с 01.01.2018 по настоящее время
Ангарск, Иркутская область, Россия
Предложен комплексный риск-ориентированный подход управления информационной безопасностью, основанный на экспертных оценках, описана процессная модель управления рисками
риск-ориентированный подход, информационная безопасность, оценка возврата инвестиций
Основной целью обработки рисков является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности (ИБ) при максимальном возврате инвестиций.
При управлении ИБ (анализе уязвимостей и угроз, возможного ущерба и рисков) рассматривают три свойства информации: конфиденциальность (к), целостность (ц) и доступность (д).
Процесс управления рисками ИБ состоит из 6 этапов, его можно представить в виде IDEF0-диаграммы, как показано на рисунке 1.
1 этап: определение активов организации и их ценности, анализ категории пользователей, имеющих доступ к информации.
2 этап: анализ возможного ущерба (коммерческим интересам организации и ущерб репутации).
3 этап: анализ возможных угроз и уязвимостей, ассоциированных с активами организации. Групповой уровень уязвимостей рассчитывается по формуле, где РУУ – это уровни уязвимости, а РМК – уровни механизмов контроля.
4 этап: определение величины риска, по матрице из рисунка 2.
5 этап: определение среднегодового ущерба (ALE) по формуле:
где РУ – размер ущерба; k – количество инцидентов в год; РРУ – вероятность успешной реализации угрозы.
Рисунок 1 – Диаграмма декомпозиции процесса управления рисками ИБ
Рисунок 2 – Матрица величин риска
6 этап: расчёт коэффициента возврата инвестиций (ROI) по формуле:
где ТСО (Total Cost of Ownership) – это стоимость защитных мер:
ТСО = ПР + К1 + К2,
где К1, К2 – косвенные затраты первой и второй групп, ПР – сумма капитальных затрат и расходов на управление. ROI > 100% свидетельствует о том, что затраты на ИБ окупились, есть прибыль от вложений (ROI = 100% – это точка безубыточности, 0 < ROI < 100% – возвращается часть затрат).
1. Дорофеев, А. В. Менеджмент информационной безопасности: основные концепции / Дорофеев А. В. - Текст : непосредственный // Вопросы кибер-безопасности.- 2014, № 1(2). - С. 67-73.