Что такое риск каковы основные задачи оценки риска бжд
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
GN1204: Безопасность жизнедеятельности
В тех случаях, когда потоки масс, энергий от источника негативного воздействия в среду обитания могут нарастать стремительно и достигать чрезмерно высоких значений (например, при авариях или других чрезвычайных ситуациях), в качестве критерия безопасности принимают допустимую вероятность (риск) возникновения подобного события.
Риск — вероятность реализации негативного воздействия в зоне пребывания человека.
Риск — это количественная величина возможности определенных событий приносить вред человеку, мера опасности, характеризующая вероятность или частоту проявления опасности и последствий ее реализации за определенный промежуток времени.
Риск как количественная характеристика вероятного действия опасностей соотносится с определенным количеством работников (жителей) за конкретный период времени. При этом подразумевается, что возможности опасности формируются конкретной деятельностью человека, т.е. число смертных случаев, число случаев заболевания, число случаев временной и стойкой нетрудоспособности (инвалидности), вызываются действием на человека конкретной опасности (электрический ток, вредное вещество, двигающийся предмет, криминальные элементы общества и др.).
Понятие риска применяют как к стохастическим, так и к детерминированным (нестохастическим) эффектам.
К стохастическим эффектам относят те, вероятность возникновения которых существует при любом количестве случаев влияния опасного или вредного фактора, и увеличивается при увеличении числа случаев, тогда как относительная тяжесть последствий от количества не зависит. Риск в этом случае определяется по формуле:
где r — риск (обобщенная оценка);
n — количество случаев вследствие события;
N — количество людей, на которых воздействовало событие.
К детерминированным эффектам относятся те, что всегда наступают при определенных событиях или превышении определенного уровня фактора, а тяжесть их последствий зависит от величины фактора.
Понятие риска широко используется при установлении гранично допустимых величин, необходимости внедрения и использования коллективных и индивидуальных средств защиты от влияния вредных или опасных факторов, требований безопасности к машинам, механизмам, оборудованию, ограничений, связанных с состоянием здоровья людей, состоянием окружающей среды.
В производственных условиях, где рабочая зона и источник опасности — элементы производственной среды, различают индивидуальный и коллективный (социальный) риски.
Индивидуальный риск — это сочетание вероятности и последствий наступления неблагоприятного события для конкретного индивидуума, характеризует реализацию опасности определенного вида деятельности для личности. Выражением индивидуального производственного риска являются показатели производственного травматизма и профессиональной заболеваемости.
Коллективный риск — это вероятность травмирования или гибели двух и более человек от воздействия опасных и вредных производственных факторов. Применяется при оценке возможного воздействия негативных факторов для коллектива людей, человеческого общества в целом
Использование риска в качестве единого индекса вреда при оценке действия различных негативных факторов на человека начинает в настоящее время применяться для обоснованного сравнения безопасности различных отраслей экономики и типов работ, аргументации социальных преимуществ и льгот для определенной категории лиц.
Современная концепция безопасности жизнедеятельности базируется на достижении приемлемого (допустимого) риска.
Приемлемый риск — это минимальная величина риска, которая достижима по техническим, экономическим и технологическим возможностям, т.е. такой низкий уровень смертности, травматизма или инвалидности людей, который не влияет на экономические показатели предприятия, отрасли экономики или государства.
Необходимость формирования концепции приемлемого (допустимого) риска обусловлена невозможностью создания абсолютно безопасной деятельности (технологического процесса). Приемлемый риск сочетает в себе технические, экономические, социальные и политические аспекты и представляет некоторый компромисс между уровнем безопасности и возможностями ее достижения.
Для того чтобы определить серьезность опасности, степень допустимости риска в той или иной ситуации, существуют различные критерии: категории серьезности опасности; уровни вероятности опасности; матрица оценки риска.
По степени допустимости риск развития опасных ситуаций подразделяется на:
На практике достичь нулевого уровня риска, т.е. абсолютной безопасности невозможно. Отвергнутый риск в настоящее время также невозможно обеспечить, учитывая отсутствие технических и экономических предпосылок для этого.
Существуют следующие методические подходы к определению риска:
Применять эти методики необходимо в комплексе, поскольку они отражают разные аспекты риска, а для первых двух методик не всегда есть достаточные данные.
Мотивированный риск — риск, превышающий приемлемый и обоснованный мотивами, связанными с предотвращением аварии или спасением людей и материальных ценностей.
Немотивированный риск — риск, превышающий приемлемый и не обоснованный действиями, связанными с предотвращением аварии или спасением людей и материальных ценностей
Антропогенным является риск, представляющий собой сочетание вероятности и последствий наступления неблагоприятного события, обусловленного жизнью и деятельностью человека.
Техногенный риск сочетает вероятность наступления неблагоприятного события (аварий) и его последствий, обусловленного работой технических объектов.
С техногенным риском напрямую связаны производственный и профессиональный риски.
Производственный риск связан с конкретным производством, производственной деятельностью предприятия.
Профессиональным является индивидуальный риск, связанный с профессиональной деятельностью конкретного человека.
Для определения уровня риска проводится оценка вероятностной меры возникновения техногенных или природных явлений, сопровождающихся формированием и действием вредных факторов, и нанесенного при этом социального, экономического, экологического и других видов ущерба.
Общая формула расчета риска может быть представлена в следующем виде:
где R — уровень риска, т. е. вероятность нанесения определенного ущерба человеку и окружающей среде;
%%R_1%% — вероятность возникновения события или явления, обусловливающего формирование и действие вредных факторов;
%%R_2%% — вероятность формирования определенных уровней физических полей, ударных нагрузок, полей концентрации вредных веществ в различных средах и их дозовых нагрузок, воздействующих на людей и другие объекты биосферы;
%%R_3%% — вероятность того, что указанные уровни полей и нагрузок приведут к определенному ущербу.
Количественная мера риска может выражаться не только вероятностной величиной. Иногда риск интерпретируют как ущерб, возникающий при авариях, катастрофах и опасных природных явлениях. Однако определение уровня риска как вероятностной категории является более приемлемым при практической оценке уровня безопасности.
Современные представления об уровнях приемлемого индивидуального риска
В соответствии с концепцией приемлемого риска различают: