Управлението на риска стои в основата на СУСИ и е може би най-сложната част от прилагането на ISO/IEC 27001. Това е най-важната стъпка при разработване и внедряване на система за управление на сигурността на информацията.
Управлението на риска се състои от два основни елемента: оценяване на риска и въздействие върху риска.
Оценяването на риска е процес на определяне на рисковете за сигурността на информацията и оценяване на вероятността и последствията от тяхното възникване.
Въздействието върху риска има за цел да определи какви предпазни мерки ще бъдат предприети, за да се избегнат потенциалните рискове. Определянето на предпазните мерки е свързано с избора на подходящи механизми за контрол от Приложение А на стандарта. Процесът на въздействие върху риска ще бъде подробно разгледан в следваща статия.
Изисквания
Изискванията по отношение на оценяване на риска са посочени в т.6.1.2 от ISO/IEC 27001:2022. За да се извърши оценяване на риска на първо място е необходимо да се установят правила(методология) – как ще се оценява риска, критерии за оценяване, критерии за приемливо ниво на риска и т.н.
| ISO/IEC 27001:2022 прави препратка към основния стандарт за управление на риска – ISO 31000, в който са заложени принципите и се дават основни насоки за управление на риска и който може да бъде много полезен за разбиране на същността на процеса. Друг помощен стандарт, който може да бъде полезен за установяване на критерии и правила за управление на риска е ISO/IEC 27005. Този стандарт е посветен изцяло на управлението на риска за сигурността на информацията. От него може да се получи по-задълбочен поглед върху процеса на оценяване и въздействие върху риска конкретно по отношение на сигурността на информацията. |
След като правилата вече са установени може да се започне с тяхното прилагане на практика – изброяване на активи, заплахи, уязвимости, оценяване на вероятността и последствията за всяка комбинация от активи/заплахи/уязвимости, определяне на нивото на риска. Но преди това нека да обърнем повече внимание на методологията за оценяване на риска.
Какво представлява методологията за управлени на риска?
Обикновени правилата за процеса на оценяване на риска се документират в Методология за оценяване на риска, която се разработва като се съблюдават изискванията посочени в т.6.1.2 от стандарта. В методологията се вкючва информация за това:
- как ще се идентифицират рисковете, които биха могли да причинят загуба на поверителността, целостта и/или наличността на информация;
- как ще се определят собствениците на риска;
- какви ще бъдат критериите за оценяване на вероятността и последствията;
- как ще се изчислява нивото на риска;
- какви ще бъдат критериите за приемане на риска.
Как се идентифицират рисковете?
ISO/IEC 27001:2022 не поставя изисквания за използване на конкретен вид методология, което означава, че организацията има свободата за избор. Въпреки това, практиката показва, че старата методология чрез която се оценява риска на основата на активи дава добри резултати и успешно се използва от повечето организации. Тази методология изисква да се определят активите, заплахите и уязвимостите.
| Актив е всяко нещо, което има стойност за организацията:
-информация – информация за изпълнение на дейността на организацията, лична информация, стратегическа информация; -софтуер – програми, свързани с функционирането и обработката на множество данни; -хардуер – устройства за обработка на данни, лаптоп, сървър, работна станция, принтер, сменяем твърд диск и др.; -услуги; -хора и тяхната квалификация, умения и опит; -нематериални ценности като репутация и имидж. Активите имат уязвимости, които се използват от заплахите с цел увреждане на актива. |
За да се разбере връзката между активи, заплахи и уязвимости нека да разгледаме един пример:
| Актив | Заплаха | Уязвимост | Риск, свързан с |
| хартиен документ | пожар | документът не се съхранява в огнеупорен шкаф | потенциална загуба на наличност на информацията |
| пожар | няма резервно копие на документа | потенциална загуба на наличност на информацията | |
| неоторизиран достъп | документът не се съхранява в заключен шкаф | потенциялна загуба на поверителност на информацията | |
| цифров документ | повреда на диска | няма резервно копие на документа | потенциална загуба на наличност на информацията |
| вирус | антивирусната програма не е актуализирана | потенциална загуба на поверителност, цялост и достъпност | |
| неоторизиран достъп | неправилно дефиниран достъп | потенциална загуба на поверителност, цялост и достъпност |
Методологията изисква да се състави списък на активите на организацията заедно с техните заплахи и уязвимости. За да се ускори процеса е възможно активите да бъдат групирани, например група „лаптопи“, група „физически сървъри“ или „виртуални сървъри“, група „висше ръководство“, група „системни администратори“ и др.
Собственици на риска
За идентифицираните рискове трябва да се определят отговорници. За да има ефект, отоговрникът трябва да бъде от една страна заинтересован от минимизирането/отстранването на даден риск и от друга страна да заема достатъчно висока позиция, за да може да предприеме съответните действия.
Добра практика е всеки риск да се разглежда отделно и да се прецени кой би бил подходящ отговорник. Например, за рискове, свързани с лични данни на персонала, отговорник може да бъде ръководител „Човешки ресурси“, защото това лице е наясно с използването на този тип данни, законовите изисквания и има достатъчно правомощия да предприеме необходимите действия за тяхната защита.
Как се изчислява нивото на риска?
Следващата стъпка е да се изчисли колко голям е всеки риск. Това се постига чрез оценяване на последствията, ако рискът се осъществи и оценяване на това колко е вероятно той да се случи. Използвайки тази информация лесно може да се изчисли нивото на риск като се използват количествен, качествен или комбиниран подход за оценяване.
Според ISO/IEC 27005:2022, нивото на риска обикновено се определя като комбинация от оценяване на вероятността и последствията за всеки рисков сценарий. Като допълнение в някои случаи, в изчисленията може да се включи и трети елемент – стойност на актива.
Качествен метод
Качественият метод е по-лесен и на практика се прилага от повечето организации. При качествената оценка на риска фокусът е върху възприятията на заинтересованите страни относно вероятността от възникване на риск и неговото въздействие върху съответните организационни аспекти (напр. финансови, репутационни и т.н.). Това възприятие е представено в скали като „нисък-среден-висок“ или „1-2-3-4-5“, които се използват за определяне на крайната стойност на риска. Самото изчисляване на нивото на риска не е сложно. Обикновено се прави чрез:
- събиране – Последствия(2) + Вероятност(3) = Ниво на риск (5)
- умножение – Последствия(2)*Вероятност(3) = Ниво на риск (6)
Когато се използва скалата с ниско, средно, високо ниво, за да се изчисли нивото на риска могат да се прилагат стойности като например 1, 2, 3.
Основен недостатък на качествения подход е, че той е силно предубеден от разбиранията на тези, които извършват оценяването.
Количествен метод
Количествената оценка на риска се фокусира върху фактически и измерими данни за изчисляване на стойностите на вероятността и въздействието. Обикновено, стойностите на риска се изразяват в парично изражение, което прави резултатите от нея полезни извън субективния фактор. За да се постигне паричен резултат, количествената оценка често използва следните концепции:
- SLE (Single Loss Expectancy): пари, които се очаква да бъдат загубени, ако инцидентът се случи веднъж.
- ARO (Annual Rate of Occurrence): колко пъти в интервал от една година се очаква да се случи инцидентът.
- ALE (Annual Loss Expectancy): пари, които се очаква да бъдат загубени за една година, като се вземат предвид SLE и ARO (ALE = SLE * ARO). За количествена оценка на риска това е стойността на риска.
Предимствата на количествения метод е получаването на точни резултати, които не се влият от преценката на участниците, тъй като се използват фактически и измерими данни. Недостатък на метода е липсата на достатъчно данни, необходими за изчисленията.
Комбиниран подход
Количественият и качественият метод си имат своите предимства и недостатъци, които ги правят приложими за конкретен сценарий. Комбинирането на двата метода може да се окаже най-добрата алтернатива за оценяване на нивото на риска. Първоначално може да се използва качественият метод, за да се определят високите рискове и след това спрямо тях да се приложи количественият метод, за да се получи по-подробна информация необходима за вземане на решения за въздействие върху тях.
Оценяването на риска е най-критичната част от управление на риска и от това как ще бъде направена зависи бъдещият успех на СУСИ. Ако се нуждаете от бърза и лесна оценка на риска, можете да използвате качествения метод, но ако предстои да направите голяма инвестиция, която е критична за сигурността на информацията, може би има смисъл да инвестирате време и пари за прилагане на количествен метод за оценяване на риска. Все пак, ISO/IEC 27001:2022 позволява използването както на качествен, така и на количествен метод за оценяване на риска.
Критерии за приемане на риска
След като се получат резултатите от оценяване на нивото на риска, трябва да се прецени дали те са приемливи или не. Това означава да се сравни полученото ниво на риска с определеното в методологията приемливо ниво на риска. Например, ако за приемливо ниво на риска в методологията е определено числото 6(при възможни стойности от 2 до 9), то това означава, че рисковете оценени със стойност над 6 (т.е. 7, 8, 9) се определят като неприемливи. Всички неприемливи рискове трябва да преминат към следващата фаза – въздействие върху риска.
Практически съвети
Първо методологията, после всичко останало. Не започвайте да оценявате рисковете преди да сте създали или адаптирали методологията към вашите специфични обстоятелства и нужди.
Използвайте правилните помощни инструменти. Намерете подходящ софтуер, който да следва избраната от вас методология, а не обратното. В повечето случаи, Excel върши чудесна работа.
Включете правилните хора. Оценявянето не се извършва от един човек, Необходимо е да се включат отговорниците на процеси, защото те познават най-добре своите процеси и знаят къде могат да възникнат потенциални проблеми.
И на последно място, не се опитвайте да бъдете перфектни. Не се опитвайте да откриете всички рискове от първия път – това само ще забави процеса. Вместо това завършете оценяването на риска и на по-късен етап добавете рисковете, които сте установили, че липсват.
Заключение
На практика за създаване на работеща методология за оценяване на риска е необходимо да се определят изброените по-горе елементи. Всичко по-малко няма да бъде достатъчно, но и нищо повече не е необходимо. Не се препоръчва усложняване на правилата, освен ако няма реална полза от това.
Важен момент при създаването на методологията е, че тя трябва да бъде създадена по начин, който осигурява последователни, действителни и сравними резултати. Освен това, тя трябва да отговаря на нуждите на организацията. Не се препоръчва използването на методологии копирани от други организации, особено ако не се разбират. Вероятността от усложняване на работата и допускането на грешки е много голяма.
Оценяването на риска стои в основата на сигурността на информацията, но това не означава, че трябва да бъде нещо сложно и неразбираемо. Нека стремежът ви бъде насочен към лесни, практични и разбираеми неща, които са от полза за организацията.
0 отговори на "Как се оценява риска за сигурността на информацията?"