Анализ рисков ИБ
Анализ рисков ИБ – процедура, позволяющая организации оценить возможный ущерб от реализации угроз безопасности, а также сформировать бизнес-ориентированный перечень мероприятий, направленных на достижение целевого уровня обеспечения ИБ.
В рамках оказания услуги выполняются следующие работы:
- установление контекста – определение области оценки рисков, внешних и внутренних факторов;
- определение методики оценки рисков ИБ;
- проведение оценки рисков:
- формирование рабочей группы;
- идентификация уязвимостей и угроз;
- идентификация рисков;
- анализ степени наносимого ущерба и вероятности (частоты) реализации риска;
- оценка риска - определение уровня риска и решение по его обработке (снижение, перенос, уклонение, принятие).
В настоящее время существует достаточное количество методик оценки рисков ИБ, среди которых выделяем:
- NIST Risk Management Framework:
- ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management»;
- ISO/IEC 31010:2019 «Risk management — Risk assessment techniques»;
- FRAP (Facilitated Risk Analysis Process);
- OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation);
- FAIR (Factor Analysis of Information Risk);
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности.
Обзор вышеуказанных методик вы можете прочитать в нашей статье. Кроме этого, оценка рисков ИБ может быть проведена по вашей методике или иной методике, не указанной в перечне.
Полученные в ходе оценке рисков ИБ сведения фиксируются в Отчете.