Методика анализа рисков Microsoft
В качестве возможного примера корпоративной методики анализа рисков давайте рассмотрим методику Microsoft (MCSE [Гованус]).
В методике риск определяется, как возможность понести убытки из-за нарушения безопасности сети изнутри или извне. Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов:
распознавание (идентификация) рисков;
определение размера риска;
разработка плана управления рисками;
текущий контроль и управление рисками.
При ограниченном времени в качестве способа идентификации рисков рекомендуется применять методики получения знаний от экспертов, в частности, метод «мозгового штурма». Для каждого выявленного риска требуется оценить его стоимость (т.е. определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска.
Оценка для каждой из угроз может производиться следующими способами:
- с использованием «группы нападения» – имитация атаки на систему группой специалистов;
- методом «накопления идей» – создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры;
- путем использования формальных оценок угроз, методов управления рисками и интеграции защитных мер.
Предлагаемая Microsoft стратегия оценки рисков включает в себя следующие этапы:
определение допустимого уровня рисков (т.е. того уровня рисков, который приемлем);
оценка вероятности возникновения каждого риска;
присвоение стоимости каждому риску;
расстановка приоритетов.
В процессе оценки, для каждого риска определяется вероятность его возникновения и размер связанных с ним потерь. Далее используется одна из разновидностей табличной оценки рисков – строится матрица следующего вида:
| Стоимость | ||||
| Высокая | Средняя | Низкая | ||
| Вероятность | Высокая | |||
| Средняя | ||||
| Низкая |
В зависимости от полученных оценок, риск относится к одной из следующих групп:
Высокий риск (красная область). Предполагается, что без снижения таких рисков использование информационной системы предприятия может оказать отрицательное влияние на бизнес.
Существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения.
Умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно использовать некоторые основных процедур управления рисками.
Незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли.
На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности возникновения, рискам назначаются приоритеты. Их используют, чтобы определить те риски, на которых в первую очередь надо сосредоточить усилия (рекомендуется создать список «десяти основных рисков», которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками.
Планирование состоит из:
Идентификации триггеров для каждого риска (триггер или пусковое событие – идентификатор риска, произошедшего или ожидаемого в скором времени);
Подготовки плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска.
Выделяются 4 составные части планирования управления рисками:
исследование
принятие (можно ли принять данный риск?)
управление (можно ли сделать что-то, чтобы уменьшить риск, если он возникнет?)
исключение (что можно сделать для того, чтобы избежать или блокировать риск?)
При этом исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться. Например, пусть исследование системы показало, что на предприятии используется потенциально уязвимое приложение, причем полностью отказаться от его использования на данный момент невозможно. Пусть, далее, это приложение удалили на всех узлах, где это было возможно, а на остальных, соответственно, оставили. Получается, что в отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное).
Не менее важна и задача контроля рисков (отслеживания рисков), заключающаяся в том, чтобы при изменении внешних или внутренних условий скорректировать сделанные ранее оценки рисков.