Jak hodnotit rizika informační bezpečnosti. Řízení rizik informační bezpečnosti v Rusku
V praxi se používají kvantitativní a kvalitativní přístupy k hodnocení rizik informační bezpečnosti. Jaký je v tom rozdíl?
Kvantitativní metoda
Kvantitativní hodnocení rizik se používá v situacích, kdy lze zkoumané hrozby a rizika s nimi spojená porovnat s konečnými kvantitativními hodnotami vyjádřenými v penězích, úrocích, čase, lidských zdrojích atd. Tato metoda umožňuje získat konkrétní hodnoty objektů hodnocení rizik, když jsou realizovány hrozby informační bezpečnosti.
V kvantitativním přístupu jsou všem prvkům hodnocení rizik přiřazeny konkrétní a reálné kvantitativní hodnoty. Algoritmus pro získání těchto hodnot by měl být jasný a srozumitelný. Předmětem posouzení může být hodnota aktiva v peněžním vyjádření, pravděpodobnost realizace hrozby, škoda z hrozby, náklady na ochranná opatření atd.
Jak kvantitativně vyhodnocovat rizika?
1. Určete hodnotu informačních aktiv v peněžním vyjádření.
2. Z kvantitativního hlediska vyhodnotit potenciální škody způsobené implementací každé hrozby ve vztahu ke každému informačnímu aktivu.
Je nutné získat odpovědi na otázky „Jakou část hodnoty aktiva bude tvořit škoda z realizace každé hrozby?“, „Jaká je cena škody v peněžním vyjádření z jednoho incidentu při realizaci tohoto ohrožení tohoto majetku?"
3. Určete pravděpodobnost implementace každé z hrozeb informační bezpečnosti.
K tomu můžete využít statistická data, průzkumy mezi zaměstnanci a zainteresovanými stranami. V procesu určování pravděpodobnosti vypočítejte četnost incidentů spojených s implementací uvažované hrozby informační bezpečnosti za kontrolní období (například jeden rok).
4. Určete celkovou potenciální škodu z každé hrozby ve vztahu ke každému aktivu za kontrolní období (jeden rok).
Hodnota se vypočítá vynásobením jednorázového poškození z hrozby četností hrozby.
5. Analyzujte přijatá data poškození pro každou hrozbu.
Pro každou hrozbu je třeba učinit rozhodnutí: přijmout riziko, snížit riziko nebo riziko přenést.
Přijmout riziko znamená rozpoznat ho, smířit se s jeho možností a pokračovat v jednání jako doposud. Použitelné pro hrozby s nízkou škodou a nízkou pravděpodobností výskytu.
Snížení rizika znamená zavádění dodatečných opatření a ochranných pomůcek, školení personálu atd. Tedy provádění promyšlené práce na snížení rizika. Zároveň je nutné kvantitativně posoudit účinnost dodatečných opatření a prostředků ochrany. Veškeré náklady, které organizaci vzniknou, od nákupu ochranných pomůcek až po uvedení do provozu (včetně instalace, konfigurace, školení, údržby atd.), by neměly přesáhnout výši škody z ohrožení.
Přenést riziko znamená přesunout následky rizika na třetí osobu, například prostřednictvím pojištění.
Na základě kvantitativního posouzení rizik by mělo být stanoveno následující:
- hodnota aktiv v peněžním vyjádření;
- úplný seznam všech hrozeb informační bezpečnosti se škodami z jednoho incidentu pro každou hrozbu;
- četnost implementace každé hrozby;
- potenciální poškození z každé hrozby;
- Doporučená bezpečnostní opatření, protiopatření a akce pro každou hrozbu.
Kvantitativní analýza rizik bezpečnosti informací (příklad)
Zvažme techniku na příkladu webového serveru organizace, který se používá k prodeji určitého produktu. Kvantitativní jednou poškození v důsledku selhání serveru lze odhadnout jako součin průměrného potvrzení o nákupu a průměrného počtu požadavků za určitý časový interval, který se rovná výpadku serveru. Řekněme, že náklady na jednorázové poškození v důsledku přímého selhání serveru budou 100 tisíc rublů.
Nyní je třeba odbornými prostředky vyhodnotit, jak často může taková situace nastat (s přihlédnutím k intenzitě provozu, kvalitě napájení atd.). Například při zohlednění znaleckého posudku a statistické informace, chápeme, že server může selhat až 2krát za rok.
Vynásobením těchto dvou veličin dostaneme to průměrný ročníškoda způsobená hrozbou přímého selhání serveru činí 200 tisíc rublů ročně.
Tyto výpočty lze použít k odůvodnění volby ochranných opatření. Například implementace systému nepřerušitelného napájení a Rezervovat kopii s celkovými náklady 100 tisíc rublů ročně minimalizuje riziko selhání serveru a bude zcela efektivním řešením.
Kvalitativní metoda
Bohužel ne vždy je možné získat konkrétní vyjádření předmětu hodnocení z důvodu velké nejistoty. Jak přesně vyhodnotit poškození pověsti společnosti, když se objeví informace o incidentu informační bezpečnosti? V tomto případě se používá kvalitativní metoda.
Kvalitativní přístup nepoužívá kvantitativní ani peněžní vyjádření pro posuzovaný objekt. Místo toho je předmětu hodnocení přiřazen ukazatel seřazený na tříbodové (nízké, střední, vysoké), pětibodové nebo desetibodové škále (0...10). Ke sběru dat pro kvalitativní hodnocení rizik se využívají průzkumy cílových skupin, rozhovory, dotazníky a osobní setkání.
Analýza rizik informační bezpečnosti pomocí kvalitativní metody by měla být prováděna se zapojením zaměstnanců se zkušenostmi a kompetencemi v oblasti, ve které jsou hrozby zvažovány.
Jak provést dobré posouzení rizik:
1. Určete hodnotu informačních aktiv.
Hodnota aktiva může být určena úrovní kritičnosti (důsledků), pokud jsou porušeny bezpečnostní charakteristiky (důvěrnost, integrita, dostupnost) informačního aktiva.
2. Určete pravděpodobnost výskytu hrozby ve vztahu k informačnímu aktivu.
K posouzení pravděpodobnosti realizace hrozby lze použít třístupňovou kvalitativní škálu (nízká, střední, vysoká).
3. Stanovit míru možnosti úspěšné realizace hrozby s přihlédnutím k aktuálnímu stavu informační bezpečnosti, realizovaných opatření a prostředků ochrany.
Pro posouzení míry možnosti realizace hrozby lze také použít třístupňovou kvalitativní škálu (nízká, střední, vysoká). Hodnota proveditelnosti hrozby udává, do jaké míry je možné hrozbu úspěšně provést.
4. Udělejte závěr o úrovni rizika na základě hodnoty informačního aktiva, pravděpodobnosti realizace hrozby a možnosti realizace hrozby.
Pro určení míry rizika můžete použít pětibodovou nebo desetibodovou stupnici. Při určování úrovně rizika můžete použít referenční tabulky, které poskytují pochopení toho, jaké kombinace ukazatelů (hodnota, pravděpodobnost, příležitost) vedou k jaké úrovni rizika.
5. Analyzujte data získaná pro každou hrozbu a úroveň rizika pro ni získanou.
Tým pro analýzu rizik často používá koncept „přijatelné úrovně rizika“. Jedná se o úroveň rizika, kterou je společnost ochotna přijmout (pokud má hrozba úroveň rizika menší nebo rovnou přijatelné, pak se nepovažuje za relevantní). Globálním úkolem v kvalitativním hodnocení je snížit rizika na přijatelnou úroveň.
6. Vyvinout bezpečnostní opatření, protiopatření a akce pro každou aktuální hrozbu ke snížení úrovně rizika.
Jakou metodu zvolit?
Cílem obou metod je porozumět skutečným rizikům informační bezpečnosti společnosti, určit seznam aktuálních hrozeb a vybrat účinná protiopatření a prostředky ochrany. Každá metoda hodnocení rizik má své výhody a nevýhody.
Kvantitativní metoda poskytuje v peněžním vyjádření vizuální znázornění předmětů hodnocení (škody, náklady), je však pracnější a v některých případech nepoužitelná.
Kvalitativní metoda umožňuje provádět hodnocení rizik rychleji, ale hodnocení a výsledky jsou subjektivnější a neposkytují jasné pochopení škod, nákladů a přínosů implementace informační bezpečnosti.
Výběr metody by měl být proveden na základě specifik konkrétní společnosti a úkolů přidělených specialistovi.
Stanislav Šiljajev, projektový manažer informační bezpečnosti ve společnosti SKB Kontur
Základní principy řízení rizik informační bezpečnosti
Navzdory různým operacím, produktům a službám používají organizace pět principů pro řízení rizik informační bezpečnosti:
· Posoudit rizika a identifikovat potřeby
· Zavést centralizované řízení
· Implementovat nezbytné zásady a vhodné kontroly
· Podporovat informovanost zaměstnanců
· Monitorovat a vyhodnocovat účinnost politik a kontrol
Nezbytným faktorem efektivní implementace těchto principů je komunikační cyklus činnosti zajišťující neustálé soustředění řízení informační bezpečnosti na aktuální rizika. Je důležité, aby si vrcholové vedení organizace uvědomovalo existenci rizik narušení podnikových procesů spojených s bezpečností informačních systémů. Základem pro tvorbu a implementaci politik a výběr potřebných kontrol je posouzení rizik jednotlivých podnikových aplikací. Přijaté kroky zvýší povědomí uživatelů o rizicích a souvisejících zásadách. Účinnost kontrol je předmětem hodnocení prostřednictvím různých studií a auditů. Výsledky poskytují přístup pro následná hodnocení rizik a identifikují nezbytné změny zásad a kontrol. Všechny tyto akce centrálně koordinuje bezpečnostní služba nebo tým specialistů složený z konzultantů, zástupců obchodních jednotek a vedení organizace.
