29 Марта, 2012

5 причин оценивать риски ИБ

Andrey Prozorov

 
В этом небольшом посте я хочу написать несколько мыслей про достаточно важный элемент управления ИБ, который (незаслуженно) многие игнорируют. Это оценка рисков (ну, и их анализ).

Основными причинами проводить периодическую оценку и анализ рисков являются:
  • Снижение факторов неопределенности при управлении и обеспечении ИБ, повышение качества информации, необходимой для принятия управленческих решений.
  • Улучшение планирования и повышение эффективности ИБ.
  • Экономия ресурсов (деньги, время, трудозатраты, оборудование и пр.).
  • Улучшение взаимоотношений с заинтересованными сторонами.
  • Соответствие некоторым российским и международным стандартами и "лучшим практикам".
Ну, и пару практических (простых) советов... 

name='more'> Даже если вы и не хотите, по тем или иным причинам) строить классический процесс управления рисками, то вы можете сделать следующее:
  1. Определить критичные системы и сервисы;
  2. Определить самые уязвимые места в ИБ;
  3. Определить возможные вектора угроз ИБ;
  4. Определить основные группы угроз.
Этой информации вам для первоначального планирования построения (совершенствования ИБ) будет достаточно, а потом уже Вы сможете уточнять эту информации, или даже выстроить процесс управления рисками.

Если все же есть желание (и возможности) более детально заняться рисками ИБ, то в общем случае это будет выглядеть следующим образом:
  1. Определение области управления рисками (scope);
  2. Инвентаризация и категорирование активов;
  3. Оценка критичности активов (их ценности);
  4. Определение перечня возможных угроз ИБ;
  5. Выбор/разработка методики оценки рисков;
  6. Проведение оценки рисков;
  7. Анализ результатов;
  8. Определение (и, возможно, согласование) допустимого уровня рисков;
  9. Планирование обработки рисков (совершенствование системы ИБ);
  10. Анализ и совершенствование процедуры и методологии оценки рисков.
Я бы не рекомендовал в первый раз выбирать большой scope и использовать специальные автоматизированные системы оценки рисков, постарайтесь методику и процедуру не усложнять. Когда у вас получиться, то уже потом Вы сможете усовершенствовать всю систему. Удачи.