ЛЕКЦИЯ №12.

NIST. Данный стандарт рассматривает вопросы управления информационными рисками. Считается, что система управления рисками должна минимизировать возможные негативные последствия, связанные с использованием ИТ. Для этого система управления рисками интегрируется в систему управления жизненным циклом ИТ.

Таблица: Управление рисками на различных стадиях жизненного цикла ИТ.

Основные стадии, которые согласно стандарту NIST должна включать технология управления рисками, показана ниже:

COBIT. Является составной частью стандарта CRAMM. Определяет основные критерии оценки процессов управления ИТ.

Общие принципы управления определяют стратегию поведения аудита ИТ.

В данном подходе процесс управления подразделяется на 4 этапа:

1) определяет стандарт оценки эффективности ИТ процесса

2) анализируются составляющие ИТ процесса путем получения субъектом управления информации от объекта управления

3) информация о состоянии процесса сравнивается с требованиями стандарта

4) в случае выявления несоответствия процесса требования субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации процессу.

Исходя из этой модели, формируются основные критерии оценки механизмов управления:

1) распределение ответственности и подотчетности

2) стандарты и допустимые отклонения, четко документированные, актуальные и доступные для всех сотрудников организации. Для каждого ИТ процесса должны быть четко определены допустимые отклонения от требований стандарта

3) информационные критерии. Актуальность и пригодность управляющей информации, а также ее целостность служит основой функционирования системы управления ИТ процессами.

OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги - Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

1) идентификация критичных информационных активов;

2) идентификация угроз для критичных информационных активов;

3) определение уязвимостей, ассоциированных с критичными информационными активами;

4) оценка рисков, связанных с критичными информационными активами.

Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Сильной стороной OCTAVE является высокая степень гибкости, достигаемая путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.