МЕТОДОЛОГИЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И СОВРЕМЕННЫЕ МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ

METHODOLOGY OF INFORMATION SECURITY RISK ASSESSMENT AND MODERN RISK MANAGEMENT METHODS

Akbota Askarbekkyzy

Master’s student, L.N. Gumilyov Eurasian National University,

Kazakhstan, Astana

Nurlan Tashatov

Candidate of Physical and Mathematical Sciences, Doctor of Ph.D., Associate Professor, L.N. Gumilyov Eurasian National University,

Kazakhstan, Astana

АННОТАЦИЯ

 Статья посвящена анализу методологии оценки рисков в сфере информационной безопасности и современных подходов к управлению этими рисками. Основное внимание уделено изучению различных методов оценки рисков и их применению в контексте информационной безопасности. Результаты исследования подчеркивают важность комплексного подхода к управлению рисками в условиях цифровизации и глобализации.

ABSTRACT

 This article focuses on analyzing the methodology of risk assessment in information security and modern approaches to managing these risks. The study primarily explores various risk assessment methods and their application in the context of information security. The findings emphasize the importance of an integrated approach to risk management in the era of digitalization and globalization.

Ключевые слова: информационная безопасность; оценка рисков; управление рисками; методология; кибербезопасность; цифровизация.

Keywords: information security; risk assessment; risk management; methodology; cybersecurity; digitalization.

В эпоху цифровизации и глобализации информация стала одним из наиболее ценных ресурсов для любой организации. В то же время, угрозы безопасности информации увеличиваются, делая управление рисками критически важной задачей для организаций разного масштаба.

Понимание риска в информационной безопасности начинается с его определения, которое может варьироваться в зависимости от применяемого стандарта. Два широко используемых стандарта - ISO 31000 и NIST 800-30 rev.1 предлагают различные, но дополняющие друг друга взгляды на риск.

В соответствии со стандартом ISO 31000, риск определяется как «влияние неопределенности на цели» [1]. Это определение акцентирует внимание на неопределенности как ключевом элементе риска. Неопределенность может возникнуть из-за различных факторов, таких как изменения в технологиях или внутренние проблемы в организации. Влияние этих неопределенностей на достижение целей организации и составляет суть риска в рамках ISO 31000.

Согласно стандарту NIST 800-30 rev.1, риск определяется как «мера того, в какой степени организация подвержена угрозе от потенциальных обстоятельств или событий» [2]. Здесь акцент делается на угрозах, которые могут возникнуть и на вероятности их возникновения. Этот подход особенно важен в контексте информационной безопасности, где угрозы могут быть разнообразными - от кибератак до утечек данных. В рамках NIST риск рассматривается как функция от потенциального вреда (или неблагоприятных последствий), который может возникнуть, и вероятности наступления таких событий.

Концепция риска в информационной безопасности представляет собой сложный и многогранный подход.  Разные стандарты и практики предлагают разные определения, но общая идея заключается в том, чтобы определить и минимизировать потенциальный ущерб для организации от различных угроз.

Центральной идеей в контексте информационной безопасности является то, что риск – это не просто вероятность возникновения нежелательного события, но и потенциальное воздействие этого события на организацию.

Методология оценки рисков

Оценка рисков информационной безопасности является важным этапом в обеспечении безопасности информации. Организации могут использовать несколько подходов для оценки рисков: количественный, качественный, основанный на активах, на уязвимостях или на угрозах. 

Качественная методология оценки рисков основана на экспертных оценках и категоризации рисков. При использовании данной методологии, риски оцениваются на основе их вероятности и воздействия, используя качественные оценки, такие как «низкий», «средний» и «высокий» уровень риска. Это позволяет быстро оценить риски и принять предварительные меры без необходимости в большом количестве данных. Ключевым преимуществом качественной методологии является ее простота и относительная быстрота проведения оценки рисков. Однако, она может быть менее точной, поскольку оценки основаны на субъективном мнении экспертов.

Количественная методология оценки рисков основана на использовании численных данных и статистических моделей для оценки вероятности и воздействия рисков. При использовании данной методологии, риски оцениваются с помощью детального сбора и анализа данных, чтобы определить точные значения вероятности и воздействия. Количественная методология позволяет проводить более точные расчеты рисков и предоставляет более детальную информацию для принятия решений. Однако, она требует большего количества данных и экспертизы для проведения оценки рисков. Ключевым преимуществом количественной методологии является ее точность и возможность проведения более детальных анализов рисков.[10]

Обе методологии могут быть использованы для достижения наилучших результатов в оценке рисков информационной безопасности. Качественная методология может использоваться для быстрой предварительной оценки рисков и принятия мер предосторожности, в то время как количественная методология может быть применена для проведения более точных и детальных расчетов рисков, основанных на конкретных данных и статистических моделях.

Подход основанный на активах фокусируется на критических активах организации, таких как базы данных, серверы, приложения и другие ценные ресурсы. Главной задачей является идентификация активов, которые могут подвергаться угрозам, и определение потенциального ущерба от их нарушения или потери. Этот подход требует детального понимания структуры активов, их значимости для бизнеса и возможных последствий их утраты.

Подход основанный на уязвимостях  центрируется вокруг потенциальных слабостей в системах или процессах, которые могут быть эксплуатированы нарушителями. Цель этого подхода - определить уязвимости, оценить их серьезность и определить необходимые меры для их устранения или снижения риска. Оценка уязвимостей часто требует технических навыков и инструментов для анализа систем на наличие слабых мест.

Подход основанный на угрозах фокусируется на потенциальных угрозах, которые могут столкнуться с организацией. Это включает в себя внешние и внутренние угрозы, такие как кибератаки, естественные катастрофы или внутренние угрозы от сотрудников. Основная цель - определить вероятные угрозы, их источники и потенциальное воздействие на активы организации.

Ниже приведена таблица, которая сравнивает методологии по оценке рисков.

Таблица 1.

Методологии оценки рисков

Международные стандарты и их значимость в управлении рисками информационной безопасности

В современном мире, где информационные технологии являются ключевой составляющей практически любого бизнеса, международные стандарты стали не просто рекомендациями, но и фундаментом для управления рисками информационной безопасности.

Стандарт ISO 31000 представляет собой международно признанный стандарт, который предоставляет руководство по управлению рисками. Он охватывает принципы и общие рекомендации, предназначенные для создания универсального подхода к процессу оценки и управления рисками в различных организациях. Цель стандарта — помочь организациям в идентификации, анализе и систематическом управлении рисками, которым они подвергаются в ходе своей деятельности.

На рисунке (Рисунок 1), представляющем высокоуровневый подход на процесс управления рисками по ISO 31000, изображен циклический процесс, состоящий из следующих этапов: установление контекста, оценка рисков (включающая идентификацию рисков, их анализ и оценку), обработка рисков, а также непрерывная коммуникация и консультация с заинтересованными сторонами на всех этапах. Процесс дополняется мониторингом и пересмотром, подчеркивающими необходимость постоянного обновления и адаптации к изменяющимся условиям и информации [1].

Рисунок 1. Процесс управления рисками [4]

В центре ISO/IEC 27001 находится понятие системы управления информационной безопасностью.  ISO/IEC 27001:2013 устанавливает, что организации должны разработать и применять процедуру оценки рисков информационной безопасности, которая включает в себя идентификацию рисков для конфиденциальности, целостности и доступности информации в рамках системы управления информационной безопасностью, а также определение владельцев этих рисков [5]. Это обеспечивает системный подход к управлению угрозами информационной безопасности и поддержанию защитных мер на соответствующем уровне во всей организации.

ISO/IEC 27005 предоставляет руководящие указания для управления рисками информационной безопасности в организации, поддерживая, в частности, требования системы управления информационной безопасностью в соответствии с ISO/IEC 27001 [4].  Однако данный стандарт не предлагает никакой конкретной методологии для управления рисками информационной безопасности. Организация сама определяет свой подход к управлению рисками, который может зависеть, например, от области применения, контекста управления рисками или сектора индустрии.

