Функционирующей информационно-технологической инфраструктуры

Процесс менеджмента риска (risk management) информационной безопасности в отношении функционирующей информационно-технологической инфраструктуры предприятия или организации (включая ИС, ЛВС, программное обеспечение и т.п.) регламентируется рядом международных и отечественных стандартов, среди которых первостепенное значение имеет международный стандарт ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management – Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Ему соответствует отечественный аналог ГОСТ Р ИСО/МЭК 27005-2010.

В соответствии с этим стандартом процесс менеджмента рисков информационной безопасности (ИБ) состоит из двух основных элементов: оценки риска (risk assessment) и обработки риска (risk treatment). Как показано на рис. 2.9, в процессе менеджмента риска ИБ процедуры оценки риска и / или обработки риска могут выполняться итеративно.

Первая итерация оценки рисков (см. рис. 2.9) состоит из задач по определению контекста (блок «Установление контекста»), идентификации угроз и уязвимостей (блок «Идентификация риска»), а также по выполнению количественной оценки рисков (блок «Количественная оценка риска») и оцениванию (сопоставлению) рисков (блок «Оценка риска»).

Результат первой итерации оценки рисков может быть удовлетворительным для поддержки процесса обработки риска (см. на рис. 2.9 «Первую точку принятия решений о риске»). Если это не так, например, вследствие того, что было доступно недостаточное количество информации, должна быть проведена еще одна итерация оценки рисков, которая будет, например, включать сбор дополнительной информации, уточнение сферы и определение контекста, дальнейшее рассмотрение внешних влияний и ограничений, дальнейшее исследование уязвимостей и угроз.

 

 

Рис.2.9. Процесс менеджмента риска информационной безопасности

 

Цель следующего за этим процесса обработки риска состоит в достижении приемлемого уровня рисков, например, путем применения соответствующих средств контроля (или в общем случае – контрмер). Успех процесса обработки риска во многом зависит от результатов оценки риска. Итогом реализации блока «Обработка риска» является остаточный риск. Ситуация, в которой процесс обработки риска немедленно не приводит к приемлемому остаточному риску, весьма вероятна. В такой ситуации происходит еще одна итерация оценки риска с последующей обработкой риска (см. на рис. 2.9 «Вторую точку принятия решений о риске»). Следующий за этим процесс принятия риска должен обеспечить осознанное принятие оставшихся рисков руководством организации.

Важно, чтобы во время всего процесса менеджмента риска осуществлялась коммуникация риска (то есть информирование о риске) соответствующим сторонам, например руководству и операционному персоналу (см. на рис. 2.9 блок «Коммуникация риска»).

Менеджмент риска является постоянным процессом не только вследствие итеративного выполнения процедур оценки риска и / или обработки риска. Контекст, а также активы, угрозы и уязвимости меняются с течением времени, и это делает необходимым осуществление постоянного мониторинга и пересмотра рисков (блок «Мониторинг и переоценка риска»).

Рассмотрим содержание блоков, представленных на схеме рис. 2.9, более подробно.

Определение контекста (establishing the context) состоит:

- из установления основных параметров для осуществления менеджмента рисков ИБ;

- из определения сферы и границ менеджмента рисков ИБ;

- из соответствующей организации процесса менеджмента риска ИБ;

- из подготовки детальной структуры для запуска процесса.

К основным параметрам, которые должны быть установлены, относятся:

- выбор соответствующего подхода для оценки риска (практически, это разработка методики оценки риска);

- установление критериев для оценки риска;

- установление критериев влияния рисков на деятельность организации;

- установление критериев принятия риска;

- определение потенциально доступных ресурсов для осуществления управления рисками.

Примером критерия для оценки риска может быть вероятность наступления события риска (инцидента ИБ), критерий влияния риска на деятельность организации (см. ниже), математическое ожидание ущерба и т.п.

Критерии влияния рисков на деятельность организации должны разрабатываться и определяться исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с реализацией риска ИБ. Это могут быть финансовые и иные последствия, связанные с:

- правовыми и регулятивными требованиями и договорными обязательствами;

- операционными и деловыми последствиями недоступности;

- операционными и деловыми последствиями утраты конфиденциальности;

- операционными и деловыми последствиями утраты целостности;

- восприятием клиентов и неблагоприятным влиянием на репутацию.

Организация должна определить собственные границы для последствий, таких как «низкие» или «высокие». Например, финансовый ущерб, который может быть катастрофическим для маленькой организации, может быть низким или даже незначительным для очень большой организации.

Критерии принятия риска (остаточные риски) зачастую зависят от политик, намерений, целей организации и интересов причастных сторон. Организация должна определять собственные шкалы для уровней принятия риска. При разработке критериев принятия риска необходимо учитывать следующее:

- критерии принятия риска могут включать ряд пороговых значений, когда указывается желаемый целевой уровень риска, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, находящиеся выше этого уровня;

- критерии принятия риска могут выражаться как соотношение количественно оцененной прибыли (или иной выгоды бизнеса) к количественно оцененному риску;

- различные критерии принятия риска могут применяться к различным классам риска, например, могут не приниматься риски, связанные с неисполнением законодательно-нормативных требований, в то время как принятие рисков высокого уровня может быть допустимо, если это определено договорным обязательством;

- критерии принятия риска могут включать требования о проведении в будущем дополнительной обработки риска, например, риск может быть принят, если принято решение и взяты обязательства предпринять меры по его снижению до приемлемого уровня в течение определенного периода времени.

Важно подчеркнуть, что критерии принятия рисков – это не только перечень критериальных показателей, но и их пороговые значения остаточных рисков. Сложность определения этих значений связана с тем, что они первоначально должны быть установлены до идентификации рисков ИБ. Следовательно, при первой итерации оценки рисков они определяются для некоторых укрупненных групп рисков, соответствующих основным угрозам или основным активам, подверженным угрозам. На последующих итерациях пороговые значения остаточных рисков могут быть детализированы и уточнены.

Определение сферы и границ процесса менеджмента риска должно четко обозначить, что из ниже перечисленного должно учитываться при выполнении оценке риска для рассматриваемой информационной системы:

- бизнес-цели и политики;

- информационные активы и активы информационно-коммуникационных технологий (ИКТ) (например, аппаратные средства, программное обеспечение, элементы системы связи);

- люди (например, персонал, подрядчики, другой внешний персонал);

- физическая среда (например, здания, сооружения);

- социокультурная среда;

- экономическая, законодательная и регулятивная среда;

- деловые процессы и деятельность (операции).

Важно отметить, что контекст касается взаимосвязи рисков ИБ с общими деловыми рисками, с которыми сталкивается организация.

Для процесса менеджмента риска ИБ необходимо устанавливать и поддерживать организационную структуру и распределение обязанностей. В связи с этим необходимо осуществить:

- идентификацию и анализ причастных к управлению рисками ИБ сторон;

- определение ролей и обязанностей всех сторон в рамках организации;

- установление необходимых взаимосвязей в задействованных частях организации, а также с другими проектами или мероприятиями, имеющими отношение к управлению рисками ИБ.

Определение детальной структуры для выполнения процесса менеджмента риска включает:

- идентификацию необходимой информации, включая ее доступность и потенциальную стоимость сбора;

- определение и соответствующее распределение мероприятий и задач процесса;

- управление ресурсами;

- определение путей эскалации решений.

Процесс оценки риска информационной безопасности состоит из анализа риска и оценивания риска, а анализ риска к тому же состоит из идентификации риска и количественной оценки риска.

Цель идентификации риска – определить, что могло бы произойти при нанесении возможного ущерба, и получить представление о том, как, где и почему мог иметь место этот ущерб. Идентификация рисков включает идентификацию активов, на которые направлены угрозы, угроз информационной безопасности, уязвимостей, последствий (ущерба), средств контроля (защиты, контрмер).

Идентификация активов как составная часть идентификации рисков. Активы в рамках установленных границ рассмотрения должны быть идентифицированы с достаточным уровнем детальности по отношению к сфере и уровню проводимой оценки. Для целей менеджмента риска важно вести запись активов, деловых процессов, которые они поддерживают, и их соответственной значимости для организации в инвентарном списке активов.

Определение ценности активов и оценка влияния на активы инцидентов информационной безопасности как составная часть их идентификации. Ценность активов определяет их важность для организации. Определение ценности активов начинается с классификации активов в соответствии с их приоритетом, с точки зрения важности активов для выполнения деловых целей организации. Затем определяют ценность, используя две меры: во-первых, восстановительную стоимость актива – стоимость его замены, и, во вторых, деловые последствия от потери или компрометации актива, такие как потенциальные неблагоприятные деловые последствия из-за раскрытия, модификации, недоступности и/или разрушения информации и других активов информационной системы (это может быть определено из анализа делового влияния). Ценность, определяемая последствиями для бизнеса, обычно значительно выше просто восстановительной стоимости и зависит от важности актива для организации при выполнении ее деловых целей. Определение ценности активов является ключевым фактором в оценке влияния инцидента безопасности, потому что инцидент может затрагивать более чем один актив или только часть актива.

В приложении B к международному стандарту ISO 27005 приводится достаточно подробная информация о классификации активов, об определении ценности активов и оценке влияния инцидентов безопасности. При этом важно подчеркнуть, что предусматривается выделение основных и вспомогательных активов.

Основными активами обычно являются базовые процессы и информация о деятельности организации в ее сфере действия, то есть, основные активы бывают двух типов:

1. Бизнес-процессы (или подпроцессы) и бизнес-деятельность.

2. Информация.

Вспомогательным активам присущи уязвимости, которые могут быть использованы угрозами, нацеленными на порчу основных активов (процессов и информации). Они могут быть различных типов. К ним относятся, например:

Аппаратные средства.

Носитель данных.

Программное обеспечение (системное и бизнес-приложения).

Сеть (набор телекоммуникационных устройств, используемых для соединения нескольких физически удаленных компьютеров или элементов информационной системы).

Персонал.

Пользователи.

Разработчики.

Контрагенты, поставщики, изготовители и т.п.

Таким образом, понятие «активы» трактуется несколько по-иному, чем в бухгалтерском учете. Понятие «актив» в трактовке рассматриваемого стандарта близко к понятию «ресурс».

Идентификация угроз как составная часть идентификации рисков. Угроза обладает потенциалом причинения вреда активам. Угрозы могут быть природного или человеческого происхождения, они могут быть случайными или умышленными. Должны быть идентифицированы и случайные и умышленные источники угроз и оценена вероятность их возникновения. Важно, чтобы ни одна угроза не была упущена. Входные данные для оценки угроз должны быть получены от владельцев или пользователей активов, персонала отдела кадров, руководства учреждения и специалистов в сфере информационно-коммуникационных технологий, а также от лиц, отвечающих за обеспечение безопасности организации.

Существует много методологий идентификации угроз, таких как перечни контрольных вопросов, аудиты, инспекция на местах, решения, основанные на опыте и записях, блок-схемы, «мозговая атака» и другие виды экспертных оценок, собеседование, анализ систем, анализ сценариев и т.п. Они должны выбираться в соответствии с потребностями организации.

Возможно использование статистики угроз из других организаций, таких как юридические организации и правительственные учреждения. При использовании реестров угроз и статистики угроз или результатов проводившихся ранее оценок угроз нужно сознавать, что угрозы постоянно меняются, особенно если меняется деловая среда или информационно-коммуникационные технологии.

После идентификации источника угрозы (кто и что вызывает угрозу) и объекта угрозы (т.е. какие элементы системы могут быть затронуты угрозой) необходимо оценить вероятность угроз. При этом следует принимать в расчет:

- частоту угрозы (насколько часто она может происходить в соответствии с опытом, применимой статистикой и т.д.);

- для умышленных источников угрозы: мотивацию возможных нарушителей, их возможности, доступные им ресурсы, восприятие привлекательности и уязвимости активов информационной системы;

- для случайных источников угрозы: географические факторы, такие как близость к химическим или нефтяным заводам, возможность экстремальных погодных условий и факторы, которые могут влиять на человеческие ошибки и неправильное функционирование оборудования.

По завершении оценки угроз будет составлен список идентифицированных угроз, затрагиваемых ими активов или групп активов и меры вероятности того, что угроза произойдет, например, по шкале, такой как высокая, средняя или низкая.

Идентификация уязвимостей как составная часть идентификации рисков. Идентификация уязвимостей включает идентификацию слабых мест, которые могут быть использованы источником угрозы для причинения вреда активам. Слабые места могут возникать в любом элементе из следующего списка: организация; процессы и процедуры; менеджмент; персонал; физическая среда; конфигурация системы информационно-коммуникационных технологий; аппаратные средства, программное обеспечение или аппаратура связи. Наличие уязвимости не причиняет вреда само по себе, так как должна присутствовать угроза, которая воспользуется ей. Уязвимость, не имеющая соответственной угрозы, может не требовать внедрения средства контроля, но должна осознаваться и подвергаться мониторингу на предмет измерений. Результатом данного шага должен быть список уязвимостей, идентификация угроз, относящихся к каждой уязвимости, и оценка простоты использования уязвимости, например по шкале, такой как высокая, средняя или низкая.

Идентификация влияния (воздействия, ущерба) как составная часть идентификации риска. Когда происходит инцидент (событие риска), он вызывает ущерб. Этот ущерб непосредственно связан с затронутым активом (несколькими активами) или частью актива, так как активы имеют ценность. Организации должны идентифицировать, какие операционные последствия происходят, когда активам причиняется ущерб, в терминах:

- времени на расследование и ремонт;

- потерянного (рабочего) времени;

- упущенных возможностей;

- финансов, необходимых для восстановления ущерба и т.п.

Последствия могут быть определены путем моделирования исходов события или совокупности событий или экстраполяции экспериментальных исследований или прошлых данных. Последствия могут быть выражены на языке критериев денежного и технического влияния, влияния на людей или на языке любых других уместных критериев. Оценка влияния помогает определить полную картину риска.

Идентификация существующих и планируемых средств контроля (контрмер, средств защиты). Важно, чтобы существующие и планируемые средства контроля были идентифицированы, во избежание излишней работы или расходов, например, при дублировании средств контроля. Может быть также определено, что существующих или планируемых средств контроля либо недостаточно, либо они не оправданы. В данном случае следует проверить, стоит ли убрать данное средство контроля, заменить другим, более подходящим, или стоит оставить средство контроля на месте (например, по стоимостным причинам). Следует также провести проверку, чтобы удостовериться, что средства контроля работают правильно. Если они работают не правильно, то это будет создавать уязвимости. Следует обратить внимание на ситуацию, когда выбранное средство контроля не достигает успеха и поэтому требуются дополнительные средства контроля.  

Предлагаемый в международном стандарте ISO/IEC 27005:2008 подход к идентификации рисков ИБ позволяет структурно определить понятие риска ИБ как описание угрозы ИБ, активов, на которых направлена угроза, уязвимостей информационно-технологической инфраструктуры организации, способствующих реализации угрозы, ущерба, который может быть нанесен организации со стороны данной угрозы, принимаемых и планируемых контрмер, предотвращающих инцидент, обусловленный данной угрозой. Пример: угроза DDoS-атак на сервер компании, на котором отсутствуют средства для измерения интенсивности информационных потоков во внешней сети, с ожидаемой частотой один раз в месяц, что может привести к ущербу в 1250000 руб. в год.; планируемые контрмеры – установление на сервере специального ПО.

Заключительным этапом анализа риска является количественная оценка рисков (Risk Estimation). Вместе с тем в российской версии международного стандарта ISO/IEC 27005:2008, обозначенной как ГОСТ Р ИСО/МЭК 27005-2010, есть примечание о том, что речь в рассматриваемом блоке идет, строго говоря, об установлении значения риска, что несколько отличается от понятия количественной оценки. Это означает, что речь идет о качественной, полуколичественной и количественной оценках риска, которые, к тому же, носят предварительный характер. Важно подчеркнуть, что форма анализа должна согласовываться с критериями оценивания риска, разработанными как часть установки контекста.

В общем случае принимаются во внимание две характеристики (факторы) риска: его последствие, то есть ущерб от реализации угрозы ИБ (от произошедшего в информационной системе инцидента, от наступления события риска), и вероятность реализации угрозы информационной безопасности (при этом дополнительно могут приниматься во внимание и другие характеристики (факторы) риска, например, уязвимости активов). При проведении оценки может быть проведен предварительный отбор рисков, чтобы риски, последствия которых считаются низкими, были исключены из подробного изучения. Исключенные риски должны быть внесены в список, чтобы продемонстрировать полноту оценки риска.

Качественная оценка риска используется:

- как первоначальное мероприятие отбора для оценки рисков, требующих более детального анализа (количественной оценки);

- в тех случаях, когда данный вид анализа подходит для принятия решений без проведения количественного анализа;

 - в тех случаях, когда числовые данные или ресурсы неадекватны для выполнения количественной оценки.

Иными словами, речь идет о получении получения общего указания на уровень риска и обнаружения основных рисков.

Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация). Сначала должны быть определены шкалы. Приведем пример субъективной шкалы вероятностей событий:

А – событие практически никогда не происходит;

В – событие случается редко;

С – вероятность события за рассматриваемый промежуток времени – 0,5;

D – скорее всего, событие произойдет;

Е – событие почти обязательно произойдет.

Кроме того, устанавливается субъективная шкала серьезности происшествий, например:

• N (Negligible) – воздействием можно пренебречь;

• Mi (Minor) – незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;

• Mo (Moderate) – происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важные задачи;

• S (Serious) – происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, влияет на выполнение критически важных задач;

• С (Critical) – происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков устанавливается шкала из трех значений: низкий риск; средний риск; высокий риск. (Возможно, например, разделение рисков на приемлемые (допустимые) и неприемлемые.) Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен так, как в табл.2.1.

 

Таблица 2.1.

 

Определение риска в зависимости от двух факторов

 

	Negligible	Minor	Moderate	Serious	Critical
A	Низкий	Низкий	Низкий	Средний	Средний
B	Низкий	Низкий	Средний	Средний	Высокий
C	Низкий	Средний	Средний	Средний	Высокий
D	Средний	Средний	Средний	Средний	Высокий
E	Средний	Высокий	Высокий	Высокий	Высокий

 

Шкалы факторов риска и сама таблица могут быть построены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценивания рисков надо учитывать следующие особенности:

• значения шкал должны быть четко определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;

• требуется обоснование выбранной таблицы.

Следует убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Полукачественная оценка риска предполагает, что хотя бы один из факторов риска имел количественное выражение.

При количественной оценке, которая может быть осуществлена в заключение анализа, все факторы риска должны иметь количественное выражение. В этом случае при двухфакторной оценке обобщенная величина количественной оценки конкретного риска может быть выражена формулой:

 

РИСК = Р_{происшествия} * ЦЕНА ПОТЕРИ,        (2.2)

 

где Р_{происшествия} – вероятность инцидента;

ЦЕНА ПОТЕРИ – ущерб от инцидента.

 

Риск в этом случае можно трактовать как математическое ожидание потерь.

При проведении количественной оценки применяются данные из различных источников, в том числе и данные собственной статистики организации об инцидентах за прошлый период. Качество анализа зависит от точности и полноты числовых значений и от корректности используемых моделей. Здесь мы рассмотрели так называемый «полный анализ рисков (Full Risk Analysis)». Но возможен на практике и так называемый «базовый анализ рисков (Baseline Risk Analysis)», который применяется в случаях, когда не предъявляются повышенные требования в области ИБ, а базовые требования устанавливаются в соответствии с базовым уровнем безопасности (Baseline Security). В ряде стран и организаций этот минимальный базовый уровень защищенности определен и зафиксирован документально. При базовом анализе рисков рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятности (вирусы, сбои оборудования, не санкционируемый доступ и т.д.). В соответствии с этими угрозами и должны быть приняты меры защиты.

