Violations de la sécurité de l'information. Gestion des risques. Modèle de sécurité à chevauchement complet

L’histoire a prouvé à maintes reprises que la stabilité, aussi idéale et bonne qu’elle puisse paraître à première vue, conduit à la dégradation. Le développement est impossible sans risque. Toute notre vie est faite de probabilités, d’évaluations de possibilités et de décisions qui mènent au succès ou à l’échec. Mais beaucoup dépend de nous. Le saut en parachute se terminera-t-il en toute sécurité ? Cela dépend s'il a été posé correctement, si vous connaissez la procédure pour sauter, etc. Le risque est-il désormais nul ? Non, mais grâce à vos actions vous avez pu le réduire considérablement. Aux risques individuels s’ajoutent les risques sociaux, technologiques et bien d’autres encore. Nous nous concentrerons sur les risques liés à la sécurité de l’information et leur gestion.

Anton Makarychev
Chef du département de sécurité de l'information, Groupe de sociétés Compulink

La norme de gestion des risques ISO 31000:2009 définit le risque comme le résultat d'une incertitude sur les objectifs, où le résultat est un écart par rapport à un résultat attendu (positif ou négatif), et l'incertitude est un état d'information insuffisante associé à la compréhension ou à la connaissance d'un événement. ses conséquences ou sa probabilité. Étant donné que la plupart des risques ne peuvent être réduits à zéro, la gestion des risques apparaît au premier plan, tant au niveau mondial que local. Malheureusement, dans le cas où l'action a lieu avant l'analyse (et c'est une situation typique de nombreuses entreprises russes), l'efficacité des mesures prises est également laissée au hasard. C'est comme utiliser une tronçonneuse comme une hache sans prendre la peine de lire le mode d'emploi. C'est pourquoi, avant de vous lancer dans la gestion des risques liés à la sécurité de l'information, vous devez comprendre les développements et les normes existants dans ce domaine.


Du général au particulier

Lorsque l’on envisage la gestion des risques dans le cadre de la sécurité de l’information, il est utile de comprendre les documents suivants :

  • norme internationale ISO 31000:2009 ;
  • le Comité des organisations parrainantes du cadre de gestion des risques organisationnels de la Commission Treadway (COSO ERM) ;
  • norme de gestion des risques de l'Institute of Risk Management (IRM) de l'Association for Risk Management and Insurance (AIRMIC), ainsi que du National Forum for Risk Management in the Public Sector of the UK.

Aujourd'hui, l'informatisation de la société, associée à l'automatisation des processus, se développe si rapidement qu'il devient inacceptable d'ignorer les risques croissants dans le domaine des technologies de l'information.

ISO 31000:2009 est la principale norme internationale en matière de gestion des risques pour les organisations et fournit les définitions et principes de base qui devraient guider une organisation une fois qu'elle décide de mettre en œuvre un système de gestion des risques. Ce document peut servir de guide pour les premières étapes, puisqu'il décrit précisément la gestion des risques, c'est-à-dire l'architecture.

Des orientations plus détaillées sont fournies dans le cadre de gestion des risques organisationnels du Comité des organisations parrainantes de la Commission Treadway. En particulier, en plus du document lui-même, des documents supplémentaires émis par le Comité COSO présentent un intérêt pratique :

  • Évaluation des risques ERM en pratique (la pratique consistant à effectuer des évaluations des risques dans le système de gestion des risques) ;
  • Gestion des risques d'entreprise pour C
  • oud Computing (gestion des risques pour les systèmes de cloud computing) ;
  • Gestion des risques d'entreprise – Comprendre et communiquer l'appétit pour le risque (compréhension et communication de l'appétit pour le risque dans le système de gestion des risques) ;
  • Adopter la gestion des risques d'entreprise : pratique
  • Approaches for Getting Started (approches pratiques pour démarrer la mise en œuvre d’un système de gestion des risques), etc.

Leur objectif est une divulgation détaillée de tous les aspects énoncés dans le cadre conceptuel, ce qui permet finalement de mettre les principes décrits sur une base pratique.

Cependant, il convient de mentionner une nuance importante qui peut prêter à confusion lorsque l'on tente de combiner les normes décrites ci-dessus : les différences dans les définitions. Par exemple, la définition du « risque » dans la norme ISO est la probabilité de conséquences à la fois positives et négatives, dans la norme COSO, il s'agit uniquement de la probabilité d'une conséquence négative, pour une conséquence positive, il existe un terme distinct : opportunité. Néanmoins, compte tenu de l’évolution permanente de la norme, elle mérite la plus grande attention.

Un autre document utile est la norme de gestion des risques de l'Institut de gestion des risques (IRM) de l'Association pour la gestion des risques et des assurances (AIRMIC), ainsi que du Forum national pour la gestion des risques dans le secteur public du Royaume-Uni. En prenant comme base la terminologie ISO, cette norme révèle plus en détail le processus de gestion des risques (Fig. 2).


Il sera extrêmement utile pour les petites et moyennes entreprises, car il pourra servir de document unique et unique pour la mise en œuvre d'un système de gestion des risques de haute qualité.

Ainsi, avant d'aborder des questions spécifiques de gestion des risques liés à la sécurité de l'information, nous pouvons tirer des conclusions intermédiaires sur les normes considérées :

  • L'ISO 31000:2009 peut servir de base à toute organisation ;
  • AIRMIC est orienté vers la pratique et convient comme document de base pour les petites et moyennes entreprises, ainsi que comme point de départ pour les grandes entreprises ;
  • COSO ERM constitue le document principal pour la mise en œuvre pratique d'un système de gestion des risques dans toute organisation, mais s'adresse initialement aux grandes entreprises.

Gestion des risques liés à la sécurité de l'information

Aujourd'hui, l'informatisation de la société, associée à l'automatisation des processus, se développe si rapidement qu'il devient inacceptable d'ignorer les risques croissants dans le domaine des technologies de l'information. La disponibilité des centres de données se mesure en cinq et six neuf, et les pannes des systèmes d'information des grandes entreprises deviennent une actualité mondiale.

En conséquence, les organisations créent des départements distincts pour la sécurité de l'information et les risques informatiques, qui sont chargés d'identifier et de gérer les risques dans ce domaine.


La demande a créé l’offre. Ainsi, l'organisation internationale ISO a publié une norme pour la gestion des risques de sécurité de l'information dans une organisation - ISO 27005:2008 « Technologies de l'information - techniques de sécurité - gestion des risques de sécurité de l'information ». Cependant, à côté de cela, il existe d'autres documents tout aussi utiles, par exemple :

  • environnement de travail pour la gestion des risques informatiques (The Risk IT Framework) et mode d'emploi des risques informatiques (The Risk IT Practitioner Guide), basé sur le standard Cobit de l'organisation ISACA ;
  • méthodologie de l'auteur pour la gestion des risques liés aux systèmes d'information par Ken Jaworski.

Examinons chacun d'eux plus en détail.

La norme ISO 27005:2008 définit le risque de sécurité de l'information comme la probabilité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi un préjudice à une organisation.

Conformément à la norme, le processus de gestion des risques liés à la sécurité de l'information permet d'organiser :

  • identification des risques ;
  • évaluer les risques en termes de conséquences commerciales et de probabilité de leur survenance ;
  • communication et sensibilisation à la probabilité et aux conséquences des risques ;
  • établir un ordre de priorité pour le traitement des risques ;
  • prioriser les actions visant à réduire la probabilité des risques ;
  • impliquer les parties prenantes dans le processus décisionnel en matière de gestion des risques et communiquer l’état du processus de gestion des risques ;
  • surveiller l'efficacité du traitement des risques ;
  • surveiller et examiner régulièrement les risques et le processus de gestion des risques ;
  • identifier les informations pour améliorer l’approche de gestion des risques ;
  • former les managers et les collaborateurs aux risques et aux actions pour les réduire.

Des progrès ont été réalisés dans le domaine de la gestion des risques liés à la sécurité de l'information, permettant aux professionnels intéressés de passer des descriptions théoriques aux actions pratiques. Ainsi, la norme internationale ISO 27005:2008 sert de point de départ théorique, à partir duquel le cheminement pratique ultérieur, malgré une approche individuelle pour chaque organisation, peut être mis en œuvre efficacement en utilisant au moins deux méthodes.

Il est à noter que le diagramme du processus de gestion des risques liés à la sécurité de l'information est identique au diagramme standard 31000 présenté précédemment, ce qui confirme en outre la même approche de la gestion des risques dans la série de normes ISO. La norme est de nature théorique, mais elle servira de base à la mise en œuvre ultérieure d'un système de gestion des risques.

Le Risk IT Framework, basé sur la norme ISACA Cobit, comprend un cadre théorique, un mode d'emploi - méthodologie et exemples pratiques.

Ce document définit le risque informatique comme le risque commercial, en particulier le risque commercial associé à l'utilisation, à la propriété, à l'exploitation, à l'implication, à l'influence ou à l'adaptation de l'informatique dans une organisation.

Le modèle de processus de cet environnement se compose de trois domaines :

  • gestion des risques (gouvernance des risques) ;
  • Évaluation du risque;
  • Réponse aux risques.

Ce modèle à trois domaines est analysé en profondeur dans l'article. Toutes les définitions nécessaires sont données, le modèle des processus répertoriés est analysé, ainsi que la procédure de mise en œuvre.

Le Risk IT Practitioner Guide est une suite logique de l’environnement de travail, axé sur la mise en œuvre pratique du modèle à trois domaines dans l’organisation. Le document fournit les modèles, tableaux et autres documents nécessaires qui peuvent être modifiés si nécessaire et utilisés dans le système de gestion des risques de votre organisation. Une description des meilleures pratiques pour la mise en œuvre de systèmes de gestion des risques informatiques est également fournie.

La méthodologie de gestion des risques liés aux systèmes d'information de Ken Jaworski est basée sur la norme ISO et se concentre sur les aspects pratiques de la mise en œuvre d'un système de gestion des risques, et contient également les modèles et méthodes nécessaires pour calculer l'impact des risques sur les activités de l'organisation.

En résumé, nous pouvons conclure que dans le domaine de la gestion des risques liés à la sécurité de l'information, certains progrès ont été réalisés qui permettent aux spécialistes intéressés de passer des descriptions théoriques aux actions pratiques. Ainsi, la norme internationale ISO 27005:2008 sert de point de départ théorique, à partir duquel le cheminement pratique ultérieur, malgré une approche individuelle pour chaque organisation, peut être mis en œuvre efficacement en utilisant au moins deux méthodes.

Conclusion

Le système de gestion des risques dans le cadre de la gouvernance d'entreprise montre déjà son efficacité dans les entreprises dans lesquelles il commence à être mis en œuvre ou a déjà été mis en œuvre. En raison de la crise actuelle de l’économie mondiale, on peut supposer que des systèmes similaires se répandront à l’avenir dans le secteur public. Cela est possible encore aujourd'hui, puisqu'il existe déjà des normes et autres documents sur le système de gestion des risques qui permettent de mettre en œuvre ce système avec une haute qualité et dans un délai relativement court. Le point fondamental est le fait qu’à côté des documents « généraux », il existe des normes industrielles en matière de gestion des risques, notamment de gestion des risques IT/SI. Cependant, compte tenu des spécificités de l’économie russe, de nombreuses organisations s’appuient davantage sur le soutien de l’État ou sur des ressources dites administratives, n’accordant pas suffisamment d’attention au système de gouvernance d’entreprise et à la gestion des risques en particulier. En conséquence, il existe dans notre pays une prédisposition croissante à des faillites plus importantes qu’aux États-Unis. Mais il est peu probable que l’inaction puisse contribuer à résoudre le problème.

L'une des tâches les plus importantes de la gestion de la sécurité de l'information d'une organisation et de son CISS est la gestion des risques, ou gestion des risques - activités coordonnées pour gérer les risques d’une organisation. Dans le contexte des risques liés à la sécurité de l’information, seules les conséquences négatives (pertes) sont prises en compte.

En termes d'atteinte des objectifs commerciaux de l'organisation, la gestion des risques est le processus de création et de développement dynamique d'un système de sécurité de l'information économiquement réalisable et d'un système de gestion de la sécurité de l'information efficace. Par conséquent, la gestion des risques est l’une des principales tâches et responsabilités de la direction de l’organisation.

La gestion des risques utilise son propre cadre conceptuel, actuellement standardisé et donné dans les normes GOST R ISO/IEC 13335-1-2006, GOST R ISO/IEC 27001-2006. Norme ISO/IEC 27005:2008 « Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Gestion des risques liés à la sécurité de l'information" fournit des conseils conceptuels sur la gestion des risques liés à la sécurité de l'information et prend en charge les concepts généraux et le modèle ISMS définis dans GOST R ISO/IEC 27001-2006. Elle est basée sur la norme britannique BS 7799-3:2006 et recoupe dans une certaine mesure la norme américaine NIST SP 800-30:2002, qui fournit également des conseils en matière de gestion des risques pour les systèmes informatiques et vise à garantir une sécurité adéquate des informations pour les systèmes informatiques. une organisation et son KISS basés sur une approche de gestion des risques. Un projet de norme nationale russe GOST R ISO/IEC 27005-2008, harmonisée avec la norme ISO/IEC 27005:2008, a été élaboré.

Ces normes définissent le risque comme le potentiel de préjudice causé à une organisation suite à une menace exploitant les vulnérabilités d'un actif ou d'un groupe d'actifs. Risque de sécurité des informations - la possibilité que cette menace exploite les vulnérabilités d'un actif informationnel (groupe d'actifs) et nuise ainsi à l'organisation. Elle se mesure par une combinaison de la probabilité d'un événement indésirable et de ses conséquences (dommages possibles).

La gestion des risques liés à la sécurité de l'information couvre plusieurs processus, dont les plus importants sont l'évaluation des risques, qui comprend l'analyse et l'évaluation des risques, et le traitement des risques - la sélection et la mise en œuvre de mesures pour modifier le risque à l'aide des résultats de l'évaluation. La gestion des risques liés à la sécurité de l'information est un processus itératif qui nécessite une surveillance et un examen périodique.

En fonction de la portée, de l'objet et des objectifs de la gestion des risques, diverses approches de gestion et d'évaluation des risques liés à la sécurité de l'information peuvent être utilisées - évaluation des risques de haut niveau et détaillée. L'approche peut également être différente pour chaque itération.

L'analyse des risques (identification et mesure) peut être effectuée à différents niveaux de détail en fonction de la criticité des actifs, de la prévalence des vulnérabilités connues et des incidents antérieurs affectant l'organisation. La forme de l'analyse doit être cohérente avec les critères d'évaluation des risques sélectionnés. La méthodologie de mesure peut être qualitative ou quantitative, ou une combinaison des deux, selon les circonstances. Dans la pratique, l’évaluation qualitative est souvent utilisée dans un premier temps pour obtenir une vue d’ensemble du niveau de risque et identifier les principales valeurs de risque. Ultérieurement, il peut s'avérer nécessaire de procéder à une analyse plus spécifique ou quantitative des valeurs de risque sous-jacentes, car l'analyse qualitative est généralement moins complexe et moins coûteuse à réaliser que l'analyse quantitative.

Lors du choix d'une approche de gestion et d'évaluation des risques, trois groupes de critères principaux sont pris en compte : les critères d'évaluation des risques, les critères d'influence et les critères d'acceptation des risques. Ils doivent être développés et définis.

Les critères d'évaluation des risques en matière de sécurité de l'information d'une organisation doivent être élaborés en tenant compte des éléments suivants :

  • - valeur stratégique du traitement des informations commerciales ;
  • - la criticité des actifs informationnels concernés ;
  • - les exigences légales et réglementaires et les obligations contractuelles ;
  • - importance opérationnelle et commerciale de la disponibilité, de la confidentialité et de l'intégrité des informations ;
  • - les attentes de perception des parties impliquées, ainsi que les conséquences négatives sur le « capital immatériel » et la réputation.

En outre, des critères d’évaluation des risques peuvent être utilisés pour déterminer les priorités en matière de traitement des risques.

Les critères d'impact sont identifiés avec des critères de perte possible de confidentialité, d'intégrité et de disponibilité des actifs et reflètent un changement défavorable dans le niveau des objectifs commerciaux atteints.

Les critères d'impact doivent être élaborés et déterminés en fonction de l'étendue du préjudice ou du coût pour l'organisation causé par un événement de sécurité de l'information, en tenant compte des éléments suivants :

  • - le niveau de classification du bien informationnel concerné ;
  • - violations de la sécurité de l'information (par exemple, perte de confidentialité, d'intégrité et de disponibilité) ;
  • - opérations dégradées (internes ou tiers) ;
  • - perte de valeur commerciale et de valeur financière ;
  • - violation des plans et des délais ;
  • - atteinte à la réputation ;
  • - violation d'exigences légales, réglementaires ou contractuelles.

Les critères d'acceptation des risques correspondent aux « critères d'acceptation des risques et d'identification d'un niveau de risque acceptable » définis dans GOST R ISO/IEC 27001-2006. Ils doivent être développés et définis. Les critères d'acceptation des risques dépendent souvent des politiques, des intentions, des objectifs de l'organisation et des intérêts des parties impliquées.

L'organisation doit définir ses propres échelles de niveaux d'acceptation des risques. Les éléments suivants doivent être pris en compte lors de la conception :

  • - les critères d'acceptation des risques peuvent comprendre de nombreux seuils, avec un niveau de risque cible souhaité, mais à la condition que, dans certaines circonstances, la direction générale accepte des risques supérieurs au niveau spécifié ;
  • - les critères d'acceptation du risque peuvent être exprimés comme le rapport entre l'avantage quantifié (ou tout autre avantage commercial) et le risque quantifié ;
  • - différents critères d'acceptation des risques peuvent s'appliquer à différentes classes de risques, par exemple, les risques de non-respect des directives et des lois ne peuvent pas être acceptés, tandis que l'acceptation de risques de haut niveau peut être autorisée si elle est spécifiée dans une exigence contractuelle ;
  • - les critères d'acceptation des risques peuvent inclure des exigences relatives à un traitement supplémentaire futur. Par exemple, un risque peut être accepté s'il existe une approbation et un accord pour prendre des mesures pour le réduire à un niveau acceptable dans un délai spécifié.

Les critères d'acceptation du risque peuvent varier en fonction de la durée attendue du risque, par exemple le risque peut être associé à une activité temporaire ou à court terme. Les critères d'acceptation des risques doivent être fixés en tenant compte des critères commerciaux ; aspects juridiques et réglementaires ; opérations ; les technologies; finance; facteurs sociaux et humanitaires.

Selon la norme ISO/IEC 27005 :2008, la gestion des risques liés à la sécurité de l'information couvre les processus suivants : établissement du contexte, évaluation des risques, traitement des risques, acceptation des risques, communication des risques, ainsi que surveillance et examen des risques.

Comme on peut le voir sur la Fig. 3.5, le processus de gestion des risques liés à la sécurité de l'information peut être itératif pour des activités telles que l'évaluation des risques et/ou le traitement des risques. Une approche itérative pour mener une évaluation des risques peut augmenter la profondeur et le détail de l’évaluation à chaque itération. Une approche itérative offre un bon équilibre entre le temps et les efforts consacrés à l'identification des contrôles tout en garantissant que les risques de haut niveau sont traités de manière appropriée.

Dans le modèle ISMS et PDAP en quatre phases, l'établissement du contexte, l'évaluation du risque, l'élaboration d'un plan de traitement des risques et l'acceptation du risque font tous partie de la phase « plan ». Dans la phase d’action « faire »

Riz. 3.5.

et les contrôles requis pour réduire le risque à un niveau acceptable sont mis en œuvre conformément au plan de traitement des risques. Dans la phase de « contrôle », les managers identifient la nécessité de revoir le traitement des risques à la lumière des incidents et des changements de circonstances. La phase « Agir » est celle où tous les travaux nécessaires sont effectués, y compris la relance du processus de gestion des risques liés à la sécurité de l'information.

Dans le tableau 3.3 montre les types d'activités (processus) liés à la gestion des risques qui sont significatifs pour les quatre phases du processus SMSI basé sur le modèle PDAP.

Tableau 3.3

Relation entre les phases du processus SMSI et les processus et sous-processus de gestion des risques de sécurité de l'information

L'établissement du contexte de la gestion des risques liés à la sécurité de l'information implique l'établissement des critères de base (évaluation des risques, impact ou acceptation des risques), la définition de la portée et des limites et l'établissement d'une structure organisationnelle appropriée pour la mise en œuvre de la gestion des risques.

Le contexte est établi pour la première fois lorsqu’une évaluation des risques de haut niveau est réalisée. Une évaluation de haut niveau permet de prioriser et de chronologie des actions. S'il fournit suffisamment d'informations pour déterminer efficacement les actions requises pour réduire le risque à un niveau acceptable, alors la tâche est terminée et le traitement du risque suit. Si les informations sont insuffisantes, une autre itération de l'évaluation des risques est réalisée en utilisant un contexte révisé (par exemple, évaluation des risques, critères d'acceptation du risque ou d'impact), éventuellement sur des parties limitées du périmètre complet (voir Figure 3.5, point de décision risque n°1 ).

Ce Plan a été élaboré conformément aux exigences des recommandations dans le domaine de la normalisation de la sécurité de l'information.

Risque de sécurité des informations — le risque de pertes directes ou indirectes résultant du non-respect par les employés de l'organisation des procédures et procédures établies pour assurer la sécurité de l'information, des défaillances et des défaillances dans le fonctionnement des systèmes et équipements d'information, des actions accidentelles ou délibérées de personnes physiques ou morales dirigé contre les intérêts de l’organisation.

La gestion des risques liés à la sécurité de l'information est le processus de sélection et de mise en œuvre de mesures de protection qui réduisent le risque de violation de la sécurité de l'information, ou de mesures visant à transférer, accepter ou éviter le risque.

Le plan définit les actions et procédures nécessaires que l'organisation doit suivre lors de la gestion des risques liés à la sécurité de l'information.

  1. Gérer les risques liés à la sécurité de l’information

2.1. Degré d'influence du risque de sécurité de l'information

En fonction du degré d'influence du risque de sécurité de l'information sur le résultat financier d'une organisation, on distingue les niveaux de risques de sécurité de l'information suivants :

  • risque minime : les pertes financières sont absentes ou insignifiantes, la violation de la structure de l'information est localisée au sein du poste de travail automatisé et n'entraîne pas la suspension des activités de l'organisation, le temps de récupération peut aller jusqu'à une heure ;
  • risque moyen : les pertes financières sont insignifiantes, perturbation d'une partie importante de la structure de l'information et suspension des activités de l'organisation, temps de récupération jusqu'à trois heures, les coûts financiers de récupération sont insignifiants ;
  • risque élevé : les pertes financières sont importantes, perturbation de toute la structure de l'information et suspension des activités de l'organisation, délai de récupération jusqu'à une journée, les coûts financiers de récupération sont moyens ;
  • risque critique : pertes financières critiques, perturbation de toute la structure de l'information, temps de récupération jusqu'à plusieurs semaines, les coûts financiers de récupération sont moyens.

2.2. Méthodes de traitement des risques

2.2.1. Réduction de risque

Action : Le niveau de risque doit être réduit grâce à la sélection de protections et de contrôles afin que le risque résiduel puisse être réévalué comme acceptable.

Guide de mise en œuvre : Des protections et des contrôles appropriés et raisonnables doivent être sélectionnés pour répondre aux exigences identifiées lors du processus d'évaluation et de traitement des risques. Cette sélection doit tenir compte des critères d'acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles. Ce choix doit également tenir compte du coût et du délai de mise en œuvre des mesures de protection et de contrôle ou des aspects techniques et environnementaux. Les protections et les contrôles peuvent fournir un ou plusieurs des types de protection suivants : correction, exclusion, prévention, atténuation, confinement, détection, rétablissement, surveillance et sensibilisation.

Lors du choix des moyens de protection et de contrôle, il est important "peser" les frais d’acquisition, de vente, d’administration, d’exploitation, de surveillance et de maintien des fonds par rapport à la valeur des actifs protégés.

Limites lors de la mise en œuvre de la méthode " Réduction de risque"sont:

  • restrictions temporaires;
  • restrictions financières;
  • limitations techniques;
  • restrictions d'exploitation ;
  • restrictions légales;
  • facilité d'utilisation;
  • restrictions en matière de personnel ;
  • restrictions concernant l’intégration de contrôles nouveaux et existants.

2.2.2. Rétention du risque

Guide de mise en œuvre : Si le niveau de risque répond aux critères d’acceptation du risque, il n’est alors pas nécessaire de mettre en œuvre des protections et des contrôles supplémentaires et le risque peut être conservé.

2.2.3. Prévention des risques

Action : L'activité ou la condition provoquant le risque spécifique doit être évitée.
Guide de mise en œuvre : Lorsque les risques identifiés sont élevés ou critiques et que les coûts de mise en œuvre d'autres options de traitement des risques dépassent les avantages, une décision peut être prise pour éviter complètement le risque en mettant fin au programme ou en abandonnant une activité planifiée ou existante, ou un ensemble d'activités, ou en modifiant le programme. les conditions dans lesquelles l'activité est exercée ( Actions).

2.2.4. Transfert de risque

Action : Le risque doit être transféré ( déplacé) la partie qui peut gérer le plus efficacement un risque particulier.
Guide de mise en œuvre : Le transfert de risques implique la décision de partager certains risques avec des parties externes.

Le transfert peut être effectué :

  • une assurance qui supportera les conséquences ;
  • en concluant un accord de sous-traitance ( externalisation) avec un « partenaire » dont le rôle sera de surveiller le système d'information et d'agir immédiatement pour stopper l'attaque avant qu'elle ne provoque un certain niveau de dégâts.

2.2.5. Accepter le risque de sécurité des informations

Des données d'entrée : Le plan de traitement des risques et l'évaluation des risques résiduels font l'objet de la décision de la direction de l'organisation d'accepter le risque.

Action : Une décision doit être prise et formellement enregistrée pour accepter les risques et la responsabilité de cette décision.

Guide de mise en œuvre : Les critères d'acceptation du risque peuvent avoir plus de facettes que la simple détermination si le risque résiduel est supérieur ou inférieur à un seul seuil.

Dans certains cas, le niveau de risque résiduel peut ne pas répondre aux critères d'acceptation du risque car les critères appliqués ne tiennent pas compte des circonstances du moment. Par exemple, on peut affirmer qu’il est nécessaire d’accepter les risques parce que les avantages associés aux risques peuvent être très attrayants, ou parce que les coûts associés à la réduction du risque sont très élevés. Il n'est pas toujours possible de réviser les critères d'acceptation des risques en temps opportun. Dans de tels cas, les décideurs sont tenus d’accepter des risques qui ne répondent pas aux critères d’acceptation standards. Si nécessaire, le décideur doit commenter explicitement les risques et inclure une justification de la décision au-delà du critère standard d'acceptation des risques.

Sortir : Une liste des risques acceptés avec justification des risques qui ne répondent pas aux critères standard d'acceptation des risques de l'organisation.

2.2.6. Communication sur les risques liés à la sécurité de l'information

Des données d'entrée : Toutes les informations sur les risques résultant des activités de gestion des risques.

Action : Les décideurs et autres parties impliquées devraient échanger et/ou partager des informations sur les risques.
Guide de mise en œuvre : La communication sur les risques est l'activité consistant à parvenir à un accord sur la manière de gérer les risques grâce à l'échange et/ou au partage d'informations sur les risques entre les décideurs et les autres parties impliquées ( par exemple, conclure des accords avec d'autres parties impliquées sur la possibilité de rappeler (remplacer, corriger) des informations erronées dans un délai acceptable).
Une communication efficace entre les parties impliquées est d’une grande importance car elle peut avoir un impact significatif sur les décisions qui doivent être prises. La communication garantira que les personnes responsables de la mise en œuvre de la gestion des risques et celles impliquées dans le processus de gestion des risques comprennent la base sur laquelle les décisions sont prises et les raisons qui justifient la nécessité de certaines actions. La communication est bidirectionnelle.
Sortir: Compréhension continue du processus de gestion des risques liés à la sécurité de l'information de l'organisation.

  1. Répartition des rôles pour la mise en œuvre du plan de traitement des risques

3.1. Gestion de l'organisation:

  • définit les règles et procédures de gestion des risques ;
  • examine et prend des décisions sur les questions d'amélioration de la sécurité de l'organisation et de ses clients ;
  • évalue les risques affectant la réalisation des objectifs fixés et prend des mesures pour répondre aux circonstances et conditions changeantes afin de garantir l'efficacité de l'évaluation des risques ;
  • détermine la structure organisationnelle et du personnel de l’organisation.

3.2. Département de la sécurité économique :

  • participe à l'élaboration et aux tests de méthodes d'évaluation des risques en matière de sécurité de l'information ;
  • effectue la surveillance, l'analyse et l'évaluation des risques liés à la sécurité de l'information ;
  • participe à l'élaboration de l'information sur les résultats du suivi du risque de sécurité de l'information dans le cadre du risque opérationnel ;
  • prépare des propositions pour ajuster la méthodologie d'évaluation des risques en matière de sécurité de l'information ;
  • prépare des propositions pour l'élaboration et la mise en œuvre de mesures, de procédures, de mécanismes et de technologies pour limiter et réduire les risques liés à la sécurité de l'information ;
  • participe à la mise en œuvre ( mise en œuvre) Mesures protectives;
  • exerce un contrôle sur les mesures de protection mises en œuvre ;
  • élabore des règlements internes de l'organisation sur les risques liés à la sécurité de l'information.

3.3. Département Analyse et Contrôle des Risques :

  • collecte et saisit dans la base de données analytique des informations sur l'état du risque de sécurité de l'information dans le cadre du risque opérationnel ;
  • procède à une évaluation du risque opérationnel ;
  • exerce un contrôle sur le respect des limites établies des indicateurs utilisés pour suivre le risque opérationnel ;
  • soumet régulièrement des rapports au Comité des Risques ;
  • réalise l'élaboration et la mise en œuvre de mesures, de procédures, de mécanismes et de technologies pour limiter et réduire le risque opérationnel.

3.4. Employé de l'organisation :

  • fournit une assistance dans la surveillance, l'analyse et l'évaluation des risques liés à la sécurité de l'information ;
  • rend compte au supérieur immédiat des facteurs de risque identifiés en matière de sécurité de l'information.

  1. Conclusion

Ce plan est approximatif et dans chaque cas spécifique doit prendre en compte les spécificités de la situation actuelle.

Télécharger le fichier ZIP (22660)

Si les documents sont utiles, merci d'aimer ou .

En janvier 2018, le Rapport mondial sur les risques pour l'humanité 2018 a été présenté au Forum économique mondial de Davos. Il ressort du rapport que l'importance des risques liés à la sécurité de l'information augmente à la fois en raison de l'augmentation du nombre d'attaques mises en œuvre et compte tenu de leur potentiel destructeur.

Certaines des techniques de gestion des risques de sécurité de l'information les plus courantes dans le monde sont CRAMM, COBIT for Risk, FRAP, Octave et Microsoft. Outre certains avantages, ils ont aussi leurs limites. En particulier, les méthodes étrangères répertoriées peuvent être utilisées efficacement par des sociétés commerciales, tandis que les organisations gouvernementales, lors de l'évaluation et de la gestion des risques liés à la sécurité de l'information, doivent être guidées par les dispositions des réglementations du FSTEC de Russie. Par exemple, pour les systèmes de contrôle automatisés des processus de production et technologiques dans les installations critiques, il convient de s'inspirer de l'arrêté n° 31 du FSTEC de Russie du 14 mars 2014. Dans le même temps, ce document pourrait également être utilisé comme matériel supplémentaire. par les autorités exécutives fédérales.

Risques de sécurité de l'information dans la société moderne

Récemment, le nombre d’attaques contre des organisations a doublé. Les attaques causant des dégâts extraordinaires deviennent monnaie courante. Les pertes financières dues aux attaques augmentent, et certaines des pertes les plus importantes sont associées aux attaques de ransomwares. Un exemple frappant en est les attaques des virus ransomware WannaCry et NotPetya, qui ont touché plus de 300 000 ordinateurs dans 150 pays et entraîné des pertes financières de plus de 300 millions de dollars.

Une autre tendance est l'augmentation du nombre d'attaques contre des infrastructures critiques et des installations industrielles stratégiques, qui peuvent conduire à la neutralisation des systèmes qui soutiennent la vie de l'humanité par des attaquants et à la survenue de catastrophes mondiales d'origine humaine.

Ainsi, les risques liés à la sécurité de l'information sont inclus dans les trois risques les plus probables (avec les risques de catastrophes naturelles et de conditions météorologiques extrêmes) et dans la liste des six risques les plus critiques d'éventuels dommages (avec les risques liés à l'utilisation d'armes). de destruction massive, catastrophes naturelles, anomalies et pénuries météorologiques). Par conséquent, la gestion des risques liés à la sécurité de l'information est l'un des domaines prioritaires pour le développement des organisations du monde entier et est absolument nécessaire à leur fonctionnement ultérieur.

Objectifs et approches de la gestion des risques liés à la sécurité de l'information

L'objectif de toute organisation est d'atteindre certains indicateurs qui caractérisent les résultats de ses activités. Par exemple, pour les entreprises commerciales, il s'agit de réaliser des bénéfices, d'augmenter leur capitalisation, leur part de marché ou leur chiffre d'affaires, et pour les organisations gouvernementales, il s'agit de fournir des services publics à la population et de résoudre des problèmes de gestion. Dans tous les cas, quel que soit le but des activités de l'organisation, la mise en œuvre de risques en matière de sécurité de l'information peut empêcher la réalisation de cet objectif. Parallèlement, chaque organisation évalue à sa manière les risques et la possibilité d'investir dans leur réduction.

Ainsi, l'objectif de la gestion des risques liés à la sécurité de l'information est de les maintenir à un niveau acceptable pour l'organisation. Pour résoudre ce problème, les organisations créent des systèmes complets de sécurité de l’information (ISS).

Lors de la création de tels systèmes, la question se pose du choix d'outils de sécurité qui assurent la réduction des risques de sécurité de l'information identifiés lors de l'analyse sans coûts excessifs pour la mise en œuvre et le support de ces outils. L'analyse des risques de sécurité de l'information nous permet de déterminer l'ensemble nécessaire et suffisant de moyens de sécurité de l'information, ainsi que des mesures organisationnelles visant à réduire les risques de sécurité de l'information, et de développer l'architecture ISS d'une organisation la plus efficace pour ses activités spécifiques et visant à réduire précisément ses risques en matière de sécurité de l’information.

Tous les risques, y compris les risques liés à la sécurité de l'information, sont caractérisés par deux paramètres : les dommages potentiels à l'organisation et la probabilité de mise en œuvre. L'utilisation d'une combinaison de ces deux caractéristiques pour l'analyse des risques vous permet de comparer les risques avec différents niveaux de dommages et de probabilité, les amenant à une expression commune compréhensible pour les décideurs concernant la minimisation des risques dans l'organisation. Parallèlement, le processus de gestion des risques comprend les étapes logiques suivantes, dont la composition et le contenu dépendent de la méthodologie utilisée pour l'évaluation et la gestion des risques :

  1. Déterminer le niveau de risque acceptable pour l'organisation (appétit pour le risque) - un critère utilisé pour décider d'accepter ou de traiter un risque. Sur la base de ce critère, il est déterminé quels risques identifiés à l'avenir seront acceptés sans condition et exclus d'un examen plus approfondi, et lesquels seront soumis à une analyse plus approfondie et inclus dans le plan de réponse aux risques.
  2. Identification, analyse et évaluation des risques. Pour prendre une décision concernant les risques, ils doivent être clairement identifiés et évalués en termes de dommages dus au risque et de probabilité de sa mise en œuvre. L'évaluation des dommages détermine le degré d'impact du risque sur les actifs informatiques d'une organisation et les processus métier qu'ils prennent en charge. Lors de l’évaluation de la probabilité, une analyse est effectuée sur la probabilité que le risque se réalise. L'évaluation de ces paramètres peut être basée sur l'identification et l'analyse des vulnérabilités inhérentes aux actifs informatiques qui peuvent être affectées par le risque, et des menaces qui peuvent être réalisées grâce à l'exploitation de ces vulnérabilités. De plus, selon la méthodologie d'évaluation des risques utilisée, le modèle de l'attaquant, les informations sur les processus métier de l'organisation et d'autres facteurs associés à la mise en œuvre du risque, tels que la situation politique, économique, marchande ou sociale dans l'environnement opérationnel de l'organisation, peuvent être utilisés. comme données initiales pour leur évaluation. Lors de l'évaluation des risques, une approche qualitative, quantitative ou mixte de leur évaluation peut être utilisée. L'avantage de l'approche qualitative est sa simplicité, la minimisation du temps et des coûts de main-d'œuvre pour mener des évaluations des risques, les limites sont une visibilité insuffisante et la complexité de l'utilisation des résultats de l'analyse des risques pour la justification économique et l'évaluation de la faisabilité des investissements dans des mesures de réponse aux risques. L'avantage de l'approche quantitative réside dans la précision de l'évaluation des risques, la clarté des résultats et la capacité de comparer la valeur du risque, exprimée en argent, avec le montant de l'investissement nécessaire pour répondre à ce risque ; les inconvénients sont la complexité, intensité de travail élevée et durée d'exécution.
  3. Classement des risques. Pour déterminer la priorité dans la réponse aux risques et élaborer par la suite un plan de réponse, tous les risques doivent être classés. Lors du classement des risques, en fonction de la méthodologie utilisée, des critères de détermination de la criticité peuvent être appliqués, tels que les dommages résultant de la réalisation des risques, la probabilité de mise en œuvre, les actifs informatiques et les processus commerciaux affectés par le risque, le tollé général et l'atteinte à la réputation résultant de la réalisation des risques. le risque, etc.
  4. Prendre des décisions sur les risques et élaborer un plan de réponse aux risques. Pour déterminer l'ensemble des mesures de réponse aux risques, il est nécessaire d'analyser les risques identifiés et évalués afin de prendre l'une des décisions suivantes concernant chacun d'eux :
    • Évitement des risques ;
    • Prendre des risques;
    • Transfert de risque ;
    • Réduction de risque.
    La décision prise pour chaque risque doit être enregistrée dans le plan de réponse aux risques. Aussi, ce plan peut contenir, selon la méthodologie utilisée, les informations suivantes nécessaires pour répondre aux risques :
    • Responsable de la réponse ;
    • Description des mesures de réponse ;
    • Évaluer l’investissement requis dans les mesures de réponse ;
    • Calendrier de mise en œuvre de ces mesures.
  5. Mise en œuvre de mesures pour répondre aux risques. Pour mettre en œuvre les mesures de réponse aux risques, les personnes responsables organisent la mise en œuvre des actions décrites dans le plan de réponse aux risques dans les délais requis.
  6. Évaluer l'efficacité des mesures mises en œuvre. Pour s'assurer que les mesures appliquées conformément au plan de réponse sont efficaces et que le niveau de risques est acceptable pour l'organisation, l'efficacité de chaque mesure de réponse aux risques mise en œuvre est évaluée, ainsi que les risques de l'organisation sont régulièrement identifiés, analysés et évalués. .
Considérons les méthodes de gestion des risques de sécurité de l'information les plus connues : CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Présentation de la technique CRAMM

CRAMM (CCTA Risk Analysis and Management Method), développé par le service de sécurité britannique en 1985, est basé sur la série BS7799 de normes de gestion de la sécurité de l'information (maintenant révisée selon la norme ISO 27000) et décrit une approche d'évaluation qualitative des risques. Dans ce cas, le passage à l'échelle des valeurs des indicateurs qualitatifs s'effectue à l'aide de tableaux spéciaux qui déterminent la correspondance entre les indicateurs qualitatifs et quantitatifs. L'évaluation des risques repose sur une analyse de la valeur d'un actif informatique pour l'entreprise, des vulnérabilités, des menaces et de la probabilité de leur mise en œuvre.

Le processus de gestion des risques selon la méthode CRAMM comprend les étapes suivantes :

  1. Initiation. À ce stade, une série d'entretiens est menée avec des personnes intéressées par le processus d'analyse des risques en matière de sécurité de l'information, y compris les responsables de l'exploitation, de l'administration, de la sécurité et de l'utilisation des actifs informatiques pour lesquels l'analyse des risques est effectuée. En conséquence, une description formalisée de la zone nécessitant des recherches plus approfondies, ses limites sont données et la composition des personnes impliquées dans l'analyse des risques est déterminée.
  2. Identification et évaluation des actifs. Une liste des actifs informatiques utilisés par l'organisation dans le domaine d'étude préalablement défini est déterminée. Selon la méthodologie CRAMM, les actifs informatiques peuvent être de l'un des types suivants :
    • Données;
    • Logiciel;
    • Actifs physiques.
    Pour chaque actif, sa criticité pour les activités de l'organisation sera déterminée et, en collaboration avec les représentants des services qui utilisent l'actif informatique pour résoudre les problèmes appliqués, les conséquences sur les activités de l'organisation d'une violation de sa confidentialité, de son intégrité et de sa disponibilité seront évaluées.
  3. Évaluation des menaces et des vulnérabilités. En plus d'évaluer la criticité des actifs informatiques, une partie importante de la méthodologie CRAMM consiste à évaluer la probabilité de menaces et de vulnérabilités des actifs informatiques. La méthodologie CRAMM contient des tableaux décrivant la correspondance entre les vulnérabilités des actifs informatiques et les menaces qui peuvent affecter les actifs informatiques à travers ces vulnérabilités. Il existe également des tableaux décrivant les dommages causés aux actifs informatiques si ces menaces se matérialisent. Cette étape n'est réalisée que pour les actifs informatiques les plus critiques, pour lesquels la mise en œuvre d'un ensemble de base de mesures de sécurité des informations n'est pas suffisante. Les vulnérabilités et menaces actuelles sont identifiées en interrogeant les personnes responsables de l’administration et de l’exploitation des actifs informatiques. Pour les autres actifs informatiques, la méthodologie CRAMM contient un ensemble de mesures de base nécessaires pour assurer la sécurité des informations.
  4. Calcul du risque. Le risque est calculé selon la formule : Risque = P (réalisation) * Dommage. Dans ce cas, la probabilité de réalisation du risque est calculée par la formule : P (mise en œuvre) = P (menace) * P (vulnérabilité). Au stade du calcul des risques pour chaque actif informatique, les exigences relatives à un ensemble de mesures visant à assurer la sécurité de ses informations sont déterminées sur une échelle de « 1 » à « 7 », où la valeur « 1 » correspond à l'ensemble minimum requis de mesures pour assurer la sécurité de l’information, et la valeur « 7 » – maximum.
  5. Gestion des risques. Sur la base des résultats du calcul des risques, la méthodologie CRAMM détermine l'ensemble de mesures nécessaires pour assurer la sécurité des informations. À cette fin, un catalogue spécial est utilisé, qui comprend environ 4 000 mesures. L'ensemble des mesures recommandées par la méthodologie CRAMM est comparé aux mesures déjà prises par l'organisation. En conséquence, les zones nécessitant une attention supplémentaire en termes d’application de mesures de protection et les zones présentant des mesures de protection redondantes sont identifiées. Ces informations sont utilisées pour formuler un plan d'action visant à modifier la composition des mesures de protection utilisées dans l'organisation - pour amener le niveau de risques au niveau requis.
Du point de vue de l'application pratique, les avantages suivants de la technique CRAMM peuvent être identifiés :
  • Une méthode qui a été testée à de nombreuses reprises et qui a accumulé une expérience et des compétences professionnelles significatives ; les résultats de l'utilisation du CRAMM sont reconnus par les institutions internationales ;
  • La présence d'une description claire et formalisée de la méthodologie minimise la possibilité d'erreurs lors de la mise en œuvre des processus d'analyse et de gestion des risques ;
  • La présence d'outils d'automatisation d'analyse des risques vous permet de minimiser les coûts de main-d'œuvre et le temps nécessaire pour réaliser les activités d'analyse et de gestion des risques ;
  • Les catalogues de menaces, de vulnérabilités, de conséquences et de mesures de sécurité de l'information simplifient les exigences en matière de connaissances et de compétences particulières des personnes directement impliquées dans les activités d'analyse et de gestion des risques.
Cependant, la méthode CRAMM présente les inconvénients suivants :
  • Haute complexité et intensité de travail de la collecte des données initiales, nécessitant des ressources importantes de l'intérieur de l'organisation ou de l'extérieur ;
  • Dépenses importantes de ressources et de temps pour mettre en œuvre des processus d'analyse et de gestion des risques de sécurité de l'information ;
  • L'implication d'un grand nombre d'acteurs nécessite des coûts importants pour l'organisation de la collaboration, les communications au sein de l'équipe du projet et la coordination des résultats ;
  • L'incapacité d'évaluer les risques en termes monétaires rend difficile l'utilisation des résultats des évaluations des risques de sécurité de l'information dans l'étude de faisabilité des investissements nécessaires à la mise en œuvre d'outils et de méthodes de sécurité de l'information.
CRAMM est largement utilisé dans les organisations gouvernementales et commerciales du monde entier, constituant de facto la norme pour la gestion des risques liés à la sécurité de l'information au Royaume-Uni. La méthodologie peut être appliquée avec succès dans de grandes organisations axées sur l'interaction internationale et le respect des normes de gestion internationales, en effectuant la mise en œuvre initiale de processus de gestion des risques de sécurité de l'information pour couvrir l'ensemble de l'organisation à la fois. Cependant, les organisations doivent être en mesure de consacrer des ressources et du temps importants à l’application du CRAMM.

Présentation de la méthodologie COBIT pour le risque

La méthodologie COBIT for Risk a été développée par l'ISACA (Information Systems Audit and Control Association) en 2013 et s'appuie sur les meilleures pratiques de gestion des risques (COSO ERM, ISO 31000, ISO\IEC 27xxx, etc.). La méthodologie examine les risques de sécurité de l'information par rapport aux risques des activités principales de l'organisation, décrit les approches de la mise en œuvre de la fonction de gestion des risques de sécurité de l'information dans l'organisation et les processus d'analyse qualitative des risques de sécurité de l'information et leur gestion.

    Lors de la mise en œuvre de la fonction et du processus de gestion des risques dans une organisation, la méthodologie identifie les composants suivants qui affectent à la fois les risques de sécurité de l'information et le processus de gestion de ceux-ci :
    • Principes, politiques, procédures de l'organisation ;
    • Processus ;
    • Structure organisationnelle;
    • Culture d'entreprise, éthique et règles de conduite ;
    • Information;
    • Services informatiques, infrastructures et applications informatiques ;
    • Les gens, leur expérience et leurs compétences.

    En termes d'organisation de la fonction de gestion des risques de sécurité de l'information, la méthodologie définit et décrit les exigences pour les composants suivants :
    • Processus nécessaire ;
    • Flux d'informations ;
    • Structure organisationnelle;
    • Personnes et compétences.
    Le principal élément d'analyse et de gestion des risques de sécurité de l'information conformément à la méthodologie sont les scénarios de risque. Chaque scénario est « une description d'un événement qui, s'il se produisait, pourrait avoir un impact incertain (positif ou négatif) sur l'atteinte des objectifs de l'organisation ». La méthodologie contient plus de 100 scénarios de risques couvrant les catégories d’impact suivantes :
    • Création et maintenance de portefeuilles de projets informatiques ;
    • Gestion du cycle de vie des programmes/projets ;
    • Investissements en informatique ;
    • Expertise et compétences du personnel informatique ;
    • Opérations du personnel ;
    • Information;
    • Architecture;
    • Infrastructure informatique;
    • Logiciel;
    • Utilisation inefficace de l'informatique ;
    • Sélection et gestion des fournisseurs informatiques ;
    • Conformité réglementaire ;
    • Géopolitique;
    • Vol d'éléments d'infrastructure ;
    • Logiciel malveillant;
    • Attaques logiques ;
    • Impact technogénique ;
    • Environnement;
    • Phénomène naturel;
    • Innovation.
    Pour chaque scénario de risque, la méthodologie détermine son degré d'appartenance à chaque type de risque :
    • Risques stratégiques – risques associés aux opportunités manquées d’utiliser l’informatique pour développer et améliorer l’efficacité des activités principales de l’organisation ;
    • Risques du projet – risques associés à l'influence de l'informatique sur la création ou le développement des processus existants de l'organisation ;
    • Les risques de gestion informatique et de fourniture de services informatiques sont des risques associés à la garantie de la disponibilité, de la stabilité et de la fourniture de services informatiques aux utilisateurs avec le niveau de qualité requis, dont les problèmes peuvent entraîner des dommages aux activités principales de l'organisation.
    Chaque scénario de risque contient les informations suivantes :
    • Type de source de menace : interne/externe.
    • Type de menace : action malveillante, phénomène naturel, erreur, etc.
    • Description de l'événement - accès à l'information, destruction, modification, divulgation d'informations, vol, etc.
    • Types d'actifs (composants) de l'organisation qui sont affectés par l'événement - personnes, processus, infrastructure informatique, etc.
    • Heure de l'évènement.
    Si un scénario de risque se produit, l’organisation subira des dommages. Ainsi, lors de l'analyse des risques de sécurité de l'information conformément à la méthodologie COBIT for Risk, des scénarios de risque pertinents pour l'organisation sont identifiés et des mesures d'atténuation des risques visent à réduire la probabilité que ces scénarios se produisent. Pour chacun des risques identifiés, une analyse de sa conformité avec l'appétit au risque de l'organisation est réalisée, suivie de la prise de l'une des décisions suivantes :
    • Évitement des risques ;
    • Prendre des risques;
    • Transfert de risque ;
    • Réduction de risque.
    Une gestion plus approfondie des risques est effectuée en analysant le niveau résiduel de risques et en décidant de la nécessité de mettre en œuvre des mesures supplémentaires de réduction des risques. La méthodologie contient des recommandations pour la mise en œuvre de mesures d'atténuation des risques pour chaque type de composante organisationnelle.

    Du point de vue de l'application pratique, les avantages suivants de la méthodologie COBIT for Risk peuvent être soulignés :
    • Connexion à la bibliothèque commune COBIT et capacité d'utiliser des approches et des « contrôles informatiques » (atténuation des risques) de domaines connexes pour prendre en compte les risques et les atténuations en matière de sécurité de l'information en relation avec l'impact des risques sur les processus commerciaux d'une organisation ;
    • Une méthode testée à plusieurs reprises, dans laquelle une expérience et des compétences professionnelles significatives ont été accumulées et dont les résultats sont reconnus par les institutions internationales ;
    • La présence d'une description claire et formalisée de la méthodologie permet de minimiser les erreurs dans la mise en œuvre des processus d'analyse et de gestion des risques ;
    • Les catalogues de scénarios de risques et de « contrôles informatiques » permettent de simplifier les exigences en matière de connaissances et de compétences particulières des personnes directement impliquées dans les activités d'analyse et de gestion des risques ;
    • La possibilité d'utiliser la méthodologie lors de la réalisation d'audits vous permet de réduire les coûts de main-d'œuvre et le temps requis pour interpréter les résultats des audits externes et internes.
    Dans le même temps, la méthodologie COBIT for Risk présente les inconvénients et limites suivants :
    • La grande complexité et l'intensité de la main-d'œuvre de la collecte des données initiales nécessitent l'implication de ressources importantes soit au sein de l'organisation, soit en externe ;
    • L'implication d'un grand nombre d'acteurs nécessite des coûts importants pour organiser la collaboration, allouer le temps des personnes impliquées pour la communication au sein de l'équipe de projet et s'entendre sur les résultats avec toutes les parties prenantes ;
    • L'absence de capacité à évaluer les risques en termes monétaires rend difficile l'utilisation des résultats d'une évaluation des risques liés à la sécurité de l'information pour justifier les investissements nécessaires à la mise en œuvre d'outils et de méthodes de sécurité de l'information.
    Cette méthode est utilisée à la fois par les organisations gouvernementales et commerciales du monde entier. La méthode est la plus adaptée aux grandes organisations technologiques ou aux organisations dont les activités principales dépendent fortement des technologies de l'information, à celles qui utilisent déjà (ou envisagent d'utiliser) les normes et méthodologies COBIT pour la gestion des technologies de l'information et disposent des ressources et compétences pour cela. Dans ce cas, il est possible d'intégrer efficacement les processus de gestion des risques de sécurité de l'information et les processus généraux de gestion informatique et d'obtenir un effet synergique qui optimisera les coûts de mise en œuvre des processus d'analyse et de gestion des risques de sécurité de l'information.

À l'heure actuelle, les risques liés à la sécurité de l'information constituent une menace majeure pour les activités normales de nombreuses entreprises et institutions. À l'ère des technologies de l'information, il n'est pratiquement pas difficile d'obtenir des données. D’une part, cela apporte bien sûr de nombreux aspects positifs, mais cela devient un problème pour l’image et la marque de nombreuses entreprises.

La protection des informations dans les entreprises devient désormais presque une priorité absolue. Les experts estiment que ce n'est qu'en développant une certaine séquence consciente d'actions que cet objectif peut être atteint. Dans ce cas, il est possible de se laisser guider uniquement par des faits fiables et d'utiliser des méthodes analytiques avancées. Le développement de l'intuition et de l'expérience du spécialiste responsable de cette division dans l'entreprise apporte une certaine contribution.

Ce matériel vous expliquera la gestion des risques de sécurité de l'information d'une entité commerciale.

Quels types de menaces possibles existent dans l’environnement de l’information ?

Il peut y avoir plusieurs types de menaces. L'analyse des risques liés à la sécurité des informations d'entreprise commence par l'examen de toutes les menaces potentielles possibles. Cela est nécessaire pour décider des méthodes de vérification en cas de ces situations imprévues, ainsi que pour créer un système de protection approprié. Les risques liés à la sécurité de l'information sont divisés en certaines catégories en fonction de divers critères de classification. Ils sont des types suivants :

  • sources physiques;
  • utilisation inappropriée du réseau informatique et du World Wide Web ;
  • fuite provenant de sources scellées ;
  • fuite par des moyens techniques ;
  • entrée non autorisée ;
  • attaque de ressources informationnelles ;
  • violation de l'intégrité de la modification des données ;
  • les urgences ;
  • violations légales.

Qu'est-ce qui est inclus dans le concept de « menaces physiques pour la sécurité de l'information » ?

Les types de risques liés à la sécurité de l'information sont déterminés en fonction des sources de leur survenance, du mode de mise en œuvre de l'intrusion illégale et de la finalité. Les menaces physiques sont les plus simples techniquement, mais qui nécessitent néanmoins une exécution professionnelle. Ils représentent un accès non autorisé à des sources fermées. Autrement dit, ce processus est en fait un vol ordinaire. Les informations peuvent être obtenues personnellement, de vos propres mains, en envahissant simplement le territoire de l'institution, des bureaux, des archives pour accéder aux équipements techniques, à la documentation et à d'autres supports d'information.

Le vol peut même ne pas concerner les données elles-mêmes, mais le lieu où elles sont stockées, c'est-à-dire l'équipement informatique lui-même. Afin de perturber les activités normales d’une organisation, les attaquants peuvent simplement provoquer un dysfonctionnement des supports de stockage ou des équipements techniques.

Le but d’une intrusion physique peut également être d’accéder à un système dont dépend la protection des informations. Un attaquant peut modifier les options réseau responsables de la sécurité des informations afin de faciliter davantage la mise en œuvre de méthodes illégales.

La possibilité d'une menace physique peut également être fournie par les membres de divers groupes qui ont accès à des informations classifiées qui ne sont pas rendues publiques. Leur objectif est une documentation précieuse. Ces personnes sont appelées des initiés.

L'activité d'attaquants externes peut être dirigée contre le même objet.

Comment les salariés d’une entreprise peuvent-ils devenir eux-mêmes à l’origine de menaces ?

Les risques liés à la sécurité de l'information surviennent souvent en raison d'une utilisation inappropriée par les employés d'Internet et des systèmes informatiques internes. Les attaquants savent parfaitement profiter de l’inexpérience, de la négligence et du manque d’éducation de certaines personnes en matière de sécurité de l’information. Afin d'exclure cette possibilité de vol de données confidentielles, la direction de nombreuses organisations mène une politique particulière auprès de son personnel. Son objectif est d'enseigner aux gens les règles de comportement et d'utilisation des réseaux. Il s'agit d'une pratique assez courante, car les menaces qui surviennent de cette manière sont assez courantes. Les programmes permettant d'acquérir des compétences en matière de sécurité de l'information pour les employés des entreprises sont les suivants :

  • surmonter l’utilisation inefficace des outils d’audit ;
  • réduire la mesure dans laquelle les gens utilisent des outils spéciaux pour le traitement des données ;
  • réduire l'utilisation des ressources et des actifs ;
  • formation pour accéder aux outils de réseau uniquement par des méthodes établies ;
  • identifier les zones d’influence et désigner le territoire de responsabilité.

Lorsque chaque employé comprend que le sort de l'institution dépend de l'exécution responsable des tâches qui lui sont confiées, il s'efforce de respecter toutes les règles. Il est nécessaire de fixer des tâches spécifiques aux personnes et de justifier les résultats obtenus.

Comment les conditions de confidentialité sont-elles violées ?

Les risques et menaces pour la sécurité de l'information sont largement associés à l'acquisition illégale d'informations qui ne devraient pas être accessibles à des personnes non autorisées. Le premier et le plus courant canal de fuite concerne toutes sortes de communications et de méthodes de communication. À une époque où il semblerait que la correspondance personnelle ne soit accessible qu'à deux parties, elle est interceptée par les intéressés. Bien que les personnes raisonnables comprennent qu'il est nécessaire de transmettre quelque chose d'extrêmement important et secret par d'autres moyens.

De nombreuses informations étant désormais stockées sur des supports portables, les attaquants maîtrisent activement l’interception d’informations grâce à ce type de technologie. L'écoute des canaux de communication est très populaire, mais maintenant tous les efforts des génies techniques visent à briser les barrières de protection des smartphones.

Des informations confidentielles peuvent être divulguées involontairement par les employés d'une organisation. Ils ne peuvent pas révéler directement toutes les « apparences et mots de passe », mais seulement guider l'attaquant sur la bonne voie. Par exemple, des personnes, sans le savoir, fournissent des informations sur l'emplacement de documents importants.

Les subordonnés ne sont pas toujours les seuls à être vulnérables. Les entrepreneurs peuvent également divulguer des informations confidentielles lors de partenariats.

Comment la sécurité de l'information est-elle violée par des moyens techniques ?

Assurer la sécurité de l'information repose en grande partie sur l'utilisation de moyens techniques de protection fiables. Si le système de support est efficient et efficace, au moins dans l’équipement lui-même, cela représente déjà la moitié du succès.

Fondamentalement, la fuite d’informations est ainsi obtenue en contrôlant divers signaux. Des méthodes similaires incluent la création de sources spécialisées d’émissions ou de signaux radio. Cette dernière peut être électrique, acoustique ou vibratoire.

Très souvent, des instruments optiques sont utilisés pour lire les informations sur les écrans et les moniteurs.

La variété des appareils offre un large éventail de méthodes d'infiltration et d'extraction d'informations par les attaquants. Outre les méthodes ci-dessus, il existe également des reconnaissances télévisées, photographiques et visuelles.

En raison de ces possibilités étendues, un audit de sécurité de l'information comprend principalement la vérification et l'analyse du fonctionnement des moyens techniques de protection des données confidentielles.

Qu'est-ce qui est considéré comme un accès non autorisé aux informations de l'entreprise ?

La gestion des risques liés à la sécurité des informations est impossible sans prévenir les menaces d’accès non autorisé.

L'un des représentants les plus éminents de cette méthode de piratage du système de sécurité de quelqu'un d'autre est l'attribution d'un identifiant utilisateur. Cette méthode est appelée « Mascarade ». L'accès non autorisé implique dans ce cas l'utilisation de données d'authentification. Autrement dit, le but de l'intrus est d'obtenir un mot de passe ou tout autre identifiant.

Les attaquants peuvent exercer leur influence depuis l’intérieur de l’objet lui-même ou depuis l’extérieur. Ils peuvent obtenir les informations dont ils ont besoin à partir de sources telles que le journal d’audit ou les outils d’audit.

Souvent, le contrevenant essaie d'appliquer la politique de mise en œuvre et d'utiliser des méthodes apparemment tout à fait légales.

L'accès non autorisé s'applique aux sources d'informations suivantes :

  • site Web et hébergeurs externes ;
  • réseau sans fil d'entreprise;
  • sauvegardes de données.

Il existe d’innombrables façons et méthodes d’accès non autorisé. Les attaquants recherchent des failles et des lacunes dans la configuration et l'architecture des logiciels. Ils obtiennent des données en modifiant le logiciel. Pour neutraliser et endormir la vigilance, les contrevenants lancent des malwares et des bombes logiques.

Quelles sont les menaces juridiques qui pèsent sur la sécurité des informations d’une entreprise ?

La gestion des risques liés à la sécurité de l'information fonctionne dans diverses directions, car son objectif principal est d'assurer une protection complète et holistique de l'entreprise contre les intrusions extérieures.

La direction juridique n'est pas moins importante que la direction technique. De cette manière, qui, semble-t-il au contraire, devrait défendre les intérêts, on obtient des informations très utiles.

Les violations sur le plan juridique peuvent concerner les droits de propriété, les droits d'auteur et les droits de brevet. L'utilisation illégale de logiciels, y compris l'importation et l'exportation, entre également dans cette catégorie. Vous ne pouvez enfreindre les exigences légales qu'en ne respectant pas les termes du contrat ou le cadre juridique dans son ensemble.

Comment définir des objectifs de sécurité de l’information ?

Assurer la sécurité de l'information commence par la création de la zone de protection. Il est nécessaire de définir clairement ce qui doit être protégé et de qui. Pour ce faire, un portrait d'un criminel potentiel est déterminé, ainsi que d'éventuelles méthodes de piratage et d'infiltration. Afin de fixer des objectifs, vous devez d’abord en parler à la direction. Il proposera des zones de protection prioritaires.

A partir de ce moment, l'audit de sécurité de l'information commence. Il permet de déterminer dans quelle proportion il est nécessaire d'appliquer des techniques technologiques et des méthodes commerciales. Le résultat de ce processus est une liste finale d'activités, qui fixe les objectifs auxquels l'unité est confrontée pour assurer la protection contre les intrusions non autorisées. La procédure d'audit vise à identifier les moments critiques et les faiblesses du système qui interfèrent avec les activités normales et le développement de l'entreprise.

Après avoir fixé des objectifs, un mécanisme pour leur mise en œuvre est développé. Des outils de surveillance et de minimisation des risques sont en cours de développement.

Quel rôle jouent les actifs dans l’analyse des risques ?

Les risques organisationnels en matière de sécurité des informations affectent directement les actifs de l’entreprise. Après tout, l’objectif des attaquants est d’obtenir des informations précieuses. Sa perte ou sa divulgation entraînera certainement des pertes. Les dommages causés par une intrusion non autorisée peuvent avoir un impact direct ou n’avoir qu’un impact indirect. Autrement dit, des actions illégales contre une organisation peuvent entraîner une perte totale de contrôle sur l'entreprise.

Le montant des dommages est évalué en fonction des actifs dont dispose l'organisation. Les ressources thématiques sont toutes les ressources qui contribuent de quelque manière que ce soit à la mise en œuvre des objectifs de gestion. Les actifs d'une entreprise désignent tous les actifs corporels et incorporels qui génèrent et contribuent à générer des revenus.

Il existe plusieurs types d'actifs :

  • matériel;
  • humain;
  • informatif;
  • financier;
  • processus ;
  • marque et autorité.

C’est ce dernier type d’actifs qui souffre le plus des intrusions non autorisées. Cela est dû au fait que tout risque réel en matière de sécurité de l’information affecte l’image. Les problèmes dans ce domaine réduisent automatiquement le respect et la confiance dans une telle entreprise, puisque personne ne souhaite que ses informations confidentielles deviennent publiques. Toute organisation qui se respecte veille à protéger ses propres ressources informationnelles.

Divers facteurs influencent l’ampleur et les actifs qui en souffriront. Ils sont divisés en externes et internes. En règle générale, leur impact complexe affecte simultanément plusieurs groupes de ressources précieuses.

L’ensemble des activités de l’entreprise repose sur des actifs. Ils sont présents dans une certaine mesure dans les activités de toute institution. C’est juste que pour certaines personnes, certains groupes sont plus importants et d’autres moins. Le résultat, c'est-à-dire les dommages causés, dépend du type d'actifs sur lesquels les attaquants ont pu influencer.

L'évaluation des risques liés à la sécurité de l'information permet d'identifier clairement les principaux actifs, et s'ils étaient affectés, cela entraînerait des pertes irréparables pour l'entreprise. La direction elle-même doit prêter attention à ces groupes de ressources précieuses, car leur sécurité est dans l'intérêt des propriétaires.

Le domaine prioritaire du service de sécurité de l'information est occupé par les moyens auxiliaires. Une personne spéciale est responsable de leur protection. Les risques les concernant ne sont pas critiques et affectent uniquement le système de gestion.

Quels sont les facteurs de sécurité de l’information ?

Le calcul des risques de sécurité de l'information comprend la construction d'un modèle spécialisé. Il représente les nœuds connectés les uns aux autres par des connexions fonctionnelles. Les nœuds sont ces mêmes actifs. Le modèle utilise les précieuses ressources suivantes :

  • Personnes;
  • stratégie;
  • les technologies;
  • processus.

Les côtes qui les relient sont les mêmes facteurs de risque. Afin d'identifier d'éventuelles menaces, il est préférable de contacter directement le service ou le spécialiste qui travaille avec ces actifs. Tout facteur de risque potentiel peut constituer une condition préalable à la formation d’un problème. Le modèle met en évidence les principales menaces qui peuvent survenir.

Concernant l'équipe, le problème réside dans le faible niveau d'éducation, le manque de personnel et le manque de motivation.

Les risques liés aux processus incluent la variabilité environnementale, une mauvaise automatisation de la production et une répartition peu claire des responsabilités.

Les technologies peuvent souffrir de logiciels obsolètes et d’un manque de contrôle sur les utilisateurs. Les problèmes liés au paysage hétérogène des technologies de l’information peuvent également en être la cause.

L'avantage de ce modèle est que les valeurs seuils des risques pour la sécurité de l'information ne sont pas clairement établies, puisque le problème est envisagé sous différents angles.

Qu’est-ce qu’un audit de sécurité de l’information ?

L'audit est une procédure importante dans le domaine de la sécurité des informations d'entreprise. Il s'agit d'une vérification de l'état actuel du système de protection contre les intrusions non autorisées. Le processus d'audit détermine le degré de conformité aux exigences établies. Sa mise en œuvre est obligatoire pour certains types d'institutions, pour d'autres elle est consultative. L'examen est effectué par rapport à la documentation des services comptables et fiscaux, aux équipements techniques et aux parties financières et économiques.

Un audit est nécessaire afin de comprendre le niveau de sécurité, et en cas de non-conformité, une optimisation à la normale. Cette procédure permet également d'évaluer la faisabilité des investissements financiers dans la sécurité de l'information. A terme, l'expert donnera des recommandations sur le rythme des dépenses financières pour obtenir une efficacité maximale. Un audit vous permet d’ajuster les contrôles.

L’expertise en sécurité de l’information se divise en plusieurs étapes :

  1. Fixer des objectifs et des moyens de les atteindre.
  2. Analyse des informations nécessaires pour parvenir à un verdict.
  3. Traitement des données collectées.
  4. Avis d'experts et recommandations.

En fin de compte, le spécialiste rendra sa décision. Les recommandations de la commission visent le plus souvent à modifier les configurations des équipements techniques, ainsi que des serveurs. Il est souvent demandé à une entreprise en difficulté de choisir une méthode de sécurité différente. Peut-être que pour un renforcement supplémentaire, les experts prescriront un ensemble de mesures de protection.

Le travail après réception des résultats de l'audit vise à informer l'équipe des problèmes. Si cela est nécessaire, il vaut la peine d'organiser une formation supplémentaire afin d'accroître l'éducation des employés concernant la protection des ressources d'information de l'entreprise.

ARTICLES LIÉS