Методологія оцінювання ризиків

 

Аналіз ризиків може бути виконаний з різним ступенем

деталізації в залежності від критичності ресурсів СУІБ /

бізнес-процесів / банківських продуктів, відомих вразливостей і

попередніх інцидентів інформаційної безпеки. Методологія оцінки

ризиків може бути кількісною або якісною, або їх комбінацією. На

практиці якісна оцінка часто використовується спочатку для

визначення загального рівня ризику і визначення основних ризиків.

Далі може виникнути необхідність виконання більш специфічного або

кількісного аналізу стосовно основних ризиків. Кількісна оцінка

ризиків є більш складною та потребує більше часу та ресурсів.

Однак така оцінка буде дуже корисною у випадках, коли рішення щодо

оброблення ризиків буде залежати від вартості заходів безпеки, які

можуть бути більшими, ніж фінансові втрати інциденту інформаційної

безпеки.

Якісна методика оцінки ризиків використовує шкалу атрибутів

для опису величини потенціальних наслідків реалізації загроз і

вірогідність того, що такі наслідки виникнуть. Перевагою якісної

методики є її простота розуміння всім персоналом; недоліком такої

методики є залежність від суб'єктивного вибору шкали атрибутів.

Для отримання якісної оцінки ризиків необхідно розглянути

оцінки наслідків реалізації загроз разом із вразливостями, з

використанням яких ці загрози можуть реалізуватися, та оцінки

ймовірності їх реалізації для кожного бізнес-процесу /

банківського продукту, мережі, обладнання, програмного

забезпечення, які забезпечують функціонування цього

бізнес-процесу / банківського продукту, мережі банку в цілому,

фізичного середовища, персоналу тощо, як описано в додатку 2, з

урахуванням попереднього аналізу.

Для виконання оцінки ризиків необхідно визначити шкалу для

різних параметрів: оцінки величини наслідків реалізації загрози на

сервіси безпеки (цілісність, конфіденційність, доступність,

спостережність), оцінки ймовірності реалізації загрози. Загальний

рівень оцінки величини наслідків реалізації кожної загрози на

сервіси безпеки визначається як максимальна величина з окремих

оцінок впливу на цілісність, конфіденційність, доступність,

спостережність. Звертаємо увагу на те, що оцінка ймовірності не є

математичною величиною вірогідності, яка не може перевищувати 1.

Рівень ризику за окремою парою загроза/вразливість, яка може

використовуватися для реалізації цієї загрози, визначається

перемноженням загального рівня оцінки величини наслідків на оцінку

ймовірності реалізації загрози.

Загальний рівень ризику для бізнес-процесу / банківського

продукту, персоналу, фізичного середовища тощо дорівнює

максимальної величині з усіх ризиків за кожною парою

загроза/вразливість.

Рекомендується використовувати такі шкали для оцінки ризиків:

Для оцінки ймовірності реалізації загроз:

 

------------------------------------------------------------------

|Оцінка ймовірності|               Опис                |

|------------------+---------------------------------------------|

|   1    |Виникнення інциденту практично неможливо |

|------------------+---------------------------------------------|

|   2    |Виникнення інциденту малоймовірне (не частіше|

|             |ніж 1 раз на 1 рік)                     |

|------------------+---------------------------------------------|

|   3    |Виникнення інциденту ймовірне до 1 разу на |

|             |3 місяці                                |

|------------------+---------------------------------------------|

|   4    |Виникнення інциденту ймовірне до 1 разу на |

|             |тиждень                                 |

|------------------+---------------------------------------------|

|   5    |Виникнення інциденту ймовірне до 1 разу на |

|             |добу                                    |

------------------------------------------------------------------

 

Для величини наслідків реалізації загрози: вплив   на

цілісність:

 

------------------------------------------------------------------

|Оцінка рівня наслідків|             Опис              |

|----------------------+-----------------------------------------|

|     1      |Практично не призводить до наслідків з |

|                 |фінансовими втратами                |

|----------------------+-----------------------------------------|

|     2      |Призводить до незначних фінансових втрат |

|                 |(визначити суму) та має незначний вплив |

|                 |на репутацію банку                  |

|----------------------+-----------------------------------------|

|     3      |Призводить до значних фінансових втрат |

|                 |(визначити суму) та має значний вплив на |

|                 |репутацію банку                     |

|----------------------+-----------------------------------------|

|     4      |Призводить до великих фінансових втрат |

|                 |(визначити суму), має значний вплив на |

|                 |репутацію банку і може призвести до |

|                 |зупинки роботи бізнес-процесу /     |

|                 |банківського продукту               |

|----------------------+-----------------------------------------|

|     5      |Призводить до зупинки бізнес-процесу / |

|                 |банківського продукту і порушує     |

|                 |законодавство України               |

------------------------------------------------------------------

 

Для величини наслідків реалізації загрози: вплив на

конфіденційність:

 

------------------------------------------------------------------

|Оцінка рівня наслідків|             Опис              |

|----------------------+-----------------------------------------|

|     1      |Практично не призводить до розкриття |

|                 |конфіденційної інформації           |

|----------------------+-----------------------------------------|

|     2      |Призводить до розкриття окремих     |

|                 |документів, які відносяться до      |

|                 |"банківської таємниці", "комерційної |

|                 |таємниці", персональних даних і не  |

|                 |призводить до фінансових втрат      |

|----------------------+-----------------------------------------|

|     3      |Призводить до розкриття окремих     |

|                 |документів, які відносяться до      |

|                 |"банківської таємниці", "комерційної |

|                 |таємниці", персональних даних і     |

|                 |призводить до незначних фінансових втрат |

|                 |(визначити суму)                    |

|----------------------+-----------------------------------------|

|     4      |Призводить до розкриття документів, які |

|                 |відносяться до "банківської таємниці", |

|                 |"комерційної таємниці", персональних |

|                 |даних і призводить до значних фінансових |

|                 |втрат (визначити суму), має значний вплив|

|                      |на репутацію банку і може призвести до |

|                 |зупинки роботи бізнес-процесу /     |

|                 |банківського продукту               |

|----------------------+-----------------------------------------|

|     5      |Призводить до зупинки бізнес-процесу / |

|                 |банківського продукту і порушує     |

|                 |законодавство України               |

------------------------------------------------------------------