Základní principy řízení rizik informační bezpečnosti. Řízení rizik. Bezpečnostní model s plným pokrytím

Jedním z nejdůležitějších aspektů implementace politiky informační bezpečnosti je analýza hrozeb, hodnocení jejich spolehlivosti a závažnosti pravděpodobných následků. Ve skutečnosti se riziko objevuje tam, kde existuje možnost ohrožení, přičemž velikost rizika je přímo úměrná velikosti této pravděpodobnosti (obr. 4.11).

Podstatou činností v oblasti řízení rizik je vyhodnotit jejich velikost, vypracovat zmírňující opatření a vytvořit mechanismus kontroly, aby zbytková rizika nepřekročila přijatelné limity. Řízení rizik tedy zahrnuje dva typy činností: hodnocení rizik a výběr účinných a nákladově efektivních ochranných a regulačních mechanismů. Proces řízení rizik lze rozdělit do následujících fází [Galatenko V.A., 2006]:

• identifikace aktiv a hodnot zdrojů, které potřebují ochranu;
• výběr analyzovaných objektů a míra jejich detailnosti;
• analýza hrozeb a jejich důsledků, identifikace slabých stránek v ochraně;
• klasifikace rizik, volba metodiky hodnocení rizik a hodnocení;
• výběr, provádění a ověřování záruk;
• posouzení zbytkového rizika.

Rýže. 4.11. Nejistota jako základ pro vznik rizika

Politika bezpečnosti informací zahrnuje rozvoj strategie řízení rizik pro různé třídy rizik.

Stručný seznam nejběžnějších hrozeb je uveden výše (viz 17.2). Vhodné je identifikovat nejen hrozby samotné, ale i zdroje jejich výskytu – pomůže to správně posoudit riziko a zvolit vhodná neutralizační opatření. Nelegální přihlášení například zvyšuje riziko uhodnutí hesla nebo připojení neoprávněného uživatele nebo zařízení k síti.

Je zřejmé, že každá metoda nelegálního vstupu potřebuje své vlastní bezpečnostní mechanismy, aby mohla čelit. Po identifikaci hrozby je nutné posoudit pravděpodobnost její realizace a výši potenciální škody.

Při posuzování závažnosti poškození je třeba pamatovat nejen na okamžité náklady na výměnu zařízení či obnovu informací, ale i na vzdálenější, zejména na podkopání dobrého jména společnosti, oslabení její pozice na trhu apod.

Po identifikaci a analýze hrozeb, jejich možných důsledků, existuje několik přístupů k řízení: hodnocení rizik, snižování rizik, vyhýbání se riziku, změna charakteru rizika, akceptace rizika, vývoj nápravných opatření (obr. 4.12).

Rýže. 4.12. Schéma řízení rizik

Při identifikaci aktiv a informačních zdrojů – těch hodnot, které je třeba chránit – je nutné brát v úvahu nejen komponenty informační systém, ale také podporu infrastruktury, personálu a nehmotného majetku, včetně aktuálního ratingu a reputace společnosti. Jedním z hlavních výstupů procesu identifikace majetku je však získání podrobné organizační informační struktury a způsobu jejího použití.

Výběr analyzovaných objektů a míra detailnosti jejich zohlednění je dalším krokem v hodnocení rizik. Pro malá organizace je přípustné uvažovat o celé informační infrastruktuře, u velké je třeba se zaměřit na nejdůležitější (kritické) služby. Pokud existuje mnoho důležitých služeb, pak jsou vybrány ty z nich, jejichž rizika jsou zjevně velká nebo neznámá. Li informační základ organizace je lokální síť, pak by počet hardwarových objektů měl zahrnovat počítače, periferní zařízení, externí rozhraní, kabelový management a aktivní síťové vybavení.

Softwarové objekty zahrnují operační systémy (síť, server a klient), aplikační software, nástroje, programy pro správu sítě a jednotlivé subsystémy. Je důležité opravit, ve kterých síťových uzlech je software uložen, kde a jak se používá. Třetím typem informačních objektů jsou data, která se ukládají, zpracovávají a přenášejí po síti. Je nutné klasifikovat data podle typů a stupně důvěrnosti, určit, kde jsou uložena a zpracovávána, a také způsoby, jak k nim přistupovat. To vše je důležité pro posouzení rizik a následků porušení. informační bezpečnost.

Hodnocení rizik je založeno na nashromážděných počátečních datech a posouzení stupně jistoty hrozeb. Je zcela přijatelné použít tak jednoduchou metodu, jako je vynásobení pravděpodobnosti uskutečnění hrozby výší odhadované škody. Pokud použijeme tříbodovou škálu pro pravděpodobnost a poškození, pak bude možných šest produktů: 1, 2, 3, 4, 6 a 9. První dva výsledky lze připsat nízkému riziku, třetí a čtvrtý střednímu , a poslední dva až vysoko. Tuto škálu lze použít k posouzení přijatelnosti rizik.

Pokud se zjistí, že některá rizika jsou nepřijatelně vysoká, musí být zavedena další ochranná opatření. K odstranění nebo snížení slabiny, která způsobila nebezpečnou hrozbu skutečnou, lze použít několik účinných a levných bezpečnostních mechanismů. Pokud například existuje velká možnost nelegálního přihlášení, můžete zadávat dlouhá hesla, používat program pro generování hesel nebo si zakoupit integrovaný systém ověřování pomocí čipových karet. Pokud existuje možnost úmyslného poškození serverů pro různé účely, které hrozí s vážnými následky, můžete omezit fyzický přístup personálu do serveroven a posílit jejich zabezpečení.

Technologie hodnocení rizik by měla kombinovat formální metriky a vytváření skutečných kvantitativních ukazatelů pro hodnocení. S jejich pomocí je nutné odpovědět na dvě otázky: jsou stávající rizika přijatelná, a pokud ne, jaká ochranná opatření je nákladově efektivní použít.

Rýže. 4.13. Hodnocení rizik a schéma zmírňování

Metodika snižování rizik. Mnoho rizik lze podstatně snížit použitím jednoduchých a levných protiopatření. Například kompetentní (regulovaná) kontrola přístupu snižuje riziko neoprávněného vniknutí. Některým třídám rizik se lze vyhnout – přesunem webového serveru organizace mimo místní síť se vyhnete riziku neoprávněného přístupu webových klientů do místní sítě. Některá rizika nelze snížit na malou hodnotu, ale po implementaci standardního souboru protiopatření je lze akceptovat za neustálého sledování zůstatkové hodnoty rizika (obr. 4.13).

Hodnocení nákladů na ochranná opatření by mělo zohledňovat nejen přímé náklady na nákup vybavení a/nebo softwaru, ale také náklady na zavádění inovací, školení a rekvalifikaci personálu. Tyto náklady lze vyjádřit v nějakém měřítku a následně porovnat s rozdílem mezi vypočítaným a přijatelným rizikem. Pokud je podle tohoto ukazatele prostředek ochrany nákladově efektivní, lze jej přijmout k dalšímu zvážení.

Rýže. 4.14. Iterativní proces řízení rizik

Kontrola zbytkových rizik je povinně součástí současné kontroly systému informační bezpečnosti. Při přijímání plánovaných opatření je nutné zkontrolovat jejich účinnost – ujistit se, že zbytková rizika se stala přijatelnou. V případě systematického nárůstu zbytkových rizik je nutné provést analýzu chyb a okamžitě přijmout nápravná opatření.

Řízení rizik je vícestupňový iterativní proces (obrázek 4.14).

Téměř všechny jeho etapy jsou vzájemně propojené a po dokončení téměř kterékoli z nich může být nutné vrátit se k předchozí. Při identifikaci aktiv lze tedy chápat, že vybrané hranice analýzy by měly být rozšířeny a stupeň podrobnosti by měl být zvýšen. Primární analýza je obzvláště obtížná, když je nevyhnutelné mnohonásobné návraty na začátek. Řízení rizik je typickým optimalizačním úkolem, zásadní úskalí spočívá v jeho kompetentní formulaci na úrovni vrcholového managementu, kombinaci optimálních metod a popisu výchozích dat (obr. 4.15).

Rýže. 4.15. Formování činností řízení rizik IT

Metodiky „Risk Assessment“ (Risk Assessment) a „Risk Management“ (Risk Management) se staly nedílnou součástí aktivit v oblasti kontinuity podnikání (Business Continuity) a informační bezpečnosti (Information Security). Program implementace IS a sady politik vycházejí ze souboru systémových akcí a praktických kroků (obr. 4.16-obr. 4.19).

Rýže. 4.16. Soubory systémových akcí a praktických kroků (1)

Rýže. 4.17. Soubory systémových akcí a praktických kroků (2)

Rýže. 4.18. Soubory systémových akcí a praktických kroků (3)

Rýže. 4.19. Soubory systémových akcí a praktických kroků (4)

Bylo připraveno a aktivně využíváno více než tucet různých mezinárodních standardů a specifikací, které podrobně upravují postupy pro řízení informačních rizik: ISO 15408: 1999 („Common Criteria pro informaci Technology Security Evaluation"), ISO 17799:2002 ("Kodex praxe pro management bezpečnosti informací"), NIST 80030, SAS 78/94, COBIT.

Metodika a nástroj RA Software Tool jsou založeny na požadavcích mezinárodních norem ISO 17999 a ISO 13335 (části 3 a 4), jakož i na požadavcích British National Standards Institute (BSI) - PD 3002 („Guidelines for Assessing a Řízení rizik"), PD 3003 ("Posouzení připravenosti společnosti k auditu podle BS 7799"), PD 3005 ("Směrnice pro výběr bezpečnostního systému").

V praxi takové techniky řízení rizik umožňují:

• vytvářet modely informačních aktiv společnosti z hlediska bezpečnosti;
• klasifikovat a oceňovat aktiva;
• sestavovat seznamy nejvýznamnějších bezpečnostních hrozeb a zranitelností;
• hodnotit bezpečnostní hrozby a zranitelná místa;
• vyhodnocovat a vypracovávat rizika;
• vypracovat nápravná opatření;
• odůvodnit prostředky a opatření kontroly rizik;
• vyhodnotit účinnost/náklady různých možností ochrany;
• formalizovat a automatizovat postupy hodnocení a řízení rizik.