Специальное издание NIST 800-30 определяет оценку рисков как неотъемлемую часть процесса управления рисками, облегчающую принятие решений на всех уровнях иерархии управления рисками: организационном, процессуальном и уровне информационной системы [2]. Управление рисками является непрерывным процессом, и оценки рисков проводятся на всех этапах жизненного цикла системы, начиная с момента до приобретения системы и включая этапы разработки технологий, инженерии и производства, а также последующую эксплуатацию и поддержку.

Специальное издание NIST 800-39, «Управление рисками информационной безопасности», предлагает руководство для создания интегрированной программы управления рисками информационной безопасности на уровне всей организации [7]. Программа направлена на минимизацию рисков для операционной деятельности организаций (включая миссию, функции и репутацию), активов организации, отдельных лиц, которые могут возникнуть в результате эксплуатации и использования федеральных информационных систем. Специальное издание 800-39 предоставляет структурированный, но гибкий подход к управлению рисками.

Используя эти стандарты, организации могут создать устойчивые, адаптивные и эффективные системы управления рисками, отражающие современные угрозы и вызовы в области информационной безопасности.

В контексте быстро развивающегося цифрового ландшафта управление рисками информационной безопасности становится все более актуальной и сложной задачей. Анализ различных методологий оценки рисков, представленных в данной работе, позволяет  понять особенности каждого подхода и его применимость в разных ситуациях.

Международные стандарты предоставляют фундаментальные основы для эффективного управления рисками. Они выявляют ключевые элементы процесса, подчеркивая необходимость систематического подхода, постоянного мониторинга и адаптации к меняющимся угрозам.

Важность этого исследования заключается в демонстрации необходимости интеграции стандартов и методологий в корпоративные стратегии управления рисками. Тем не менее, для успешной реализации этих стандартов требуется их постоянное обновление, учет индивидуальных особенностей организаций и глубокое понимание специфики применяемых ИТ-систем.

Данная работа выполнена при финансовой поддержке Комитета науки Министерства науки и высшего образования Республики Казахстан (ПЦФ № BR18574045)

Список литературы:

1. International Organization for Standardization. (2018). ISO/IEC 31000: Risk management – Guidelines (ISO/IEC 31000:2018). https://www.iso.org/standard/65694.html
2. NIST Special Publication (SP) 800-30, Revision 1. Guide for Conducting Risk Assessments. Available online: https://csrc.nist. gov/publications/detail/sp/800-30/rev-1/final (accessed on 22 July 2021).
3. Bojanc, R., & Jerman-Blažič, B. (2013). A quantitative model for information-security risk management. Engineering Management Journal, 25(2), 25–37.
4. ISO Standard. Information Technology—Security Techniques—Information Security Risk Management; ISO/IEC 27005:2018; ISO Standard: Geneva, Switzerland, 2018.
5. Prameet P. , R. (2020). A High-Level Comparison between the NIST  Cyber Security Framework and the ISO 27001  Information Security Standard (thesis). University of Exeter, Washington.
6. ISO/IEC, ISO/IEC 27001:2005 Information technology: Security techniques. Specification for an Information Security Management System, Geneva, Switzerland.
7. National Institute of Standards and Technology. (2011). Managing Information Security Risk: Organization, Mission, and Information System View (NIST Special Publication 800-39). https://doi.org/10.6028/NIST.SP.800-39
8. NIST Special Publication (SP) 800-37, Revision 2. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, Available online: https://csrc.nist.gov/pubs/sp/800/37/r2/final.
9. M. Siponen, R. Willison, "Information security management standards: Problems and solutions," Information & Management, Vol. 46, 2009, pp.267-270.
10. Model Risk Management: Quantitative and Qualitative Aspects. Management Solutions. 2014. Available online: https://www. managementsolutions.com/sites/default/files/publicaciones/eng/Model-Risk.pdf?q=PDF/ENG/Model-Risk.pdf (accessed on 11 January 2021).