Разработка

корпоративной методики
анализа рисков
 1. Постановка задачи.

Анализ информационных рисков позволяет эффективно управлять ИБ

предприятия. В самом начале работ по анализу рисков нужно
определить, что именно подлежит защите и воздействию каких угроз оно
подвержено. Затем нужно выработать соответствующие рекомендации
по защите. Главная задача этой защиты – обеспечение целостности и
доступности информации.
Вообще под словом “атака” стоит понимать человеческие воздействия на
информационные ресурсы, а также воздействия окружающей среды, в
которой функционирует система обработки информации предприятия.
Целостность информации может быть нарушена вследствие как
преднамеренных действий, так и сбоев оборудования, ошибок в
программном обеспечении, стихийных бедствий.

2
Анализ риска можно проводить по следующему плану:

3
 На 1 и 2 этапах выявляются сведения, составляющие для предприятия
коммерческую тайну, которые предстоит защищать. Эти сведения хранятся на
конкретных носителях. Основной фактор в технологии обращения с
информацией – архитектура КИС. Особенностями построения КИС, а также
средствами и способами защиты определяется степень безопасности
информации.
3 этап – построение схем каналов доступа, утечки или воздействия на
информационные ресурсов основных узлов КИС. Каждый канал доступа
характеризуется множеством точек, с которых можно “снять” информацию.
Они представляют собой уязвимости и требуют применения средств
недопущения нежелательных воздействий на информацию.
На 4 этапе анализируются способы защиты всех возможных точек атак, в
результате получают характеристики возможных недочётов в защите.
На 5 этапе находятся вероятности реализации угроз по каждой из возможных
точек атак.
На последнем этапе оценивается ущерб организации в случае реализации
каждой из атак. 4
 Величина информационного риска по каждому ресурсу равна произведению
вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от
информационного вторжения.
Объединение рисков по всем ресурсам даёт общую величину риска при
принятой архитектуре КИС и внедрённой в неё системы защиты информации.

Итак, варьируя варианты построения системы защиты информации и

архитектуры КИС, можно представить и рассмотреть разные значения риска (за
счёт изменения вероятности реализации угроз).

5
 При построении системы обеспечения ИБ нужно определить стратегию
управления рисками на предприятии.
Одна из наиболее распространённых стратегий – уменьшение риска
путём принятия комплексной системы контрмер, включающей
программно-технические и организационные меры защиты. Также есть
такие стратегии, как уклонение от риска и принятие риска. Чтобы
выбрать подходящую стратегию, нужно сначала определить, что
предприятию выгоднее – бороться с рисками или с их последствиями.
После выбора стратегии проводится окончательная оценка мероприятий
по обеспечению ИБ с подготовкой экспертного заключения о
защищённости информации.

6
 2. Методы оценивания информационных рисков.

Примерный план оценки информационных рисков компании:

1. идентификация и количественная оценка значимых для бизнеса
информационных ресурсов компании,
2. оценивание возможных угроз и существующих уязвимостей,
3. оценивание эффективности средств обеспечения ИБ.
Цель оценивания рисков – определение характеристик рисков корпоративной ИС
и её ресурсов. Информационные риски компании зависят от показателей
ценности информационных ресурсов, вероятности реализации угроз для
ресурсов, эффективности существующих/планируемых средств обеспечения ИБ.

Факторы, определяющие вероятность реализации угрозы:

- привлекательность ресурса,
- возможность использования ресурса для получения дохода,
- технические возможности реализации угрозы при умышленном воздействии со
стороны человека,
7
- степень лёгкости использования уязвимости.
В табличных методах оценки информационных рисков количественные
показатели физических ресурсов компании оцениваются с точки зрения
стоимости их замены или восстановления работоспособности ресурса.
Количественные показатели информационных ресурсов рекомендуется
оценивать по результатам опросов сотрудников компании (владельцев
информации).

Оценка рисков по 2 факторам. Предварительно можно в таблице

отобразить связь факторов негативного воздействия и вероятностей
реализации угрозы с учётом показателей уязвимостей.
На 1 шаге оценивается негативное воздействие по заданной шкале для
ресурса, которому угрожает опасность. На 2 шаге оценивается
вероятность реализации каждой угрозы по заданной шкале. На 3 шаге
вычисляется показатель риска. Для этого должна быть разработана
соответственная методика оценивания показателей риска. На 4 шаге
угрозы ранжируются по значениям их фактора риска.
8
 (продолжение)

Оценка рисков по 3 факторам. По каждой группе ресурсов оцениваются

уровень угрозы (вероятность реализации) и уровень уязвимости (степень
лёгкости, с которой угроза может привести к негативному воздействию)
по производственным шкалам.

Разделение рисков на приемлемые и неприемлемые. Методика

основывается на том, что количественные показатели рисков служат
лишь для того, что их упорядочить и определить, какие действия
необходимы в первую очередь.

9
Пример корпоративной методики анализа рисков – методика компании
Microsoft. В такой методике риск определяется как возможность понести
убытки из-за нарушения безопасности сети.

Методика компании Microsoft включает этапы:

1. определение допустимого (приемлемого) уровня рисков,
2. оценка вероятности возникновения каждого риска,
3. присвоение стоимости каждому риску,
4. расстановка приоритетов.
Используется одна из табличных оценок риска в зависимости от факторов.

10
 (продолжение)
В зависимости от полученных оценок риск относится к одной из групп:
- высокий риск / красный (без снижения таких рисков обращение к
информационной системе предприятия может оказать отрицательное
влияние на бизнес),
- существенный риск / жёлтый (для уменьшения или полного исключения
отрицательных последствий нападений требуется эффективная стратегия
управления рисками),
- умеренный риск / синий (в отношении таких рисков достаточно применить
основные процедуры управления рисками),
- незначительный риск / зелёный (в этом случае усилия по управлению
рисками не будут играть важной роли).

На основании уровня допустимых рисков (допуска), размера потенциальных

потерь и вероятности их возникновения рискам назначаются приоритеты. Это
нужно для того, чтобы определить риски, которые в первую очередь нужно
предотвратить. 11
 (продолжение)
Далее составляется план по управлению рисками. Это планирование
заключается в следующем:
- идентификация триггеров для каждого риска (триггер, или пусковое
событие – это идентификатор риска, реализованного или ожидаемого в
скором времени),
- подготовке плана превентивных мероприятий, планов реагирования на
непредвиденные ситуации и планов по уменьшению последствий
каждого риска.

Выделяют 4 составные части планирования управления рисками:

- исследование,
- принятие,
- управление,
- исключение.
12
Спасибо за внимание!

13