Ризик (інформаційна безпека)

Ризик — ризик, пов'язаний з використанням інформаційних систем, які підтримують місію та бізнес-функції організації^[1]. З точки зору інформаційної безпеки ризик розглядають як добуток втрат від порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів на імовірність такого порушення. Ризики інформаційної безпеки розглядають як частину бізнес-ризиків та обробляють схожим чином.

Методики оцінки ризиків інформаційної безпеки

Будь-яке оцінювання ризиків інформаційної безпеки починається з обстеження інформаційної системи, ідентифікації інформаційних ресурсів та опису технологій обробки інформації.

Ризики інформаційної безпеки класифікуються за:

властивостями інформаційних ресурсів, які порушуються при реалізації ризику (конфіденційність, цілісність, доступність, автентичність, спостережність);
видами втрат внаслідок реалізації ризиків.

Можливі види втрат з результатами реалізації ризиків^[2]:

фінансові втрати;
репутаційні втрати;
порушення законодавства/контрактів;
шкода продуктивності персоналу;
загроза життю і здоров'ю людей.

З наведених вище видів втрат більш-менш точно можуть бути оцінені фінансові втрати. З меншою точністю у грошовому вимірі можуть бути оцінені втрати від шкоди продуктивності персоналу та порушення законодавства/контрактів, тому що реалізація певних ризиків може тягнути не тільки фінансові санкції (штрафи, цивільні позови), але і санкції, які не можуть бути оцінені фінансово (позбавлення ліцензії, кримінальна відповідальність тощо). Репутаційні втрати та загроза життю і здоров'ю людей не можуть бути оцінені фінансово.

Імовірність реалізації ризиків також часто не може бути оцінена точно. Джерелами відомостей щодо імовірності реалізації ризиків можуть бути дані про аналогічні випадки від державних органів, команд реагування на комп'ютерні надзвичайні події, галузевих асоціацій. Однак усі ці дані є, як правило, неповними (не всі компанії підлягають моніторингу), неточними (багато компаній не розкривають подробиці інцидентів інформаційної безпеки) і неактуальними (наприклад на початку хвилі чергового вірусу у зазначених даних відомості про вірус ще відсутні). Крім того, ці дані не враховують специфіку конкретного бізнесу. Тому статистичні дані про інциденти інформаційної безпеки, які вже відбулись, при оцінці ризиків приймаються до відома, але застосовуються із обережністю.

Внаслідок того, що ні втрати, ні імовірність не можуть бути оцінені чисельно, значення ризику не може бути обчислене відповідно до визначення. Замість цього використовують методи оцінки ризиків, які ґрунтуються на якісних показниках. Найпростіші методи, визначені у Керівництві з проведення оцінювання ризиків NIST SP 800-30^[1], або методології оцінки ризиків OWASP,^[3] передбачають оцінювання рівня втрат та імовірності реалізації ризику за якісною шкалою (малий/посередній/великий), а на їх основі — рівня ризику за таблицею, як показано нижче. Різниця полягає лише у кількості рівнів градації та визначеннях правил віднесення рівня втрат та імовірності реалізації ризику до того, чи іншого рівня.

Загальна серйозність ризику
Втрати	ВИСОКІ	Посередня	Висока	Критична
	ПОСЕРЕДНІ	Низька	Посередня	Висока
	НИЗЬКІ	Відсутня	Низька	Посередня
		НИЗЬКА	ПОСЕРЕДНЯ	ВИСОКА
	Імовірність

Більш складні методи, такі як OCTAVE Allegro^[2], MEHARY^[4], Magerit^[5] додатково враховують вплив взаємозв'язків інформаційних ресурсів, вже наявні заходи захисту, використовують певні бази вразливостей.

Результатом роботи усіх методів є відсортований за рейтингом перелік ризиків та, можливо, рекомендації з їх обробки.

Методи обробки ризиків інформаційної безпеки

Можливі методи обробки ризиків^[6]:

протидія ризикам — застосування належних заходів захисту;
свідоме та об'єктивне прийняття ризиків;
уникнення ризиків;
перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.