За счет планируемых контрмер (второй квадрант) можно достичь положения, когда существенно снижается вероятность реализации угрозы (например, принимаю гея эффективные меры для ликвидации выявленных уязвимостей и снижающих вероятность появления новых). Несмотря на остающийся высоким уровень ущерба. то, что достигается существенное снижение вероятности реализации грозы для ценного актива, может оказаться приемлемым для компании, т.к., расходы на защиту, распределятся на значительном отрезке времени и, таким образом, не будут неприемлемы.
Рисунок 2. Цель управления ИТ рисками.
к L
Величина ущерба Высокая
Низкая |
Планирование контрмер
Принятие рисков
Передача рисков
Контроль
«управление
рисками
Вероятность реализации угроз
Высокая
Низкая
Третий квадрант отражает ситуацию, когда планируемыми контрмерами удается достичь такой величины ущерба (остаточный риск), что она принимается лицом, несущим ответственность за ИТ риски.
Четвертый квадрант, характеризуемый высокой вероятностью реализации угроз и низкими значениями ущерба, отражает такое положение дел в области ИБ в компании, когда можно утверждать, что имеет место управление информационными рисками. Суть управления информационными рисками или управляемости ИТ рисков - несмотря на высокую вероятность реализации угроз, компания принимает такие действенные меры по защите цепных активов, что величины ущербов в результате
возможных нарушений конфиденциальности, целостности, доступности защищаемых информационных активов оказываются на низком уровне.
Для анализа и управления информационными рисками используется ряд методологий, являющихся стандартами в сфере ИБ. К таковым относятся, в частности, достаточно популярные методологии CRAMM и RiskWatch (соответствуют международному стандарту ISO/IEC 17799). Их применение требует достаточно глубоких знаний и опыта в технических аспектах ИБ и достаточно серьезного практического опыта реализации систем защиты информации. Получаемые в результате автоматизированной обработки отчетные материалы весьма подробны и объемны -сотни страниц. В то же время понимание промежуточных и отчетных материалов неспециалистами в ИТ и ИБ весьма затруднительно, поскольку изобилует специфическими терминами и понятиями, относящимися к сфере ИБ, которыми необходимо владеть на достаточно глубоком уровне. Для отечественного потребителя имеет место проблема русификации программных продуктов, автоматизирующих этапы работ по методологиям, что в итоге требует подготовки качественного переиода результирующих материалов для предоставления отчета заказчику работы. Следует отметить также довольно высокую стоимость лицензий на используемое программное обеспечение.
4.2 Методология OCTAVE
Описание методологии приведено на основе стандарта OCTAVE (Operational Critical Threat, Asset and Vulnerability Evaluation), разработанного координационным центром CERT Carnegie Mellon University (http://www.cert.org) и австралийском/новозеландском стандарте управления рисками AS/NZS 4360:1999. Указанные стандарты де-факто являются общепризнанными в мировой практике управления информационными рисками.
Анализ ИТ-рисков предназначен для:
• проведения оценки ИТ рисков и
• подготовки Плана мероприятий по снижению уровня ИТ рисков до приемлемого уровня.
Результатом работ по оценке ИТ рисков является Матрица рисков, представляющая собой перечень информационных активов с указанием величин рисков, как указано в
таблице ниже. На основании матрицы рисков разрабатывается План мероприятий по снижению ИТ рисков, пример шаблона которого в таблице 2.
Таблица 1. Пример матрицы ИТ-рисков
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.