Этот модуль является ресурсом для лекторов  

 

Риск

 

Решения о защите активов принимаются в условиях неопределенности; то есть они принимаются при отсутствии полной информации о потенциальных угрозах, уязвимостях и эксплуатации этих уязвимостей (Knight, 1921). Первоначально риск имел узкое определение как вероятность (или возможность) угрозы и ее воздействия (или последствий) в случае ее материализации (Dali and Lajtha, 2012). Эта концепция риска изображается следующей формулой:

Р иск = В ероятность x П оследствия 

Формулы, подобные приведенной выше, используются для количественной оценки рисков (для получения информации о способах количественной оценки рисков кибербезопасности и недостатках таких способов см.: Freund and Jones, 2015; Hubbard and Seiersen, 2016).

В 2009 году Международная организация по стандартизации (ИСО), международная неправительственная организация, которая разрабатывает и публикует международные стандарты с целью унификации практики, используемой в разных странах, предложила другое определение, которое должно было служить эталоном для способствования взаимопониманию и последовательности при использовании основных понятий риска и терминов, относящихся к риску (Luko, 2013; Dali and Lajtha, 2012). В частности, в Руководстве ИСО 73 (2009) риск определяется как «влияние неопределенности на цели» (см. 3.1 Руководства ИСО 73 (2009)), такие как краткосрочные и/или долгосрочные финансовые цели. В этом определении риска неопределенность означает «состояние, также частично, отсутствия информации относительно понимания или знания события [(т.е. «появления или изменения определенных обстоятельств», раздел 3.3.4.2 Руководства ИСО 73)], его последствий [(т.е. «исхода события, влияющего на цели», раздел 3.3.5.3 Руководства ИСО 73)] или вероятности [(т.е. «возможности того, что что-то произойдет, измеряется и определяется объективно и субъективно, количественно и качественно, и описывается с помощью общих терминов или математически (например, вероятность или частота в данный период времени)», раздел 3.3.5.2 примечаний в Руководстве ИСО 73)]» (см. 3.1 примечаний в Руководстве ИСО 73; для ознакомления с детальным анализом терминологии, относящейся к риску, см. Hoyle, 2018).

Рисунок 1: Threat Analysis Group (без даты). Управление рисками безопасности - методология  Security Risk Management - Methodology.

Процесс оценки рисков (изображен на рисунке 1) предполагает выявление уязвимостей активов, определение внутренних и внешних угроз и/или получение информации о них от средств массовой информации, государственно-частных партнерств и/или других лиц из государственного и частного секторов, а также определение последствий и вероятностей угроз (NIST, 2018). Целью оценки рисков «является выявление… угроз; ... ущерба (т.е. неблагоприятного воздействия), который может быть причинен, учитывая возможность эксплуатации уязвимостей; и… вероятность того, что ущерб будет причинен» (NIST, 2012; для получения информации об ограничениях и проблемах при оценке рисков кибербезопасности и о том, что можно сделать для преодоления этих ограничений и проблем, см. Hubbard and Seiersen, 2016).

После завершения оценки рисков определяются меры реагирования на риски (т.е. меры по обработке рисков), приоритетность которых устанавливается на основе имеющихся ресурсов (например, финансовых) и потребностей. На этом этапе реализуются меры по устранению, уменьшению или смягчению рисков (Maras, 2014b).

 
Далее: Раскрытие информации об уязвимостях
Наверх