Rozvoj rizik zahrnuje řadu důležitých etap, které jsou povinně zahrnuty do plánovaných prací na zajištění bezpečnosti informací (obr. 4.20).

Použití vhodných softwarových nástrojů může snížit složitost analýzy rizik a výběru protiopatření. V současné době bylo vyvinuto více než tucet softwarových produktů pro analýzu a řízení rizik základní úrovně zabezpečení. Příkladem docela jednoduchého nástroje je softwarový balíček BSS (Baseline Security Survey, UK).

Softwarové produkty vyšší třídy: CRAMM (Insight Consulting Limited, Spojené království), Risk Watch, COBRA (Konzultativní objektivní a bifunkční analýza rizik), Buddy System. Nejoblíbenější z nich je CRAMM (Complex Risk Analysis and Management Method), která implementuje metodu analýzy a kontroly rizik. Podstatnou výhodou metody je možnost provedení podrobné studie v krátkém čase s plnou dokumentací výsledků.

Rýže. 4.20. Etapy vývoje rizika

Metody jako CRAMM jsou založeny na integrovaném přístupu k hodnocení rizik, který kombinuje kvantitativní a kvalitativní metody analýzy. Metoda je univerzální a je vhodná pro velké i malé organizace, vládní i komerční sektor.

Mezi silné stránky metody CRAMM patří následující:

• CRAMM je dobře strukturovaná a široce testovaná metoda analýzy rizik se skutečnými praktickými výsledky;
• Softwarové nástroje CRAMM lze použít ve všech fázích auditu zabezpečení IP;
• softwarový produkt je založen na poměrně rozsáhlé znalostní bázi o protiopatřeních v oblasti informační bezpečnosti na základě doporučení normy BS 7799;
• flexibilita a všestrannost metody CRAMM umožňuje její použití k auditu IP jakékoli úrovně složitosti a účelu;
• CRAMM lze použít jako nástroj k vytvoření plánu kontinuity podnikání organizace a zásad bezpečnosti informací;
• CRAMM lze použít jako prostředek k dokumentaci bezpečnostních mechanismů IP.

Pro komerční organizace existuje komerční profil bezpečnostních standardů (Commercial Profile), pro vládní organizace - vládní (Government Profile). Vládní verze profilu také umožňuje auditovat shodu s požadavky amerického standardu TCSEC („Orange Book“).

Jak správně posoudit rizika informační bezpečnosti – náš recept

Úkol hodnotit rizika informační bezpečnosti je dnes odbornou veřejností vnímán nejednoznačně a má to několik důvodů. Za prvé, neexistuje žádný zlatý standard nebo uznávaný přístup. Četné standardy a metodiky, i když jsou si obecně podobné, se v detailech výrazně liší. Použití té či oné metody závisí na oblasti a předmětu hodnocení. Problémem však může být výběr správné metody, pokud o ní a o jejích výsledcích mají účastníci procesu hodnocení různé představy.

Za druhé, hodnocení rizik informační bezpečnosti je čistě odborným úkolem. Analýza rizikových faktorů (jako je poškození, hrozba, zranitelnost atd.) prováděná různými odborníky často poskytuje různé výsledky. Nedostatečná reprodukovatelnost výsledků hodnocení vyvolává otázku spolehlivosti a užitečnosti získaných dat. Lidská přirozenost je taková, že abstraktní odhady, zejména ty, které se týkají pravděpodobnostních jednotek měření, jsou lidmi vnímány různými způsoby. Stávající aplikované teorie navržené tak, aby zohledňovaly míru subjektivního vnímání člověka (např. prospektová teorie), komplikují již tak komplikovanou metodologii analýzy rizik a nepřispívají k její popularizaci.

Za třetí, samotný postup hodnocení rizik ve svém klasickém smyslu, s rozkladem a inventarizací majetku, je velmi pracný úkol. Pokus o ruční analýzu pomocí běžných kancelářských nástrojů (jako jsou tabulky) se nevyhnutelně utopí v moři informací. Specializované softwarové nástroje určené ke zjednodušení jednotlivých fází analýzy rizik do určité míry usnadňují modelování, ale vůbec nezjednodušují sběr a systematizaci dat.

A konečně samotná definice rizika v kontextu problému informační bezpečnosti ještě není vyřešena. Stačí se podívat na změny v terminologii v ISO Guide 73:2009 ve srovnání s verzí z roku 2002. Zatímco dříve bylo riziko definováno jako potenciál poškození v důsledku zneužití zranitelnosti hrozbou, nyní je to účinek odchylky od očekávaných výsledků. K podobným koncepčním změnám došlo v novém vydání ISO/IEC 27001:2013.

Z těchto a řady dalších důvodů se k hodnocení rizik informační bezpečnosti přistupuje v nejlepším případě opatrně a v horším případě s velkou nedůvěrou. To diskredituje samotnou myšlenku řízení rizik, což vede k sabotáži tohoto procesu ze strany vedení a v důsledku toho ke vzniku mnoha incidentů, které jsou plné výročních analytických zpráv.

Vzhledem k výše uvedenému, z jaké strany je lepší přistupovat k úkolu hodnocení rizik informační bezpečnosti?

Svěží vzhled

Informační bezpečnost se dnes stále více zaměřuje na obchodní cíle a je zabudována do obchodních procesů. K podobným metamorfózám dochází s hodnocením rizik – získává potřebný obchodní kontext. Jaká kritéria by měla splňovat moderní metodika hodnocení rizik IS? Je zřejmé, že by měl být dostatečně jednoduchý a univerzální, aby výsledky jeho aplikace byly věrohodné a užitečné pro všechny účastníky procesu. Vyjmenujme několik principů, na kterých by taková technika měla být založena:

1. vyhnout se přílišným detailům;
2. spoléhat na názor podniku;
3. používat příklady;
4. zvážit externí zdroje informací.

Podstatu navržené metodiky nejlépe demonstruje praktický příklad. Zvažte úkol hodnocení rizik informační bezpečnosti v obchodní a výrobní společnosti. Kde to obvykle začíná? Z vymezení hranic posouzení. Pokud se hodnocení rizik provádí poprvé, hranice by měly zahrnovat hlavní obchodní procesy, které generují výnosy, a také procesy, které jim slouží.

Pokud obchodní procesy nejsou zdokumentovány, lze o nich získat obecnou představu prozkoumáním organizační struktury a předpisů o odděleních, které obsahují popis cílů a záměrů.

Po určení hranic hodnocení přejděme k identifikaci aktiv. V souladu s výše uvedeným budeme hlavní obchodní procesy považovat za agregovaná aktiva, přičemž inventarizaci informačních zdrojů odložíme do dalších fází (pravidlo 1). To je způsobeno tím, že metodika zahrnuje postupný přechod od obecného ke konkrétnímu a danou úroveň podrobné informace prostě nejsou potřeba.

Rizikové faktory

Budeme předpokládat, že jsme se rozhodli o skladbě oceňovaného majetku. Dále musíte identifikovat hrozby a zranitelná místa, která jsou s nimi spojena. Tento přístup je však použitelný pouze při provádění podrobné analýzy rizik, kdy jsou předmětem hodnocení objekty prostředí informačních aktiv. V nová verze ISO/IEC 27001:2013 přesunula těžiště hodnocení rizik z tradičních IT aktiv na informace a jejich zpracování. Vzhledem k tomu, že při současné úrovni podrobností uvažujeme o agregovaných obchodních procesech společnosti, stačí identifikovat pouze rizikové faktory vysoké úrovně, které jsou jim vlastní.

Rizikový faktor je specifická charakteristika objektu, technologie nebo procesu, která je zdrojem problémů v budoucnosti. O přítomnosti rizika jako takového lze přitom hovořit pouze v případě, že problémy mají negativní dopad na výkonnost firmy. Je vytvořen logický řetězec:

Úkol identifikace rizikových faktorů se tak redukuje na identifikaci neúspěšných vlastností a charakteristik procesů, které určují pravděpodobné rizikové scénáře, které mají negativní dopad na podnikání. Pro zjednodušení jeho řešení využijeme obchodní model informační bezpečnosti vyvinutý sdružením ISACA (viz obr. 1):

Rýže. 1. Obchodní model informační bezpečnosti

Uzly modelu označují základní hybné síly jakékoli organizace: strategii, procesy, lidi a technologie a jeho hrany představují funkční vazby mezi nimi. V těchto žebrech se v podstatě koncentrují hlavní rizikové faktory. Jak je dobře vidět, rizika jsou spojena nejen s informačními technologiemi.

Jak identifikovat rizikové faktory na základě výše uvedeného modelu? Je nutné do toho zapojit i podnikání (pravidlo 2). Obchodní jednotky si obvykle dobře uvědomují problémy, kterým při své práci čelí. Často se připomínají zkušenosti kolegů z branže. Tyto informace můžete získat položením správných otázek. Otázky týkající se personálu by měly být směrovány na lidské zdroje, technologické problémy na automatizaci (IT) a záležitosti obchodních procesů na příslušné obchodní jednotky.

V úloze identifikace rizikových faktorů je výhodnější vycházet z problémů. Po identifikaci jakéhokoli problému je nutné určit jeho příčinu. V důsledku toho může být identifikován nový rizikový faktor. Hlavním problémem je zde nerolovat. Pokud například došlo k incidentu v důsledku protiprávního jednání zaměstnance, nebude rizikovým faktorem to, že zaměstnanec porušil ustanovení nějakého předpisu, ale to, že se jednání stalo možné. Předpokladem vzniku problému je vždy rizikový faktor.

