CISM. Risk Management. Chapter Review

CISM. Risk Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление рисками является основой программы информационной безопасности организации. Благодаря своим методам выявления рисков и понимания вероятности их возникновения и воздействия на организацию, управление рисками помогает организации расставлять приоритеты в отношении ограниченных ресурсов для наиболее эффективного снижения рисков. Правильное применение управления рисками помогает организации снизить частоту и влияние инцидентов безопасности за счет повышения устойчивости и подготовки.

При реализации программы управления рисками необходимо учитывать несколько характеристик организации, включая устойчивость к рискам, нормативные и юридические обязательства, структуру управления, поддержку исполнительного руководства и культуру.

Программа управления рисками должна включать несколько способов коммуникации, чтобы бизнес-лидеры и заинтересованные стороны понимали программу и то, как она интегрирована в организацию. Программа должна быть прозрачной в отношении ее процедур и практики.

При создании или совершенствовании программы управления рисками менеджеры по безопасности могут выбрать одну из нескольких отраслевых структур, таких как ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31010, NIST SP800-37, NIST SP800-39, COBIT 5 или модель зрелости рисков RIMS. Эти и другие структуры имеют схожие компоненты, включая сферу охвата, цели, политику, устойчивость к рискам, роли и обязанности, процесс жизненного цикла управления рисками и управленческий анализ. В максимально разумной степени программа управления рисками должна быть интегрирована в бизнес, чтобы свести к минимуму влияние деятельности программы.

При планировании программы управления рисками менеджер по безопасности и исполнительное руководство должны понимать — и в некоторой степени определять — контекст программы. Это включает в себя объем программы, участников и заинтересованных сторон, а также толерантность к риску. Менеджеру по безопасности необходимо учитывать многие аспекты внутренней среды организации, а также внешние условия, такие как рыночные и экономические условия, внешние заинтересованные стороны, клиенты и внешние угрозы. Менеджеру по безопасности может потребоваться выполнить анализ пробелов, чтобы лучше понять текущее состояние по сравнению с желаемым будущим состоянием программы. Менеджеры по безопасности могут восполнить пробелы в знаниях и опыте, взаимодействуя с другими специалистами по безопасности и специалисты по рискам, тренинги, периодические издания и конференции.

Жизненный цикл управления рисками состоит из набора мероприятий, которые позволяют выявлять риски и управлять ими. Этапы процесса включают определение сферы охвата, идентификацию и оценку активов, идентификацию рисков, анализ рисков, обработку рисков и информирование о рисках. Периодические оценки рисков и другие средства способствуют постоянному выявлению рисков.

Можно использовать несколько стандартов управления рисками, включая NIST SP 800-39, NISTSP 800-30, ISO/IEC 27001 иFAIR. Активы должны быть идентифицированы и оценены в рамках программы управления рисками. Типы активов, которые необходимо определить, включают аппаратное обеспечение, подсистемы и программное обеспечение, информацию, облачную информацию и виртуальные активы. Активы должны быть классифицированы в соответствии со схемой, основанной на риске, аналогичной той, которая обычно используется для классификации данных. Это помогает менеджеру по безопасности легче идентифицировать активы, которые являются более важными, чем другие. Методы оценки активов включают качественные (высокие, средние, низкие) и количественные (либо стоимость замещения, балансовая стоимость, чистая приведенная стоимость, стоимость перераспределения или другой метод).

Ключевым шагом в анализе рисков является выявление и анализ внутренних и внешних угроз. Стандарты управления рисками, такие как NIST SP 800-37, содержат исчерпывающие перечни достоверных угроз. Менеджеры по безопасности должны понимать, что часто возникают угрозы, которые необходимо учитывать при оценке рисков, и некоторые из них, возможно, еще не включены в действующие стандарты. Кроме того, иногда возникают угрозы, характерные для определенного сектора промышленности. Еще одним ключевым шагом в анализе рисков является выявление уязвимостей, или слабые стороны в людях, бизнес-процессах или технологиях.

Следующим шагом в анализе рисков является идентификация риска. Риск рассчитывается с использованием данных об угрозах, субъектах угроз, уязвимостях, стоимости активов и воздействии. В большинстве случаев риск рассчитывается качественным способом, в первую очередь потому, что трудно знать точную (или даже приблизительную) вероятность возникновения угрозы и несколько затруднительное понимание финансовых последствий угрозы.

При количественном анализе рисков ключевыми значениями являются стоимость активов, коэффициент подверженности, ожидаемая величина единичных потерь, годовая частота возникновения и ожидаемая величина потерь в годовом исчислении.

Для выполнения анализа рисков доступны стандартные отраслевые методы, включая OCTAVE Allegro, Delphi, анализ дерева событий, анализ дерева неисправностей и анализ методом Монте-Карло.

