Author: Милославская Н.Г. Сенаторов М.Ю. Толстой А.И.
Tags: виды сетей в зависимости от охватываемой территории программирование информационная безопасность
ISBN: 978-5-9912-0362-3
Year: 2014
Text
658.5
М606
Ы УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
КНИГА 2
Н. Г. Милославская
М. Ю. Сенаторов
А. И. Толстой
УПРАВЛЕНИЕ
РИСКАМИ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
2-е издание
ОрпннНшш
ВОПРОСЫ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
КНИГА 2
Н. Г. Милославская,
М. Ю. Сенаторов, А. И. Толстой
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Допущено Учебно-методическим объединением высших учебных заведений России по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению подготовки 090900 - «Информационная безопасность» (уровень - магистр)
2-е издание, исправленное
Москва
Горячая линия - Телеком 2014
Научная библиотека ПНИПУ
IIIIIIIIIIIIIIIIIIIIIIII
2002077916
УДК 004.732.056(075.8)
ББК 32.973.2-018.2я73
М60
Рецензенты: кафедра защиты информации НИНУ МИФИ (зав. кафедрой кандидат техн, наук, профессор А. А. Малюк); академик РАН И. А. Соколов; доктор техн, наук, профессор П. Д. Зегжда; доктор техн, наук, профессор А. Г. Остапенко
Милославская Н. Г., Сенаторов М. Ю., Толстой А. И.
М60 Управление рисками информационной безопасности. Учебное пособие для вузов. - 2-е изд., испр. - М.: Горячая линия-Телеком, 2014. - 130 с.: ил. - Серия «Вопросы управления информационной безопасностью. Выпуск 2»
ISBN 978-5-9912-0362-3.
В учебном пособии вводится понятие риска информационной безопасности (ИБ) и определяются процесс и система управления рисками ИБ. Детально рассмотрены составляющие процесса управления рисками ИБ, а именно: установление контекста управления рисками ИБ с определением базовых критериев принятия решений, области действия и границ управления рисками ИБ; оценка рисков ИБ, состоящая из двух этапов - анализ (с идентификацией активов, угроз ИБ, существующих элементов управления, уязвимостей и последствий) и оценивание (с определением последствий, вероятностей и количественной оценки рисков) рисков ИБ; обработка рисков ИБ, включающая снижение, сохранение, избежание и передачу; принятие риска ИБ; коммуникация рисков ИБ; мониторинг и пересмотр рисков ИБ. Также сравниваются различные подходы к анализу (базовый, неформальный, детальный, комбинированный) и оценке (высокоуровневая и детальная) рисков ИБ. В заключении кратко описываются документальное обеспечение и инструментальные средства управления рисками ИБ.
Для студентов высших учебных заведений, обучающихся по программам магистратуры направления 090900 - «Информационная безопасность», будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам.
ББК 32.973.2-018.2я73
Адрес издательства в Интернет WWW.TECHBOOK.RU
Учебное издание
Милославская Наталья Георгиевна, Сенаторов Михаил Юрьевич, Толстой Александр Иванович
Управление рисками информационной безопасности
? / Учебное пособие для вузов
'/ Обложка художника О. Г. Карповой
; у?: компьютерная верстка Н. В. Дмитриевой $ 7 V
Подписано в-лечать 15.10.2013. Формат 60x90/16. Усл. печ. л. 8,25. Тираж 500 экз. Изд. № 13362
ISBN 978-5-9912-0362-3 © Н. Г. Милославская, М. Ю. Сенаторов,
1785296
А. И. Толстой, 2012, 2014
© Издательство «Горячая линия-Телеком», 2014
ПРЕДИСЛОВИЕ
Учебное пособие «Управление рисками информационной безопасности» является второй частью серии учебных пособий «Вопросы управления информационной безопасностью».
При подготовке данного учебного пособия были поставлены следующие задачи:
1) определить основные понятия, относящиеся к управлению рисками информационной безопасности (ИБ);
2) детально рассмотреть составляющие процесса управления рисками ИБ;
3) описать различные подходы к анализу и оценке рисков ИБ;
4) проанализировать систему управления рисками ИБ (СУРИБ);
5) рассмотреть необходимое документальное обеспечение и применяемые в настоящее время инструментальные средства управления рисками ИБ.
Исходя из поставленных задач, была определена структура учебного пособия «Управление рисками информационной безопасности», которое состоит из введения, 6 глав, трех приложений и списка литературы из 41 наименования.
Во введении обоснована актуальность темы учебного пособия.
Далее кратко анализируется нормативное обеспечение управления рисками ИБ, последовательно вводится понятие риска ИБ и определяются процесс и система управления рисками ИБ.
В основных главах учебного пособия детально рассматриваются составляющие процесса управления рисками ИБ, а именно:
установление контекста управления рисками ИБ с определением базовых критериев принятия решений и определения области действия и границ управления рисками ИБ;
оценка рисков ИБ, состоящая из двух этапов - анализ (с идентификацией активов, угроз ИБ, существующих элементов управления, уязвимостей и последствий) и оценивание (с определением последствий, вероятностей и количественной оценки рисков) рисков ИБ;
обработка рисков ИБ, включающая снижение, сохранение, избежание и передачу;
принятие, коммуникация, мониторинг и пересмотр рисков ИБ.
Также анализируются различные подходы к анализу (базовый, неформальный, детальный, комбинированный) и оценке (высокоуровневая и детальная) рисков ИБ. В завершении основной части учебного пособия кратко описываются документальное обеспечение и инструментальные средства управления рисками ИБ.
В заключении кратко выделяется взаимосвязь изученных понятий, относящихся к управлению рисками ИБ, а также устанавливается связь
4
Управление рисками ИБ
между материалом учебного пособия и составляющими профессиональных компетенций.
В приложениях приводится информация справочного характера в виде описания угроз ИБ и уязвимостей, а также инструментальных средств управления рисками ИБ.
Освоение материалов данного учебного пособия формирует у обучающихся следующие профессиональные компетенции:
способность участвовать в управлении ИБ объекта в части оценки рисков ИБ;
способность участвовать в проектировании и разработке системы управления ИБ объекта в части применения методов оценки рисков ИБ, т. е. СУРИБ.
Эти профессиональные компетенции необходимы для решения задач, относящихся к таким видам профессиональной деятельности в сфере управления ИБ, как проектная и организационно-управленческая.
После изучения учебного пособия «Управление рисками информационной безопасности» обучающиеся будут
Знать:
современные подходы к управлению рисками ИБ и направления их развития;
особенности отдельных процессов управления рисками ИБ в рамках СУИБ;
основные международные и российские стандарты, регламентирующие управление рисками ИБ.
Уметь:
анализировать текущее состояние ИБ на предприятии с целью разработки требований к разрабатываемым процессам управления рисками ИБ;
определять цели и задачи, решаемые разрабатываемыми процессами управления рисками ИБ;
разрабатывать процессы управления рисками ИБ, учитывающие особенности функционирования предприятия и решаемых им задач;
практически решать задачи формализации разрабатываемых процессов управления рисками ИБ;
проектировать СУРИБ.
Владеть:
терминологией в области управления рисками ИБ;
навыками анализа активов организации, их угроз ИБ и уязвимостей в рамках управления рисками ИБ.
Материалы, вошедшие в учебное пособие «Управление рисками информационной безопасности» обеспечивают учебно-методической базой любую учебную дисциплину, относящуюся к управлению ИБ. Однако в полной мере данное учебное пособие может быть востребовано при
Предисловие
5
подготовки профессионалов в области управления ИБ. Поэтому оно может быть рекомендовано студентам высших учебных заведений, обучающимся по программам магистратуры направления 090900 - «Информационная безопасность».
Кроме этого учебное пособие из серии «Вопросы управления информационной безопасностью» может быть полезным при реализации программ дополнительного образования (курсы повышения квалификации или переподготовки кадров).
Важно подчеркнуть, что для приступающих к ознакомлению с данным учебным пособием есть определенные требования по предварительной подготовке. Например, следует знать основы теории ИБ и комплексный подход к обеспечению ИБ (ОИБ), уязвимости и угрозы ИБ в информационной среде. Следует рекомендовать предварительное ознакомление с материалом первой части серии учебных пособий «Основы управления информационной безопасностью».
Авторы признательны коллегам по факультету «Кибернетика и информационная безопасность» НИЯУ МИФИ, а также всем рецензентам.
Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы управления ИБ организации, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебным пособием.
ВВЕДЕНИЕ
Основу методологии управления рисками ИБ составляет системный подход, описанный в первой части серии учебных пособий. Такой подход к управлению рисками ИБ как к непрерывному процессу помогает идентифицировать потребности организации в обеспечении ИБ (ОИБ) и создать эффективную систему управления ИБ (СУИБ). В определении СУИБ отмечается, что это часть общей системы управления, основанная на оценке рисков ИБ [1, 2]. В стандартах ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» (идентичный первой редакции ISO/IEC 27005:2008) также указывается, что риск-ориентированный подход содействует адекватному ОИБ [3, 4]. Деятельность по ОИБ обеспечивает своевременное и эффективное реагирование на риски ИБ там и тогда, где и когда это наиболее необходимо.
Почему такое значение уделяется этому процессу в рамках СУИБ?
Вся информация организации, системы, приложения, сети и оборудование, которое поддерживает их работу - это важные активы организации. Против этих активов могут быть реализованы угрозы ИБ, которые могут привести не только к финансовому ущербу, но и к потере репутации организации, что в современном мире конкуренции может быть даже более существенно. Для того чтобы минимизировать вероятность реализации угрозы ИБ, необходимо применять защитные меры -организационные, технические и другие. Построение эффективной системы обеспечения ИБ (СОИБ) в условиях ограниченности всех видов ресурсов и времени, с учетом ценности активов и их уязвимостей и вероятных угроз ИБ для активов, а, значит, и выбор адекватных защитных мер, необходимых для достижения достаточного уровня ИБ, должны основываться на результатах анализа рисков ИБ. Эти результаты являются отправной точкой для установления и поддержки эффективного управления ИБ и обязательно используются при написании всех политик ИБ (ПолИБ) организации - корпоративной и частных - и выработки требований по ОИБ. Решения о расходах на мероприятия по управлению ИБ также должны приниматься с учетом возможного ущерба, нанесенного в результате нарушения ИБ организации.
Именно современные методики управления рисками ИБ, проектирования и сопровождения СОИБ дают возможность организации сделать следующее [5]:
количественно оценить текущий уровень ИБ, обосновать приемлемые риски ИБ, разработать план мероприятий по поддержанию требуемого уровня ИБ на организационно-управленческом, технологическом и техническом уровнях;
Введение
7
рассчитать и экономически обосновать размер необходимых вложений в СОИБ, соотнести расходы на ОИБ с потенциальным ущербом и вероятностью его возникновения;
выявить и провести первоочередные мероприятия для уменьшения наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц, ответственных за ИБ организации, создать или модифицировать необходимый пакет организационно-распорядительной документации;
разработать и согласовать со службами организации и надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий (ИТ);
организовать поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Все это доказывает необходимость внимательного изучения вопросов управления рисками ИБ. В данном учебном пособии подробно рассмотрены основополагающие аспекты, связанные со сложными процессами управления рисками ИБ как составной части более общего процесса управления ИБ и построением СУРИБ как части СУИБ.
1. НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Для наиболее эффективной разработки процессов управления ИБ необходимо руководствоваться требованиями международных и российских стандартов. Это относится и к процессам управления рисками ИБ.
В настоящее время имеется ряд нормативных документов, содержащих рекомендации по разработке СУРИБ. Наиболее актуальными являются:
Международный стандарт ISO/IEC 27005:2011 «Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ» и ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» содержат общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций и предназначено для «содействия адекватному ОИБ на основе риск-ориентированного подхода» [3, 4].
Британский стандарт BS 7799-3:2006 «Системы менеджмента ИБ. Руководство по управлению рисками ИБ» содержит рекомендации по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ [6].
Необходимо отметить, что эти стандарты являются рекомендательными документами, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.
Поскольку большая часть стандартов в области ИБ является стандартами международного уровня, то их готовили группы международных специалистов, обладающих опытом и компетенцией в различных аспектах ИБ. Все это делает стандарты привлекательными для использования в качестве «лучших практик» по управлению ИБ и, в частности, по управлению рисками ИБ.
Разработка процессов управления рисками ИБ в соответствии с лучшими практиками позволяет самой организации, в которой стандарты будут внедряться, а также ее партнерам убедиться в том, что процессы работают правильно и эффективно. Это особенно важно в том случае, когда организация работает с большими объемами ценной информации или обрабатывает и хранит важную информацию своих клиентов.
В данной главе рассмотрены особенности выше указанных стандартов. В последующих главах рассмотрение основных подходов к управ-
1. Нормативное обеспечение управления рисками ИБ
9
лению рисками ИБ базируется на рекомендациях этих стандартов и других нормативных документов.
1.1. ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 -управление рисками ИБ
Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) [3] содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций - коммерческих, некоммерческих, государственных. ISO/IEC 27005:2011 предназначен для организации адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода. Для правильного применения этого стандарта необходимо знание концепций, моделей, процессов и терминологии, введенных в ISO/IEC 27001 и 27002.
В ISO/IEC 27005:2011 развиты основные идеи, ранее представленные в уже недействующих в настоящее время стандартах ISO/IEC 13335-3:1998 [7] и 13335-4:2000 [8], посвященных управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Вторая редакция стандарта ISO/IEC 27005 гармонизирована с ISO/IEC 27000:2009. Также он опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке: ISO Guide 73:2009 (словарь из более чем 50 терминов в области управления рисками; на основе его более ранней редакции был создан ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» [9]), ISO 16085, AS/NZS 4360 и NIST SP 800-30. Кроме этого были предприняты определенные усилия по его адаптации в соответствии с принятыми в 2009 г. стандартами ISO 31000:2009 (Управление рисками. Принципы и руководящие указания) и ISO 31010:2009 (Управление рисками. Методики оценки рисков).
Считается, что ISO/IEC 27005:2011 был разработан на основе британского стандарта BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) [6], определяющего процессы оценки и управления рисками как составные элементы системы управления организации, при этом используя процессную модель PDCA.
С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» [4], идентичный ISO/IEC 27005:2011 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и
10
Управление рисками ИБ
средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий» [10] и ГОСТ Р ИСО/МЭК ТО 13335— 4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер» [11].
В целом ГОСТ Р ИСО/МЭК 27005-2010 носит описательный характер и не содержит какой-либо конкретной методологии и даже не называет конкретные методы управления рисками ИБ, хотя и устанавливает структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана их обработки. Стандарт позволяет применяющей его организации самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать приемлемые риски и т. д. Организация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий, например, от целей использования СУИБ, области ее действия, содержания процесса управления рисками ИБ и сферы своей деятельности.
ГОСТ Р ИСО/МЭК 27005-010 состоит из следующих основных разделов:
1) обзор процесса управления рисками ИБ как непрерывного процесса;
2) установление контекста управления рисками ИБ;
3) оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков ИБ, включая идентификацию, оценивание значительности и вычисление рисков ИБ);
4) обработка рисков ИБ (общее описание обработки рисков, снижение, сохранение, избежание и передача рисков);
5) принятие рисков ИБ;
6) коммуникация (обмен информацией) рисков ИБ;
7) мониторинг и пересмотр рисков ИБ.
В приложениях к стандарту содержится ряд сведений информативного характера: определение целей и границ процесса управления рисками ИБ, определение и оценка активов и воздействия на них, примеры типичных угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для снижения рисков.
В стандарте риск ИБ определяется как потенциальная возможность того, что установленная угроза воспользуется уязвимостью актива или группы активов и тем самым нанесет ущерб организации. Измеряется риск ИБ как сочетание последствий, вытекающих из возникновения нежелательного события, и вероятности возникновения этих событий. Указывается, что процесс анализа рисков ИБ требует выполнения следующих действий: определения информационных активов, которые подвержены рискам, потенциальных угроз ИБ и их источников, потенциальных уязвимостей и потенциальных последствий при реализации рисков ИБ. Упоминаются как качественные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение. Но отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итератив
I. Нормативное обеспечение управления рисками И Б
11
ным, если полученные результаты будут признаны неудовлетворительными. Также наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены оценка рисков ИБ, обработка рисков ИБ и остаточные риски ИБ.
ГОСТ Р ИСО/МЭК 27005-2010 предназначен для руководителей и сотрудников организации, занимающихся управлением рисками ИБ, и на сотрудников внешних организаций, задействованных в данной деятельности.
1.2. BS 7799-3:2006 - руководство по управлению рисками ИБ
В то время как ISO/IEC 27001:2005 описывает общий непрерывный цикл управления ИБ, в британском стандарте BS 7799-3 содержится его проекция на процессы управления рисками ИБ. BS 7799-3:2006 включает разделы по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ [6].
Стандарт BS 7799-3:2006 придерживается самого общего понятия риска ИБ, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском ИБ сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации. Непрерывный процесс управления делится на четыре фазы: оценка рисков ИБ, включающая анализ и вычисление рисков; обработка риска ИБ (выбор и реализация мер и средств защиты); контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и аудита ИБ системы; оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.
Помимо определения основных факторов риска и подходов к его оценке и обработке, стандарт также описывает взаимосвязи между рисками ИБ и другими рисками организации, содержит требования и рекомендации по выбору методологии и инструментов для оценки рисков, определяет требования, предъявляемые к экспертам по оценке рисков и менеджерам, отвечающим за процессы управления рисками, содержит соображения по выбору законодательных и нормативных требований по ОИБ и многое другое.
BS 7799-3:2006 допускает использование как количественных, так и качественных методов оценки рисков ИБ, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.
Отличительной чертой стандарта является использование принципа осведомленности о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ
12
Управление рисками И Б
предусмотрено информирование всех участников процесса управления ИБ, а также фиксирование событий СУИБ. Стандарт перечисляет обязанности и задает требования к категории лиц, непосредственно участвующих в управлении рисками ИБ, а именно: экспертам по оценке рисков ИБ, менеджерам по безопасности, менеджерам рисков ИБ, владельцам ресурсов; руководству организации.
К основным документам по управлению рисками ИБ в BS 7799-3:2006 отнесены описание методологии оценки рисков ИБ, отчет об оценке рисков ИБ, план обработки рисков ИБ. Кроме того, в непрерывном цикле управления рисками ИБ задействовано множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. п.
Следует отметить, что стандарт BS 7799-3:2006 носит концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, обработки и управления рисками ИБ. С другой стороны стандарт не содержат рекомендаций по выбору какого-либо аппарата оценки риска ИБ, а также по разработке мер, средств и сервисов защиты, используемых для минимизации рисков ИБ.
Вопросы для самоконтроля
I. Почему аспекты, связанные с управлением рисками ИБ, играют такое большое значение в рамках СУИБ?
2. В каких основных международных и национальных стандартах рассматриваются вопросы, посвященные рискам ИБ?
2. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ
2.1. Риск ИБ
При определении риска в обыденной жизни, в широком смысле осуществляется попытка охарактеризовать и предсказать (при невозможности получения достоверного знания из-за недостатка информации, наличия элементов случайности и противодействия со стороны внутренней и внешней среды) ситуацию из будущего, имеющую неопределенность исхода. При этом существует вероятность как благоприятных, так и обязательно неблагоприятных последствий. Поэтому риск - это возможность опасности, неудачи или действие наудачу в надежде на счастливый исход 1. Согласно статье 2 Федерального закона № 184-ФЗ «О техническом регулировании» риск - это вероятность причинения вреда с учетом его тяжести. Современная экономическая наука представляет риск как опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных средств в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами. Измеряется риск частотой, вероятностью возникновения того или иного уровня потерь.
Исходя из приведенного ранее определения ИБ как состояния защищенности информации, оговоримся, что словосочетание «риск состояния...» с нашей точки зрения имеет мало смысла. Поэтому представляется наиболее корректным использовать понятие риск нарушения ИБ как риск нарушения состояния защищенности информации. Но все же для краткости и чтобы не вносить путаницу в общепринятую терминологию, будет называть его традиционным образом - риск ИБ (англ. information security risk).
Согласно ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» риск представляет собой сочетание вероятности события и его последствий (результатов событий, которые могут быть выражены качественно или количественно) [9]. Похожее определение содержится в ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»: риск - это сочетание вероятности нанесения ущерба и тяжести этого ущерба [12].
В стандарте США NIST 800-30 «Risk Management Guide for Information Technology Systems» (Руководство по управлению рисками для ИТ-систем) риск является функций вероятности использования данным источником угроз ИБ отдельной потенциальной уязвимости и результата воздействия этого неблагоприятного события на организацию [13].
Стандарт ГОСТ Р ИСО/МЭК 27005-2010 определяет риск ИБ как потенциальную возможность использования уязвимостей актива или
1 Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. М.: Азъ, 1992.
14
Управление рисками ИБ
группы активов конкретной угрозой ИБ для причинения ущерба организации. Измеряется риск ИБ исходя из комбинации вероятности события и его последствия [4].
Стандарт ISO/IEC 27005:2011 [3] определяет риск ИБ как влияние неопределенности на цели. Влияние - это отклонение от предполагаемого (положительное и/или отрицательное). Цели могут быть различными (финансовые, охраны здоровья и безопасности, экологические) и могут применяться на различных уровнях (стратегические, в масштабах организации, проекта, продукции или процесса). Риск обычно характеризуется возможными событиями и последствиями или их сочетанием. При этом последствия (англ, consequence) рассматриваются как результат события, влияющего на цели. Результатом события может быть одно или более последствий. Последствия могут быть как позитивными, так и негативными. Однако применительно к аспектам ИБ последствия всегда негативные. Они могут быть выражены качественно и количественно. Начальные последствия могут вырасти посредством порожденной ими цепной реакции. Риск обычно выражается в виде сочетания последствий события (включая изменения в обстоятельствах) и связанной с ним возможностью возникновения. Неопределённость - это недостаточность (даже частичная) информации, связанной с пониманием события или знаниями о нем, его последствиями или возможностью возникновения.
В СТО БР ИББС 1.0-2010 риск нарушения ИБ - риск, связанный с угрозой ИБ. Под риском понимается мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. При этом угроза ИБ - это угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации. А ущербом называется утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре организации, наступивший в результате реализации угроз через уязвимости [14].
В публикациях также встречается упоминание информационных рисков, определяемых как риски, которым подвергаются информационные активы организации или которые приводят к убыткам или ущербу в результате применения ИТ.
Простейший пример рисков ИБ можно привести для ОС. Для них специфические риски ИБ подразделяются на две группы:
1) риски, связанные с неправильной конфигурацией системы и чаще всего возникающие вследствие ошибок или недостаточных навыков ее администратора;
2) риски, связанные с ошибками в ПО (особенно характерно при установке в систему нескольких устаревших версий ПО, в которых уже были обнаружены определенные ошибки и о которых публично сооб
2. Основные определения
15
щалось в различных специализированных компьютерных и хакерских изданиях и сайтах).
Как видно из приведенных выше определений, в области ИБ термин «риск» используют только тогда, когда существует возможность негативных последствий, само же понятие риска ИБ является комбинированным, сочетающим в себе ряд других ключевых терминов - активы, уязвимости, угрозы, ущерб. Введем эту терминологию для дальнейшего использования.
Актив (англ, asset) - все, что имеет ценность для организации и находится в ее распоряжении или то, что обладает ценностью или полезностью для организации, ее бизнес-операций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить корректное выполнение бизнес-операций и непрерывность бизнеса [I, 3, 14-17]. К активам организации могут относиться:
ее работники (персонал);
финансовые (денежные) средства;
средства вычислительной техники, телекоммуникационные средства и пр.;
различные виды информации - финансово-аналитическая, служебная, управляющая и пр.;
бизнес-процессы (технологические процессы, информационные процессы и т. п.);
продукты и услуги, предоставляемые организацией своим клиентам и партнерам.
Информационный актив - это информация [14]:
с реквизитами, позволяющими ее идентифицировать;
имеющая ценность для организации;
находящаяся в распоряжении организации;
представленная на любом материальном носителе;
в пригодной для ее обработки, хранения или передачи форме.
Ресурс - актив организации, который используется или потребляется в процессе выполнения некоторой деятельности [14].
Уязвимость (англ, vulnerability) - любая характеристика или свойство ИС, обуславливающее возможность реализации угроз ИБ обрабатываемой в ней информации [18, 19] или слабое место в инфраструктуре организации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ [14].
Угроза ИБ (англ, information security threat) - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения свойств ИБ - конфиденциальности, доступности и/или целостности информации/информационных активов организации [14, 18].
16
Управление рисками ИБ
Для того чтобы угроза ИБ из потенциальной возможности стала реальной атакой необходимо, чтобы ее активировал источник угрозы ИБ -некий субъект, которым может быть физическое лицо, материальный объект или физическое явление.
Нарушитель ИБ (англ, intruder) - субъект (в данном случае физическое лицо), реализующий угрозы ИБ организации, нарушая предоставленные ему полномочия по доступу к активам организации или по распоряжению ими [20].
Наглядная взаимосвязь введенных выше понятий представлена на рис. 2.1. Эта модель основана на адаптации «Общих критериев» [21-24] и проведении анализа рисков ИБ [1, 15, 25].
Рис. 2.1. Взаимосвязь основных понятий ИБ
Зона, где возникает возможность появления риска ИБ, находится на пересечении активов, уязвимостей, угроз ИБ и нарушителей как одного из видов источников угроз (рис. 2.2). Причем из-за наличия в активе одной уязвимости может при стечении соответствующих обстоятельств реализоваться одна, две и более угроз ИБ. Аналогично - одна угроза ИБ может стать атакой, если в активах есть необходимая для этого совокупность уязвимостей. Одна угроза ИБ может затронуть сразу несколько активов. И, наконец, в реализации угрозы может участвовать ни один, а несколько нарушителей, действующих в сговоре.
Итак, в данном учебном пособии риск нарушения ИБ (риск ИБ) -потенциальная возможность использования уязвимостей активов организации угрозами ИБ для причинения ущерба организации, измеряемая с учетом вероятности реализации угроз ИБ и величины ущерба от реализации угроз ИБ.
Таким образом, в представленном определении риск ИБ есть функция как минимум двух переменных: величины потенциального (негативного) воздействия - ущерба для бизнеса организации и вероятности реализации угрозы ИБ. Вторая величина является комплексным показа
2. Основные определения
17
телем и для ее адекватного определения требуется учесть, например, вероятности существования в определенных активах организации уязвимостей (незащищённости), вероятности использования злоумышленниками именно этих уязвимостей, а также вероятности активации соответствующих конкретным угрозам ИБ источников.
НАРУШИТЕЛЬ
ГРОЗЫ ИБ
АКТИВ
уязвимое
риска ИБ
Рис. 2.2. Зона возможного риска ИБ
Любая организация практически всегда подвергается ряду рисков ИБ. Они могут рассматриваться в качестве одной из основных категорий бизнес-рисков или быть отнесены к другим категориям, таким как стратегические и операционные риски [6]. В любом случае риски ИБ всегда должны рассматриваться в контексте бизнеса организации. Чтобы получить целостную и завершенную картину этих рисков, должны быть идентифицированы взаимосвязи с другими бизнес-функциями, такими как кадровые ресурсы, исследование-разработка-производство-эксплуатация основной продукции, администрирование, ИТ, финансы и клиенты. Такой подход учитывает все риски организации и применение концепций и идей в области общего управления ею. Все это, наряду с бизнесом организации, соображениями эффективности, а также законодательной и нормативной базой служит в качестве мотивирующих и усиливающих факторов для успешного процесса управления рисками ИБ [6].
2.2. Управление рисками ИБ
Управление рисками или риск-менеджмент (англ, risk management) -особый вид деятельности (процесс) по принятию и выполнению управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Более кратко это скоординированная деятельность по руководству и управлению организацией в отношении риска [3]. В другой интерпретации управление рисками это бизнес-процессы (или упрощенно совокупность методов) по идентификации, анализу и принятию решений, которые минимизируют отрицательные или максимизируют положительные последствия наступления рисковых
18
Управление рисками И Б
событий (в общем случае нейтрализуют факторы риска) и объединены в систему планирования, мониторинга и корректирующих воздействий.
В классическом управлении рисками принято выделять пять ключевых этапов:
1) выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально-возможного убытка;
2) выбор методов и инструментов управления выявленным риском (это ключевой этап);
3) разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4) реализация риск-стратегии;
5) оценка достигнутых результатов и корректировка риск-стратегии.
В широком смысле управление рисками направлено, с одной стороны, на смягчение нежелательных или неблагоприятных внешних и внутренних факторов на результаты бизнеса, а с другой стороны - на использование благоприятного влияния этих факторов, обеспечивающего организациям дополнительные полезные результаты или иные преимущества по сравнению с конкурентами. Оно включает идентификацию, анализ, оценку, отслеживание и устранение рисков; превентивную разработку программы мероприятий по ликвидации последствий кризисных ситуаций; разработку механизмов выживания; создание системы страхования; прогнозирование развития организации с учетом возможного изменения конъюнктуры и другие мероприятия. Риски желательно выявить как можно раньше и еще до того, как они превратились в проблему (обычно в этом случае принятие мер требует меньших ресурсов). После выявления риска необходимо принять решение об ответных действиях, позволяющих снизить вероятность неблагоприятного события или уменьшить его последствия в случае реализации риска. При этом желательно, чтобы расход ресурсов был минимальным.
В узком смысле управление рисками сводится только к обеспечению безопасности бизнеса на основе учета неблагоприятных факторов и снижения или ликвидации их самих или последствий их влияния [26, 27]. Также это особый вид услуг, оказываемых брокерскими, страховыми и перестраховочными компаниями своим клиентам.
Применительно к области ИБ определения управления рисками ИБ (англ, information security risk management или IS risk management) в разных стандартах достаточно близки по смыслу и хорошо дополняют друг друга:
согласованные виды деятельности по руководству и управлению организацией в отношении рисков ИБ [1,2];
скоординированные непрерывные действия по управлению и контролю рисков ИБ в организации [6];
2. Основные определения
19
скоординированные действия по руководству и управлению организацией в отношении рисков ИБ, обычно включающие в себя оценку, обработку, принятие и коммуникацию риска ИБ [1,9, 15];
процесс выявления, контроля и минимизации или устранения рисков ИБ, оказывающих влияние на ИС, в рамках допустимых затрат [16];
полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы ИТТ [28, 29];
непрерывный процесс, устанавливающий контекст управления рисками ИБ, оценку и обработку рисков ИБ на основе плана обработки рисков для реализации рекомендаций и принятых решений [3].
В данном учебном пособии управление рисками ИБ определим как скоординированную непрерывную деятельность по руководству и управлению организацией в отношении рисков ИБ на основе политики управления рисками ИБ и плана обработки рисков ИБ, обычно включающую в себя установление контекста управления рисками ИБ, оценку, обработку, принятие, мониторинг, пересмотр и коммуникацию рисков ИБ.
На рис. 2.3 приведены основные элементы, входящие в управление рисками ИБ.
Рис. 2.3. Основные элементы управления рисками ИБ применительно к понятиям И Б
Прежде чем приступить к любым действиям, связанным с управлением рисками ИБ, организация должна иметь стратегию проведения такого управления, причем составные части этой стратегии (методы, способы и т. д.) должны быть отражены в ее ПолИБ. Эти методы и критерии выбора вариантов стратегии управления должны отвечать потребностям организации и обеспечивать соответствие выбранного варианта стратегии условиям осуществления бизнес-операций и приложения усилий по ОИБ в тех областях, где это действительно необходимо.
Выделим основные задачи управления рисками ИБ, соответствующие стандартной методике организации работ по управлению рисками ИБ:
1) планирование управления рисками ИБ - отражается в политике управления рисками ИБ и плане обработки рисков ИБ, описывающих
20
Управление рисками ИБ
общий контекст управления рисками ИБ в организации, подходы к управлению ими, основные действия, которые требуется выполнять для реализации политики и плана, методологии и средства, с помощью которых будет производиться оценка рисков ИБ. Также назначаются ответственные лица, которые будут заниматься управлением рисками ИБ и определяется бюджет на эту деятельность;
2) выявление, идентификация и документирование рисков ИБ, включающие определение тех ситуаций или событий, которые могут вызвать отрицательные последствия для бизнеса организации, на основе лучших практик и собственного опыта;
3) детальная оценка рисков ИБ и их приоритетности с целью выявления их потенциального влияния на бизнес, выражаемого величиной ожидаемого ущерба, и вероятности реализации (с учетом вероятности нахождения в системах неустраненных уязвимостей), а также установка критериев приемлемости рисков ИБ на основе принятой методики;
4) планирование ответных действий для каждого риска ИБ (обработка рисков ИБ), определяющее шаги, необходимые для снижения вероятности реализации каждого риска ИБ и его последствий, и соответствующих резервов (финансовых, людских, временных);
5) мониторинг рисков ИБ, по результатам которого возможно изменение приоритетов и планов обработки ранее выявленных рисков ИБ, а также своевременное выявление новых рисков ИБ, которые проявились в настоящий момент;
6) мониторинг всех работ по управлению рисками ИБ в организации с целью внесения необходимых корректив в этот процесс.
Поскольку риски ИБ не во всех организациях рассматриваются как одни из основных, можно условно выделить три подхода к управлению рисками ИБ\
1) для некритичных (вспомогательных для бизнеса) систем организации, когда применяются стандартные требования по ОИБ, определяемые законодательством, стандартами, лучшими практиками, опытом;
2) для критичных систем, когда особое внимание уделяется системам с наибольшими рисками ИБ (для них требуется проведение высокоуровневой оценки рисков ИБ с неформальными качественными подходами);
3) для особо критичных систем, для которых необходима детальная оценка рисков ИБ для всех активов.
2.3. Составляющие процесса управления рисками ИБ
Процесс управления рисками ИБ можно определить как систематическое применение политик, процедур и практик управления рисками ИБ к задачам коммуникации, установления контекста, идентификации, анализа, оценивания, обработки, мониторинга и пересмотра (переоценки) риска ИБ.
2. Основные определения
21
Хорошая иллюстрация всех составляющих процесса управления рисками ИБ - установления контекста управления рисками ИБ, оценки, обработки, принятия, коммуникации и мониторинга и пересмотра (переоценки) рисков ИБ - приведена в ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 (рис. 2.4) [3, 4].
Конец первой или последующих итераций
Рис. 2.4. Составляющие процесс управления рисками И Б
Как видно из рисунка, анализ рисков ИБ складывается из идентификации и количественной оценки рисков ИБ, а оценка рисков ИБ объединяет анализ и оценивание рисков ИБ.
В первую очередь устанавливается контекст управления рисками ИБ. Далее проводится оценка рисков ИБ. Если на выходе получается обоснованная информация для определения действий, требуемых для модификации рисков до приемлемого уровня, тогда задача выполнена, и наступает этап обработки рисков. Если полученной информации недостаточно, тогда проводится следующая итерация оценки рисков при пересмотренном контексте - например, критериях оценки или принятия рисков, критериях оценки последствий, но, возможно, только для части области действия рисков ИБ. На рис. 2.4 это соответствует точке 1 принятия решения по рискам.
Эффективность обработки рисков ИБ существенно зависит от оценки рисков. Возможно, что обработка рисков ИБ не сразу даст результат
22
Управление рисками ИБ
в виде приемлемого уровня остаточного риска ИБ. В этой ситуации, возможно, потребуется следующая итерация оценки рисков ИБ с пересмотренными параметрами контекста - например, критериями оценки или принятия рисков, критериями оценки последствий. После этого опять будет произведена обработка рисков ИБ. На рис. 2.4 это соответствует точке 2 принятия решения по рискам.
Принятие рисков ИБ должно гарантировать, что остаточные риски ИБ точно поняты и приняты руководством организации. Это особенно важно в ситуации, когда осуществление контроля не проводилось или отложено, например, из-за стоимости.
В процессе управления рисками ИБ также важно, чтобы информация о рисках ИБ своевременно доводилась до всех причастных и заинтересованных сторон. Так еще до обработки рисков ИБ информация о выявленных рисках может быть очень ценна при управлении инцидентами ИБ и может помочь уменьшить потенциальный ущерб.
Детальные результаты всех названных действий должны быть обязательно документированы.
Таким образом, процесс управления рисками ИБ включает в себя два основных вида деятельности, которые чередуются циклически (итерационно): (пере)оценку рисков ИБ и выбор эффективных защитных средств для требуемой обработки рисков (в идеале для полного устранения или нейтрализации рисков ИБ). Эта итерационность процесса особенно прослеживается в оценке и обработке рисков ИБ - с каждой итерацией увеличивается глубина и детальность оценки рисков ИБ. Такой подход позволяет добиться хорошего баланса между минимизацией времени и трудозатрат на определение соответствующих средств управления, при этом гарантируя, что наибольшие риски оценены должным образом.
Приведем толкования всех выше упомянутых терминов применительно к области ИБ согласно следующим документам - ISO/IEC 27005:2011 [3], ГОСТ Р ИСО/МЭК 27005-2010 [4], ISO/IEC 27001:2005 [2], ГОСТ Р ИСО/МЭК 27001-2006 [1], ISO/IEC 27002:2005 [16], ГОСТ Р ИСО/МЭК 17799-2005 [15], ГОСТ Р 51897-2002 [9] и СТО БО ИББС-1.0-2010 [14].
Оценка риска ИБ (англ. IS risk assessment)'.
общий процесс идентификации, анализа и оценивания риска ИБ [3];
оценка угроз ИБ, их последствий, уязвимостей информации и средств ее обработки, а также вероятности их возникновения [16];
целостный процесс анализа и оценки значимости риска ИБ [1,2];
целостный процесс анализа и оценивания риска ИБ [1,9, 15];
систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков ИБ, связанных с использованием информационных активов организации на всех стадиях их жизненного цикла [11].
2. Основные определения
23
Анализ рисков ИБ (англ. IS risk analysis) - систематическое использование информации (исторических данных, результатов теоретического анализа, информированного мнения) для определения источников и количественной оценки рисков ИБ. Это процесс понимания происхождения риска и определения уровня риска. Анализ рисков ИБ обеспечивает базу для оценивания рисков ИБ, мероприятий по снижению рисков ИБ и принятия рисков ИБ [1-3, 9, 15].
Идентификация рисков ИБ (англ. IS risk identification) - деятельность [3], процесс [3, 4, 9] по нахождению (выявлению), составлению перечня, исследованию и описанию элементов рисков ИБ (источников или опасности, событий, последствий и вероятностей). Она включает идентификацию источников риска, событий, их причин и возможных последствий. Идентификация риска может включать статистические данные, теоретический анализ, обоснованную точку зрения и заключение специалиста, а также потребности заинтересованной стороны.
Количественная оценка или установление значения рисков ИБ (англ. IS risk estimation) - деятельность [3], или процесс (как деятельность) [4, 9] по присвоению значений вероятности и последствий рисков ИБ. Количественная оценка рисков ИБ может учитывать стоимость, прибыль, интересы причастных сторон и другие переменные, рассматриваемые при оценивании рисков ИБ.
Оценивание риска ИБ (англ. IS risk evaluation) - процесс сравнения количественно оцененного риска с данными критериями риска для определения значимости риска ИБ. Этот же процесс в [1, 2] называется оценка значимости риска ИБ. Или это процесс сравнения результатов анализа риска с установленными критериями риска для определения, является ли риск и/или его величина приемлемыми или допустимыми [3]. Такое определение может быть использовано для содействия решениям по принятию или обработке риска ИБ [4, 9]. Правила, по которым оценивают значимость риска ИБ, называются критериями риска ИБ [3, 4, 9]. Это аспекты, которые основываются на целях организации и внешнем и внутреннем контексте и могут быть установлены на основании стандартов, законов, политик и других требований. Они могут включать в себя соответствующие стоимость и прибыль, требования законодательства и договорных обязательств, социально-экономические и экологические аспекты, озабоченность причастных и заинтересованных сторон, приоритеты и другие затраты на оценку риска ИБ.
Обработка рисков ИБ (англ. IS risk treatment)'.
процесс изменения риска ИБ [3];
процесс выбора и реализации мер по изменению риска ИБ [1,2];
процесс выбора и осуществления защитных мер, снижающих риски
ИБ, или мер по переносу, принятию или уходу от рисков ИБ [14];
24
Управление рисками ИБ
процесс выбора и осуществления мер по модификации (изменению) рисков ИБ. Меры по обработке рисков ИБ могут включать в себя их избежание, оптимизацию, перенос или сохранение [1, 4, 9, 15].
Принятие рисков И Б (англ. IS risk acceptance) - решение принять (взять на себя) риски ИБ, зависящее от критериев рисков ИБ [1, 2, 4, 9].
