Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Понятие риска в целом и риска информационной безопасности в частности достаточно широко и по-разному трактуется в различных стандартах и методиках. (см. примеры определений).

В Сервисе под риском понимается возможность реализации угрозы через использование уязвимостей в группах (типах) активов.
Таким образом риски состоят из 3 составляющих:

Риск = F(угроза, уязвимость, тип актива)

Риск = Угроза из-за Уязвимости в Типе актива
  • Угроза – любые негативные события, которое могут нанести ущерб организации, причина нежелательных событий;
  • Уязвимость  - слабость, особенность, свойство информационного актива из-за которого становится возможна реализация угрозы;
  • Тип актива – любой объект, физический или виртуальный, являющийся источником уязвимостей, которые могут приводить к реализации угроз.
С рисками в сервисе возможно работать в нескольких представлениях:
  • Атомарные риски - состоящие из одной комбинации угрозы, уязвимости и типа актива (в реестре рисков или карточке риска)
  • Риски, сгруппированные по реализуемой угрозе (в карточке соответствующей угрозы)
  • Риски, сгруппированные по эксплуатируемой уязвимости (в карточке соответствующей уязвимости)
  • Риски, сгруппированные по типу актива, являющемуся источником уязвимости (в карточке соответствующего типа актива)
В реестре рисков можно осуществлять фильтрацию и сортировку рисков по типам угроз (по классификациям КЦД, STRIDE и другим), по величине первичного, текущего или запланированного (остаточного) риска, по риск-аппетиту и т.д.

Оценка риска

Для оценки риска в сервисе используются следующие качественные атрибуты:
  1. Ущерб
    Под ущербом понимается тяжесть возможных последствий для организации в случае наступления риска.
    Ущерб задается на уровне Угрозы и транслируется во все риски, сформированные на базе этой угрозы. При этом на уровне конкретных рисков ущерб можно переопределить.
    Возможные значения: отсутствует, низкий, средний, высокий, критический.
  2. Вероятность
    Под вероятностью понимается вероятность нанесения ущерба в случае наступления риска или вероятность наступления риска.
    Вероятность задается на уровне Уязвимости и транслируется во все риски, сформированные на базе этой уязвимости. При этом на уровне конкретных рисков вероятность можно переопределить.
    Возможные значения: отсутствует, низкая, средняя, высокая, критическая.
  3. Приоритет актива (типа актива)
    Под приоритетом актива понимается ценность актива являющегося источником уязвимости при реализации риска.
    Приоритет актива задается на уровне Типа актива и транслируется во все риски, сформированные на базе этого типа актива. При этом на уровне конкретных рисков приоритет типа актива можно переопределить.
    Возможные значения: отсутствует, низкий, средний, высокий, критический.
В отношении всего реестра рисков, рисков сгруппированных различным образом и конкретных (атомарных) рисков сервис рассчитывает 3 показателя:
  1. Первичный риск
    Величина риска (группы рисков) до его снижения под воздействием защитных мер 
  2. Текущий риск
    Величина риска (группы рисков) с учетом воздействия на него реализованных на текущий момент защитных мер (т.е. мер, находящихся в статусе Реализовано)
  3. Проектный (остаточный) риск
    Величина риска (группы рисков) с учетом воздействия на него как реализованных, так и еще не реализованных на текущий момент защитных мер (меры, находящиеся в статусе Проект или Внедрение)
Формула для расчета риска, используемая по умолчанию:

Величина риска = Ущерб x Вероятность x Приоритет актива

Формула для расчета риска может быть изменена. Доступные формулы:
  • Величина риска = Ущерб + Вероятность + Приоритет актива
  • Величина риска = Ущерб x Вероятность
  • Величина риска = Ущерб + Вероятность
Отображение величины риска может быть в баллах или процентах.
Риск по величине разделяется на Низкий, Средний, Высокий, Критический.

Риск-аппетит
Риск-аппетит - это максимальный уровень риска, который организация готова принять в своем стремлении к достижению целевых показателей, до того момента как понадобится принимать меры по снижению риска.
В ряде методик риск-аппетитом называется целевой показатель величины допустимого остаточного операционного риска.
В сервисе задается уровень риск-аппетита и в Реестре рисков можно фильтровать отображаемые риски в зависимости от отношения их величины к риск-аппетиту.

Изменение методики оценки
На уровне каждой команды могут быть изменены: формула расчета риска, формат отображения величины риска (баллы или проценты), интервалы в которых риск считается низким, средним или высоким, уровень риск-аппетита.
Для изменения параметров оценки риска нужно перейти в раздел Реестр рисков \ Методика. Также изменение параметров доступно в Профиле команды (кнопка в верхнем правом меню) в разделе Риски.

Описание методики оценки рисков формируется автоматически с учетом скорректированных параметров и доступно в разделе Реестр рисков \ Методика.

Обработка риска

Обработка риска (risk treatment) — это процесс изменения риска. Сервис позволяет реализовать следующие варианты обработки:
 
1. Снижение (Уменьшение, Mitigation, Reduce)
Снижение риска осуществляется через внедрение защитных мер, которые влияют на риск. Защитные меры могут влиять на характеристики риска:
  1. вероятность реализации риска
  2. последствия реализации риска (ущерб)
Одна мера может влиять на разные характеристики одного риска.
Одна мера может влиять на разные риски.
На один риск может влиять несколько защитных мер.
В Сервисе влияние защитных мер на риск формируется через настройку связи между риском и защитной мерой и указание величины влияния (на ущерб и/или вероятность риска). Настройка связи может осуществляться в карточке риска или в карточке защитной меры.
 
2. Уклонение (Избежание, Исключение, Avoidance) 
Уклонение от риска означает принятие решения не начинать или не продолжать деятельность, в результате которой возникает риск. Или уклонением можно считать устранение источника риска.
В сервисе уклонение оформляется аналогично снижению, через защитные меры, но защитная мера снижает риск (через влияние на ущерб или вероятность) полностью, сводя риск к нулю.  Можно считать, что уклонение от риска — это снижение риска до нуля.
 
3. Принятие (Acceptance) 
Принятие риска означает осознанное решение оставить риск на его текущей величине, без внедрения снижающих риск защитных мер.
В Сервисе принятие риска реализуется выставлением соответствующей пометки в карточке риска.
После принятия риск исчезает из реестра рисков и перестает участвовать в оценке совокупного (интегрального) риска. Все принятые риски хранятся в отдельном Реестре принятых рисков.
Решение о принятии риска должно приниматься с учетом позиции всех заинтересованных сторон (владельца риска, владельцев и/или администраторов связанных с риском активов, руководства организации). Решение о принятии риска оформляется в Сервисе как заметка к карточке риска и, дополнительно, протоколируется в журнале событий.
Риск может быть принят навсегда или временно. Если при принятии риска указать срок его принятия то по его наступлению риск будет автоматически возвращен в основной реестр рисков.

Родительский и дочерние риски

Риск состоит из угрозы, уязвимости и типа актива. Типы активов по отношению к друг к другу могут состоять в связи родительский/дочерний тип, пример:
Программное обеспечение > Системное ПО > Операционная система > ОС Windows > Windows Desktop > Windows XP
Если у рисков одинаковая угроза и уязвимость, а их типы активов состоят в родительской/дочерней связи то такие риски будут считаться родительским и дочерним по отношению друг к другу.
Например, риск
Угроза Заражение ВПО из-за Уязвимости Наличие технических уязвимостей в активах типа Программное обеспечение
будет родительским по отношению к риску
Угроза Заражение ВПО из-за уязвимости Наличие технических уязвимостей в активах типа Windows XP
Такая связь полезна, когда помимо набора защитных мер в отношении родительского риска внедряются дополнительные меры в отношении более конкретных ситуаций (дочерних рисков).
Например, в случае с первым риском (технические уязвимости в программном обеспечении) можно внедрить регулярную защитную меру Анализ и устранение технических уязвимостей. А в отношении частного случая (технические уязвимости в Windows XP) можно внедрить дополнительную разовую защитную меру Отказ от неподдерживаемых производителем ОС.

При расчете величины риска учитываются все защитные меры, действующие на родительские риски. Это означает, что когда определяется защитная мера по отношению к высокоуровневому риску то подразумевается, что эта защитная мера действует и в отношении всех дочерних рисков (аналогичных рисков с дочерними типами активов). 
Связи с родительскими и дочерними рисками формируются автоматически и отображаются в карточках рисков.

Определения риска

Существуют различные определения риска, вот часть из них:
риск (risk): Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.
ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Риск - влияние неопределенности на цели.
Влияние - это отклонение от ожидаемого - положительное или отрицательное.
Неопределенность - это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.
Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.
Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.
В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.
Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.
ГОСТ ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание - Определяется как сочетание вероятности события и его последствий.
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты