Главная/Блог ревизора/Ревизия и оценка ИТ-рисков

Ревизия и оценка ИТ-рисков

В данной статье мы расскажем Вам о методах оценки ИТ-Рисков и научим ревизоров самостоятельно оценивать ИТ-Риски.

А.-03

Почему следует оценивать ИТ-Риски?

Ревизор всегда должен в своих проверках ИТ-рисков опираться на требования законодательства РФ

  • ГОСТ Р 57580.1-2017 Защита информации финансовых организаций. Базовый состав организационных и технических мер
  • ФЗ-161 «О национальной платежной системе»
  • Положения ЦБ РФ №№ 683, 684, 607, 382-П
  • ФЗ-187 «О безопасности КИИ...› и др.
  • Приказ ФСТЭК от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в АСУ ТП...» и др.

Какие бывают виды и способы оценки ИТ-Рисков?

  • качественно/количественно
  • мозговой штурм, программное средство, опросники, интервью
  • в любом случае нужна методология

Популярные иностранные методологии оценки ИТ-Рисков

  • CRAMM
  • CORAS
  • RiskWatch
  • OCTAVE
  • Oracle Crystal Ball

В России также существуют методологии оценки ИТ-Рисков

  • ФСТЭК. Методический документ. Методика оценки угроз безопасности информации, 2021 г.
  • ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска
  • ГОСТ Р ИСО/МЭК 27005-20100 Менеджмент риска информационной безопасности
  • ГРИФ и др.

 

Основные понятия, используемые в оценках ИТ-Рисков

  • Угроза (злоумышленник, катастрофа, поломка техники и т.п.)
  • Уязвимость/Защищенность
  • Вероятность реализации угрозы
  • Потенциальный ущерб от реализации угрозы
  • Риск, например, ущерб в единицу времени

 

Основные шаги в методологиях оценки ИТ-Рисков

  • Идентификация активов, уязвимостей
  • Шкала оценки рисков
  • Разработка моделей угроз и нарушителей
  • Определение вероятностей реализации угроз
  • Оценка рисков (формулы, «мозговые штурмы» и т.п.)
  • Разработка мероприятий по снижению ИТ-Рисков

 

"Ахиллесовы пятки" методологий оценок ИТ-Рисков и их последствия

  • Недоверие результатам оценки рисков из-за сложности расчетов
  • Оценивается ущерб ИТ, а не бизнесу
  • Полнота модели угроз и нарушителей
  • Вероятность реализации угроз

 

Почему сложно оценивать ИТ-Риски по имеющимся методикам?

  • Сложные методики
  • Нет собственной экспертизы
  • Большой объём работ

 

Плюсы предлагаемого способа оценки ИТ-Рисков

  • Используется мнение менеджмента о величине рисков
  • Нет моделей угроз и нарушителей
  • Используются понятные бизнесу ИТ-сервисы
  • Материальная/Нематериальная шкала
  • Основан на известной методологии ОСТАVЕ

 

Приведём Вам пример на основе предполагаемого способа на базе OCTAVE

РИСК = УЯЗВИМОСТЬ * ВЕРОЯТНОСТЬ * ПОТЕНЦИАЛЬНЫЙ УЩЕРБ

Источник информации по уязвимости - информационная безопасность;

Источник информации по вероятности - статистика;

Источник информации по вероятности - бизнес.

 

Четыре группы ИТ-Угроз

Группы угроз Описание группы угроз
Умышленные действия людей Целенаправленные действия или бездействие сотрудников компании,
сотрудников компаний-партнеров, специалистов, работающих по контракту,
представителей законодательных органов, сторонних лиц, хакеров, повлекшие
нежелательные события для компании.
Неумышленные действия людей Неумышленные действия или бездействие сотрудников компании, сотрудников
компаний-партнеров, специалистов, работающих по контракту, сторонних лиц,
повлекшие нежелательные события для компании.
Неполадки в информационных системах Аппаратные неисправности, ошибки в системном и прикладном ПО, нарушение связи с другими ИС, заражение вредоносным кодом.
 Нежелательные воздействия внешней среды Нежелательные воздействия внешней среды, которые Компания не в состоянии контролировать

 

 

Три вероятности реализации угроз

Вероятность реализации угрозы определяется на данных из статистики по компании, мнения собственника бизнеса, общедоступной статистики и мнения сторонних экспертов.

Вероятность реализации Описание
Высокая вероятность (>70%) Угроза реализуется почти каждый год или чаще
Средняя вероятность (30-70%) Угроза реализуется раз в 2 - 4 года
Низкая вероятность (<30%) Угроза реализуется реже, чем раз в 4 года

 

Пример шкалы величин ущерба

Величина ущерба и риска Монетарное описание Немонетарное описание
Катастрофичный Потери превышают $10 миллионов

Продолжительный период международного осуждения действий компании.

Потенциально возможное юридическое преследование для топ - менеджеров или чрезвычайно высокие штрафы, длительные судебные тяжбы.

Значительный Потери составляют от $3 до $10 миллионов

Международное неодобрение действий компании.

Чрезвычайно высокие штрафы и пени, несколько судебных разбирательств.

Умеренный Потери составляют от $1 до $3 миллионов

Значительное недовольство общественности и СМИ на международном уровне.

Значительные штрафы и наказания для компании. Продолжительная судебная тяжба.

Незначительный Незначительный Потери составляют от $100,000 до $1 миллиона

Значительное недовольство общественности и СМИ на национальном уровне.

Крупное нарушение закона с последующей судебной тяжбой.

 

Пример мер информационной безопасности (контролей)

Стратегические контроли

Управление информационной безопасностью при работе со сторонними организациями (SР5)

В компании существуют утвержденные процедуры защиты информации при работе с третьими сторонами.
Компания производит проверку того, что предоставляемые по аутсорсингу методы и технологии обеспечения безопасности удовлетворяют принятым в компании стандартам обеспечения безопасности.
Компания контролирует состояние защиты информации сторонних организаций, при осуществлении доступа своих сотрудников к информационным системам таких организаций.
Компания проводит необходимое обучение сотрудников, работающих с информационными системами внешних организаций политикам, процедурам и стандартам информационной безопасности таких организаций.
В компании утверждены процедуры аннулирования доступа сотрудникам сторонних организаций в случае нарушения политик безопасности компании. Сотрудники сторонних организаций ознакомлены с такими процедурами.

 

Пример оценки ИТ-Рисков

ИТ сервис Ущерб при нарушении конфиденциальности (разглашении) информации Ущерб при несанкционированной (умышленной и/или неумышленной) модификации информации Ущерб при недоступности ИТ сервиса
Ущерб при частичной или полной потери информации Ущерб при временной недоступности ИТ сервиса
Подразделение: Отдел продаж
1С: Бухгалтерия Несущественный Несущественный Несущественный

4 часа

24 часа

2 недели

Несущественный
Доступ в Интернет Средний Несущественный Несущественный

4 часа

24 часа

2 недели

 

Несущественный
Почта и телефон Средний Средний Несущественный

4 часа

24 часа

2 недели

Высокий

 

Выводы:

  • Предложенная методика устраняет большинство «ахиллесовых пяток» оценок ИТ-Рисков
  • По такой методике реально оценить ИТ-Риски самостоятельно
  • Вовлеченность менеджмента и отсутствие сложной математики повышает доверие топ-менеджмента к результатам оценки

 

 

Alexey.Pastoev@yandex.ru

CISSP

 

 

 

Комментарии

Комментариев пока нет

Оставьте заявку
Наш менеджер свяжется с Вами и проконсультирует по интересующим вопросам по ревизии и инвентаризации
заказать услугу ревизора
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена
vq2
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена