9.3 Детальный анализ риска
Как было показано в 8.3, детальный анализ риска для систем информационных технологий предполагает идентификацию всех возможных рисков и оценку их уровня. Необходимость проведения детального анализа риска может быть определена без ненужных затрат времени и средств после анализа высокого уровня риска для всех систем и последующего изучения результатов детального анализа риска, проведенного только для критических систем (см. 8.3) или систем с высоким уровнем риска, в соответствии с 8.4.
Анализ риска проводится путем идентификации нежелательных событий, создающих неблагоприятные деловые ситуации, и определения вероятности их появления. Нежелательные события также могут негативно влиять на деловой процесс, сотрудников организации или любой элемент делового процесса. Такое неблагоприятное воздействие нежелательных событий является сложным сочетанием возможных видов ущерба, наносимого стоимости активов, подвергающихся риску. Вероятность такого события зависит от того, насколько привлекательным является данный актив для потенциального нарушителя, вероятности реализации угроз и легкости, с какой нарушитель может воспользоваться уязвимыми местами системы. Результаты анализа риска позволяют идентифицировать системы информационных технологий с высоким уровнем риска и выбрать меры обеспечения безопасности, которые могут быть использованы для снижения уровня идентифицированного риска до приемлемого уровня.
Менеджмент риска, детальный анализ риска приведены на рисунке 2. Результаты детального анализа риска позволяют проводить выбор обоснованных защитных мер как части процесса управления риском. Требования, предъявляемые к выбранным мерам защиты, должны быть зафиксированы в политике безопасности систем информационных технологий и соответствующем ей плане безопасности. Множество инцидентов, связанных с нарушением системы безопасности, и внешние угрозы могут оказать влияние на требования к обеспечению безопасности системы и вызвать необходимость в пересмотре части анализа риска (или анализа в целом). К таким внешним угрозам могут относиться: недавние существенные изменения в системе, запланированные изменения, а также последствия инцидентов нарушений безопасности, по которым необходимо принимать соответствующие меры.
Существует несколько методов проведения анализа риска, начиная с подходов, основывающихся на перечне контрольных операций, и кончая методами, основанными на структурном анализе системы. При этом могут использоваться как автоматизированные (компьютерные) программы, так и расчет вручную. Любые метод или программа, используемые организацией, должны, по меньшей мере, содержать операции, перечисленные в пунктах 9.3.1-9.3.7. Важно также, чтобы используемые методы не противоречили практике ведения дел, сложившейся в организации.
После завершения первого этапа рассмотрения результатов детального анализа рисков для системы результаты рассмотрения - сведения о активах и их ценностях, угрозах, уязвимостях и уровнях риска, определенных мерах обеспечения безопасности - должны быть сохранены (например в базе данных системы). Применение методов, использующих вспомогательные программные средства, сильно облегчает эту работу.
Представляемая информация, иногда рассматриваемая в качестве модели, может быть затем довольно эффективно использована после того как со временем с ней происходят изменения, не зависящие от конфигурации, типа обрабатываемой информации, сценариев угроз и т.д. При этом в качестве входных данных приводят только сведения об этих изменениях, что позволяет определить влияние изменений на необходимые меры обеспечения безопасности. Более того, такие модели могут быть использованы для быстрого изучения различных вариантов, например, при разработке новой системы информационных технологий или применительно к другим системам со схожими принципами построения.
Рисунок 2 - Менеджмент риска с использованием детального анализа риска