Анализ рисков

Анализ рисков – процесс анализа ценности информационных активов компании, уязвимостей, угроз и оценки их потенциального воздействия, характеризующийся предполагаемым убытком для компании и вероятностью появления угроз безопасности.

По результатам анализа формируются контрмеры, соответствующие именно тем системам и процессам, в которых они требуются. Анализ рисков ориентирован на то, чтобы сделать безопасность компании:

• эффективной с экономической точки зрения,
• актуальной,
• способной адекватно реагировать на угрозы,
• направленной только на приоритетные риски.

Анализ рисков, как правило, предназначен для следующих целей:

• выявления уязвимостей и угроз,
• выявления активов и их ценности для компании,
• оценки влияния на бизнес данных угроз,
• определения и обоснования адекватной стоимости защитных мер.

В результате анализа рисков руководство способно наглядно сопоставить годовую стоимость защитных мер с предполагаемым ущербом, который не должен быть выше предполагаемого годового ущерба.

Анализ рисков можно подразделить на следующие этапы:

• Определение ценности активов. Ключевые вопросы:
• стоимость поддержки актива;
• прибыль от актива для компании;
• сумма, которую готовы платить за актив конкуренты;
• стоимость воссоздания или восстановления актива.
• Оценка возможных потерь от угрозы. Ключевые вопросы:
• последствия от реализации угрозы;
• ущерб компании при разглашении чувствительных данных;
• сумма, необходимая для восстановления впоследствии устранения угрозы;
• стоимость ущерба в случае неработоспособности критически важных устройств;
• потери от отдельно взятого инцидента для угроз и активов.
• Анализ угроз:
• расчет вероятности появления угрозы;
• расчет Annualized Rate of Occurrence (ARO) — ожидаемая годовая частота возникновения угрозы.
• Определение общих годовых потерь на угрозу:
• объединение предполагаемых потерь и вероятности;
• расчет Annualized Loss Expectancy (ALE) — среднегодовой ущерб на угрозу. Принимается во внимание информация, подготовленная на трех предыдущих этапах;
• выбор контрмер для предотвращения отдельной взятой угрозы;
• исследование затрат и выгод подходящих контрмер.
• Выполнение завершающих действий с рисками:
• уменьшение (например, введение контрмер);
• перенос (например, застрахование определенных рисков);
• отвержение (например, прекращение деятельности, которая приводит к появлению риска);
• принятие (допустимо, когда стоимость контрмер выше величины предполагаемого ущерба).

Процесс анализ рисков в конечном итоге предназначен для получения следующих показателей:

• ценность активов в материальном эквиваленте;
• готовый перечень всех предполагаемых угроз;
• вероятная частота появления угроз;
• предполагаемые потери компании от реализации угроз в течении годового срока;
• вывод о мерах безопасности и защитных мерах, направленных на минимизацию или устранение рисков.

На основе данных пунктов сотрудники компании, ответственные за процесс анализа рисков готовят резюме для руководства компании, которое позволяет проанализировать и принять меры по полученным результатам анализа.