3.4. Риск-ориентированная оценка информационной безопасности
3.4. Риск-ориентированная оценка информационной безопасности
Оценка, основанная на оценке риска и оценке управления риском, отличается от системно-ориентированной и процессно-ориентированной оценки и называется [32] риск-ориентированной оценкой. Ключевое отличие риск-ориентированной оценки в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска.
Риск-ориентированная оценка дает объективное и наиболее информативное представление об уровне эффективности деятельности организации, эффективности принимаемых менеджментом решений и эффективности затрат на поддержание и развитие бизнеса, исходя из сопоставления существующих рисков деятельности организации и принимаемых организацией мер по обработке таких рисков.
Целью риск-ориентированной оценки является определение, что:
— процессы менеджмента риска должным образом созданы и внедрены;
— процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса), действуют надлежащим образом;
— в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.
Алгоритм проведения риск-ориентированной оценки показан на рис. 61.
![](https://storage.yandexcloud.net/wr4img/276195_52_i_102.png)
При проведении риск-ориентированной оценки следует:
— оценить инфраструктуру менеджмента риска, например ресурсов, документации, методов, сообщения;
— оценить специфические риски;
— при необходимости пересматривать бизнес-цели и процессы менеджмента риска;
— там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;
— конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.
На рис. 62 показана модель риск-ориентированной оценки ИБ организации.
![](https://storage.yandexcloud.net/wr4img/276195_52_i_103.png)
Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т. е. любому рисковому событию соответствует некоторый набор факторов риска.
Измерить фактор риска — это значит установить степень соответствия состояния фактора риска некоторому состоянию rm, определяющему проявление рискового события.
Для совокупности факторов риска функция соответствия показывает
![](https://storage.yandexcloud.net/wr4img/276195_52_i_104.png)
степень достижения состояний факторов риска нежелательных состояний (состояний проявления рискового события).
Для каждого фактора риска, когда и являются неслучайными (детерминированными) переменными, функция соответствия служит результатом Wij измерения, полученного с помощью выбранного метода измерения:
![](https://storage.yandexcloud.net/wr4img/276195_52_i_105.png)
где i — количество оцениваемых рисковых событий,
j — количество факторов риска i-го рискового события.
Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.
Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.
Данный текст является ознакомительным фрагментом.