« Rien ne surprend plus les gens que le bon sens et le fait que tout se déroule comme prévu. »

Ralph Emerson, écrivain américain

Une fois que les décisions en matière de traitement des risques ont été prises, les actions visant à mettre en œuvre ces décisions doivent être identifiées et planifiées. Chaque activité doit être clairement définie et divisée en autant d'activités que nécessaire pour attribuer clairement les responsabilités, évaluer les besoins en matière d'allocation de ressources, fixer des jalons et points de contrôle, définissant les critères pour atteindre les objectifs et suivre les progrès.

Les décisions de gestion relatives au traitement des risques sont documentées sous la forme d'un « Plan de traitement des risques ». Ce document est un dérivé du « Registre des Risques Informationnels », qui définit pour chaque groupe de menaces et vulnérabilités une liste de mesures de traitement des risques permettant de réduire le niveau de risque maximum pour un groupe de menaces donné au niveau de risque résiduel. risque acceptable pour l’organisation. Le plan de traitement des risques détermine également le calendrier de mise en œuvre, les ressources allouées et les exécuteurs testamentaires responsables.

Le processus de planification doit inclure l'identification des principaux propriétaires des actifs et des processus opérationnels, leur consultation sur l'allocation de temps, de ressources financières et autres pour mettre en œuvre le plan de traitement des risques, et l'obtention de l'approbation du niveau de gestion approprié pour l'utilisation des ressources.

___________________________________

L'élaboration et la mise en œuvre d'un plan de traitement des risques comprennent les mesures suivantes :

• déterminer la séquence de mesures pour mettre en œuvre les décisions prises en matière de traitement des risques ;
• détailler et prioriser les activités de traitement des risques ;
• répartition des responsabilités entre les artistes interprètes ou exécutants ;
• allocation des ressources nécessaires;
• définir des jalons et des points de contrôle ;
• définir des critères pour atteindre les objectifs ;
• suivi des progrès.

______________________________________

La mise en œuvre de mesures de traitement des risques doit être correctement priorisée. Le moment auquel chaque action peut être entreprise dépend de sa priorité absolue par rapport aux autres actions, de la disponibilité des ressources (y compris des ressources financières et humaines) et des activités qui doivent être réalisées avant que le processus puisse démarrer. Le plan de traitement des risques doit être coordonné avec les autres plans d’affaires. Toute dépendance entre ces plans doit être identifiée.

Les mesures de traitement des risques peuvent être priorisées comme suit :

1. Toutes les contre-mesures sont divisées en groupes selon le niveau de risque qu'elles visent à réduire. La plus haute priorité est accordée aux contre-mesures qui réduisent les risques les plus importants.

2. Dans chaque groupe, la première place est donnée aux mesures les plus rapides et les plus faciles à mettre en œuvre et qui produisent l'effet le plus rapide.

3. La priorité des contre-mesures qui offrent le meilleur retour sur investissement est augmentée.

4. Les contre-mesures primaires, dont dépend le succès des autres contre-mesures, reçoivent une priorité plus élevée.

5. Toutes les autres considérations pouvant affecter la mise en œuvre des contre-mesures sont prises en compte, y compris les relations avec d'autres plans, la disponibilité de certaines ressources, les considérations politiques, économiques et autres.

A la sortie ce processus nous recevons une liste prioritaire de mesures de traitement des risques, sur la base de laquelle une planification plus détaillée, l'allocation des ressources et la mise en œuvre de solutions de gestion des risques sont effectuées.

La coordination de toutes les étapes de mise en œuvre du plan de traitement des risques (y compris l'acquisition, la mise en œuvre, le test des mécanismes de sécurité, la conclusion des contrats d'assurance et d'externalisation, etc.) est assurée par le gestionnaire. sécurité des informations ou un gestionnaire des risques qui doit contrôler que la mise en œuvre des activités est effectuée conformément au plan, avec une qualité appropriée et dans les limites des ressources financières, temporelles et humaines allouées. Lors de la mise en œuvre de contre-mesures dans un système d'information, des tests doivent être effectués pour confirmer la fiabilité et les performances des mécanismes de sécurité mis en œuvre, ainsi que pour mesurer l'efficacité de leur fonctionnement.

• Pour poster des commentaires, veuillez vous connecter ou vous inscrire

En janvier 2018, le Rapport mondial sur les risques pour l'humanité 2018 a été présenté au Forum économique mondial de Davos. Il ressort du rapport que l'importance des risques liés à la sécurité de l'information augmente à la fois en raison de l'augmentation du nombre d'attaques mises en œuvre et compte tenu de leur potentiel destructeur.

Certaines des techniques de gestion des risques de sécurité de l'information les plus courantes dans le monde sont CRAMM, COBIT for Risk, FRAP, Octave et Microsoft. Outre certains avantages, ils ont aussi leurs limites. En particulier, les techniques étrangères répertoriées peuvent être utilisées efficacement par des sociétés commerciales, tandis que organisations gouvernementales Lors de l'évaluation et de la gestion des risques liés à la sécurité de l'information, il est nécessaire de se laisser guider par les dispositions de la réglementation du FSTEC de Russie. Par exemple, pour systèmes automatisés production et processus technologiques dans les installations critiques, il convient de se guider sur l'arrêté du FSTEC de Russie du 14 mars 2014 n° 31. Dans le même temps, ce document pourrait également être utilisé comme matériel supplémentaire autorités fédérales pouvoir exécutif.

Risques de sécurité de l'information dans la société moderne

Derrière Dernièrement le nombre d'attaques contre des organisations a doublé. Les attaques causant des dégâts extraordinaires deviennent monnaie courante. Les pertes financières dues aux attaques augmentent, et certaines des pertes les plus importantes sont associées aux attaques de ransomwares. Un exemple frappant en est les attaques des virus ransomware WannaCry et NotPetya, qui ont touché plus de 300 000 ordinateurs dans 150 pays et entraîné des pertes financières de plus de 300 millions de dollars.

Une autre tendance est l'augmentation du nombre d'attaques contre des infrastructures critiques et des installations industrielles stratégiques, qui peuvent conduire à la neutralisation des systèmes qui soutiennent la vie de l'humanité par des attaquants et à la survenue de catastrophes mondiales d'origine humaine.

Ainsi, les risques liés à la sécurité de l'information sont inclus dans les trois risques les plus probables (avec les risques de catastrophes naturelles et de conditions météorologiques extrêmes) et dans la liste des six risques les plus critiques d'éventuels dommages (avec les risques liés à l'utilisation d'armes). de destruction massive, catastrophes naturelles, anomalies météorologiques et pénuries). boire de l'eau). Par conséquent, la gestion des risques liés à la sécurité de l'information est l'un des domaines prioritaires pour le développement des organisations du monde entier et est absolument nécessaire à leur fonctionnement ultérieur.

Objectifs et approches de la gestion des risques liés à la sécurité de l'information

L'objectif de toute organisation est d'atteindre certains indicateurs qui caractérisent les résultats de ses activités. Par exemple, pour les entreprises commerciales, cela signifie réaliser des bénéfices, augmenter leur capitalisation, leur part de marché ou leur chiffre d'affaires, et pour les organisations gouvernementales, cela fournit services publics population et résoudre les problèmes de gestion. Dans tous les cas, quel que soit le but des activités de l'organisation, la mise en œuvre de risques en matière de sécurité de l'information peut empêcher la réalisation de cet objectif. Parallèlement, chaque organisation évalue à sa manière les risques et la possibilité d'investir dans leur réduction.

Ainsi, l'objectif de la gestion des risques liés à la sécurité de l'information est de les maintenir à un niveau acceptable pour l'organisation. Pour résoudre ce problème, les organisations créent des systèmes complets de sécurité de l’information (ISS).

Lors de la création de tels systèmes, la question se pose du choix d'outils de sécurité qui assurent la réduction des risques de sécurité de l'information identifiés lors de l'analyse sans coûts excessifs pour la mise en œuvre et le support de ces outils. L'analyse des risques de sécurité de l'information nous permet de déterminer l'ensemble nécessaire et suffisant de moyens de sécurité de l'information, ainsi que des mesures organisationnelles visant à réduire les risques de sécurité de l'information, et de développer l'architecture ISS d'une organisation la plus efficace pour ses activités spécifiques et visant à réduire précisément ses risques en matière de sécurité de l’information.

Tous les risques, y compris les risques liés à la sécurité de l'information, sont caractérisés par deux paramètres : les dommages potentiels à l'organisation et la probabilité de mise en œuvre. L'utilisation d'une combinaison de ces deux caractéristiques pour l'analyse des risques vous permet de comparer les risques avec différents niveaux de dommages et de probabilité, les amenant à une expression commune compréhensible pour les décideurs concernant la minimisation des risques dans l'organisation. Parallèlement, le processus de gestion des risques comprend les étapes logiques suivantes, dont la composition et le contenu dépendent de la méthodologie utilisée pour l'évaluation et la gestion des risques :

1. Déterminer le niveau de risque acceptable pour l'organisation (appétit pour le risque) - un critère utilisé pour décider d'accepter ou de traiter un risque. Sur la base de ce critère, il est déterminé quels risques identifiés à l'avenir seront acceptés sans condition et exclus d'un examen plus approfondi, et lesquels seront soumis à une analyse plus approfondie et inclus dans le plan de réponse aux risques.
2. Identification, analyse et évaluation des risques. Pour prendre une décision concernant les risques, ils doivent être clairement identifiés et évalués en termes de dommages dus au risque et de probabilité de sa mise en œuvre. L'évaluation des dommages détermine le degré d'impact du risque sur les actifs informatiques d'une organisation et les processus métier qu'ils prennent en charge. Lors de l’évaluation de la probabilité, une analyse est effectuée sur la probabilité que le risque se réalise. L'évaluation de ces paramètres peut être basée sur l'identification et l'analyse des vulnérabilités inhérentes aux actifs informatiques qui peuvent être affectées par le risque, et des menaces qui peuvent être réalisées grâce à l'exploitation de ces vulnérabilités. De plus, selon la méthodologie d'évaluation des risques utilisée, le modèle de l'attaquant, les informations sur les processus métier de l'organisation et d'autres facteurs associés à la mise en œuvre du risque, tels que la situation politique, économique, marchande ou sociale dans l'environnement opérationnel de l'organisation, peuvent être utilisés. comme données initiales pour leur évaluation. Lors de l'évaluation des risques, une approche qualitative, quantitative ou mixte de leur évaluation peut être utilisée. L'avantage de l'approche qualitative est sa simplicité, la minimisation du temps et des coûts de main-d'œuvre pour mener des évaluations des risques, les limites sont une visibilité insuffisante et la complexité de l'utilisation des résultats de l'analyse des risques pour la justification économique et l'évaluation de la faisabilité des investissements dans des mesures de réponse aux risques. L'avantage de l'approche quantitative réside dans la précision de l'évaluation des risques, la clarté des résultats et la capacité de comparer la valeur du risque, exprimée en argent, avec le montant de l'investissement nécessaire pour répondre à ce risque ; les inconvénients sont la complexité, intensité de travail élevée et durée d'exécution.
3. Classement des risques. Pour déterminer la priorité dans la réponse aux risques et élaborer par la suite un plan de réponse, tous les risques doivent être classés. Lors du classement des risques, en fonction de la méthodologie utilisée, des critères de détermination de la criticité peuvent être appliqués, tels que les dommages résultant de la réalisation des risques, la probabilité de mise en œuvre, les actifs informatiques et les processus commerciaux affectés par le risque, le tollé général et l'atteinte à la réputation résultant de la réalisation des risques. le risque, etc.
4. Prendre des décisions sur les risques et élaborer un plan de réponse aux risques. Pour déterminer l'ensemble des mesures de réponse aux risques, il est nécessaire de procéder à une analyse des risques identifiés et évalués afin d'en adopter une pour chacun d'eux. prochaines décisions:
   • Évitement des risques ;
   • Prendre des risques;
   • Transfert de risque ;
   • Réduction de risque.
   La décision prise pour chaque risque doit être enregistrée dans le plan de réponse aux risques. Aussi, ce plan peut contenir, selon la méthodologie utilisée, les informations suivantes nécessaires pour répondre aux risques :
   • Responsable de la réponse ;
   • Description des mesures de réponse ;
   • Évaluer l’investissement requis dans les mesures de réponse ;
   • Calendrier de mise en œuvre de ces mesures.
5. Mise en œuvre de mesures pour répondre aux risques. Pour mettre en œuvre les mesures de réponse aux risques, les personnes responsables organisent la mise en œuvre des actions décrites dans le plan de réponse aux risques dans les délais requis.
6. Évaluer l'efficacité des mesures mises en œuvre. Pour s'assurer que les mesures appliquées conformément au plan de réponse sont efficaces et que le niveau de risques est acceptable pour l'organisation, l'efficacité de chaque mesure de réponse aux risques mise en œuvre est évaluée, ainsi que les risques de l'organisation sont régulièrement identifiés, analysés et évalués. .

Considérons les méthodes de gestion des risques de sécurité de l'information les plus connues : CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Présentation de la technique CRAMM

CRAMM (CCTA Risk Analysis and Management Method), développé par le service de sécurité britannique en 1985, est basé sur la série BS7799 de normes de gestion de la sécurité de l'information (maintenant révisée selon la norme ISO 27000) et décrit une approche d'évaluation qualitative des risques. Dans ce cas, le passage à l'échelle des valeurs des indicateurs qualitatifs s'effectue à l'aide de tableaux spéciaux qui déterminent la correspondance entre les indicateurs qualitatifs et quantitatifs. L'évaluation des risques repose sur une analyse de la valeur d'un actif informatique pour l'entreprise, des vulnérabilités, des menaces et de la probabilité de leur mise en œuvre.

Le processus de gestion des risques selon la méthode CRAMM comprend les étapes suivantes :

1. Initiation. À ce stade, une série d'entretiens est menée avec des personnes intéressées par le processus d'analyse des risques en matière de sécurité de l'information, y compris les responsables de l'exploitation, de l'administration, de la sécurité et de l'utilisation des actifs informatiques pour lesquels l'analyse des risques est effectuée. En conséquence, une description formalisée de la zone nécessitant des recherches plus approfondies, ses limites sont données et la composition des personnes impliquées dans l'analyse des risques est déterminée.
2. Identification et évaluation des actifs. Une liste des actifs informatiques utilisés par l'organisation dans le domaine d'étude préalablement défini est déterminée. Selon la méthodologie CRAMM, les actifs informatiques peuvent être de l'un des types suivants :
   • Données;
   • Logiciel;
   • Actifs physiques.
   Pour chaque actif, sa criticité pour les activités de l'organisation sera déterminée et, en collaboration avec les représentants des services qui utilisent l'actif informatique pour résoudre les problèmes appliqués, les conséquences sur les activités de l'organisation d'une violation de sa confidentialité, de son intégrité et de sa disponibilité seront évaluées.
3. Évaluation des menaces et des vulnérabilités. En plus d'évaluer la criticité des actifs informatiques, une partie importante de la méthodologie CRAMM consiste à évaluer la probabilité de menaces et de vulnérabilités des actifs informatiques. La méthodologie CRAMM contient des tableaux décrivant la correspondance entre les vulnérabilités des actifs informatiques et les menaces qui peuvent affecter les actifs informatiques à travers ces vulnérabilités. Il existe également des tableaux décrivant les dommages causés aux actifs informatiques si ces menaces se matérialisent. Cette étape n'est réalisée que pour les actifs informatiques les plus critiques, pour lesquels la mise en œuvre d'un ensemble de base de mesures de sécurité des informations n'est pas suffisante. Les vulnérabilités et menaces actuelles sont identifiées en interrogeant les personnes responsables de l’administration et de l’exploitation des actifs informatiques. Pour les autres actifs informatiques, la méthodologie CRAMM contient un ensemble de mesures de base nécessaires pour assurer la sécurité des informations.
4. Calcul du risque. Le risque est calculé selon la formule : Risque = P (réalisation) * Dommage. Dans ce cas, la probabilité de réalisation du risque est calculée par la formule : P (mise en œuvre) = P (menace) * P (vulnérabilité). Au stade du calcul des risques pour chaque actif informatique, les exigences relatives à un ensemble de mesures visant à assurer la sécurité de ses informations sont déterminées sur une échelle de « 1 » à « 7 », où la valeur « 1 » correspond à l'ensemble minimum requis de mesures pour assurer la sécurité de l’information, et la valeur « 7 » – maximum.
5. Gestion des risques. Sur la base des résultats du calcul des risques, la méthodologie CRAMM détermine l'ensemble de mesures nécessaires pour assurer la sécurité des informations. À cette fin, un catalogue spécial est utilisé, qui comprend environ 4 000 mesures. L'ensemble des mesures recommandées par la méthodologie CRAMM est comparé aux mesures déjà prises par l'organisation. En conséquence, les zones nécessitant une attention supplémentaire en termes d’application de mesures de protection et les zones présentant des mesures de protection redondantes sont identifiées. Cette information est utilisé pour formuler un plan d'action pour modifier la composition des mesures de protection utilisées dans l'organisation - pour amener le niveau de risques au niveau requis.

Du point de vue application pratique Les avantages suivants de la technique CRAMM peuvent être soulignés :

• Une méthode qui a été testée à de nombreuses reprises et qui a accumulé une expérience et des compétences professionnelles significatives ; les résultats de l'utilisation du CRAMM sont reconnus par les institutions internationales ;
• La présence d'une description claire et formalisée de la méthodologie minimise la possibilité d'erreurs lors de la mise en œuvre des processus d'analyse et de gestion des risques ;
• La présence d'outils d'automatisation d'analyse des risques vous permet de minimiser les coûts de main-d'œuvre et le temps nécessaire pour réaliser les activités d'analyse et de gestion des risques ;
• Les catalogues de menaces, de vulnérabilités, de conséquences et de mesures de sécurité de l'information simplifient les exigences en matière de connaissances et de compétences particulières des personnes directement impliquées dans les activités d'analyse et de gestion des risques.

Cependant, la méthode CRAMM présente les inconvénients suivants :

• Haute complexité et intensité de travail de la collecte des données initiales, nécessitant des ressources importantes de l'intérieur de l'organisation ou de l'extérieur ;
• Dépenses importantes de ressources et de temps pour mettre en œuvre des processus d'analyse et de gestion des risques de sécurité de l'information ;
• Fiançailles grande quantité les parties prenantes nécessitent des coûts importants pour organiser collaboration, les communications au sein de l'équipe du projet et la coordination des résultats ;
• L'incapacité d'évaluer les risques en termes monétaires rend difficile l'utilisation des résultats des évaluations des risques de sécurité de l'information dans l'étude de faisabilité des investissements nécessaires à la mise en œuvre d'outils et de méthodes de sécurité de l'information.

Le CRAMM est largement utilisé au sein du gouvernement et organisations commerciales dans le monde entier, devenant ainsi la norme de facto pour la gestion des risques liés à la sécurité de l'information au Royaume-Uni. La méthodologie peut être appliquée avec succès dans de grandes organisations axées sur l'interaction internationale et le respect des normes de gestion internationales, en effectuant la mise en œuvre initiale de processus de gestion des risques de sécurité de l'information pour couvrir l'ensemble de l'organisation à la fois. Cependant, les organisations doivent être en mesure de consacrer des ressources et du temps importants à l’application du CRAMM.

Présentation de la méthodologie COBIT pour le risque

La méthodologie COBIT for Risk a été développée par l'ISACA (Information Systems Audit and Control Association) en 2013 et s'appuie sur les meilleures pratiques de gestion des risques (COSO ERM, ISO 31000, ISO\IEC 27xxx, etc.). La méthodologie examine les risques de sécurité de l'information par rapport aux risques des activités principales de l'organisation, décrit les approches de la mise en œuvre de la fonction de gestion des risques de sécurité de l'information dans l'organisation et les processus d'analyse qualitative des risques de sécurité de l'information et leur gestion.

Lors de la mise en œuvre de la fonction et du processus de gestion des risques dans une organisation, la méthodologie identifie les composants suivants qui affectent à la fois les risques de sécurité de l'information et le processus de gestion de ceux-ci :
• Principes, politiques, procédures de l'organisation ;
• Processus ;
• Structure organisationnelle;
• Culture d'entreprise, éthique et règles de conduite ;
• Information;
• Services informatiques, infrastructures et applications informatiques ;
• Les gens, leur expérience et leurs compétences.

En termes d'organisation de la fonction de gestion des risques de sécurité de l'information, la méthodologie définit et décrit les exigences pour les composants suivants :
• Processus nécessaire;
• Flux d'informations ;
• Structure organisationnelle;
• Personnes et compétences.
Le principal élément d'analyse et de gestion des risques de sécurité de l'information conformément à la méthodologie sont les scénarios de risque. Chaque scénario est « une description d'un événement qui, s'il se produisait, pourrait avoir un impact incertain (positif ou négatif) sur l'atteinte des objectifs de l'organisation ». La méthodologie contient plus de 100 scénarios de risques couvrant les catégories d’impact suivantes :
• Création et maintenance de portefeuilles de projets informatiques ;
• Contrôle cycle de vie programme/projet ;
• Investissements en informatique ;
• Expertise et compétences du personnel informatique ;
• Opérations du personnel ;
• Information;
• Architecture;
• Infrastructure informatique;
• Logiciel;
• Utilisation inefficace de l'informatique ;
• Sélection et gestion des fournisseurs informatiques ;
• Conformité réglementaire ;
• Géopolitique;
• Vol d'éléments d'infrastructure ;
• Logiciel malveillant;
• Attaques logiques ;
• Impact technogénique ;
• Environnement;
• Phénomène naturel;
• Innovation.
Pour chaque scénario de risque, la méthodologie détermine son degré d'appartenance à chaque type de risque :
• Risques stratégiques – risques associés aux opportunités manquées d’utiliser l’informatique pour développer et améliorer l’efficacité des activités principales de l’organisation ;
• Risques du projet – risques associés à l'influence de l'informatique sur la création ou le développement des processus existants de l'organisation ;
• Les risques de gestion informatique et de fourniture de services informatiques sont des risques associés à la garantie de la disponibilité, de la stabilité et de la fourniture de services informatiques aux utilisateurs avec le niveau de qualité requis, dont les problèmes peuvent entraîner des dommages aux activités principales de l'organisation.
Chaque scénario de risque contient les informations suivantes :
• Type de source de menace : interne/externe.
• Type de menace : action malveillante, phénomène naturel, erreur, etc.
• Description de l'événement - accès à l'information, destruction, modification, divulgation d'informations, vol, etc.
• Types d'actifs (composants) de l'organisation qui sont affectés par l'événement - personnes, processus, infrastructure informatique, etc.
• Heure de l'évènement.
Si un scénario de risque se produit, l’organisation subira des dommages. Ainsi, lors de l'analyse des risques de sécurité de l'information conformément à la méthodologie COBIT for Risk, des scénarios de risque pertinents pour l'organisation sont identifiés et des mesures d'atténuation des risques visent à réduire la probabilité que ces scénarios se produisent. Pour chacun des risques identifiés, une analyse de sa conformité avec l'appétit au risque de l'organisation est réalisée, suivie de la prise de l'une des décisions suivantes :
• Évitement des risques ;
• Prendre des risques;
• Transfert de risque ;
• Réduction de risque.
Une gestion plus approfondie des risques est effectuée en analysant le niveau résiduel de risques et en décidant de la nécessité de mettre en œuvre des mesures supplémentaires de réduction des risques. La méthodologie contient des recommandations pour la mise en œuvre de mesures d'atténuation des risques pour chaque type de composante organisationnelle.

