Методика анализа рисков Microsoft
В качестве возможного примера корпоративной методики анализа рисков рассмотрим методику компании Microsoft.
В методике риск определяется как возможность понести убытки из-за нарушения безопасности сети изнутри или извне. Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов:
1) Распознавание (идентификация) рисков.
2) Определение размера риска.
3) Разработка плана управления рисками.
4) Текущий контроль и управление рисками.
При ограниченном времени для идентификации рисков рекомендуется применять методики получения сведений от экспертов, в частности метод «мозгового штурма». Для каждого выявленного риска требуется оценить его стоимость (то есть определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска.
Оценка для каждой из угроз может производиться следующими способами:
– с использованием группы нападения - имитируется атака на систему группой специалистов;
– методом накопления идей - создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры;
– путем применения формальных оценок угроз, методов управления рисками и интеграции защитных мер.
Предлагаемая Microsoft стратегия оценки рисков включает следующие этапы:
– определение допустимого уровня рисков (то есть того уровня рисков, который приемлем);
– оценка вероятности возникновения каждого риска;
– присвоение стоимости каждому риску;
– расстановка приоритетов.
В процессе оценки для каждого риска вычисляется вероятность его возникновения и размер связанных с ним потерь. Далее используется одна из разновидностей табличной оценки рисков - строится матрица следующего вида (см. табл. 3.7).
Таблица 3.7. Табличная оценка риска в зависимости от факторов
Вероятность | Стоимость | |||||
высокая | средняя | низкая | ||||
Высокая | Красная | Красная | Синяя | |||
Средняя | Желтая | Желтая | Зеленая | |||
Низкая | Синяя | Синяя | Зеленая | |||
В зависимости от полученных оценок риск относится к одной из следующих групп:
– высокий риск (красная область). Предполагается, что без снижения таких рисков обращение к информационной системе предприятия может оказать отрицательное влияние на бизнес;
– существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения;
– умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно применить основные процедуры управления рисками;
– незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли.
На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности их возникновения рискам назначаются приоритеты. Они служат для того, чтобы определить те риски, которые в первую очередь надо предотвратить (рекомендуется создать список десяти основных рисков, которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками.
Планирование заключается в следующем:
– идентификации триггеров для каждого риска (триггер, или пусковое событие -идентификатор риска, реализованного или ожидаемого в скором времени);
– подготовке плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска.
Выделяются четыре составные части планирования управления рисками:
– исследование;
– принятие (можно ли принять данный риск?);
– управление (можно ли сделать что-то, чтобы уменьшить риск?);
– исключение (что можно сделать, чтобы предотвратить риск или блокировать его?).
При этом исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться. Предположим, исследование системы показало, что на предприятии установлено потенциально уязвимое приложение, причем полностью отказаться от работы с ним в данный момент невозможно. Допустим, далее данное приложение удалили на всех узлах, где это было допустимо, а на остальных, соответственно, оставили. Получается, что в отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное).
Не менее важна и задача контроля рисков (отслеживания рисков), которая заключается в том, чтобы при изменении внешних или внутренних условий скорректировать сделанные ранее оценки рисков.