Прежде всего необходимо определиться с подходом к оценке рисков. Для этого идентифицируем методику оценки рисков, удовлетворяющую требованиям конкретной системы информационной безопасности и требованиям информационной безопасности вида деятельности, а так же правовым и регулирующим требованиям. После этого нужно разработать критерии принятия рисков и определить допустимые уровни риска.
Выбранная методика оценки рисков будет обеспечивать сравнимые и воспроизводимые результаты.
Следующим щагом будет определение рисков. Для этого выполним следующее:
- Определим активы в рамках системы информационной безопасности и владельцев этих активов
- Определим угрозы активов
- Определим уязвимости активов
- Определим степень воздействия на активы, которая может возникнуть при нарушении конфиденциальности, целостности и доступности
Необходимо так же определить сами активы, что рекомендуется проводить в соответствии с классификацией по группам: информационные активы, программные активы, физические активы, сервисы и человеческие (трудовые) ресурсы.
Теперь определим угрозы и уязвимости, которым могцт быть подвергнуты активы. Так же необходимо провести оценка влияния угроз и уязвимостей на активы. Для этого составим модель угроз.
Модель угроз состоит из аннотация угрозы, описания возможных источников угрозы и способов их реаализации, описание использования уязвимостей, описание видовд активов. Немаловажно отметить свойства безопасности активов подверженные изменению (нарушению) и возможные последствия реализации угрозы.
Далее для выявления источников угроз составляется модель нарушителя.
Следующим пунктом является оценка влияния, которое может иметь место в результате нарушений безопасности, принимая во внимание последствия, связанные с нарушением конфиденциальности. Так же необходимо оценить реальную возможность реализации угроз безопасности и представить возможный ущерб, связанный с активами подверженными угрозам, и реализованные в настоящее время меры обеспечения безопасности.
Для уменьшения риска необходимо принятие надлежащих мер управления безопасностью. Так же можно допустить риски, при условии, что они соответствуют принятой в организации политике и критериям принятия рисков. Будет лучше, если риски можно вообще избежать, или перенести соответствующие риски для деятельности на другие стороны, например, страховщиков, поставщиков (измененить характер риска). Цели и меры управления безопасностью выбираются и реализуются для выполнения требований, определенных в процессе оценки и обработки рисков. При этом выборе должны приниматься во внимание как критерии принятия риска, так и правовые, регулирующие требования. Должны быть выбраны цели и меры управления безопасностью, подходящие для выполнения определенных требований. Результаты анализа и оценки рисков представляют руководству в виде отчета об анализе рисков. Принятие решения по остаточным риска - ответственность руководства.
|