Aby personál lépe porozuměl tomu, na co se přesně ptá, je vhodné otázky doplnit příklady (pravidlo 3). Níže jsou uvedeny příklady několika rizikových faktorů vysoké úrovně, které mohou být společné mnoha podnikovým procesům:

Personál:

• Nedostatečná kvalifikace (okraj lidských faktorů na obr. 1)
• Nedostatek zaměstnanců (vznik žeber)
• Nízká motivace (kultura žeber)

Procesy:

• Častá změna vnějších požadavků (řídící hrana)
• Nedostatečně vyvinutá automatizace procesů (Enabling & Support edge)
• Kombinace rolí podle účinkujících (vznik žeber)

Technologie:

• Starší software (Eabling & Support edge)
• Špatná uživatelská odpovědnost (omezená lidskými faktory)
• Heterogenní IT prostředí (hrana architektury)

Důležitou výhodou navržené metody hodnocení je možnost křížové analýzy, kdy dvě různá oddělení posuzují stejný problém z různých úhlů pohledu. S ohledem na tuto okolnost je velmi užitečné klást dotazovaným otázky typu: „Co si myslíte o problémech, které vaši kolegové identifikovali?“. Tento skvělá cesta získat další odhady a upravit stávající. Pro upřesnění výsledku lze provést několik kol takového hodnocení.

Dopad na podnikání

Jak vyplývá z definice rizika, je charakterizováno mírou dopadu na obchodní výkonnost organizace. Pohodlným nástrojem, který vám umožní určit povahu dopadu scénářů implementace rizik na podnikání, je systém Balanced Scorecards. Aniž bychom zacházeli do podrobností, poznamenáváme, že Balanced Scorecards identifikuje 4 obchodní vyhlídky pro každou společnost, které spolu hierarchicky souvisí (viz obr. 2).

Rýže. 2. Čtyři obchodní perspektivy Balanced Scorecard

Ve vztahu k uvažované metodice lze riziko považovat za významné, pokud negativně ovlivňuje alespoň jednu z následujících tří podnikatelských perspektiv: finance, zákazníci a/nebo procesy (viz obr. 3).

Rýže. 3. Klíčové ukazatele podnikání

Například rizikový faktor „Nízká uživatelská odpovědnost“ může vést ke scénáři „Únik informací o zákazníkovi“. To zase ovlivní obchodní metriku počtu zákazníků.

Pokud společnost vyvinula obchodní metriky, značně to zjednodušuje situaci. Kdykoli je možné sledovat dopad konkrétního rizikového scénáře na jeden nebo více obchodních ukazatelů, lze odpovídající rizikový faktor považovat za významný a výsledky jeho vyhodnocení by měly být zaznamenány v dotaznících. Čím výše v hierarchii obchodních metrik je dopad scénáře, tím větší je potenciální dopad na podnikání.

Úkol analyzovat tyto důsledky je odborným úkolem, proto by měl být řešen se zapojením specializovaných obchodních jednotek (pravidlo 2). Pro dodatečnou kontrolu získaných odhadů je užitečné použít externí zdroje informací obsahující statistické údaje o velikosti ztrát v důsledku incidentů (pravidlo 4), například výroční zprávu Cost of Data Breach Study.

Skóre pravděpodobnosti

V konečné fázi analýzy je u každého identifikovaného rizikového faktoru, jehož dopad na podnikání lze určit, nutné posoudit pravděpodobnost scénářů s ním spojených. Na čem toto hodnocení závisí? Do značné míry z dostatku ochranných opatření zavedených ve společnosti.

Zde je malé upozornění. Je logické předpokládat, že když byl problém identifikován, znamená to, že je stále aktuální. Realizovaná opatření přitom s největší pravděpodobností nestačí k narovnání předpokladů pro její vznik. O dostatečnosti protiopatření rozhodují výsledky hodnocení efektivity jejich aplikace např. pomocí systému metrik.

Pro hodnocení můžete použít jednoduchou 3-úrovňovou stupnici, kde:

3 - realizovaná protiopatření jsou obecně dostatečná;

2 - protiopatření jsou implementována nedostatečně;

1 - žádná protiopatření.

Jako referenční knihy popisující protiopatření můžete použít specializované normy a směrnice, jako je CobiT 5, ISO / IEC 27002 atd. Každé protiopatření by mělo být spojeno s určitým rizikovým faktorem.

Je důležité si uvědomit, že analyzujeme rizika spojená nejen s využíváním IT, ale také s organizací interních informačních procesů ve firmě. Proto by měla být protiopatření zvažována šířeji. Ne nadarmo nová verze ISO/IEC 27001:2013 obsahuje klauzuli, že při volbě protiopatření je nutné použít jakékoli externí zdroje (pravidlo 4), a ne pouze přílohu A, která je v normě přítomna pro referenční účely.

Velikost rizika

Pro stanovení konečné hodnoty rizika lze použít jednoduchou tabulku (viz tabulka 1).

Tab. 1. Matice hodnocení rizik

V případě, že rizikový faktor ovlivňuje několik obchodních perspektiv, jako jsou „Zákazníci“ a „Finance“, jsou jejich ukazatele shrnuty. Dimenze škály, stejně jako přijatelné úrovně rizik IS, si může určit kdokoli pohodlný způsob. Ve výše uvedeném příkladu jsou rizika s úrovněmi 2 a 3 považována za vysoká.

V tomto okamžiku lze považovat první fázi hodnocení rizik za dokončenou. Konečná hodnota rizika spojeného s hodnoceným obchodním procesem je stanovena jako součet složených hodnot pro všechny identifikované faktory. Za vlastníka rizika lze považovat osobu odpovědnou ve společnosti za posuzovaný objekt.

Výsledné číslo nám neříká, kolik peněz organizaci hrozí ztráta. Místo toho označuje oblast koncentrace rizik a povahu jejich dopadu na výkonnost podniku. Tyto informace jsou nezbytné, abychom se mohli dále zaměřit na nejdůležitější detaily.

Detailní posouzení

Hlavní výhodou této techniky je, že umožňuje provádět analýzu rizik informační bezpečnosti s požadovanou úrovní detailů. V případě potřeby můžete „propadnout“ do prvků modelu bezpečnosti informací (obr. 1) a podrobněji je zvážit. Například identifikací nejvyšší koncentrace rizika v okrajích souvisejících s IT můžete zvýšit úroveň detailů technologického uzlu. Jestliže dříve fungoval jako objekt hodnocení rizik samostatný podnikový proces, nyní se pozornost přesune na konkrétní informační systém a procesy jeho použití. Aby byla zajištěna požadovaná úroveň podrobností, může být vyžadován soupis informačních zdrojů.

To vše platí i pro ostatní oblasti hodnocení. Když změníte detail uzlu Lidé, objekty hodnocení se mohou stát personální role nebo dokonce jednotliví zaměstnanci. Pro uzel Process to mohou být specifické pracovní zásady a postupy.

Změnou úrovně detailů se automaticky změní nejen rizikové faktory, ale i použitelná protiopatření. Obojí bude specifičtější pro předmět hodnocení. Obecný přístup k provádění hodnocení rizik se však nezmění. Pro každý identifikovaný faktor bude nutné vyhodnotit:

• míra dopadu rizika na obchodní vyhlídky;
• dostatek protiopatření.

Ruský syndrom

Vydání normy ISO/IEC 27001:2013 postavilo mnoho ruských společností do obtížné pozice. Na jedné straně již vyvinuli určitý přístup k hodnocení rizik informační bezpečnosti, založený na klasifikaci informačních aktiv, hodnocení hrozeb a zranitelností. Národním regulátorům se podařilo vydat řadu předpisů podporujících tento přístup, například standard Bank of Russia, příkazy FSTEC. Na druhou stranu úkol hodnocení rizik je již dávno pro změnu a nyní je nutné upravit zavedený řád tak, aby vyhovoval starým i novým požadavkům. Ano, dnes je stále možné získat certifikaci podle normy GOST R ISO / IEC 27001:2006, která je shodná s předchozí verze ISO/IEC 27001, ale ne na dlouho.

Výše zmíněná metodika analýzy rizik řeší tento problém. Kontrolou úrovně podrobností v hodnocení můžete zvážit aktiva a rizika v jakémkoli měřítku, od obchodních procesů až po jednotlivé informační toky. Tento přístup je také výhodný, protože umožňuje pokrýt všechna rizika na vysoké úrovni, aniž by něco chybělo. Zároveň společnost výrazně sníží mzdové náklady na další analýzy a nebude ztrácet čas detailním hodnocením nevýznamných rizik.

Je třeba poznamenat, že čím podrobnější je oblast hodnocení, tím větší odpovědnost leží na expertech a tím větší je požadovaná kompetence, protože když se změní hloubka analýzy, změní se nejen rizikové faktory, ale také krajina použitelných protiopatření.

Přes všechny pokusy o zjednodušení je analýza rizik informační bezpečnosti stále časově náročná a složitá. Vedoucí tohoto procesu má zvláštní odpovědnost. Mnoho věcí bude záviset na tom, jak kompetentně vybuduje přístup a jak se s úkolem vypořádá – od přidělení rozpočtu na bezpečnost informací až po udržitelnost podnikání.

Při implementaci systému řízení bezpečnosti informací (ISMS) v organizaci bývá jedním z hlavních kamenů úrazu systém řízení rizik. Úvahy o řízení rizik informační bezpečnosti jsou podobné problému UFO. Na jedné straně se zdá, že to nikdo v okolí neviděl a událost samotná se zdá být nepravděpodobná, na druhé straně existuje mnoho důkazů, byly napsány stovky knih, dokonce jsou zapojeny relevantní vědecké disciplíny a sdružení vědců v tomto výzkumném procesu a jako obvykle mají speciální služby v této oblasti se zvláštními tajnými znalostmi.

Alexander Astakhov, CISA, 2006

Úvod

Mezi specialisty na informační bezpečnost nepanuje jednota v otázkách řízení rizik. Někdo to popírá kvantitativní metody hodnocení rizik, někdo popírá kvalitativní, někdo obecně popírá proveditelnost a samotnou možnost hodnocení rizik, někdo obviňuje vedení organizace z nedostatečného povědomí o důležitosti bezpečnostních otázek nebo si stěžuje na potíže spojené se získáním objektivního posouzení hodnoty určitého aktiva, jako je pověst organizace. Jiní, kteří nevidí žádný způsob, jak ospravedlnit náklady na bezpečnost, navrhují, aby to bylo považováno za určitý druh hygienického postupu a utratili za tento postup tolik peněz, kolik je vám líto nebo kolik zbývá v rozpočtu.

Ať už na problematiku řízení rizik informační bezpečnosti existují jakékoli názory a bez ohledu na to, jak se k těmto rizikům vztahujeme, jedno je jasné, že tato problematika je podstatou mnohostranné činnosti specialistů na informační bezpečnost, která ji přímo propojuje s byznysem a dává jí rozumný význam. a účelnost. Tento článek nastiňuje jeden možný přístup k řízení rizik a odpovídá na otázku, proč různé organizace zacházejí s riziky zabezpečení informací a řídí je odlišně.

Hlavní a pomocná aktiva

Když mluvíme o podnikatelských rizicích, máme na mysli možnost vzniku určité škody s určitou pravděpodobností. Může se jednat jak o přímé materiální škody, tak o nepřímé škody, vyjádřené např. ušlým ziskem, až po odchod z podnikání, protože při nezvládnutí rizika může dojít ke ztrátě obchodu.

Ve skutečnosti podstata problému spočívá v tom, že organizace má a využívá několik hlavních kategorií zdrojů k dosažení výsledků své činnosti (svých obchodních cílů) (budeme používat pojem aktiva přímo souvisejícího s podnikáním). Aktivum je cokoli, co má pro organizaci hodnotu a generuje její příjem (jinými slovy, je to něco, co vytváří pozitivní peněžní tok nebo šetří peníze)

Jde o materiální, finanční, lidský a informační majetek. Moderní mezinárodní standardy definují i ​​další kategorii aktiv – to jsou procesy. Proces je agregované aktivum, které funguje na všech ostatních aktivech společnosti za účelem dosažení obchodních cílů. Image a pověst společnosti jsou také považovány za jednu z nejdůležitějších aktiv. Tato klíčová aktiva pro jakoukoli organizaci nejsou ničím jiným než zvláštním druhem informačních aktiv, protože image a pověst společnosti není nic jiného než obsah otevřených a široce šířených informací o ní. Informační bezpečnost se zabývá problémy s image, pokud jde o organizační bezpečnostní problémy, stejně jako úniky důvěrná informace extrémně negativní dopad na obraz.

Obchodní výsledky jsou ovlivněny různými externími a interními faktory souvisejícími s kategorií rizika. Tento vliv je vyjádřen v negativním dopadu na jednu nebo více skupin aktiv organizace současně. Selhání serveru například ovlivňuje dostupnost informací a aplikací na něm uložených a jeho oprava odvádí lidské zdroje, vytváří jejich nedostatek v určité oblasti práce a způsobuje narušení obchodních procesů, zatímco dočasná nedostupnost klientských služeb může negativně ovlivnit ovlivnit image firmy.

Podle definice jsou pro organizaci důležité všechny typy aktiv. Každá organizace má však základní životně důležitá aktiva a podpůrná aktiva. Určení, která aktiva jsou hlavní, je velmi jednoduché, protože. to jsou aktiva, na kterých je postavena činnost organizace. Podnikání organizace tedy může být založeno na vlastnictví a užívání hmotného majetku (například pozemků, nemovitostí, zařízení, nerostů), podnikání může být postaveno i na správě finančních aktiv (úvěrové činnosti, pojištění, investice) , podnikání může být založeno na kompetenci a autoritě konkrétních specialistů (poradenství, audit, školení, high-tech a znalostně náročná odvětví) nebo se podnikání může točit kolem informačních aktiv (vývoj softwaru, informační produkty, e-commerce, podnikání na internet). Rizika dlouhodobého majetku jsou zatížena ztrátou podnikání a nenapravitelnými ztrátami pro organizaci, proto je pozornost majitelů firem primárně zaměřena na tato rizika a vedení organizace se jimi osobně zabývá. Vedlejší rizika aktiv obvykle vedou k nahraditelné škodě a nejsou nejvyšší prioritou v systému řízení organizace. Obvykle jsou tato rizika řízena speciálně určenými lidmi nebo jsou tato rizika převedena na třetí stranu, jako je outsourcing nebo pojišťovna. Pro organizaci je to spíše otázka efektivity řízení než přežití.

Stávající přístupy k řízení rizik

Vzhledem k tomu, že rizika informační bezpečnosti zdaleka nejsou těmi hlavními pro všechny organizace, praktikují se tři hlavní přístupy k řízení těchto rizik, které se liší hloubkou a úrovní formalismu.

U nekritických systémů, kdy jsou informační aktiva pomocná a úroveň informatizace není vysoká, což je typické pro většinu moderních ruských společností, existuje minimální potřeba hodnocení rizik. V takových organizacích bychom měli hovořit o nějaké základní úrovni zabezpečení informací, určované stávajícími předpisy a standardy, osvědčenými postupy, zkušenostmi a také tím, jak se to dělá ve většině ostatních organizací. Stávající standardy, popisující určitý základní soubor bezpečnostních požadavků a mechanismů, však vždy stanoví nutnost posouzení rizik a ekonomické proveditelnosti aplikace určitých kontrolních mechanismů, aby bylo možné z obecného souboru požadavků a mechanismů vybrat ty, které jsou aplikovatelné v konkrétní organizace.

U kritických systémů, ve kterých nejsou informační aktiva hlavní, ale úroveň informatizace podnikových procesů je velmi vysoká a informační rizika mohou významně ovlivňovat hlavní podnikové procesy, je nutné aplikovat hodnocení rizik, nicméně v tento případ je vhodné omezit se na neformální kvalitativní přístupy k řešení tohoto problému a věnovat zvláštní pozornost nejkritičtějším systémům.

Když je podnikání organizace postaveno na informačních aktivech a rizika informační bezpečnosti jsou těmi hlavními, je nutné použít formální přístup a kvantitativní metody k posouzení těchto rizik.

V mnoha společnostech může být životně důležitých několik typů aktiv současně, například když je podnikání diverzifikované nebo se společnost zabývá tvorbou informačních produktů, a to jak lidí, tak i informační zdroje. V tomto případě je obezřetným přístupem provést hodnocení rizik na vysoké úrovni, aby se určilo, které systémy jsou vysoce rizikové a které jsou pro obchodní operace kritické, a poté následuje podrobné hodnocení rizik pro identifikované systémy. U všech ostatních nekritických systémů je vhodné omezit se na uplatňování základního přístupu, rozhodování o řízení rizik na základě stávajících zkušeností, odborných názorů a osvědčených postupů.

úrovně zralosti

Volbu přístupu k hodnocení rizik v organizaci ovlivňuje kromě charakteru jejího podnikání a úrovně informatizace podnikových procesů také její vyspělost. Řízení rizik informační bezpečnosti je obchodní úkol iniciovaný vedením organizace z důvodu jeho povědomí a stupně informovanosti o problémech informační bezpečnosti, jehož smyslem je chránit podnik před reálnými hrozbami informační bezpečnosti. Podle stupně informovanosti lze vysledovat několik úrovní vyspělosti organizací, které do určité míry korelují s úrovněmi vyspělosti definovanými v COBIT a dalších standardech:

1. Na vstupní úroveň neexistuje žádné povědomí jako takové, organizace přijímá dílčí opatření k zajištění bezpečnosti informací, která iniciují a realizují IT specialisté na vlastní odpovědnost.
2. Na druhé úrovni organizace definuje odpovědnost za informační bezpečnost, snaží se využívat integrovaná řešení s centralizovaným řízením a implementovat samostatné procesy řízení informační bezpečnosti.
3. Třetí úroveň je charakterizována aplikací procesního přístupu k řízení bezpečnosti informací, popsaného ve standardech. Systém řízení bezpečnosti informací se pro organizaci stává natolik významným, že je považován za nezbytnou součást systému řízení organizace. Plnohodnotný systém řízení bezpečnosti informací však zatím neexistuje, protože chybí základní prvek tohoto systému – procesy řízení rizik.
4. Organizace s nejvyšším stupněm povědomí o problémech informační bezpečnosti se vyznačují používáním formalizovaného přístupu k řízení rizik informační bezpečnosti, který se vyznačuje přítomností zdokumentovaných procesů plánování, implementace, monitorování a zlepšování.

Procesní model řízení rizik

V březnu tohoto roku byla přijata nová britská norma BS 7799 Část 3 – Systémy řízení bezpečnosti informací – Postupy řízení rizik informační bezpečnosti. Očekává, že ISO přijme tento dokument jako mezinárodní normu do konce roku 2007. BS 7799-3 definuje procesy hodnocení rizik a řízení jako nedílný prvek systému řízení organizace, přičemž používá stejný procesní model jako ostatní standardy řízení, který zahrnuje čtyři skupiny procesů: plánovat, implementovat, kontrolovat, jednat (PRAP), který odráží standard cyklu jakýchkoli řídících procesů. Zatímco ISO 27001 popisuje celkové kontinuum řízení bezpečnosti, BS 7799-3 obsahuje jeho projekci na procesy řízení rizik informační bezpečnosti.

V systému řízení rizik informační bezpečnosti je ve fázi Plánování stanovena politika a metodika řízení rizik a je provedeno hodnocení rizik včetně inventarizace majetku, profilování hrozeb a zranitelností, hodnocení účinnosti protiopatření a potenciálních škod, popř. stanovení přijatelné úrovně zbytkových rizik.

Během implementační fáze se ošetřují rizika a zavádějí se kontroly k jejich zmírnění. Vedení organizace učiní jedno ze čtyř rozhodnutí pro každé identifikované riziko: ignorovat, vyhnout se, přenést na externí stranu nebo minimalizovat. Poté je vypracován a implementován plán léčby rizik.

Ve fázi Auditu je sledováno fungování kontrolních mechanismů, kontrolovány změny rizikových faktorů (aktiva, hrozby, zranitelnost), probíhají audity a různé kontrolní postupy.