Du point de vue de l'application pratique, les avantages suivants de la méthodologie COBIT for Risk peuvent être soulignés :
• Connexion à la bibliothèque commune COBIT et capacité d'utiliser des approches et des « contrôles informatiques » (atténuation des risques) de domaines connexes pour prendre en compte les risques et les atténuations en matière de sécurité de l'information en relation avec l'impact des risques sur les processus commerciaux d'une organisation ;
• Une méthode testée à plusieurs reprises, dans laquelle une expérience et des compétences professionnelles significatives ont été accumulées et dont les résultats sont reconnus par les institutions internationales ;
• La présence d'une description claire et formalisée de la méthodologie permet de minimiser les erreurs dans la mise en œuvre des processus d'analyse et de gestion des risques ;
• Les catalogues de scénarios de risques et de « contrôles informatiques » permettent de simplifier les exigences en matière de connaissances et de compétences particulières des personnes directement impliquées dans les activités d'analyse et de gestion des risques ;
• La possibilité d'utiliser la méthodologie lors de la réalisation d'audits vous permet de réduire les coûts de main-d'œuvre et le temps requis pour interpréter les résultats des audits externes et internes.
Dans le même temps, la méthodologie COBIT for Risk présente les inconvénients et limites suivants :
• La grande complexité et l'intensité de la main-d'œuvre de la collecte des données initiales nécessitent l'implication de ressources importantes soit au sein de l'organisation, soit en externe ;
• L'implication d'un grand nombre d'acteurs nécessite des coûts importants pour organiser la collaboration, allouer le temps des personnes impliquées pour la communication au sein de l'équipe de projet et s'entendre sur les résultats avec toutes les parties prenantes ;
• L'absence de capacité à évaluer les risques en termes monétaires rend difficile l'utilisation des résultats d'une évaluation des risques liés à la sécurité de l'information pour justifier les investissements nécessaires à la mise en œuvre d'outils et de méthodes de sécurité de l'information.
Cette méthode est utilisée à la fois par les organisations gouvernementales et commerciales du monde entier. La méthode est la plus adaptée aux grandes organisations technologiques ou aux organisations dont les activités principales dépendent fortement des technologies de l'information, à celles qui utilisent déjà (ou envisagent d'utiliser) les normes et méthodologies COBIT pour la gestion des technologies de l'information et disposent des ressources et compétences pour cela. Dans ce cas, une intégration efficace des processus de gestion des risques liés à la sécurité de l'information et Direction générale L'informatique et l'obtention d'un effet synergique qui optimisera les coûts de mise en œuvre des processus d'analyse et de gestion des risques de sécurité de l'information.

L’histoire a prouvé à maintes reprises que la stabilité, aussi idéale et bonne qu’elle puisse paraître à première vue, conduit à la dégradation. Le développement est impossible sans risque. Toute notre vie est faite de probabilités, d’évaluations de possibilités et de décisions qui mènent au succès ou à l’échec. Mais beaucoup dépend de nous. Le saut en parachute se terminera-t-il en toute sécurité ? Cela dépend s'il a été posé correctement, si vous connaissez la procédure pour sauter, etc. Le risque est-il désormais nul ? Non, mais grâce à vos actions vous avez pu le réduire considérablement. Aux risques individuels s’ajoutent les risques sociaux, technologiques et bien d’autres encore. Nous nous concentrerons sur les risques liés à la sécurité de l’information et leur gestion.

Anton Makarychev
Chef du département de sécurité de l'information, Groupe de sociétés Compulink

La norme de gestion des risques ISO 31000:2009 définit le risque comme le résultat d'une incertitude sur les objectifs, où le résultat est un écart par rapport à un résultat attendu (positif ou négatif), et l'incertitude est un état d'information insuffisante associé à la compréhension ou à la connaissance d'un événement. ses conséquences ou sa probabilité. Considérant que la plupart des risques ne peuvent être réduits à valeurs nulles, leur gestion passe avant tout tant au niveau mondial que local. Malheureusement, dans le cas où l'action se produit avant l'analyse (et c'est une situation typique pour beaucoup Entreprises russes), l'efficacité des mesures prises est également laissée au hasard. C'est comme utiliser une tronçonneuse comme une hache sans prendre la peine de lire le mode d'emploi. C'est pourquoi, avant de vous lancer dans la gestion des risques liés à la sécurité de l'information, vous devez comprendre les développements et les normes existants dans ce domaine.

Du général au particulier

Lorsque l’on envisage la gestion des risques dans le cadre de la sécurité de l’information, il est utile de comprendre les documents suivants :

• norme internationale ISO 31000:2009 ;
• le Comité des organisations parrainantes du cadre de gestion des risques organisationnels de la Commission Treadway (COSO ERM) ;
• norme de gestion des risques de l'Institute of Risk Management (IRM) de l'Association for Risk Management and Insurance (AIRMIC), ainsi que du National Forum for Risk Management in the Public Sector of the UK.

Aujourd'hui, l'informatisation de la société, associée à l'automatisation des processus, se développe si rapidement qu'il devient inacceptable d'ignorer les risques croissants dans le domaine des technologies de l'information.

ISO 31000:2009 est la principale norme internationale en matière de gestion des risques pour les organisations et fournit les définitions et principes de base qui devraient guider une organisation une fois qu'elle décide de mettre en œuvre un système de gestion des risques. Ce document peut servir de guide pour les premières étapes, puisqu'il décrit précisément la gestion des risques, c'est-à-dire l'architecture.

Plus Instructions détaillées sont contenus dans le cadre de gestion des risques organisationnels du Comité des organisations parrainantes de la Commission Treadway. En particulier, en plus du document lui-même, des documents supplémentaires émis par le Comité COSO présentent un intérêt pratique :

• Évaluation des risques ERM en pratique (la pratique consistant à effectuer des évaluations des risques dans le système de gestion des risques) ;
• Gestion des risques d'entreprise pour C
• oud Computing (gestion des risques système Cloud computing);
• Gestion des risques d'entreprise – Comprendre et communiquer l'appétit pour le risque (compréhension et communication de l'appétit pour le risque dans le système de gestion des risques) ;
• Adopter la gestion des risques d'entreprise : pratique
• Approaches for Getting Started (approches pratiques pour démarrer la mise en œuvre d’un système de gestion des risques), etc.

Leur objectif est une divulgation détaillée de tous les aspects énoncés dans le cadre conceptuel, ce qui permet finalement de mettre les principes décrits sur une base pratique.

Cependant, une chose mérite d'être mentionnée nuance importante Ce qui peut prêter à confusion lorsque l'on tente de combiner les normes décrites ci-dessus, réside dans la différence de définitions. Par exemple, la définition du « risque » dans la norme ISO est la probabilité de conséquences à la fois positives et négatives, dans la norme COSO, il s'agit uniquement de la probabilité d'une conséquence négative, pour une conséquence positive, il existe un terme distinct : opportunité. Néanmoins, compte tenu de l’évolution permanente de la norme, elle mérite la plus grande attention.

Un autre document utile est la norme de gestion des risques de l'Institut de gestion des risques (IRM) de l'Association pour la gestion des risques et des assurances (AIRMIC), ainsi que du Forum national pour la gestion des risques dans le secteur public du Royaume-Uni. En utilisant la terminologie ISO comme base, cette norme révèle le processus de gestion des risques plus en détail (Fig. 2).

Il sera extrêmement utile pour les petites et moyennes entreprises, car il pourra servir de document unique et unique pour la mise en œuvre d'un système de gestion des risques de haute qualité.

