ИТ-риск
Риск информационных технологий, или ИТ риск (англ. IT risk), любой риск, связанный с использованием информационных технологий.
В то время как информация всегда являлась ценным и важным ресурсом, сейчас, в эпоху экономики знаний и цифровой революции, организации становятся всё более зависимы от информации, её обработки и, особенно, от информационных технологий. В связи с этим, события, влияющие каким-либо образом на ИТ, могут оказать неблагоприятные воздействия на бизнес-процессы[1]. Оценка вероятности правдоподобности различных типов событий с расчётом их возможных последствий это распространённый способ оценки и измерения ИТ риска[2]. Альтернативные методы измерения ИТ рисков обычно включают в себя оценивание сопутствующих факторов, таких как, например, угрозы, уязвимости и величина активов.
Определения
ИСО
Вероятность, что данная угроза воспользуется уязвимостью актива или группы ценных свойств и нанесёт, таким образом, вред организации. Примечание: это измерение в терминах комбинации вероятности случая и его последствия[3].
НИСТ
- В соответствии с NIST SP 800-30[4]:
- Риск является функцией вероятности того, что данный источник угрозы, использует потенциальную уязвимость организации и осуществит неблагоприятное воздействие на данную организацию
- NIST FIPS 200[5][6]:
- Риск - уровень воздействия на деятельность организации (включая предназначение, функции, имидж или репутацию), активы организации или людей, следующие из использования информационной системы, подвергаемой потенциальному воздействию угрозы, и вероятность появления угрозы.
- Риск, связанный с ИТ[7]
- Вероятность, что данный источник опасности использует(случайно или намеренно) конкретную уязвимость системы
- Результат этого воздействия. ИТ риски возникают от возможных потерь или юридической ответственности из-за:
- Неавторизованного (злоумышленного или случайного) раскрытия, изменения или уничтожения информации
- Непреднамеренных ошибок или упущений
- Технических сбоев в связи с природными или техногенными катастрофами
- Недостатка внимания при внедрении и эксплуатировании ИТ системы.
Управление ИТ риском
Существуют способы управления рисками, включающие в себя идентификацию риска, процесс оценки степени риска и процесс осуществления мероприятий, направленных на уменьшение риска до приемлемого уровня. Вовремя оценивать риск и принимать меры для его снижения позволяет ИТ-менеджерам сбалансировать эксплуатационные и экономические издержки защитных мер и тем самым обеспечивать успешную работу организации и сохранность данных, важных для достижения цели. Этот процесс - распространённое явление в ИТ сфере и мы часто наблюдаем его в повседневной жизни. Как пример можно рассмотреть домашнюю безопасность. Многие люди предпочитают установить системы домашней защиты и ежемесячно платить за их обслуживание, взамен получая сохранность своей частной собственности. Видимо, владельцы взвесили стоимость установки и обслуживания охранной системы по отношению к безопасности семьи и потенциальному ущербу от потери своей собственности. [8][9]
Цель выполнения процессов управления риском состоит в том, чтобы дать возможность организации выполнить свою миссию или миссии за счёт[10]:
- Повышения безопасности ИТ систем, которые хранят, обрабатывают или передают информацию в пределах и вне организации
- Повышения информированности и осведомлённости руководства относительно принятых решений по управлению риском для получения обоснованных объёмов затрат, которые должны становиться неотъемлемой частью общего бюджета ИТ
- Оказания помощи руководству в авторизации (или в аккредитации) своих систем ИТ на базе документированной поддержки результатами, вытекающими из выполнения процессов управления риском.
Минимизация рисков
Минимизация рисков - принятие мер с целью снижения совокупного риска для организации. Сюда часто включается выбор контрмер, которые снизят вероятность возникновения угрозы и (или) сократят ущерб. Они могут быть технические или операционные, а также включать изменения физической инфраструктуры. Риск потери данных вследствие заражения машин, например, может быть снижен путём установки антивирусного ПО. При оценке потенциала той или иной меры следует учитывать, как она работает: как мера, предотвращающая или выявляющая попытки реализации угроз. Часть риска, которая остаётся после применения мер или контрмер, зачастую называется остаточным риском, его организация может обработать отдельно.
Другой выход есть, если организация разделяет свой риск со сторонними контрагентами через страховые компании и(или) поставщиков услуг. Страхование является механизмом послесобытийной компенсации, снижая бремя потерь при наступлении события. Перенос риска — смещение риска от одной стороны к другой. Например, когда бумажные документы перемещаются за пределы организации, на место оказания услуг по хранению, то ответственность и расходы на защиту информации переходят к поставщику услуг. В стоимость хранения может быть включено обязательство по выплате компенсации в случае повреждения, утери или кражи документов.
Механизм исключения риска путём отказа от начала или продолжения деятельности, при которой может быть реализован риск. Например, организация может принять решение об отказе от бизнес-процесса, чтобы избежать ситуации, при которой организация подвергается риску.[11]
Обычно процесс минимизации рисков выглядит так[7]:
- Выявление возможных проблем, и затем нахождение их решения
- Определение сроков интеграции новых технологий
- Оптимизация бизнес-процессов организации.
- Обеспечение защиты информации(как клиентов так и самой организации)
- Разработка порядка действий при форс-мажорных обстоятельствах.
- Определение фактических потребностей информационных ресурсов.
Ограничения для снижения риска
Снижение риска может и должно быть обеспечено через выбор контролей безопасности так, чтобы остаточный риск воспринимался как приемлемый. Но выбор этих контролей может быть довольно труден, так как существуют такие ограничения[12]:
- Временные
- Финансовые
- Технические
- Эксплуатационные
- Культурные
Что может быть возможным в одном регионе(Европе), например досмотр сумок, невозможно в другом(Ближнем Востоке). - Этические
Разные представления о доступности информации о частной жизни, в зависимости от этики региона, правительства. Также есть разница в отраслях, таких как промышленность или здравоохранение. - Экологические
Обычно связаны с климатом и природными рисками конкретного региона. - Юридические
- Лёгкость в использовании и квалификация персонала.
Идентификация уязвимостей
Уязвимость не несёт вред сама по себе, должна быть угроза, которая даёт возможность эксплуатировать эту уязвимость. Уязвимость без наличия угрозы эксплуатации, возможно, и не требует контроля, но она должна быть найдена и необходим мониторинг на предмет изменений. Напротив, угроза без сопутствующих ей уязвимостей, возможно, не приведёт к риску. Уязвимости могут быть идентифицированы в следующих областях: персонале, организации, процессах и процедурах, конфигурации информационной системы, аппаратных средствах, ПО, оборудовании связи.[13]
Аппаратные средства | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||
Персонал | ||||||||||||||||
| ||||||||||||||||
Сеть | ||||||||||||||||
| ||||||||||||||||
ПО | ||||||||||||||||
|
Подходы к оценке рисков информационной безопасности
Поверхностная оценка рисков позволяет определить приоритет закрытия уязвимостей. В силу ограничений по снижению рисков, зачастую бывает невозможно закрыть все уязвимости, тогда требуется устранять только особо важные из них. Источники можно разделить на три категории:[14][15]
- Высокий
Источник угрозы является высокоактивным и обладает высокими возможностями, в то время как предотвращение использования уязвимости является неэффективным. Может окончиться серьёзными потерями активов, нарушить миссию организации. - Средний
Источник угрозы достаточно активен и располагает широкими возможностями, но средства управления, обязанные воспрепятствовать использованию уязвимости действуют эффективно. Существует вероятность потери материальных активов, нанесение вреда репутации организации, помешать её работе. - Низкий
У источника угроз отсутствуют мотивации для осуществления угроз и средства противодействия действуют эффективно. Может привести к незначительным потерям ресурсов и помешать работе организации.
Примечания
- Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. E1-E8.
- "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
- Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 1. Архивировано 17 февраля 2017 года.
- Gary Stoneburner, Alice Goguen, and Alexis Feringa. Risk Management Guide for Information Technology Systems (англ.) // National Institute of Standards and Technology NIST Special Publication 800-30. — 2002. — Вып. 1. — С. 8.
- FIPS PUB 200 ПУБЛИКАЦИЯ СТАНДАРТОВ ОБРАБОТКИ ФЕДЕРАЛЬНОЙ ИНФОРМАЦИИ
- Minimum Security Requirements for Federal Information and Information Systems (англ.) // National Institute of Standards and Technology FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION 200. — 2006. — Вып. 1. — С. 8.
- Исаев И.В. ИТ РИСКИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (рус.) // Современные наукоемкие технологии. — 2014. — Вып. 1, № 7-1. — С. 184.
- Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 4-5.
- Gary Stoneburner, Alice Goguen, and Alexis Feringa. Risk Management Guide for Information Technology Systems (англ.) = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. — 2002. — Вып. 1. — С. 4.
- Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 4-6.
- Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 29-39.
- Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 53-54. Архивировано 17 февраля 2017 года.
- Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 50-53. Архивировано 17 февраля 2017 года.
- Information technology -- Security techniques-Information security risk management (англ.) // British standards BS ISO/IEC 27005:2008. — 2008. — 15 июня (вып. 1). — С. 47-53. Архивировано 17 февраля 2017 года.
- Guide for conducting risk assesments (англ.) = Guide for conducting risk assesments // National Institute of Standards and Technology NIST Special Publication 800-30. — 2012. — Вып. 1. — С. 5-6.