Ve fázi Actions jsou na základě výsledků průběžného monitorování a průběžných auditů přijímána nezbytná nápravná opatření, která mohou zahrnovat zejména přehodnocení velikosti rizik, úpravu politiky a metodiky řízení rizik, jakož i plán léčby rizik.

Rizikové faktory

Podstata každého přístupu k řízení rizik spočívá v analýze rizikových faktorů a přijímání adekvátních rozhodnutí o léčbě rizik. Rizikové faktory jsou hlavní parametry, které používáme při hodnocení rizik. Existuje pouze sedm možností:

• Aktivum
• Poškození
• Ohrožení
• Zranitelnost
• Ovládací mechanismus (Control)
• Průměrná roční ztráta (ALE)
• Návratnost investic (ROI)

Jak jsou tyto parametry analyzovány a vyhodnocovány, je určeno metodikou hodnocení rizik organizace. Obecný přístup a schéma uvažování jsou přitom přibližně stejné, bez ohledu na to, jaká metodika je použita. Proces hodnocení rizik (posouzení) zahrnuje dvě fáze. V první fázi, která je ve standardech definována jako analýza rizik (analýza), je nutné zodpovědět následující otázky:

• Co je hlavním aktivem společnosti?
• Jaká je skutečná hodnota tohoto aktiva?
• Jaké jsou hrozby pro toto aktivum?
• Jaké jsou důsledky těchto hrozeb a poškození podniku?
• Jak pravděpodobné jsou tyto hrozby?
• Jak zranitelný je podnik vůči těmto hrozbám?
• Jaká je očekávaná průměrná roční ztráta?

Ve druhé fázi, která je standardy definována jako hodnocení rizik (hodnocení), je nutné odpovědět na otázku: Jaká míra rizika (velikost průměrných ročních ztrát) je pro organizaci přijatelná a na základě toho jaká rizika překročit tuto úroveň.

Na základě výsledků hodnocení rizik tak získáme popis rizik, která překračují přípustnou míru, a odhad velikosti těchto rizik, který je dán velikostí průměrných ročních ztrát. Dále je třeba rozhodnout o ošetření rizik, tzn. Odpovězte na následující otázky:

• Jakou variantu rizikové léčby volíme?
• Pokud je přijato rozhodnutí o minimalizaci rizika, jaké kontrolní mechanismy by měly být použity?
• Jak účinné jsou tyto kontroly a jakou návratnost investic zajistí?

Výstupem tohoto procesu je plán léčby rizik, který definuje, jak se s riziky zachází, náklady na protiopatření a načasování a odpovědnost za implementaci protiopatření.

Rozhodnutí o léčbě rizik

Rozhodnutí o léčbě rizik je klíčovým a nejkritičtějším momentem v procesu řízení rizik. Aby se management mohl správně rozhodnout, musí mu osoba odpovědná za řízení rizik v organizaci poskytnout relevantní informace. Forma prezentace takových informací je určena standardním algoritmem obchodní komunikace, který zahrnuje čtyři hlavní body:

• Zpráva o problému: Co je to obchodní hrozba (zdroj, cíl, implementace) a proč existuje?
• Závažnost problému: Jak to ohrožuje organizaci, její management a akcionáře?
• Navrhované řešení: Co se navrhuje udělat pro nápravu situace, kolik to bude stát, kdo by to měl udělat a co se požaduje přímo od vedení?
• Alternativní řešení: Jaké jiné způsoby řešení problému existují (vždy existují alternativy a management by měl mít na výběr).

Položky 1 a 2, stejně jako 3 a 4, lze zaměnit v závislosti na konkrétní situaci.

Metody řízení rizik

Existuje dostatečné množství osvědčených a poměrně široce používaných metod hodnocení a řízení rizik. Jednou z takových metod je OCTAVE, vyvinutá na Carnegie Melon University vnitřní použití V organizaci. OCTAVE – Hodnocení provozně kritických hrozeb, aktiv a zranitelnosti má řadu úprav určených pro organizace jiná velikost a oblasti činnosti. Podstata této metody spočívá v tom, že k hodnocení rizik je využíván sled vhodně organizovaných interních seminářů (workshopů). Hodnocení rizik probíhá ve třech fázích, kterým předchází soubor přípravných činností, včetně odsouhlasení harmonogramu seminářů, přidělení rolí, plánování a koordinace akcí členů projektového týmu.

V první fázi je v rámci praktických seminářů realizován vývoj profilů hrozeb, který zahrnuje inventarizaci a posouzení hodnoty majetku, identifikaci platných právních požadavků a regulační rámec, identifikace hrozeb a posouzení jejich pravděpodobnosti, jakož i definice systému organizačních opatření k udržení režimu IS.

Ve druhé fázi je provedena technická analýza zranitelností informačních systémů organizace vůči hrozbám, jejichž profily byly vytvořeny v předchozí fázi, která zahrnuje identifikaci stávajících zranitelností informačních systémů organizace a posouzení jejich zranitelnosti. velikost.

Ve třetí fázi jsou vyhodnocena a zpracována rizika informační bezpečnosti, která zahrnuje stanovení velikosti a pravděpodobnosti poškození v důsledku implementace bezpečnostních hrozeb pomocí zranitelností, které byly identifikovány v předchozích fázích, stanovení strategie ochrany, jakož i volbu možnosti a rozhodování o léčbě rizik. Riziková hodnota je definována jako průměrná hodnota ročních ztrát organizace v důsledku implementace bezpečnostních hrozeb.

Podobný přístup je používán ve známé metodě hodnocení rizik CRAMM, vyvinuté v té době na příkaz britské vlády. V CRAMM je hlavním způsobem hodnocení rizika pečlivě naplánované rozhovory, které využívají podrobné dotazníky. CRAMM se používá v tisících organizací po celém světě, mimo jiné díky dostupnosti vysoce vyvinuté softwarové sady nástrojů obsahující znalostní základnu o rizicích a mechanismech pro jejich minimalizaci, nástroje pro sběr informací, generování reportů a také implementaci algoritmů. pro výpočet velikosti rizik.

Na rozdíl od metody OCTAVE využívá CRAMM mírně odlišný sled akcí a metod pro stanovení velikosti rizik. Nejprve se určí proveditelnost hodnocení rizik obecně, a pokud informační systém organizace není dostatečně kritický, bude na něj aplikován standardní soubor kontrolních mechanismů popsaných v mezinárodních standardech a obsažených ve znalostní bázi CRAMM.

V první fázi se v metodě CRAMM sestaví model zdrojů informačního systému, který popisuje vztah mezi informacemi, softwarem a technickými zdroji, a hodnota zdrojů se odhadne na základě možných škod, které může organizace utrpět v důsledku jejich kompromis.

Ve druhé fázi je provedeno hodnocení rizik, které zahrnuje identifikaci a posouzení pravděpodobnosti hrozeb, posouzení velikosti zranitelnosti a výpočet rizik pro každou trojici: zdroj - hrozba - zranitelnost. CRAMM vyhodnocuje „čistá“ rizika bez ohledu na kontrolní mechanismy implementované v systému. Ve fázi hodnocení rizik se předpokládá, že nejsou aplikována žádná protiopatření a na základě tohoto předpokladu je vytvořen soubor doporučených protiopatření k minimalizaci rizik.

V konečné fázi sada nástrojů CRAMM vygeneruje sadu protiopatření k minimalizaci identifikovaných rizik a porovná doporučená a stávající protiopatření, načež se vytvoří plán léčby rizik.

Nástroje pro řízení rizik

V procesu hodnocení rizik procházíme řadou po sobě jdoucích fází, periodicky se vracíme k předchozím fázím, například přehodnocování určitého rizika po zvolení konkrétního protiopatření k jeho minimalizaci. V každé fázi by měly být k dispozici dotazníky, seznamy hrozeb a zranitelných míst, registry zdrojů a rizik, dokumentace, zápisy z jednání, normy a směrnice. V tomto ohledu je pro práci s těmito různorodými daty zapotřebí nějaký naprogramovaný algoritmus, databáze a rozhraní.

Ke správě rizik informační bezpečnosti můžete použít nástroje např. jako v metodě CRAMM nebo RA2 (zobrazeno na obrázku), ale není to povinné. Přibližně totéž říká norma BS 7799-3. Užitečnost použití sady nástrojů může spočívat v tom, že obsahuje předem naprogramovaný algoritmus hodnocení rizik a řízení workflow, který zjednodušuje práci nezkušenému specialistovi.

Použití sady nástrojů umožňuje sjednotit metodiku a zjednodušit použití výsledků pro přehodnocení rizik, i když je provádějí jiní specialisté. Pomocí nástrojů je možné zefektivnit ukládání dat a práci s modelem zdrojů, profily hrozeb, seznamy zranitelností a rizik.

Kromě skutečných nástrojů pro hodnocení a řízení rizik může sada softwarových nástrojů také obsahovat dodatečné finanční prostředky pro dokumentaci ISMS, analýzu nesrovnalostí s požadavky norem, vytvoření registru zdrojů a dalších nástrojů nezbytných pro implementaci a provoz ISMS.

závěry

Volba kvalitativních nebo kvantitativních přístupů k hodnocení rizik je dána povahou podnikání organizace a úrovní její informatizace, tzn. důležitost informačních aktiv pro něj, stejně jako úroveň vyspělosti organizace.

Při zavádění formálního přístupu k řízení rizik v organizaci je nutné spoléhat se především na zdravý rozum, existující normy (například BS 7799-3) a zavedené metodiky (například OCTAVE nebo CRAMM). K tomuto účelu může být užitečné použít softwarový nástroj, který implementuje příslušné metodiky a v maximální možné míře splňuje požadavky norem (např. RA2).

Efektivita procesu řízení rizik informační bezpečnosti je dána přesností a úplností analýzy a hodnocení rizikových faktorů a také účinností mechanismů používaných v organizaci pro přijímání manažerských rozhodnutí a sledování jejich realizace.

Odkazy

• Astakhov A.M., „Historie standardu BS 7799“, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
• Astakhov A.M., "Jak vybudovat a certifikovat systém řízení bezpečnosti informací?",

Anotace: Přednáška poskytuje podrobnou definici informační bezpečnosti, pojednává o aspektech řízení rizik. Je popsán model zabezpečení s plným přesahem.

Úvod

Cílem předmětu je studium moderních metod analýzy a řízení rizik spojených s informační bezpečností (IS). Vzhledem k tomu, že v procesu řízení rizik lze realizovat zavádění konkrétních prostředků a mechanismů ochrany, je v praktické části kurzu kladen důraz na Řízení rizik v systémech založených na operačních systémech (OS) rodiny Microsoft Windows.

IS riziko nazveme případnou příležitost ke vzniku ztrát z důvodu narušení bezpečnosti informačního systému (IS). Pojem riziko je často zaměňován s pojmem ohrožení.

IS hrozba odkazuje na potenciální incident, ať už úmyslný nebo ne, který by mohl mít nežádoucí vliv na počítačový systém, jakož i informace v něm uložené a zpracovávané.

Zranitelnost IP- to je určitá nešťastná vlastnost, která umožňuje výskyt hrozby. Zranitelností je nedostatečné zabezpečení a/nebo některé chyby v systému, stejně jako přítomnost tajných vstupů do systému v systému, které zanechávají vývojáři tohoto systému při jeho ladění a konfiguraci.

Riziko se od hrozby odlišuje tím, že existuje kvantitativní hodnocení možných ztrát a (případně) hodnocení pravděpodobnosti realizace hrozby.

Pojďme ale přijít na to, proč je nutné zkoumat rizika v oblasti informační bezpečnosti a co to může dát při vývoji systému informační bezpečnosti pro IS. U každého projektu, který vyžaduje finanční náklady na jeho realizaci, je nanejvýš žádoucí si již v počáteční fázi stanovit, co budeme považovat za známku dokončení díla a jak budeme výsledky projektu vyhodnocovat. U úkolů souvisejících se zajištěním informační bezpečnosti je to více než relevantní.

V praxi se nejčastěji používají dva přístupy k doložení návrhu bezpečnostního subsystému.

První z nich je založen na kontrole souladu úrovně zabezpečení IP s požadavky některého ze standardů v oblasti informační bezpečnosti. Může to být bezpečnostní třída v souladu s požadavky řídících dokumentů Státní technické komise Ruské federace (nyní je to FSTEC Ruska), ochranný profil vyvinutý v souladu s normou ISO-15408 nebo jiný soubor požadavků. Pak je kritériem pro dosažení cíle v oblasti bezpečnosti splnění daného souboru požadavků. Kritérium účinnosti- minimální celkové náklady na implementaci stanovených funkčních požadavků: kde c i - náklady na i -tý prostředek ochrany.

Hlavní nevýhodou tohoto přístupu je, že v případě, kdy není přesně specifikována požadovaná úroveň zabezpečení (např. zákonnými požadavky), je poměrně obtížné určit „nejefektivnější“ úroveň zabezpečení IS.

Druhý přístup k budování systému informační bezpečnosti souvisí s hodnocením a řízením rizik. Původně vycházel z principu „přiměřené dostatečnosti“ uplatňovaného v oblasti informační bezpečnosti. Tento princip lze popsat následující sadou příkazů:

• je nemožné vytvořit absolutně nepřekonatelnou obranu;
• je nutné dosáhnout rovnováhy mezi náklady na ochranu a dosaženým efektem, vč. a ekonomický, který spočívá ve snižování ztrát z narušení bezpečnosti;
• náklady na ochranné prostředky by neměly přesáhnout náklady na chráněné informace (nebo jiné zdroje – hardware, software);
• náklady pachatele neautorizovaný přístup(UAS) k informacím musí přesáhnout účinek, který získá uplatněním takového přístupu.

Ale zpět k rizikům. V tomto případě s ohledem na výchozí stav IS odhadujeme výši očekávaných ztrát z incidentů informační bezpečnosti (zpravidla se bere určité časové období např. rok). Poté se provede posouzení toho, jak navrhované bezpečnostní nástroje a opatření ovlivňují zmírňování rizik a kolik stojí. Pokud si představíme nějakou ideální situaci, pak představu o přístupu ukazuje níže uvedený graf (obr. 1.1).

S rostoucími náklady na ochranu klesá výše očekávaných ztrát. Pokud mají obě funkce podobu znázorněnou na obrázku, pak je možné určit minimum funkce "Očekávané celkové náklady", což je to, co potřebujeme.

Bohužel v praxi není možné určit přesný vztah mezi náklady a mírou zabezpečení, proto není analytická metoda pro stanovení minimálních nákladů v předložené podobě použitelná.

Abychom přistoupili k úvahám o otázkách popisu rizik, zavedeme ještě jednu definici . zdroj nebo aktivum budeme volat pojmenovaný prvek IS, který má (materiální) hodnotu a podléhá ochraně.

Potom lze riziko identifikovat pomocí následující sady parametrů:

• hrozba, jejíž možná realizace toto riziko vyvolala;
• zdroj, pro který může být implementován tuto hrozbu(zdrojem může být informace, hardware, software atd.);
• zranitelnost, jejímž prostřednictvím lze realizovat danou hrozbu vůči danému zdroji.

Je také důležité určit, jak poznáme, že došlo k nechtěné události. V procesu popisu rizik jsou proto obvykle indikovány i události - "spouštěče", což jsou identifikátory rizik, která se vyskytla nebo se očekávají v blízké budoucnosti (například prodloužení doby odezvy webového serveru může naznačovat, že je proti němu prováděn jeden z typů útoků odmítnutí služby).

Na základě výše uvedeného je v procesu hodnocení rizik nutné odhadnout náklady na škody a četnost výskytu nežádoucích událostí a pravděpodobnost, že taková událost způsobí poškození zdroje.

Výše škody z realizace hrozby pro zdroj závisí na:

1. Z nákladů na zdroj, který je ohrožen.
2. Z míry destruktivnosti dopadu na zdroj, vyjádřené jako koeficient destruktivity. Uvedený koeficient je zpravidla v rozmezí od 0 do 1.

Získáme tak odhad, který lze reprezentovat jako produkt:

(Náklady na zdroje)* (Koeficient destruktivity).

Dále je nutné odhadnout četnost výskytu uvažované nežádoucí události (po určitou pevně stanovenou dobu) a pravděpodobnost úspěšné provedení hrozby. V důsledku toho lze náklady na riziko vypočítat pomocí vzorce:

(frekvence)*(pravděpodobnost)*(náklady na zdroje)*(destruktivní koeficient).

Přibližně takový vzorec se používá v mnoha technikách analýzy rizik, z nichž některé budou diskutovány dále. Očekávaná škoda je porovnána s náklady na opatření a nápravy, poté je rozhodnuto o tomto riziku. Může být:

• snížena (například v důsledku zavedení prostředků a mechanismů ochrany, které snižují pravděpodobnost ohrožení nebo koeficient destruktivity);
• eliminován (odmítnutím použít zdroj vystavený hrozbě);
• převedeno (například pojištěné, v důsledku čehož v případě ohrožení bezpečnosti ponese ztráty pojišťovna, nikoli vlastník IP);
• přijato.

Řízení rizik. Bezpečnostní model s plným pokrytím

Myšlenky za řízením rizik sahají hodně k úplnému překrývajícímu se bezpečnostnímu modelu vyvinutému v 70. letech.

Model bezpečnostního systému s plným přesahem je postaven na základě postulátu, že bezpečnostní systém by měl mít alespoň jeden prostředek k zajištění bezpečnosti v každé možné cestě vlivu narušitele na IS.

Model přesně definuje každou oblast vyžadující ochranu, vyhodnocuje bezpečnostní prvky z hlediska jejich účinnosti a jejich přínosu pro bezpečnost v celém výpočetním systému.

Má se za to, že neoprávněný přístup ke každému z mnoha chráněných objektů (zdrojů IS) O je pro vlastníka IP spojen s určitou „hodnotou škody“ a tuto škodu lze vyčíslit.

Každý objekt vyžadující ochranu je spojen s určitým souborem akcí, ke kterým se může narušitel uchýlit, aby získal neoprávněný přístup k objektu. Potenciální škodlivé akce proti všem objektům tvoří soubor hrozeb IS T . Každý prvek množiny hrozeb je charakterizován pravděpodobností výskytu.

Množina vztahů "objekt-hrozba" tvoří bipartitní graf (obr. 1.2), ve kterém hrana (t i ,o j ) existuje právě tehdy, když t i je prostředkem k získání přístupu k objektu o j . Je třeba poznamenat, že vztah mezi hrozbami a objekty není vztahem jedna ku jedné – hrozba se může rozšířit na libovolný počet objektů a objekt může být zranitelný vůči více než jedné hrozbě. Účelem obrany je „zablokovat“ každou hranu daného grafu a postavit bariéru pro přístup k t i ,m k ) a (m k ,o j ). Jakákoli hrana ve tvaru (t i , o j ) definuje nechráněný objekt . Je třeba poznamenat, že stejný bezpečnostní nástroj může odolat implementaci více než jedné hrozby a (nebo) chránit více než jeden objekt. Nepřítomnost hrany (ti,oj) nezaručuje úplnou bezpečnost (ačkoli přítomnost takové hrany dává možnost neoprávněného přístupu, pokud pravděpodobnost výskytu ti není nulová).

Další zvážení zahrnuje množinově teoretický model bezpečný systém - bezpečnostní systém Clements. Popisuje systém jako pětinásobnou množinu S=(O,T,M,V,B) , kde O je množina chráněných objektů; T je soubor hrozeb; M - sada bezpečnostních nástrojů; V - množina zranitelností - mapování TxO na množinu uspořádaných dvojic V i =(t i ,o j) , představujících způsoby průniku do systému; B - množina bariér - mapování VxM nebo TxOxM na množinu uspořádaných trojic b i =(t i ,o j ,m k) představujících body, ve kterých je v systému vyžadována ochrana.

Systém plného pokrytí je tedy systém, ve kterém existují prostředky ochrany pro každou možnou cestu průniku. Pokud v takovém systému , Že .

Model zabezpečovacího systému s plným přesahem popisuje požadavky na skladbu subsystému IP ochrany. Nezabývá se však otázkou nákladů na implementované prostředky ochrany a poměru nákladů na ochranu a dosaženého účinku. Kromě toho může být v praxi poměrně obtížné určit celou sadu "cest" do systému. To, jak plně je tato sada popsána, závisí na tom, jak adekvátní bude výsledek. reálná situace záležitosti.

V lednu 2018 byla na Světovém ekonomickém fóru v Davosu představena zpráva Global Risks to Humanity Report 2018. Ze zprávy vyplývá, že význam rizik informační bezpečnosti roste jak z důvodu nárůstu počtu realizovaných útoků, tak s přihlédnutím k jejich destruktivnímu potenciálu.

CRAMM, COBIT for Risk, FRAP, Octave a Microsoft jsou jedny z nejběžnějších metod řízení rizik informační bezpečnosti na světě. Kromě určitých výhod mají také svá omezení. Zejména uvedené zahraniční metody mohou efektivně využívat komerční společnosti, zatímco vládní organizace se musí při hodnocení a řízení rizik informační bezpečnosti řídit ustanoveními předpisů FSTEC Ruska. Například pro automatizované řídicí systémy pro výrobní a technologické procesy v kritických zařízeních je třeba se řídit objednávkou ruského FSTEC ze dne 14. března 2014 č. 31. Zároveň by tento dokument mohl být také použit jako doplňkový materiál federálními výkonnými orgány.

Rizika informační bezpečnosti v moderní společnosti

Za Nedávno počet útoků na organizace se zdvojnásobil. Útoky, které způsobují mimořádné škody, se stávají běžnými. Finanční náklady na útoky rostou, přičemž jedny z největších ztrát jsou spojené s ransomwarovými útoky. Pozoruhodným příkladem toho jsou ransomwarové útoky WannaCry a NotPetya, které postihly více než 300 000 počítačů ve 150 zemích po celém světě a vedly k finančním ztrátám ve výši více než 300 milionů dolarů.

Dalším trendem je nárůst počtu útoků na kritickou infrastrukturu a strategická průmyslová zařízení, což může vést k selhání systémů podporujících podporu života lidstva a ke vzniku globálních katastrof způsobených člověkem.

Rizika informační bezpečnosti jsou tak zařazena do prvních tří nejpravděpodobnějších rizik (spolu s riziky přírodních katastrof a extrémních povětrnostních podmínek) a do seznamu šesti nejkritičtějších rizik z hlediska možného poškození (spolu s riziky použití zbraní hromadného ničení, přírodních katastrof, povětrnostních anomálií a nedostatku pitné vody). Řízení rizik informační bezpečnosti je proto jednou z prioritních oblastí rozvoje organizací po celém světě a je naprosto nezbytné pro jejich další fungování.

Cíle a přístupy k řízení rizik informační bezpečnosti

Cílem každé organizace je dosáhnout určitých ukazatelů, které charakterizují výsledky její činnosti. Například u obchodních společností je to tvorba zisku, růst kapitalizace, podílu na trhu či obratu a u státních organizací je to poskytování veřejných služeb obyvatelstvu a řešení problémů řízení. V každém případě, bez ohledu na účel činnosti organizace, může realizace rizik informační bezpečnosti narušit dosažení tohoto cíle. Každá organizace přitom svým způsobem posuzuje rizika a možnosti investic do jejich snižování.

Cílem řízení rizik informační bezpečnosti je tedy udržovat je na přijatelné úrovni pro organizaci. K vyřešení tohoto problému organizace vytvářejí integrované systémy informační bezpečnosti (ISS).

Při vytváření takových systémů vyvstává otázka volby ochranných nástrojů, které zajistí snížení rizik informační bezpečnosti identifikovaných v procesu analýzy bez nadměrných nákladů na implementaci a podporu těchto nástrojů. Analýza rizik informační bezpečnosti umožňuje určit potřebný a dostatečný soubor nástrojů informační bezpečnosti, jakož i organizační opatření zaměřená na snížení rizik informační bezpečnosti a vyvinout takovou architekturu ISS organizace, která je pro její konkrétní činnosti nejúčinnější a je zaměřena na snížení její rizika informační bezpečnosti.

Všechna rizika, včetně rizik informační bezpečnosti, jsou charakterizována dvěma parametry: potenciálním poškozením organizace a pravděpodobností implementace. Použití kombinace těchto dvou charakteristik pro analýzu rizik umožňuje porovnat rizika s různými úrovněmi poškození a pravděpodobnosti, což je vede ke společnému vyjádření, které je srozumitelné pro osoby s rozhodovací pravomocí týkající se minimalizace rizik v organizaci. Proces řízení rizik se zároveň skládá z následujících logických etap, jejichž skladba a obsah závisí na použité metodice hodnocení a řízení rizik:

1. Stanovení míry rizika přijatelného pro organizaci (rizikový apetit) - kritérium použité při rozhodování o přijetí rizika nebo jeho léčbě. Na základě tohoto kritéria se určí, která rizika identifikovaná v budoucnu budou bezpodmínečně přijata a vyloučena z dalšího zvažování a která budou podrobena další analýze a zahrnuta do plánu reakce na rizika.
2. Identifikace, analýza a hodnocení rizik. Aby bylo možné o rizicích rozhodnout, musí být jednoznačně identifikována a posouzena z hlediska škody z realizace rizika a pravděpodobnosti jeho realizace. Hodnocení škod měří dopad rizika na IT aktiva organizace a obchodní procesy, které podporují. Při posuzování pravděpodobnosti se provádí analýza pravděpodobnosti realizace rizika. Posouzení těchto parametrů může být založeno na identifikaci a analýze zranitelností vlastních IT aktiv, které mohou být ovlivněny rizikem, a hrozeb, jejichž implementace je možná prostřednictvím využití těchto zranitelností. Rovněž v závislosti na použité metodice hodnocení rizik, modelu útočníka, informacích o obchodních procesech organizace a dalších faktorech souvisejících s implementací rizika, jako je politická, ekonomická, tržní nebo sociální situace v prostředí aktivit organizace, informace o podnikatelských procesech organizace a další faktory související s implementací rizika. lze použít jako výchozí data pro jejich posouzení. Při hodnocení rizik lze využít kvalitativní, kvantitativní nebo smíšený přístup k jejich hodnocení. Výhodou kvalitativního přístupu je jeho jednoduchost, minimalizace časových a mzdových nákladů na hodnocení rizik, omezení – nedostatečná viditelnost a složitost využití výsledků analýzy rizik pro ekonomické zdůvodnění a posouzení proveditelnosti investic do opatření reakce na rizika. Výhodou kvantitativního přístupu je přesnost vyhodnocení rizik, viditelnost výsledků a možnost porovnat hodnotu rizika, vyjádřenou v penězích, s výší investice nutné k reakci na toto riziko, nevýhodou je složitost, možnost srovnání hodnoty rizika, vyjádřeného v penězích, s výší investice potřebné k reakci na toto riziko. vysoká pracnost a délka provádění.
3. Hodnocení rizika. Aby bylo možné upřednostnit reakci na rizika a následně vytvořit plán reakce, musí být všechna rizika seřazena. Při klasifikaci rizik lze v závislosti na použité metodice použít taková kritéria pro určení kritičnosti, jako je škoda způsobená realizací rizik, pravděpodobnost realizace, IT aktiva a obchodní procesy ovlivněné rizikem, veřejné pobouření a poškození pověsti způsobené rizikem. uvědomění si rizika atd.
4. Rozhodnutí o riziku a vypracování plánu reakce na rizika. K určení celkového počtu opatření reakce na rizika je nutné analyzovat identifikovaná a vyhodnocená rizika, aby bylo možné učinit jedno z následujících rozhodnutí ohledně každého z nich:
   • Vyhýbání se riziku;
   • Přijetí rizika;
   • Přenos rizika;
   • Snížení rizika.
   Rozhodnutí učiněné pro každé riziko by mělo být zaznamenáno v plánu reakce na rizika. Tento plán může také v závislosti na použité metodice obsahovat následující informace nezbytné k reakci na rizika:
   • Zodpovědný za odpověď;
   • Popis opatření reakce;
   • Posouzení nezbytných investic do opatření reakce;
   • Načasování provádění těchto opatření.
5. Realizace opatření k reakci na rizika. Za účelem implementace opatření reakce na rizika organizují odpovědné osoby provedení akce popsané v plánu reakce na rizika v požadovaném časovém rámci.
6. Hodnocení účinnosti realizovaných opatření. Aby bylo zajištěno, že opatření aplikovaná v souladu s plánem odezvy jsou účinná a úroveň rizik je pro organizaci přijatelná, je vyhodnocována účinnost každé implementované reakce na rizika a rovněž jsou pravidelně identifikována, analyzována a vyhodnocována rizika organizace.

Přehled metodiky CRMM

Metoda CRAMM (CCTA Risk Analysis and Management Method), vyvinutá britskou bezpečnostní službou v roce 1985, je založena na standardech řízení bezpečnosti informací řady BS7799 (v současnosti revidovaných v ISO 27000) a popisuje přístup ke kvalitativnímu hodnocení rizik. Současně dochází k přechodu na stupnici hodnot kvalitativních ukazatelů pomocí speciálních tabulek, které určují shodu mezi kvalitativními a kvantitativními ukazateli. Hodnocení rizik je založeno na analýze hodnoty IT aktiv pro podnikání, zranitelnosti, hrozby a pravděpodobnosti jejich implementace.

Proces řízení rizik CRAMM se skládá z Další kroky:

1. Zahájení. V této fázi je vedena řada rozhovorů se zainteresovanými stranami v procesu analýzy rizik informační bezpečnosti, včetně těch, kteří jsou odpovědní za provoz, správu, bezpečnost a používání IT aktiv, pro které se analýza rizik provádí. Výsledkem je formalizovaný popis oblasti pro další výzkum, jsou uvedeny její hranice a je stanoveno složení osob zapojených do analýzy rizik.
2. Identifikace a hodnocení IT majetku (Identification and Valuation of Assets). Je určen seznam IT prostředků používaných organizací v dříve definované oblasti studia. Podle metodiky CRAMM mohou být IT aktiva jedním z následující typy:
   • Data;
   • Software;
   • fyzický majetek.
   U každého aktiva je stanovena jeho kritičnost pro činnost organizace a společně se zástupci oddělení využívajících IT aktivum k řešení aplikovaných problémů jsou posuzovány důsledky pro činnost organizace z porušení její důvěrnosti, integrity a dostupnosti.
3. Posouzení hrozeb a zranitelnosti. Kromě hodnocení kritičnosti IT aktiv je důležitou součástí metodiky CRAMM hodnocení pravděpodobnosti hrozeb a zranitelností IT aktiv. Metodika CRAMM obsahuje tabulky popisující vztah mezi zranitelnostmi IT aktiv a hrozbami, které mohou prostřednictvím těchto zranitelností ovlivnit IT aktiva. Existují také tabulky popisující poškození IT majetku, pokud se tyto hrozby naplní. Tato fáze se provádí pouze pro nejkritičtější IT aktiva, u kterých implementace základního souboru opatření informační bezpečnosti nestačí. Určení skutečných zranitelností a hrozeb se provádí rozhovory s osobami odpovědnými za správu a provoz IT majetku. Pro ostatní IT aktiva obsahuje metodika CRAMM soubor nezbytných základních opatření informační bezpečnosti.
4. Výpočet rizika Riziko se vypočítá podle vzorce: Riziko = P (realizace) * Škoda. V tomto případě se pravděpodobnost realizace rizika vypočítá podle vzorce: P (implementace) = P (hrozby) * P (zranitelnosti). Ve fázi výpočtu rizika jsou pro každé IT aktivum stanoveny požadavky na soubor opatření k zajištění jeho informační bezpečnosti na stupnici od „1“ do „7“, kde hodnota „1“ odpovídá minimálnímu požadovanému souboru opatření k zajištění bezpečnosti informací a hodnota "7" - maximum.
5. Řízení rizik. Na základě výsledků výpočtu rizik stanovuje metodika CRAMM potřebný soubor opatření k zajištění bezpečnosti informací. K tomu slouží speciální katalog, který obsahuje asi 4 tisíce měr. Soubor opatření doporučených metodikou CRAMM je porovnán s opatřeními již přijatými organizací. V důsledku toho jsou identifikovány oblasti vyžadující zvýšenou pozornost z hlediska aplikace ochranných opatření a oblasti s nadměrnými ochrannými opatřeními. Tato informace slouží k sestavení akčního plánu ke změně skladby ochranných opatření používaných v organizaci – k uvedení úrovně rizik na požadovanou úroveň.

• Opakovaně ověřená metoda, která nashromáždila značné zkušenosti a odbornou způsobilost; výsledky aplikace CRMM jsou uznávány mezinárodními institucemi;
• Přítomnost jasného formalizovaného popisu metodiky minimalizuje možnost chyb při implementaci analýzy rizik a procesů řízení;
• Dostupnost nástrojů pro automatizaci analýzy rizik umožňuje minimalizovat mzdové náklady a čas na provádění analýzy rizik a činností řízení;
• Katalogy hrozeb, zranitelností, následků, opatření informační bezpečnosti zjednodušují požadavky na speciální znalosti a způsobilost přímých vykonavatelů činností analýzy a řízení rizik.

• Vysoká složitost a pracnost sběru počátečních dat, vyžadující zapojení značných zdrojů v rámci organizace nebo zvenčí;
• Velké výdaje na zdroje a čas na implementaci analýzy rizik informační bezpečnosti a procesů řízení;
• Zapojení velkého počtu zúčastněných stran vyžaduje značné organizační náklady společná práce, komunikace v rámci projektového týmu a koordinace výsledků;
• Nemožnost posouzení rizik z hlediska peněz ztěžuje využití výsledků hodnocení rizik informační bezpečnosti ve studii proveditelnosti investic potřebných k implementaci nástrojů a metod informační bezpečnosti.

Přehled metodiky COBIT for Risk

Při implementaci funkce a procesu řízení rizik v organizaci metodika identifikuje následující komponenty, které ovlivňují jak rizika informační bezpečnosti, tak proces jejich řízení:
• Principy, zásady, postupy organizace;
• procesy;
• Organizační struktura;
• Firemní kultura, etika a pravidla chování;
• Informace;
• IT služby, IT infrastruktura a aplikace;
• Lidé, jejich zkušenosti a kompetence.

Pokud jde o organizaci funkce řízení rizik informační bezpečnosti, metodika definuje a popisuje požadavky na následující komponenty:
• Požadovaný proces;
• Informační toky;
• Organizační struktura;
• lidé a kompetence.
Hlavním prvkem analýzy a řízení rizik informační bezpečnosti v souladu s metodikou jsou rizikové scénáře. Každý scénář je „popisem události, která, pokud nastane, by mohla vést k nejistému (pozitivnímu nebo negativnímu) dopadu na dosažení cílů organizace“. Metodika obsahuje více než 100 rizikových scénářů pokrývajících následující kategorie dopadů:
• Tvorba a údržba portfolií IT projektů;
• Řízení životního cyklu programu / projektu;
• Investice do IT;
• Odbornost a dovednosti pracovníků IT;
• Operace s personálem;
• Informace;
• Architektura;
• IT infrastruktura;
• Software;
• Neefektivní využívání IT;
• Výběr a řízení poskytovatelů IT;
• Soulad s regulačními požadavky;
• Geopolitika;
• Krádeže prvků infrastruktury;
• Škodlivý software;
• Logické útoky;
• Technogenní dopad;
• Životní prostředí;
• přírodní jev;
• Inovace.
Pro každý rizikový scénář metodika definuje míru, do jaké patří ke každému typu rizika:
• Strategická rizika – rizika spojená s promarněnými příležitostmi k využití IT k rozvoji a zlepšení efektivity hlavních činností organizace;
• Projektová rizika - rizika spojená s vlivem IT na tvorbu nebo rozvoj stávajících procesů organizace;
• Rizika řízení IT a poskytování IT služeb jsou rizika spojená se zajištěním dostupnosti, stability a poskytováním IT služeb v požadované kvalitě uživatelům, jejichž problémy mohou vést k poškození hlavní činnosti organizace.
Každý scénář rizika obsahuje následující informace:
• Typ zdroje ohrožení - interní/externí.
• Typ hrozby – škodlivá akce, přírodní jev, chyba atd.
• Popis události - přístup k informacím, zničení, úprava, zpřístupnění informací, krádež atd.
• Typy aktiv (součástí) organizace, kterých se událost týká – lidé, procesy, IT infrastruktura atp.
• Čas události.
V případě realizace rizikového scénáře činnosti organizace dochází ke škodě. Při analýze rizik informační bezpečnosti v souladu s metodikou COBIT for Risk jsou tedy identifikovány rizikové scénáře relevantní pro organizaci a opatření ke zmírnění rizik zaměřená na snížení pravděpodobnosti těchto scénářů. Pro každé z identifikovaných rizik je provedena analýza jeho souladu s ochotou organizace riskovat, po níž následuje přijetí jednoho z následujících rozhodnutí:
• Vyhýbání se riziku;
• Přijetí rizika;
• Přenos rizika;
• Snížení rizika.
Další řízení rizik se provádí analýzou úrovně zbytkového rizika a rozhodnutím o nutnosti implementace dalších opatření ke zmírnění rizika. Metodika obsahuje doporučení pro implementaci opatření ke zmírnění rizik pro každý typ organizační složky.

Z hlediska praktické aplikace lze rozlišit následující výhody metodiky COBIT for Risk:
• Propojení se společnou knihovnou COBIT a možnost využívat přístupy a „IT kontroly“ (opatření ke zmírnění rizik) ze souvisejících oblastí, umožňující zvažovat rizika informační bezpečnosti a zmírňující opatření ve vztahu k dopadu rizik na obchodní procesy organizace;
• Opakovaně ověřená metoda, kterou byly nashromážděny značné zkušenosti a odborné kompetence a jejíž výsledky jsou uznávány mezinárodními institucemi;
• Přítomnost jasného formalizovaného popisu metodiky umožňuje minimalizovat chyby při provádění analýzy rizik a procesů řízení;
• Katalogy rizikových scénářů a „IT kontroly“ umožňují zjednodušit požadavky na speciální znalosti a způsobilost přímých vykonavatelů činností analýzy a řízení rizik;
• Možnost využívat metodiku při provádění auditů umožňuje snížit mzdové náklady a čas potřebný k interpretaci výsledků externích a interních auditů.
Metodika COBIT for Risk má zároveň následující nevýhody a omezení:
• Vysoká složitost a pracnost sběru počátečních dat vyžaduje zapojení značných zdrojů buď v rámci organizace, nebo zvenčí;
• Zapojení velkého počtu zúčastněných stran vyžaduje značné náklady na organizaci společné práce, vyčlenění času zúčastněným osobám na komunikaci v rámci projektového týmu a odsouhlasení výsledků se všemi zainteresovanými stranami;
• Neexistence možnosti ohodnocení rizik v penězích znesnadňuje využití výsledků hodnocení rizik informační bezpečnosti při zdůvodňování investic nezbytných pro implementaci nástrojů a metod informační bezpečnosti.
Tato metoda používají vládní i komerční organizace po celém světě. Metoda je nejvhodnější pro velké technologické organizace nebo organizace s vysokou mírou závislosti na informačních technologiích pro jejich hlavní předmět podnikání, pro ty, kteří již používají (nebo plánují používat) standardy a metodiky COBIT pro řízení informačních technologií a mají potřebné zdroje a kompetence k tomu. V tomto případě je možné efektivně integrovat procesy a procesy řízení rizik informační bezpečnosti obecné vedení IT a dosažení synergického efektu, který optimalizuje náklady na implementaci procesů analýzy a řízení rizik informační bezpečnosti.