Все действия по управлению рисками ИБ описываются в следующих разделах:
1) установление контекста (сферы применения) — в разделе 7;
2) оценка риска — в разделе 8;
3) обработка риска — в разделе 9;
4) принятие риска — в разделе 10;
5) обмен информацией о рисках — в разделе 11;
6) мониторинг и улучшение — в разделе 12.
Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.
Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.
Действие: описывается деятельность.
Руководство по реализации: предоставляется руководство по выполнению действия.
Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.
Процесс управления рисками ИБ может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход даёт хороший баланс между уменьшением времени и усилия, затрачиваемого на определение средств контроля, в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются соответствующим образом.
Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, критерии оценки рисков, критерии принятия рисков или критерии влияния), возможно на ограниченных частях полной области применения (точка принятия решения о приемлемости риска № 1).
Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска № 2).
Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством организации. Это особенно важно в ситуации, когда внедрение средств контроля не осуществляется или откладывается, например, из-за стоимости.
Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.
На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.
Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:
1. Установление контекста (сферы применения)
Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.
Действие: Для установления контекста организации необходимо определить:
— основные критерии управления рисками;
— сферы действия и границы;
— организационную структуру управления рисками.
Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:
— поддержка СУИБ;
— правовое соответствие и свидетельство должного внимания;
— подготовка плана обеспечения непрерывности бизнеса;
— подготовка плана реагирования на инциденты;
— описание требований ИБ для продукта, услуги или механизма.
Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.
1.1. Основные критерии
Должны быть разработаны следующие критерии управления рисками ИБ:
— оценки риска;
— воздействия риска;
— принятия риска.
Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:
— выполнения оценки риска и установления плана обработки риска;
— определения и осуществления политики и процедуры, включая реализацию управления рисками;
— контроля мониторинга;
— мониторинга процесса управления рисками.
Критерии оценки риска
При разработке критериев оценки рисков необходимо учитывать следующее:
— стратегическая ценность обработки бизнес-информации;
— критичность затрагиваемых информационных активов;
— нормативно-правовые требования и договорные обязательства;
— важность для бизнеса доступности, конфиденциальности и целостности информации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.
Критерии воздействия
Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:
— уровень классификации информационного актива, на который оказывается влияние;
— нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);
— ухудшение бизнес-операции;
— потеря ценности бизнеса и финансовой ценности;
— нарушение планов и конечных сроков;
— ущерб для репутации;
— нарушение нормативно-правовых или договорных требований.
Критерии принятия риска
Организация должна определять собственную шкалу уровней принятия риска.
При разработке критериев принятия риска следует учитывать, что они могут:
— включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;
— выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;
— включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.
Критерии принятия риска должны устанавливаться с учётом:
— критериев бизнеса;
— правовых и регулирующих аспектов;
— операций;
— технологий;
— финансов;
— социальных и гуманитарных факторов.
1.2. Область применения и границы
Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.
При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
— стратегические цели бизнеса организации, стратегии и политики;
— процессы бизнеса;
— функции и структура организации;
— нормативно-правовые и договорные требования;
— политика ИБ;
— общий подход к управлению рисками;
— информационные активы;
— местоположение организации и географические характеристики;
— ограничения, влияющие на организацию;
— социальная и культурная среда.
Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ— инфраструктура, бизнес-процесс или определённая часть организации.
1.3. Организационная структура
Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.
Главными ролями и обязанностями в такой структуре являются:
— разработка процесса управления рисками ИБ в организации;
— идентификация и анализ заинтересованных сторон;
— определение ролей и обязанностей всех сторон, как внутренних, так и внешних;
— установление требуемых взаимосвязей между заинтересованными сторонами;
— определение путей принятия решений;
— определение документов, которые необходимо вести.
2. Оценка рисков ИБ
Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.
Действие: Оценку риска обеспечивают следующие меры:
— идентификация рисков;
— измерение рисков;
— оценивание рисков.
Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.
Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.
Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.