Обработка рисков - это деятельность по управлению рисками, при которой организация выбирает, как справиться с выявленным риском. Существует четыре варианта лечения риска: принять, смягчить, перенести и избежать. Решения по управлению рисками должны приниматься владельцем затронутого направления бизнеса, исполнительным руководством или руководящий комитет по безопасности, уполномоченный исполнительным руководством. После обработки риска остаточный риск известен как остаточный риск. Остаточный риск должен обрабатываться в рамках процесса управления рисками так, как если бы это был новый риск.

Во время обработки рисков организации необходимо учитывать правовые и нормативные вопросы, чтобы гарантировать, что решения по обработке рисков и методы снижения рисков сами по себе не создают риска соответствия требованиям. Следует также учитывать затраты и выгоды, связанные с обработкой рисков. Хотя, как гласит пословица, нет смысла тратить 20 000 долларов на защиту 10 000 долларов актив, необходимо учитывать ценность и роль актива. Как гласит пословица, это может быть актив стоимостью 10 000 долларов, но он может быть важным компонентом для получения дохода в размере 1 миллиона долларов каждый месяц. При рассмотрении вариантов лечения рисков необходимо также учитывать установленные цели восстановления управления рисками. Эти цели могут включать цель времени восстановления, цель точки восстановления, цель потенциала восстановления и цели предоставления услуг. Часто эти цели определяются двумя дополнительными показателями, которые являются максимально допустимым временем простоя и максимально допустимым отключением.

Управление рисками и планирование обеспечения непрерывности бизнеса имеют несколько общих компонентов и взаимосвязей. Оба они связаны с устойчивостью и выживанием бизнеса, и оба используют анализ влияния на бизнес, чтобы лучше понять наиболее важные процессы организации. Стороннее управление рисками развивается как отдельная дисциплина управления рисками в связи с тенденциями, когда организации передают ключевые бизнес-системы на аутсорсинг SaaS и другим поставщикам облачных услуг. Принципы управления рисками и анализа рисков присутствуют в TPRM;  однако TPRM часто выполняется отдельно из-за дополнительных усилий, необходимых для сбора информации о рисках в сторонних организациях.

Оценка третьих сторон проводится в основном с помощью вопросников и запросов о предоставлении доказательств, которые направляются третьим сторонам. В большинстве организаций работает большое количество третьих сторон, поэтому многие организации используют схему уровней риска для определения третьих сторон, которые являются наиболее важными для организации. Третьи стороны с более высоким уровнем риска подвергаются более частым и строгие оценки рисков, в то время как третьи стороны на более низких уровнях подвергаются менее частым и менее строгим оценкам рисков. Реестр рисков является центральным деловым документом в программе управления рисками.

Реестр рисков - это каталог всех текущих и исторических рисков, а также множество метаданных, подробно описывающих риск. Реестр рисков может храниться в электронной таблице, в базе данных или в модуле управления рисками инструмента управления, контроля рисков и соответствия требованиям. Безопасность и управление рисками включены во многие другие виды бизнеса деятельность, включая, но не ограничиваясь разработкой программного обеспечения, управлением изменениями, управлением конфигурациями, управлением инцидентами и проблемами, физической безопасностью, управлением корпоративными рисками и управлением человеческими ресурсами.

Мониторинг рисков - это набор текущих мероприятий по выявлению изменений в рисках. Типичные мероприятия по мониторингу рисков включают оценку рисков, оценку уязвимости, внутренний аудит и самооценку контроля. Ключевые показатели риска - это показатели, используемые в программе управления рисками для информирования исполнительного руководства о тенденциях риска. Крис, помоги мне организация понимает ключевые риски в стратегических бизнес-терминах. Наиболее полезными KRIS являются опережающие индикаторы, которые помогают организации лучше понимать возрастающую и снижающуюся вероятность инцидентов безопасности.

Как и программа повышения осведомленности о безопасности, обучение и другие формы распространения информации среди пострадавшего персонала имеют важное значение для успеха программы управления рисками. Программа информирования о рисках помогает организации лучше понять цель программы управления рисками и ее роль в ней.

Как и любой формальный бизнес-процесс, программа управления рисками должна быть задокументировано. Необходимая документация включает политику и процессы, роли и обязанности, толерантность/склонность к риску и записи, такие как реестр рисков.

Notes

• Как и другие виды деятельности в области информационной безопасности, может быть трудно оценить преимущества программы управления информационными рисками, главным образом потому, что трудно определить события безопасности, которые не произошли из-за программы.

• Понимание и изменение аспектов организационной культуры является одним из наиболее важных факторов успеха в организации, а также одним из самых сложных. Культура - это коллективный способ мышления и работы людей в организации. Это задокументировано везде и нигде.

• Выбор системы управления рисками и оценки рисков относится к числу наименее важных решений при разработке программы управления рисками. И все же организации зацикливаются на этом, как и на теме систем контроля.