Ainsi, avant d'aborder des questions spécifiques de gestion des risques liés à la sécurité de l'information, nous pouvons tirer des conclusions intermédiaires sur les normes considérées :

• L'ISO 31000:2009 peut servir de base à toute organisation ;
• AIRMIC est orienté vers la pratique et convient comme document de base pour les petites et moyennes entreprises, ainsi que comme point de départ pour grandes entreprises;
• COSO ERM constitue le document principal pour la mise en œuvre pratique d'un système de gestion des risques dans toute organisation, mais s'adresse initialement aux grandes entreprises.

Gestion des risques liés à la sécurité de l'information

Aujourd'hui, l'informatisation de la société, associée à l'automatisation des processus, se développe si rapidement qu'il devient inacceptable d'ignorer les risques croissants dans le domaine des technologies de l'information. La disponibilité du centre de données est mesurée en cinq et six neuf, et les pannes en systèmes d'information ah, les grandes entreprises deviennent l'actualité mondiale.

En conséquence, les organisations créent des départements distincts pour la sécurité de l'information et les risques informatiques, qui sont chargés d'identifier et de gérer les risques dans ce domaine.

La demande a créé l’offre. Ainsi, l'organisation internationale ISO a publié une norme pour la gestion des risques de sécurité de l'information dans une organisation - ISO 27005:2008 « Technologies de l'information - techniques de sécurité - gestion des risques de sécurité de l'information ». Cependant, à côté de cela, il existe d'autres documents tout aussi utiles, par exemple :

• environnement de travail pour la gestion des risques informatiques (The Risk IT Framework) et mode d'emploi des risques informatiques (The Risk IT Practitioner Guide), basé sur le standard Cobit de l'organisation ISACA ;
• méthodologie de l'auteur pour la gestion des risques liés aux systèmes d'information par Ken Jaworski.

Examinons chacun d'eux plus en détail.

La norme ISO 27005:2008 définit le risque de sécurité de l'information comme la probabilité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi un préjudice à une organisation.

Conformément à la norme, le processus de gestion des risques liés à la sécurité de l'information permet d'organiser :

• identification des risques ;
• évaluer les risques en termes de conséquences commerciales et de probabilité de leur survenance ;
• communication et sensibilisation à la probabilité et aux conséquences des risques ;
• établir un ordre de priorité pour le traitement des risques ;
• prioriser les actions visant à réduire la probabilité des risques ;
• impliquer les parties prenantes dans le processus décisionnel en matière de gestion des risques et communiquer l’état du processus de gestion des risques ;
• surveiller l'efficacité du traitement des risques ;
• surveiller et examiner régulièrement les risques et le processus de gestion des risques ;
• identifier les informations pour améliorer l’approche de gestion des risques ;
• former les managers et les collaborateurs aux risques et aux actions pour les réduire.

Des progrès ont été réalisés dans le domaine de la gestion des risques liés à la sécurité de l'information, permettant aux professionnels intéressés de passer des descriptions théoriques aux actions pratiques. Ainsi, la norme internationale ISO 27005:2008 sert de point de départ théorique, à partir duquel la poursuite du cheminement pratique, malgré approche individuelle pour chaque organisation, peut être mis en œuvre efficacement en utilisant au moins deux techniques.

Il est à noter que le diagramme du processus de gestion des risques liés à la sécurité de l'information est identique au diagramme standard 31000 présenté précédemment, ce qui confirme en outre la même approche de la gestion des risques dans la série de normes ISO. La norme est de nature théorique, mais elle servira de base à la mise en œuvre ultérieure d'un système de gestion des risques.

Le Risk IT Framework, basé sur la norme ISACA Cobit, comprend un cadre théorique, un mode d'emploi - méthodologie et exemples pratiques.

DANS ce document Le risque informatique est défini comme un risque d'entreprise, en particulier un risque d'entreprise associé à l'utilisation, à la propriété, à la performance, à l'implication, à l'influence ou à l'adaptation de l'informatique dans une organisation.

Le modèle de processus de cet environnement se compose de trois domaines :

• gestion des risques (gouvernance des risques) ;
• Évaluation du risque;
• Réponse aux risques.

Ce modèle à trois domaines est analysé en profondeur dans l'article. Toutes les définitions nécessaires sont données, le modèle des processus répertoriés est analysé, ainsi que la procédure de mise en œuvre.

Le Risk IT Practitioner Guide est une suite logique de l’environnement de travail, axé sur la mise en œuvre pratique du modèle à trois domaines dans l’organisation. Le document fournit les modèles, tableaux et autres documents nécessaires qui peuvent être modifiés si nécessaire et utilisés dans le système de gestion des risques de votre organisation. Une description des meilleures pratiques pour la mise en œuvre de systèmes de gestion des risques informatiques est également fournie.

La méthodologie de gestion des risques liés aux systèmes d'information de Ken Jaworski est basée sur la norme ISO et se concentre sur les aspects pratiques de la mise en œuvre d'un système de gestion des risques, et contient également les modèles et méthodes nécessaires pour calculer l'impact des risques sur les activités de l'organisation.

En résumé, nous pouvons conclure que dans le domaine de la gestion des risques liés à la sécurité de l'information, certains progrès ont été réalisés qui permettent aux spécialistes intéressés de passer des descriptions théoriques aux actions pratiques. Ainsi, la norme internationale ISO 27005:2008 sert de point de départ théorique, à partir duquel le cheminement pratique ultérieur, malgré une approche individuelle pour chaque organisation, peut être mis en œuvre efficacement en utilisant au moins deux méthodes.

Conclusion

Système de gestion des risques dans le cadre gouvernance d'entreprise montre déjà son efficacité dans les entreprises dans lesquelles il commence à être mis en œuvre ou a déjà été mis en œuvre. En raison de la crise de l'économie mondiale, ce moment On peut supposer que des systèmes similaires se répandront dans le secteur public à l’avenir. Ceci est possible encore aujourd'hui, puisqu'il existe déjà des normes et autres documents sur le système de gestion des risques qui permettent de mettre en œuvre ce système qualitativement et relativement court instant. Le point fondamental est le fait qu’à côté des documents « généraux », il existe des normes industrielles en matière de gestion des risques, notamment de gestion des risques IT/SI. Cependant, compte tenu des spécificités de l’économie russe, de nombreuses organisations s’appuient davantage sur le soutien de l’État ou sur des ressources dites administratives, n’accordant pas suffisamment d’attention au système de gouvernance d’entreprise et à la gestion des risques en particulier. En conséquence, il existe dans notre pays une prédisposition croissante à des faillites plus importantes qu’aux États-Unis. Mais il est peu probable que l’inaction puisse contribuer à résoudre le problème.

Actuellement, diverses méthodes sont utilisées pour évaluer et gérer les risques informationnels des entreprises. Une évaluation des risques informationnels d'une entreprise peut être réalisée selon le plan suivant :

1) Identification et évaluation quantitative des ressources informationnelles de l’entreprise qui sont significatives pour l’entreprise.

2) Évaluer les menaces possibles.

3) Évaluation des vulnérabilités existantes.

4) Évaluer l'efficacité des moyens de sécurité de l'information.

Il est supposé que les ressources d'informations vulnérables et critiques de l'entreprise sont menacées si des menaces existent contre elles. En d’autres termes, les risques caractérisent le danger qui peut menacer les composants d’un système d’information d’entreprise. Parallèlement, les risques informationnels de l’entreprise dépendent :

Indicateurs de la valeur des ressources informationnelles ;

Probabilité de menaces sur les ressources ;

L'efficacité des moyens de sécurité de l'information existants ou prévus.

