Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Лекция 3:

Методики построения систем защиты информации

< Лекция 2 || Лекция 3: 123456 || Лекция 4 >

Методика управления рисками, предлагаемая Microsoft

Ниже представлено краткое описание подхода к управлению рисками, предлагаемого корпорацией Microsoft. Данное описание базируется на материалах "Руководства по управлению рисками" [8].

Управление рисками рассматривается как одна из составляющих общей программы управления, предназначенной для руководства компаний и позволяющей контролировать ведение бизнеса и принимать обоснованные решения

Процесс управления рисками безопасности, предлагаемый Майкрософт, включает следующие четыре этапа ( рис. 3.3):

  1. Оценка рисков.
    • Планирование сбора данных. Обсуждение основных условий успешной реализации и подготовка рекомендаций.
    • Сбор данных о рисках. Описание процесса сбора и анализа данных.
    • Приоритизация рисков. Подробное описание шагов по качественной и количественной оценке рисков.
  2. Поддержка принятия решений.
    • Определение функциональных требований. Определение функциональных требований для снижения рисков.
    • Выбор возможных решений для контроля. Описание подхода к выбору решений по нейтрализации риска.
    • Экспертиза решения. Проверка предложенных элементов контроля на соответствие функциональным требованиям.
    • Оценка снижения риска. Оценка снижения подверженности воздействию или вероятности рисков.
    • Оценка стоимости решения. Оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска.
    • Выбор стратегии нейтрализации риска. Определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.
  3. Реализация контроля. Развертывание и использование решений для контроля, снижающих риск для организации.
    • Поиск целостного подхода. Включение персонала, процессов и технологий в решение по нейтрализации риска.
    • Организация по принципу многоуровневой защиты. Упорядочение решений по нейтрализации риска в рамках предприятия.
  4. Оценка эффективности программы. Анализ эффективности процесса управления рисками и проверка того, обеспечивают ли элементы контроля надлежащий уровень безопасности.
    • Разработка системы показателей рисков. Оценка уровня и изменения риска.
    • Оценка эффективности программы. Оценка программы управления рисками для выявления возможностей усовершенствования.

В руководстве [8] особо отмечается, что термины управление рисками и оценка рисков не являются взаимозаменяемыми. Под управлением рисками понимаются общие мероприятия по снижению риска в рамках организации до приемлемого уровня. Управление рисками представляет собой непрерывный процесс, но производимые оценки чаще всего делаются для годичного интервала. Под оценкой рисков понимается процесс выявления и приоритизации рисков для бизнеса, являющийся составной частью управления рисками.

Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт

Рис. 3.3. Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт

При описании риска делается указание на то, какое влияние он оказывает на бизнес и насколько вероятно данное событие. Компоненты, описывающие риск изображены на рис. 3.4.

Компоненты "полной формулировки" риска

Рис. 3.4. Компоненты "полной формулировки" риска

На начальном этапе проведения оценки рискам присваиваются значения в соответствии со шкалой: "высокий", "средний" и "низкий". После этого, для выявленных наиболее существенных рисков проводится количественная оценка. Подробно предлагаемая Microsoft методика оценки рисков будет рассмотрена в последующих разделах учебного курса.

Перед внедрением в организации процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт, необходимо проверить уровень зрелости организации с точки зрения управления рисками безопасности. Организациям, в которых отсутствуют формальные политики или процессы, относящиеся к управлению рисками безопасности, будет очень трудно сразу внедрить все аспекты рассматриваемого процесса. Если окажется, что уровень зрелости является достаточно низким, рассматриваемый процесс можно внедрять последовательными этапами на протяжении нескольких месяцев (например, путем эксплуатации пилотного проекта в отдельном подразделении на протяжении нескольких полных циклов данного процесса). Продемонстрировав эффективность процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт, на примере этого пилотного проекта, группа управления рисками безопасности может перейти к внедрению данного процесса в других подразделениях, постепенно охватывая всю организацию.

Уровень зрелости оценивается по шкале, приведенной в табл.3.1.

Таблица 3.1. Уровни зрелости управления рисками безопасности
Уровень Состояние Определение
0 Отсутствует Политика или процесс не документированы. Ранее организация не знала о деловых рисках, связанных с управлением рисками, и не рассматривала данный вопрос
1 Узкоспециализированный Некоторые члены организации признают значимость управления рисками, однако операции по управлению рисками являются узкоспециализированными. Политики и процессы в организации не документированы, процессы не являются полностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и некоординируемыми, а получаемые результаты не измеряются и не подвергаются аудиту
2 Повторяемый Организации известно об управлении рисками. Процесс управления рисками является повторяемым, но развит слабо. Процесс документирован не полностью, однако соответствующие операции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится формальное обучение и информирование по управлению рисками; ответственность за выполнение соответствующих мероприятий возложена на отдельных сотрудников
3 Наличие определенного процесса Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информации. В организации разработан базовый процесс с четко определенными целями и документированными процессами достижения и оценки результатов. Проводится обучение всего персонала основам управления рисками. Организация активно внедряет документированные процессы управления рисками
4 Управляемый На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распространена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффективности. Программе управления рисками выделен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений организации, а группа управления рисками безопасности может постоянно совершенствовать свои процессы и средства. В организации используются некоторые технологические средства, помогающие в управлении рисками, однако большая часть (если не подавляющее большинство) процедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную
5 Оптимизированный Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудники пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет и каким образом их нужно будет решать. Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная причина возникшей проблемы и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники организации могут проходить обучение, обеспечивающее различные уровни подготовки
< Лекция 2 || Лекция 3: 123456 || Лекция 4 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова
Роман Боев
Роман Боев
Россия
Жангожа Замадинов
Жангожа Замадинов
Казахстан, Almaty