април 2009
УПРАВЛЕНИЕ НА РИСКА
СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА
ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА
МОДЕЛ ЗА УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005
МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА
ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА
ПРИМЕР ЗА ОЦЕНКА НА РИСКАУправление на риска
Използването на информационни системи е свързано с определена съвкупност от рискове. Когато възможната загуба е неприемливо голяма е необходимо да се приемат икономически оправдани мерки за защита.
Периодична оценка на риска е необходима за контрол ефективността на дейността в областта на информационната сигурност и за контрол промените във външната и вътрешната среда.
Същност на управление на риска
От количествена гледна точка рискът се явява функция на вероятността от реализация на определена заплаха, използваща уязвими места на системата , както и големината на възможната загуба.
Управлението на риска се състои в това да се:
-
Анализира и оцени размера на риска (измерен риск);
-
Внедрят ефективни и икономични механизми за намаляване на риска (минимизиран риск);
-
Постигне убеденост, че рисковете се намират в допустими рамки и остават такива (остатъчен риск)
Следователно, управлението на риска включва основно два вида дейности, които се редуват циклично:
-
Оценка (измерване на ) риска;
-
Избор на ефективни защитни средства за неутрализиране на рисковете
Елементи на управление на риска
|
Елементи |
Въпроси |
| Ценности | Какви ресурси трябва да бъдат защитени? |
|
Заплахи |
От какво е необходимо да бъдат защитени ценностите? Каква е вероятността заплахата да бъде реализирана? |
|
Въздействия
|
Какви ще бъдат непосредствените последици след реализация на заплахата (например, разкриване на информация, модификация или разрушаване на данни и т.н.)? |
|
Последствия
|
Какви ще бъдат дългосрочните последици след реализация на заплахата (например, загубване на репутация, загуби или фалин на бизнеса и т.н.)? |
|
Мерки за защита |
С какви ефективни мерки (служби за сигурност и механизми) трябва да бъдат защитени ценностите? |
|
Остатъчен риск |
Приемлив ли е съществуващия риск от реализацията на заплахата? |
Стратегии за управление на риска
По отношение на оценения риск са възможни следните действия:
-
ликвидация на риска (например, за за сметка на отстраняване на причините);
-
намаляване на риска (например, за сметка на използване на допълнителни защитни средства);
-
приемане на риска (когато инвестициите са по-големи от възможните загуби);
-
преадресация на риска (например, чрез сключване на застрахователен договор).
Жизнен цикъл на СУСИ (ISMS) и възможен риск
Управлението на риска, както и всяка друга дейност е необходимо да интегрира в жизнения цикъл на СУСИ. Тогава ефектът се оказва най-голям, а разходите минимални.
На етап изследване на риска трябва да се разработят изискванията към СУСИ като цяло и към средствата за защита в частност.
На етап проектиране познаването на рисковете помага при избора на съответните архитектурни решения, които играят ключова роля в осигуряване на информацонна сигурност.
На етап внедряване риска следва да се отчита при конфигуриране, тестване и проверка на изискванията към системата, а пълния цикъл по управление на риска трябва да предшества внедряването на системата в експлоатация.
На етап експлоатация управлението на риска трябва да съпровожда всички съществени промени в системата.