• Невозможно переоценить необходимость минимизации влияния бизнес-процесса управления рисками. Там, где это возможно, используйте существующие структуры управления, управления, контроля и коммуникаций, уже существующие в организации. Влияние на решения, принимаемые в рамках программы управления рисками, может быть значительным; сам процесс не обязательно должен быть таким.

• Внешние факторы, такие как рыночные условия, конкуренция и настроения клиентов или заказчиков, так же важны, как и внутренние факторы, такие как доступ к капиталу и культуре. Организации в некоторых отраслях промышленности могут иметь возможность сделать безопасность конкурентным преимуществом, и в этом случае будет более важно создать эффективные программы управления безопасностью и управления рисками. Клиенты и конкуренты это заметят.

• Менеджеры по безопасности, когда их знания или навыки не соответствуют какой-либо теме, недооценивают ценность сетевого взаимодействия и получения консультаций от отрасли. сверстники. Есть много специалистов по безопасности, которые готовы помочь, и есть множество мероприятий с сетевыми возможностями для знакомства с ними.

• Толерантность/склонность к риску трудно поддается количественной оценке, и лишь немногие организации определили ее для себя. Отсутствие официального заявления о толерантности к риску не должно быть препятствием для начала или продолжения программы управления рисками. Вместо этого принимайте рискованные решения по одному за раз.

• Каждый раз, когда принимается решение “принять” обработку рисков, элемент должен оставаться в реестре рисков, и вопрос должен быть рассмотрен снова, не более одного раза. год спустя. Могут измениться условия, которые вынудят организацию пересмотреть это решение. “Принять” никогда не должно быть вечным.

• Идентификация активов является краеугольным камнем любой программы управления рисками и безопасностью, и все же большинство организаций плохо справляются с этой задачей.  Идентификация активов - это первый контроль в Центре интернет-безопасности (СНГ) Контролирует, и для этого есть причина.

• Ввести в действие схему классификации данных легко, но реализовать программу сложно. Классификация данных должна быть расширена, чтобы включить систему классификация (классификация системы должна совпадать с данными с наивысшей степенью секретности, хранящимися или обрабатываемыми в системе), классификация активов и даже классификация объектов (рабочих центров).

• Качественная оценка активов достаточна для качественной оценки рисков. Но когда необходимо рассчитать такие показатели, как коэффициент подверженности или ожидаемый годовой убыток, необходимо будет получить количественную оценку соответствующих активов. Однако необходимость в точности невелика, поскольку трудно определить вероятность возникновения опасных событий.

• При оценке рисков при перечислении вероятных событий угрозы сначала получите список угроз из стандарта, такого как NIST SP 800-30, а затем добавьте дополнительные угрозы, которые могут иметь отношение к активу, организации или географическому местоположению.

• Термин "продвинутые постоянные угрозы" был разработан, когда такие угрозы были новыми. Они больше не являются новыми. Использование этого термина сократилось, и все же этот тип угрозы стал обычным явлением.

• Выявить все разумные уязвимости во время оценки рисков не так просто, как выявить угрозы. Вы должны знать больше об активе или процессе проходит обследование.

• При качественной оценке рисков легко сосредоточиться на оценках рисков для различных рисков. Помните, что оценки рисков являются результатом базовых расчетов, основанных на очень грубых оценках угроз и уязвимостей.  Рейтинги рисков должны служить только для того, чтобы отличать очень высокие риски от очень низких, и даже в этом случае это всего лишь грубые приближения.

• Цели восстановления, такие как цель времени восстановления и цель точки восстановления, служат ориентирами для разработки планов снижения рисков и планы обеспечения непрерывности бизнеса. В конечном счете они должны быть разработаны и протестированы, обычно в контексте планирования обеспечения непрерывности бизнеса.

• Сторонние программы управления рисками большинства организаций являются незрелыми, и большинство организаций признают, что у них нет полного списка своих поставщиков услуг. Наличие множества бесплатных решений SaaS и отсутствие инструментов брокера безопасности облачного доступа в большинстве организаций приводит к тому, что большинство организаций не имеют контроля над использованием сторонних поставщиков услуг.

• Большинство организаций, которые разрабатывают программу управления рисками для в первый раз можно использовать электронные таблицы для ключевых бизнес-записей, таких как реестр рисков и журнал инцидентов безопасности. По мере того как организации становятся более зрелыми, они могут приобрести платформу управления, рисков и соответствия требованиям, включающую модули управления рисками.

• Ошибка, которую допускает большинство организаций при разработке своих показателей, заключается в том, что они публикуют операционные показатели для руководителей. Например, количество пакетов, отброшенных брандмауэром, или количество остановленных вирусов не имеет отношения к бизнесу. Менеджеры по безопасности должны позаботиться о том, чтобы перевести операционные показатели (которые действительно могут быть полезны в операциях) в показатели, относящиеся к бизнесу, для более старших аудиторий.

Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Евгений Шауро

Блог специалиста по информационной безопасности