Угроза – это потенциальный фактор или обстоятельство, несущее вред или ущерб компании или данным. Инцидент безопасности – событие, происходящее внезапно и имеющее потенциал для нарушения ИБ компании.
Угрозы могут быть обусловлены человеческими либо природными факторами, происходят случайным образом либо реализуются намеренно. В ходе описания пункта нужно идентифицировать источники любых типов угроз и оценить вероятность их осуществления.
Важно взять во внимание любые возможные угрозы, поскольку в обратном случае возможно появление уязвимости системы ИБ компании, вместе с тем рекомендуется не уделять много внимания заведомо нереализуемым угрозам (маловероятным).
Получить исходные данные с целью оценки можно у пользователей либо владельцев активов, а также сотрудников, применяющих в организации меры защиты. Необходимое условие для формирования списка угроз – соблюдение стандартных требований ГОСТ Р ИСО/МЭК ТО 13335-3-2007.
Рекомендуется использовать каталоги угроз, которые в наибольшей степени соответствуют аналогичным угрозам компании. По определению источника (субъекта или процесса) и объекта (какой-либо элемент системы) угрозы, следует оценить реальную возможность угрозы.
Во-первых, давайте уточним, что мы имеем в виду под возможными рисками. ИСО определяет риск как «влияние неопределенности на цели», которое фокусируется на влиянии неполного знания событий или обстоятельств на принятие решений организацией. Чтобы организация была уверена в вероятности достижения своих целей и задач, необходима структура управления рисками предприятия — оценка рисков.
Таким образом, оценка риска представляет собой систематический процесс оценки потенциальных рисков, которые могут быть связаны с планируемой деятельностью или предприятием. Другими словами, оценка рисков включает в себя выявление, анализ и оценку рисков в первую очередь, чтобы наилучшим образом определить необходимые меры по их снижению.
1. Идентификация. Критически взгляните на контекст вашей организации с точки зрения сектора, операционных процессов и активов, источников рисков и результатов, если они материализуются. Например, страховая компания может обрабатывать информацию о клиентах в облачной базе данных. В этой облачной среде источники рисков могут включать атаки программ-вымогателей, а последствия могут включать потерю бизнеса и судебные разбирательства. После того как вы определили риски, отслеживайте их в журнале рисков или в реестре.
2. Анализ. Здесь вы оцените вероятность реализации риска, а также масштаб воздействия на организацию. Например, пандемия может иметь низкую вероятность возникновения, но очень сильно повлиять на сотрудников и клиентов, если она возникнет. Анализ может быть качественным (с использованием шкал, например, низкой, средней или высокой) или количественным (с использованием числовых значений, например, финансового воздействия, процентной вероятности и т. д.).
3. Оценка. На этом этапе оцените результаты анализа рисков с помощью задокументированных критериев приемлемости риска. Затем определите приоритеты рисков, чтобы гарантировать, что инвестиции сосредоточены на наиболее важных рисках
В оценку необходимо руководствоваться такими параметрами:
· частота возникновения (опираться на статистические данные и материалы);
· ресурсы и возможности потенциального субъекта, реализующего угрозу;
· важность активов;
· географическое положение компании (близость предприятий критической инфраструктуры, факторы, которые могут стать причиной ошибки персонала и т.д. – в случае реально происходящей угрозы).
Когда оценка завершена, формируется перечень опознанных угроз, а также активов компании, которым угрожает данная угроза, степень реализации каждого типа угрозы с градацией вероятности – низкая, средняя, высокая.
В пункте необходимо описать процесс оценки, а также отразить основания для осуществления оценки, ее частоту, задействованных лиц, методики и форму представления конечного результата.