Внедрение системы управления информационными рисками медленно но верно идет в нашей Компании. Мы используем ряд уникальных подходов... Один из таких подходов, на мой взгляд неплохо можно переложить с коммерческих компаний на КВО.
Законодатель настаивает, что в отношении критически важных объектов должен применяться риск-ориентированный подход, но практически любая модель управления рисками предполагает, что мы должны учитывать, помимо вероятности реализации риска, уровень потенциальных последствий, которые могут наступить вследствие его реализации. Сами же КВО определяются, как объекты, нарушение функционирования которых может привести к неприемлемым последствиям.
А потому, предлагается следующее:
- Из всех рисков КВО, естественно, выбрать лишь те, которые находятся в зоне нашей, как специалистов по ИБ, компетенции
- Среди выбранных рисков, выбрать лишь те, реализация которых может привести к неприемлемым последствиям
- В указанных рамках все последствия считать равнозначными.
Поставив во главу угла неприемлемые последствия мы можем выделить те элементы ИТ-инфраструктуры, нарушение каких-либо заданных свойств которых, можем привести к вышеуказанным последствиям. Эти свойства назовем критическими.
Для каждого из свойств необходимо ответить на вопросы:
- кто может его нарушить? (модель нарушителя)
- как он может его нарушить? (модель угроз)
- какие есть предпосылки (или, если хотите, уязвимости) чтобы нарушитель мог обозначенным способом нарушить критичное свойство?
Ответив на эти вопросы и связав воедино все перечисленные сущности мы получим некоторый граф:
Риск - это любой путь от вершины графа к самому низу. Вербально, выделенный на рисунке риск можно озвучить следующим образом:
“Критичные последствия, вызванные нарушением свойства 2 элемента 1 нарушителем Н2, реализовавшего Угрозу 2, посредством Уязвимости 3”
В данном случае с помощью графа мы в наглядной форме описали более 40 рисков, для которых четко видны точки, на которые мы можем воздействовать для смягчения риска. Данный подход позволяет системно подойти к проблеме идентификации рисков и, более того, позволяет подготовить плацдарм для следующего этапа управления рисками - их оценки.
Комментариев нет:
Отправить комментарий