Почитал подход к оценки рисков нарушения ИБ в международном стандарте ISO 27005-2008 "Управление рисками информационной безопасности" (знаю, что есть редакция от 2011г., но исходные тексты не получилось достать) он же британский стандарт BS7799-3 в первоисточнике.
Оценка рисков нарушения ИБ проводится в соответствии со следующими этапами:
1. Идентификация активов (необходимо выделить конкретные активы (люди, информация, сервисы, техника), которые являются критичными в организации - ни чего нового :) ).
2. Идентификация нарушителей ИБ (необходимо построить "модель нарушителей", указав тип нарушителя, его мотивацию и возможные последствия от действий такого нарушителя, например тип нарушителя - "хакер", мотив - "самоутвердиться в определенном кругу лиц", последствия - "взлом веб-сервера организации и подмена главной страницы").
3. Идентификация существующих требований ИБ законодательства и партнеров (в процессе оценки рисков, необходимо учитывать как собственный опыт и статистику инцидентов ИБ в конкретной области, так и требования законодательства по ИБ и требования партнеров организации).
4. Идентификация угроз ИБ (в приложении C стандарта 27005 есть таблица с типовым перечнем угроз ИБ, например, тип - "отказ в обслуживании сервисов ", угроза - "отказ каналов связи", может быть - "преднамеренный" или "случайный" и т.д.).
5. Оценка вероятности реализации угроз ИБ (предлагает использовать качественную шкалу с ранжированием вероятности на низкую - "маловероятно, что угроза осуществится, так как не существует объективных предпосылок (инцидентов в прошлом, мотивов и статистики) к ее реализации, среднюю - "..." и высокую "...."").
6. Идентификация уязвимостей (в приложении D стандарта есть таблица с типовыми уязвимостями, например, уязвимость "аппаратных средств" - "неэффективное конфигурирование" - "в результате ошибки в использовании" и т.д. ).
7. Оценка уязвимостей (аналогичная трехуровневая качественная шкала вероятности использования уязвимости: очень вероятно - "уязвимость легко использовать, и существует слабая защита или защита вообще отсутствует"......).
8. Оценка стоимости актива ( шкалу оценки стоимости предлагается разработать самой организации с учетом специфики ее функционирования, но в примере предлагается использовать четыре значения от 0 до 4 без привязки к конкретной стоимости).
9. Вычисление рисков ИБ (риск вычисляется по таблице позиционирования значений вероятности угроз, вероятности использования уязвимости и стоимости актива. Значение риска может изменятся в диапазоне от 0 до 8. В результате, по каждому активу вы получите список угроз с различными значениями риска).
10. Ранжирование рисков ИБ или ранжирование угроз ИБ (для того чтобы определить каким рискам необходимо уделить внимание, а какие можно отложить, существует таблица и шкала ранжирования рисков. Ранги рисков - "низкий (0-2)", "средний (3-5)" и высокий(6-8). Либо можно отранжировать угрозы по значению риска, но для этого вероятность реализации угроз должна быть определена количественно. Основной принцип ранжирования заключается в присвоении высшего ранга той угрозе, по которой значение риска выше, и низшего ранга той угрозе, по которой значение риска меньше).
Преимущества подхода:
1. Наличие шаблона типовых нарушителей ИБ, из которых организация может выбрать актуальных для своей деятельности; наличие самого факта идентификации нарушителей ИБ :).
2. Наличие типовых угроз и уязвимостей, что позволяет специалистам сократить время на сбор и изучение информации о существующих уязвимостях.
Недостатки:
1. Пока что это стандарт ISO, а не ГОСТ Р ИСО/МЭК, хотя тут утверждают, что 01.12.2011 мы увидем "российскую" редакцию ;).
2. Если значение риска по 10-ти угрозам - одинаковое, что делать? Такой тривиальный подход к ранжированию не будет работать.