Процесс оценивания рисков заключается в определении характеристик рисков информсистемы и ее ресурсов. На основании подобных данных выбирются необходимые средства защиты.
При оценке рисков учитывается множество факторов: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность текущих и планируемых к применению средств защиты. Существуют разнообразные подходы к оценке рисков, а выбор конкретного зависит от существующих в организации требований к режиму информбезопасности
Для оценки и сравнения представленных методов управления ИТ-рисков используется стандарт COBIT – пакет открытых документов, описывающих универсальную модель управления информационными технологиями.
В статье представлена таблица, которая отображает возможности рассматриваемых стандартов с точки зрения используемых категорий сравнения (табл. 1).
Жирным и курсивным начертанием в таблице обозначены разделы (группы) категорий. В таблице знак “+” обозначает, что данный пункт соответствует критерию, а знак “-” не соответствует критерию, представленному в стандарте COBIT. Знак “!” обозначает, что соответствие критериев зависит от других факторов.
Таблица 1
Возможности рассматриваемых стандартов с точки зрения используемых категорий сравнения
Методы оценки информационной безопасности не рассматривают механизмов управления рисками остаточного уровня, не осуществляется оценка качества процессов реагирования на события в области информбезопасности. Кроме того, ни один из методов не предлагает подробных рекомендаций относительности периодичности проведения оценок ИТ-рисков. В методах CRAMM и CORAS упущен из виду пересмотр величин рисков после реализации контрмер. При необходимости выполнения разовой оценки уровня IT-рисков в компании любого масштаба, целесообразно применять метод CORAS. Для управления IT-рисками на основе периодических оценок на техническом уровне более предпочтительным является метод CRAMM. Метод OCTAVE целесообразно применять в крупных фирмах, где необходимо внедрение управления IT-рисками на основе регулярных оценок на организационном уровне и при возникновении неободимости разработки обоснованного плана действий по их снижению.
На практике заказчик практически всегда хочет получить вместе с результатами первоначальной оценки IT-рисков еще и рекомендации по их минимизации, а так же простой в применении инструмент для такой оценки. Огромное внимание заказчик направляет на получение ясности относительно результатов оценки IT-рисков и их зависимости в отношении действий по их минимизации. Инструмент оценки IT-рисков должен давать возможность отследить связи между определенными рисками и их причинами. Проанализировав данные, представленные в табл. 1, можно сделать вывод, что таким требованиям больше всего соответствует метод OCTAVE.