Оценивание риска информационной безопасности. Оценивание риска (Risk Evaluation) информационной безопасности (или Сопоставление риска) следует после анализа риска и завершает этап оценки рисков. Для оценивания рисков необходимо сравнивать полученную количественную оценку риска, с критериями остаточного риска (точнее – с их пороговыми значениями), определенными во время оценки контекста. Решения могут основываться на уровне риска, но должны также учитываться последствия, вероятность, совокупный эффект множественных рисков, степень уверенности в идентификации и анализе риска. Полученные обобщенные результаты оценки должны принимать во внимание:

- критерии безопасности: если один критерий не уместен для организации (например, конфиденциальность), то все риски, влияющие на этот критерий, могут быть неуместными;

- значимость бизнес-процесса или деятельности, поддерживаемых конкретным активом или совокупностью активов: если процесс определен как имеющий низкую значимость, связанные с ним риски должны более слабо учитываться, чем риски, влияющие на более важные процессы или деятельность.

Оценивание риска использует понимание риска, полученное посредством анализа риска, для принятия решений о будущих действиях.

Обработка риска информационной безопасности. Деятельность по обработке риска представлена на рис. 2.10. В соответствии со схемой рис. 2.10 для обработки риска (Risk Treatment) возможны четыре варианта обработки риска: предотвращение, перенос, снижение и сохранение (принятие) риска. Четыре варианта обработки риска не являются взаимоисключающими. В отдельных случаях организация может получить значительную выгоду от объединения вариантов, таких, как снижение вероятности риска, уменьшение последствий и перенос или сохранение любого остаточного риска. Рассмотрим каждый из этих вариантов более подробно.

1. Предотвращение риска: рассмотрение способов устранения угрозы или уязвимости на основе изменения процесса или деятельности в области IT таким образом, чтобы угроза к ним больше не была применима. Когда идентифицированные риски считаются слишком высокими и расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном прекращении или отказе от планируемой или существующей деятельности.

В качестве примера укажем, что в отношении рисков, вызываемых природными факторами (наводнение, землетрясение) наиболее экономически выгодной альтернативой может быть физическое перемещение средств обработки информации туда, где этого риска не существует или он контролируется.

2. Перенос риска: включает в себя решение разделить определенные риски с внешними сторонами. Перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски. Поэтому может быть необходима дополнительная обработка риска.

Перенос риска может быть осуществлен:

- путем страхования, которое будет нивелировать последствия события риска;

- путем заключения договора субподряда с партнером, чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении незамедлительных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба;

- путем заключения договора аутсорсинга на определенный вид информационной деятельности и т.д.

 

 

 

Рис. 2.10. Деятельность по обработке риска ИБ

 

Следует заметить, что возможно перенести ответственность за менеджмент риска, но, как правило, невозможно перенести ответственность за ущерб. Клиенты обычно воспринимают неблагоприятное влияние ущерба для своей деятельности как ошибку организации, предоставляющей IT услуги.

3. Снижение риска: уровень риска должен быть снижен путем выбора меры и средства контроля и управления так, чтобы остаточный риск мог быть повторно оценен как допустимый. Например, для снижения риска DDoS-атак могут быть применены специальные программные средства измерения интенсивности информационных потоков в сети.

В целом меры и средства контроля и управления могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение угрозы, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

4. Сохранение риска: если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные меры и средства контроля и управления, и риск может быть сохранен. Такое решение может быть принято только на основе оценки риска. В то же время принимаются во внимание дополнительные условия: бюджет организации, временные ограничения и т.д.

Важно подчеркнуть, что остаточные риски определяются для каждого варианта обработки рисков. Если остаточные риски по-прежнему не будут удовлетворять критериям принятия риска организации, может возникнуть необходимость в дополнительной итерации обработки риска, прежде чем перейти к принятию риска (см. рис.2.9).

Принятие риска информационной безопасности. В этом блоке процесса менеджмента риска информационной безопасности должно быть принято решение о принятии остаточных рисков ИБ и установлена ответственность за это решение, что должно быть официально зарегистрировано. Как правило, принимаются риски, показатели оценки которых соответствуют пороговым значениям критериев оценки остаточных рисков ИБ. Однако в некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают некоторых важных обстоятельств. Например, может быть доказано, что необходимо принимать риски по причине привлекательности выгод или по причине значительных расходов, связанных со снижением риска. Если необходимо принять такие риски, руководитель, принимающий решение, должен дать комментарий, касающийся рисков, с обоснованием решения, выходящего за рамки стандартного критерия принятия рисков.

Впоследствии рекомендуется пересмотреть критерии принятия подобных рисков.

Коммуникация риска информационной безопасности. Организация должна установить процедуры коммуникации риска между принимающими решения лицами и причастными сторонами, чтобы:

- обеспечивать доверие к менеджменту риска организации;

- собирать информацию о рисках;

- избегать нарушений безопасности из-за отсутствия взаимопонимания между принимающими решения лицами и причастными сторонами.

Причастные стороны выносят суждения о приемлемости рисков на основе своего восприятия риска. Поэтому очень важно обеспечить, чтобы восприятие риска причастными сторонами, а также восприятие ими выгод могло быть идентифицировано и задокументировано, а лежащие в основе причины были четко поняты и учтены.

Координация между лицами, принимающими окончательные решения, и иными причастными сторонами может быть достигнута путем создания комитета, который будет обсуждать проблемы возникновения рисков, назначать приоритеты и вырабатывать решения по обработке и принятию рисков.

Организация должна разрабатывать планы коммуникации риска как для повседневной работы, так и для чрезвычайных ситуаций. Следовательно, деятельность, связанная с коммуникацией риска, должна выполняться непрерывно.

Важно поддерживать сотрудничество с соответствующим отделом по связям с общественностью или информационным отделом организации, чтобы координировать все задачи, связанные с коммуникацией риска. Это крайне важно в случаях сообщения о действиях в кризисных ситуациях, например, в ответ на определенные инциденты.

Мониторинг и пересмотр риска информационной безопасности. Следует помнить, что лишь немногие риски остаются статичными. Постоянный мониторинг и пересмотр необходимы, чтобы гарантировать, что контекст, результат оценки риска и обработки риска, а также планы менеджмента остаются актуальными и соответствующими обстоятельствам. Факторы, которые могут оказывать влияние на вероятность и последствия происходящих угроз, могут меняться, как и факторы, влияющие на приемлемость или стоимость различных вариантов обработки риска. Поэтому необходимо регулярно повторять процесс оценки риска. Результаты мероприятий мониторинга и пересмотра должны возвращаться по обратной связи в процесс оценки риска. Новые угрозы, уязвимости или изменения вероятности или влияния могут увеличивать ранее оцененные низкие риски или влияния. Процесс пересмотра низких и принятых рисков должен рассматривать каждый риск отдельно, а также все эти риски как совокупное целое, чтобы оценивать их потенциальное суммарное влияние. Если риски не попадают в категорию низких или приемлемых рисков, они должны обрабатываться. Выбранные варианты обработки риска должны периодически пересматриваться.

Организации должны обеспечивать постоянный пересмотр следующих элементов:

 - новых угроз, которые могут быть активными вне и внутри организации и которые еще не оценивались;

- надлежащей оценки вероятности возникновения;

- вероятности того, что новые или увеличившиеся уязвимости могут позволить угрозам использовать эти новые или изменившиеся уязвимости;

- увеличившегося влияния или последствий оцененных угроз, уязвимостей и рисков, в совокупности приводящих к неприемлемому уровню риска.

Должен подвергаться мониторингу и пересмотру и процесс менеджмента риска. Организация должна убеждаться в том, что соответствующие процедуры соблюдаются, с тем, чтобы руководство имело гарантии, что никакой риск или элемент риска не упущен из виду или недооценен и что для обеспечения реалистического понимания риска и способности реагирования предпринимаются необходимые действия и принимаются решения. Кроме того, организация должна регулярно проверять, что критерии и пороговые значения, используемые для оценки риска и его элементов, по-прежнему остаются действительными и согласующимися с деловыми целями, стратегиями и политиками и что изменения делового контекста принимаются во внимание на адекватном уровне во время процесса менеджмента риска.

Существует тенденция к ухудшению со временем производительности или состояния служб или мер обеспечения ИБ. Мониторинг нужен для выявления этих ухудшений и инициирования корректирующих действий.