze crearea, dezvoltarea, întreținerea, utilizarea și protecția bunurilor.
În procesul de clasificare a activelor, este necesar să se evalueze criticitatea activelor pentru procesele de afaceri ale companiei sau, cu alte cuvinte, să se determine ce prejudicii va suferi compania în cazul unei încălcări a securității informaționale a activelor. Acest proces este cel mai dificil deoarece... valoarea activelor este determinată pe baza evaluărilor de specialitate ale proprietarilor acestora. În această fază, adesea au loc discuții între consultanții de proiectare a sistemului de management și proprietarii de active. Acest lucru îi ajută pe proprietarii de active să înțeleagă cum să determine valoarea activelor din perspectiva securității informațiilor (de obicei, procesul de determinare a criticității activelor este nou și netrivial pentru proprietar). În plus, pentru proprietarii de active sunt dezvoltate diverse tehnici de evaluare. În special, astfel de metode pot conține criterii specifice (relevante pentru o anumită companie) care ar trebui să fie luate în considerare atunci când se evaluează criticitatea.
Evaluarea criticității activelor
Criticitatea activelor este evaluată pe baza a trei parametri: confidențialitate, integritate și disponibilitate. Acestea. ar trebui să se evalueze prejudiciul pe care societatea le va suferi dacă confidențialitatea, integritatea sau disponibilitatea activelor este compromisă. Evaluarea criticității activelor se poate face în unități monetare și în niveluri. Cu toate acestea, dat fiind faptul că analiza riscurilor informaționale necesită valori în unități monetare, în cazul evaluării criticității activelor în niveluri, este necesar să se determine evaluarea fiecărui nivel în bani.
Conform clasificării autorizate NIST inclusă în GHIDUL DE MANAGEMENTUL RISCURILOR PENTRU SISTEMELE TEHNOLOGIEI INFORMAȚIONALE, clasificarea și evaluarea amenințărilor este precedată de identificarea directă a surselor acestora. Astfel, conform clasificării de mai sus, pot fi identificate principalele surse de amenințări, printre care:
. amenintari de origine naturala (cutremure, inundatii etc.);
. amenințări provenite de la oameni (acces neautorizat, atacuri la rețea, erori ale utilizatorilor etc.);
. amenințări de origine umană (accidente de diferite tipuri, întreruperi de curent, poluare chimică etc.).
Clasificarea de mai sus poate fi clasificată în continuare mai detaliat.
Astfel, conform clasificării NIST menționate, categorii independente de surse de amenințări provenite de la oameni includ:
- hackeri;
- structuri criminale;
- terorişti;
- companii care desfășoară activități de spionaj industrial;
- persoane din interior.
Fiecare dintre amenințările enumerate, la rândul său, trebuie să fie detaliată și evaluată pe o scară de semnificație (de exemplu: scăzut, mediu, ridicat).
Evident, analiza amenințărilor trebuie luată în considerare în strânsă legătură cu vulnerabilitățile sistemului pe care îl studiem. Sarcina acestei etape a managementului riscului este de a compila o listă a posibilelor vulnerabilități ale sistemului și de a clasifica aceste vulnerabilități ținând cont de „puterea” lor. Astfel, conform practicii globale, gradația vulnerabilităților poate fi împărțită pe niveluri: Critic, Înalt, Mediu, Scăzut. Să ne uităm la aceste niveluri mai detaliat:
1. Nivel critic de pericol. Acest nivel de pericol include vulnerabilități care permit compromiterea de la distanță a unui sistem fără influență suplimentară din partea utilizatorului țintă și sunt în prezent exploatate activ. Acest nivel de pericol implică faptul că exploit-ul este disponibil public.
2. Grad ridicat de pericol. Acest nivel de pericol include vulnerabilități care permit compromiterea de la distanță a sistemului. De regulă, nu există nicio exploatare disponibilă public pentru astfel de vulnerabilități.
3. Grad mediu de pericol. Acest nivel de severitate include vulnerabilități care permit refuzarea de la distanță a serviciului, accesul neautorizat la date sau executarea unui cod arbitrar prin interacțiunea directă cu utilizatorul (de exemplu, printr-o aplicație vulnerabilă care se conectează la un server rău intenționat).
4. Nivel scăzut de pericol. Acest nivel include toate vulnerabilitățile exploatabile la nivel local, precum și vulnerabilitățile care sunt greu de exploatat sau care au un impact minim (de exemplu, XSS, refuzul serviciului aplicației client).
Sursa pentru compilarea unei astfel de liste/liste de vulnerabilități ar trebui să fie:
. liste publice, publicate în mod regulat de vulnerabilități (de exemplu: www.securitylab.ru);
. o listă de vulnerabilități publicată de producătorul de software (de exemplu: www.apache.org);
. rezultatele testelor de penetrare (de exemplu: www.site-sec.com);
. analiza rapoartelor scanerelor de vulnerabilitate (realizate de administratorul de securitate din cadrul companiei).
În general, vulnerabilitățile pot fi clasificate după cum urmează:
. Vulnerabilități ale sistemului de operare și software (erori de cod) descoperite de producător sau de experți independenți (la momentul scrierii, numărul total de vulnerabilități detectate a atins aproximativ ~1900 - aceasta includea vulnerabilități publicate în „urme de erori” pe xakep.ru, securitylab, milw0rm .com și securityfocus .com).
. Vulnerabilități ale sistemului asociate cu erori de administrare (server web sau setări PHP neadecvate pentru mediu, porturi cu servicii vulnerabile neînchise de firewall etc.).
. Vulnerabilitățile, ale căror surse pot fi incidente neacoperite de politica de securitate, precum și evenimente naturale. Un prim exemplu de vulnerabilitate comună a sistemului de operare și a software-ului este depășirea tamponului. Apropo, marea majoritate a exploit-urilor existente în prezent implementează o clasă de vulnerabilități de depășire a tamponului.
Metode numerice de evaluare a riscurilor
Cea mai simplă evaluare a riscurilor informaționale presupune calcularea riscurilor, care se realizează ținând cont de informațiile despre criticitatea activelor, precum și de probabilitatea realizării vulnerabilităților.
Formula clasică de evaluare a riscului:
R=D*P(V), unde R este riscul informațional;
D - criticitatea activelor (daune);
P(V) - probabilitatea implementării vulnerabilității.
Un exemplu de implementare practică a abordării de mai sus pentru determinarea nivelurilor de risc este matricea de risc propusă de NIST.
| Amenințare Probabilitate-amenințare (probabilitatea sa) | Daune de impact | ||
| Scăzut - 10 | Mediu -50 | Ridicat (mare) -100 | |
| Ridicat (ridicat) - 1 | Scăzut 10x1=10 | Mediu 50x1=50 | Mare 100x1=100 |
| Medie - 0,5 | Scăzut 10x0,5=5 | Mediu 50x0,5=25 | Mediu 100x0,5=50 |
| Scăzut - 0,1 | Scăzut 10x0,1=1 | Scăzut 50x0,1=5 | Scăzut 100x0,1=10 |
| Nivel de risc: ridicat (50 până la 100); Mediu (de la 10 la 50); Scăzut (de la 1 la 10). | |||
Fiecare dintre parametrii de intrare posibili (de exemplu, vulnerabilitate, amenințare, activ și daune) este descris de funcția de membru, luând în considerare coeficientul corespunzător.
Evaluarea riscurilor bazată pe logica neclară
Mecanismele de evaluare a riscurilor bazate pe logica fuzzy includ o succesiune de etape, fiecare dintre acestea utilizând rezultatele etapei precedente. Secvența acestor etape este de obicei următoarea:
. Introducerea regulilor de programare sub formă de reguli de producție („DACĂ,… ATUNCI”), reflectând relația dintre nivelul datelor de intrare și nivelul de risc la ieșire.