Hodnocení rizik je prvním krokem při implementaci programu informační bezpečnosti. Bezpečnost není vnímána „sama o sobě“, ale jako soubor zásad a souvisejících kontrol navržených pro podporu obchodních procesů a zmírnění souvisejících rizik. Identifikace obchodních rizik spojených s informační bezpečností je tedy výchozím bodem cyklu řízení rizik (bezpečnosti informací).
Rozpoznání rizik informační bezpečnosti vedením organizace a také soubor opatření zaměřených na identifikaci a řízení těchto rizik je důležitým faktorem při vývoji programu bezpečnosti informací. Tento přístup k řízení zajistí, že informační bezpečnost bude brána vážně na nižších organizačních úrovních organizace a že odborníci na informační bezpečnost budou mít k dispozici zdroje nezbytné k efektivní implementaci programu.
Existují různé metodiky hodnocení rizik, od neformální diskuse o riziku až po poměrně složité metody zahrnující použití specializovaných software. Globální zkušenosti s úspěšnými postupy řízení rizik však popisují poměrně jednoduchý proces, na kterém se podílejí různá oddělení finančních organizací se zapojením specialistů se znalostí podnikových procesů, technických specialistů a specialistů v oblasti informační bezpečnosti. Je třeba zdůraznit, že pochopení rizik nezahrnuje jejich přesnou kvantifikaci, včetně pravděpodobnosti incidentu nebo nákladů na škody. Tyto údaje nejsou k dispozici, protože ztráty nemusí být zjištěny a vedení nemusí být informováno. Kromě toho jsou údaje o celkových nákladech na nápravu škod způsobených slabými bezpečnostními kontrolami a také o provozních nákladech na tyto kontroly (kontroly) omezené. Vzhledem k neustálým změnám v technologii a softwaru a nástrojích, které mají útočníci k dispozici, je aplikace statistických dat shromážděných v předchozích letech sporná. V důsledku toho je obtížné přesně porovnat náklady na kontroly s rizikem ztráty, aby bylo možné určit, která kontrola je nákladově nejefektivnější. V každém případě se manažeři obchodních jednotek a odborníci na informační bezpečnost musí spolehnout na to nejlepší úplné informace, které mají k dispozici při rozhodování o volbě nezbytných prostředků (způsobů) kontroly.
Manažeři obchodních jednotek musí nést primární odpovědnost za stanovení úrovně zabezpečení (důvěrnosti) informačních zdrojů podporujících obchodní procesy. Jsou to manažeři obchodních jednotek, kteří jsou schopni nejlépe určit, který informační zdroj je nejkritičtější, stejně jako možný dopad na podnik, pokud bude narušena jeho integrita, důvěrnost nebo dostupnost. Kromě toho mohou manažeři obchodních jednotek upozornit na kontroly (mechanismy), které mohou poškodit obchodní procesy. Jejich zapojením do výběru kontrol lze tedy zajistit, že kontroly splňují požadavky a budou úspěšně implementovány.
Zabezpečení informací vyžaduje neustálou pozornost, aby bylo zajištěno, že kontroly jsou přiměřené a účinné. Moderní informace a související technologie, stejně jako faktory související s informační bezpečností, se neustále mění. Mezi takové faktory patří hrozby, technologie a konfigurace systému, známá zranitelnost v softwaru, úroveň spolehlivosti automatizované systémy a elektronických dat, kritičnost dat a operací. Manažerský tým působí primárně jako poradce nebo konzultant obchodních jednotek a nemůže vnucovat metody (nástroje) zabezpečení informací. Obecně platí, že vedoucí tým by měl být (1) katalyzátorem (urychlovačem) procesu, který zajišťuje průběžné řešení rizik informační bezpečnosti; (2) centrální konzultační zdroj pro organizační jednotky; (3) prostředek pro sdělování informací vedení organizace o stavu informační bezpečnosti a přijatých opatřeních. Vedení týmu navíc umožňuje centralizované řízení přidělených úkolů, jinak mohou být tyto úkoly duplikovány různými odděleními organizace. Lidé v organizaci musí být zapojeni do různých aspektů programu bezpečnosti informací a mít odpovídající dovednosti a znalosti. Požadované úrovně profesionality zaměstnanců lze dosáhnout prostřednictvím školení, které mohou vést jak specialisté organizace, tak externí konzultanti.
Politiky informační bezpečnosti jsou základem pro přijetí určitých postupů a výběr kontrolních (řízení) prostředků (mechanismů). Politika je primární mechanismus, kterým management sděluje své názory a požadavky zaměstnancům, zákazníkům a obchodním partnerům. Pro bezpečnost informací, stejně jako pro ostatní oblasti vnitřní kontroly, požadavky politiky přímo závisí na výsledcích hodnocení rizik. Komplexní soubor adekvátních zásad, které jsou uživatelům dostupné a srozumitelné, je jedním z prvních kroků při vytváření programu zabezpečení informací. Pro včasnou reakci na identifikovaná rizika a případné neshody stojí za to zdůraznit význam průběžné podpory (úpravy) politik.
Kompetence uživatele je předpoklad k úspěšnému zajištění bezpečnosti informací a také pomáhá zajistit, aby kontroly fungovaly správně. Uživatelé nemohou dodržovat zásady, které neznají nebo jim nerozumí. Bez povědomí o rizicích spojených s informačními zdroji organizace nemusí vidět potřebu prosazovat zásady určené ke zmírnění rizik.
Jako každý typ činnosti i bezpečnost informací podléhá kontrole a periodickému přehodnocování, aby byla zajištěna přiměřenost (soulad) politik a prostředků (metod) kontroly se stanovenými cíli.
Kontrola by se měla zaměřit především na (1) dostupnost kontrol a jejich použití ke snížení rizik a (2) vyhodnocení účinnosti programu a politik informační bezpečnosti s cílem zlepšit porozumění uživateli a snížit výskyt incidentů. Tyto audity zahrnují testování kontrolních prostředků (metod), posouzení jejich souladu s politikami organizace, analýzu bezpečnostních incidentů a dalších ukazatelů účinnosti programu zabezpečení informací. Efektivitu vedoucího týmu lze hodnotit mimo jiné například na základě:
· počet uskutečněných školení a setkání;
· počet provedených hodnocení rizik (rizik);
· počet certifikovaných specialistů;
· absence incidentů, které komplikují práci zaměstnanců organizace;
· snížení počtu nových projektů realizovaných se zpožděním kvůli problémům s informační bezpečností;
· úplný soulad nebo dohodnuté a zaznamenané odchylky od minimálních požadavků na bezpečnost informací;
· snížení počtu incidentů, které k nim vedly neautorizovaný přístup ztrátu nebo zkreslení informací.
Kontroly jistě pomáhají přivést organizaci do souladu se zavedenými politikami zabezpečení informací, ale plného přínosu kontrol nebude dosaženo, pokud nebudou výsledky použity ke zlepšení programu zabezpečení informací. Kontrola kontroly poskytuje odborníkům na bezpečnost informací a obchodním manažerům prostředky k (1) přehodnocení dříve identifikovaných rizik, (2) identifikaci nových oblastí zájmu, (3) přehodnocení dostatečnosti a vhodnosti stávajících kontrol a vynucovacích opatření. bezpečnost informací, (4 ) identifikace potřeb nových prostředků a kontrolních mechanismů, (5) přesměrování kontrolního úsilí (kontrolní akce). Výsledky lze navíc použít k hodnocení výkonu obchodních manažerů odpovědných za pochopení a zmírnění rizik v obchodních jednotkách.
Je důležité zajistit, aby (1) odborníci na informační bezpečnost drželi krok s vývojem metod a nástrojů (aplikací) a měli nejnovější informace o zranitelnosti informačních systémů a aplikací, (2) vyšší vedení zajistilo, že mají k dispozici potřebné zdroje. tento.
Metody analýzy
PEST je zkratka čtyř anglických slov: P - Political-legal - politický a právní, E - Esopomis - ekonomický, S - Sociocultural - sociokulturní, T - Technologické síly - technologické faktory.
PEST analýza spočívá v identifikaci a posouzení vlivu makroprostředí na výsledky současných a budoucích aktivit podniku .
Existují čtyři skupiny faktorů, které jsou nejvýznamnější pro podnikovou strategii:
Politické a právní;
Hospodářský;
Sociokulturní;
Technologický.
Účelem PEST analýzy je sledovat (monitorovat) změny v makroprostředí ve čtyřech klíčových oblastech a identifikovat trendy a události, které nejsou pod kontrolou podniku, ale ovlivňují výsledky přijímaných strategických rozhodnutí.
Tabulka 1. Analýza PEST
| Politika | R | Ekonomika | E |
| 1. Stabilita vlády 2. Změny v legislativě 3. Vliv státu na odvětví 4. Státní regulace konkurence v průmyslu 5. Daňová politika | 1. obecné charakteristiky ekonomická situace (vzestup, stabilizace, pokles) 2. Kurz národní měny a refinanční kurz 3. Míra inflace 4. Míra nezaměstnanosti 5. Ceny energií | ||
| Společnost | S | Technika | T |
| 1. Demografické změny 2. Změny v příjmové struktuře 3. Postoj k práci a volnému času 4. Sociální mobilita obyvatelstva 5. Spotřebitelská aktivita | 1. Státní technická politika 2. Významné trendy ve VaV 3. Nové produkty (rychlost aktualizace a vývoje nových technologií) 4. Nové patenty |
Politický faktor vnější prostředí je studováno především proto, aby bylo jasné, jaké záměry státních orgánů s ohledem na rozvoj společnosti mají a jakým způsobem hodlá stát realizovat své politiky.
Analýza ekonomický aspekt vnější prostředí nám umožňuje porozumět tomu, jak se formují a rozdělují ekonomické zdroje na úrovni státu. Pro většinu podniků to tak je nejdůležitější podmínkou jejich obchodní činnost.
Studium sociální složka vnější prostředí je zaměřeno na pochopení a posouzení dopadu na podnikání takových společenských jevů, jako je postoj lidí ke kvalitě života, mobilita lidí, spotřebitelská aktivita atd.
Analýza technologická součást umožňuje předvídat příležitosti spojené s rozvojem vědy a techniky, včas se přizpůsobit výrobě a prodeji technologicky slibného produktu a předvídat okamžik opuštění použité technologie.
Postup provádění analýzy PE5T.
Rozlišují se následující fáze externí analýzy:
1. Vypracovává se seznam vnějších strategických faktorů, které mají vysokou pravděpodobnost realizace a dopad na fungování podniku.
2. Význam (pravděpodobnost výskytu) každé události pro tohoto podniku tím, že mu přiřadíme určitou váhu od jedné (hlavní) po nulu (nevýznamnou). Součet vah musí být roven jedné, což zajišťuje normalizace.
3. Uvádí se hodnocení míry vlivu každého faktoru-události na podnikovou strategii na 5bodové škále: „pět“ – silný dopad, vážné nebezpečí; „jeden“ – absence dopadu, ohrožení.
4. Vážená hodnocení se stanoví vynásobením váhy faktoru silou jeho dopadu a vypočítá se celkové vážené hodnocení pro daný podnik.
Celkové hodnocení udává stupeň připravenosti podniku reagovat na aktuální a předpokládané faktory prostředí.
Tabulka 2. Výsledky analýzy vnějších strategických faktorů
V v tomto případě skóre 3,05 ukazuje, že reakce podniku na strategické faktory životního prostředí je na průměrné úrovni.
Metoda SWOT používaná pro environmentální analýzu je široce uznávaným přístupem, který umožňuje společné studium vnějšího a vnitřního prostředí.
Pomocí metody SWOT analýzy je možné vytvořit komunikační linky mezi silnými a slabými stránkami, které jsou vlastní organizaci, a vnějšími hrozbami a příležitostmi. Metodika zahrnuje nejprve identifikaci silné a slabé stránky, a hrozby a příležitosti, a poté mezi nimi navázání řetězců spojení, které lze později použít k formulaci strategie organizace.
Thompson a Strickland navrhli následující přibližný soubor charakteristik, jejichž závěr by nám měl umožnit sestavit seznam slabých a silné stránky organizace a také seznam hrozeb a příležitostí pro ni ve vnějším prostředí.
Silné stránky:
Vynikající kompetence;
Přiměřené finanční zdroje;
vysoká kvalifikace;
Dobrá pověst mezi kupujícími;
Slavný vůdce trh;
Vynalézavý stratég ve funkčních oblastech organizace;
Možnost získání úspor ze zvýšeného objemu výroby;
Ochrana (alespoň někde) před silným konkurenčním tlakem;
Vhodná technologie;
Cenové výhody;
Soutěžní výhody;
Dostupnost inovačních schopností a možnost jejich realizace;
Řízení prověřené časem.
Slabé stránky:
Neexistují žádné jasné strategické směry;
Zhoršení konkurenční pozici;
Zastaralé vybavení;
Nižší ziskovost, protože...;
Nedostatek manažerského talentu a hloubky řešení problémů;
Nedostatek určitých typů klíčových kvalifikací a kompetencí;
Špatné sledování procesu implementace strategie;
Trpí vnitřními výrobními problémy;
Zranitelnost vůči konkurenčním tlakům;
Zaostávání ve výzkumu a vývoji;
Velmi úzká výrobní linka;
Špatné porozumění trhu;
Konkurenční nevýhody;
Podprůměrné marketingové dovednosti;
Nefinancování nezbytných změn ve strategii.
možnosti:
Vstup na nové trhy nebo segmenty trhu;
Rozšíření výrobní linky;
Zvýšená rozmanitost vzájemně souvisejících produktů;
Přidání souvisejících produktů;
Vertikální integrace;
Příležitost přejít do skupiny s lepší strategií;
Spokojenost mezi konkurenčními firmami;
Zrychlení růstu trhu.
Možnost vzniku nových konkurentů;
Zvýšení prodeje náhradního produktu;
Zpomalení růstu trhu;
Nepříznivá vládní politika;
Zvyšování konkurenčního tlaku;
Recese a odeznívání hospodářského cyklu;
Zvýšená vyjednávací síla mezi kupujícími a dodavateli;
Změna potřeb a vkusu zákazníků;
Nepříznivé demografické změny.
Podtitul: Metodika analýzy a konstrukce matice SWOT analýzy
Organizace může každou ze čtyř částí seznamu doplnit o ty charakteristiky vnějšího a vnitřního prostředí, které odrážejí konkrétní situaci, ve které se nachází.
Po konkrétní seznam Silné a slabé stránky organizace, stejně jako hrozby a příležitosti, byly vypracovány a začíná fáze navazování spojení mezi nimi. Pro navázání těchto spojení je sestavena SWOT matice, která má následující podobu (obr. 1).
Rýže. 1. Matice SWOT analýzy
Vlevo jsou zvýrazněny dva bloky (silné a slabé stránky), do kterých jsou zapsány všechny aspekty organizace identifikované v první fázi analýzy.
V horní části matice jsou také dva bloky (příležitosti a hrozby), do kterých se zapisují všechny identifikované příležitosti a hrozby. Na průsečíku bloků se vytvoří čtyři pole:
SIV (síla a schopnosti); SIS (moc a hrozby); SLV (slabost a příležitost); SLU (slabost a hrozby). V každé oblasti musí výzkumník zvážit všechny možné párové kombinace a zdůraznit ty, které by měly být brány v úvahu při vývoji strategie chování organizace.
Pro ty dvojice, které byly vybrány z oblasti SIV, by měla být vypracována strategie pro využití silných stránek organizace za účelem zhodnocení příležitostí, které se objevily ve vnějším prostředí.
Pro ty páry, které se ocitnou na poli SLV, by strategie měla být strukturována tak, aby se vzhledem k příležitostem, které se naskytly, snažily překonat slabiny v organizaci.
Pokud je pár na poli SIS, pak by strategie měla zahrnovat využití síly organizace k odstranění hrozby.
A konečně, pro páry v oblasti SLU musí organizace vyvinout strategii, která by jí umožnila zbavit se slabosti a pokusit se zabránit hrozbě, která se nad ní rýsuje.
Při vývoji strategií byste měli pamatovat na to, že příležitosti a hrozby se mohou změnit ve své protiklady. Nevyužitá příležitost se tak může stát hrozbou, pokud ji konkurent využije. Nebo naopak, úspěšně zabráněná hrozba může organizaci otevřít další příležitosti, pokud konkurenti nedokázali stejnou hrozbu eliminovat.
Podtitul: Sestavení matice „příležitostí“
Pro úspěšnou analýzu prostředí organizace pomocí SWOT analýzy je důležité nejen umět identifikovat hrozby a příležitosti, ale také je umět vyhodnotit z hlediska důležitosti a míry vlivu na strategii organizace.
K posouzení příležitostí se používá metoda k umístění každé konkrétní příležitosti do matice příležitostí (obr. 2).
Rýže. 2. Matice příležitostí
Matice je konstruována následovně:
– vodorovně shora je vykreslena míra vlivu příležitosti na činnost organizace (silná, střední, malá);
– svisle vlevo je pravděpodobnost, že organizace bude schopna využít příležitosti (vysoká, střední, nízká).
Devět polí možností získaných uvnitř matice má jiný význam pro organizaci.
Příležitosti spadající do oborů BC, B, U a SS mají pro organizaci velký význam a je třeba je využít.
Příležitosti, které spadají do oblastí SM, NU a NM, si prakticky nezaslouží pozornost organizace.
Podtitul: Budování matice „hrozeb“.
Podobná matice je sestavena pro hodnocení hrozeb (obr. 3):
– jsou rozloženy vodorovně shora možné následky pro organizaci, ke kterému může realizace ohrožení vést (destrukce, kritický stav, vážný stav, „drobné modřiny“).
– svisle vlevo je pravděpodobnost, že bude hrozba realizována (vysoká, střední, nízká).
Rýže. 3. Matice hrozeb
Ty hrozby, které spadají do oblastí VR, VC a SR, představují pro organizaci velmi velké nebezpečí a vyžadují okamžitou a povinnou eliminaci.
Hrozby, které se dostaly do oblasti VT, SC a HP, musí být i v zorném poli vrcholového managementu a musí být přednostně eliminovány.
U hrozeb lokalizovaných v oborech NK, ST a VL je nutný pečlivý a zodpovědný přístup k jejich eliminaci. I když úkol nejprve je odstranit není stanoven. Hrozby, které spadají do zbývajících oblastí, by také neměly zmizet z dohledu vedení organizace. Jejich vývoj musí být pečlivě sledován.
Podtitul: Environmentální profilování
Spolu s metodami pro studium hrozeb, příležitostí, silných a slabých stránek organizace lze metodu profilování organizace použít k analýze prostředí. Tuto metodu je vhodné použít k oddělenému profilování makroprostředí, bezprostředního prostředí a vnitřního prostředí. Pomocí metody environmentálního profilování je možné posoudit relativní význam jednotlivých faktorů prostředí pro organizaci.
Způsob sestavení environmentálního profilu je následující. Jednotlivé faktory prostředí jsou uvedeny v tabulce profilu prostředí (obr. 4). Každý faktor je posouzen odborníkem:
Význam pro průmysl na stupnici: 3 – velký, 2 – střední, 1 – slabý;
Dopad na organizaci na škále: 3 – silný, 2 – střední, 1 – slabý, 0 – žádný vliv;
Směry vlivu na stupnici: +1 – pozitivní, -1 – negativní.
Rýže. 4. Tabulka profilu prostředí
Dále se vynásobí všechna tři expertní hodnocení a získá se integrální hodnocení, které ukazuje míru důležitosti faktoru pro organizaci. Z tohoto hodnocení může management usoudit, které faktory prostředí jsou pro jejich organizaci relativně důležitější, a proto si zaslouží nejvážnější pozornost, a které faktory si zaslouží menší pozornost.
Environmentální analýza je velmi důležitá pro rozvoj strategie organizace a velmi komplexního procesu, který vyžaduje pečlivé sledování procesů probíhajících v prostředí, posuzování faktorů a vytváření spojení mezi faktory a těmi silnými a silnými. slabé stránky organizace, stejně jako příležitosti a hrozby, které existují ve vnějším prostředí.
Je zřejmé, že bez znalosti prostředí nemůže organizace existovat. Neplave však kolem jako loďka bez kormidla, vesel nebo plachty. Organizace zkoumá své prostředí, aby zajistila úspěšný pokrok směrem ke svým cílům. Ve struktuře procesu strategického řízení proto po environmentální analýze následuje stanovení poslání a cílů organizace.
9.3. Životní cyklus produktu/služby
Jakýkoli produkt (služba) prochází svým životním cyklem od vzniku (uvedení na trh) až po ukončení (uvolnění posledního vzorku).
Lze rozlišit následující hlavní fáze životní cyklus(obr. 5):
Rýže. 5. Typický životní cyklus produktu v průběhu času
BCG Matrix
Nejoblíbenějším postupem pro analýzu pozice společnosti na trhu je konstrukce portfoliových matic. Typicky jsou takové matice konstruovány na základě několika strategicky důležitých proměnných, jako je míra růstu odvětví, velikost trhu, dlouhodobá atraktivita odvětví, konkurenční postavení atd. Takovéto dvourozměrné matice jsou relativně jednoduché a poskytují přehledný trh. životní prostředí. Nejpoužívanější matice jsou BCG (BCG - Boston Consulting Group) a General Electric.
Boston Matrix je založen na modelu životního cyklu produktu, podle kterého produkt prochází čtyřmi fázemi svého vývoje: vstup na trh (produkt „divoké kočky“), růst („hvězdný“ produkt) a zralost (tzv. „dojná kráva“ produkt).“) a pokles (produkt – „pes“).
Pro hodnocení konkurenceschopnosti jednotlivých typů podnikání se používají dvě kritéria: tempo růstu průmyslového trhu; relativní podíl na trhu.
Tempo růstu trhu je definováno jako vážený průměr tempo růstu různých tržních segmentů, ve kterých podnik působí, nebo je považováno za rovné tempu růstu hrubého národního produktu. Míra růstu odvětví o 10 % nebo více se považuje za vysoká.
Relativní podíl na trhu se určuje vydělením tržního podílu daného podniku podílem největšího konkurenta na trhu.
Rýže. 6. BCG matice pro hypotetickou společnost
Hodnota podílu na trhu 1 odděluje produkty vedoucí na trhu od následovníků. Typy podnikání (jednotlivé produkty) se tedy dělí do čtyř různých skupin (obr. 6).
Matice BCG je založena na dvou předpokladech:
1. Podnik s významným podílem na trhu získává v důsledku účinku konkurenční výhodu z hlediska výrobních nákladů. Z toho vyplývá, že největší konkurent má nejvyšší ziskovost při prodeji za tržní ceny a finanční toky jsou pro něj maximální.
2. Přítomnost na rostoucím trhu znamená zvýšenou potřebu finančních zdrojů pro jeho rozvoj, tzn. renovace a rozšíření výroby, intenzivní reklama atp. Pokud je míra růstu trhu nízká, jako například vyspělý trh, pak produkt nevyžaduje významné financování.
V případě, že jsou splněny obě hypotézy, lze rozlišit čtyři skupiny produktových trhů odpovídající různým prioritním strategickým cílům a finančním potřebám:
Divoké kočky (vysoký růst/nízký podíl): Produkty v této skupině mohou být velmi slibné, protože trh expanduje, ale k udržení růstu vyžadují značný kapitál. Ve vztahu k této skupině produktů je nutné se rozhodnout: zvýšit tržní podíl těchto produktů nebo zastavit jejich financování.
Hvězdy (rychlý růst/vysoký podíl) jsou lídry na trhu. Díky své konkurenceschopnosti generují značné zisky, ale také vyžadují financování k udržení vysokého podílu na dynamickém trhu.
Dojné krávy (pomalý růst/vysoký podíl): Produkty, které mohou generovat větší zisk, než je nutné k podpoře jejich růstu. Jsou hlavním zdrojem finančních prostředků pro diverzifikaci a vědecký výzkum. Prioritním strategickým cílem je „sklizeň“.
"Psi" (pomalý růst/nízký podíl) jsou produkty, které jsou v nevýhodě z hlediska nákladů a nemají prostor pro růst. Zachování takového zboží s sebou nese značné finanční náklady s malou šancí na zlepšení situace. Prioritní strategií je ztráta investic a skromné bydlení.
V ideálním případě by vyvážené produktové portfolio podniku mělo zahrnovat:
2-3 produkty jsou „krávy“, 1-2 jsou „hvězdy“, několik „koček“ jako základ pro budoucnost a možná malý počet produktů jsou „psi“. Přemíra stárnoucího zboží („psi“) ukazuje na nebezpečí recese, i když je současná výkonnost firmy relativně dobrá. Nadměrná nabídka nových produktů může vést k finančním potížím.
V dynamickém podnikovém portfoliu se rozlišují následující vývojové trajektorie (scénáře) (obr. 7).
Rýže. 7. Hlavní scénáře vývoje
"Trajektorie produktu". Investicí do prostředků na výzkum a vývoj získaných od „dojných krav“ vstupuje společnost na trh se zásadně novým produktem, který nahrazuje hvězdu.
"Sledovat trajektorii". Prostředky od „dojných krav“ jsou investovány do produktu – „kočky“, na jehož trhu dominuje lídr. Společnost dodržuje agresivní strategii zvyšování podílu na trhu a „kočičí“ produkt se stává „hvězdou“.
"Trajektorie selhání" V důsledku nedostatečných investic ztrácí hvězdicový produkt své vedoucí postavení na trhu a stává se „kočičím“ produktem.
"Dráha průměrnosti." „Kočičí“ produkt nezvýší svůj podíl na trhu a přechází do další fáze („psí“ produkt).
Anotace: Přednáška poskytuje podrobnou definici informační bezpečnosti a pojednává o aspektech řízení rizik. Je popsán model zabezpečení s úplným překrytím.
Úvod
Cílem tohoto předmětu je studium moderních technik pro analýzu a řízení rizik spojených s informační bezpečností (IS). Vzhledem k tomu, že proces řízení rizik může zahrnovat zavádění specifických prostředků a mechanismů ochrany, je praktická část kurzu zaměřena na Řízení rizik v systémech založených na operačních systémech (OS) rodiny Microsoft Windows.
Riziko v oblasti informační bezpečnosti budeme hovořit o potenciální příležitosti ke ztrátám v důsledku narušení bezpečnosti informačního systému (IS). Pojem riziko je často zaměňován s pojmem ohrožení.
Ohrožení bezpečnosti informací se vztahuje na potenciální incident, ať už úmyslný nebo ne, který by mohl mít nežádoucí vliv na počítačový systém a informace v něm uložené a zpracovávané.
zranitelnost IP- to je nějaká nešťastná vlastnost, která umožňuje vznik hrozby. Zranitelností je nedostatečné zabezpečení a/nebo některé chyby v systému, stejně jako přítomnost tajných vstupů do systému, které zanechali vývojáři tohoto systému při jeho ladění a konfiguraci.
To, co odlišuje riziko od hrozby, je přítomnost kvantitativního posouzení možných ztrát a (možná) posouzení pravděpodobnosti výskytu hrozby.
Pojďme ale zjistit, proč je nutné studovat rizika v oblasti informační bezpečnosti a co to může dát při vývoji systému informační bezpečnosti pro informační bezpečnost. U každého projektu, který vyžaduje finanční náklady na jeho realizaci, je nanejvýš žádoucí si v počáteční fázi stanovit, co budeme považovat za známku dokončení díla a jak budeme hodnotit výsledky projektu. U úkolů souvisejících s informační bezpečností je to více než relevantní.
V praxi se nejčastěji používají dva přístupy k odůvodnění návrhu bezpečnostního subsystému.
První z nich je založen na kontrole souladu úrovně zabezpečení IP s požadavky některého ze standardů v oblasti informační bezpečnosti. Může to být bezpečnostní třída v souladu s požadavky řídících dokumentů Státní technické komise Ruské federace (nyní FSTEC Ruska), ochranný profil vyvinutý v souladu s normou ISO-15408 nebo jiný soubor požadavků. . Pak je kritériem pro dosažení bezpečnostního cíle splnění daného souboru požadavků. Výkonnostní kritérium- minimální celkové náklady na splnění stanovených funkčních požadavků: kde c i jsou náklady na i-tý prostředek ochrany.
Hlavní nevýhodou tohoto přístupu je, že v případě, kdy není přesně specifikována požadovaná úroveň zabezpečení (např. zákonnými požadavky), je poměrně obtížné určit „nejefektivnější“ úroveň zabezpečení IP.
Druhý přístup k budování systému informační bezpečnosti souvisí s hodnocením a řízením rizik. Původně vycházel z principu „přiměřené dostatečnosti“ uplatňovaného v oblasti informační bezpečnosti. Tento princip lze popsat následující sadou příkazů:
- je nemožné vytvořit absolutně nepřekonatelnou obranu;
- je nutné zachovat rovnováhu mezi náklady na ochranu a výsledným efektem vč. a ekonomický, který spočívá ve snižování ztrát z narušení bezpečnosti;
- náklady na ochranné prostředky by neměly přesáhnout náklady na chráněné informace (nebo jiné zdroje – hardware, software);
- náklady porušovatele za neoprávněný přístup (UNA) k informacím musí přesáhnout účinek, který takový přístup získá.
Ale vraťme se k rizikům. V tomto případě s ohledem na IP původní stav, odhadujeme velikost očekávaných ztrát z incidentů souvisejících s informační bezpečností (obvykle se bere určité časové období, např. rok). Poté se provede posouzení toho, jak navrhované bezpečnostní kontroly a opatření ovlivňují snižování rizik a kolik stojí. Pokud si představíme nějakou ideální situaci, představa přístupu se odráží v grafu níže (obr. 1.1).
Jak rostou náklady na obranu, velikost očekávaných ztrát klesá. Pokud mají obě funkce podobu zobrazenou na obrázku, můžeme určit minimum funkce „Očekávané celkové náklady“, což je to, co potřebujeme.
Bohužel v praxi není možné určit přesný vztah mezi náklady a mírou zabezpečení analytická metoda uvedené definice minimálních nákladů nejsou použitelné.
Abychom přešli k úvahám o otázkách popisu rizika, uvedeme ještě jednu definici. Zdroj nebo aktivum budeme volat pojmenovaný prvek IP, který má (materiální) hodnotu a podléhá ochraně.
Potom lze riziko identifikovat pomocí následující sady parametrů:
- hrozba, jejíž případná realizace toto riziko způsobuje;
- zdroj, proti kterému lze tuto hrozbu implementovat (zdroj může být informační, hardwarový, softwarový atd.);
- zranitelnost, jejímž prostřednictvím lze danou hrozbu implementovat ve vztahu k danému zdroji.
Je také důležité určit, jak poznáme, že došlo k nechtěné události. V procesu popisu rizik jsou proto obvykle indikovány i události - "spouštěče", což jsou identifikátory rizik, která se vyskytla nebo se brzy očekává, že se vyskytnou (například prodloužení doby odezvy webového serveru může naznačovat, že je na něm prováděn jeden z typů útoků odmítnutí služby).
Na základě výše uvedeného je v procesu hodnocení rizik nutné odhadnout náklady na škody a četnost výskytu nežádoucích událostí a pravděpodobnost, že taková událost způsobí poškození zdroje.
Výše škody z implementace hrozby pro zdroj závisí na:
- Z hodnoty zdroje, který je ohrožen.
- Na míře destruktivnosti dopadu na zdroj, vyjádřené jako koeficient destruktivity. Uvedený koeficient je zpravidla v rozmezí od 0 do 1.
Získáme tak odhad, který lze reprezentovat jako produkt:
(Náklady na zdroje)* (Koeficient destruktivity).
Dále je nutné odhadnout četnost výskytu dané nežádoucí události (po určitou pevně stanovenou dobu) a pravděpodobnost úspěšné realizace hrozby. V důsledku toho lze náklady na riziko vypočítat pomocí vzorce:
(Frekvence)*(Pravděpodobnost)*(Náklady na zdroje)*(Koeficient destruktivity).
Přibližně tento vzorec se používá v mnoha technikách analýzy rizik, z nichž některé budou diskutovány dále. Předpokládaná škoda je porovnána s náklady na ochranná opatření a následně je rozhodnuto o tomto riziku. Může být:
- snížena (např. zavedením ochranných prostředků a mechanismů, které snižují pravděpodobnost výskytu hrozby nebo koeficient destruktivity);
- vyloučeno (odmítnutím použít ohrožený zdroj);
- převedeny (například pojištěné, v důsledku čehož v případě ohrožení bezpečnosti ponesou ztráty Pojišťovna, nikoli vlastník IP);
- přijato.
Řízení rizik. Bezpečnostní model s úplným překrytím
Nápady na řízení rizik z velké části vycházejí z modelu zabezpečení plného překrývání vyvinutého v 70. letech.
Model bezpečnostního systému s úplným přesahem je založen na postulátu, že bezpečnostní systém musí mít alespoň jeden prostředek k zajištění bezpečnosti na každé možné cestě vlivu narušitele na IP.
Model přesně určuje každou oblast, která potřebuje ochranu, vyhodnocuje bezpečnostní kontroly na základě jejich účinnosti a jejich příspěvku k bezpečnosti v celém výpočetním systému.
Rýže. 1.2. Bipartitní graf "hrozba-objekt".
Rýže. 1.3. Tripartitní graf "hrozba - bezpečnostní opatření - objekt".
Má se za to, že neoprávněný přístup ke každému ze souboru chráněných objektů (zdrojů IP) je pro vlastníka IP spojen s určitou „výškou škody“ a tato škoda může být vyčíslena.
Každý objekt, který vyžaduje ochranu, je spojen s určitým souborem akcí, ke kterým se může narušitel uchýlit k získání neoprávněného přístupu k objektu. Potenciální škodlivé akce ve vztahu ke všem objektům tvoří soubor hrozeb IS. Každý prvek sady hrozeb je charakterizován svou pravděpodobností výskytu.
Množina vztahů „objekt-hrozba“ tvoří bipartitní graf (obr. 1.2), ve kterém hrana (t i,о j) existuje právě tehdy, je-li t i prostředkem k získání přístupu k objektu oj. Je třeba poznamenat, že vztah mezi hrozbami a objekty není vztahem jedna ku jedné – hrozba se může rozšířit na libovolný počet objektů a objekt může být zranitelný vůči více než jedné hrozbě. Cílem ochrany je „zablokovat“ každou hranu daného grafu a postavit bariéru pro přístup k t i ,m k ) a (m k ,o j ). Libovolný okraj formuláře (t i,o j) definuje nechráněný objekt. Je třeba poznamenat, že stejný bezpečnostní nástroj může čelit implementaci více než jedné hrozby a (nebo) chránit více než jeden objekt. Absence hrany (ti,oj) nezaručuje úplnou bezpečnost (ačkoli přítomnost takové hrany poskytuje možnost neoprávněného přístupu, s výjimkou případu, kdy je pravděpodobnost výskytu ti nulová).
Další zvážení zahrnuje množinově teoretický model chráněný systém - bezpečnostní systém Clements. Popisuje systém jako pětinásobnou množinu S=(O,T,M,V,B), kde O je množina chráněných objektů; T - soubor hrozeb; M - sada bezpečnostních nástrojů; V - množina zranitelností - mapování TxO na množinu uspořádaných dvojic V i =(t i ,o j) , představujících cesty průniku do systému; B - množina bariér - zobrazení VxM nebo TxOxM na množinu uspořádaných trojic b i =(t i ,o j ,m k) představujících body, ve kterých je v systému vyžadována ochrana.
Kompletní překrývající systém je tedy systém, který má ochranu pro každý z nich možný způsob penetrace. Pokud v takovém systému 
, Že 
.
Model celoplošného bezpečnostního systému popisuje požadavky na složení bezpečnostního subsystému IS. Neřeší však otázku nákladů na realizované prostředky ochrany a vztahu mezi náklady na ochranu a výsledným efektem. Kromě toho může být v praxi poměrně obtížné určit úplnou sadu „vstupních cest“ do systému. To, jak plně je tato sada popsána, určuje, jak adekvátní bude získaný výsledek reálná situace podnikání
V současné době se pro hodnocení a řízení informačních rizik společností používají různé metody. Hodnocení informačních rizik společnosti lze provést v souladu s následujícím plánem:
1) Identifikace a kvantitativní hodnocení informačních zdrojů společnosti, které jsou významné pro podnikání.
2) Posouzení možných hrozeb.
3) Posouzení existujících zranitelností.
4) Hodnocení účinnosti prostředků informační bezpečnosti.
Předpokládá se, že kriticky zranitelné informační zdroje společnosti jsou ohroženy, pokud proti nim existují nějaké hrozby. Jinými slovy, rizika charakterizují nebezpečí, které může ohrozit součásti podnikového informačního systému. Informační rizika společnosti zároveň závisí na:
Ukazatele hodnoty informačních zdrojů;
Pravděpodobnost ohrožení zdrojů;
Efektivita stávajících nebo plánovaných prostředků informační bezpečnosti.
Účelem hodnocení rizik je určit rizikové charakteristiky podnikového informačního systému a jeho zdrojů. Po vyhodnocení rizik můžete vybrat nástroje, které poskytují společnosti požadovanou úroveň informační bezpečnosti. Při hodnocení rizik se berou v úvahu faktory, jako je hodnota zdrojů, významnost hrozeb a zranitelností a účinnost existujících a plánovaných prostředků ochrany. Možnost implementace hrozby pro určitý podnikový zdroj se posuzuje podle pravděpodobnosti její implementace v daném časovém období. V tomto případě je pravděpodobnost, že se hrozba uskuteční, určena následujícími hlavními faktory:
Atraktivita zdroje (vzato v úvahu při zvažování hrozby záměrným vlivem člověka);
Schopnost využívat zdroj k vytváření příjmů (také v případě ohrožení úmyslným vlivem člověka);
Technické schopnosti realizovat hrozbu s úmyslným vlivem člověka;
Míra, s jakou lze zranitelnost zneužít.
V současné době je řízení informačních rizik jednou z nejrelevantnějších a nejdynamičtěji se rozvíjejících oblastí strategického a operativního řízení v oblasti informační bezpečnosti. Jeho hlavním úkolem je objektivně identifikovat a vyhodnotit nejvýznamnější rizika obchodních informací společnosti a také přiměřenost řízení rizik používaných ke zvýšení efektivity a ziskovosti ekonomických aktivit společnosti. Pojem „řízení informačních rizik“ proto obvykle označuje systematický proces identifikace, kontroly a snižování informačních rizik společností v souladu s určitými omezeními ruského regulačního rámce v oblasti ochrany informací a jejich vlastní podnikové bezpečnostní politiky. Předpokládá se, že vysoce kvalitní řízení rizik umožňuje používat kontroly rizik a opatření pro bezpečnost informací, které jsou optimální z hlediska efektivity a nákladů a jsou adekvátní aktuálním cílům a záměrům podnikání společnosti.
Není žádným tajemstvím, že dnes plošně roste závislost úspěšných obchodních aktivit tuzemských firem na používaných organizačních opatřeních a technických prostředcích kontroly a snižování rizik. Pro efektivní řízení informačních rizik byly vyvinuty speciální metody, např. metody mezinárodních norem ISO 15408, ISO 17799 (BS7799), BSI; stejně jako národní normy NIST 80030, SAC, COSO, SAS 55/78 a některé další jim podobné. V souladu s těmito metodami řízení informačních rizik jakékoli společnosti předpokládá následující. Za prvé, definování hlavních cílů a cílů ochrany informačních aktiv společnosti. Za druhé vytvoření efektivního systému pro hodnocení a řízení informačních rizik. Za třetí, výpočet souboru podrobných, nejen kvalitativních, ale i kvantitativních hodnocení rizik, která jsou adekvátní stanoveným obchodním cílům. Za čtvrté, použití speciálních nástrojů pro hodnocení a řízení rizik.