Le but de l'évaluation des risques est de déterminer les caractéristiques de risque d'un système d'information d'entreprise et de ses ressources. Après avoir évalué les risques, vous pouvez sélectionner des outils qui offrent le niveau de sécurité des informations souhaité pour l'entreprise. Lors de l'évaluation des risques, des facteurs tels que la valeur des ressources, l'importance des menaces et des vulnérabilités ainsi que l'efficacité des moyens de protection existants et prévus sont pris en compte. La possibilité qu'une menace soit mise en œuvre pour une ressource donnée de l'entreprise est évaluée par la probabilité de sa mise en œuvre dans un laps de temps donné. Dans ce cas, la probabilité que la menace se réalise est déterminée par les principaux facteurs suivants :

L'attractivité de la ressource (prise en compte lors de l'examen de la menace d'une influence humaine délibérée) ;

La capacité d'utiliser une ressource pour générer des revenus (également en cas de menace d'influence humaine intentionnelle) ;

Capacités techniques pour mettre en œuvre une menace avec une influence humaine délibérée ;

Le degré de facilité avec lequel une vulnérabilité peut être exploitée.

Actuellement, la gestion des risques liés à l'information est l'un des domaines de gestion stratégique et opérationnelle les plus pertinents et les plus dynamiques dans le domaine de la sécurité de l'information. Sa tâche principale est d’identifier et d’évaluer objectivement les risques informatiques commerciaux les plus importants de l’entreprise, ainsi que l’adéquation des contrôles des risques utilisés pour accroître l’efficacité et la rentabilité des activités économiques de l’entreprise. Par conséquent, le terme « gestion des risques liés à l’information » fait généralement référence à un processus systématique d’identification, de contrôle et de réduction des risques liés à l’information des entreprises, conformément à certaines restrictions du cadre réglementaire russe dans le domaine de la protection de l’information et de leur propre politique de sécurité d’entreprise. On estime qu’une gestion des risques de haute qualité permet l’utilisation de contrôles des risques et de mesures de sécurité de l’information optimales en termes d’efficacité et de coûts et adaptées aux buts et objectifs actuels de l’entreprise.

Ce n’est un secret pour personne qu’aujourd’hui, la dépendance des activités commerciales réussies des entreprises nationales aux mesures organisationnelles et aux moyens techniques de contrôle et de réduction des risques utilisés est de plus en plus répandue. Pour une gestion efficace des risques liés à l'information, des méthodes spéciales ont été développées, par exemple les méthodes des normes internationales ISO 15408, ISO 17799 (BS7799), BSI ; ainsi que les normes nationales NIST 80030, SAC, COSO, SAS 55/78 et quelques autres similaires. Conformément à ces méthodes, la gestion des risques informationnels de toute entreprise suppose ce qui suit. Premièrement, définir les principaux buts et objectifs de protection des actifs informationnels de l’entreprise. Deuxièmement, la création d'un système efficace d'évaluation et de gestion des risques liés à l'information. Troisièmement, le calcul d'un ensemble d'évaluations des risques détaillées, non seulement qualitatives, mais également quantitatives, adaptées aux objectifs commerciaux déclarés. Quatrièmement, l'utilisation d'outils spéciaux d'évaluation et de gestion des risques.

Techniques de gestion des risques qualité

Des techniques de gestion des risques de haute qualité ont été adoptées dans les pays technologiquement développés par une grande armée d’auditeurs informatiques internes et externes. Ces techniques sont très populaires et relativement simples et sont généralement développées sur la base des exigences de la norme internationale ISO 177992002.

La norme ISO 17799 contient deux parties.

Dans la première partie : Recommandations pratiques sur la gestion de la sécurité de l'information, 2002, les principaux aspects de l'organisation d'un régime de sécurité de l'information dans une entreprise sont identifiés : Politique de sécurité. Organisation de protection. Classification et gestion des ressources informationnelles. Gestion du personnel. Sécurité physique. Administration des systèmes et réseaux informatiques. Contrôle d'accès au système. Développement et maintenance de systèmes. Planifier le bon fonctionnement de l'organisation. Vérifier la conformité du système aux exigences de sécurité des informations.

Partie 2 : Spécifications, 2002, examine ces mêmes aspects du point de vue de la certification du régime de sécurité de l'information d'une entreprise pour sa conformité aux exigences de la norme. D'un point de vue pratique, cette partie est un outil pour l'auditeur informatique et permet de réaliser rapidement un audit interne ou externe de la sécurité de l'information de toute entreprise.

Les méthodes de gestion des risques qualité basées sur les exigences de la norme ISO 17999 incluent les méthodes COBRA et RA Software Tool. Examinons brièvement ces techniques.

Cette technique vous permet d'effectuer automatiquement la version la plus simple de l'évaluation des risques informationnels de toute entreprise. Pour ce faire, il est proposé d'utiliser des bases de connaissances électroniques spéciales et des procédures d'inférence logique axées sur les exigences de la norme ISO 17799. Il est important que, si vous le souhaitez, la liste des exigences prises en compte puisse être complétée par diverses exigences des autorités de régulation nationales. , par exemple, les exigences des documents constitutifs (RD) de la Commission technique d'État relevant du Président de la Fédération de Russie.

La méthodologie COBRA présente les exigences de la norme ISO 17799 sous forme de questionnaires thématiques (listes de contrôle), auxquels il convient de répondre lors de l'évaluation des risques liés aux actifs informationnels et aux transactions commerciales électroniques de l'entreprise ( riz. 1. - Exemple de recueil thématique de questions COBRA). Ensuite, les réponses saisies sont automatiquement traitées et, à l'aide des règles d'inférence logique appropriées, un rapport final est généré avec les évaluations actuelles des risques informatiques de l'entreprise et des recommandations pour leur gestion.

Outil logiciel RA

La méthodologie et le RA Software Tool du même nom ( riz. 2. - Principaux modules de la méthodologie RA Software Tool) sont basés sur les exigences des normes internationales ISO 17999 et ISO 13335 (parties 3 et 4), ainsi que sur les exigences de certaines lignes directrices du British Standards Institute (BSI), par exemple PD 3002 (Guide to Risk Assessment and Management) , PD 3003 (Entreprises d'évaluation de l'état de préparation à l'audit conformément à la norme BS 7799), PD 3005 (Guide de sélection des systèmes de sécurité), etc.

Cette méthodologie permet de réaliser des évaluations des risques informationnels (modules 4 et 5) conformément aux exigences de la norme ISO 17799, et éventuellement conformément aux spécifications plus détaillées du guide British Standards Institution PD 3002.

Techniques quantitatives de gestion des risques

Le deuxième groupe de techniques de gestion des risques est constitué de techniques quantitatives dont la pertinence est déterminée par la nécessité de résoudre divers problèmes d'optimisation qui se posent souvent dans la vie réelle. L’essence de ces problèmes consiste à trouver une solution optimale unique parmi de nombreuses solutions existantes. Par exemple, il est nécessaire de répondre aux questions suivantes : « Comment, tout en respectant le budget annuel (trimestriel) approuvé pour la sécurité de l'information, pouvons-nous atteindre le niveau maximum de sécurité des actifs informationnels de l'entreprise ? ou "Laquelle des alternatives pour renforcer la protection des informations d'entreprise (un site Web sécurisé ou une messagerie d'entreprise) dois-je choisir, en tenant compte des limites connues des ressources commerciales de l'entreprise ?" Pour résoudre ces problèmes, des méthodes et des techniques d'évaluation quantitative et de gestion des risques sont développées sur la base de méthodes structurelles et, moins souvent, orientées objet d'analyse et de conception de systèmes (SSADM - Structured Systems Analysis and Design). En pratique, de telles techniques de gestion des risques permettent de : Créer des modèles du patrimoine informationnel de l’entreprise d’un point de vue sécurité ; Classer et évaluer les valeurs des actifs ; Compiler des listes des menaces et vulnérabilités de sécurité les plus importantes ; Classer les menaces et les vulnérabilités en matière de sécurité ; Justifier les moyens et mesures de maîtrise des risques ; Évaluer l'efficacité/le coût des diverses options de protection ; Formalisez et automatisez les procédures d’évaluation et de gestion des risques.

L'une des techniques les plus connues de cette classe est la technique CRAMM.

