Поскольку одними из основных потребителей услуг в области управления рисками ИБ в настоящее время являются банки, которым это предписывается делать различными стандартами и нормативными документами, включая СТО БР, PCI DSS, ПП-584, Базелем и т.п., полезно будет указать на различия между методикой оценки рисков GlobalTrust и методикой Банка России.
Методика оценки рисков GlobalTrust получила известность благодаря выпуску книги “Искусство управления информационными рисками“, комплекта типовых документов для управления рисками, мастер-класса по управлению рисками, проводимого с 2008 года, и сертифицированных учебных курсов BSI по стандарту ISO 27001 (использующих тот же подход).
Методика оценки рисков Банка России РС БР ИББС-2.2-2009 получила широкое применение в российском банковском сообществе благодаря распространению стандарта СТО БР ИББС. Эта методика носит рекомендательных характер для банков и не запрещает им использовать другие методы.
Перечислим только наиболее существенные различия указанных методик (назовем их методика ГТ (ГлобалТраст) и методика БР (Банк России) соответственно):
- В методике БР оценка риска производится для типов информационных активов (банковская тайна, коммерческая тайна, ПДн и т.п.), в методике ГТ – для конкретных активов и/или групп активов (первичная бухгалтерская документация, личные дела работников, проектная документация, БД CRM и т.п.).
- В методике БР риск определяется качественно на основании двух параметров: вероятность угрозы (СВР) и тяжесть последствий (СТП), дополнительно могут использоваться количественные оценки для определения размера резервов на возможные потери, в методике ГТ риск всегда определяется и качественно и количественно на основании трех параметров: вероятность угрозы, величина уязвимости, размер ущерба.
- Оценка риска в методике БР начинается с определения типов информационных активов, для которых затем составляется перечень объектов среды, в методике ГТ – с анализа бизнес-процессов, для которых затем составляются перечни активов.
- В методике БР составляется перечень ИА и их свойств, в методике ГТ на основании анализа бизнес-процессов формируется реестр информационных активов (процедура инвентаризации активов), определяющих для каждого ИА его местоположение, формат, принадлежность к классам и категориям, пользователей и владельцев, приложения и бизнес-процессы, в которых он используется, а также свойства актива и требования по его доступности.
- В методике БР угрозы рассматриваются применительно к объектам среды, в методике ГТ угрозы рассматриваются применительно непосредственно к конкретным информационным активам.
- В методике БР угрозы описываются по классам, с указанием источника угрозы и способа реализации, в методике ГТ каждая угроза или группа угроз описывается при помощи профиля и жизненного цикла.
- В методике БР область оценки риска определяется как перечень типов информационных активов, в методике ГТ области оценки риска определяется также, как и область действия СУИБ, пересечением множеств бизнес-процессов, площадок, подразделений, активов и внешних интерфейсов.
- В методике БР для оценки риска используется качественная шкала: допустимый, недопустимый. В методике ГТ используется многоуровневая качественная шкала и дополнительно риски делятся на группы: высокие, средние, низкие. Для сопоставления качественных уровней рисков и количественных значений ALE в методике ГТ используется процедура калибровки шкалы оценки риска.
- В методике БР выполняются процедуры оценки СВР угроз и СТП нарушений ИБ, после чего оценивается риск. В методике ГТ, помимо этого, выполняются процедуры оценки ценности активов, анализа уязвимостей и механизмов контроля.
- Методика БР не охватывает процессов обработки риска, методика ГТ охватывает предусматривается формирование плана обработки рисков.
- В методике БР не производится вычисление ROI для механизмов контроля (т.к. обработка риска не входит в область действия данного документа), в методике ГТ решение о выборе механизмов контроля для обработки рисков базируется на количественном вычислении ROI.
Во всем остальном можно сказать, что сравниваемые методики оценки риска схожи друг с другом. Однако для понимающих указанные выше отличия могут быть весьма существенны.