Techniky řízení rizik kvality
Vysoce kvalitní techniky řízení rizik byly přijaty v technologicky vyspělých zemích velkou armádou interních a externích IT auditorů. Tyto techniky jsou poměrně populární a relativně jednoduché a jsou vyvíjeny zpravidla na základě požadavků mezinárodní normy ISO 177992002.
Norma ISO 17799 obsahuje dvě části.
V části 1: Praktická doporučení o managementu bezpečnosti informací, 2002, jsou identifikovány hlavní aspekty organizace režimu bezpečnosti informací ve společnosti: Bezpečnostní politika. Organizace ochrany. Klasifikace a správa informačních zdrojů. Personální management. Fyzická bezpečnost. Správa počítačových systémů a sítí. Řízení přístupu do systému. Vývoj a údržba systémů. Plánování plynulého chodu organizace. Kontrola souladu systému s požadavky na bezpečnost informací.
Část 2: Specifikace, 2002, zkoumá tyto stejné aspekty z hlediska certifikace režimu podnikové bezpečnosti informací pro shodu s požadavky normy. Z praktického hlediska je tato část nástrojem pro IT auditora a umožňuje rychle provést interní nebo externí audit informační bezpečnosti jakékoli společnosti.
Mezi metody řízení rizik kvality založené na požadavcích ISO 17999 patří metody COBRA a RA Software Tool. Podívejme se krátce na tyto techniky.
Tato technika umožňuje automaticky provádět nejjednodušší verzi hodnocení informačních rizik jakékoli společnosti. K tomu se navrhuje využít speciální elektronické znalostní báze a postupy logického vyvozování zaměřené na požadavky ISO 17799. Je důležité, aby v případě potřeby mohl být seznam zohledněných požadavků doplněn o různé požadavky tuzemských regulačních orgánů , například požadavky řídících dokumentů (RD) Státní technické komise pod vedením prezidenta Ruské federace.
Metodika COBRA prezentuje požadavky normy ISO 17799 ve formě tematických dotazníků (kontrolních seznamů), které by měly být zodpovězeny při hodnocení rizik informačních aktiv společnosti a elektronických obchodních transakcí ( rýže. 1. - Ukázka tematické sbírky otázek COBRA). Dále jsou zadané odpovědi automaticky zpracovány a pomocí příslušných logických inferenčních pravidel je vygenerována závěrečná zpráva s aktuálním vyhodnocením informačních rizik společnosti a doporučeními pro jejich řízení.
Softwarový nástroj RA
Metodika a stejnojmenný softwarový nástroj RA ( rýže. 2. - Hlavní moduly metodiky RA Software Tool) vycházejí z požadavků mezinárodních norem ISO 17999 a ISO 13335 (části 3 a 4), jakož i z požadavků některých směrnic British Standards Institute (BSI), například PD 3002 (Guide to Risk Assessment and Management) , PD 3003 (společnosti hodnotící připravenost k auditu v souladu s BS 7799), PD 3005 (Průvodce výběrem bezpečnostních systémů) atd.
Tato metodika umožňuje provádět hodnocení informačních rizik (moduly 4 a 5) v souladu s požadavky normy ISO 17799 a volitelně v souladu s podrobnějšími specifikacemi příručky British Standards Institution PD 3002.
Techniky kvantitativního řízení rizik
Druhou skupinu technik řízení rizik tvoří kvantitativní techniky, jejichž relevance je dána potřebou řešit různé optimalizační problémy, které často vznikají v reálný život. Podstata těchto problémů spočívá v nalezení jediného optimálního řešení z mnoha existujících. Je třeba si například zodpovědět následující otázky: „Jak, při zachování schváleného ročního (čtvrtletního) rozpočtu na informační bezpečnost, můžeme dosáhnout maximální úrovně zabezpečení informačních aktiv společnosti? nebo „Kterou z alternativ pro budování ochrany firemních informací (zabezpečené WWW stránky nebo firemní e-mail) bych si měl vybrat s ohledem na známá omezení obchodních zdrojů společnosti? K řešení těchto problémů jsou vyvíjeny metody a techniky pro kvantitativní hodnocení a řízení rizik založené na strukturálních a méně často objektově orientovaných metodách systémové analýzy a návrhu (SSADM - Structured Systems Analysis and Design). V praxi vám takové techniky řízení rizik umožňují: Vytvářet modely informačních aktiv společnosti z hlediska bezpečnosti; Klasifikovat a vyhodnocovat hodnoty aktiv; Sestavte seznamy nejvýznamnějších bezpečnostních hrozeb a zranitelností; Hodnotit bezpečnostní hrozby a zranitelnosti; Zdůvodněte prostředky a opatření kontroly rizik; Vyhodnoťte efektivitu/náklady různých možností ochrany; Formalizovat a automatizovat postupy hodnocení a řízení rizik.
Jednou z nejznámějších technik této třídy je technika CRAMM.
Nejprve byla vytvořena metoda a následně stejnojmenná technika CRAMM (Risk Analysis and Control), která splňuje požadavky CCTA. Poté se objevilo několik verzí metodiky zaměřené na požadavky různých vládních a komerčních organizací a struktur. Jedna verze „komerčního profilu“ se rozšířila na trhu informační bezpečnosti.
Hlavní cíle metodiky CRAMM jsou: Formalizace a automatizace analýzy rizik a postupů řízení; Optimalizace nákladů na řídicí a ochranná zařízení; Komplexní plánování a řízení rizik ve všech fázích životního cyklu informačních systémů; Snížení času na vývoj a údržbu podnikového informačního bezpečnostního systému; Odůvodnění účinnosti navrhovaných ochranných opatření a kontrol; Řízení změn a incidentů; Podpora kontinuity podnikání; Rychlé rozhodování o otázkách řízení bezpečnosti atd.
Řízení rizik v metodice CRAMM probíhá v několika fázích (obr. 3).
V první fázi iniciace - „Initiation“ - jsou stanoveny hranice studovaného informačního systému společnosti, složení a struktura jeho hlavních informačních aktiv a transakcí.
Ve fázi identifikace a oceňování zdrojů – „Identifikace a oceňování aktiv“ – jsou aktiva jasně identifikována a je stanovena jejich hodnota. Výpočet nákladů na informační aktiva umožňuje jednoznačně určit potřebu a dostatečnost navržených prostředků kontroly a ochrany.
Ve fázi hodnocení hrozeb a zranitelností – „Hodnocení hrozeb a zranitelností“ – jsou identifikovány a posouzeny hrozby a zranitelnosti informačních aktiv společnosti.
Fáze analýzy rizik – „Analýza rizik“ – vám umožňuje získat kvalitativní a kvantitativní hodnocení rizik.
Ve fázi řízení rizik – „Řízení rizik“ – jsou navržena opatření a prostředky ke snížení nebo zamezení rizika.
Podívejme se na možnosti CRAMM pomocí následujícího příkladu. Nechte si posoudit informační rizika následujícího podnikového informačního systému (obr. 4).
V tomto diagramu podmínečně zvýrazníme následující prvky systému: pracovní stanice, kam operátoři zadávají informace přicházející z vnějšího světa; poštovní server, na který jsou přijímány informace ze vzdálených síťových uzlů přes internet; zpracovatelský server, na kterém je nainstalován DBMS; záložní server; pracoviště týmu rychlé reakce; pracoviště bezpečnostního správce; pracoviště správce databáze.
Systém funguje následovně. Data zadaná z uživatelských pracovních stanic a přijatá na poštovním serveru jsou odeslána na podnikový server pro zpracování dat. Poté data putují na pracoviště operativního týmu a tam se přijímají příslušná rozhodnutí.
Pojďme nyní provést analýzu rizik pomocí techniky CRAMM a navrhnout některé prostředky kontroly a řízení rizik, které jsou adekvátní cílům a záměrům podnikání společnosti.
Vymezení hranic studia. Etapa začíná řešením problému stanovení hranic zkoumaného systému. Za tímto účelem se shromažďují následující informace: osoby odpovědné za fyzické a softwarové zdroje; kdo jsou uživatelé a jak uživatelé používají nebo budou používat systém; konfigurace systému. Primární informace se shromažďují prostřednictvím rozhovorů s projektovými manažery, manažery uživatelů nebo jinými zaměstnanci.
Identifikace zdrojů a konstrukce modelu systému z hlediska bezpečnosti informací. Provádí se identifikace zdrojů: materiálu, softwaru a informací obsažených v hranicích systému. Každý zdroj musí být přiřazen do jedné z předdefinovaných tříd. Klasifikace fyzických zdrojů je uvedena v příloze. Následně je postaven model informačního systému z hlediska bezpečnosti informací. Pro každý informační proces, který má z pohledu uživatele nezávislý význam a nazývá se uživatelská služba (EndUserService), je sestaven strom propojení používaných zdrojů. V uvažovaném příkladu bude jediná podobná služba (obr. 5). Vytvořený model nám umožňuje identifikovat kritické prvky.
Hodnota zdrojů. Tato technika umožňuje určit hodnotu zdrojů. Tento krok je povinný při úplné analýze rizik. Hodnota fyzických zdrojů v tato metoda určuje náklady na jejich obnovu v případě zničení. Hodnota dat a softwaru se určuje v následujících situacích: nedostupnost zdrojů po určitou dobu; zničení zdrojů - ztráta informací získaných od poslední zálohy nebo její úplné zničení; porušení mlčenlivosti v případech neoprávněného přístupu ze strany zaměstnanců popř neoprávněným osobám; úprava je zvažována pro případy drobných personálních chyb (chyby ve vstupu), chyby softwaru, úmyslné chyby; chyby spojené s přenosem informací: odmítnutí doručení, nedoručení informace, doručení na špatnou adresu. Pro posouzení možných škod se navrhuje použít tato kritéria: poškození dobrého jména organizace; porušení platné legislativy; poškození zdraví personálu; škody spojené se zveřejněním osobních údajů fyzických osob; finanční ztráty z prozrazení informací; finanční ztráty spojené s obnovou zdrojů; ztráty spojené s neschopností plnit závazky; dezorganizace činností.
