I. ЕТАПИ НА АНАЛИЗ И ОЦЕНКА НА РИСКА
Анализът и оценката на риска са част от процеса за управлението му и се обосновават на познаване на всички компоненти, имащи отношение към целите.
За целите за управлението на сигурността на мрежите и информационните системи трябва:
Ø да се познават всички обекти и субекти, които участват пряко или косвено хв дейностите, попадащи в обхвата на тази наредба (информационни и комуникационни системи с прилежащия им хардуер и документация, поддържащите ги системи (електрозахранващи, климатизиращи и др.), оперативни процеси/дейности, служители и външни организации), наричани за краткост „информационни активи“;
Ø да се идентифицират и анализират всички потенциални нежелани събития с тях, наричани за краткост „заплахи“, които биха довели до загуба на конфиденциалност, интегритет и достъпност на електронните услуги и/или информация в тях;
Ø да се оцени вероятността от настъпващите на тези събития, като се вземат предвид слабостите (уязвимости) на информационните активи и мерки, които са предприети за справяне с тях;
Ø да се оцени въздействието (загуби на ресурси (време, хора и пари), неспазване на нормативни и регулаторни изисквания, накърняване на имидж, неизпълнение на стратегически и оперативни цели и др.) от евентуално настъпване на тези нежелани събития въпреки предприетите мерки;
Ø да се оцени риска да сигурността;
Ø да се набележат мерки да смекчаване на рисковете с висок приоритет.
При анализ и оценка на риска се използва регистър на рисковете (риск-регистър).
1. Идентифициране на информационните активи
В риск-регистъра се нанасят всички информационни активи, имащи отношение към обхвата на тази наредба:
Ø информационни системи;
Ø хардуерни устройства, с които са реализирани информационните системи;
Ø софтуери, с които са реализирани информационните системи;
Ø база данни, включително лични данни по смисъла на GDPR;
Ø записи за събитията (логове, журнали) на информационните системи;
Ø документация на информационните системи (експлоатационна и потребителска);
Ø комуникационни системи;
Ø хардуерни устройства, с които са реализирани комуникационните системи;
Ø фърмуерът на тези устройства;
Ø софтуери на комуникационните системи;
Ø записи за събития (логове, журнали);
Ø документация (експлоатационна и потребителска);
Ø доддържащи системи (електрозахранващи, климатични);
Ø системи за контрол на физическия достъп и на околната среда;
Ø процеси/дейности, свързани с управлението, експлоатацията и поддръжката на информационните и комуникационните системи;
Ø документация на тези процеси и дейности;
Ø служители, имащи отговорност към управлението, експлоатацията и поддръжката на информационните и комуникационните системи;
Ø външни организации, имащи отношение към управлението, експлоатацията и поддръжката на информационните и комуникационните системи;
Ø друго.
2. Идентифициране на заплахите
За всеки от информационните активи в риск-регистъра се нанасят заплахите/нежеланите събития, които биха довели до нарушаване на конфиденциалността, интегритета и достъпността на информацията.
Трябва да се разгледат всички потенциални заплахи, произтичащи вътре или извън администрацията, настъпили случайно или преднамерено, като се има предвид уязвимостта на информационния актив към съответната заплаха.
Примерните заплахи са посочени в края на това приложение.
В риск-регистъра за всяка заплаха се вписват какви мерки са предприети срещу нея.
3. Оценка на въздействието
В риск-регистъра за всяка заплаха се вписва оценката за нейното въздействие – щетите (материални и нематериални), които дадена заплаха може да причини, ако се реализира.
За оценка на въздействието се използва петстепенна скала от 1 до 5, като при 1 щетите са незначителни, а при 5 са най-големи.
