9.3 Детальный анализ риска
Как было показано в 8.3, детальный анализ риска для систем информационных технологий предполагает идентификацию всех возможных рисков и оценку их уровня. Необходимость проведения детального анализа риска может быть определена без ненужных затрат времени и средств после анализа высокого уровня риска для всех систем и последующего изучения результатов детального анализа риска, проведенного только для критических систем (см. 8.3) или систем с высоким уровнем риска, в соответствии с 8.4.
Анализ риска проводится путем идентификации нежелательных событий, создающих неблагоприятные деловые ситуации, и определения вероятности их появления. Нежелательные события также могут негативно влиять на деловой процесс, сотрудников организации или любой элемент делового процесса. Такое неблагоприятное воздействие нежелательных событий является сложным сочетанием возможных видов ущерба, наносимого стоимости активов, подвергающихся риску. Вероятность такого события зависит от того, насколько привлекательным является данный актив для потенциального нарушителя, вероятности реализации угроз и легкости, с какой нарушитель может воспользоваться уязвимыми местами системы. Результаты анализа риска позволяют идентифицировать системы информационных технологий с высоким уровнем риска и выбрать меры обеспечения безопасности, которые могут быть использованы для снижения уровня идентифицированного риска до приемлемого уровня.
Менеджмент риска, детальный анализ риска приведены на рисунке 2. Результаты детального анализа риска позволяют проводить выбор обоснованных защитных мер как части процесса управления риском. Требования, предъявляемые к выбранным мерам защиты, должны быть зафиксированы в политике безопасности систем информационных технологий и соответствующем ей плане безопасности. Множество инцидентов, связанных с нарушением системы безопасности, и внешние угрозы могут оказать влияние на требования к обеспечению безопасности системы и вызвать необходимость в пересмотре части анализа риска (или анализа в целом). К таким внешним угрозам могут относиться: недавние существенные изменения в системе, запланированные изменения, а также последствия инцидентов нарушений безопасности, по которым необходимо принимать соответствующие меры.
Рисунок 2 - Менеджмент риска с использованием детального анализа риска
Существует несколько методов проведения анализа риска, начиная с подходов, основывающихся на перечне контрольных операций, и кончая методами, основанными на структурном анализе системы. При этом могут использоваться как автоматизированные (компьютерные) программы, так и расчет вручную. Любые метод или программа, используемые организацией, должны, по меньшей мере, содержать операции, перечисленные в пунктах 9.3.1-9.3.7. Важно также, чтобы используемые методы не противоречили практике ведения дел, сложившейся в организации.
После завершения первого этапа рассмотрения результатов детального анализа рисков для системы результаты рассмотрения - сведения о активах и их ценностях, угрозах, уязвимостях и уровнях риска, определенных мерах обеспечения безопасности - должны быть сохранены (например в базе данных системы). Применение методов, использующих вспомогательные программные средства, сильно облегчает эту работу.
Представляемая информация, иногда рассматриваемая в качестве модели, может быть затем довольно эффективно использована после того как со временем с ней происходят изменения, не зависящие от конфигурации, типа обрабатываемой информации, сценариев угроз и т.д. При этом в качестве входных данных приводят только сведения об этих изменениях, что позволяет определить влияние изменений на необходимые меры обеспечения безопасности. Более того, такие модели могут быть использованы для быстрого изучения различных вариантов, например, при разработке новой системы информационных технологий или применительно к другим системам со схожими принципами построения.
9.3.1 Установление границ рассмотрения
Прежде чем получить исходные данные для идентификации и оценки активов, необходимо определить границы рассмотрения (см. рисунок 2). Тщательное определение границ на этой стадии анализа риска позволяет избежать ненужных операций и повысить качество анализа риска. Установление границ рассмотрения должно четко определить, какие из перечисленных ниже ресурсов должны быть учтены при рассмотрении результатов анализа риска. Для конкретной системы информационных технологий учитывают:
- активы информационных технологий (например, аппаратные средства, информационное обеспечение, информация);
- служащих (например, персонал организации, субподрядчики, персонал сторонних организаций);
- условия осуществления производственной деятельности (например, здания, оборудование);
- деловую деятельность (операции).
9.3.2 Идентификация активов
Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только аппаратные средства и программное обеспечение. Могут существовать следующие типы активов:
- информация/данные (например, файлы, содержащие информацию о платежах или продукте);
- аппаратные средства (например, компьютеры, принтеры);
- программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);
- оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);
- программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);
- документы (например, контракты);
- фонды (например, в банковских автоматах);
- продукция организации;
- услуги (например, информационные, вычислительные услуги);
- конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);