Шаг 1. Идентификация и определение приоритетов ИТ-активовК ИТ-активам относятся серверы, принтеры, ноутбуки и другие устройства, а также данные, такие как контактная информация клиентов, сообщения электронной почты и интеллектуальная собственность. Для полного представления об используемых организацией активах важно собрать информацию со всех отделов и подразделений.
Также необходимо определить важность каждого ИТ-актива. Обычно используются такие критерии, как денежная стоимость, его роль в критически важных процессах, а также соответствие правовым нормам и требованиям. Затем можно разделить активы на категории, например, критические, основные или второстепенные.
Шаг 2. Определение угрозУгроза - это все, что может причинить вред вашей организации. Это могут быть внешние угрозы, вредоносное ПО, злонамеренные действия пользователей или ошибки недостаточно подготовленных администраторов.
Шаг 3. Определение уязвимостейУязвимость - это слабое место, которое может позволить угрозе нанести вред вашей организации. Уязвимости можно выявить с помощью анализа, аудиторских отчетов, оценки информационной безопасности, тестирования на проникновение и автоматизированных средств сканирования уязвимостей.
Шаг 4. Анализ существующих средств контроляПроанализируйте имеющиеся средства контроля для снижения вероятности использования уязвимостей. Примерами технических средств контроля являются шифрование, системы обнаружения вторжений и многофакторная аутентификация (MFA). К нетехническим средствам контроля можно отнести политики безопасности.
И те и другие средства контроля можно разделить на превентивные и детективные. Превентивные средства контроля, такие как шифрование и MFA, предназначены для предотвращения атак. Детективные средства контроля, такие как журналы аудита и системы обнаружения вторжений, используются для выявления угроз, которые либо уже произошли, либо происходят в настоящее время.
Шаг 5. Определите вероятность инцидентаОцените вероятность использования каждой уязвимости, учитывая такие факторы, как характер уязвимости, возможности и намерения источника угрозы, а также наличие и эффективность ваших средств контроля. Вместо числовой оценки многие организации используют условные обозначения, например, высокая, средняя и низкая вероятности угрозы.
Шаг 6. Оцените возможное воздействие угрозыОцените потенциальные последствия инцидента, связанного с потерей или компрометацией активов. К ключевым факторам, которые необходимо учитывать, относятся:
- Роль актива и любых зависимых процессов;
- Ценность актива для организации;
- Уровень конфиденциальности актива.
Шаг 7. Расстановка приоритетов рисковДля каждой пары угроза–уязвимость определите уровень риска для ИТ-инфраструктуры, основываясь на следующих характеристиках:
- Вероятность использования уязвимости угрозой.
- Приблизительная стоимость каждого из таких случаев.
- Адекватность средств контроля для устранения или снижения риска.
Шаг 8. Составление рекомендацийОпределите действия, необходимые для снижения риска, основываясь на его уровне. Вот некоторые общие рекомендации для каждого уровня риска:
- Высокий - план корректирующих мер должен быть разработан как можно скорее.
- Средний - план корректирующих мер должен быть разработан в разумные сроки.
- Низкий - команда должна решить, принять ли риск или реализовать корректирующие действия.
Шаг 9. Документирование результатовЗаключительным этапом процесса оценки рисков является создание комплексного отчета, который поможет руководству принять обоснованные решения по бюджету, политике, процедурам и т. д. В отчете необходимо описать каждую угрозу, связанные с ней уязвимости, активы, подверженные риску, потенциальное воздействие на вашу ИТ-инфраструктуру, а также рекомендуемые меры контроля и их стоимость. Часто в отчете об оценке рисков указываются ключевые шаги по исправлению ситуации, которые позволяют снизить многочисленные риски.
Пример такого отчета: