Риск - это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Одна угроза или группа угроз могут использовать одну уязвимость или группу уязвимостей.
Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое изменение активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие риска.
Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и вероятности возникновения инцидентов. Решение о принятии риска должно приниматься специалистами, имеющими право принимать решение о допустимости опасных последствий при возникновении инцидента и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.
3.7 Защитные меры
Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов. Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или может уже существовать в системе или организации.
Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций:
- предотвращение;
- сдерживание;
- обнаружение;
- ограничение;
- исправление;
- восстановление;
- мониторинг;
- осведомление.
Пример - Области, в которых могут использоваться защитные меры, включают в себя:
- физическую среду;
- техническую среду (аппаратно-программное обеспечение и средства связи);
- персонал;
- администрирование.
Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.
Пример - Такими специфическими защитными мерами являются:
- политики и процедуры;
- механизмы контроля доступа;
- антивирусное программное обеспечение;
- шифрование;
- цифровая подпись;
- инструменты мониторинга и анализа;
- резервный источник питания;
- резервные копии информации.
3.8 Ограничения
Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.
Пример - Такие ограничения могут включать в себя:
- организационные;
- коммерческие;
- финансовые;
- по окружающей среде;
- по персоналу;
- временные;
- правовые;
- технические;
- культурные/социальные.
Ограничения, присущие организации, должны учитываться при выборе и реализации защитных мер. Необходимо периодически пересматривать существующие и учитывать новые ограничения. Следует отметить, что ограничения могут со временем изменяться в зависимости от положения организации и изменения внешней среды. Внешняя среда, в которой действует организация, имеет отношение к нескольким компонентам безопасности, в частности к угрозам, рискам и защитным мерам.
3.9 Взаимосвязь компонентов безопасности
Безопасность ИТТ - это многоплановая организация процессов защиты, которую можно рассматривать с различных точек зрения. Взаимосвязь компонентов безопасности, показывающая, как активы могут подвергаться воздействию нескольких угроз, одна из которых является основой для модели, представлена на рисунке 1. Набор угроз постоянно меняется и, как правило, известен только частично. Также со временем меняется и окружающая среда, и эти изменения способны повлиять на природу угроз и вероятность их возникновения.
Модель безопасности отображает:
- окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично;
- активы организации;
- уязвимости, присущие данным активам;
- меры для защиты активов;
- приемлемые для организации остаточные риски.