1. Определение политики управления рисками. Построенная на общепринятых принципах обеспечения информационной безопасности (англ. Generally Accepted System Security Principles — GASSP) [GASSP] политика позволит избежать субъективного подхода.
2. Определение персонала, который будет заниматься управлением риска ми и обеспечить его финансирование. Помимо оплаты труда, скорее всего придется провести обучение кадров и, возможно, приобрести автоматизированные инструменты или платные методики оценки рисков.
3. Определение методологии и средств, с помощью которых будет производиться оценка риска. Важно быть уверенным в том, что оценка риска проведена правильно до того как будут потрачены средства, необходимые для управления рисками.
4. Идентификация и измерение риска. На первом этапе необходимо определить сферу применения работ, имеющиеся угрозы, информационные активы и их значимость (это, возможно, уже будет сделано при классификации), проанализировать уязвимости активов, которые могут повлиять на частоту появления или размер возможного ущерба. Далее производится сведение полученных данных с установкой метрик. Для качественной оценки это может быть таблица, в колонках которой указаны активы, а в столбцах — уровень риска (высокий, средний, низкий).
Для количественной оценки используется конкретная количественная методика.
Установка критериев приемлемости рисков. На основе полученных данных специалисты по управлению рисками совместно с руководством организации должны определить приемлемость риска на основе принятой методики, например, считать неприемлемым риск, если вероятность потери эквивалента 100 000 долларов США более чем 3/100.
Избежание или уменьшение рисков. Необходимо определить уязвимости, которые становятся неприемлемыми при принятых критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы: выбор средств для снижения/устранения риска оценка эффективности этих средств (в смысле соответствия между ценой средства и его эффективностью), отчет руководству о предлагаемых мероприятиях.
Мониторинг работы управления рисками. Для обеспечения адекватности предпринимаемых мер соответствующим рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств, угроз и другие превентивные действия.
|