BzBook.ru

Обеспечение информационной безопасности бизнеса

3.4. Риск-ориентированная оценка информационной безопасности

Оценка, основанная на оценке риска и оценке управления риском, отличается от системно-ориентированной и процессно-ориентированной оценки и называется [32] риск-ориентированной оценкой. Ключевое отличие риск-ориентированной оценки в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска.

Риск-ориентированная оценка дает объективное и наиболее информативное представление об уровне эффективности деятельности организации, эффективности принимаемых менеджментом решений и эффективности затрат на поддержание и развитие бизнеса, исходя из сопоставления существующих рисков деятельности организации и принимаемых организацией мер по обработке таких рисков.

Целью риск-ориентированной оценки является определение, что:

— процессы менеджмента риска должным образом созданы и внедрены;

— процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса), действуют надлежащим образом;

— в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.

Алгоритм проведения риск-ориентированной оценки показан на рис. 61.

Обеспечение информационной безопасности бизнеса 3.4. Риск-ориентированная оценка информационной безопасности.

При проведении риск-ориентированной оценки следует:

— оценить инфраструктуру менеджмента риска, например ресурсов, документации, методов, сообщения;

— оценить специфические риски;

— при необходимости пересматривать бизнес-цели и процессы менеджмента риска;

— там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;

— конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.

На рис. 62 показана модель риск-ориентированной оценки ИБ организации.

Обеспечение информационной безопасности бизнеса 3.4. Риск-ориентированная оценка информационной безопасности.

Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т. е. любому рисковому событию соответствует некоторый набор факторов риска.

Измерить фактор риска — это значит установить степень соответствия состояния фактора риска некоторому состоянию rм, определяющему проявление рискового события.

Для совокупности факторов риска функция соответствия показывает.

Обеспечение информационной безопасности бизнеса 3.4. Риск-ориентированная оценка информационной безопасности.

степень достижения состояний факторов риска нежелательных состояний (состояний проявления рискового события).

Для каждого фактора риска, когда и являются неслучайными (детерминированными) переменными, функция соответствия служит результатом Wij измерения, полученного с помощью выбранного метода измерения:

Обеспечение информационной безопасности бизнеса 3.4. Риск-ориентированная оценка информационной безопасности.

где i — количество оцениваемых рисковых событий,

j — количество факторов риска i-го рискового события.

Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.

Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.