Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Мониторинг рисков – процесс отслеживания идентифицированных рисков, мониторинга остаточных рисков, идентификации новых рисков, исполнения плана обработки рисков и оценки его эффективности. Непрерывный мониторинг может поддерживаться внешними сервисами, которые обеспечивают информацию о новых угрозах или уязвимостях.

Необходимо проводить непрерывный мониторинг следующих факторов:

– новые активы, которые были включены в сферу действия управления рисками;

– изменение ценности активов, например, вследствие изменившихся бизнес-требований;

– новых угроз, которые могут быть активными вне и внутри организации, и которые ещё не оценивались;

– вероятности того, что новые или увеличившиеся уязвимости могут позволить угрозам их использовать;

– идентифицированные уязвимости для определения тех уязвимостей, которые становятся подверженными новым или повторно возникающим угрозам;

– повышенное влияние последствий оценённых угроз, уязвимостей и рисков, объединение которых имеет результатом неприемлемый уровень риска;

– инциденты ИБ.

Мониторинг рисков важен для эффективной реализации действий, запланированных на предыдущих этапах. Он обеспечивает своевременное исполнение превентивных мер и планов по смягчению последствий и выполняется с помощью признаков, указывающих на возможность то, что события риска произошли или произойдут в ближайшее время.

Примеры параметров, к которым могут быть привязаны признаки рисков и за которыми может проводиться мониторинг:

– количество «открытых» (найденных и неисправленных) ошибок системы;

– среднее за неделю количество сверхурочных часов работы на одного сотрудника;

– еженедельное количество изменений в требованиях к разрабатываемой системе;

– изменения бизнес-процессов;

– своевременность выделения требуемых ресурсов;

– техническое обеспечение работ.

Мониторинг и улучшение рисков является последним этапом управления рисками и включет следующие мероприятия:

– мониторинг и пересмотр рисков;

– анализ и улучшение управления рисками.

6.1. Пересмотр рисков

Входные данные: Вся информация о рисках, полученная в результате управления рисками.

Действие: Риски и их факторы (ценность активов, угрозы, уязвимости, вероятность риска) должны подвергаться мониторингу и пересмотру с целью идентификации любых изменений на ранней стадии.

Руководство по реализации: Пересмотр рисков должен проводиться регулярно, согласно расписанию, составленному на этапе планирования. В процессе мониторинга рисков может возникать необходимость в проведении идентификации новых рисков, пересмотре состояния известных рисков и планировании дополнительных мероприятий по обработке рисков.

Выходные данные: Непрерывное согласование управления рисками с бизнес-целями и критериями принятия риска.

6.2. Анализ и улучшение

Входные данные: Вся информация о рисках, полученная в результате управления рисками.

Действие: Процесс управления рисками должен постоянно подвергаться анализу и улучшению.

Руководство по реализации: Постоянный анализ необходим для обеспечения уверенности в том, что результаты оценки и обработки рисков, а также план обработки рисками соответствуют реальным обстоятельствам. Необходимо регулярно проверять, что критерии измерения риска и его элементов по-прежнему остаются действительными и согласующимися с бизнес-целями, стратегиями и политиками ИБ.

Эта деятельность должна уделять внимание:

– правовой сфере и условиям окружающей среды;

– сфере конкуренции;

– подходу к оценке риска;

– ценности и категориям активов;

– критериям влияния на активы и процессы;

– критериям оценки риска;

– критериям принятия риска;

– полной стоимости эксплуатации активов;

– необходимым ресурсам.

Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.

Анализ должен обеспечить изменение или улучшение подхода, методологии или инструментальных средств, используемых в зависимости от:

– идентифицированных изменений;

– итерации оценки риска;

– цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);

– объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).

Выходные данные

Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.