Аудит / Учебный курс

h1. Аудит безопасности и методы его проведения 

!clipboard-202311281318-0z3yx.png!

{{TOC}}

h2. Понятие аудита безопасности 

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и  внутренний аудит. 

*Внешний аудит* - это, как правило разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций это является обязательным требованием со стороны регуляторов или рынка.  

*Внутренний аудит*  - это, как правило регулярная деятельность, которая осуществляется на основании "Положения о внутренним аудите" и в соответствии с планом, подготовка которого осуществляется подразделением ИБ и утверждается руководством организации. 

Цели аудита: 

* Анализ рисков связанных с возможностью осуществления угроз

* Оценка текущего уровня защищенности 

* Локализация узких мет в системе защиты информации 

* Оценка соответствия ИС существующим стандартам в области ИБ

* Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности

Аудит безопасности должен рассматриваться как инструмент управления, детальные результаты аудита не должны предаваться третьим лицам, т.к. они содержат полное описание слабых сторон организации и возможные  способы реализации угроз. 

Для проведения аудита рекомендуется следующая последовательность действий: 

# Подготовка к проведению аудита  

** Выбор объекта аудита

** Составление команды аудиторов 

** Определение объёма

** Определение критериев 

** Определение сроков

# Проведение аудита 

** Анализ документации 

** Общий анализ состояние безопасности 

** Регистрация, сбор и проверка свидетельств аудита 

** Оценка результатов

** Составление отчета о результатах проверки  

# Завершение аудита 

** Составление итогового отчета 

** Разработка мероприятий по устранению узких мест и недостатков 

Для успешного аудита необходимо: 

* Активное участие руководства 

* Объективность и независимость аудиторов

* Компетентность в и профессионализм команды аудита

* Четкая структура процедуры аудита 

* Активная реализация предложенных мер обеспечения ИБ

Аудит безопасности является  инструментов оценки безопасности и управления рисками. Предотвращение угроз ИБ означает в том числе и защиту экономических, социальных и информационных интересов организации. 

Важно отметить что аудит проводится по инициативе самой организации и ее руководства с целью выявления узких мест и недостатков, что делает заказчика аудита заинтересованным в получении объективных результатов и является обязательным условием для полонения таковых. 

> @Это значит, что аудит будет объективном только тогда когда организация сама хочет получить объективные результаты @

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказывается задействованы представители большого количества структурных подразделений заказчика. Действия всех участников должно быть скоординировано, по этому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы: 

* Права и обязанности аудиторов должны быть четко определены  

* Аудитором совместно  с заказчиком должен быть подготовлен и согласован план проведения аудита

* До всех заинтересованных лиц должно быть донесено, что они обязаны содействовать аудитору и предоставлять всю необходимую информацию

На этапе подготовки, должны быть четко определены границы аудита: 

# Список обследуемых ИС 

# Площадки попадающие в границы обследования   

# Организационные, физические, программно-технические и прочие аспекты обеспечения ИБ, которые необходимо учесть в ходе проведения аудита 

# Критерии оценки 

План, границы и критерии аудита обсуждаются на рабочем собрании аудитора и заказчика аудита. Для понимания аудита может быть использована концептуальная модель 

!clipboard-202311281458-0i4t2.png!

Основные составляющие процесса аудита: 

* Объект аудита

* Исполнители 

* Масштаб 

* Порядок проведения 

* Методы аудита 

* Требования 

* Цели аудита

С точки зрения организации работы при проведении аудита ИБ выделяют 3 принципиальных этапа: 

# Сбор информации 

# Анализ данных 

# Выработка рекомендаций и подготовка отчетных документов  

h2. Методы анализа данных при аудите ИБ 

В настоящий момент используются три основных подхода к проведению аудита, которые несколько различаются между собой: 

*Первый метод* - самый сложный, базируется на анализе рисков. Опираясь на методы анализов рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемкими и требует наивысшей квалификации аудитора. На качество аудита, в этом случае сильно влияет используемая методология анализа и управления рисками и ее применимости к данному типу ИС. 

*Второй метод* - самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС,  который формируется в результате обобщений мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от уровня защищенности ИС, которой требуется обеспечить, ее принадлежности, а также назначения. От аудиторов в данном случае требуется правильно определить набор требований стандартов, соответствие которому требуется обеспечить это соответствие. Необходима также методика, позволяющая оценить это соответствие Из-за своей простоты и надежности, описанный подход наиболее распространен на практике. Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о соответствии ИС.  

*Третий метод*  -  наиболее эффективный, предполагает комбинирование первых двух. 

Если для проведения аудита выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач: 

# Анализ ресурсов ИС

# Анализ задач, решаемых системой и бизнес процессов. 

# Построение моделей ресурсов ИС определяющих взаимосвязи между информационными, программными, техническими и людскими ресурсами 

# Оценка критичности информационных ресурсов

# Определение наиболее вероятных угроз безопасности 

# Оценка вероятности осуществления угроз 

# Определение величины рисков  

Оценка рисков может проводится с использованием различных качественных и количественных шкал, главное что бы риски были правильно идентифицированы и проранжированы, в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.  

При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт и методические рекомендации от составителя стандарта, оценивает применимость требований к обследуемой ИС и ее соответствие этим требованиям. данные о соответствии различных областей обычно представляются в табличной форме, из которой какие требования безопасности в системе не реализованы. Исходя из этого делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности позволяющих обеспечить такое соответствие.  

ХХ Вставить фото ЪЪ

h2. Анализ информационных рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ. он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а так же в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятность причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, что бы выявить существующие риски и оценить их величину (дать им **качественную** или **количественную** оценку) 

Процесс анализа рисков предусматривает решение следующих задач: 

# Идентификация ключевых ресурсов 

# Определение важности ресурсов для организации 

# Идентификация существующих угроз и уязвимостей 

# Вычисление рисков, связанных с осуществлением угроз

**Ресурсы** можно разделить на следующие категории: 

* Информационные ресурсы 

* Программное обеспечение 

* Технические средства 

* Человеческие ресурсы 

В каждой категории ресурсы можно разделить на классы и подклассы, необходимо идентифицировать только те ресурсы, которые определяют функциональность и существенны с точки зрения обеспечения безопасности.

Важность или стоимость ресурсов определяется величиной ущерба, наносимого в случай реализации риска. Обычно рассматривают следующие виды ущерба: 

* Данные раскрыты, изменены, удалены или стали недоступны легитимные пользователям  

* Аппаратные средства были повреждены или разрушены 

* Нарушена целостность программного обеспечения 

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз:

* Локальные и удаленные атаки на ресурсы ИС

* Стихийные бедствия  

* Ошибки или умышленные действия персонала

* Сбои в работе, вызванные ошибками в программном обеспечении или неисправности в аппаратуре 

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости 

!clipboard-202312032018-ms9su.png!

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемого. Стоимость реализации контрмер должна быть ниже величины возможного ущерба. 

Подход на основе анализа информационных рисков является наиболее значимым для практики обеспечения информационной безопасности. Это объясняется тем, что анализ рисок позволяет эффективно управлять ИБ. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите, воздействию каких угроз это повержено, и выработать рекомендации по практики защиты. 

Анализ рисков производится исходя из непосредственных целей и задач по защите конкретного вида ресурса.

При проведении анализа рисков разрабатываются:

* Общая стратегия

* Возможные способы проведения атак 

* Сценарии их осуществления 

* Характеристики каналов утечки 

* Вероятность реализации угрозы 

* Модель нарушителя 

* Методика оценки активов 

Кроме того, для построения системы защиты необходимо: 

* Выявить все возможные угрозы 

* Оценить их последствия 

* Определить меры и средства защиты 

* Определить их эффективность 

На первом этапе и втором этапах  - определяем сведения которые являются для нас значимыми и которые нам просит защищать.

третий этап - построения каналов доступа, утечки или воздействия на ресурсы. Понятно что каждый канал характеризуется множеством  отдельных "точек" доступа. 

четвёртый этап - анализ методов защиты всех возможных точек атак. Тут мы пытаемся понять как именно сейчас при неблагоприятных стечениях обстоятельств мы можем потерять информацию 

На пятом - считаем на сколько такие обстоятельства вероятны

на последнем - Оцениваем ущерб.

Величина риска по каждому ресурсу считаемся по формуле выше. Сложения риска по всем ресурсам дает нам суммарный риск по текущей архитектуре и внедренных СЗИ 

> Стоит отметить что такой подход к анализу рисков - многие мои коллеги считают очень кривым и не точным, но что бы написать вам хорошую методику придется переписывать книжку и не одну. 

h3. Подходы к управлению рисками 

Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от используемой методики оценки и управления рисками:

Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски.

Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.

Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.

Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:

* Избегание риска;

* Принятие риска;

* Передача риска;

* Снижение риска.

Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:

Ответственный за реагирование;

Описание мер реагирования;

Оценка необходимых инвестиций в меры реагирования;

Сроки реализации этих мер.

Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.

Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.

h4. Обзор методики CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

!clipboard-202312032103-acnf4.png!

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.

Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:

* Данные;

* Программное обеспечение;

* Физические активы.

Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.

Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.

Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.

Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

* Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;

* Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;

* Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;

* Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

* Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;

* Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;

* Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;

* Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM

h4. Обзор методологии COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

!clipboard-202312032106-nmm8w.png!

При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:

* Принципы, политики, процедуры организации;

* Процессы;

* Организационная структура;

* Корпоративная культура, этика и правила поведения;

* Информация;

* ИТ-сервисы, ИТ-инфраструктура и приложения;

* Люди, их опыт и компетенции.

!clipboard-202312032106-ukhcc.png!

В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:

* Необходимый процесс;

* Информационные потоки;

* Организационная структура;

* Люди и компетенции.

Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:

* Создание и обслуживание портфелей ИТ-проектов;

* Управление жизненным циклом программы / проекта;

* Инвестиции в ИТ;

* Экспертиза и навыки персонала ИТ;

* Операции с персоналом;

* Информация;

* Архитектура;

* ИТ-инфраструктура;

* Программное обеспечение;

* Неэффективное использование ИТ;

* Выбор и управление поставщиками ИТ;

* Соответствие нормативным требованиям;

* Геополитика;

* Кража элементов инфраструктуры;

* Вредоносное программное обеспечение;

* Логические атаки;

* Техногенное воздействие;

* Окружающая среда;

* Природные явления;

* Инновации.

Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:

* Стратегические риски – риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;

* Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;

* Риски управления ИТ и предоставления ИТ-сервисов – риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.

Каждый рисковый сценарий содержит следующую информацию:

* Тип источника угрозы - внутренний/внешний.

* Тип угрозы - злонамеренное действия, природное явление, ошибка и др.

* Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.

* Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.

* Время события.

В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:

* Избегание риска;

* Принятие риска;

* Передача риска;

* Снижение риска.

Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

!clipboard-202312032108-jy9uo.png!

С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:

* Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;

* Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;

* Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;

* Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;

* Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.

При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:

* Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;

* Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;

* Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

----

h2. Методологии риск-менеджмента:

1. Фреймворк "NIST Risk Management Framework" на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США) включает в себя набор взаимосвязанных т.н. "специальных публикаций" (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):

1.1. Стандарт NIST SP 800-39 "Managing Information Security Risk" ("Управление рисками информационной безопасности") предлагает трехуровневый подход к управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.

1.2. Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управления рисками для информационных систем и организаций") предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.

1.3. Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Руководство по проведению оценки рисков") сфокусирован на ИТ, ИБ и операционных рисках, описывает подход к процессам подготовки и проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.

1.4. Стандарт NIST SP 800-137 "Information Security Continuous Monitoring" ("Непрерывный мониторинг информационной безопасности") описывает подход к процессу мониторинга информационных систем и ИТ-сред в целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.

2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):

2.1. Стандарт ISO/IEC 27005:2018 "Information technology - Security techniques - Information security risk management" («Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности») входит в серию стандартов ISO 27000 и является логически взаимосвязанным с другими стандартами по ИБ из этой серии. Данный стандарт отличается фокусом на ИБ при рассмотрении процессов управления рисками.

2.2. Стандарт ISO/IEC 27102:2019 "Information security management - Guidelines for cyber​-insurance" («Управление информационной безопасностью. Руководство по киберстрахованию») предлагает подходы к оценке необходимости приобретения киберстраховки как меры обработки рисков, а также к оценке и взаимодействию со страховщиком.

2.3. Серия стандартов ISO/IEC 31000:2018 описывает подход к риск-менеджменту без привязки к ИТ/ИБ. В этой серии стоит отметить стандарт ISO/IEC 31010:2019 "Risk management - Risk assessment techniques" - на данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».

3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки. 

4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и бизнес-процессов компании.

5. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.

6. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.

7. Методология FAIR (Factor Analysis of Information Risk) - проприетарный фреймворк для проведения количественного анализа рисков, предлагающий модель построения системы управления рисками на основе экономически эффективного подхода, принятия информированных решений, сравнения мер управления рисками, финансовых показателей и точных риск-моделей.

8. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управление рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление и культура, а также информация, коммуникация и отчетность.