Обеспечение информационной безопасности бизнеса

5-й уровень

Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется, ориентируясь на последние достижения в области ИБ, действующие международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные эксперты для консультаций по вопросам рисков, оптимизации существующей системы сбора и анализа первичной информации для анализа рисков. Проводятся совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер…

По образу и подобию модель зрелости представляется для всех других процессов СМИБ организации.

Оценка уровня зрелости рассмотренного процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации должна осуществлять на основе свидетельств выполненной деятельности по направлениям, соответствующим заявляемому или ожидаемому уровню зрелости. Например, для оценок на первый или третий уровень зрелости должны быть представлены свидетельства по следующим направлениям.

1-й уровень зрелости (начальный)

3-й уровень зрелости

1) Процесс аттестован на соответствие 2-му уровню зрелости.

2) Получены свидетельства следующих действий.

3.4. Риск-ориентированная оценка информационной безопасности

Оценка, основанная на оценке риска и оценке управления риском, отличается от системно- ориентированной и процессно-ориентированной оценки и называется [32] риск-ориентированной оценкой. Ключевое отличие риск-ориентированной оценки в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска.

Риск-ориентированная оценка дает объективное и наиболее информативное представление об уровне эффективности деятельности организации, эффективности принимаемых менеджментом решений и эффективности затрат на поддержание и развитие бизнеса, исходя из сопоставления существующих рисков деятельности организации и принимаемых организацией мер по обработке таких рисков.

Целью риск-ориентированной оценки является определение, что:

— процессы менеджмента риска должным образом созданы и внедрены;

— процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса), действуют надлежащим образом;

— в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.

Алгоритм проведения риск-ориентированной оценки показан на рис. 61.

При проведении риск-ориентированной оценки следует:

— оценить инфраструктуру менеджмента риска, например ресурсов, документации, методов, сообщения;

— оценить специфические риски;

— при необходимости пересматривать бизнес-цели и процессы менеджмента риска;

— там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;

— конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.

На рис. 62 показана модель риск-ориентированной оценки ИБ организации.

Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т. е. любому рисковому событию соответствует некоторый набор факторов риска.

Измерить фактор риска — это значит установить степень соответствия состояния фактора риска некоторому состоянию r^m, определяющему проявление рискового события.

Для совокупности факторов риска функция соответствия показывает

степень достижения состояний факторов риска нежелательных состояний (состояний проявления рискового события).

Для каждого фактора риска, когда и являются неслучайными (детерминированными) переменными, функция соответствия служит результатом W_ij измерения, полученного с помощью выбранного метода измерения:

где i — количество оцениваемых рисковых событий,

j — количество факторов риска i-го рискового события.

Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.

Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.

4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса

4.1. Общие сведения

4.1.1. Тенденции