ISO 27.x предполагает разделение активов на первичные (информацию и процессы) и вторичные (все, что содержит информацию и обеспечивает процессы, которые необходимо защищать). При таком подходе меня не устраивает один нюанс - информация также, скорей всего, необходима для обеспечения процессов. Этот нюанс учтен в методологии FAIR - информационные активы в данной методологии обладают таким параметром как критичность, т.е. необходимость данного актива для осуществления некоторой деятельности.
name='more'>Американский национальный стандарт по управлению информационными рисками ( NIST SP 800-37) такого подразделения также не проводит. Но в нем описан интересный трехуровневый подход формированию модели управления рисками. На каждом из уровней происходит оценка рисков, реагирование на риски и мониторинг рисков. В данной статье будет рассмотрен подход к оценке рисков на каждом из уровней.
Данная схема поможет создать систему управления информационными рисками. По логике нужно начинать от верхнего уровня к нижнему... но если компания уже функционирует, то проще забыть про логику и начинать снизу.
Уровень 3. Уровень информационных систем
Необходимо выделить в организации существующие информационные системы. Проще всего просто рассмотреть парк машин в организации и разделить их на группы по функционалу. Т.е. компьютеры бухгалтеров, айтишников, топ-менеджеров, кадровиков, почтовые сервера, файловые и т.д. Связанные сетью (или не связанные) они формируют информационную систему бухгалтерии, отдела кадров и т.д.
Для каждой из информационной систем будут характерны определенные угрозы и уязвимости, т.к. все машины в определенной информационной системе будут, по сути, осуществлять один и тот же функционал. А раз так, то они работают функционируют на одном железе, на них установлен один и тот же софт, обрабатывают они одну и ту же информацию и имеют один и тот характер работы...
На этом уровне мы не будем трогать процессы. Т.е. оценивая возможные потери, смотрим лишь на стоимость восстановления/замены поврежденных компонентов ИС, ну и на то, чем грозят утечки информации из каждой ИС. Ну и главное - как долго будет в полном объеме функционировать ИС при потере некоторой доли своих компонентов и какая доля окажется критичной.
Проведя такой анализ на третьем уровне можно переходить к следующему.
Уровень 2. Уровень процессов
Каждая ИС участвует в одном или нескольких процессов в организации. Отдел бухгалтерии начисляет зарплаты и платит налоги, почтовый сервер позволяет обмениваться электронной почтой между ИС и т.д.
Здесь стоит сформировать таблицу, из которой сразу станет видно - какие процессы приостановятся при выходе из строя тех или иных ИС. А затем следует оценить, во что нам может обойтись такая "приостановка" в зависимости от времени простоя.
Уровень 1. Уровень организации
Полученные на предыдущем уровне процессы могут быть (вернее, наверняка) взаимосвязаны. Кроме того, некоторые из них связаны с внешними процессами (процессами других организаций, клиентов...). Именно на этом этапе необходимо учитывать возможный ущерб репутации компании, возможные санкции регуляторов, штрафы за неисполнение договорных обязательств и т.п.
Результат оценки информационных рисков
В итоге мы должны получить просветлениеосознание того, что случится на каждом уровне, если в какую-то ИС придет беда. А вот информационные угрозы и уязвимости мы будем оценивать только для ИС (что логично).
Коротко о двух других составляющих системы управления информационными рисками по NIST-RMF:
Мониторинг
- Уровень 3: Логирование событий в ИС. Изучение потенциально опасных записей.
- Уровень 2: Измерение эффективности процессов, обеспечиваемых ИС. Если начинаются проблемы - стоит спуститься на уровень ниже и поискать беду.
- Уровень 1: Мониторинг эффективности организации - стала ли она приносить меньше денег, стало ли приходить меньше клиентов, не слышно ли негативных отзывов... и если так - спускаться на уровень ниже.
Реагирование
- Уровень 3: Локализуем, лечим, восстанавливаем состояние, ищем в чем была проблема и как сделать так, чтобы она не повторилась в данной ИС
- Уровень 2: Найдя "неэффективный процесс" находим от каких ИС он зависит и переходим на уровень 3 для найденных ИС.
- Уровень 1: Если что-то плохо - ищем "неэффективные процессы".
ЗЫ: Читал по буржуйски и не сказать что недавно - потому, мб, не все понял и что-то выдумал/привнес из других стандартов.