. Setarea funcției de apartenență a variabilelor de intrare (de exemplu - folosind programe specializate precum "Fuzyy logic" - în acest exemplu am folosit MatLab).
. Obținerea rezultatului primar al estimărilor variabilelor de intrare.
. Fasificarea estimărilor variabilelor de intrare (găsirea valorilor specifice ale funcțiilor de membru).
. Agregarea (implica verificarea adevărului condițiilor prin transformarea funcțiilor de membru prin conjuncție fuzzy și disjuncție fuzzy).
. Activarea concluziilor (găsirea coeficienților de pondere pentru fiecare dintre reguli și funcții de adevăr).
. Acumularea concluziilor (găsirea funcției de membru pentru fiecare dintre variabilele de ieșire).
. Defuzzificare (găsirea valorilor clare ale variabilelor de ieșire).
Deci, în exemplul de mai sus (Tabelul 1.1.), a fost de fapt luat în considerare un algoritm de evaluare a riscului cu doi parametri, cu scale de trei nivele ale parametrilor de intrare. în care:
. pentru cantitățile de intrare și risc, au fost specificate scale pe trei niveluri pe care au fost definiți termeni fuzzy (corespunzând valorilor „ridicate”, „medie” și „scăzute” ale variabilelor - vezi Fig. 1);
. semnificația tuturor regulilor de inferență logică este aceeași (toți coeficienții de ponderare ai regulilor de producție sunt egali cu unu).
Orez. 1. Funcții de apartenență trapezoidală la o scară de „vulnerabilitate” cu trei niveluri
Este evident că un algoritm cu doi parametri care presupune introducerea a două variabile de intrare nu poate oferi un rezultat obiectiv al analizei de risc, mai ales ținând cont de mulți factori - variabilele de intrare, care, apropo, reflectă imaginea reală a evaluării riscului de securitate a informațiilor. .
Algoritm cu patru parametri
Să presupunem că, folosind regulile de producție ale logicii fuzzy, este necesar să se reproducă mecanismul de inferență, ținând cont de patru variabile de intrare. Astfel de variabile în acest caz sunt:
. active;
. vulnerabilitate;
. amenințare (sau mai degrabă, probabilitatea acesteia);
. deteriora.
Fiecare dintre variabilele de intrare enumerate este evaluată pe propria sa scară. Deci, să presupunem că, pe baza unei analize preliminare, s-au obținut câteva estimări ale variabilelor de intrare (Fig. 2.):
Orez. 2. Introducerea estimărilor variabilelor și mecanismul de ieșire
Folosind un exemplu simplu, să luăm în considerare tipul de reguli de producție pentru un anumit caz cu o scară pe trei niveluri:
Orez. 3. Reguli de producție ale algoritmului cu patru parametri
În acest caz, interfața grafică Fuzzy Logic Toolbox vă permite să vizualizați grafice ale dependenței riscului de probabilitatea unei amenințări și, în consecință, alte variabile de intrare.
Fig.4. Dependența riscului de probabilitatea amenințării
Orez. 5. Dependența riscului de daune
Un grafic neted și monoton al dependenței „curbei de inferență” indică suficiența și consistența regulilor de inferență utilizate. O reprezentare grafică clară vă permite să evaluați caracterul adecvat al proprietăților mecanismului de ieșire pentru a îndeplini cerințele. În acest caz, „curba de inferență” indică faptul că mecanismul de inferență este recomandabil să fie utilizat numai în regiunea valorilor de probabilitate scăzută, de exemplu. dacă probabilitatea este mai mică de 0,5. Cum se poate explica un astfel de „blocare” în valori cu o probabilitate mai mare de 0,5? Probabil pentru că utilizarea unei scale cu trei niveluri, de regulă, afectează sensibilitatea algoritmului în regiunea valorilor de mare probabilitate.
Revizuirea unor instrumente de analiză a riscurilor multifactoriale
Atunci când se efectuează o analiză completă a riscului, luând în considerare mulți factori, există o serie de probleme complexe de rezolvat:
. Cum se determină valoarea resurselor?
. Cum să alcătuiești o listă completă de amenințări la securitatea informațiilor și să evaluezi parametrii acestora?
. Cum să alegeți contramăsurile potrivite și să le evaluați eficacitatea?
Pentru a rezolva aceste probleme, există instrumente special dezvoltate, construite folosind metode structurale de analiză și proiectare a sistemelor (SSADM - Structured Systems Analysis and Design), care oferă:
- construirea unui model IS din punct de vedere IS;
- metode de evaluare a valorii resurselor;
- instrumente pentru alcătuirea unei liste de amenințări și evaluarea probabilității acestora;
- selectarea contramăsurilor și analiza eficacității acestora;
- analiza opțiunilor de construire a protecției;
- documentatie (generarea rapoartelor).
În prezent, pe piață există mai multe produse software din această clasă. Cel mai popular dintre ele este CRAMM. Să ne uităm pe scurt mai jos.
Metoda CRAMM
În 1985, Agenția de Calculatoare și Telecomunicații din Marea Britanie (CCTA) a început să cerceteze tehnicile existente de analiză a securității informațiilor pentru a recomanda metode adecvate pentru utilizare în agențiile guvernamentale care manipulează informații neclasificate, dar sensibile. Niciuna dintre metodele considerate nu a funcționat. Prin urmare, a fost dezvoltată o nouă metodă pentru a îndeplini cerințele CCTA. Se numește CRAMM - Metoda de analiză și control al riscurilor CCTA. Apoi au apărut mai multe versiuni ale metodei, concentrate pe cerințele Ministerului Apărării, agențiilor guvernamentale civile, instituțiilor financiare și organizațiilor private. Una dintre versiuni – „profil comercial” – este un produs comercial. În prezent, CRAMM este, judecând după numărul de link-uri de pe Internet, cea mai comună metodă de analiză și control al riscurilor. Analiza riscurilor implică identificarea și calcularea nivelurilor de risc (măsuri) pe baza scorurilor atribuite resurselor, amenințărilor și vulnerabilităților resurselor. Controlul riscurilor constă în identificarea și selectarea contramăsurilor pentru reducerea riscurilor la un nivel acceptabil. O metodă formală bazată pe acest concept ar trebui să asigure că protecția acoperă întregul sistem și că există încredere că:
Au fost identificate toate riscurile posibile;
. vulnerabilitățile resurselor sunt identificate și nivelurile acestora sunt evaluate;
. amenințările sunt identificate și nivelurile acestora sunt evaluate;
. contramăsurile sunt eficiente;
. costurile asociate cu securitatea informațiilor sunt justificate.
Oleg Boytsev, șeful „Securitate Cerber // Analiza de securitate a site-ului dvs.”
În prezent, sunt utilizate diverse metode pentru evaluarea și gestionarea riscurilor informaționale ale companiilor. O evaluare a riscurilor informaționale ale unei companii poate fi efectuată în conformitate cu următorul plan:
1) Identificarea și evaluarea cantitativă a resurselor informaționale ale companiei care sunt semnificative pentru afaceri.
2) Evaluarea posibilelor amenințări.
3) Evaluarea vulnerabilităților existente.
4) Evaluarea eficacității mijloacelor de securitate a informațiilor.
Se presupune că resursele informaționale vulnerabile ale companiei sunt în pericol dacă există amenințări împotriva lor. Cu alte cuvinte, riscurile caracterizează pericolul care poate amenința componentele unui sistem informațional corporativ. În același timp, riscurile informaționale ale companiei depind de:
Indicatori ai valorii resurselor informaţionale;
Probabilitatea amenințărilor la adresa resurselor;
Eficacitatea mijloacelor de securitate a informațiilor existente sau planificate.
