Практический риск-менеджмент: часть 2 (подходы к оценке рисков)

В данной заметке в рамках серии публикаций по практическому риск-менеджменту мы затронем вопрос различных подходов к оценке рисков, их сильных и слабых сторон.
На представленном рисунке вы можете видеть 4 возможных подхода к проведению оценки рисков, составленных с использованием 2х критериев: степени субъективности результатов оценки и сложности / ресурсоемкости проведения оценки.
Тип 1. Неформальная / интуитивная оценка.  Данный вид оценки изначально очень близок многим специалистам в силу того, что таким способом оценки пользуется практически каждый человек в своей повседневной жизни принимая те или иные решения (перебежать дорогу на красный свет в связи с тем, что вокруг нет машин; оснастить загородный дом пожарной сигнализацией в связи с тем, что есть опасения что дом может сгореть из-за лесного пожара и проч.).  Решения об уровне риска, степени его допустимости и возможных мерах по минимизации риска принимаются на интуитивном уровне, основываясь на опыте, которым обладает специалист, выполняющий подобную оценку.
На первый взгляд, этот минималистский подход к управлению рисками может показаться совершенно безответственным, т.к. подразумевает отсутствие осведомленности или даже нежелание признать реальные угрозы и уязвимости . Тем не менее, использование интуитивной логики эксперта может быть вполне разумным там, где фактические риски являются относительно низкими, или иными словами, где стоимость активов незначительна, связанные с ними уязвимости не критичны и соответствующие угрозы либо не существуют, либо по крайней мере весьма маловероятны.
Иначе говоря, неформальный подход, основанный на беглой, интуитивной оценке рисков может быть совершенно приемлемым при определенных условиях, когда возможные риски не стоят того, чтобы тратить дополнительные ресурсы на более тщательный анализ угроз информационной безопасности.
Тип 2. Оценка группой экспертов в предметной области
Данный подход подразумевает проведение оценки рисков группой экспертов, обладающих компетенцией в области оценки рисков, а также обладающих необходимым пониманием особенностей функционирования объекта защиты информации / процесса / системы, для которых выполняется оценка. Субъективность мнений экспертов в данном случае компенсируется тем, что результатом является взвешенное мнение большинства, а разнообразие знаний и опыта экспертов дает основание предполагать, что никакие реальные уязвимости и угрозы, которые могут привести к реализации рисков информационной безопасности, не останутся без внимания.
Основным барьером в реализации данного подхода к оценке рисков является отсутствие возможности для большинства организаций собрать рабочую группу экспертов, обладающих необходимой компетенцией в области оценки рисков, а также владеющих знанием предмета.  Сложности могут возникнуть и с организацией совместной работы экспертов, в связи с тем, что возникнет необходимость в использовании определенных инструментов для взаимодействия, обсуждения и хранения результатов.
Тип 3. Использование принятых стандартов / моделей
Данный подход подразумевает отказ от проведения оценки рисков экспертами компании и использование уже существующих моделей угроз, реестров рисков и стандартов по безопасности, разработанных регуляторами, сообществами, отраслевыми игроками.  В данном случае фактически весь процесс оценки и выявления актуальных рисков выполняется сторонним лицом, а полученный результат используется в качестве перечня возможных рисков, а также способов их минимизации.
Субъективность данного метода определяется тем, кто является разработчиком принимаемых моделей угроз / рисков / стандартов по безопасности.  Преимуществом данного подхода безусловно является низкая ресурсоемкость и отсутствие необходимости в наличии высококлассных экспертов для проведения оценки рисков в штате организации.
Тип 4. Формальная оценка в соответствии с заданной методологией
Данный подход является предпочтительным с точки зрения большинства международных и российских стандартов и нормативных документов. Не смотря на то, что ни один из существующих нормативных документов не предписывает использование какой-либо определенной методологии, тем не менее утверждается необходимость использования системного, формального, повторяемого метода оценки рисков.
В настоящее время существует достаточно большое количество методик оценки рисков информационной безопасности (см. часть 1 (методики)), которые могут быть использованы в качестве основы для организации формальной оценки. Плюсом формального подхода является то, что субъективное мнение конкретного эксперта в меньшей степени оказывает влияние на результат оценки.
К недостаткам данного подхода можно отнести ресурсоемкость, которая заключается в необходимости наличия в компании эксперта (как минимум одного), обладающего необходимым опытом в использовании применяемых методик оценки,  наличия специализированной аналитической базы (базы описывающей всю совокупность возможных угроз и их составляющих), которая является обязательной компонентой формальной оценки рисков и по сути оказывает серьезное влияние на качество получаемых результатов.
Поделиться записью:

Добавить комментарий

Scroll Up