Коммуникация рисков ИБ (англ. IS risk communication) - обмен информацией о рисках ИБ или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами [3,4, 9].
Снижение/уменьшение риска ИБ (англ. IS risk reduction) - действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском ИБ [3, 4, 9]. Этот термин перекрывается обработкой риска.
Перенос риска ИБ (англ. IS risk transfer) - разделение с другой стороной бремени потерь от риска ИБ. Перенос риска ИБ может быть осуществлен страхованием или другими соглашениями [3, 4, 9]. Этот термин перекрывается обработкой риска.
Избежание риска ИБ/уход от риска ИБ (англ. IS risk avoidance) -решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе результатов оценивания риска ИБ [3, 4, 9].
Оптимизация риска ИБ (англ, risk optimization) - процесс, связанный с риском ИБ, направленный на минимизацию негативных последствий и, соответственно, их вероятности. Оптимизация риска ИБ зависит от критериев риска ИБ с учетом стоимости и законодательных требований [9].
Сохранение/удержание риска ИБ (англ. IS risk retention) - принятие бремени потерь от конкретного риска ИБ. Сохранение риска ИБ не включает в себя обработку риска ИБ в результате страхования или перенос риска ИБ другими средствами [3, 4, 9]. Этот термин перекрывается обработкой риска.
Осознание риска ИБ (англ. IS risk perception) - набор ценностей и озабоченностей, в соответствии с которыми причастная сторона рассматривает конкретный риск ИБ. Осознание риска ИБ зависит от потребностей, результатов и знаний причастных сторон [9].
Контроль риска ИБ (англ. IS risk control) - действия, осуществляемые для выполнения решений в рамках управления рисками ИБ, включая мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям [9].
Финансирование риска ИБ (англ. IS risk financing) - предусмотрение финансовых средств на расходы по обработке риска ИБ и сопутствующие затраты [9].
Остаточный риск ИБ (англ. IS residual risk) - риск ИБ, остающийся после обработки риска ИБ [1, 2, 9, 14].
2. Основные определения
25
Допустимый риск ИБ - риск ИБ, предполагаемый ущерб от которого организация в данное время и в данной ситуации готова принять [14].
Стадии одного из ключевых этапов управления рисками ИБ - оценки рисков ИБ - подробно рассмотрены и в стандарте NIST SP 800-30 [13]. Они должны минимизировать возможные негативные последствия использования ИТ и обеспечить выполнение основных бизнес-целей организации. Для этого процесс оценки рисков ИБ должен сопровождать все стадии жизненного цикла информационной системы (ИС) (рис. 2.5).
1
Цели ИС и основные функции Информационные ресурсы Описание интерфейсов ИС и входящих/исходящих потоков Персонал, его функции
1. Описание системы
Имевшие место инциденты в области И Б (история) Данные по инцидентам в аналогичных системах (отечественный и зарубежный опыт)
12. Идентификация угроз
Документация по предыдущей оценке рисков. Требования в области ИБ Данные по аудиту ИБ данной ИС
j 3. Идентификация । уязвимостей Куинни» itmrrii
Документация, относящаяся к имеющейся L Н- Анализ системы к планируемой системе управления ‘ j управления информационной технологией И информационной системой
Модель нарушителя
Цена потерь (при различных сценариях реализации угроз). Оценка уязвимостей Существующая система управления рисками
5. Оценка параметров угроз
Границы и функции системы Критичные элементы ИС Классификация данных с позиции ИБ
1-----------------------------—
।
j Классы угроз для данной ИС
Р л Список потенциальных k z уязвимостей
| , Описание системы управления
информационной системой (имеющихся и планируемой)
Ранжированные по вероятности класса угроз
Возможные последствия нарушений ИБ j
с позиции основных целей системы ;
Оценка критичности ресурсов !
Критичные данные !
Анализ возможностей реализации угроз j
Диапазон возможных воздействий i
при реализации угрозы 1
Степень адекватности существующих и планируемых средств управения ИБ !
существующим угрозам |
’ 6. Анализ возможных
) последствий нарушения режима ИБ
i 7. Определение рисков
Ранжированные по степени I опасности последствия нарушения режима ИБ
'• Ранжированный
, список рисков
г
мгдтт.тх.-ттиши
• 8. Выработка рекомендаций “• I по управлению рисками |Г
I
; 9. Разработка отчетных документов
Рекомендации по управлению рисками
Отчетные документы
Рис. 2.5. Стадии оценки рисков ИБ для ИС
Сначала осуществляется описание системы: границы, функции, элементы (архитектура, сетевая топология, программное обеспечение (ПО),
26
Управление рисками ИБ
аппаратное обеспечение (АО), интерфейсы, данные и информация, обслуживающий персонал, функциональные требования к ИС, пользователи и т. д.), требования по ОИБ и выделяются классы данных с позиции обеспечения их ИБ. При этом основными технологиями описания являются опросники, интервьюирование, анализ документации и использование специальных программных средств (сканеров). После этого идентифицируются угрозы ИБ (включая их источники, под которыми здесь понимаются намерения и методы, направленные на умышленное использование уязвимости, или ситуации и методы, которые могут случайно создать уязвимость) и уязвимости технического и нетехнического характера (под ними подразумеваются недостатки или слабости в процедурах, разработке, внедрении системы защиты или внутреннем контроле, которые могут быть случайно или намеренно использованы и проявляющиеся как взломы защиты или нарушения ПолИБ системы) ИТ. Далее анализируется имеющаяся и планируемая система управления для ИТ (технического, организационного и процедурного уровней), минимизирующая и устраняющая возможность (вероятность) реализации угроз из-за имеющихся уязвимостей. Потом определяются вероятности реализации и по ним ранжируются угрозы ИБ. Аналогично по степени тяжести ранжируются последствия инцидентов ИБ.
На заключительной стадии определяются риски ИБ, для измерения которых разрабатывается шкала рисков ИБ и матрица уровня рисков ИБ. На этой основе составляется ранжированный список рисков ИБ, вырабатываются рекомендации по управлению выявленными рисками ИБ и составляются отчетные документы.
Согласно NIST SP 800-30 деятельность по снижению рисков ИБ также в свою очередь состоит из нескольких основных стадий (рис. 2.6): составляется список ранжированных действий по снижению рисков ИБ, производится оценка рекомендованных элементов управления рисками ИБ (технических, управленческих и операционных) с точки зрения их осуществимости и эффективности, проводится анализ затрат и прибыли (с учетом реализации или нереализации элементов управления и всех ассоциированных затрат), выбираются реализуемые элементы управления, в отношении них распределяется ответственность, разрабатывается план реализации мер по снижению рисков ИБ и осуществляется непосредственное внедрение выбранных элементов управления рисками ИБ [13].
Таким образом, управленческий персонал организации, занимающийся рисками ИБ, анализирует, что может произойти и каковы возможные последствия, прежде чем решить, что и когда должно быть сделано для снижения рисков ИБ до приемлемого уровня или, в идеале, до их полного устранения. Причем процесс управления рисками ИБ может быть применен как к организации в целом, так и любому ее подразделению (например, департаменту, территориальному учреждению, сервису), любой существующей или планируемой ИС или отдельному аспек
2. Основные определения
27
ту контроля (например, планированию обеспечения непрерывности бизнеса (ОНБ)).
Уровни рисков ИБ из отчета об их оценке Приоритезация действий Список ранжированных действий
Отчет об оценке рисков ИБ Оценивание рекомендованных элементов управления Список возможных элементов управления
I
Проведение анализа затрат и прибыли -► Анализ затрат и прибыли
1
Выбор элементов управления —► Выбранные элементы управления
1
Распределение ответственности Список ответственных лиц
..... +
Разработка плана реализации защитных мер План реализации защитных мер
i
Внедрение выбранных элементов управления Остаточный риск
Рис. 2.6. Стадии снижения рисков ИБ для ИС
Как отмечалось ранее, ISO/IEC 27001:2005 определяет, что средства управления СУИБ, используемые в рамках ее области действия, границ и контекста, должны быть основаны на рисках ИБ. Процесс управления рисками ИБ, реализованный в разных организациях по-разному в зависимости от его конкретного применения, как раз удовлетворяет этому требованию.
В стандартах, посвященных управлению рисками ИБ, в частности в BS 7799-3:2006, особо отмечается, что деятельность по управлению рисками ИБ является непрерывной и затрагивает следующие две фазы: контроль рисков и их оптимизация [6]. Для контроля рисков ИБ рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации рисков ИБ содержит переоценку риска и, соответственно, пересмотр политик, планов по управлению рисками ИБ, корректировку и обновление защитных мер и всех элементов управления рисками ИБ.
2.4. Системный подход к управлению рисками ИБ
Определим систему управления рисками ИБ (СУРИБ) (англ. IS risk 'management system) как набор элементов системы управления организации в отношении средств управления рисками ИБ на всех уровнях, включая стратегическое планирование, принятие решений и другие процессы, затрагивающие риски ИБ [9]. Это часть общей системы
28
Управление рисками ИБ
управления организацией. Внедрение такой системы основано на комплексном подходе к решению проблемы контроля над рисками ИБ, возникающими в ходе деятельности организации.
СУРИБ объединяет в себе три составляющие:
1) совокупность формализованных взаимосвязанных процессов, обеспечивающих все этапы управления рисками ИБ - от анализа и планирования, до проверки и совершенствования;
2) международные, национальные, ведомственные и иные стандарты, технологии, методики управления рисками ИБ, представленные в виде документального обеспечения, обязательно включающего политику управления рисками ИБ, методологию оценки рисков ИБ, план обработки рисков ИБ, декларацию о применимости и т. д.;
3) квалифицированные кадры и организационную структуру управления рисками ИБ, состоящую из нескольких уровней (минимально трех).
Верхний - коллегиальный орган (возможно, система комитетов, например, инвестиционный комитет), на который возложена ответственность за управление рисками ИБ. Этот орган принимает решения по конкретным рискам ИБ и утверждает процедуры, передающие часть полномочий по принятию таких решений на низшие уровни системы.
Средний - специальные подразделения, контролирующие исполнение прочими отделами, управлениями и т. п. установленных процедур, связанных с рисками ИБ.
Низший - подразделения, непосредственно совершающие действия в рамках общей деятельности организации по управлению рисками ИБ, предусмотренные в ее политике управления рисками ИБ и других документах (например, в плане обработки рисков ИБ).
Как видно из основного назначения этой системы, СУРИБ организации предусматривает работу в следующих режимах:
обычный, действующий по умолчанию в обычных условиях ведения бизнеса;
контроля, применяемый к отдельному подразделению, при накоплении сигналов о концентрации рисков ИБ, по особым решениям руководства и т. д.;
чрезвычайный, реализуемый по отношению ко всей организации при сигнале о превышении допустимого уровня концентрации рисков;
отладки - режим испытания СУРИБ, внедрения новых продуктов и процедур, устанавливаемый по решению руководства.
Наличие СУРИБ в организации способствует следующему:
риски ИБ идентифицированы;
риски ИБ оценены с точки зрения их последствий для бизнеса и вероятности их осуществления;
2. Основные определения
29
информация о вероятности и последствиях этих рисков ИБ доведена до сведения и понята всеми причастными и заинтересованными сторонами;
приоритетный порядок обработки рисков ИБ установлен;
приоритетность действия по снижению рисков ИБ выполняется;
заинтересованные стороны участвуют в принятии решений по рискам ИБ и информируются о положении дел в области управления рисками ИБ;
осуществляется мониторинг эффективности обработки рисков ИБ;
риски ИБ и процесс управления рисками ИБ регулярно контролируются и пересматриваются;
собирается информация для усовершенствования подходов к управлению рисками ИБ;
руководящий персонал и сотрудники проходят обучение по рискам ИБ и действиям, которые необходимо предпринимать по их уменьшению.
Как и ко всему процессу управления ИБ, к управлению рисками ИБ, it соответствии со стандартами [3, 4], применим системный подход. Он основывается на том, что все процессы и явления, связанные с рисками И Б, рассматриваются в их системной связи, учитывается влияние отдельных решений и элементов на систему в целом, и выражается в следующем, но не ограничиваются только перечисленным:
управление рисками ИБ в каждой организации должно иметь свою стратегию, тактику и оперативную составляющую;
ОИБ в организации проводиться системно, то есть защита активов от недопустимых (чрезмерных) рисков ИБ осуществляется одновременно всеми предусмотренными защитными мерами на основе установленных планов;
мероприятия по управлению рисками ИБ на различных этапах функционирования организации и создания ею своей основной продукции рассматриваются как некоторая единая система в их взаимной связи для защиты от рисков ИБ деятельности организации в целом;
риски ИБ, связанные с одной операцией или объектом, рассматриваются как единый комплекс факторов, влияющих на эффективность и расход ресурсов всей организации;
соблюдается баланс и предусматривается возможность создания или выделения необходимых для управления рисками ИБ резервных ресурсов на различных иерархических уровнях;
каждая из существующих альтернативных возможностей по использованию ограниченных ресурсов анализируется, определяются наиболее выгодные и используются именно эти наиболее эффективные действия или их комбинации по обработке рисков ИБ;
30
Управление рисками ИБ
найден оптимальный баланс между стремлением к ОИБ и необходимыми для ее обеспечения ресурсами.
В отношении рисков ИБ четыре этапа модели PDCA выглядят следующим образом [6]: «оценка рисков ИБ - обработка рисков ИБ - контроль рисков ИБ (путем мониторинга, тестирования, анализа защитных мер, а также аудита ИБ ИС) - оптимизация рисков ИБ (путем модификации и обновления правил политики и защитных мер для каждого из рисков ИБ)» (рис. 2.7).
Оптимизация рисков ИБ
Оценка рисков ИБ
Контроль рисков ИБ
Мониторинг, контроль, анализ, аудит
Совершенствование защитных мер, переоценка рисков ИБ
Выбор, внедрение мер обработки рисков ИБ и защитных мер
Анализ и оценивание рисков ИБ
Рис. 2.7. Модель PDCA для управления рисками ИБ
Обработка рисков ИБ I
______________________I
Если смотреть на место процесса управления рисками ИБ в рамках циклической модели PDCA для СУИБ и тех действий, которые должны быть выполнены при ее построении и дальнейшем функционировании, то очевидно, что установление контекста управления рисками ИБ, оценка рисков ИБ, разработка плана обработки рисков ИБ и принятие рисков ИБ являются основными частями этапа «Планирование».
Таким же образом действия и средства управления для снижения рисков ИБ до приемлемого уровня осуществляются в соответствии с планом обработки рисков ИБ, что является важным элементом этапа «Реализация».
На этапе «Проверка» руководство может определить потребность в пересмотре оценки (переоценке) и обработки рисков ИБ в свете произошедших инцидентов ИБ и изменившихся обстоятельств ведения бизнеса. Оценка эффективности процесса управления рисками ИБ осуществляется на основании анализа динамики изменения оценки рисков ИБ, целостности и полноты действий по снижению рисков ИБ, а также динамики изменения ключевых индикаторов рисков ИБ.
На этапе «Совершенствование» выполняются любые необходимые действия, включая дополнительное применение процесса управления рисками ИБ. Таким образом, процесс управления рисками ИБ является важным элементом всех этапов жизненного цикла СУИБ в рамках циклической модели PDCA [3, 4] (табл. 2.1).
2. Основные определения
31
Таблица 2.1. Соответствие этапов жизненного цикла СУИБ и процесса управления рисками ИБ
Этапы СУИБ Процесс управления рисками ИБ
Планирование Установление контекста управления рисками ИБ, оценка рисков ИБ, разработка плана обработки рисков ИБ, принятие рисков ИБ
Реализация Реализация плана обработки рисков ИБ
Проверка Непрерывный мониторинг и пересмотр (переоценка) рисков ИБ и всего процесса управления рисками ИБ
Совершенствование Поддержка и улучшение (усовершенствование) процесса управления рисками ИБ
Эффективная СУРИБ нуждается в извлечении информации из всех возможных источников, включая руководство, всех сотрудников и подрядчиков безотносительно к выполняемым ими функциям, а также (где это применимо) от внешних сторон, таких как поставщики и клиенты. I (оэтому участие в процессе совершенствования этой системы должно являться частью должностных обязанностей каждого сотрудника организации. Руководители подразделений должны нести ответственность за поддержку и непосредственное участие в оценке рисков ИБ для информационных активов, владельцами которых они являются, а также за оценку критичности систем и конфиденциальности обрабатываемой информации. Президент, генеральный или исполнительный директор координирует выполнение корпоративной программы управления рисками ИБ, утверждает план обработки рисков ИБ и принимает решение но допустимому уровню остаточного риска ИБ.
Ключевыми ролями в СУРИБ являются роли риск-менеджера и эксперта по оценке рисков ИБ. Поскольку управление рисками ИБ - процесс более высокого уровня по сравнению с текущей деятельностью по ОИБ, оно должно осуществляться руководством организации совместно с риск-менеджером, который и несет ответственность за формирование н поддержание в актуальном состоянии ключевых документов (реестра рисков ИБ и плана их обработки), осуществление общего контроля процессов управления рисками ИБ, включая выполнение правил политики управления рисками ИБ и обеспечение соответствия этих правил требованиям международных и национальных стандартов. Служба ИБ организации, так же как и ИТ, бизнес-подразделения и владельцы активов совместно с экспертом по оценке рисков ИБ активно участвуют в этом процессе, но владельцем самого процесса должен быть риск-менеджер. В данном контексте служба ИБ несет ответственность за разработку, реализацию и поддержание в актуальном состоянии методологии оценки рисков ИБ с учетом специфики бизнеса организации и последних достижений в предметной области. В случае отсутствия в организации должности риск-менеджера его обязанности могут возлагаться на человека, отвечающего за ()ИБ организации в целом (Директора службы ИБ).
32
Управление рисками ИБ
2.5. Установление контекста управления рисками ИБ
Входными данными для первой из составляющих общего процесса управления рисками ИБ является вся информация об организации, которая важна для установления контекста - внешнего и внутреннего -управления рисками ИБ [3,4].
Внешний контекст может включать следующее [3]:
культурную, социальную, политическую, правовую, законодательную, финансовую, технологическую, экономическую, природную и рыночную среды на международном, региональном, национальном или локальном уровнях;
основные факторы и тенденции, влияющие на цели организации;
взаимосвязи с заинтересованными сторонами, их восприятие и ценности.
Внутренний контекст подразумевает следующее [3]:
руководство, организационную структуру, функции и обязательства;
политику, цели и стратегии для их достижения;
возможности, рассматриваемые в отношении ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии);
информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);
взаимосвязи с внутренними заинтересованными сторонами, их восприятие и ценности;
культуру организации;
стандарты, руководящие указания и модели, принятые организацией;
форму и объем контрактных взаимоотношений.
В сам процесс входит определение базовых критериев принятия решений, области действия, границ и соответствующей деятельности организации по процессу управления рисками ИБ. Важно определить цели управления рисками ИБ, поскольку они влияют на весь процесс в целом и контекст в частности. Такими целями могут быть:
поддержка функционирования СУИБ;
соблюдение соответствия законодательным нормам и получение доказательств должного выполнения;
подготовка плана ОНБ;
подготовка плана реагирования на инциденты ИБ;
описание требований по ОИБ к продуктам, сервисам или механизмам реализации элементов процесса установления контекста управления ИБ, необходимым для поддержки функционирования СУИБ. Выходными данными процесса являются базовые критерии принятия решений, область действия, границы и соответствующая деятельность организации по процессу управления рисками ИБ с описанием его структуры.
2. Основные определения
33
2.5.1. Базовые критерии принятия решений по управлению рисками ИБ
В зависимости от области действия и задач управления рисками ИБ, для определения базовых критериев принятия решений по управлению рисками ИБ могут быть применены различные подходы, выбранные из имеющихся и описанных в лучших практиках в области управления рисками ИБ, а также разработанные самой организацией. Причем на каждой итерации подход может быть отличным от предыдущего.
В соответствии с [3, 4] к базовым относятся следующие критерии:
1 ) оценивание рисков ИБ (для сравнения количественно оцененного риска с данными критериями риска для определения значимости риска ИБ);
2 ) оценки последствий (влияния);
3 ) принятия рисков ИБ.
Также организация должна оценить, хватит ли ей ресурсов, чтобы выполнять следующие действия:
оценивать риски и разрабатыватать план обработки рисков ИБ;
определять и внедрять политики и процедуры, включая реализацию выбранных средств управления;
осуществлять мониторинг средств управления рисками ИБ;
• проводить мониторинг процесса управления рисками ИБ.
При определении критериев оценивания рисков ИБ учитывается следующее:
стратегическая роль для бизнеса информационных процессов;
критичность затронутых (вовлеченных) информационных активов;
требования законодательства и регулирующих органов и договорных обязательств;
важность для функционирования организации и значения для бизнеса доступности, конфиденциальности и целостности;
ожидания и реакция причастных сторон и негативные последствия для нематериальных активов и репутации.
Кроме этого критерии оценивания рисков ИБ могут быть использованы для спецификации приоритетов при обработке рисков ИБ.
Критерии оценки последствий определяются в терминах степени ущерба или расходов организации, вызванных событиями ИБ, с учетом следующих факторов:
класс затрагиваемых информационных активов;
нарушения ИБ (например, потеря конфиденциальности, целостности и-ли доступности);
। крушение оперативной деятельности (собственной или третьих сторон);
потеря бизнеса или финансовой ценности;
нарушение планов и конечных сроков;
34
Управление рисками ИБ
ущерб для репутации;
нарушения законодательных, нормативных или договорных требований.
Критерии принятии рисков ИБ определяются в зависимости от политик, целей, задач организации и интересов всех заинтересованных сторон. Организация должна установить свою собственную шкалу уровней принятия рисков ИБ с учетом следующего:
могут рассматриваться несколько порогов с указанием желаемого целевого уровня рисков ИБ, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, выше принятых значений;
критерии могут выражаться как отношение количественно оцененной прибыли (или другой выгоды для бизнеса) к количественно оцененному риску ИБ;
к разным классам рисков могут применяться разные критерии, например, может быть не принят риск несоблюдения требования регуляторов или законодательства, тогда как приняты более высокие риски, определенные в договорных обязательствах;
критерии могут включать требования последующей дополнительной обработки, например, риск ИБ может быть принят, если есть одобрение и обязательства по принятию мер по его снижению до приемлемого уровня в течение определенного периода времени.
Критерии принятии рисков ИБ могут различаться в зависимости от ожидаемых сроков их существования, например, риск ИБ может быть связан с временными или краткосрочными действиями.
Критерии принятия рисков обязательно согласуются с бизнес-крите-риями, законодательством и регуляторами, всеми бизнес-процессами и технологиями, финансами, а также социальными и человеческими факторами.
2.5.2. Область действия и границы управления рисками ИБ
Как отмечено в ГОСТ Р ИСО/МЭК 27005-2010 [3, 4], организация должна установить область действия и границы управления рисками ИБ, что гарантирует охват всех относящихся к рискам ИБ активов при оценке рисков ИБ в рамках определенных границ в условиях ведения бизнеса. При этом учитываются следующие факторы:
стратегические бизнес-задачи, стратегия и политики организации;
бизнес-процессы;
функции и структура организации;
законодательные, регулирующие и договорные требования, применимые к организации;
ПолИБ организации;
общий подход организации к управлению всеми рисками;
2. Основные определения
35
информационные активы;
местоположение и географические особенности организации;
потребности заинтересованных лиц;
социо-культурная среда;
граница - линия раздела (например, для информационного обмена с внешней средой).
При наличии любых исключений из области действия они обосновываются.
Областью действия управления рисками ИБ может быть примененная ИТ, информационная инфраструктура, бизнес-процесс или определенная часть организации.
Граница определяет те части области действия управления рисками ИБ, которые будут рассматриваться.
Должны быть определены, утверждены соответствующими уполномоченными лицами и соблюдаться организация самого процесса управления рисками ИБ как важной части процессов СУИБ и ответственность в рамках этого процесса, включающие:
разработку процесса управления рисками ИБ, подходящего для организации;
определение и анализ заинтересованных сторон;
определение ролей и обязанностей всех сторон - внешних и внутренних;
установление требуемых взаимосвязей между организацией и заинтересованными сторонами и границ раздела функций организации по управлению рисками высшего уровня (например, управление операционными рисками) и других проектов и видов деятельности;
определение путей эскалации (передачи на более высокие руководящие уровни) решений;
спецификацию записей, которые должны быть сохранены.
2.5.3. Учет требований по ОИБ при управлении рисками ИБ
Требования по ОИБ в любой организации, независимо от ее размера, вырабатываются с учетом трех основных факторов и обязательно документируются в СУИБ [6]. Эти источники таковы:
уникальная совокупность угроз ИБ и уязвимостей, реализация которых может привести к значительным потерям для бизнеса;
законодательные и нормативные требования и договорные обязательства, которые должны выполняться организацией, ее партнерами, подрядчиками и поставщиками услуг;
уникальный набор принципов, целей и требований по обработке информации, разработанный организацией для поддержки бизнес-про-цессов и применяемый к ИС организации.
36
Управление рисками ИБ
Примеры требований бизнеса - соблюдение политик и процедур, операционного регламента, требований внутреннего аудита, договорных обязательств. Конкретный пример - требования по шифрованию конфиденциальной информации на ноутбуках и использование специальных карт доступа для удаленного доступа в интранет организации.
Примеры требований законодательства - необходимость классификации активов, представляющих коммерческую тайну («Закон о коммерческой тайне» от 29 июля 2004 г. № 98-ФЗ), использование сертифицированных средств криптографической защиты, лицензионного ПО, наличие ПолИБ организации.
В СУИБ документируются требования по ОИБ, связанные с совокупностью законодательных требований и договорных обязательств, которые должны выполняться организацией, ее партнерами, подрядчиками и поставщиками услуг. Поддержка СУИБ этих требований имеет большое значение, например, для осуществления контроля копирования лицензионного ПО, защиты документов и данных организации. Очень важно, чтобы наличие или отсутствие защитных мер для каждого актива (например, каждой ИС) не нарушало ни одно из правовых, уголовных или гражданских обязательств, а также ни один коммерческий договор.
Кроме этого в СУИБ документируются требования по ОИБ, связанные с принципами, целями и требованиями, применяемыми во всей организации для обработки информации с целью поддержки ее бизнес-процессов. Выполнение СУИБ этих требований необходимо, например, для повышения конкурентоспособности, денежных потоков и/или рентабельности. Наличие или отсутствие защитных мер для каждого актива не должно препятствовать эффективному выполнению бизнес-процессов и операций в рамках этих бизнес-процессов. Поэтому для каждого актива идентифицируются связанные с ним бизнес-цели и бизнес-требования.
Таким образом, в результате идентификации требований по ОИБ для каждого актива организации составляется список требований/до-говорных обязательств и бизнес-требований, которые полезно сформулировать в терминах обеспечения конфиденциальности, целостности и доступности. После этого проводится анализ и оценка всех требований с учетом следующего:
насколько серьезным будет воздействие на бизнес в случае невыполнения данного требования/договорного обязательства;
какие последствия это может иметь для защищаемых активов, для всей СУИБ и/или для всей организации в целом;
какова вероятность того, что это произойдет.
2. Основные определения
37
Вопросы для самоконтроля
1. Что включается в себя понятие риска ИБ?
2. Как можно определить термин «управление рисками ИБ»?
3. Каковы основные задачи управления рисками ИБ?
4. Перечислите и дайте определения всем основным составляющим процесса управления рисками.
5. Дайте определение системы управления рисками ИБ.
6. Что входит в СУРИБ?
7. В каких режимах должна работать СУРИБ?
8. В чем суть применения системного подхода к СУРИБ?
9. Назовите этапы цикла PDCA применительно к СУРИБ.
10. Какой из этапов процесса управления рисками ИБ является наиболее трудоемким и почему?
11. Как определяется контекст управления рисками ИБ?
12. Каковы возможные критерии оценивания рисков ИБ?
13. Как определяются критерии оценки последствий (влияния) рисков ИБ?
14. Каковы возможные критерии принятия рисков ИБ?
15. В чем различие между областью действия и границами управления рисками ИБ?
16. В чем состоит необходимость учета требований по ОИБ при управлении рисками ИБ? Как они учитываются?
3. ОЦЕНКА РИСКОВ ИБ
Оценка рисков ИБ рассматривается в ISO/IEC 27001:2005 как процесс [2]. Входными данными этого процесса являются область действия и границы и установленная организация (структура) процесса управления рисками ИБ [3, 4].
Суть процесса оценки рисков ИБ заключается в их идентификации, количественном или качественном описании и приоритезации согласно критериям и задачам оценивания рисков ИБ, применимым к организации.
Поскольку риски ИБ являются комбинацией последствий, проявляющихся в результате реализации нежелательных событий и вероятности их возникновения, количественная или качественная оценка рисков ИБ описывает эти риски и позволяет руководству установить приоритеты рисков ИБ согласно их ожидаемой значимости (серьезности) или другим установленным критериям.
Согласно ГОСТ Р ИСО/МЭК 27005-2010 [3, 4] деятельность по оценке рисков ИБ включает следующие составляющие:
1) анализ рисков ИБ, в свою очередь подразделяемый на идентификацию и количественную оценку рисков ИБ;
2) оценивание рисков ИБ.
По шагам процесс оценки рисков ИБ выглядит таким образом:
Этап 1 - анализ рисков ИБ.
Подэтап 1 - идентификация рисков ИБ.
Шаг 1 - идентификация активов.
Шаг 2 - идентификация угроз ИБ.
Шаг 3 -идентификация существующих средств управления рисками ИБ.
Шаг 4 - идентификация уязвимостей.
Шаг 5 - идентификация последствий.
Подэтап 2 - количественная оценка рисков ИБ.
Шаг 1 - оценка последствий.
Шаг 2 - оценка вероятностей.
Шаг 3 - определение уровня (величины) рисков ИБ.
Этап 2 - оценивание рисков ИБ.
В процессе оценки рисков ИБ определяются ценность информационных активов, возможные угрозы ИБ, существующие уязвимости, средства управления и их влияние на выявленные риски ИБ и потенциальные последствия, а также устанавливаются окончательные приоритеты рисков ИБ и они ранжируются согласно критериям оценивания рисков в контексте управления рисками ИБ.
Оценка рисков ИБ обычно осуществляется за две или более итераций: первая - высокоуровневая оценка для выявления наивысших рисков, которая служит основой для дальнейшей оценки; вторая - более
3. Оценка рисков ИБ
39
глубокое рассмотрение потенциально высоких рисков, обнаруженных ранее. После этого если собрано недостаточно информации, проводится более детальный анализ рисков ИБ, возможно для отдельных частей области действия и с использованием различных методов.
В стандартах, описывающих вопросы управления рисками ИБ, отмечается, что каждая организация вправе выбирать свой подход к оценке рисков ИБ, исходя из ее целей и задач.
Эксперт, участвующий в оценке рисков ИБ, должен быть профессионалом в области ИТ и ИБ, человеком бизнеса или внешним консультантом организации по ИТ. Он должен обладать следующими характеристиками [6]:
базовое понимание того, как функционирует бизнес, и подверженность этого бизнеса рискам ИБ;
понимание основных концепций риска ИБ, например, каким образом комбинируются оценки угрозы ИБ, уязвимостей и ущерба для получения величины риска ИБ;
понимание ИТ на уровне, достаточном для понимания угроз ИБ и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, ОС, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют;
понимание различных типов защитных мер (например, межсетевой экран (МЭ), система обнаружения вторжений (СОВ), механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также системы регистрации событий и мониторинга), как они работают и любые свойственные им ограничения;
понимание подходящего метода оценки рисков ИБ и практическое владение любыми, связанными с ним, инструментами, ПО или формами;
аналитические способности, то есть способность выделять относящиеся к делу факты;
способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков ИБ в форме, понятной руководству, принимающему решения.
На выходе процесса оценки рисков ИБ получается список оцененных рисков ИБ с их приоритетами, присвоенными в соответствии с критериями оценивания рисков ИБ.
Оценка рисков ИБ может проводиться на уровне организации, в рамках взаимосвязанной совокупности систем, для отдельной системы или приложений, а также для конкретных критических функций внутри
40
Управление рисками И Б
системы [30, 31]. Важно помнить, что оценка рисков ИБ на уровне организации не является простой комбинацией рисков для всех ее критических функций, поскольку совместное проявление нескольких рисков может существенно повысить общий риск ИБ.
Общими методологическими недостатками большинства современных подходов к оценке рисков ИБ являются, во-первых, субъективный выбор экспертами уровней рисков, которые в идеале должны были бы оцениваться на основе математического моделирования и представлять собой основу эффективного управления, и, во-вторых, использование исторических данных (набранной статистики) для получения и объяснения оценок рисков постфактум, без научно-методического прогнозирования в развитии различных сценариев угроз ИБ для разных условий функционирования систем. Как следствие - большие погрешности в предсказания рисков ИБ и поведении систем. Поэтому многие инструментальные средства, автоматизирующие процесс оценки рисков на основе традиционных экспертных подходов, всего лишь проверяют выполнение некоторых условий, признаваемых обязательными. Далее из выполнения этих условий делаются соответствующие выводы: «выполнено» - риск меньше, «не выполнено» - риск возрастает. Поэтому в настоящее время существенно возрастает роль моделирования, в первую очередь математического, как наиболее объективного гаранта всесторонней оценки и прогнозирования рисков ИБ и разрабатываемых систем с учетом возможных последствий от их проявлений. Инновационные модели, предложенные российскими учеными, базируются на использовании методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов [32], сетей Петри-Маркова [33], имитационном моделировании [34] и т. п. Их применение в зависимости от количественных системных характеристик процессов позволяет заказчикам, разработчикам и пользователям систем оперативно вычислять вероятности успеха, риски неудач и связанные с этим потери, в том числе в денежном выражении [32], или количестве успешно реализованных атак [33] (правда, тогда опять потребуется статистика по атакам). Такое моделирование обеспечивает аргументированное решение задач анализа и снижения рисков при управлении проектами, исследования вопросов защищенности систем от потенциальных угроз ИБ, выявления уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и многих других.
В рамках данного учебного пособия все же будем рассматривать традиционные подходы к оценке рисков ИБ, официально признанные российскими и международными стандартами.
3. Оценка рисков ИБ
41
3.1. Этап 1 - анализ рисков ИБ
Анализ рисков ИБ позволяет эффективно управлять ИБ организации. Для этого в самом начале работ по анализу рисков ИБ необходимо определить, какие именно активы организации подлежат защите, какие угрозы ИБ могут воздействовать на эти активы, а также через какие уязвимости активов и с какой вероятностью эти угрозы ИБ могут быть реализованы. На основе полученной информации по результатам анализа рисков ИБ формируется план обработки рисков ИБ, рассчитанный на определенный период времени, за который выявленные риски ИБ должны быть минимизированы за счет использования конкретных защитных мер.
Лучшие практики в области управления рисками ИБ показывают, что анализ рисков ИБ проводится в следующих случаях [5]:
изменения в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);
обновления информационной инфраструктуры организации или существенных изменений в ней;
переход на новые ИТ;
организация новых подключений к сети организации (например, подключения сети филиала к сети головного офиса);
подключение к глобальным сетям (в первую очередь к Интернету);
проверка эффективности ОИБ в организации или ее подразделениях.
Выделим основные этапы процесса анализа рисков ИБ в организации [1, 2, 6, 9]:
идентификация (инвентаризация), категоризация и определение ценности подлежащих защите активов с их подробным документированием, причем особое внимание необходимо уделять критически важным для бизнеса активам и степени зависимости организации от их штатного функционирования, ИБ хранимых и обрабатываемых данных;
идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и уязвимости, законодательные и бизнес-требования; при этом необходимо учитывать, что появляются новые угрозы ИБ и уязвимости по отношению к старым активам, а также сами новые активы и ассоциированные с ними угрозы ИБ и уязвимости;
оценка вероятности проявления угроз ИБ и уязвимостей, важности правовых и бизнес-требований и ожидаемых размеров потерь;
расчет рисков ИБ, возникающих в результате сочетания указанных факторов.
При выполнении оценки рисков ИБ может использоваться широко распространенная методология оценки критичных угроз ИБ, активов и уязвимостей для организаций разного размера и сферы деятельности OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
42
Управление рисками И Б
Evaluation) [www.cert.org/octave], разработанная в университете Карне-ги-Мелон (США). Сущность метода заключается в том, что для оценки рисков ИБ соответствующим образом в три этапа проводятся внутренние семинары (англ, workshops). Оценке рисков ИБ предшествуют подготовительные мероприятия: согласование графика семинаров, назначение ролей, планирование, координация действий участников проектной группы. На первом этапе осуществляется разработка профилей (моделей) угроз ИБ, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз ИБ и оценку их вероятности, а также определение системы организационных мер по ОИБ. На втором этапе производится технический анализ уязвимостей ИС организации в отношении рассматриваемых угроз ИБ с оценкой их величины. На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления ранее идентифицированных угроз ИБ с использованием уязвимостей, определение стратегии ОИБ, а также выбор вариантов и принятие решений по обработке рисков ИБ. Величина риска ИБ рассчитывается как усредненная величина годовых потерь организации в результате реализации угроз ИБ.
В зависимости от используемого метода оценки рисков ИБ, угрозы ИБ и уязвимости могут идентифицироваться и, следовательно, оцениваться вместе или отдельно. Возможно использование обоих вариантов. Решение о выборе конкретного подхода следует принимать при выборе общего подхода к оценке рисков ИБ.
Рассмотрим указанные выше шаги анализа рисков ИБ более подробно.
3.1.1. Подэтап 1 анализа рисков ИБ - идентификация рисков ИБ
Целью идентификации рисков ИБ является определение того, что может случиться и повлечь за собой потенциальные потери, и попытка разобраться, как, где, когда и почему может возникнуть ущерб [35]. На этой стадии проводится выявление рисков ИБ, их идентификация и сравнение новых идентифицированных рисков ИБ с ранее выявленными. Новый риск ИБ может повторять или расширять один из ранее выявленных. В таком случае следует не включать его в список рисков ИБ, а уточнить описание и оценки выявленного раньше риска ИБ.
Для идентификации рисков ИБ обычно используются четыре метода.
Исторический анализ - сравнение ситуации в области ОИБ в организации с аналогичным анализом, выполненным ранее, поскольку часто прошлые проблемы остаются рисками ИБ и в новых условиях ведения бизнеса.
Аналитический метод, который включает моделирование, анализ по схеме «причина-результат», анализ таблиц истинности и т. д.
3. Оценка рисков ИБ
43
Совещания, посвященные выявлению и оценке рисков ИБ.
Индивидуальные интервью, которые проводятся как с руководством, так и с рядовыми сотрудниками и всеми заинтересованными лицами
Каждый выявленный риск ИБ необходимо документировать, описав суть риска ИБ, причины, которые могут его вызвать, и последствия его реализации.
Так, например, влияющие в конечном счете на ИБ риски, с которыми приходится иметь дело в проектах разработки ПО, можно условно разбить на несколько типов [36]:
1) технические риски, связанные с разработкой новых решений или изменением старых, направленных на повышение производительности или достижение принципиально новой функциональности;
2) программные риски, связанные с приобретением или использованием ПО третьих фирм (если это приобретение не находится под должным контролем разработчиков и руководителей проекта);
3) риски на этапе сопровождения системы, в том числе связанные с размещением ПО у заказчика, поддержкой, обучением и т. п.;
4) стоимостные риски, связанные с превышением затрат или проблемами финансирования проекта;
5) риски сроков, связанные с необходимостью ускорить разработку из-за внешних причин;
6) риски неудовлетворенности заказчика.
Далее рассмотрим шаги, которые позволят собрать всю необходимую информацию для количественной оценки рисков ИБ. В зависимости от выбранной в организации методологии эти шаги могут выполняться в различной последовательности [3].
3.1.2. Шаг 1 подэтапа 1 - идентификация активов
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными являются область действия и границы оценки рисков ИБ, список всех попадающих в эту область активов с их владельцами, расположением, функциями, вовлечением в конкретные бизнес-процессы и т. д.
Суть процесса идентификации активов определена в [3, 4, 37] и сводится к выявлению (инвентаризации) всех активов в установленной области действия оценки рисков ИБ. Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других бизнес-целей, таких как техника безопасности и охрана груда, страхование или финансовые причины. Это область действия деятельности, относящейся к так называемому управлению активами 11,15,16].
Основными активами любой организации являются [3, 4]: бизнес-нроцессы (подпроцессы) и бизнес-деятельность; информация.
44
Управление рисками ИБ
К вспомогательным активам относятся аппаратные средства, носители данных, ПО, бизнес-приложения, сети, персонал [3, 4].
Обобщая многочисленные источники информации по активам [1,3, 4, 6, 13-16], определим, что к активам организации можно отнести следующее:
физические объекты: оборудование (в том числе контроля доступа, периферийные устройства, клиентские компьютеры, серверы) и аппаратура связи (в том числе маршрутизаторы, коммутаторы, концентраторы, автоответчики, факсы), носители информации (бумага, магнитные ленты, компакт-диски и т. п.), другое техническое оборудование (источники питания, кондиционеры), мебель, помещения, используемые для поддержки обработки информации;
программные ресурсы: прикладное ПО, системное ПО, приложения операционной системы (ОС), сами ОС, процессы, порождаемые ОС, средства разработки, сервис DNS-имен, служба поддержки точного времени, почтовые клиенты, веб-браузеры, удаленные терминалы и т. д.;
различные виды информационных ресурсов - информация служебная, финансово-аналитическая, управляющая и пр. в бумажной, электронной и если необходимо и устной формах - в виде БД и файлов, архивированной информации, системной документации, аналитической информации внутреннего пользования, планов ОНБ, процедур эксплуатации и поддержки, контрактов, документов с важными биз-нес-результатами, информация о бизнес-контактах, деловая переписка, руководства пользователей, учебные материалы и т. д.;
процессы, включая технологические (служебно-информационные, тестовые сообщения, результаты работы приложений и т. п.) и биз-нес-процессы (бизнес-планы, финансовые сметы, прогнозы, аналитическая информация, системная документация, руководства пользователя, обучающий материал, эксплуатационные или поддерживающие процедуры, планы ОНБ, меры по нейтрализации рисков ИБ и т. д.);
продукты и услуги, предоставляемые клиентам организации: вычислительные и коммуникационные сервисы, другие технические службы (отопление, освещение, электропитание, кондиционирование), как внутренние (например, предоставляемые бизнес-подразделениям подразделениями, ответственными за поддержание ИТ в рамках организации), так и внешние - предоставляемые внешними поставщиками услуг (например, Интернет, поддержка производителей ПО и оборудования);
финансовые (денежные) средства;
людские ресурсы, их квалификация, способности и опыт: персонал, клиенты, подписчики и любые другие люди, находящиеся в области
3. Оценка рисков ИБ
45
действия СУИБ, которые участвуют в процессах хранения или обработки информации;
нематериальные активы - имидж и репутация организации.
Для каждого актива или группы активов обязательно определяется их владелец, что обеспечивает ответственность за активы и их учет-ность. Владелец актива не обязательно имеет права собственности на актив, но он ответственен за его производство, разработку, сопровождение, использование и защиту. Он чаще всего является тем лицом, которое может определить ценность актива для организации. Владелец актива должен нести ответственность за определение его классификации с точки зрения ИБ и прав доступа к нему, согласование и документирование этих решений, а также поддержание соответствующих средств управления. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, может быть полезным определение, документирование и внедрение правил допустимого использования активов, описывающих разрешенные и запрещенные действия при повседневном использовании актива. Лица, использующие активы, должны быть осведомлены об этих правилах, поскольку корректное использование активов входит в их обязанности. Ответственность за реализацию средств управления ИБ актива может быть делегирована, в то время как учет активов должен оставаться обязанностью назначенного владельца актива.
Идентификация активов выполняется с соответствующей степенью легализации, необходимой для получения информации для правильной оценки рисков ИБ. Степень детализации влияет на общий объем информации, собранной во время оценки рисков ИБ. Степень детализации может быть 11сресмотрена при последующих итерациях оценки рисков ИБ.
Границами рассмотрения актива является его периметр, определенный для управления активами в рамках всего процесса управления рисками ИБ. Надлежащее управление активами и их учет имеют важнейшее значение для поддержания ИБ активов организации. Необходимо чтобы эти действия выполнялись и поддерживались на разных уровнях управления организацией.
Идентификация активов может осуществляться посредством, например, интервьюирования или анкетирования их владельцев. Тогда для каждого из активов составляются анкеты, включающие сведения, характеризующие данный актив. Например, если говорить об оборудовании, то желательно фиксировать в анкетах его месторасположение, так как от этого в значительной степени могут варьироваться угрозы ИБ, которые могут быть реализованы против актива, а также может изменяться вероятность реализации угроз ИБ.
При идентификации важно учесть все основные активы. Для уверенности в том, что нет пропущенных или забытых активов, необходимо иметь четко очерченные границы области действия СУИБ. Часто полез
46
Управление рисками ИБ
но сгруппировать активы по типам, например, информация, ПО, физические активы и услуги. Группа однотипных активов может рассматриваться при последующей оценке рисков ИБ в качестве единого актива. Каждый актив в границах области действия СУИБ явным образом идентифицируется и соответствующим образом оценивается, а его владелец и категория согласуются и документируются.
Также обязательно выявляются виды зависимостей одних активов от других, поскольку их наличие может оказать влияние на оценку активов [7, 10]. Например, конфиденциальность данных должна быть обеспечена на протяжении всего процесса их обработки, то есть необходимость ОИБ программ обработки данных следует напрямую соотнести с уровнем ценности и конфиденциальности обрабатываемых данных. Кроме того, если важна целостность вырабатываемых программой данных, то входные данные для этой программы должны иметь соответствующую степень надежности. Целостность информации также будет определяться качеством аппаратных средств и ПО, используемых для ее хранения и обработки. Функционирование аппаратных средств будет зависеть от качества энергоснабжения и, возможно, от работы систем кондиционирования воздуха. Таким образом, данные о зависимостях, существующих между отдельными активами, будут способствовать идентификации некоторых видов угроз ИБ и определению конкретных уязвимостей, а использование данных о зависимостях даст уверенность в том, что активы оценены в соответствии с их реальной ценностью (с учетом существующих взаимозависимостей) и уровень ИБ для них выбран обоснованно.
Уровни ценности активов, от которых зависят другие активы, могут быть изменены в следующих случаях:
если уровни ценности зависимых активов (например, данных) ниже или равны уровню ценности рассматриваемого актива (например, ПО), то этот уровень останется прежним;
если уровни ценности зависимых активов (например, данных) выше, то уровень ценности рассматриваемого актива (например, ПО) необходимо повысить с учетом:
• уровня соответствующей зависимости,
• уровней ценности других активов.
Организация может иметь в своем распоряжении некоторые многократно используемые активы, например копии ПО, что необходимо учитывать при проведении оценки активов. С одной стороны, копии программ и т. д. в ходе оценки легко упустить из виду, и поэтому следует позаботиться о том, чтобы учесть их все; с другой стороны, их наличие может снизить остроту проблемы доступности информации.
В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 и ISO IEC 27002:2005 после идентификации информация классифицируется с точки зрения ее значимости, требований закона, конфиденциальности
3. Оценка рисков ИБ
47
и критичности для организации [1, 15, 16]. Классификация должна учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями. Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом. Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне.
Результатом процесса идентификации активов являются два обоснованных списка - активов, подверженных рискам ИБ и относящиеся к рассматриваемой области действия СУИБ, с их местонахождением и владельцами и бизнес-процессов, связанных с этими активами.
3.1.3. Шаг 2 подэтапа 1 - идентификация угроз ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] исходными данными для процесса является информация об угрозах ИБ, полученная из отчетов по инцидентам ИБ, от владельцев активов, пользователей и из других источников, включая внешние каталоги угроз ИБ. Основным видом действий на данном шаге является идентификация угроз ИБ и их источников [3,4].
Напомним, что источник угрозы ИБ - это субъект (физическое лицо, материальный объект или физическое явление), активизирующий угрозу ИБ и переводящий ее из разряда потенциальной опасности нарушения свойств ИБ (конфиденциальности, доступности, целостности и т. д.) активов организации в реально происходящее нарушение этих свойств. Источники угроз ИБ можно разделить на три класса [19].
Антропогенные: внешние: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телематических услуг; представители надзорных организаций и аварийных служб; представители силовых структур и внутренние: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации (администраторы); вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация);
Техногенные: внешние: средства связи; сети инженерных коммуникаций (водоснабжение, канализация); транспорт и внутренние: некачественные технические средства обработки информации (СОИ); некачественные программные СОИ; вспомогательные средства (охрана, сигнализация, телефония); другие технические средства, применяемые в учреждении;
Стихийные (чаще всего внешние): пожары; землетрясения; наводнения; ураганы; магнитные бури; радиоактивное излучение; различные
48
Управление рисками И Б
непредвиденные обстоятельства; необъяснимые явления; другие форсмажорные обстоятельства.
Согласно ставшему уже классическим подходу для информации вообще выделяются различные угрозы ИБ, связанные с ее основными свойствами: конфиденциальности - хищение (копирование) информации и средств ее обработки и т. п.; целостности - модификация (искажение) информации, отрицание ее подлинности, навязывание ложной информации и т. п.; доступности - блокирование информации; уничтожение информации и средств ее обработки и т. п.; неотказуемости -отказ пользователя от факта выполнения им транзакции и т. п.; аутентичности - отказ от авторства в отношении электронного документа и т. п.; учетности - отсутствие места на жестком диске для записи всех событий, собранных агентами СОВ и т. п. и функциональности - когда нет соответствия преднамеренному поведению пользователя и результатам работы приложений.
Существуют и другие виды классификаций. Так, угрозы ИБ бывают случайными и намеренными, внешними и внутренними, вызывающими несанкционированные действия, физический ущерб или отказы оборудования. Они могут причинить вред информации, процессам, системам и организации в целом. Некоторые угрозы ИБ могут относиться сразу к нескольким активам и наоборот - для одного актива могут существовать несколько угроз разных классов.
При проведении оценки рисков ИБ все типы угроз ИБ для активов организации и их источники идентифицируются и относятся к определенным классам [3, 4].
Для определения вероятности реализации угрозы ИБ исходные данные можно получить от владельцев активов и пользователей, сотрудников департамента персонала, руководителей объектов, специалистов по ИБ, экспертов по физической защите, правового департамента и других организаций, включая юридических лиц, метеорологических организаций, страховых компаний и национальных органов власти. При рассмотрении угроз ИБ также нужно учитывать все аспекты окружающей среды, включая культурные особенности страны, в которой работает организация.
Важно применять в новых условиях и собственный опыт произошедших ранее инцидентов ИБ и прошлых оценок угроз ИБ, но помня, что в среде ведения бизнеса и в ИС и в ИТ происходят постоянные изменения. Также стоит обратиться к другим каталогам и статистикам угроз ИБ (возможно, специфичным для организации или ее бизнеса), что поможет создать наиболее полный список угроз ИБ, применимых к организации.
Примеры угроз ИБ в соответствии с ISO/IEC 27002:2005, ГОСТ Р ИСО/МЭК 17799-2005 и BS 7799-3:2006 приведены в приложении 1 [1, 3, 4, 6, 15, 16].
3. Оценка рисков ИБ
49
На выходе данного процесса получается список угроз ИБ с их типами и источниками.
3.1.4. Шаг 3 подэтапа 1 - идентификация существующих СРЕДСТВ УПРАВЛЕНИЯ РИСКАМИ ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными третьего шага анализа рисков ИБ являются документация по существующим средствам управления рисками ИБ и планы обработки рисков ИБ, реализующие конкретные действия. В данном контексте под средствами управления рисками ИБ (англ, controls) понимаются существующие процессы, политики, устройства, практики и другие действия, включая защитные меры, которые минимизируют негативные риски или повышают позитивные возможности для обеспечения достаточной уверенности в отношении достижения поставленных целей в области ОИБ [38], а также любая мера или действие, модифицирующие риск ИБ [39].
На основе имеющихся входных данных необходимо идентифицировать существующие и планируемые к использованию средства управления, реализующие ОИБ для каждого из активов [3, 4, 6]. Это поможет избежать ненужной работы или затрат, например, при дублировании функций управления, выборе дополнительных защитных мер, которые хорошо взаимодействуют с уже существующими, а для существующих средств убедиться в корректности их функционирования (обращения к уже имеющимся отчетам по аудитам СУИБ уменьшат время на выполнение данной задачи).
Если средства управления не работают, как это ожидалось, то могут возникнуть уязвимости.
Следует особо рассмотреть ситуации, когда выбранное средство управления (или стратегия) не выполняет свои функции и, следовательно, требуются дополнительные средства для эффективного устранения выявленных рисков ИБ. В ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001-2006 для СУИБ это поддерживается измерением эффективности средств управления [1, 2]. Способом оценить действенность средства является выяснение того, как это средство снижает вероятность реализации угрозы ИБ, усложняет использование уязвимостей или смягчает последствия инцидента ИБ.
Анализ со стороны руководства и аудиторские отчеты дают информацию об эффективности существующих средств управления.
Планируемые к использованию в соответствии с планами обработки рисков ИБ средства управления рассматриваются аналогично уже существующим средствам.
Существующие и планируемые средства управления могут быть идентифицированы как неэффективные, недостаточные или неоправданные. В двух последних случаях эти средства необходимо проверить
50
Управление рисками ИБ
для определения того, стоит ли их удалить, заменить другими более подходящими, или оставить, например, из соображений стоимости.
Кроме того, необходимо провести дополнительную проверку для определения совместимости выбранных новых средств управления с действующими и другими планируемыми к использованию, поскольку планируемые и действующие средства управления не должны входить в противоречие друг с другом.
Для идентификации существующих и запланированных средств управления могут быть полезны следующие действия [3, 4]: просмотр документов, содержащих информацию по средствам управления (например, планов обработки рисков ИБ). Если процессы управления ИБ хорошо документированы, из них будет понятен статус внедрения этих средств;
проверка, проводимая совместно с ответственными за ОИБ (например, сотрудниками подразделений ИБ и ОИБ ИС) и пользователями информационных процессов в ИС, для которых реально реализованы рассматриваемые средства управления;
анализ на месте физических средств управления, сравнение реально реализованного и того, что должно быть, и проверка корректности и эффективности реализации;
рассмотрение результатов внутренних аудитов ИБ.
Выходными данными процесса являются список существующих и запланированных средств управления рисками ИБ и информация о состоянии их внедрения и использования.
3.1.5. Шаг 4 подэтапа 1 - идентификация уязвимостей
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными являются списки известных угроз ИБ, защищаемых активов и существующих средств управления. На этом шаге идентифицируются уязвимости, которые могут быть использованы угрозами ИБ (точнее источниками угроз ИБ) для причинения ущерба активам или всей организации в целом.
Существует несколько разных классификаций уязвимостей [19]: по причинам возникновения, по месту нахождения, по степени критичности последствий от ее использования угрозами ИБ, а также по вероятности реализации.
По причинам возникновения уязвимости подразделяются на три класса [19]:
проектирования, использующие анализ алгоритма ПО и АО;
реализации, использующие анализ исходного текста (его синтаксиса, семантики, конструкций и т. п.) или исполняемого файла (его атрибутов, процесса выполнения - операции с памятью, работа с указателями, вызов функций), внешними воздействиями, когда на вход
3. Оценка рисков ИБ
51
подаются разные граничные и маловероятные значения переменных, а также дизассемблированием и анализом полученного кода);
эксплуатации, включая слабости системной политики, ошибки настройки ПО и АО и пр.
По месту нахождения уязвимости могут быть идентифицированы в следующих областях [3, 4]:
организация в целом;
ее процессы и процедуры (организация работ);
установившаяся практика (порядок) управления и администрирования;
персонал;
физическая среда;
конфигурации ИС;
аппаратное, программное и телекоммуникационное оборудование;
зависимость от внешних сторон.
Уязвимость может присутствовать в активе, а может находиться и в средстве обеспечения его ИБ. Также выделяют уязвимости на уровне сети, отдельного хоста (устройства с уникальным адресом) или приложения.
По степени критичности (уровню риска) уязвимости делятся следующим образом [19] (при этом уровень риска (англ, level of risk) - это величина риска или комбинации рисков, выраженная как сочетание последствий и возможности их возникновения [3, 17]):
высокий уровень риска - уязвимости, позволяющие атакующему получить доступ к хосту с правами суперпользователя, а также уязвимости, делающие возможным обход средств защиты для попадания в интранет организации;
средний уровень риска - уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к отдельному хосту и уязвимости, приводящие к повышенному расходу ресурсов системы (за счет атак «отказ в обслуживании»);
низкий уровень риска - уязвимости, позволяющие осуществлять сбор критической информации о системе (например, неиспользуемые службы, текущее время на компьютере для последующих атак на криптоалгоритмы и т. д.).
Уязвимости можно оценить по вероятности реализации на ее основе угрозы ИБ, например [6]:
высоковероятная или вероятная - данную уязвимость легко использовать, защита отсутствует или очень слаба;
возможная - уязвимость может быть использована, но имеется защита;
маловероятная или невозможная - данную уязвимость использовать трудно, имеется хорошая защита.
52
Управление рисками И Б
Сама по себе уязвимость (просто ее наличие) не причиняет вреда -для этого нужны угроза ИБ и ее источник, которые ею воспользуются. Уязвимость лишь создает потенциальные условия для реализации угрозы ИБ.
Уязвимость, для которой не выявлено соответствующей угрозы ИБ, может и не требовать реализации средств управления, но она все равно должна быть осознана и должен осуществляться мониторинг ее изменений. И наоборот, угроза ИБ, для реализации которой в системе нет уязвимости, не актуальна для этой системы и не влечет за собой риска ИБ.
Следует отметить, что некорректная реализация или использование и неправильное функционирование средств управления и, следовательно, защитных мер (например, при некорректной конфигурации) может также создать уязвимость. Средство управления может быть эффективным или неэффективным в зависимости от среды его функционирования.
Уязвимости могут быть связаны со свойствами актива. Способ и цели использования актива могут отличаться от планируемых при его приобретении или создании. Необходимо учитывать уязвимости различного происхождения, например, внутренние или внешние по отношению к данному активу.
Примеры уязвимостей применительно к различным объектам, требующим ОИБ, приведены в приложении 2 [7, 10].
Выходными данными процесса являются два списка - уязвимости по отношению к активам, угрозам ИБ и средствам управления и уязвимости, не связанные ни с какими обнаруженными угрозами ИБ.
3.1.6. ШАГ 5 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ ПОСЛЕДСТВИЙ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными процесса являются списки активов, бизнес-процессов, угроз ИБ и уязвимостей (при возможности с указанием активов) и их значимость. Должны быть определены прямые и косвенные последствия возможной потери активами конфиденциальности, целостности и доступности, вызванной инцидентами ИБ. Такими последствиями могут быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб для репутации и т. д. Возможные развития (сценарии) инцидентов ИБ описываются как реализации угроз ИБ на основе использования одной или нескольких существующих уязвимостей.
Воздействия инцидента ИБ определяются с учетом критериев оценки последствий, выделенных в процессе установления контекста управления рисками ИБ. Последствия могут затронуть один или несколько активов или часть актива, могут носить временный и постоянный характер (как в случае разрушения актива). Активам при их повреждении или компрометации могут быть сопоставлены как значения финансовых потерь, так и последствия для всего бизнеса организации.
3. Оценка рисков И Б
53
Негативные последствия от воздействия рисков ИБ могут быть двух типов:
мгновенные последствия, например, отказ оборудования;
накапливающиеся последствия, например, отказ оборудования в результате исчерпания его ресурса.
Последствия идентифицируются, например, в следующих терминах:
время исследования возникших проблем и время восстановления; потеря рабочего времени;
упущенные возможности;
охрана труда и безопасность;
финансовые затраты на приобретение навыков по устранению неисправностей и возмещению ущерба;
имидж и репутация и т. д.
Выходные данные процесса представляются в виде списка сценариев инцидентов ИБ с их последствиями для конкретных активов и бизнес-процессов.
3.1.7. Подэтап 2 анализа рисков ИБ - количественная ОЦЕНКА РИСКОВ ИБ
Анализ рисков ИБ может проводиться с разной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и произошедших в организации инцидентов ИБ. Может быть произведена количественная, качественная и комбинированная оценка (в смысле установления значений) рисков ИБ [3, 4, 35]. На практике сначала обычно применяется качественная оценка, показывающая уровень риска и выявляющая наиболее важные риски ИБ. Далее может потребоваться провести более конкретный количественных анализ основных рисков ИБ, который является более сложным и дорогим в реализации. Форма анализа должны соответствовать критериям оценивания рисков ИБ, разработанных в рамках установления контекста управления рисками ИБ.
Для количественной оценки, или установления значения, формализации, рисков ИБ не существует естественной шкалы - их можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия - оценка владельцем актива риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков ИБ, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку оценка должна отражать субъективную точку зрения владельца актива, и следует учитывать различные аспекты - не только технические, но и организационные, психологические и т. д.
54
Управление рисками ИБ
Как было отмечено выше, различают качественный, количественный и полу количественный подходы к установлению значений рисков ИБ.
Качественный подход к количественной оценке рисков ИБ [3, 4] использует словесную шкалу квалификационных атрибутов, описывающих величину потенциальных последствий (например, как «низкую», «среднюю» и «высокую») и вероятность возникновения данных последствий. Преимущество такой оценки - ее понятность всему персоналу, недостаток - субъективный выбор шкалы численных значений. Шкалы могут быть адаптированы или откорректированы согласно обстоятельствам и для различных рисков могут использоваться разные описания.
Качественный подход к количественной оценке рисков ИБ может применяться:
как начальный при идентификации рисков ИБ, которые позже будет проанализированы более детально;
когда этого типа анализа достаточно для принятия решений;
когда имеющихся числовых данных или ресурсов недостаточно для количественной оценки.
Качественный анализ использует по возможности фактическую информацию и данные.
Количественный подход к количественной оценке рисков ИБ [3, 4] использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников. Качество такого анализа зависит от точности и полноты числовых значений и правильности применяемых моделей. Количественный подход к количественной оценке рисков ИБ во многих случаях использует исторические данные (фактические данные за прошедший период) об инцидентах ИБ, что обеспечивает его основное преимущество - непосредственную связь с задачами и потребностями организации в ОИБ. Недостаток - отсутствие таких данных по новым рискам ИБ и уязвимостям, а также возможная недоступность фактических данных или данных аудитов, которая порождает иллюзию правильно проведенной оценки рисков ИБ.
При комбинированном полуколичественном подходе к количественной оценке рисков ИБ [35] для выше описанных качественных шкал задаются значения. Цель - создание шкалы более широких рейтингов, чем при качественном анализе, но это не означает присвоение реалистичных значений риска ИБ, как при количественном анализе. Однако, поскольку присваиваемое каждому описанию значение не может точно соответствовать фактической величине последствий или вероятности, значения должны быть объединены с помощью формулы, учитывающей ограничения типов используемых шкал. Следует соблюдать осторожность при использовании полуколичественного анализа, поскольку выбранные значения не могут правильно отражать относительность и это может привести к несогласованности, аномальным или несоответствующим
3. Оценка рисков ИБ
55
результатам. Полу количественный анализ не может правильно дифференцировать риски ИБ, особенно когда последствия или вероятности являются экстремальными.
Способ представления последствий и вероятностей и их комбинирования для обеспечения допустимого уровня риска ИБ будет варьироваться в зависимости от типа риска и цели, для которой выходные данные оценки рисков ИБ будут использоваться. Важно учитывать неопределенность и изменяемость этих последствий и вероятностей.
3.1.8. Шаг 1 подэтапа 2 - оценка последствий
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными процесса является список идентифицированных возможных сценариев инцидентов ИБ, включая угрозы ИБ, уязвимости, затрагиваемые активы, последствия для активов и бизнес-процессов [3, 4, 6, 8, 35].
В рамках данного процесса оценивается воздействие на организацию возможных или фактических инцидентов ИБ, принимая во внимание последствия нарушения ИБ, например, потери активами конфиденциальности, целостности или доступности. Воздействие может оцениваться в краткосрочном плане и долгосрочной перспективе.
Значение последствий для бизнеса может быть выражено в качественной или количественной форме. Наиболее нагляден и больше дает информации для принятия решений метод, в котором последствиям присваивается денежное выражение.
Оценка последствий может включать в себя:
учет существующих средств управления рисками ИБ для обработки последствий, вместе со всеми соответствующими факторами, которые оказывают влияние на них;
влияние последствий рисков ИБ на первоначальные цели организации;
учет как непосредственных последствий, так и тех, которые могут возникнуть через определенный период времени, если это согласуется с областью оценки;
учет вторичных последствий, таких, которые влияют на соответствующие системы, деятельность, оборудование или организации.
После идентификации всех входящих в область действия активов для оценки последствий должна учитываться ценность активов организации. Это важный этап в общем процессе анализа рисков ИБ и фактор оценки последствий инцидентов ИБ, поскольку инцидент может затрагивать более одного актива или только часть актива. Входные данные для оценки ценности активов должны быть предоставлены владельцами (иногда пользователями) активов - людьми, которые обладают наиболее полными знаниями об активе и способны оценить его важность для организации и ее бизнеса.
56
Управление рисками И Б
Чтобы правильно спланировать защитные меры для активов, необходимо определить их ценность на основе стоимости их восстановления (или замены) и важности для бизнеса и значимости в определенных обстоятельствах. Оценка активов начинается с их инвентаризации и классификации в соответствии со значимостью, которая обычно определятся в терминах потенциальных воздействий на бизнес, которые могут быть оказаны в результате нежелательных инцидентов ИБ, приводящих к финансовым потерям, уменьшению прибыли, доли на рынке или ущербу репутации организации.
Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и организации, ведущей бизнес. Важно учесть все потенциальные затраты, связанные с возможной компрометацией защищаемых активов.
Чтобы единообразно определить ценность активов и надлежащим образом связать эти оценки, необходимо применять шкалу оценок активов. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех-пяти (например, шкалы «низкая-средняя-высокая» или «пренебрежимо малая-низкая-средняя-высокая-очень высокая-критичная») до десяти при условии, что это совместимо с подходом организации к общему процессу оценки рисков ИБ. Так можно определить шкалу для получения оценки актива, например, имеющую три значения:
1) малоценный актив: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;
2) актив средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления - высокая;
3) ценный актив: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.
При другом подходе каждому качественному значению шкалы возможно поставить в соответствие количественные значения (например, интервалы, выраженные в денежных единицах).
Часто для оценки активов используются следующие показатели:
1. Первоначальная стоимость актива (стоимость приобретения).
2. Стоимость поддержания актива в процессе решения бизнес-задач до его компрометации.
3. Стоимость замены/восстановления/воссоздания/обновления актива (восстанавливающая очистка или замена информации, если это вообще возможно).
3. Оценка рисков ИБ
57
4. Последствия для бизнеса от потери или компрометации актива (например, потенциальных неблагоприятных бизнес-последствий и/или правовых или нормативных последствий раскрытия, изменения, недоступности и/или уничтожение информации и других информационных ресурсов). Такая оценка может быть получена на основе анализа бизнес-последствий.
Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки. Например, бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга.
Ценность актива может также носить нематериальный характер, например, цена репутации организации или цена личной безопасности.
Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей.
В любом случае организация должна определить свои собственные границы для шкалы оценок активов: что следует считать «низкой» или «высокой» ценностью, поскольку ущерб, катастрофический для небольшой организации, может быть низким или даже пренебрежимым для очень крупной организации. Правильное и понятное объяснение этих оценок в терминах бизнеса очень важно при интервьюирова-пии/анкетировании владельцев активов, которое должно проводиться с целью получения входных данных для оценки активов.
Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива.
В конечном счете все оценки активов должны проводиться на основе общего подхода с использованием единых критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:
нарушение законов и/или подзаконных актов;
58
Управление рисками ИБ
снижение эффективности бизнеса;
потеря престижа/негативное воздействие на репутацию;
нарушение конфиденциальности личных данных;
необеспеченность личной безопасности;
негативный эффект с точки зрения обеспечения правопорядка;
нарушение конфиденциальности коммерческой информации;
нарушение общественного порядка;
финансовые потери;
нарушение деловых операций;
угроза безопасности окружающей среды.
Другой подход к оценке последствий для бизнеса может учитывать следующее:
прерывание предоставления сервиса;
утрата доверия клиентов и их потеря;
нарушение внутреннего функционирования;
нарушение законов/норм;
нарушение договорных обязательств;
опасность для персонала (пользователей);
финансовые потери;
судебные дела и штрафы;
увольнения;
промышленный кризис (забастовки) и т. д.
Как правило, процессы идентификации активов и оценки их ценности проходят параллельно. Так, при формировании анкет для проведения инвентаризации активов можно включить соответствующие графы, в которых будет указываться ценность того или иного актива.
Обычно величина последствий существенно выше, чем просто стоимость замены, что зависит от ценности актива при решении задач бизнеса организации.
Разные угрозы ИБ и уязвимости приводят к разным последствиям для активов - раскрытию, модификации, недоступности и/или уничтожению и т. д. - в терминах конфиденциальности, целостности и доступности. Но иногда только этих критериев недостаточно, например, при рассмотрении информации, для которой требуется защита права на интеллектуальную собственность. Таким образом, оценка последствий связана с оценкой активов на основе анализа их воздействия на бизнес. Последствия или влияние на бизнес можно определить посредством моделирования результатов события или нескольких событий или экстраполяцией экспериментов или прошлых данных. Последствия могут быть выражены в денежном эквиваленте, с технической точки зрения или с точки зрения человеческого фактора или иным подходящим для организации способом. В некоторых случаях требуется не одно, а несколько числовых значений, определяющих последствия для разного
3. Оценка рисков ИБ
59
времени, места, групп или ситуаций. Последствия с точки зрения времени и финансов могут быть измерены на основе тех же подходов, которые используются для вероятностей и уязвимостей. При количественном и качественном подходах должна сохраняться последовательность.
Оценка влияния на бизнес может быть выражена как качественно, гак и количественно, но любой способ получения некоторого денежного эквивалента предоставит более подробную информацию для принятия решений и, следовательно, будет способствовать принятию самого эффективного решения.
Оценку возможного ущерба может сделать только собственник или владелец актива. Часто бывает удобнее и проще это сделать с использованием качественного описания (табл. 3.1).
Таблица 3.1. Шестибалльная оценка последствий от реализации сценариев инцидентов ИБ
Значение шкалы (балл) Название Качественное описание
0 Нулевой Ущерб отсутствует
1 Очень низкий Может привести к незначительному материальному ущербу
2 Низкий Информация может быть интересна конкурентам, но не имеет коммерческой ценности. Может привести к осуществлению неэффективной деятельности одного подразделения организации и/или невозможности оперативно выполнять распоряжения руководства организации
3 Средний Может привести к нарушению обязательств организации, в том числе к нарушению надлежащих обязательств сохранять конфиденциальность информации, принадлежащей третьей стороне, в результате чего возможно предъявление гражданского или уголовного иска против организации в результате причинения ущерба и/или может привести к потере конкурентного преимущества или содействию несанкционированным целям и преимуществу других лиц или организаций и/или информация имеет ценность для конкурентов ввиду того, что имеет коммерческую ценность и/или может привести к нарушению надлежащего управления организацией или ее деятельностью (например, может быть затронута деятельность ряда подразделений организации) и/или возможно искажение оперативной отчетности
4 Высокий Может привести к частичной остановке или иному нарушению основных операций в организации
5 Очень высокий Может привести к остановке или иному существенному нарушению основных операций в организации
60
Управление рисками ИБ
Выходными данными процесса является список оцененных последствий для применимых сценариев инцидентов ИТ, связанных с активами с учетом критериев оценки последствий. В результате данного этапа в список активов должна быть добавлена оценка для каждого идентифицированного актива по каждому критерию, например, по конфиденциальности, целостности и доступности, а также по любым другими критериям, если они используются.
3.1.9. Шаг 2 подэтапа 2 - оценка вероятностей
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входные данные процесса - список возможных идентифицированных сценариев ИБ, включая идентифицированные угрозы ИБ, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес-процессов, а также списки всех существующих и запланированных элементов управления рисками ИБ, их эффективность, статус внедрения и использования [3, 4, 6, 35].
Должны быть оценены вероятности реализации конкретных сценариев инцидентов ИБ. При этом чаще всего применяются три подхода -исторические данные, предсказание вероятностей (например, с использованием дерева отказов или дерева событий) и экспертные оценки.
Термин «вероятность» имеет несколько различных значений, например «объективная» и «субъективная». Под объективной (математической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа имевших место в прошлом наблюдений, а также наблюдений, полученных из моделей, описывающих некоторые процессы. Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие произойдет в действительности. Эта мера может быть формально представлена вероятностным распределением на множестве событий, не полностью заданным вероятностным распределением, бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.
После идентификации сценариев инцидентов ИБ необходимо оценить вероятность реализации каждого сценария и проявления последствий инцидента ИБ, используя качественные и количественные подходы. При этом учитывается следующее:
насколько часто реализуются угрозы ИБ и насколько просто использовать уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ;
уязвимости, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации;
3. Оценка рисков ИБ
61
угрозы ИБ, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации;
вероятность реализации некоторой комбинации угроз ИБ и уязвимостей;
для умышленных (преднамеренных) источников угроз ИБ - мотивация и возможности, которые меняются со временем, а также ресурсы, доступные потенциальным злоумышленникам, и осознание ими привлекательности и уязвимости активов;
для случайных (непреднамеренных) источников угроз ИБ насколько часто они могут возникать, в соответствии с опытом, статистикой и т. д.; географические факторы (близость к химическим и нефтеперерабатывающим заводам, нахождение в районах, где велика вероятность экстремальных погодных условий, и факторы, которые могут вызвать совершаемые человеком ошибки и сбои в работе оборудования);
существующие средства управления и насколько эффективно они снижают уязвимости.
Например, ИС уязвимы для угроз «маскарада» пользователей и злоупотребления ресурсами. Угроза маскарада может быть высока из-за недостаточной аутентификации пользователей и наоборот - угроза злоупотребления ресурсами может быть мала, несмотря на отсутствие аутентификации пользователей, поскольку способов злоупотребления немного.
В зависимости от требуемой точности, активы могут быть сгруппированы или наоборот один актив может быть разделен на элементы, что, в конечном счете, должно быть соотнесено со сценариями инцидентов ИБ. Кроме этого в рамках одного географического местоположения для одних и тех же типов активов может меняться характер угроз ИБ или эффективность средств управления.
Информация, используемая для оценки угроз ИБ и уязвимостей, может быть получена от тех, кто имеет отношение к рассматриваемой СУИБ и соответствующим бизнес-процессам. Это могут быть, например, сотрудники отдела кадров, специалисты по поддержанию жизнеспособности здания и ИТ-специалисты, а также те, кто отвечает в организации за безопасность.
Иногда удобно использовать качественное описание при определении балльной оценки вероятностей реализации сценариев инцидентов ИБ. Самая полная девятибалльная оценка вероятности реализации сценариев инцидентов ИБ приведена в табл. 3.2 [30, 31].
62
Управление рисками ИБ
Таблица 3.2. Девятибалльная оценка вероятностей реализации сценариев инцидентов ИБ
Значение шкалы (балл) Название Качественное описание. Частота реализации инцидента ИБ в среднем 1 раз
0 Пренебрежимо малая В 1000 лет или реже
1 Крайне маловероятная 200 лет
2 Очень маловероятная 50 лет
3 Маловероятная 20 лет
4 Возможная 5 лет
5 Вероятная Год
6 Очень вероятная Квартал
7 Ожидаемая Месяц
8 Ожидаемая с уверенностью Неделю
Удобнее использовать несколько сокращенную балльную оценку вероятностей реализации сценариев инцидентов ИБ (табл. 3.3) [3, 4].
Таблица 3.3. Пятибалльная оценка вероятностей реализации сценариев инцидентов ИБ
Значение шкалы (балл) Название Качественное описание. Частота реализации инцидента ИБ в среднем 1 раз
0 Очень низкая В 3 года (вероятность реализации 0,2-0,4)
1 Низкая Год (вероятность реализации 0,4-0,6)
2 Средняя 4 месяца (вероятность реализации 0,6-0,8)
3 Высокая Месяц (вероятность реализации более 0,8)
4 Очень высокая Неделю (вероятность реализации более 0,9)
В случае если применение двух предыдущих шкал вызывает затруднения, может использоваться сокращенная трехбалльная шкала (табл. 3.4).
Таблица 3.4. Трехбалльная оценка вероятностей реализации сценариев инцидентов ИБ
Значение шкалы (балл) Название Качественное описание
1 Низкая Маловероятно, что осуществится. Нет статистики, мотивов и т. п., которые указывали на то, что это может произойти
2 Низкая Возможно осуществится. В прошлом происходили инциденты, или существует статистика, или другая информация указывает на то, что такие или подобные инциденты иногда осуществлялись прежде или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий
3 Средняя Скорее всего, осуществится. Существует статистика или другая информация, указывающая на то, что инцидент, скорее всего, осуществится или могут существовать серьезные причины или мотивы для атакующего для осуществления таких действий
3. Оценка рисков ИБ
63
Выходными данными процесса является вероятность реализации сценариев инцидентов ИБ - в количественном или качественном выражении.
3.1.10. Шаг 3 подэтапа 2 - определение уровня (величины) РИСКОВ ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входные данные процесса - список сценариев инцидентов ИБ с их последствиями, связанными с активами и бизнес-процессами и вероятность их реализации - количественная или качественная [3, 4, 40].
Процесс основан на оценке последствий и вероятностей. При количественной оценке рисков ИБ вероятностям и последствиям рисков присваиваются определенные значения - количественные или качественные.
В процессе оценивается величина уровня рисков реализации сценариев инцидентов ИБ, которая определяется путем комбинирования вероятности события и его последствий (цена потери или размер ущерба). Событие заключается в реализации угрозы ИБ, использующей уязвимости актива для воздействия на этот актив и нарушения его ИБ.
Вычисление уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочными вероятностями осуществления связанных с ними угроз ИБ и просторы использования уязвимостей, которые при объединении становятся причиной возможной реализации инцидента ИБ [6].
По аналогии с уровнем рисков ИБ для введения некоторого единообразия и краткости часто используются два понятия:
уровень угрозы ИБ, под которым понимается вероятность осуществления угрозы ИБ;
уровень уязвимости, под которым понимается простота использования уязвимости угрозой ИБ.
Далее, все же, будут использоваться более верные по смыслу понятия - вероятности реализации угроз ИБ и простота использования уязвимостей (поскольку объяснить, что такое уровень совокупности условий и факторов или уровень свойства информационной системы, с точки зрения авторов не представляется возможным). Можно привести два примера:
делаются различия между рисками для конфиденциальности, целостности и доступности, при этом используются соответствующие значения стоимости актива в качестве величины ущерба и, вследствие этого, для каждого актива рассматриваются три различных риска ИБ;
комбинирование трех значений стоимости актива, которые были оценены, в одно, например, путем использования максимального значения или суммы этих трех величин.
64
Управление рисками ИБ
Вероятностный фактор риска ИБ базируется на угрозах ИБ и уязвимостях и их оценочных величинах. Вероятности реализации угроз ИБ и простота использования уязвимостей могут комбинироваться различными способами, например:
сложение или умножение вероятностей реализации угрозы ИБ и простоты использования уязвимости для получения комбинированной величины;
вероятности реализации угроз ИБ и простоты использования уязвимостей не комбинируются, а применяются по отдельности.
Каким образом комбинировать оба фактора риска ИБ (величину ущерба и вероятности) для вычисления риска ИБ, определяется самой организацией и ее выбором конкретного метода оценки рисков ИБ. Единственное, что должно быть гарантировано, это увеличение риска ИБ в случае увеличения любого из этих факторов.
В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий - уровень риска ИБ тем больше, чем больше эти величины. Общая идея может быть выражена формулой:
[уровень риска ИБ] = [вероятность происшествия] х [цена потери].
Если переменные являются количественными величинами, то уровень риска ИБ - это оценка математического ожидания потерь. Если переменные - качественные величины, то метрическая операция умножения не определена и в явном виде формулу применять не следует. Тогда определяются шкалы для вероятности происшествия, его серьезности и рисков ИБ и строится таблица. На пересечении строк (вероятностей происшествий) и столбцов (серьезности происшествий) будут получения значения рисков ИБ.
Приведем пример субъективной шкалы вероятностей событий и серьезности последствий [13]:
А - событие практически никогда не происходит; В - событие случается редко; С - вероятность события за рассматриваемый промежуток времени - 0,5; D - скорее всего событие произойдет; Е - событие почти обязательно произойдет.
«Пренебрежимо малое» - воздействием можно пренебречь; «незначительное» - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно; «среднее» - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое и не затрагивает критически важные задачи; «серьезное» - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач; «критическое» - происшествие приводит к невозможности решения критически важных задач.
Для оценки уровня рисков ИБ устанавливается шкала из трех значений: «низкий», «средний» и «высокий» (табл. 3.5).
3. Оценка рисков И Б
65
Таблица 3.5. Определение риска ИБ в зависимости от двух факторов
Пренебрежимо малое Незначительное Среднее Серьезное Критичное
А Низкий Низкий Низкий Средний Средний
В Низкий Низкий Средний Средний Высокий
С Низкие Средний Средний Средний Высокий
D Средний Средний Средний Средний Высокий
Е Средний Высокий Высокий Высокий Высокий
Другой подход определяет, что величина риска ИБ вычисляется по формуле
[уровень риска ИБ] = [вероятность события] х [размер ущерба], где [вероятность события] = [вероятность реализации угрозы ИБ] х х [простота использования уязвимости] [40].
На практике для вычисления уровня риска ИБ используется не математическая вероятность угрозы ИБ, а ожидаемое количество попыток или частота реализации угрозы ИБ за определенный период времени (в международных стандартах для этого используется термин «likelihood», который является общим описанием вероятности (англ, probability) и частоты (англ, frequency) и на русский язык переводится как «вероятность») [38].
Дополнительно могут быть рассмотрены прибыль от затрат, потребности заинтересованных сторон и другие переменные, применимые для количественной оценки рисков ИБ.
Оцененный риск является комбинацией вероятности реализации сценария инцидента ИБ и его последствий.
Для определения уровня риска ИБ используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования и на основании статистических данных. Размер ущерба выражается, как правило, в денежном эквиваленте. Простота использования уязвимости как вероятность ее использования принимает значения от 0 до 1. Оценка вероятности реализации (или возможность) угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы ИБ за определенный период времени, обычно принимаемый за один год. В этом случае уровень риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов ИБ ALE (англ. Annual Loss Expectancy). Эту величину удобно использовать для соотнесения расходов на обеспечение и управление ИБ с уровнем рисков ИБ и для оценки возврата инвестиций, достигаемого за счет уменьшения уровня рисков ИБ и соответствующему сокращению среднегодовых потерь организации. Тогда [уровень риска ИБ] = ALE.
На практике оценивание рисков ИБ проводится с определенной степенью детализации. Все составляющие могут быть разложены на более
66
Управление рисками ИБ
мелкие элементы и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок. В этом случае [уровень группы рисков ИБ] = [ожидаемое количество попыток реализации группы угроз ИБ в течение года] х [суммарная простота использования группы уязвимостей] х [размер суммарного ущерба].
Точно предсказать вероятность реализации угрозы ИБ, величину использования уязвимостей и размер ущерба обычно не представляется возможным, поэтому часто используют числовые оценки в некотором диапазоне величин. Каждому количественному диапазону можно сопоставить определенный качественный уровень риска ИБ. В результате получается качественная шкала оценки рисков ИБ, которой сопоставляются некоторые количественные оценки.
Важно отметить, что не существует «правильных» или «неправильных» способов вычисления рисков ИБ, при условии, что понятия, описанные в предыдущих пунктах, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод количественной оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ.
Выходные данные процесса количественной оценки рисков ИБ -список рисков ИБ с приписанными им уровнями. Оцененные уровни рисков ИБ позволяют ранжировать риски и идентифицировать те из них, которые являются наиболее критичными (проблематичными) для организации.
3.2. Этап 2 - оценивание рисков ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 [3, 4] входными данными для оценивания рисков являются список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оценивания рисков ИБ. В процессе данной деятельности величина рисков ИБ должна сравниваться с критериями оценивания и принятия рисков. Оценивание риска ИБ проводится путем его сопоставления с заданной шкалой [6].
При создании контекста управления рисками ИБ определяется характер решений, связанных с оценкой рисков и критериями оценки рисков ИБ, которые используются для принятия таких решений. На данном этапе эти решения и контекст детально анализируется и пересматривается, поскольку уже имеется больше информации о конкретных идентифицированных рисках ИБ. Для оценивания рисков ИБ организация с помощью выбранных методов и подходов сравнивает оцененные ранее риски ИБ с критериями оценивания рисков, определенными при установлении контекста управления рисками.
Критерии оценивания рисков ИБ, используемых для принятия решений, должны быть совместимы с определенным внешним и внутренним
3. Оценка рисков ИБ
67
контекстом управления рисками ИБ и учитывать цели организации и мнения причастных сторон и т. д. Принимаемые во время оценивания рисков ИБ решения в основном базируются на уровне приемлемого риска ИБ. Однако следует также рассматривать последствия, вероятность и степень уверенности в идентификации и анализе рисков ИБ. Агрегирование нескольких низких или средних рисков ИБ может привести к гораздо более высоким общим рискам и должно рассматриваться соответствующим образом.
При этом учитываются следующие важные моменты:
1) свойства ИБ: если один критерий не подходит для данной организации (например, потеря конфиденциальности), тогда все связанные с ним риски могут не рассматриваться;
2) значимость бизнес-процессов или деятельности, обеспечиваемой конкретным активом или группой активов: если процесс определен как маловажный (имеющий низкую значимость), связанные с ним риски ИБ учитываются в меньшей степени, чем те, которые влияют на более значимые процессы и действия.
Для принятия решений о будущих действиях оценивание рисков ИБ использует понимание риска, полученное во время анализа рисков ИБ. Такие решения включают следующее два элемента: необходимость в конкретном действии и значимость (приоритеты) для обработки рисков ИБ, основанные на оцененном уровне рисков.
Во время оценивания рисков ИБ также должны учитываться контрактные и законодательные требования и требования регулирующих органов.
Выходными данными является список рисков ИБ с приоритетами, расставленными в соответствии с критериями оценивания рисков по отношению к сценариям инцидентов ИБ, приводящим к данным рискам. 13 результате данного этапа для всех активов, находящихся в области деятельности рассматриваемой СУИБ, должен быть составлен ранжированный список оцененных рисков ИБ для каждого из возможных воздействий на этот актив.
3.3. Подходы к оценке рисков ИБ
Как отмечалось ранее, для оценки рисков ИБ организация может самостоятельно выбирать различные общие, используемые во всей организации, подходы. Важно, чтобы эти подходы соответствовали всем требованиям организации. Какой именно подход использовать, зависит от нескольких факторов, в том числе:
от их бизнес-среды и вида бизнеса организации;
зависимости от обработки информации и приложений, поддерживающих бизнес;
сложности ИС и поддерживающих систем, приложений и сервисов;
количества компаний-партнеров и объема внешних деловых и договорных отношений.
68
Управление рисками ИБ
Эти факторы являются, как правило, общими для всех направлений деятельности организации, поэтому их необходимо учитывать наряду с преимуществами и недостатками самих подходов. Принимает решение о выборе подхода сама организация. На практике рекомендуется придерживаться следующего правила: чем более важной и необходимой является ИБ для организации и ее бизнеса, и чем больше могут быть потери, тем больше времени и средств необходимо потратить на ОИБ.
Различные подходы к оценке рисков ИБ отличаются требуемым количеством времени и объемом работы, а также глубиной детализации и анализа. Несмотря на то, что организация сама может выбирать подход (подходы) к оценке рисков ИБ, необходимо гарантировать достаточную меру адекватности и подробности применяемого подхода для обеспечения выполнения бизнес-требований и требований по ОИБ организации.
Для различных этапов оценки рисков ИБ применимы различные средства оценки, представленные в табл. 3.6 [35]. В ячейках таблицы используются следующие сокращения: П - средство применимо, ХП -хорошо применимо, НП - не применимо.
Таблица 3.6. Применимость средств, используемых для оценки рисков ИБ
Средство Риск ИБ Оценка
Идентификация Уровень Оценка последствий вероятностей
«Мозговой штурм» ХП НП НП НП НП
Структурированные и полуструктурированные интервью ХП НП НП НП НП
Метод Дельфи ХП НП НП НП НП
Контрольные списки ХП НП НП НП НП
Первичный анализ опасностей ХП НП НП НП НП
Исследование опасностей и рабоспособности ХП п п ХП п
Анализ опасностей и критических контрольных точек ХП НП ХП ХП НП
Оценка риска со стороны внешней среды ХП ХП ХП ХП ХП
«Что если?» ХП ХП ХП ХП ХП
Анализ сценариев ХП п п ХП п
Анализ влияния на бизнес п п п ХП п
Анализ основных причин НП ХП ХП ХП ХП
Анализ последствий отказов ХП ХП ХП ХП ХП
Дерево отказов п п п НП ХП
Дерево события п п НП ХП п
3. Оценка рисков ИБ
69
Средство Риск ИБ Оценка
Идентификация Уровень Оценка последствий вероятностей
Анализ причин и следствий П П П ХП ХП
Анализ причин и осуществления ХП НП НП ХП НП
Анализ защитного слоя П П НП ХП П
Дерево решений НП П П ХП ХП
Анализ надежности людей ХП ХП П ХП ХП
Сопровождение, нацеленное на надежность ХП ХП ХП ХП ХП
Марковские цепи П НП ГП ХП НП
Метод Монте-Карло НП НП ХП ГП НП
Сети и статистика Байеса НП НП ХП ХП НП
FN-кривые (частота-фатальный исход) П П ХП ХП ХП
Индексы рисков П П ХП ХП ХП
Матрица последствий/ вероятностей ХП ХП п ХП ХП
Анализ «затраты-прибыль» П п п ХП п
Многокритериальный анализ принятия решений П ХП п ХП п
Известно два основных подхода к классификации стратегий оценки и анализа рисков ИБ.
В стандартах ISO/IEC TR 13335-3:1998 и ГОСТ Р ИСО/МЭК 13335-3-2007 рассматриваются четыре вида анализа рисков ИБ [7, 10]:
1) базовый (англ, baseline risk analysis) с низкой степенью риска и выбором стандартных защитных мер;
2) неформальный (англ, informal risk analysis) для активов организации, которые, как представляется, подвергаются наибольшему риску;
3) детальный (англ, detailed risk analysis) с использованием формального подхода ко всем активам организации;
4) комбинированный (англ, combined risk analysis) — сначала высокоуровневый анализ для выбора подхода к анализу рисков ИБ с последующим проведением детального анализа для наиболее критичных выделенных систем (если прекращение их функционирования может причинить ущерб или принести убытки организации, отрицательно повлиять на ее бизнес или активы) и базового для всех остальных.
В стандартах ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 выделяются два основных типа оценки рисков ИБ и упоминается их комбинация [3, 4]:
высокоуровневая (англ, high-level IS risk assessment);
детальная (англ, detailed IS risk assessment).
70
Управление рисками ИБ
Если, например, организация или СУИБ и ее ресурсы имеют требования по ОИБ не выше уровней «низкий» и «средний», то может быть достаточно высокоуровневой оценки рисков ИБ. Прикладные методы оценки рисков ИБ, ориентированные на данный уровень, обычно не рассматривают ценность активов и не оценивают эффективности защитных мер. Методы данного класса применяются в случаях, когда к активам организации не предъявляется повышенных требований по ОИБ. Если требования по ОИБ имеют более высокий уровень, требующий более подробной и специальной оценки, то может потребоваться полная, более детальная оценка рисков ИБ, которая определяет ценность активов, оценивает угрозы ИБ и уязвимости, выбирает адекватные защитные меры и оценивает их эффективности. В любом случае для СУИБ, отвечающей требованиям стандарта (например, ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005), необходимо гарантировать, что выбранный подход соответствует всем критериям, приведенным в соответствующих разделах этих стандартов.
В Рекомендациях в области стандартизации Банка России PC БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [41] также представлен общий подход к оценке рисков ИБ, заслуживающий отдельного упоминания.
Кратко рассмотрим основные идеи всех выше названных подходов.
3.3.1. Базовый анализ рисков ИБ
Любая организация может выработать свой базовый уровень ИБ в соответствии с собственными условиями ведения бизнеса и бизнес-целями. При данном подходе организация может применить базовый уровень ИБ для всех защищаемых активов за счет выбора стандартных защитных мер [7, 10].
Преимущества использования этого варианта анализа рисков ИБ очевидны:
возможность обойтись минимальным количеством ресурсов при проведении анализа рисков ИБ для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;
при применении базовых защитных мер можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к ОИБ требования соизмеримы.
3. Оценка рисков ИБ
71
В то же время данный подход имеет следующие недостатки:
если принимается слишком высокий базовый уровень ИБ, то для ряда активов уровень ОИБ будет завышен и будут выбраны слишком дорогостоящие или излишне ограничительные средства управления;
если базовый уровень будет принят слишком низким, то для ряда защищаемых активов уровень ОИБ будет недостаточен, что увеличит риск нарушения ИБ;
могут возникнуть трудности при внесении изменений, затрагивающих вопросы ОИБ (как это требуется на этапах проверки и совершенствования в модели PDCA). Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер и всей СУИБ и далее оставаться достаточно эффективными.
Если все защищаемые в организации активы характеризуются низким уровнем требований по ОИБ, то первый вариант стратегии анализа рисков ИБ может оказаться экономически эффективным. В этом случае базовый уровень ИБ выбирается таким образом, чтобы он соответствовал уровню защиты, требуемому для большинства активов. Для многих организаций для удовлетворения требований правовых и нормативных актов всегда существует необходимость использовать некоторые минимальные стандартные уровни для ОИБ важнейшей информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью критичности, разными объемами и сложностью информации, использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
Цель ОИБ на основе базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для всех или отдельных активов. Используя базовый подход, можно применять соответствующий ему базовый уровень ИБ в организации и, кроме того, дополнительно использовать результаты детального анализа риска ИБ для ОИБ активов с высоким уровнем риска или систем, играющих важную роль в бизнесе организации. Применение базового подхода позволяет снизить инвестиции организации на исследование результатов анализа рисков ИБ.
Требуемая защита при таком подходе обеспечивается за счет использования справочных материалов (каталогов) и лучших практик по защитным мерам, в которых можно подобрать набор средств для защиты активов от наиболее часто встречающихся угроз. Базовый уровень ИБ устанавливается в соответствии с потребностями организации, при этом в проведении детальной оценки угроз ИБ, уязвимостей и рисков ИБ для систем нет необходимости. При наличии в системе установленных защитных мер их сравнивают с рекомендуемыми в каталогах. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы.
72
Управление рисками ИБ
Типичным примером области применения данного подхода является часть организации, в которой проводятся не слишком сложные бизнес-операции и зависимость которой от обработки информации и работы в сети не очень велика. Применение данного подхода возможно также в случае небольших организаций. Однако его могут применять и небольшие организации, которые имеют более сложную бизнес-среду, сильно зависят от использования ИТ, и принимают участие в обработке коммерчески важной информации.
Содержание всех этапов процесса управления рисками ИБ при базовом анализе рисков ИБ приведено в табл. 3.7.
Таблица 3.7. Содержание этапов процесса управления рисками ИБ при базовом анализе рисков ИБ
Этапы Содержание этапов
Идентификация и оценка ценности активов Составить список активов, связанных с данной бизнес-средой, операциями и информацией, оцениваемой в пределах области применения СУИБ, и определить уровень их важности, используя простую шкалу оценки
Идентификация угроз ИБ, уязвимостей и последствий Идентифицировать требования по ОИБ (при этом можно использовать контрольные списки обобщенных или широко известных угроз ИБ и уязвимостей) и определить уровень всех идентифицированных требований по ОИБ, используя простую шкалу оценки
Расчет рисков ИБ Рассчитать риски ИБ на основе информации об активах и требованиях по ОИБ, используя простую схему расчета.
Идентификация и оценка вариантов обработки рисков ИБ Идентифицировать подходящий вариант обработки риска ИБ для каждого из идентифицированных рисков; документировать результаты для плана обработки рисков ИБ
Выбор средств управления ИБ, уменьшение и принятие рисков ИБ Для каждого из идентифицированных активов идентифицировать являющиеся значимыми защитные меры, например, из стандарта ISO/IEC 27002. Гарантировать, что выбранные меры уменьшают риски ИБ до приемлемого уровня
3.3.2. Неформальный анализ рисков ИБ
Второй вариант анализа рисков ИБ основан на практическом опыте конкретного эксперта и предполагает использование знаний и практического опыта специалистов, а не структурных методов [7, 10]. Этот подход обладает следующими достоинствами: не требует использования значительных средств или времени - эксперт не должен приобретать дополнительные знания, а затраты времени на анализ рисков ИБ при этом меньше, чем при проведении детального анализа.
Однако данный подход имеет и свои недостатки:
при отсутствии хотя бы одного элемента базового анализа рисков ИБ или комплексного перечня средств управления увеличивается вероятность пропуска ряда важных деталей у всех активов организации;
3. Оценка рисков ИБ
73
могут возникнуть трудности при обосновании необходимости реализации защитных мер, определенных по результатам данного анализа рисков ИБ;
для экспертов, не обладающих значительным опытом работы в области анализа рисков ИБ, не существует готовых рекомендаций, которые могли бы облегчить их работу;
подходы организации к анализу рисков ИБ в прошлом были продиктованы исключительно оценкой уязвимостей систем, то есть потребность в защитных мерах основывалась на наличии у этих систем уязвимостей без анализа того, существуют ли угрозы ИБ, способные использовать этих уязвимости (без обоснования реальной необходимости в использовании защитных мер);
результаты проведения анализа могут в какой-то мере зависеть от субъективного подхода, личных предубеждений эксперта и, кроме того, могут возникнуть проблемы в случае, если специалист, который проводил неформальный анализ, покидает организацию.
3.3.3. Детальный анализ рисков ИБ
Детальный анализ рисков ИБ предполагает получение результатов для всех активов организации и включает в себя подробную идентификацию и оценку активов, возможных угроз ИБ, которым могут подвергнуться эти активы, а также оценку их уязвимостей [7, 10]. Результаты этих операций затем используют для оценки рисков ИБ и последующего обоснованного выбор защитных мер, обеспечивающих уменьшение рисков до приемлемого уровня (если был выбран данный вариант обработки риска).
Данный подход имеет следующие преимущества:
получается точное и детальное представление о рисках ИБ, которое позволяет идентифицировать уровни ИБ и отражает требования по ОИБ организации к активам и СУИБ в целом;
с высокой вероятностью в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры;
результаты проведения детального анализа могут быть использованы при управлении изменениями в СОИБ (как это требуется на этапах проверки и совершенствования модели PDCA).
В то же время подход характеризуется следующими недостатками, по которым его применение ко всем активам организации не рекомендуется:
для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда;
существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для всех активов и для проведения анализа всех систем потребуется значительное время.
74
Управление рисками ИБ
Детальный анализ рисков ИБ может быть очень ресурсоемким процессом, и поэтому требуется тщательное определение границ бизнес-среды, операций, активов в области действия СУИБ. Кроме того, подобный подход требует постоянного внимания со стороны руководства.
Такой анализ рисков ИБ отличается от базового тем, что выполняется более детальный анализ активов и требований по ОИБ (табл. 3.8).
Таблица 3.8. Содержание этапов процесса управления рисками ИБ при детальном анализе рисков ИБ
Название этапа Содержание этапа
Идентификация и оценка активов Идентифицировать и составить список всех активов, связанных с бизнес-средой, операциями и информацией в пределах области действия данной СУИБ, задать шкалу оценок и для каждого актива определить оценки по данной шкале (по одной оценке для каждого фактора: конфиденциальности, целостности и доступности, а также, при необходимости, любого другого фактора)
Идентификация требований по ОИБ Идентифицировать все требования по ОИБ (угрозы ИБ и уязвимости, правовые требования и бизнес-требования), связанные со списком активов, находящихся в области действия СУИБ
Оценка требований по ОИБ Идентифицировать необходимую шкалу оценок для требований по ОИБ и определить соответствующую оценку для каждого из идентифицированных требований
Расчет рисков ИБ Рассчитать риски ИБ (исходя из активов и требований по ОИБ, а также уровней их значимости, полученных в результате указанного выше оценивания) с помощью одного из методов оценки рисков, соответствующего требованиям по ОИБ для рассматриваемой СУИБ
Идентификация и оценивание вариантов обработки рисков ИБ Идентифицировать подходящее действие по обработке рисков ИБ для каждого из идентифицированных рисков. Оценить реалистичность идентифицированного варианта, его адекватность и соответствие всем бизнес-требованиям и требованиям по ОИБ. Документировать результаты для плана обработки рисков ИБ
Выбор средств управления рисками ИБ, уменьшение и принятие рисков ИБ Определить величину приемлемого риска ИБ для выбранного метода оценки рисков и гарантировать соответствие этого уровня приемлемого риска бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ. Для тех рисков ИБ, для которых был выбран вариант уменьшения риска, выбрать, например, из стандартов ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799, подходящие защитные меры, позволяющие уменьшить эти риски до приемлемого уровня. Оценить, в какой степени выбранные меры уменьшают идентифицированные риски. Для каждого риска ИБ, который не может быть уменьшен до приемлемого уровня, идентифицировать дополнительные действия по его обработке (либо утверждение руководством принятия этого риска по соображениям бизнеса, либо дальнейшее уменьшение риска)
3. Оценка рисков ИБ
75
3.3.4. Комбинированный анализ рисков ИБ
Этот подход предполагает идентификацию в первую очередь тех активов из области деятельности СУИБ, которые потенциально имеют большую величину риска ИБ или являются критичными для выполнения бизнес-процессов [7, 10]. На основании полученных результатов все активы, входящие в область деятельности СУИБ, подразделяются на активы, для достижения надлежащей защиты которых требуется проведение детальной оценки рисков ИБ, и ресурсы, для которых достаточно высокоуровневой оценки рисков ИБ. Такой подход позволяет объединить преимущества двух подходов и минимизировать их недостатки, поэтому он минимизирует время и усилия, которые тратятся на идентификацию защитных мер, и обеспечивает при этом надлежащую оценку и защиту активов организации. Кроме того, комбинированный вариант анализа рисков ИБ имеет следующие преимущества:
использование быстрого и простого предварительного анализа рисков ИБ позволяет обеспечить принятие программы анализа рисков ИБ;
существует возможность быстро оценить оперативное состояние программы ОИБ организации, то есть использование такого подхода будет в значительной мере способствовать успешному планированию;
ресурсы и средства вкладываются именно туда, где они принесут максимальный эффект, так как они в первую очередь будут направлены в те системы, которые в наибольшей степени нуждающиеся в ОИБ;
проведение последующих мероприятий будет более успешным.