Scopul evaluării riscurilor este de a determina caracteristicile de risc ale unui sistem informațional corporativ și resursele acestuia. După evaluarea riscurilor, puteți selecta instrumente care oferă nivelul dorit de securitate a informațiilor companiei. La evaluarea riscurilor, sunt luați în considerare factori precum valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea mijloacelor de protecție existente și planificate. Posibilitatea implementării unei amenințări pentru o anumită resursă a companiei este evaluată prin probabilitatea implementării acesteia într-o anumită perioadă de timp. În acest caz, probabilitatea ca amenințarea să fie realizată este determinată de următorii factori principali:
Atractivitatea resursei (luată în considerare atunci când se ia în considerare amenințarea din cauza influenței umane deliberate);
Capacitatea de a utiliza o resursă pentru a genera venituri (și în cazul unei amenințări din partea influenței umane intenționate);
Capacități tehnice de a implementa o amenințare cu influență umană deliberată;
Gradul de ușurință cu care poate fi exploatată o vulnerabilitate.
În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este să identifice și să evalueze în mod obiectiv cele mai semnificative riscuri legate de informațiile de afaceri ale companiei, precum și adecvarea controalelor de risc utilizate pentru a crește eficiența și profitabilitatea activităților economice ale companiei. Prin urmare, termenul „managementul riscului informațional” se referă de obicei la un proces sistematic de identificare, control și reducere a riscurilor informaționale ale companiilor în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și a propriei politici de securitate corporativă. Se crede că managementul riscului de înaltă calitate permite utilizarea controalelor de risc și a măsurilor de securitate a informațiilor care sunt optime din punct de vedere al eficienței și costurilor și sunt adecvate scopurilor și obiectivelor actuale ale afacerii companiei.
Nu este un secret pentru nimeni că astăzi există o creștere pe scară largă a dependenței activităților de afaceri de succes ale companiilor autohtone de măsurile organizatorice și mijloacele tehnice de control și reducerea riscurilor utilizate. Pentru un management eficient al riscului informațional, au fost dezvoltate metode speciale, de exemplu, metode ale standardelor internaționale ISO 15408, ISO 17799 (BS7799), BSI; precum și standardele naționale NIST 80030, SAC, COSO, SAS 55/78 și unele altele similare acestora. În conformitate cu aceste metode, managementul riscului informațional al oricărei companii presupune următoarele. În primul rând, definirea scopurilor și obiectivelor principale de protecție a activelor informaționale ale companiei. În al doilea rând, crearea unui sistem eficient de evaluare și gestionare a riscurilor informaționale. În al treilea rând, calcularea unui set de evaluări detaliate, nu numai calitative, ci și cantitative ale riscurilor, care sunt adecvate obiectivelor de afaceri declarate. În al patrulea rând, utilizarea unor instrumente speciale de evaluare și management al riscurilor.
Tehnici de management al riscului de calitate
Tehnicile de management al riscului de înaltă calitate au fost adoptate în țările dezvoltate tehnologic de o mare armată de auditori IT interni și externi. Aceste tehnici sunt destul de populare și relativ simple și sunt dezvoltate, de regulă, pe baza cerințelor standardului internațional ISO 177992002.
Standardul ISO 17799 conține două părți.
Partea 1: Recomandări practice pentru managementul securității informațiilor, 2002, definește principalele aspecte ale organizării unui regim de securitate a informațiilor într-o companie: Politica de securitate. Organizarea protectiei. Clasificarea și gestionarea resurselor informaționale. Managementul personalului. Siguranță fizică. Administrarea sistemelor și rețelelor de calculatoare. Control acces la sistem. Dezvoltarea si intretinerea sistemelor. Planificarea bunei funcționări a organizației. Verificarea conformității sistemului cu cerințele de securitate a informațiilor.
Partea 2: Specificații, 2002, examinează aceleași aspecte din punctul de vedere al certificării regimului de securitate a informațiilor unei companii pentru conformitatea cu cerințele standardului. Din punct de vedere practic, această parte este un instrument pentru auditorul IT și vă permite să efectuați rapid un audit intern sau extern al securității informațiilor oricărei companii.
Metodele de management al riscului de calitate bazate pe cerințele ISO 17999 includ metodele COBRA și RA Software Tool. Să ne uităm pe scurt la aceste tehnici.
Această tehnică vă permite să efectuați automat cea mai simplă versiune de evaluare a riscurilor informaționale ale oricărei companii. Pentru a face acest lucru, se propune utilizarea bazelor de cunoștințe electronice speciale și a procedurilor de inferență logică axate pe cerințele ISO 17799. Este important ca, dacă se dorește, lista cerințelor luate în considerare să poată fi completată cu diferite cerințe ale autorităților de reglementare naționale. , de exemplu, cerințele documentelor de guvernare (DR) ale Comisiei Tehnice de Stat sub președintele Federației Ruse.
Metodologia COBRA prezintă cerințele standardului ISO 17799 sub formă de chestionare tematice (liste de verificare), la care trebuie să se răspundă în timpul evaluării riscurilor activelor informaționale ale companiei și tranzacțiilor comerciale electronice ( orez. 1. - Exemplu de culegere tematică de întrebări COBRA). În continuare, răspunsurile introduse sunt procesate automat, iar folosind regulile de inferență logică adecvate, este generat un raport final cu evaluări curente ale riscurilor informaționale ale companiei și recomandări pentru managementul acestora.
Instrument software RA
Metodologia și instrumentul software RA cu același nume ( orez. 2. - Principalele module ale metodologiei RA Software Tool) se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele unor linii directoare ale British Standards Institute (BSI), de exemplu PD 3002 (Ghid pentru evaluarea și managementul riscurilor) , PD 3003 (Companie de evaluare a pregătirii pentru audit în conformitate cu BS 7799), PD 3005 (Ghid pentru selectarea sistemelor de securitate), etc.
Această metodologie permite evaluările riscului informațional (modulele 4 și 5) să fie efectuate în conformitate cu cerințele ISO 17799 și, opțional, în conformitate cu specificațiile mai detaliate ale ghidului British Standards Institution PD 3002.
Tehnici cantitative de management al riscului
Al doilea grup de tehnici de management al riscului este format din tehnici cantitative, a căror relevanță este determinată de necesitatea de a rezolva diverse probleme de optimizare care apar adesea în viața reală. Esența acestor probleme se rezumă la găsirea unei singure soluții optime dintre multe dintre cele existente. De exemplu, este necesar să răspundem la următoarele întrebări: „Cum, rămânând în limita bugetului anual (trimestrial) aprobat pentru securitatea informațiilor, putem atinge nivelul maxim de securitate pentru activele informaționale ale companiei?” sau „Care dintre alternativele pentru construirea protecției informațiilor corporative (un site WWW securizat sau e-mail corporativ) ar trebui să aleg, ținând cont de limitările cunoscute ale resurselor de afaceri ale companiei?” Pentru a rezolva aceste probleme, se dezvoltă metode și tehnici de evaluare cantitativă și management al riscului bazate pe metode structurale și, mai rar, orientate pe obiecte de analiză și proiectare a sistemului (SSADM - Structured Systems Analysis and Design). În practică, astfel de tehnici de management al riscului vă permit: să creați modele ale activelor informaționale ale companiei din punct de vedere al securității; Clasificarea și evaluarea valorilor activelor; Compilați liste cu cele mai semnificative amenințări de securitate și vulnerabilități; Clasificarea amenințărilor și vulnerabilităților de securitate; Justificarea mijloacelor și măsurilor de control al riscurilor; Evaluează eficacitatea/costul diferitelor opțiuni de protecție; Formalizarea și automatizarea procedurilor de evaluare și management al riscurilor.
Una dintre cele mai cunoscute tehnici ale acestei clase este tehnica CRAMM.
Mai întâi, a fost creată o metodă și apoi tehnica CRAMM (Analiza și Controlul Riscurilor) cu același nume, care respectă cerințele CCTA. Apoi au apărut mai multe versiuni ale metodologiei, concentrate pe cerințele diferitelor organizații și structuri guvernamentale și comerciale. O versiune a „profilului comercial” a devenit larg răspândită pe piața securității informațiilor.
Principalele obiective ale metodologiei CRAMM sunt: Formalizarea și automatizarea procedurilor de analiză și management al riscurilor; Optimizarea costurilor pentru echipamentele de control si protectie; Planificarea cuprinzătoare și managementul riscurilor în toate etapele ciclului de viață al sistemelor informaționale; Reducerea timpului pentru dezvoltarea și menținerea unui sistem corporativ de securitate a informațiilor; Justificarea eficacității măsurilor și controalelor de protecție propuse; Gestionarea schimbărilor și a incidentelor; Suport pentru continuitatea afacerii; Luarea promptă a deciziilor cu privire la aspectele legate de managementul securității etc.
Managementul riscului în metodologia CRAMM se realizează în mai multe etape (Fig. 3).
La prima etapă de inițiere - „Inițiere” - se determină limitele sistemului informațional al companiei în studiu, compoziția și structura principalelor sale active de informații și tranzacții.
În etapa de identificare și evaluare a resurselor - „Identificarea și Evaluarea Activelor” - activele sunt clar identificate și se determină valoarea lor. Calcularea costului activelor informaționale vă permite în mod clar să determinați necesitatea și suficiența mijloacelor de control și protecție propuse.
În etapa de evaluare a amenințărilor și vulnerabilităților - „Evaluarea amenințărilor și vulnerabilităților” - amenințările și vulnerabilitățile activelor informaționale ale companiei sunt identificate și evaluate.
Etapa de analiză a riscului - „Analiza riscului” - vă permite să obțineți evaluări calitative și cantitative ale riscurilor.
În etapa de management al riscului - „Managementul riscului” - sunt propuse măsuri și mijloace pentru reducerea sau evitarea riscului.
Să ne uităm la capacitățile CRAMM folosind următorul exemplu. Să fie evaluate riscurile informaționale ale următorului sistem de informații corporative (Fig. 4).
În această diagramă, vom evidenția condiționat următoarele elemente ale sistemului: stații de lucru în care operatorii introduc informații provenind din lumea exterioară; un server de e-mail către care sunt primite informații de la nodurile de rețea la distanță prin Internet; server de procesare pe care este instalat SGBD; server de rezervă; locurile de muncă ale echipei de răspuns rapid; administrator de securitate la locul de muncă; la locul de muncă al administratorului bazei de date.
Sistemul funcționează după cum urmează. Datele introduse de la stațiile de lucru ale utilizatorului și primite pe serverul de e-mail sunt trimise către serverul de prelucrare a datelor corporative. Apoi datele merg la locurile de muncă ale echipei de răspuns operațional și acolo se iau deciziile adecvate.
Să realizăm acum o analiză de risc folosind tehnica CRAMM și să propunem câteva mijloace de control și management al riscului care să fie adecvate scopurilor și obiectivelor afacerii companiei.
Definirea limitelor studiului. Etapa începe cu rezolvarea problemei determinării limitelor sistemului studiat. În acest scop, sunt colectate următoarele informații: responsabili de resursele fizice și software; cine sunt utilizatorii și cum utilizatorii utilizează sau vor folosi sistemul; configurarea sistemului. Informațiile primare sunt colectate prin conversații cu managerii de proiect, managerii de utilizatori sau alți angajați.
Identificarea resurselor și construirea unui model de sistem din punct de vedere al securității informațiilor. Se realizează identificarea resurselor: materiale, software și informații conținute în limitele sistemului. Fiecare resursă trebuie să fie atribuită uneia dintre clasele predefinite. Clasificarea resurselor fizice este dată în anexă. Apoi se construiește un model al sistemului informațional din punct de vedere al securității informaționale. Pentru fiecare proces de informare care are semnificație independentă din punctul de vedere al utilizatorului și se numește serviciu utilizator (EndUserService), se construiește un arbore de conexiuni a resurselor utilizate. În exemplul luat în considerare va exista un singur serviciu similar (Fig. 5). Modelul construit ne permite să identificăm elementele critice.
Valoarea resurselor. Tehnica vă permite să determinați valoarea resurselor. Acest pas este obligatoriu într-o analiză completă a riscului. Valoarea resurselor fizice în această metodă este determinată de costul refacerii lor în cazul distrugerii. Valoarea datelor și a software-ului este determinată în următoarele situații: indisponibilitatea resursei pentru o anumită perioadă de timp; distrugerea resurselor - pierderea informațiilor obținute de la ultima copie de rezervă sau distrugerea completă a acesteia; încălcarea confidențialității în cazurile de acces neautorizat al personalului sau al persoanelor neautorizate; modificarea este luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de software, erori intenționate; erori asociate cu transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită. Pentru a evalua eventualele daune, se propune utilizarea următoarelor criterii: prejudiciu adus reputației organizației; încălcarea legislației în vigoare; afectarea sănătății personalului; daune asociate cu dezvăluirea datelor personale ale persoanelor fizice; pierderi financiare din dezvăluirea de informații; pierderi financiare asociate cu recuperarea resurselor; pierderi asociate cu incapacitatea de a îndeplini obligațiile; dezorganizarea activitatilor.
Setul de criterii dat este utilizat în versiunea comercială a metodei (profil standard). Alte versiuni vor avea un amestec diferit, cum ar fi versiunea guvernamentală adăugând dimensiuni pentru a reflecta domenii precum securitatea națională și afacerile internaționale.
Pentru date și software, sunt selectate criteriile aplicabile unui anumit IS, iar daunele sunt evaluate pe o scară cu valori de la 1 la 10.
De exemplu, dacă datele conțin detalii despre informații comerciale confidențiale (critice), expertul care efectuează cercetarea pune întrebarea: cum ar putea afecta organizația accesul neautorizat la aceste informații de către persoane neautorizate?
Un posibil răspuns este: un eșec în mai mulți dintre parametrii enumerați mai sus, fiecare aspect ar trebui să fie luat în considerare mai detaliat și să i se atribuie cel mai mare rating posibil.
Apoi sunt dezvoltate scale pentru sistemul de parametri selectat. S-ar putea să arate așa.
Daune aduse reputației organizației: 2 - reacția negativă a oficialilor individuali, a personalităților publice; 4 - critică în mass-media care nu are un răspuns larg public; 6 - reacția negativă a deputaților individuali ai Dumei, Consiliul Federației; 8 - critica în mass-media, care are consecinţe sub forma unor scandaluri majore, audieri parlamentare, inspecţii de amploare etc.; 10 - reacție negativă la nivelul Președintelui și Guvernului.
Daune aduse sănătății personalului: 2 - daune minime (consecințele nu sunt asociate cu spitalizarea sau tratamentul de lungă durată); 4 - daune de dimensiuni medii (tratamentul este necesar pentru unul sau mai mulți angajați, dar nu există consecințe negative pe termen lung); 6 - consecințe grave (spitalizare pe termen lung, invaliditate a unuia sau mai multor salariați); 10 - pierderea vieții.
Pierderi financiare asociate cu recuperarea resurselor: 2 - mai puțin de 1000 USD; 6 - de la 1000 USD la 10.000 USD; 8 - de la 10.000 USD la 100.000 USD; 10 - peste 100.000 USD.
Dezorganizarea activităților din cauza indisponibilității datelor: 2 - lipsa accesului la informații până la 15 minute; 4 - lipsa accesului la informații de până la 1 oră; 6 - lipsa accesului la informații de până la 3 ore; 8 - lipsa accesului la informații timp de 12 ore; 10 - lipsa accesului la informații pentru mai mult de o zi.
În această etapă pot fi întocmite mai multe tipuri de rapoarte (limite de sistem, model, determinarea valorii resursei). Dacă valorile resurselor sunt scăzute, poate fi utilizată opțiunea de protecție de bază. În acest caz, cercetătorul poate trece de la această etapă direct la etapa de analiză a riscului. Cu toate acestea, pentru a aborda în mod adecvat impactul potențial al oricărei amenințări, vulnerabilități sau combinații de amenințări și vulnerabilități care sunt la niveluri înalte, ar trebui utilizată o versiune scurtă a fazei de evaluare a amenințărilor și vulnerabilităților. Acest lucru ne permite să dezvoltăm un sistem mai eficient pentru protejarea informațiilor companiei.
În etapa de evaluare a amenințărilor și vulnerabilităților se evaluează dependențele serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități.
Apoi, activele companiei sunt grupate în termeni de amenințări și vulnerabilități.De exemplu, în cazul unei amenințări de incendiu sau furt, este rezonabil să se considere toate resursele situate într-un singur loc (camera serverului, camera de comunicații etc.) ca un grup de resurse.
În același timp, evaluarea nivelurilor de amenințări și vulnerabilități poate fi efectuată pe baza unor factori indirecți sau pe baza evaluărilor directe ale experților. În primul caz, software-ul CRAMM generează pentru fiecare grup de resurse și fiecare dintre ele o listă de întrebări la care se poate răspunde fără ambiguitate ( orez. 8. -Evaluarea nivelului de amenințare la securitate pe baza factorilor indirecti).
Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca: foarte ridicat; înalt; in medie; mic de statura; foarte jos.
Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca: ridicat; in medie; mic de statura; absent.
Este posibil să corectați rezultatele sau să utilizați alte metode de evaluare. Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7 (etapa de analiză a riscului). Nivelurile rezultate ale amenințărilor, vulnerabilităților și riscurilor sunt analizate și convenite cu clientul. Numai după aceasta puteți trece la etapa finală a metodei.
Managementul riscurilor. Principalele etape ale etapei de management al riscului sunt prezentate în Fig. 9.
În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile sunt împărțite în grupuri și subgrupe în următoarele categorii: Asigurarea securității la nivel de rețea. Asigurarea securității fizice. Asigurarea securității infrastructurii suport. Măsuri de securitate la nivel de administrator de sistem.
În urma acestei etape, sunt generate mai multe tipuri de rapoarte.
Astfel, metodologia luată în considerare pentru analiza și managementul riscurilor este pe deplin aplicabilă în condițiile rusești, în ciuda faptului că indicatorii de securitate de la accesul neautorizat la informații și cerințele pentru protecția informațiilor diferă în standardele RD rusești și străine. Pare deosebit de utilă folosirea unor instrumente precum metoda CRAMM atunci când se efectuează analize de risc ale sistemelor informaționale cu cerințe sporite în domeniul securității informațiilor. Acest lucru vă permite să obțineți evaluări rezonabile ale nivelurilor existente și acceptabile de amenințări, vulnerabilități și eficacitatea protecției.
MethodWare
MethodWare și-a dezvoltat propria metodologie de evaluare și management al riscurilor și a lansat o serie de instrumente conexe. Aceste instrumente includ: Software de analiză și management al riscului Operational Risk Builder și Risk Advisor. Metodologia respectă standardul de management al riscului din Australia/Noua Zeelandă (AS/NZS 4360:1999) și ISO17799. Software-ul de management al ciclului de viață al tehnologiei informației în conformitate cu CobiT Advisor 3rd Edition (Audit) și CobiT 3rd Edition Management Advisor. Orientările CobiT pun un accent semnificativ pe analiza și managementul riscurilor. Software pentru automatizarea construirii diverselor chestionare Questionnaire Builder.
Să aruncăm o privire rapidă la caracteristicile Risk Advisor. Acest software este poziționat ca un set de instrumente pentru un analist sau manager în domeniul securității informațiilor. A fost implementată o tehnică care vă permite să setați un model al unui sistem informațional din perspectiva securității informațiilor, pentru a identifica riscurile, amenințările și pierderile ca urmare a incidentelor. Principalele etape ale lucrării sunt: descrierea contextului, identificarea riscurilor, evaluarea amenințărilor și a eventualelor daune, desfășurarea acțiunilor de control și elaborarea unui plan de recuperare și a acțiunii în situații de urgență. Să ne uităm la acești pași mai detaliat. Descrierea riscurilor. Matricea de risc este stabilită ( orez. 10. - Identificarea și definirea riscurilor în Risk Advisor) pe baza unui șablon. Riscurile sunt evaluate pe o scară calitativă și împărțite în acceptabile și inacceptabile ( orez. 11. - Separarea riscurilor în acceptabile și inacceptabile în Risk Advisor). Apoi, acțiunile de control (contramăsuri) sunt selectate ținând cont de sistemul de criterii înregistrat anterior, de eficacitatea contramăsurilor și de costul acestora. Costul și eficacitatea sunt, de asemenea, evaluate pe scale calitative.
Descrierea amenințărilor.În primul rând, se formează o listă de amenințări. Amenințările sunt clasificate într-un anumit fel, apoi este descrisă relația dintre riscuri și amenințări. Descrierea se face și la nivel calitativ și ne permite să consemnăm relațiile lor.
Descrierea pierderilor. Sunt descrise evenimentele (consecințele) asociate cu încălcarea regimului de securitate a informațiilor. Pierderile sunt evaluate în sistemul de criterii selectat.
Analiza rezultatelor. Ca rezultat al construirii modelului, puteți genera un raport detaliat (aproximativ 100 de secțiuni) și puteți vizualiza descrieri agregate pe ecran sub formă de grafice.
Metodologia luată în considerare vă permite să automatizați diverse aspecte ale managementului riscului companiei. În acest caz, evaluările riscurilor sunt date pe scale calitative. Nu este furnizată o analiză detaliată a factorilor de risc. Punctul forte al metodologiei luate în considerare este capacitatea de a descrie diverse relații, luarea în considerare adecvată a multor factori de risc și intensitatea muncii semnificativ mai scăzută în comparație cu CRAMM.
Concluzie
Metodele și tehnologiile moderne de management al riscului informațional fac posibilă evaluarea nivelului existent al riscurilor informaționale reziduale în companiile naționale. Acest lucru este deosebit de important în cazurile în care se impun cerințe sporite sistemului informațional al companiei în domeniul protecției informațiilor și al continuității afacerii.Astăzi există o serie de tehnici de analiză a riscurilor, inclusiv utilizarea instrumentelor CASE, adaptate pentru utilizare în condiții casnice. . Este important ca o analiză de înaltă calitate a riscurilor informaționale să permită o analiză comparativă a „eficacității-cost” a diferitelor opțiuni de protecție, selectarea contramăsurilor și controalelor adecvate și evaluarea nivelului riscurilor reziduale. În plus, instrumentele de analiză a riscurilor bazate pe baze de cunoștințe moderne și proceduri de inferență fac posibilă construirea de modele structurale și orientate pe obiecte ale activelor informaționale ale unei companii, modele de amenințare și modele de risc asociate cu informații individuale și tranzacții comerciale și, prin urmare, identificarea unei astfel de companii. activele informaționale riscul de încălcare a securității este critic, adică inacceptabil. Astfel de instrumente oferă posibilitatea de a construi diverse modele de protejare a activelor informaționale ale unei companii, de a compara diferite opțiuni pentru seturi de măsuri de protecție și control folosind criteriul „eficacitate și cost”, precum și de a monitoriza respectarea cerințelor de organizare a unui regim de securitate a informațiilor pentru un companie autohtonă.
