Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Понятие риска в целом и риска информационной безопасности в частности достаточно широко и по-разному трактуется в различных стандартах и методиках. Примеры определений.

В сервисе под риском понимается возможность реализации угрозы через использование уязвимостей в активах.
Таким образом риски в сервисе состоят из 3 составляющих:

Риск = угроза + уязвимость + тип актива

Риск = Угроза из-за уязвимости в типе актива
  • Угроза – любые негативные события, которое могут нанести ущерб организации, причина нежелательных событий;
  • Уязвимость  - слабость, особенность, свойство информационного актива из-за которого становится возможна реализация угрозы;
  • Тип актива – любой объект, физический или виртуальный, являющийся источником уязвимостей, которые могут приводить к реализации угроз.
С рисками в сервисе возможно работать в нескольких представлениях:
  • Атомарные риски - состоящие из одной комбинации угрозы, уязвимости и типа актива (в реестре рисков или карточке риска)
  • Риски, сгруппированные по реализуемой угрозе (в карточке соответствующей угрозы)
  • Риски, сгруппированные по эксплуатируемой уязвимости (в карточке соответствующей уязвимости)
  • Риски, сгруппированные по типу актива, являющемуся источником уязвимости (в карточке соответствующего типа актива)
В реестре рисков можно осуществлять фильтрацию и сортировку рисков по типам угроз (КЦД, STRIDE и т.д.), по величине первичного, текущего или запланированного (остаточного) риска.

Оценка риска

Для оценки риска в сервисе используются следующие качественные атрибуты:
  1. Ущерб
    Под ущербом понимается тяжесть возможных последствий для организации в случае наступления риска.
    Ущерб задается на уровне Угрозы и транслируется во все риски, сформированные на базе этой угрозы. При этом на уровне конкретных рисков ущерб можно переопределить.
  2. Вероятность
    Под вероятностью понимается вероятность нанесения ущерба в случае наступления риска или вероятность наступления риска.
    Вероятность задается на уровне Уязвимости и транслируется во все риски, сформированные на базе этой уязвимости. При этом на уровне конкретных рисков вероятность можно переопределить.
  3. Приоритет актива
    Под приоритетом актива понимается ценность актива являющегося источником уязвимости при реализации риска. Опциональный атрибут при расчете риска.
    Приоритет актива задается на уровне Типа актива и транслируется во все риски, сформированные на базе этого типа актива. При этом на уровне конкретных рисков приоритет актива можно переопределить.

Базовая формула для расчета риска

Величина риска = Ущерб x Вероятность x Приоритет актива

В отношении всего реестра рисков, рисков сгруппированных различным образом и конкретных (атомарных) рисков сервис рассчитывает 3 показателя:
  1. Первичный риск
    Величина риска (группы рисков) до его снижения под воздействием защитных мер 
  2. Текущий риск
    Величина риска (группы рисков) с учетом воздействия на него реализованных на текущий момент защитных мер (меры, находящиеся в статусе Реализовано)
  3. Проектный (остаточный) риск
    Величина риска (группы рисков) с учетом воздействия на него как реализованных так и еще не реализованных на текущий момент защитных мер (меры, находящиеся в статусе Проект или Внедрение)

Обработка риска

Обработка риска (risk treatment) — это процесс изменения риска. SECURITM позволяет реализовать следующие варианты обработки:
 
1. Снижение (Уменьшение, Mitigation, Reduce)
Снижение риска осуществляется через внедрение защитных мер, которые влияют на риск. Защитные меры могут влиять на:
  1. вероятность реализации риска
  2. последствия реализации риска (ущерб)
На один риск может влиять несколько защитных мер.
В SECURITM влияние защитных мер на риск оформляется через настройку связи между риском и защитной мерой и указание величины влияния (на ущерб и/или вероятность риска). Настройка связи может осуществляться в карточке риска или в карточке защитной меры.
 
2. Уклонение (Избежание, Исключение, Avoidance) 
Уклонение от риска означает принятие решения не начинать или не продолжать деятельность, в результате которой возникает риск. Или уклонением можно считать устранение источника риска.
В сервисе уклонение оформляется аналогично снижению, через защитные меры, но защитная мера снижает риск (через влияние на ущерб или вероятность) полностью, сводя риск к нулю.  Можно считать, что уклонение от риска — это его снижение риска до нуля.
 
3. Принятие (Acceptance) 
Принятие риска означает осознанное решение оставить риск на его текущей величине, без внедрения снижающих риск защитных мер.
В SECURITM принятие риска реализуется выставлением соответствующей пометки в карточке риска.
После принятия риск исчезает из реестра рисков и перестает участвовать в оценке совокупного максимального риска. Все принятые риски хранятся в отдельном Реестре принятых рисков.
Решение о принятии риска должно приниматься с учетом позиции всех заинтересованных сторон (владельца риска, владельцев и/или администраторов связанных с риском активов, руководства организации). Решение о принятии риска оформляется в SECURITM как заметка к карточке риска и, дополнительно, протоколируется в журнале событий.

Родительский и дочерние риски

Риск состоит из угрозы, уязвимости и типа актива. Типы активов по отношению к друг к другу могут состоять в связи родительский/дочерний тип, пример:
Программное обеспечение > Системное ПО > Операционная система > ОС Windows > Windows Desktop > Windows XP
Если у рисков одинаковая угроза и уязвимость, а их типы активов состоят в родительской/дочерней связи то такие риски будут считаться родительским и дочерним по отношению друг к другу.
Например, риск
Угроза Заражение ВПО из-за Уязвимости Наличие технических уязвимостей в активах типа Программное обеспечение
будет родительским по отношению к риску
Угроза Заражение ВПО из-за уязвимости Наличие технических уязвимостей в активах типа Windows XP
Такая связь полезна, когда помимо набора защитных мер в отношении родительского риска внедряются дополнительные меры в отношении более конкретных ситуаций (дочерних рисков).
Например, в случае с первым риском (технические уязвимости в программном обеспечении) можно внедрить регулярную защитную меру Анализ и устранение технических уязвимостей. А в отношении частного случая (технические уязвимости в Windows XP) можно внедрить дополнительную разовую защитную меру Отказ от неподдерживаемых производителем ОС.

При расчете величины риска учитываются все защитные меры, действующие на родительские риски. Это означает, что когда определяется защитная мера по отношению к высокоуровневому риску то подразумевается, что эта защитная мера действует и в отношении всех дочерних рисков (аналогичных рисков с дочерними типами активов). 
Связи с родительскими и дочерними рисками формируются автоматически и отображаются в карточках рисков.

Определения риска

Существуют различные определения риска, вот часть из них:
риск (risk): Сочетание вероятности события и его последствий
Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.
Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.
Риск - влияние неопределенности на цели.
Влияние - это отклонение от ожидаемого - положительное или отрицательное.
Неопределенность - это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.
Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.
Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.
В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.
Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.
риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание - Определяется как сочетание вероятности события и его последствий.
риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.