Методика анализа рисков Microsoft

В качестве возможного примера корпоративной методики анализа рисков рассмотрим методику компании Microsoft.

В методике риск определяется как возможность понести убытки из-за нарушения безопасности сети изнутри или извне. Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов:

1) Распознавание (идентификация) рисков.

2) Определение размера риска.

3) Разработка плана управления рисками.

4) Текущий контроль и управление рисками.

При ограниченном времени для идентификации рисков рекомендуется применять методики получения сведений от экспертов, в частности метод «мозгового штурма». Для каждого выявленного риска требуется оценить его стоимость (то есть определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска.

Оценка для каждой из угроз может производиться следующими способами:

– с использованием группы нападения - имитируется атака на систему группой специалистов;

– методом накопления идей - создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры;

– путем применения формальных оценок угроз, методов управления рисками и интеграции защитных мер.

Предлагаемая Microsoft стратегия оценки рисков включает следующие этапы:

– определение допустимого уровня рисков (то есть того уровня рисков, который приемлем);

– оценка вероятности возникновения каждого риска;

– присвоение стоимости каждому риску;

– расстановка приоритетов.

В процессе оценки для каждого риска вычисляется вероятность его возникновения и размер связанных с ним потерь. Далее используется одна из разновидностей табличной оценки рисков - строится матрица следующего вида (см. табл. 3.7).

Таблица 3.7. Табличная оценка риска в зависимости от факторов

Вероятность   Стоимость  
  высокая средняя низкая
Высокая Красная Красная Синяя
Средняя Желтая Желтая Зеленая
Низкая Синяя Синяя Зеленая
             

В зависимости от полученных оценок риск относится к одной из следующих групп:

– высокий риск (красная область). Предполагается, что без снижения таких рисков обращение к информационной системе предприятия может оказать отрицательное влияние на бизнес;

– существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения;

– умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно применить основные процедуры управления рисками;

– незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли.

На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности их возникновения рискам назначаются приоритеты. Они служат для того, чтобы определить те риски, которые в первую очередь надо предотвратить (рекомендуется создать список десяти основных рисков, которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками.

Планирование заключается в следующем:

– идентификации триггеров для каждого риска (триггер, или пусковое событие -идентификатор риска, реализованного или ожидаемого в скором времени);

– подготовке плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска.

Выделяются четыре составные части планирования управления рисками:

– исследование;

– принятие (можно ли принять данный риск?);

– управление (можно ли сделать что-то, чтобы уменьшить риск?);

– исключение (что можно сделать, чтобы предотвратить риск или блокировать его?).

При этом исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться. Предположим, исследование системы показало, что на предприятии установлено потенциально уязвимое приложение, причем полностью отказаться от работы с ним в данный момент невозможно. Допустим, далее данное приложение удалили на всех узлах, где это было допустимо, а на остальных, соответственно, оставили. Получается, что в отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное).

Не менее важна и задача контроля рисков (отслеживания рисков), которая заключается в том, чтобы при изменении внешних или внутренних условий скорректировать сделанные ранее оценки рисков.