Probleme de aplicare practică a analizei de risc în procesele de management al securității informațiilor, precum și aspecte generale ale procesului de analiză a riscului de securitate a informațiilor în sine.
În procesul de gestionare a oricărui domeniu de activitate, este necesar să se dezvolte decizii conștiente și eficiente, a căror adoptare ajută la atingerea anumitor obiective. În opinia noastră, o decizie adecvată poate fi luată doar pe baza faptelor și a analizei relațiilor cauză-efect. Desigur, într-o serie de cazuri, deciziile sunt luate la nivel intuitiv, dar calitatea unei decizii intuitive depinde foarte mult de experiența managerului și, într-o măsură mai mică, de o combinație reușită a circumstanțelor.
Pentru a ilustra cât de complex este procesul de luare a unei decizii bine întemeiate și realiste, vom da un exemplu din domeniul managementului securității informațiilor (IS). Să luăm o situație tipică: șeful departamentului de securitate a informațiilor trebuie să înțeleagă în ce direcții să se deplaseze pentru a-și dezvolta eficient funcția principală - asigurarea securității informaționale a organizației. Pe de o parte, totul este foarte simplu. Există o serie de abordări standard pentru rezolvarea problemelor de securitate: protecția perimetrelor, protecția față de persoane din interior, protecția împotriva circumstanțelor de forță majoră. Și există multe produse care vă permit să rezolvați cutare sau cutare problemă (protejați-vă de cutare sau cutare amenințare).
Cu toate acestea, există un mic „dar”. Specialiștii departamentului de securitate a informațiilor se confruntă cu faptul că alegerea produselor din diferite clase este foarte largă, infrastructura informațională a organizației este la scară foarte mare, numărul de ținte potențiale ale atacurilor de către intruși este mare și activitățile departamentelor organizației. sunt eterogene și nu pot fi unificate. Totodată, fiecare specialist de departament are propria părere despre prioritatea domeniilor de activitate, corespunzătoare specializării și priorităților personale. Iar implementarea unei soluții tehnice sau dezvoltarea unei reglementări sau instrucțiuni într-o organizație mare are ca rezultat un proiect mic cu toate atributele activității proiectului: planificare, buget, responsabili, termene etc.
Astfel, să te protejezi peste tot și de orice, în primul rând, nu este posibil din punct de vedere fizic și, în al doilea rând, nu are sens. Ce poate face șeful departamentului de securitate a informațiilor în acest caz?
În primul rând, s-ar putea să nu facă nimic până la primul incident major. În al doilea rând, încercați să implementați un standard de securitate a informațiilor general acceptat. În al treilea rând, aveți încredere în materialele de marketing ale producătorilor de software și hardware și integratorilor sau consultanților în domeniul securității informațiilor. Cu toate acestea, există o altă cale.
Definirea obiectivelor managementului securității informațiilor
Puteți încerca - cu ajutorul conducerii și al angajaților organizației - să înțelegeți ce trebuie protejat de fapt și de cine. Din acest moment, la intersecția tehnologiei și a business-ului principal încep activități specifice, care constă în determinarea direcției de activitate și (dacă este posibil) a stării țintă a suportului pentru securitatea informațiilor, care va fi formulată concomitent în termeni de afaceri și în ceea ce privește securitatea informatiei.
Procesul de analiză a riscurilor este un instrument cu ajutorul căruia puteți determina obiectivele managementului securității informațiilor, puteți evalua principalii factori critici care afectează negativ procesele cheie de afaceri ale companiei și puteți dezvolta soluții informate, eficiente și justificate pentru a le controla sau minimiza.
Mai jos vom descrie ce sarcini sunt rezolvate ca parte a analizei riscului de securitate a informațiilor pentru a obține rezultatele enumerate și modul în care aceste rezultate sunt obținute ca parte a analizei de risc.
Identificarea și evaluarea activelor
Scopul managementului securității informațiilor este de a menține confidențialitatea, integritatea și disponibilitatea informațiilor. Singura întrebare este ce fel de informații trebuie protejate și ce eforturi ar trebui depuse pentru a asigura siguranța acestora (Fig. 1).
Orice management se bazează pe conștientizarea situației în care apare. În ceea ce privește analiza riscului, conștientizarea situației se exprimă în inventarierea și evaluarea activelor organizației și a mediului acestora, adică tot ceea ce asigură desfășurarea activităților de afaceri. Din punct de vedere al analizei riscului de securitate a informatiilor, principalele active includ informatii, infrastructura, personal, imaginea si reputatia companiei. Fără un inventar al activelor la nivelul activității afacerii, este imposibil să se răspundă la întrebarea ce anume trebuie protejat. Este important să înțelegeți ce informații sunt procesate în cadrul unei organizații și unde sunt procesate.
Într-o organizație modernă mare, numărul de active informaționale poate fi foarte mare. Dacă activitățile unei organizații sunt automatizate folosind un sistem ERP, atunci putem spune că aproape orice obiect material folosit în această activitate corespunde unui fel de obiect informațional. Prin urmare, sarcina principală a managementului riscului este identificarea celor mai semnificative active.
Este imposibil de rezolvat această problemă fără implicarea managerilor activității principale a organizației, atât la nivel mediu, cât și la nivel superior. Situația optimă este atunci când conducerea de vârf a organizației stabilește personal cele mai critice domenii de activitate, pentru care este extrem de important să se asigure securitatea informației. Opinia conducerii superioare cu privire la prioritățile în asigurarea securității informațiilor este foarte importantă și valoroasă în procesul de analiză a riscurilor, dar în orice caz ar trebui clarificată prin colectarea de informații despre criticitatea activelor la nivelul mediu de management al companiei. În același timp, este indicat să se efectueze analize ulterioare tocmai în domeniile de activitate ale afacerii desemnate de managementul de vârf. Informațiile primite sunt procesate, agregate și transmise conducerii superioare pentru o evaluare cuprinzătoare a situației (dar despre asta mai târziu).
Informațiile pot fi identificate și localizate pe baza unei descrieri a proceselor de afaceri în care informațiile sunt considerate ca unul dintre tipurile de resurse. Sarcina este oarecum simplificată dacă organizația a adoptat o abordare a reglementării activităților de afaceri (de exemplu, în scopul managementului calității și al optimizării proceselor de afaceri). Descrierile formalizate ale proceselor de afaceri sunt un bun punct de plecare pentru inventarul de active. Dacă nu există descrieri, puteți identifica activele pe baza informațiilor primite de la angajații organizației. Odată ce activele au fost identificate, valoarea acestora trebuie determinată.
Munca de determinare a valorii activelor informaționale în întreaga organizație este atât cea mai semnificativă, cât și cea mai complexă. Evaluarea activelor informaționale este cea care va permite șefului departamentului de securitate a informațiilor să aleagă principalele domenii de activitate pentru asigurarea securității informațiilor.
Valoarea unui activ este exprimată prin valoarea pierderilor pe care o organizație le va suferi în cazul unei breșe de securitate a activului. Determinarea valorii este problematică deoarece, în cele mai multe cazuri, managerii organizaționali nu pot răspunde imediat la întrebarea ce s-ar întâmpla dacă, de exemplu, informațiile despre prețurile de cumpărare stocate pe un server de fișiere ar ajunge la un concurent. Sau mai degrabă, în cele mai multe cazuri, managerii organizaționali nu s-au gândit niciodată la astfel de situații.
Dar eficiența economică a procesului de management al securității informațiilor depinde în mare măsură de conștientizarea a ceea ce trebuie protejat și de ce eforturi va necesita acest lucru, deoarece în majoritatea cazurilor volumul de efort aplicat este direct proporțional cu suma de bani cheltuită și cu cheltuielile de funcționare. Managementul riscurilor vă permite să răspundeți la întrebarea unde vă puteți asuma riscuri și unde nu. În cazul securității informațiilor, termenul „risc” înseamnă că într-o anumită zonă este posibil să nu se depună eforturi semnificative pentru a proteja activele informaționale și, în același timp, în cazul unei breșe de securitate, organizația nu va suferi pierderi semnificative. Aici putem face o analogie cu clasele de protecție ale sistemelor automate: cu cât riscurile sunt mai semnificative, cu atât cerințele de protecție ar trebui să fie mai stricte.
Pentru a determina consecințele unei încălcări de securitate, trebuie fie să aveți informații despre incidente înregistrate de natură similară, fie să efectuați o analiză de scenariu. Analiza scenariului examinează relațiile cauză-efect dintre evenimentele de securitate a activelor și consecințele acestor evenimente asupra activităților de afaceri ale organizației. Consecințele scenariilor ar trebui să fie evaluate de mai multe persoane, iterativ sau deliberativ. Trebuie remarcat faptul că dezvoltarea și evaluarea unor astfel de scenarii nu pot fi complet divorțate de realitate. Trebuie să vă amintiți întotdeauna că scenariul trebuie să fie probabil. Criteriile și scalele pentru determinarea valorii sunt individuale pentru fiecare organizație. Pe baza rezultatelor analizei scenariilor se pot obține informații despre valoarea activelor.
Dacă activele sunt identificate și se determină valoarea acestora, putem spune că obiectivele asigurării securității informațiilor sunt parțial stabilite: sunt determinate obiectele de protecție și importanța menținerii acestora într-o stare de securitate a informațiilor pentru organizație. Poate că tot ce rămâne este să se determine de cine trebuie să fie protejat.
Analiza surselor problemelor
După ce ați determinat obiectivele managementului securității informațiilor, ar trebui să analizați problemele care vă împiedică să vă apropiați de starea țintă. La acest nivel, procesul de analiză a riscurilor coboară către infrastructura informațională și conceptele tradiționale de securitate a informațiilor - intruși, amenințări și vulnerabilități (Fig. 2).
Modelul intrusului
Pentru a evalua riscurile, nu este suficientă introducerea unui model standard de încălcare care să împartă toți infractorii în funcție de tipul de acces la activ și cunoașterea structurii activelor. Această diviziune ajută la determinarea amenințărilor care pot fi direcționate asupra unui activ, dar nu răspunde la întrebarea dacă aceste amenințări pot fi, în principiu, realizate.
În procesul de analiză a riscurilor, este necesar să se evalueze motivația contravenienților în implementarea amenințărilor. În acest caz, contravenientul nu înseamnă un hacker extern abstract sau din interior, ci o parte interesată să obțină beneficii prin încălcarea securității unui bun.
Este indicat să se obțină informații inițiale despre modelul infractorului, ca și în cazul alegerii direcțiilor inițiale ale activităților de securitate a informațiilor, de la conducerea de vârf, care înțelege poziția organizației pe piață, are informații despre concurenți și ce metode de influență pot fi. asteptat de la ei. Informațiile necesare dezvoltării unui model de intrus pot fi obținute și din cercetările de specialitate privind încălcările securității informatice din zona de afaceri pentru care se efectuează analiza de risc. Un model de intrus dezvoltat corespunzător completează obiectivele de securitate a informațiilor determinate la evaluarea activelor organizației.
Model de amenințare
Dezvoltarea unui model de amenințare și identificarea vulnerabilităților sunt indisolubil legate de un inventar al mediului în care se află activele informaționale ale organizației. Informațiile în sine nu sunt stocate sau procesate. Accesul la acesta este asigurat folosind o infrastructură informațională care automatizează procesele de afaceri ale organizației. Este important să înțelegeți modul în care infrastructura informațională și activele informaționale ale unei organizații sunt legate între ele. Din perspectiva managementului securității informațiilor, importanța infrastructurii informaționale poate fi stabilită numai după determinarea relației dintre activele informaționale și infrastructură. Dacă procesele de întreținere și operare a infrastructurii informaționale dintr-o organizație sunt reglementate și transparente, colectarea informațiilor necesare identificării amenințărilor și evaluării vulnerabilităților este mult simplificată.
Dezvoltarea unui model de amenințare este o sarcină pentru profesioniștii în securitatea informațiilor care au o bună înțelegere a modului în care un atacator poate obține acces neautorizat la informații prin încălcarea perimetrului de securitate sau folosind metode de inginerie socială. Atunci când dezvoltați un model de amenințare, puteți vorbi și despre scenarii ca pași secvențiali în funcție de care amenințările pot fi realizate. Foarte rar se întâmplă ca amenințările să fie implementate într-un singur pas prin exploatarea unui singur punct vulnerabil din sistem.
Modelul de amenințare ar trebui să includă toate amenințările identificate prin procesele aferente de gestionare a securității informațiilor, cum ar fi gestionarea vulnerabilităților și a incidentelor. Trebuie amintit că amenințările vor trebui clasificate unele față de altele în funcție de nivelul de probabilitate a implementării lor. Pentru a face acest lucru, în procesul de dezvoltare a unui model de amenințare pentru fiecare amenințare, este necesar să se indice cei mai semnificativi factori, a căror existență influențează implementarea acestuia.
Identificarea vulnerabilităților
În consecință, după dezvoltarea unui model de amenințare, este necesar să se identifice vulnerabilitățile din mediul activelor. Identificarea și evaluarea vulnerabilităților poate fi realizată ca parte a unui alt proces de management al securității informațiilor - auditul. Aici nu trebuie să uităm că pentru a efectua un audit de securitate a informațiilor este necesară elaborarea unor criterii de verificare. Și criteriile de verificare pot fi dezvoltate pe baza modelului de amenințare și a modelului de intrus.
Pe baza rezultatelor dezvoltării unui model de amenințare, a unui model de intrus și a identificării vulnerabilităților, putem spune că au fost identificate motivele care influențează atingerea stării țintă a securității informaționale a organizației.
Evaluare a riscurilor
Identificați și evaluați activele, dezvoltați un model adversar și un model de amenințare și identificați vulnerabilități - toți aceștia sunt pași standard care ar trebui descriși în orice metodologie de analiză a riscurilor. Toți pașii de mai sus pot fi efectuati cu diferite niveluri de calitate și detaliu. Este foarte important să înțelegeți ce și cum se poate face cu o cantitate imensă de informații acumulate și modele oficializate. În opinia noastră, această întrebare este cea mai importantă, iar răspunsul la aceasta ar trebui dat de metodologia de analiză a riscului utilizată.
Rezultatele obținute trebuie evaluate, agregate, clasificate și afișate. Deoarece daunele sunt determinate în etapa de identificare și evaluare a activelor, este necesar să se estimeze probabilitatea evenimentelor de risc. Ca și în cazul evaluării activelor, o evaluare a probabilității poate fi obținută pe baza statisticilor privind incidentele, ale căror cauze coincid cu amenințările la securitatea informațiilor luate în considerare, sau printr-o metodă de prognoză - bazată pe factori de ponderare corespunzători modelului de amenințare dezvoltat.
O bună practică pentru evaluarea probabilității ar fi clasificarea vulnerabilităților în funcție de un set selectat de factori care caracterizează ușurința de exploatare a vulnerabilităților. Prognoza probabilității amenințărilor se realizează pe baza proprietăților vulnerabilității și a grupurilor de infractori de la care provin amenințările.
Un exemplu de sistem de clasificare a vulnerabilităților este standardul CVSS - sistem comun de punctare a vulnerabilităților. De remarcat că în procesul de identificare și evaluare a vulnerabilităților sunt foarte importante experiența de specialitate a specialiștilor în securitatea informațiilor care efectuează evaluări de risc și materialele și rapoartele statistice utilizate cu privire la vulnerabilități și amenințări în domeniul securității informațiilor.
Amploarea (nivelul) riscului ar trebui determinată pentru toate seturile de amenințări identificate și corespunzătoare. În același timp, valoarea pagubei și probabilitatea nu trebuie să fie exprimate în termeni monetari absoluti și procente; Mai mult, de regulă, nu este posibilă prezentarea rezultatelor în această formă. Motivul pentru aceasta este metodele utilizate pentru analiza și evaluarea riscurilor de securitate a informațiilor: analiza scenariilor și prognoza.
Luarea deciziilor
Ce poți face cu rezultatul evaluării?
În primul rând, ar trebui să elaborați un raport simplu și vizual de analiză a riscurilor, al cărui scop principal va fi prezentarea informațiilor colectate despre semnificația și structura riscurilor de securitate a informațiilor în organizație. Raportul trebuie prezentat conducerii superioare a organizației. O greșeală comună este de a prezenta rezultate intermediare conducerii superioare în loc de concluzii. Fără îndoială, toate concluziile trebuie susținute de argumente - toate calculele intermediare trebuie atașate raportului.
Pentru claritatea raportului, riscurile trebuie clasificate în termeni de afaceri familiari organizației, iar riscurile similare trebuie agregate. În general, clasificarea riscurilor poate avea mai multe fațete. Pe de o parte, vorbim despre riscurile de securitate a informațiilor, pe de altă parte – despre riscurile de deteriorare a reputației sau de pierdere a unui client. Riscurile clasificate trebuie clasificate în funcție de probabilitatea apariției și semnificația lor pentru organizație.
Raportul de analiză a riscurilor reflectă următoarele informații:
- cele mai problematice domenii ale asigurării securității informațiilor din organizație;
- impactul amenințărilor la securitatea informațiilor asupra structurii generale de risc a organizației;
- domenii prioritare de activitate ale departamentului de securitate a informațiilor pentru îmbunătățirea eficienței suportului pentru securitatea informațiilor.
Pe baza raportului de analiză a riscurilor, șeful departamentului de securitate a informațiilor poate elabora un plan de lucru al departamentului pe termen mediu și poate stabili un buget în funcție de natura activităților necesare reducerii riscurilor. Rețineți că un raport de analiză a riscurilor compilat corect permite șefului departamentului de securitate a informațiilor să găsească un limbaj comun cu conducerea de vârf a organizației și să rezolve probleme stringente legate de managementul securității informațiilor (Fig. 3).
Politica de tratare a riscurilor
O problemă foarte importantă este politica de management al riscului a organizației. Politica stabilește regulile pentru tratarea riscurilor. De exemplu, politica poate spune că riscurile reputaționale ar trebui mai întâi atenuate, în timp ce atenuarea riscurilor de importanță medie care nu sunt confirmate de incidente de securitate a informațiilor este amânată până la sfârșitul cozii. Politicile de management al riscului pot fi stabilite de unitatea corporativă de management al riscului.
O politică de tratare a riscurilor poate explica problemele de asigurare a riscurilor și de restructurare a activităților în cazul în care riscurile potențiale depășesc un nivel acceptabil. Dacă politica nu este definită, atunci succesiunea de reducere a riscului ar trebui să se bazeze pe principiul eficienței maxime, dar ar trebui să fie totuși determinată de conducerea superioară.
Să rezumam
Analiza riscurilor este o procedură destul de intensivă în muncă. În procesul de analiză a riscurilor ar trebui utilizate materiale și instrumente metodologice. Totuși, acest lucru nu este suficient pentru a implementa cu succes un proces repetabil; O altă componentă importantă este reglementările de management al riscului. Poate fi autosuficient și să abordeze doar riscurile de securitate a informațiilor sau poate fi integrat cu procesul general de management al riscurilor din organizație.
Procesul de analiză a riscurilor implică multe divizii structurale ale organizației: divizii care conduc direcțiile principale ale activităților acesteia, divizia de management al infrastructurii informaționale și divizia de management al securității informațiilor. În plus, pentru a realiza cu succes o analiză de risc și a utiliza eficient rezultatele acesteia, este necesară implicarea conducerii de vârf a organizației, asigurând astfel interacțiunea între diviziile structurale.
Tehnicile de analiză a riscurilor sau instrumentele specializate pentru evaluarea riscurilor de securitate a informațiilor nu sunt suficiente. Sunt necesare proceduri pentru identificarea activelor, determinarea importanței acestora, dezvoltarea modelelor de intruși și amenințări, identificarea vulnerabilităților și agregarea și clasificarea riscurilor. În diferite organizații, toate procedurile enumerate pot varia semnificativ. Obiectivele și sfera analizei riscului de securitate a informațiilor influențează, de asemenea, cerințele pentru procesele asociate cu analiza riscului.
Utilizarea metodei de analiză a riscurilor pentru managementul securității informațiilor necesită ca organizația să aibă un nivel suficient de maturitate la care să fie posibilă implementarea tuturor proceselor necesare în cadrul analizei riscurilor.
Managementul riscurilor vă permite să structurați activitățile departamentului de securitate a informațiilor, să găsiți un limbaj comun cu conducerea de vârf a organizației, să evaluați eficacitatea departamentului de securitate a informațiilor și să justificați deciziile privind alegerea măsurilor specifice de protecție tehnică și organizatorică către conducerea de vârf. .
Procesul de analiză a riscurilor este continuu, deoarece obiectivele de nivel superior ale securității informațiilor pot rămâne neschimbate pentru o lungă perioadă de timp, dar infrastructura informațională, metodele de procesare a informațiilor și riscurile asociate utilizării IT sunt în continuă schimbare.
Departamentul de securitate a informațiilor și organizația în ansamblu, atunci când își structurează activitățile prin analiza continuă a riscurilor, beneficiază de următoarele beneficii foarte semnificative:
- identificarea obiectivelor managementului;
- determinarea metodelor de management;
- eficienta managementului bazata pe luarea unor decizii informate si la timp.
Mai sunt câteva puncte de remarcat în legătură cu managementul riscurilor și managementul securității informațiilor.
Analiza riscurilor, managementul incidentelor și auditul securității informațiilor sunt indisolubil legate între ele, deoarece intrările și ieșirile proceselor enumerate sunt conectate. Dezvoltarea și punerea în aplicare a procesului de management al riscurilor trebuie să fie realizate cu ochiul către gestionarea incidentelor și auditurile SI.
Procesul de analiză a riscului stabilit este o cerință obligatorie a standardului STO-BR IBBS-1.0-2006 pentru asigurarea securității informațiilor în sectorul bancar.
Înființarea unui proces de analiză a riscurilor este necesară pentru o organizație dacă a decis să se supună certificării pentru conformitatea cu cerințele standardului internațional ISO/IEC 27001:2005.
Stabilirea unui regim de protecție a secretelor comerciale și a datelor cu caracter personal este indisolubil legată de analiza riscurilor, deoarece toate aceste procese folosesc metode similare pentru identificarea și evaluarea activelor, dezvoltarea unui model de intrus și a unui model de amenințare.
