Рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим свое внимание на активы компании.

Активы. Прежде всего необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

♦ информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);

♦ программное обеспечение;

♦ материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);

♦ сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);

♦ сотрудники компании, их квалификация и опыт;

♦ нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании и в какой мере.

Угрозы. Согласно авторитетной классификации NIST, включенной в «Risk Management Guide for Information Technology Systems», категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить следующие основные типы угроз:

♦ природного происхождения (землетрясения, наводнения и т. п.);

♦ исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т. п.);

♦ техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т. п.).

Вышеописанная классификация может быть далее категорирована более подробно. Так, к самостоятельным категориям источников угроз, происходящим от человека, согласно упомянутой классификации NIST, относятся:

♦ хакеры;

♦ криминальные структуры;

♦ террористы;

♦ компании, занимающиеся промышленным шпионажем;

♦ инсайдеры.

Каждый из перечисленных видов угроз, в свою очередь, должен быть детализирован и оценен по шкале значимости (например, низкий, средний, высокий).

Уязвимости. Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».

Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:

♦ критический;

♦ высокий;

♦ средний;

♦ низкий.

Источниками составления такого перечня/списка уязвимостей могут стать:

♦ общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);

♦ список уязвимостей, публикуемых производителями ПО;

♦ результаты тестов на проникновение (проводится администратором безопасности внутри компании);

♦ анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:

♦ уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;

♦ уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы