Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.
2.1. Идентификация рисков
Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.
Для идентификация рисков необходимо идентифицировать следующие объекты:
— активы;
— угрозы;
— средства защиты;
— уязвимости;
— последствия.
2.1.1. Идентификация активов
Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.
Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.
Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Можно выделить два вида активов:
— первичные активы: бизнес-процессы и информация;
— активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.
Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.
Они включают в себя:
— нарушение законодательства и/или предписаний;
— ухудшение функционирования бизнеса;
— потеря «неосязаемого капитала»/негативное влияние на репутацию;
— нарушения, связанные с личной информацией;
— создание угрозы личной безопасности;
— неблагоприятное влияние на обеспечение правопорядка;
— нарушение конфиденциальности;
— нарушение общественного порядка;
— финансовые потери;
— нарушение бизнес-деятельности;
— создание угрозы для безопасности окружающей среды.
Другим подходом к оценке последствий может быть:
— прерывание сервиса;
— потеря репутации и доверия клиента;
— нарушение внутреннего функционирования;
— нарушение функционирования третьей стороны;
— нарушение законов/предписаний;
— нарушение договора;
— опасность для персонала / безопасность пользователей;
— вторжение в частную жизнь пользователей;
— финансовые потери;
— финансовые потери, связанные с непредвиденными случаями или ремонтом:
— потеря товаров / денежных средств / активов;
— потеря клиентов, поставщиков;
— судебные дела и штрафы;
— потеря конкурентного преимущества;
— потеря технологического/технического лидерства;
— потеря эффективности/надёжности;
— потеря технической репутации;
— снижение способности к заключению соглашений;
— промышленный кризис (забастовки);
— правительственный кризис;
— материальный ущерб.
После установления критериев ценности активов организация должна согласовать шкалу, которая будет использоваться в масштабах организации. Первым шагом является принятие решения о числе используемых уровней. Обычно может использоваться любое число уровней от 3 (например, низкий, средний и высокий) до 10 в соответствии с подходом, используемым организацией для всего процесса оценки риска.
Организация может определить собственные границы для ценности активов, такие как «низкая», «средняя» или «высокая». Эти границы должны оцениваться в соответствии с выбранными критериями (например, для возможных финансовых потерь они должны быть даны в денежном выражении, но при рассмотрении угрозы личной безопасности, определить денежную ценность может быть затруднительно).
Выходные данные: Перечень активов, подлежащий управлению рисками, и перечень бизнес-процессов, связанных с активами, и их ценность.
2.1.2. Идентификация угроз
Входные данные: Информация об угрозах, полученная от владельцев активов, пользователей, в результате анализа инцидента, а также из других источников, включая реестры известных угроз.
Действие: Угрозы и их источники должны быть идентифицированы.
Руководство по реализации: Угроза обладает потенциалом причинения вреда активам. Должны быть идентифицированы и случайные, и умышленные источники угроз. Угроза может проистекать как из самой организации, так и вне её пределов. Угрозы должны идентифицироваться в общем и по виду (например, неавторизованные действия, физический ущерб, технические сбои).
Некоторые угрозы могут влиять более, чем на один актив. В таких случаях они могут являться причиной различных влияний, в зависимости от того, на какие активы оказывается воздействие
Используя реестры угроз или результаты прежних оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются бизнес-среда или информационные системы.
Выходные данные: Перечень угроз с идентификацией вида и источника. Например, угрозы могут быть преднамеренными, случайными и экологическими. Особое внимание должно быть обращено на человеческие источники угроз.
2.1.3. Идентификация средств защиты
Входные данные: Документация средств защиты, планы обработки рисков и инцидентов.
Действие: Идентификацию средств защиты необходимо провести, чтобы проверить их эффективность и достаточность и избежать ненужных расходов, например, на их дублирование.
Если средства защиты не работают, как ожидалось, это может стать причиной уязвимости. Одним из способов количественно оценить действия средств защиты — посмотреть, как оно уменьшает вероятность угрозы и использования уязвимости или влияние инцидента.
Существующее или планируемое средство защиты может идентифицироваться как неэффективное или недостаточное, или необоснованное. Если его посчитали необоснованным или недостаточным, средство защиты необходимо проверить, чтобы определить стоит ли его удалить, заменить его другим, более подходящим, или стоит оставить его на месте, например, по стоимостным причинам.
Для идентификации существующих или планируемых средств защиты могут быть полезны следующие мероприятия:
— просмотр документов, содержащих информацию о средствах защиты (например, планы обработки рисков и инцидентов);
— проверка вместе с людьми, отвечающими за ИБ, и пользователями, какие средства защиты действительно реализованы для рассматриваемого информационного процесса или системы;
— обход здания с проведением осмотра физических средств защиты, проверка наличия существующих и реализованных средств защиты на предмет правильной и эффективной работы;
— рассмотрение результатов внутренних аудитов.
Выходные данные: Перечень всех существующих и планируемых средств защиты, их нахождение и состояние использования.
2.1.4. Идентификация уязвимостей
Входные данные: Перечни известных угроз, активов и существующих средств защиты.
Действие: Необходимо идентифицировать уязвимости, которые могут быть использованы угрозами, чтобы нанести ущерб активам или организации.
Руководство по реализации:
Уязвимости могут быть идентифицированы в следующих областях:
• организация работ;
• процессы и процедуры;
• установившиеся нормы управления;
• персонал;
• физическая среда;
• конфигурация ИС;
• аппаратные средства, ПО и оборудование связи;
• зависимость от внешних организаций.
Наличие уязвимости не причиняет вреда само по себе, так как необходимо наличие угрозы, которая воспользуется ею. Уязвимость, не имеющая соответствующей угрозы, может не требовать внедрения средства контроля, но должна осознаваться и подвергаться мониторингу на предмет изменений.
Уязвимости могут быть связаны со свойствами актива, которые могут использоваться способом и с целью, отличающимися от тех, которые планировались при приобретении или создании актива. Уязвимости, возникающие из различных источников, подлежат рассмотрению, например, те которые являются внешними или внутренними по отношению к активу.
Выходные данные:
— перечень уязвимостей, связанных с активами, угрозами и средствами защиты;
— перечень уязвимостей, не связанных с подлежащей рассмотрению угрозой.
2.1.5. Идентификация последствий
Входные данные: Перечни активов, бизнес-процессов, угроз и уязвимостей, связанных с активами, и их ценность.
Действие: Должны быть идентифицированы последствия для активов, которые могут быть результатом потери конфиденциальности, целостности или доступности. Последствием может быть потеря эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб, нанесённый репутации и т. д.
Эта деятельность идентифицирует ущерб для организации или последствия для организации, которые могут быть обусловлены сценарием инцидента, оказываемой угрозой, использующей определённую уязвимость в инциденте ИБ. Последствия могут быть временными или постоянными, как в случае разрушения активов.
Необходимо определять последствия сценариев инцидентов на основе таких факторов:
— времени на расследование и восстановление;
— потерь (рабочего) времени;
— упущенной возможности;
— нарушений охраны труда и безопасности;
— финансовых затрат на устранение последствий;
— ущерба для репутации и т. д.
Выходные данные: Перечень сценариев инцидентов с их последствиями, связанными с активами и бизнес-процессами.
2.2. Измерение риска