Dans un premier temps, une méthode a été créée, puis la technique CRAMM (Risk Analysis and Control) du même nom, qui répond aux exigences du CCTA. Ensuite, plusieurs versions de la méthodologie sont apparues, axées sur les exigences de diverses organisations et structures gouvernementales et commerciales. Une version du « profil commercial » s'est répandue sur le marché de la sécurité de l'information.

Les principaux objectifs de la méthodologie CRAMM sont : La formalisation et l'automatisation des procédures d'analyse et de gestion des risques ; Optimisation des coûts des équipements de contrôle et de protection ; Planification globale et gestion des risques à toutes les étapes du cycle de vie des systèmes d'information ; Réduire le temps de développement et de maintenance d'un système de sécurité de l'information d'entreprise ; Justification de l’efficacité des mesures de protection et des contrôles proposés ; Gestion des changements et des incidents ; Soutien à la continuité des activités ; Prise de décision rapide sur les questions de gestion de la sécurité, etc.

La gestion des risques dans la méthodologie CRAMM s'effectue en plusieurs étapes (Fig. 3).

Lors de la première étape d'initiation - «Initiation» - les limites du système d'information de l'entreprise étudiée, la composition et la structure de ses principaux actifs informationnels et transactions sont déterminées.

Au stade de l'identification et de la valorisation des ressources - « Identification et valorisation des actifs » - les actifs sont clairement identifiés et leur valeur est déterminée. Le calcul du coût des actifs informationnels permet clairement de déterminer le besoin et la suffisance des moyens de contrôle et de protection proposés.

Au stade de l'évaluation des menaces et des vulnérabilités - « Évaluation des menaces et des vulnérabilités » - les menaces et vulnérabilités des actifs informationnels de l'entreprise sont identifiées et évaluées.

L'étape d'analyse des risques - « Analyse des risques » - permet d'obtenir des évaluations qualitatives et quantitatives des risques.

Au stade de la gestion des risques - « Gestion des risques » - des mesures et des moyens sont proposés pour réduire ou éviter les risques.

Examinons les capacités de CRAMM à l'aide de l'exemple suivant. Laissez les risques informationnels du système d'information d'entreprise suivant être évalués (Fig. 4).

Dans ce schéma, nous mettrons en évidence conditionnellement les éléments suivants du système : les postes de travail où les opérateurs saisissent les informations provenant de monde extérieur; un serveur de messagerie auquel les informations sont reçues des nœuds de réseau distants via Internet ; serveur de traitement sur lequel le SGBD est installé ; serveur de sauvegarde ; les lieux de travail de l'équipe d'intervention rapide ; lieu de travail de l'administrateur de la sécurité ; lieu de travail de l'administrateur de base de données.

Le système fonctionne comme suit. Les données saisies depuis les postes des utilisateurs et reçues sur le serveur de messagerie sont envoyées au serveur de traitement des données de l'entreprise. Ensuite, les données sont transmises aux lieux de travail de l’équipe d’intervention opérationnelle et les décisions appropriées y sont prises.

Réalisons maintenant une analyse des risques à l'aide de la technique CRAMM et proposons quelques moyens de contrôle et de gestion des risques adaptés aux buts et objectifs de l'activité de l'entreprise.

Définir les limites de l'étude. L'étape commence par la résolution du problème de la détermination des limites du système étudié. A cet effet, sont collectées les informations suivantes : les responsables des ressources physiques et logicielles ; qui sont les utilisateurs et comment ils utilisent ou utiliseront le système ; configuration du système. Les informations primaires sont collectées lors de conversations avec des chefs de projet, des gestionnaires d'utilisateurs ou d'autres employés.

Identification des ressources et construction d'un modèle de système du point de vue de la sécurité de l'information. L'identification des ressources est réalisée : matériels, logiciels et informations contenues dans les limites du système. Chaque ressource doit être affectée à l'une des classes prédéfinies. La classification des ressources physiques est donnée en annexe. Ensuite, un modèle du système d'information est construit du point de vue de la sécurité de l'information. Pour chaque processus d'information ayant une signification indépendante du point de vue de l'utilisateur et appelé service utilisateur (EndUserService), une arborescence de connexions des ressources utilisées est construite. Dans l'exemple considéré, il y aura un seul service similaire (Fig. 5). Le modèle construit nous permet d'identifier les éléments critiques.

La valeur des ressources. La technique permet de déterminer la valeur des ressources. Cette étape est obligatoire dans une analyse complète des risques. La valeur des ressources physiques dans cette méthode déterminé par le coût de leur restauration en cas de destruction. La valeur des données et des logiciels est déterminée dans les situations suivantes : indisponibilité des ressources pendant une certaine période de temps ; destruction des ressources - perte des informations obtenues depuis la dernière sauvegarde ou leur destruction complète ; violation de la confidentialité en cas d'accès non autorisé par des membres du personnel ou des personnes non autorisées ; la modification est prise en compte en cas d'erreurs mineures du personnel (erreurs de saisie), d'erreurs logicielles, d'erreurs intentionnelles ; erreurs liées au transfert d'informations : refus de livraison, non-livraison d'informations, livraison à une mauvaise adresse. Pour évaluer les dommages possibles, il est proposé d’utiliser les critères suivants : atteinte à la réputation de l’organisation ; violation de la législation en vigueur ; dommages à la santé du personnel ; les dommages liés à la divulgation de données personnelles d'individus ; les pertes financières résultant de la divulgation d'informations ; les pertes financières associées à la récupération des ressources ; les pertes associées à l'incapacité de remplir ses obligations ; désorganisation des activités.

L'ensemble de critères donné est utilisé dans la version commerciale de la méthode (profil standard). D'autres versions auront un mélange différent, comme la version gouvernementale ajoutant des dimensions pour refléter des domaines tels que la sécurité nationale et les affaires internationales.

Pour les données et les logiciels, des critères applicables à un SI donné sont retenus, et les dommages sont évalués sur une échelle de valeurs de 1 à 10.

Par exemple, si les données contiennent des détails sur des informations commercialement confidentielles (critiques), l'expert menant la recherche se pose la question : comment un accès non autorisé à ces informations par des personnes non autorisées pourrait-il affecter l'organisation ?

Une réponse possible est la suivante : en cas d'échec de plusieurs des paramètres énumérés ci-dessus, chaque aspect doit être examiné plus en détail et attribué la note la plus élevée possible.

Ensuite, des échelles sont développées pour le système de paramètres sélectionné. Ils pourraient ressembler à ceci.

Dommages à la réputation de l'organisation : 2 - réaction négative de responsables individuels, de personnalités publiques ; 4 - des critiques dans les médias qui ne trouvent pas une large réponse auprès du public ; 6 - réaction négative de certains députés de la Douma, Conseil de la Fédération ; 8 - les critiques dans les médias, qui ont des conséquences sous forme de scandales majeurs, d'auditions parlementaires, d'inspections à grande échelle, etc. ; 10 - réaction négative au niveau du Président et du Gouvernement.

Dommages à la santé du personnel : 2 - dommages minimes (les conséquences ne sont pas associées à une hospitalisation ou à un traitement de longue durée) ; 4 - dommages d'importance moyenne (un traitement est nécessaire pour un ou plusieurs salariés, mais il n'y a pas de conséquences négatives à long terme) ; 6 - conséquences graves (hospitalisation de longue durée, invalidité d'un ou plusieurs salariés) ; 10 - perte de vie.

Pertes financières associées à la récupération des ressources : 2 - moins de 1 000 $ ; 6 - de 1 000 $ à 10 000 $ ; 8 - de 10 000 $ à 100 000 $ ; 10 – plus de 100 000 $.

Désorganisation des activités en raison de l'indisponibilité des données : 2 - manque d'accès à l'information jusqu'à 15 minutes ; 4 - manque d'accès à l'information jusqu'à 1 heure ; 6 - manque d'accès à l'information jusqu'à 3 heures ; 8 - manque d'accès à l'information pendant 12 heures ; 10 - manque d'accès à l'information pendant plus d'une journée.

A ce stade, plusieurs types de rapports peuvent être préparés (limites du système, modèle, détermination de la valeur de la ressource). Si les valeurs des ressources sont faibles, l'option de protection de base peut être utilisée. Dans ce cas, le chercheur peut passer directement de cette étape à l’étape d’analyse des risques. Toutefois, pour répondre de manière adéquate à l’impact potentiel de toute menace, vulnérabilité ou combinaison de menaces et de vulnérabilités de niveau élevé, une version abrégée de la phase d’évaluation des menaces et des vulnérabilités doit être utilisée. Cela nous permet de développer un système plus efficace pour protéger les informations de l'entreprise.

Au stade de l'évaluation des menaces et des vulnérabilités, les dépendances des services utilisateurs sur certains groupes de ressources et le niveau existant de menaces et de vulnérabilités sont évalués.

Ensuite, les actifs de l'entreprise sont regroupés en termes de menaces et de vulnérabilités. Par exemple, en cas de menace d'incendie ou de vol, il est raisonnable de considérer toutes les ressources situées au même endroit (salle des serveurs, salle de communication, etc.) comme un groupe de ressources.

Parallèlement, l'évaluation des niveaux de menaces et de vulnérabilités peut être réalisée sur la base de facteurs indirects ou sur la base d'expertises directes. Dans le premier cas, le logiciel CRAMM génère pour chaque groupe de ressources et chacune d'entre elles une liste de questions auxquelles il est possible de répondre sans ambiguïté ( riz. 8. -Évaluation du niveau de menace pour la sécurité sur la base de facteurs indirects).

Le niveau de menaces est évalué, en fonction des réponses, comme : très élevé ; haut; moyenne; court; très lent.

Le niveau de vulnérabilité est évalué, en fonction des réponses, comme : élevé ; moyenne; court; absent.

Il est possible de corriger les résultats ou d'utiliser d'autres méthodes d'évaluation. Sur la base de ces informations, les niveaux de risque sont calculés sur une échelle discrète avec des gradations de 1 à 7 (étape d'analyse des risques). Les niveaux de menaces, de vulnérabilités et de risques qui en résultent sont analysés et convenus avec le client. Ce n'est qu'après cela que vous pourrez passer à l'étape finale de la méthode.

Gestion des risques. Les principales étapes de la phase de gestion des risques sont présentées dans la Fig. 9.

A ce stade, le CRAMM génère plusieurs options de contre-mesures adaptées aux risques identifiés et à leurs niveaux. Les contre-mesures sont divisées en groupes et sous-groupes dans les catégories suivantes : Assurer la sécurité au niveau du réseau. Assurer la sécurité physique. Assurer la sécurité de l’infrastructure de support. Mesures de sécurité au niveau de l'administrateur système.

À l’issue de cette étape, plusieurs types de rapports sont générés.

Ainsi, la méthodologie envisagée pour l'analyse et la gestion des risques est pleinement applicable dans les conditions russes, malgré le fait que les indicateurs de sécurité contre l'accès non autorisé à l'information et les exigences en matière de protection de l'information diffèrent dans la RD russe et les normes étrangères. Il semble particulièrement utile d'utiliser des outils tels que la méthode CRAMM pour réaliser une analyse de risque de systèmes d'information ayant des exigences accrues dans le domaine de la sécurité de l'information. Cela vous permet d’obtenir des évaluations raisonnables des niveaux existants et acceptables de menaces, de vulnérabilités et d’efficacité de la protection.

MéthodeWare

MethodWare a développé sa propre méthodologie d'évaluation et de gestion des risques et a publié un certain nombre d'outils connexes. Ces outils comprennent : Des logiciels d'analyse et de gestion des risques Operational Risk Builder et Risk Advisor. La méthodologie est conforme à la norme australienne/néo-zélandaise de gestion des risques (AS/NZS 4360:1999) et à la norme ISO17799. Logiciel de gestion du cycle de vie des technologies de l'information conformément à CobiT Advisor 3rd Edition (Audit) et CobiT 3rd Edition Management Advisor. Les directives CobiT accordent une importance particulière à l’analyse et à la gestion des risques. Logiciel d'automatisation de la construction de divers questionnaires Questionnaire Builder.

Jetons un coup d'œil rapide aux fonctionnalités de Risk Advisor. Ce logiciel se positionne comme une boîte à outils pour un analyste ou un manager dans le domaine de la sécurité de l'information. Une technique a été mise en œuvre qui permet de définir un modèle d'un système d'information du point de vue de la sécurité de l'information, d'identifier les risques, les menaces et les pertes résultant d'incidents. Les principales étapes des travaux sont : la description du contexte, l'identification des risques, l'évaluation des menaces et des dommages possibles, l'élaboration d'actions de contrôle et l'élaboration d'un plan de rétablissement et d'action en situation d'urgence. Examinons ces étapes plus en détail. Description des risques. La matrice des risques est définie ( riz. 10. - Identification et définition des risques dans Risk Advisor) basé sur un modèle. Les risques sont évalués sur une échelle qualitative et divisés en acceptables et inacceptables ( riz. 11. - Séparation des risques en acceptables et inacceptables dans Risk Advisor). Ensuite, les actions de contrôle (contre-mesures) sont sélectionnées en tenant compte du système de critères préalablement enregistré, de l'efficacité des contre-mesures et de leur coût. Le coût et l’efficacité sont également évalués sur des échelles qualitatives.

Description des menaces. Tout d'abord, une liste de menaces est constituée. Les menaces sont classées d'une certaine manière, puis la relation entre les risques et les menaces est décrite. La description se fait également à un niveau qualitatif et permet d'enregistrer leurs relations.

Description des pertes. Les événements (conséquences) associés à la violation du régime de sécurité de l'information sont décrits. Les pertes sont évaluées selon le système de critères sélectionné.

Analyse des résultats. Suite à la construction du modèle, vous pouvez générer un rapport détaillé (environ 100 sections) et visualiser des descriptions agrégées à l'écran sous forme de graphiques.

La méthodologie envisagée permet d'automatiser divers aspects de la gestion des risques de l'entreprise. Dans ce cas, les évaluations des risques sont données selon des échelles qualitatives. Une analyse détaillée des facteurs de risque n’est pas fournie. La force de la méthodologie considérée réside dans la capacité de décrire diverses relations, la prise en compte adéquate de nombreux facteurs de risque et une intensité de travail significativement inférieure à celle du CRAMM.

Conclusion

Les méthodes et technologies modernes de gestion des risques informationnels permettent d'évaluer le niveau existant de risques informationnels résiduels dans les entreprises nationales. Ceci est particulièrement important dans les cas où des exigences accrues sont imposées au système d'information de l'entreprise dans le domaine de la protection de l'information et de la continuité des activités. Il existe aujourd'hui un certain nombre de techniques d'analyse des risques, notamment l'utilisation des outils CASE, adaptés pour une utilisation dans des conditions domestiques. . Il est important qu’une analyse de haute qualité des risques liés à l’information permette une analyse comparative « efficacité-coût » des différentes options de protection, en sélectionnant des contre-mesures et des contrôles adéquats et en évaluant le niveau des risques résiduels. De plus, les outils d'analyse des risques basés sur des bases de connaissances et des procédures d'inférence modernes permettent de construire des modèles structurels et orientés objet des actifs informationnels d'une entreprise, des modèles de menace et des modèles de risque associés à des informations individuelles et à des transactions commerciales et, par conséquent, d'identifier ces entreprises. actifs informationnels, le risque de violation de la sécurité est critique, c'est-à-dire inacceptable. De tels outils offrent la possibilité de créer divers modèles protection des actifs informationnels de l'entreprise, comparer différentes options pour des ensembles de mesures de protection et de contrôle selon le critère « efficacité et coût », et également contrôler le respect des exigences d'organisation du régime de sécurité de l'information d'une entreprise nationale.