№ |
Информационен актив |
Заплахи/нежелани събития |
Приложени мерки за защита |
Оценка на въздействието (от 1 до 5) |
Оценка на вероятността (от 1 до 5) |
Оценка на риска |
Приоритет на риска (от 1 до 3) |
Планирани мерки за смекчаване на риска (за приоритети т. 2 и т. 3) |
Необходими ресурси |
Отговорник за прилагане на планираните мерки |
Срок за прилагане на планираните мерки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. Оценка на вероятността
Определя се вероятността за възникване на дадена заплаха, като се вземат предвид предприетите вече мерки. Колкото повече са предприетите защитни мерки, толкова по-ниска е вероятността от възникване на заплахите. При оценка на вероятността се вземат предвид следните фактори:
Ø За реализиране на предприетите заплахи: ниво на необходимите умения, леснота на достъпа, стимул и необходим ресурс;
Ø За реализиране на случайни заплахи: година на производство на хардуера и софтуера, ниво на поддръжката им, квалификация на поддържащия персонал, ресорно обезпечаване на експлоатационните процеси, контрол върху тях и др.
В риск-регистър за всяка заплаха се нанася оценката за нейното въздействие. За оценката на въздействието се използва петстепенна скала от 1 до 5 и като се има предвид определен период, например една година:
1 - вероятността от реализирането на заплахата е под 10%;
2 – вероятността от реализиране на плахите е от 10% до 30%;
3 - вероятността от реализиране на плахите е от 30% до 50%;
4 - вероятността от реализиране на плахите е от 50% до 70%;
5 - вероятността от реализиране на плахите е над 70%;
5. Оценка на риска
За получаване на оценка на риска се използва следната формула:
(Оценка на въздействието х Оценка на вероятност) = Оценка на риска
6. Приоритизация на рисковете.
С цел прилагане на пропорционални за заплахите механизми за защита се прави приоритизация на рисковете на база на тяхната оценка и следните прагове:
Приоритет на риска |
Оценка на риска |
1 |
от 17 до 25 |
2 |
от 8 до 17 |
3 |
от 1 до 8 |
Приема се, че за рискове с приоритет 3 не се изисква предприемане на допълнителни мерки за смекчаване на заплахите, които ги пораждат.
За рисковете с приоритет 2 се прави анализ на възможните мерки, които биха могли да се предприемат за смекчаването им, и се преценява дали разходът на ресурси за прилагането им е пропорционален на щетите от реализиране на заплахата. В случай, че щетите са повече от разходите, се определя отговорно лице и срок за прилагане на тези мерки.
За всички рискове с приоритет 1 се определят отговорни лица, планират се мерки, които биха намалили риска с реализиране на конкретната заплаха, и се определят срокове за прилагането им.
II. ПОСЛЕДВАЩИ ДЕЙСТВИЯ
Отговорните лица за съответните рискове организират прилагането на планираните мерки за защита и наблюдават инцидентите и щетите, свързани с тях. При необходимост инициират нов анализ и оценка на риска за тази заплаха.
Ръководството на администрацията организира периодично, но не по-малко от веднъж в годината, анализ и оценка на риска, както и при всяко изменение в информационната и/или комуникационната инфраструктура, промяна на административната структура и функциите.
III. ВЕРОЯТНИ ЗАПЛАХИ
Ø влошаване на средствата за съхранение;
Ø грешка при техническото обслужване;
Ø електромагнитна радиация;
Ø зловреден програмен код;
Ø злоупотреба с ресурси;
Ø използване на неразрешени програми и данни;
Ø кражба;
Ø маскиране на потребителска идентификация (нелегално проникване);
Ø неоторизиран достъп до средствата за съхранение;
Ø неправилна (погрешна) маршрутизация/пренасочване на съобщения;
Ø отричане (доказуемост);
Ø повреда на комуникационното обслужване и услугите;
Ø подслушване;
Ø пожар, наводнение;
Ø потребителска грешка;
Ø администраторска грешка;
Ø прекъсване/повреда на захранването (електричество и климатизация);
Ø претоварване на трафика;
Ø природни бедствия;
Ø кибератака;
Ø софтуерни проблеми;
Ø техническа повреда (мрежа, системен хардуер).