Daný soubor kritérií je použit v komerční verzi metody (Standardní profil). Jiné verze budou mít jiný mix, například vládní verze přidá rozměry, které odrážejí oblasti, jako je národní bezpečnost a mezinárodní záležitosti.
Pro data a software se vyberou kritéria použitelná pro daný IS a poškození se posoudí na stupnici s hodnotami od 1 do 10.
Pokud například data obsahují podrobnosti o obchodně důvěrných (kritických) informacích, odborník provádějící výzkum si položí otázku: jak by mohl neoprávněný přístup k těmto informacím neoprávněnými osobami ovlivnit organizaci?
Možná odpověď zní: selhání několika výše uvedených parametrů, každý aspekt by měl být zvážen podrobněji a mělo by být přiděleno nejvyšší možné hodnocení.
Poté jsou vyvinuty stupnice pro zvolený systém parametrů. Mohou vypadat takto.
Poškození dobrého jména organizace: 2 - negativní reakce jednotlivých funkcionářů, veřejně činných osob; 4 - kritika v médiích, která nemá širokou odezvu veřejnosti; 6 - negativní reakce jednotlivých poslanců Dumy, Rada federace; 8 - kritika v médiích, která má důsledky v podobě velkých skandálů, parlamentních slyšení, rozsáhlých kontrol atd.; 10 - negativní reakce na úrovni prezidenta a vlády.
Škody na zdraví personálu: 2 - minimální škody (následky nejsou spojeny s hospitalizací nebo dlouhodobou léčbou); 4 - středně velké škody (léčba je nutná pro jednoho nebo více zaměstnanců, ale nedochází k dlouhodobým negativním následkům); 6 - závažné následky (dlouhodobá hospitalizace, invalidita jednoho nebo více zaměstnanců); 10 - ztráty na životech.
Finanční ztráty spojené s obnovou zdrojů: 2 – méně než 1000 $; 6 - od $ 1000 do $ 10 000; 8 - od 10 000 USD do 100 000 USD; 10 – přes 100 000 $.
Dezorganizace činností z důvodu nedostupnosti dat: 2 - nedostatečný přístup k informacím po dobu až 15 minut; 4 - nedostatek přístupu k informacím po dobu až 1 hodiny; 6 - nedostatek přístupu k informacím po dobu až 3 hodin; 8 - nedostatek přístupu k informacím po dobu 12 hodin; 10 - nedostatek přístupu k informacím déle než jeden den.
V této fázi lze připravit několik typů reportů (systémové hranice, model, stanovení hodnoty zdrojů). Pokud jsou hodnoty zdrojů nízké, lze použít základní možnost ochrany. V tomto případě může výzkumník přejít z této fáze přímo do fáze analýzy rizik. Přiměřeně zohlednit potenciální dopad jakékoli hrozby, zranitelnosti nebo kombinace hrozeb a zranitelností, které vysoké úrovně, měla by být použita zkrácená verze fáze posouzení hrozeb a zranitelnosti. To nám umožňuje vyvinout efektivnější systém ochrany firemních informací.
Ve fázi hodnocení hrozeb a zranitelností se posuzují závislosti uživatelských služeb na určitých skupinách zdrojů a stávající úroveň hrozeb a zranitelností.
Dále jsou aktiva společnosti seskupena z hlediska hrozeb a zranitelností, např. v případě hrozby požáru nebo krádeže je rozumné považovat všechny zdroje umístěné na jednom místě (serverovna, komunikační místnost atd.) za skupina zdrojů.
Hodnocení úrovní hrozeb a zranitelností přitom může být provedeno na základě nepřímých faktorů nebo na základě přímých odborných posouzení. V prvním případě software CRAMM vygeneruje pro každou skupinu zdrojů a pro každý z nich seznam otázek, na které lze jednoznačně odpovědět ( rýže. 8. -Posouzení úrovně bezpečnostní hrozby na základě nepřímých faktorů).
Úroveň ohrožení je v závislosti na odpovědích hodnocena jako: velmi vysoká; vysoký; průměrný; krátký; velmi nízký.
Úroveň zranitelnosti je v závislosti na odpovědích hodnocena jako: vysoká; průměrný; krátký; nepřítomný.
Výsledky je možné korigovat nebo použít jiné metody hodnocení. Na základě těchto informací jsou úrovně rizika vypočítány na diskrétní stupnici s gradací od 1 do 7 (fáze analýzy rizik). Výsledné úrovně hrozeb, zranitelností a rizik jsou analyzovány a dohodnuty se zákazníkem. Teprve poté můžete přistoupit k závěrečné fázi metody.
Řízení rizik. Hlavní kroky fáze řízení rizik jsou uvedeny na Obr. 9.
V této fázi CRAMM generuje několik možností pro protiopatření, která jsou adekvátní identifikovaným rizikům a jejich úrovním. Protiopatření jsou rozdělena do skupin a podskupin do následujících kategorií: Zajištění bezpečnosti na úrovni sítě. Zajištění fyzické bezpečnosti. Zajištění bezpečnosti podpůrné infrastruktury. Bezpečnostní opatření na úrovni správce systému.
Výsledkem této fáze je generování několika typů zpráv.
Uvažovaná metodika pro analýzu a řízení rizik je tedy plně použitelná v ruských podmínkách, a to navzdory skutečnosti, že bezpečnostní indikátory z neoprávněného přístupu k informacím a požadavky na ochranu informací se v ruských RD a zahraničních standardech liší. Zvláště užitečné se jeví využití nástrojů jako je metoda CRAMM při provádění analýzy rizik informačních systémů se zvýšenými požadavky v oblasti informační bezpečnosti. To vám umožní získat přiměřená hodnocení existující a přijatelné úrovně hrozeb, zranitelností a účinnosti ochrany.
MethodWare
MethodWare vyvinula vlastní metodiku hodnocení a řízení rizik a vydala řadu souvisejících nástrojů. Mezi tyto nástroje patří: Software pro analýzu a správu rizik Operační Risk Builder a Risk Advisor. Metodika je v souladu s australským/novozélandským standardem řízení rizik (AS/NZS 4360:1999) a ISO17799. Software pro správu životního cyklu informačních technologií v souladu s CobiT Advisor 3rd Edition (Audit) a CobiT 3rd Edition Management Advisor. Pokyny CobiT kladou značný důraz na analýzu a řízení rizik. Software pro automatizaci konstrukce různých dotazníků Questionnaire Builder.
Pojďme se v rychlosti podívat na funkce Risk Advisor. Tento software je umístěn jako sada nástrojů pro analytiky nebo manažery v oblasti informační bezpečnosti. Byla implementována technika, která umožňuje nastavit model informačního systému z pohledu informační bezpečnosti, identifikovat rizika, hrozby a ztráty v důsledku incidentů. Hlavní etapy práce jsou: popis souvislostí, identifikace rizik, posouzení hrozeb a možných škod, vypracování kontrolních akcí a vypracování plánu obnovy a akce v mimořádných situacích. Podívejme se na tyto kroky podrobněji. Popis rizik. Je nastavena matice rizik ( rýže. 10. - Identifikace a definice rizik v Risk Advisor) na základě nějaké šablony. Rizika jsou posuzována na kvalitativní škále a rozdělena na přijatelná a nepřijatelná ( rýže. 11. - Rozdělení rizik na přijatelná a nepřijatelná v Risk Advisor). Poté jsou vybrány kontrolní akce (protiopatření) s ohledem na dříve zaznamenaný systém kritérií, účinnost protiopatření a jejich cenu. Náklady a efektivita jsou také hodnoceny na kvalitativních škálách.
Popis hrozeb. Nejprve se vytvoří seznam hrozeb. Hrozby jsou určitým způsobem klasifikovány, následně je popsán vztah mezi riziky a hrozbami. Popis je také proveden na kvalitativní úrovni a umožňuje nám zaznamenat jejich vztahy.
Popis ztrát. Jsou popsány události (následky) spojené s porušením režimu informační bezpečnosti. Ztráty jsou hodnoceny ve zvoleném systému kritérií.
Analýza výsledků. Výsledkem sestavení modelu je vytvoření podrobné zprávy (asi 100 sekcí) a zobrazení souhrnných popisů na obrazovce ve formě grafů.
Uvažovaná metodika umožňuje automatizovat různé aspekty řízení rizik společnosti. V tomto případě jsou hodnocení rizik uvedena v kvalitativních škálách. Podrobná analýza rizikových faktorů není poskytnuta. Silnou stránkou uvažované metodiky je schopnost popsat různé vztahy, adekvátní zohlednění mnoha rizikových faktorů a výrazně nižší pracnost oproti CRAMM.
Závěr
Moderní metody a technologie pro řízení informačních rizik umožňují posoudit stávající úroveň zbytkových informačních rizik v tuzemských společnostech. To je důležité zejména v případech, kdy jsou na informační systém společnosti kladeny zvýšené požadavky v oblasti ochrany informací a kontinuity podnikání.V dnešní době existuje řada technik analýzy rizik včetně využití CASE nástrojů, přizpůsobených pro použití v domácích podmínkách . Je důležité, aby vysoce kvalitní analýza informačních rizik umožnila srovnávací analýzu „efektivity-nákladů“ různých možností ochrany, výběr adekvátních protiopatření a kontrol a posouzení úrovně zbytkových rizik. Nástroje pro analýzu rizik založené na moderních znalostních bázích a inferenčních postupech navíc umožňují vytvářet strukturální a objektově orientované modely informačních aktiv společnosti, modely hrozeb a modely rizik související s jednotlivými informacemi a obchodními transakcemi, a proto takovou společnost identifikovat. informačních aktiv riziko narušení bezpečnosti je kritické, tedy nepřijatelné. Tyto nástroje umožňují vytvářet různé modely ochrany informačního majetku společnosti, porovnávat různé možnosti souborů ochranných a kontrolních opatření pomocí kritéria „efektivita a náklady“ a také sledovat dodržování požadavků na organizaci režimu informační bezpečnosti pro společnost. domácí společnost.
Tento Plán byl vypracován v souladu s požadavky doporučení v oblasti standardizace informační bezpečnosti.
Riziko informační bezpečnosti — riziko přímých nebo nepřímých ztrát v důsledku nedodržení stanovených postupů a postupů pro zajištění bezpečnosti informací zaměstnanci organizace, selhání a selhání ve fungování informačních systémů a zařízení, náhodné nebo úmyslné jednání fyzických osob nebo právních předpisů subjekty namířené proti zájmům organizace.
Řízení rizik informační bezpečnosti je proces výběru a implementace ochranných opatření, která snižují riziko narušení bezpečnosti informací, nebo opatření k přenosu, přijetí nebo vyhnutí se riziku.
Plán definuje nezbytná opatření a postupy, které musí organizace dodržovat při zvládání rizik informační bezpečnosti.
Zacházení s riziky bezpečnosti informací
2.1. Míra vlivu rizika informační bezpečnosti
V závislosti na míře vlivu rizika informační bezpečnosti na finanční výsledek organizace se rozlišují následující úrovně rizik informační bezpečnosti:
- minimální riziko : finanční ztráty chybí nebo jsou zanedbatelné, narušení informační struktury je lokalizováno v rámci automatizované pracovní stanice a nevede k pozastavení činnosti organizace, doba zotavení je až jedna hodina;
- průměrné riziko : finanční ztráty jsou nepatrné, narušení významné části informační struktury a pozastavení činnosti organizace, doba zotavení do tří hodin, finanční náklady na obnovu jsou zanedbatelné;
- vysoké riziko : finanční ztráty jsou značné, narušení celé informační struktury a pozastavení činnosti organizace, doba zotavení do jednoho dne, finanční náklady na obnovu jsou průměrné;
- kritické riziko : kritické finanční ztráty, narušení celé informační struktury, doba obnovy až několik týdnů, finanční náklady na obnovu jsou průměrné.
2.2. Metody léčby rizik
2.2.1. Snížení rizika
Akce : Úroveň rizika musí být snížena výběrem ochran a kontrol, aby bylo možné zbytkové riziko přehodnotit jako přijatelné.
Průvodce implementací : Vhodné a přiměřené ochrany a kontroly musí být zvoleny tak, aby splňovaly požadavky identifikované v rámci procesu hodnocení rizik a zpracování rizik. Takový výběr musí brát v úvahu kritéria přijatelnosti rizik, jakož i právní, regulační a smluvní požadavky. Tato volba by měla zohledňovat i náklady a dobu provádění ochranných a kontrolních opatření resp technické aspekty a environmentální aspekty. Ochrany a kontroly mohou poskytovat jeden nebo více z následujících typů ochrany: náprava, vyloučení, prevence, zmírnění, omezení, detekce, obnova, monitorování a povědomí.
Při výběru ochranných a ovládacích prostředků je to důležité "vážit" náklady na pořízení, prodej, správu, provoz, sledování a udržování finančních prostředků ve vztahu k hodnotě chráněných aktiv.
Omezení při implementaci metody " Snížení rizika"jsou:
- dočasná omezení;
- finanční omezení;
- technická omezení;
- provozní omezení;
- zákonná omezení;
- snadnost použití;
- personální omezení;
- omezení týkající se integrace nových a stávajících kontrol.
2.2.2. Zachování rizika
Průvodce implementací : Pokud úroveň rizika splňuje kritéria přijatelnosti rizik, není třeba zavádět další ochrany a kontroly a riziko může být zachováno.
2.2.3. Prevence rizik
Akce
: Je třeba se vyhnout činnosti nebo stavu, který způsobuje specifické riziko.
Průvodce implementací
: Když jsou identifikovaná rizika vysoká nebo kritická a náklady na implementaci jiných možností léčby rizik převažují nad přínosy, může být učiněno rozhodnutí zcela se vyhnout riziku ukončením programu nebo opuštěním plánované nebo stávající činnosti nebo souboru činností nebo změnou podmínky, za kterých se činnost provádí ( akce).
2.2.4. Přenos rizika
Akce
: Riziko musí být přeneseno ( přestěhoval) strana, která může nejúčinněji řídit konkrétní riziko.
Průvodce implementací
: Přenos rizik zahrnuje rozhodnutí sdílet určitá rizika s externími stranami.
Převod lze provést:
- pojištění, které podpoří následky;
- uzavřením smlouvy o subdodávce ( outsourcing) s „partnerem“, jehož úlohou bude monitorovat informační systém a podniknout okamžité kroky k zastavení útoku dříve, než způsobí určitou míru škod.
2.2.5. Přijetí rizika informační bezpečnosti
Vstupní data : Plán ošetření rizik a posouzení zbytkového rizika jsou předmětem rozhodnutí vedení organizace přijmout riziko.
Akce : Rozhodnutí musí být učiněno a formálně zaznamenáno, aby bylo možné přijmout rizika a odpovědnost za toto rozhodnutí.
Průvodce implementací : Kritéria přijatelnosti rizika mohou být vícerozměrná než pouhé určení, zda je zbytkové riziko nad nebo pod jedním prahem.
V některých případech nemusí úroveň zbytkového rizika splňovat kritéria přijatelnosti rizika, protože použitá kritéria neberou v úvahu převládající okolnosti. Lze například namítnout, že je nutné přijmout rizika, protože přínosy spojené s riziky mohou být velmi atraktivní, nebo protože náklady spojené se snížením rizika jsou velmi vysoké. Ne vždy je možné revidovat kritéria přijatelnosti rizik včas. V takových případech jsou osoby s rozhodovací pravomocí povinny přijmout rizika, která nesplňují standardní kritéria přijatelnosti. Je-li to nutné, měl by osoba s rozhodovací pravomocí výslovně komentovat rizika a zahrnout odůvodnění rozhodnutí nad rámec standardního kritéria přijatelnosti rizika.
Výstup : Seznam přijatých rizik s odůvodněním pro ta rizika, která nesplňují standardní kritéria přijatelnosti rizik organizace.
2.2.6. Komunikace o riziku informační bezpečnosti
Vstupní data : Veškeré informace o rizicích vyplývající z činností řízení rizik.
Akce
: Osoby s rozhodovací pravomocí a další zúčastněné strany by si měly vyměňovat a/nebo sdílet informace o rizicích.
Průvodce implementací
: Komunikace o riziku je činnost vedoucí k dosažení dohody o tom, jak řídit riziko prostřednictvím výměny a/nebo sdílení informací o rizicích mezi osobami s rozhodovací pravomocí a dalšími zúčastněnými stranami ( například uzavírání dohod s ostatními zúčastněnými stranami o možnosti odvolání (náhrady, opravy) chybných informací v přijatelné lhůtě).
Efektivní komunikace mezi zúčastněnými stranami je velmi důležitá, protože může mít významný dopad na rozhodnutí, která je třeba učinit. Komunikace poskytne ujištění, že osoby odpovědné za implementaci řízení rizik a osoby zapojené do procesu řízení rizik rozumí základu, na kterém jsou přijímána rozhodnutí, a důvodům potřeby určitých akcí. Komunikace je obousměrná.
Výstup: Průběžné porozumění procesu řízení rizik informační bezpečnosti organizace.
Rozdělení rolí pro realizaci plánu léčby rizik
3.1. Vedení organizace:
- definuje pravidla a postupy řízení rizik;
- zvažuje a rozhoduje o otázkách zlepšení bezpečnosti organizace a jejích klientů;
- posuzuje rizika ovlivňující dosažení stanovených cílů a přijímá opatření k reakci na měnící se okolnosti a podmínky s cílem zajistit účinnost hodnocení rizik;
- určuje organizační a personální strukturu organizace.
3.2. Oddělení ekonomické bezpečnosti:
- podílí se na vývoji a testování metod hodnocení rizik informační bezpečnosti;
- provádí monitorování, analýzu a hodnocení rizik informační bezpečnosti;
- podílí se na přípravě informací o výsledcích sledování rizika informační bezpečnosti v rámci operačního rizika;
- připravuje návrhy na úpravu metodiky hodnocení rizik informační bezpečnosti;
- připravuje návrhy na rozvoj a realizaci opatření, postupů, mechanismů a technologií k omezení a snížení rizik informační bezpečnosti;
- podílí se na realizaci ( implementace) ochranná opatření;
- vykonává kontrolu nad realizovanými ochrannými opatřeními;
- zpracovává vnitřní předpisy organizace o rizicích informační bezpečnosti.
3.3. Oddělení analýzy a kontroly rizik:
- shromažďuje a vkládá do analytické databáze informace o stavu rizika informační bezpečnosti v rámci operačního rizika;
- provádí hodnocení operačního rizika;
- vykonává kontrolu nad dodržováním stanovených limitů ukazatelů používaných k monitorování operačního rizika;
- pravidelně předkládá zprávy Výboru pro rizika;
- provádí vývoj a implementaci opatření, postupů, mechanismů a technologií k omezení a snížení operačního rizika.
3.4. Pracovník organizace:
- poskytuje pomoc při sledování, analýze a hodnocení rizik informační bezpečnosti;
- podává zprávy přímému nadřízenému o identifikovaných rizikových faktorech informační bezpečnosti.
Závěr
Tento plán je přibližný a v každém konkrétním případě by měl zohledňovat specifika aktuální situace.
Stáhnout soubor ZIP (22660)
Pokud jsou dokumenty užitečné, dejte like nebo .