Данный подход имеет следующий недостаток: поскольку предварительный анализ рисков ИБ проводят, исходя из предположения об их возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа рисков, и к ним в дальнейшем будут применены базовые меры ОИБ. При необходимости к рассмотрению этих систем можно вернуться с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.
Использование комбинированного подхода с анализом высокого уровня рисков ИБ в сочетании с базовым подходом и (если необходимо) детальным анализом рисков обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный анализ является наиболее предпочтительным.
3.3.5. Высокоуровневая оценка рисков ИБ
Высокоуровневая оценка рисков ИБ позволяет расставить приоритеты и определить хронологию действий [3, 4]. В силу различных причин, наример таких, как ограниченный бюджет, не всегда все средства управления рисками ИБ возможно реализовать одновременно, и только наи
76
Управление рисками ИБ
более значимые риски ИБ могут быть устранены в рамках процесса обработки рисков. Также преждевременно начинать детальное управление рисками ИБ, если реализация ИС предусмотрена только через один или два года. В этом случае высокоуровневая оценка рисков ИБ может начинаться с высокоуровневой оценки последствий, а не с систематического анализа угроз ИБ, уязвимостей, активов и последствий. Другая причина - необходимость синхронизации с другими планами, связанными с изменением управления или непрерывностью бизнеса. Например, не обосновано особо тщательно защищать систему или приложение, если в ближайщее время оно будет отдано на аутсорсинг, хотя произвести оценку рисков ИБ стоит для отражения ее результатов в контракте на аутсорсинг или даже принятия решения о целесообразности аутсорсинга в данном конкретном случае.
Особенности данного подхода к оценке рисков ИБ включают в себя следующее:
при такой оценке организация и ее ИС рассматриваются более глобально, учитывая технологические аспекты в отрыве от бизнеса. Но при этом контекст анализа больше концентрируется на среде осуществления бизнеса и его функционировании, чем на технологических элементах;
при такой оценке рассматривается более ограниченный список угроз ИБ и уязвимостей, группируемых в определенных областях, а для ускорения процесса оценки она фокусируется на общих рисках или сценариях атак, а не на их элементах;
риски ИБ, выявленные при высокоуровневой оценке, являются более общими, чем более специальные идентифицированные риски. Поскольку сценарии атак или угрозы ИБ группируются по некоторым областям, процесс обработки рисков ИБ определяет средства управления для этих областей. Такая деятельность в первую очередь устанавливает наиболее общие средства управления рисками ИБ, которые применимы для всей системы в целом;
однако, поскольку такая оценка редко рассматривает детали технологий, она более подходит для обеспечения организационного и нетехнического контроля, управленческих аспектов технического контроля или ключевых и общих технических мер, таких как резервное копирование и антивирус.
Высокоуровневая оценка рисков ИБ имеет следующие преимущества:
использование на начальных стадиях простого подхода позволяет более легко одобрить программу оценки рисков ИБ;
становится возможным построить стратегическую картину программы ОИБ в организации, то есть такой подход служит хорошей помощью при планировании;
3. Оценка рисков ИБ
77
ресурсы и финансы используются там, где они принесут наибольшую выгоду, а системы, нуждающиеся в защите в первую очередь, будут защищены первыми.
Поскольку начальный анализ рисков ИБ проводится на высоком уровне и потенциально менее точен, единственным его недостатком является то, что некоторые бизнес-процессы или системы не могут быть определены, как этого требует детальная оценка рисков ИБ. Этого можно избежать, если имеется достаточно информации по всей организации и ее системам, включая информацию, полученную в результате оценки инцидентов ИБ.
Высокоуровневая оценка рисков ИБ рассматривает ценность информационных активов и риски ИБ с точки зрения бизнеса организации. В первой точке принятия решения (рис. 2.4) ряд факторов помогает определить, является ли оценка рисков ИБ достаточной для их обработки. Эти факторы могут включать в себя следующее: задачи бизнеса решаются с использованием различных информационных активов;
степень, с которой бизнес организации зависит от каждого информационного актива (то есть зависят ли функции, которые организация считает критическим для ее выживания или эффективного ведения бизнеса, от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и надежности информации, хранимой или обрабатываемой в этом активе);
уровень инвестиций в каждый информационный актив в терминах разработки, поддержания или замены актива;
информационные активы, для которых организация присваивает стоимость (ценность) напрямую (непосредственно).
При оценке этих факторов принятие решения облегчается. Если задачи, выполняемые активами, крайне важны для ведения бизнеса организации или если эти активы подвергаются высокому риску, тогда для конкретного информационного актива (или его части) должна проводиться вторая итерация - детальная оценка рисков ИБ.
Общее применяемое в этом случае правило таково: если недостаток ОИБ может привести к значительным негативным последствиям для организации, ее бизнес-процессам или активам, тогда для выявления потенциальных рисков ИБ необходима вторая итерация оценки рисков на более детальном уровне.
3.3.6. Детальная оценка рисков ИБ
Процесс детальной оценки рисков ИБ включает в себя всестороннюю идентификацию и оценивание активов, оценку угроз ИБ для этих активов и оценку уязвимостей [3,4]. Результаты процесса далее исполь
78
Управление рисками И Б
зуются для оценки рисков ИБ и определения способов их обработки. Такой подход обычно требует значительного времени, усилий и опыта и поэтому наиболее применим к ИС, находящимся под высоким риском ИБ. На конечном этапе данного процесса получается всесторонняя оценка рисков ИБ.
Последствия могут быть оценены несколькими способами, включая количественный (например, денежный), качественный (использующий прилагательные типа «умеренный» или «тяжелый») и комбинированный подходы.
Для оценки вероятности реализации угроз ИБ устанавливается временной интервал, в течение которого актив будет ценен для организации и его нужно будет защищать. Вероятность реализации отдельной угрозы ИБ определяется нескольким факторами:
привлекательность актива или возможное применимое воздействие, когда рассматривается преднамеренная угроза ИБ со стороны человека;
простота использования уязвимости актива для получения выгоды злоумышленником, когда рассматривается преднамеренная угроза ИБ со стороны человека;
технические возможности источника угроз ИБ, когда рассматривается преднамеренная угроза ИБ со стороны человека;
чувствительность уязвимости к использованию, применимая как к техническим, так и нетехническим уязвимостям.
Многие применяемые для этих целей в настоящее время методы используют таблицы и объединяют субъективные и эмпирические показатели. Важно, чтобы организация использовала метод который ей удобен, которому она доверяет и который будет выдавать повторяемые результаты.
Как правило, для оценки угроз ИБ и уязвимостей применяются различные методы, в основе которых могут лежать экспертные оценки, статистические данные или учет факторов, влияющих на уровни угроз и уязвимостей [5].
Один из возможных подходов к разработке подобных методов - накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы ИБ и уязвимости в других ИС. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во-вторых, данный подход оправдан далеко не всегда. Если ИС достаточно крупная (содержит много элементов, расположена на большой территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же ИС сравнительно невелика и эксплуатирует новейшие
3. Оценка рисков ИБ
79
ИТ, для которых пока нет достоверной статистики, оценки угроз ИБ и уязвимостей могут оказаться недостоверными.
Поэтому наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз ИБ и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты. Несомненное достоинство подхода - возможность учета многих косвенных факторов (не только технических). Метод прост и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить полученную оценку. Недостатки - косвенные факторы и их вес зависят от бизнеса организации и ряда других обстоятельств, поэтому метод всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов - задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).
Рассмотрим качественное определение уровня (величины) риска ИБ. Возьмем пример, в котором угрозы ИБ и уязвимости не рассматриваются совместно в качестве причин реализации сценариев инцидентов ИБ, а учитываются отдельно [3, 4]. Оценки активов получаются по результатам интервьюирования выбранных сотрудников из бизнес-персонала (владельцев активов или бизнес-процессов), которые могут авторитетно привести информацию, позволяющую определить стоимость и ценность актива. Эти интервью способствуют выполнению оценки ценности активов, исходя из наиболее неблагоприятных вариантов, которые могут, при разумных предположениях, реализоваться в результате таких инцидентов ИБ, как несанкционированное раскрытие, несанкционированная модификация, отказ от своих действий, недоступность в течение различных периодов времени и уничтожение. При этом могут учитываться следующие факторы:
личная безопасность;
персональная информация;
правовые и нормативные обязательства;
правоприменение (соблюдение законов);
коммерческие и экономические интересы;
финансовые потери/нарушение деятельности;
общественный порядок;
бизнес-политика и бизнес-операции;
нематериальные потери.
При таком подходе для каждого возможного ущерба и для каждого актива необходимо определить соответствующее значение на шкале оценок (например, от 0 до 4).
80
Управление рисками ИБ
Следующим важным этапом является заполнение опросных листов для всех идентифицированных активов, угроз ИБ и уязвимостей с целью оценки вероятности реализации угрозы ИБ и простоты использования уязвимости угрозой ИБ, в результате чего происходит инцидент ИБ. Каждый ответ на вопрос добавляет некоторый балл. Это позволяет идентифицировать вероятности реализации угрозы ИБ и простоты использования уязвимостей по заранее заданной шкале (например, «высокий», «средний» и «низкий»).
Для получения информации, используемой при заполнении опросных листов, проводится интервьюирование сотрудников технического отдела, отдела кадров и хозяйственного отдела, инспектируется возможное физическое местонахождение и анализируется имеющаяся документация. Оценки ценности актива сопоставляются с уровнями угроз ИБ и уязвимостей с помощью таблицы. Для каждой комбинации идентифицируется соответствующий показатель риска ИБ по шкале от 0 до 8 (табл. 3.9). Полученные итоговые оценки используются для принятия решения о том, какие риски ИБ необходимо обрабатывать в первую очередь и каким следует уделить больше внимания, а также определения вариантов обработки рисков ИБ. Для того чтобы принять решение о необходимости разработки и внедрения защитных мер для выявленных рисков ИБ, важно определить приемлемый уровень риска ИБ, соответствующую бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ.
Таблица 3,9, Уровни рисков ИБ для активов
Ценность актива Вероятность реализации угрозы ИБ
Низкий (Н) Средний (С) Высокий (В)
Простота использования уязвимостей
н а В В Н В
0 0 1 2 1 2 3 2 3 4
1 1 2 2 1 3 4 3 4 5
2 2 3 3 2 4 5 4 5 6
3 3 4 4 3 5 6 5 6 7
4 4 5 5 4 6 7 6 7 8
Для каждого актива рассматриваются уязвимости, относящиеся к этому активу, и соответствующие им угрозы ИБ. Если имеется уязвимость без соответствующей угрозы ИБ или угроза без соответствующей уязвимости, то считается, что риск ИБ отсутствует. Соответствующая строка в таблице идентифицируется оценкой актива, а столбец - серьезностью угрозы ИБ и уязвимости. Например, если актив имеет оценку «3», уровень угрозы ИБ - «высокий», а уровень уязвимости - «низкий», то величина риска ИБ равна «5».
3. Оценка рисков ИБ
81
В таблице может меняться количество уровней угроз ИБ, столбцов для вероятностей реализации угроз ИБ и простоты использования уязвимостей и количество категорий оценки активов, и, следовательно, эту таблицу можно корректировать в соответствии с потребностями организации. Использование дополнительных столбцов и строк влечет за собой дополнительные уровни рисков ИБ.
Завершив в первый раз оценку рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их значимости, требования ИБ и уровни рисков ИБ, а также идентифицированные защитные меры и средства управления рисками ИБ), например, в специальной БД.
Возможно построение похожей матрицы для вероятности реализации сценариев конкретных инцидентов ИБ с учетом их последствий для бизнеса (табл. З.Ю). Вероятность зависит от использования угрозами ИБ уязвимостей. Итоговый уровень риска ИБ выражается по шкале от О до 8 в соответствии с критериями принятия рисков ИБ. Шкала уровня рисков может быть упрощена введением рейтингов, например, низкий риск ИБ - 0-2, средний риск - 3-5, высокий риск - 6-8.
Таблица 3.10. Уровни рисков ИБ для влияния инцидентов ИБ на бизнес
Влияние на бизнес Вероятность реализации сценариев инцидентов ИБ
Очень низкая Низкая Средняя Высокая Очень высокая
Очень низкое 0 1 2 3 4
Низкое 1 2 3 4 5
Среднее 2 3 4 5 6
Высокое 3 4 5 6 7
Очень высокое 4 5 6 7 8
Для сопоставления последствий (для оценки актива) и вероятности реализации сценариев инцидентов ИБ (с учетом угроз ИБ и уязвимостей, которые могут вызвать конкретный инцидент ИБ) можно использовать табл. 3.11. Первый шаг состоит в оценивании последствий для каждого актива по предварительно установленной шкале, например, от 1 до 5 (столбец «б»). На втором шаге для каждого инцидента ИБ следует оценить вероятность реализации сценария инцидента ИБ по предварительно установленной шкале, например, от 1 до 5 (столбец «в»). Третий шаг состоит в расчете показателя риска ИБ с помощью умножения значений столбца «б» на значения столбца «в». Наконец, инцидентам ИБ может быть присвоена категория, соответствующая их коэффициенту последствий. Следует отметить, что в данном примере «1» обозначает наименьшее воздействие и наименьшую вероятность реализации сценария инцидента ИБ.
82
Управление рисками ИБ
Таблица 3.11. Сопоставление воздействия (оценки актива) и вероятности инцидента ИБ
Идентификатор угрозы ИБ (а) Оценка последствий (для актива) (б) Вероятность реализации инцидента И Б (в) Уровень риска ИБ (г) Рейтинг угрозы ИБ (д)
Угроза А 5 2 10 2
Угроза Б 2 4 8 3
Угроза В 3 5 15 1
Угроза Г 1 3 3 5
Угроза Д 4 1 4 4
Угроза Е 2 4 8 3
Такая процедура позволяет сравнивать различные инциденты ИБ, имеющие различные последствия и различную вероятность реализации, и ранжировать их в зависимости от приоритета. В некоторых случаях необходимо с используемыми эмпирическими шкалами связать денежные эквиваленты.
В следующем примере акцент делается на последствия (например, сценарии инцидентов ИБ) и определение систем, которым следует отдать приоритет. Для этого определяются две оценки для каждого актива и риска ИБ, которые вместе позволяют присвоить балл каждому активу. Уровень риска ИБ для ИС вычисляется как сумма баллов по всем активам. Сначала каждому активу присваивается некоторая оценка, обозначающая потенциальный ущерб, который может возникнуть в случае реализации угрозы ИБ для данного актива. Оценка присваивается активу для каждой угрозы ИБ, которой он подвергается. После этого для каждой угрозы ИБ оценивается значение вероятности реализации сценария инцидента ИБ (табл. 3.12).
Таблица 3.12. Таблица определения вероятности реализации сценария инцидента И Б
Вероятность реализации угрозы ИБ Низкая (Н) Средняя (С) Высокая (В)
Простота использования уязвимости Н С В Н С В Н С в
Вероятность реализации сценария инцидента ИБ 0 1 2 1 2 3 2 3 4
Затем с помощью поиска пересечения ценности актива и значения вероятности реализации сценария инцидента ИБ определяется итоговый балл для актива (табл. 3.13).
Таблица 3.13. Таблица определения балла для актива
Вероятность реализации сценария инцидента ИБ Ценность актива
0 1 2 3 4
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
3. Оценка рисков ИБ
83
На заключительном шаге суммируются итоговые баллы для всех активов данной системы, в результате чего получается оценка уровня риска ИБ для ИС. Такую процедуру можно использовать, чтобы произвести дифференциацию систем и определить ту, защита которой должна получить приоритетное значение.
Приведем пример. Предположим, что система S состоит из трех активов Al, А2 и АЗ. Допустим, что существуют две угрозы ИБ Т1 и Т2, применимые к системе S. Пусть ценность А1 равна «3», А2 - «2», АЗ -«4». Если для А1 вероятность реализации угрозы Т1 «низкая» и простота использования уязвимости «средняя», то значение вероятности равно «1». Балл для актива/угрозы ИБ А1/Т1 может быть получен из приведенной выше таблицы как пересечение ценности актива, равной «3», и вероятности, равной «1», то есть этот балл будет равен «4». Аналогично, если для А1/Т2 вероятность угрозы ИБ «средняя», а простота использования уязвимости «высокая», то балл равен «6». После этого можно рассчитать итоговый балл для актива А1Т по всем угрозам ИБ (он равен «10»). Итоговой балл для системы ST определяется как сумма AIT + А2Т + АЗТ. Таким образом можно выполнить сравнение систем и определить их приоритетность.
Аналогично можно посчитать приоритеты для бизнес-процессов.
Как правило, риски ИБ с текущим значением приоритета меньше «1» просто игнорируются. Риски со значением приоритета в диапазоне 1-2 оставляются в списке, но реальных действий по их устранению обычно не предпринимается. Основное же внимание уделяется рискам ИБ с приоритетом больше «2».
Если для определения вероятности и последствий рисков ИБ использовались качественные оценки, то и приоритетность рисков оценивается на качественном уровне. Например, можно игнорировать те риски ИБ, у которых вероятность или последствия пренебрежимо малы. А высокоприоритетными следует считать риски ИБ, у которых вероятность выше средней и последствия выше существенных.
Для рисков ИБ с высоким приоритетом в ходе анализа полезно определить некоторые характеристики, которые позволят судить о приближении момента проявления риска ИБ или о существенном изменении вероятности его реализации.
Еще один способ определения уровня риска ИБ состоит в разграничении приемлемых и неприемлемых рисков ИБ. Суть этого метода заключается в том, что уровни риска ИБ используются только для определения тех рисков, для которых требуется наиболее срочное принятие защитных мер. При подобном подходе используемая таблица не будет содержать цифр, а будет состоять только из значений «П» и «Н», показывающих, является риск ИБ приемлемым или неприемлемым (табл. 3.14).
84
Управление рисками ИБ
Таблица 3.14, Таблица определения рисков ИБ для актива
Вероятность реализации сценария инцидента ИБ Оценка актива
0 1 2 3 4
0 П П п п н
1 П п п н н
2 П п н н н
3 П н н н н
4 Н н н н н
Данная таблица является лишь примером, и организация сама может провести разграничивающую линию между приемлемыми и неприемлемыми рисками ИБ.
3.3.7. Общий ПОДХОД к оценке рисков ИБ PC БР ИББС-2.2-2009
Рассмотрим подход, представленный в PC БР ИББС-2.2-2009 [41], обобщая его основные идеи не только на информационные, но и на все остальные виды требующих ОИБ активов организации.
Активы рассматриваются в совокупности с соответствующими им материальными объектами среды использования и (или) эксплуатации актива (объект хранения, передачи, обработки, уничтожения и т. д.). При этом обеспечение свойств ИБ для активов выражается в создании необходимой защиты соответствующих им объектов среды.
Угрозы ИБ реализуются их источниками, которые могут воздействовать на объекты среды активов. В случае успешной реализации угрозы ИБ активы теряют часть или все свойства ИБ.
Риски ИБ заключаются в возможности утраты свойств ИБ активов в результате реализации угроз ИБ, вследствие чего организации может быть нанесен ущерб. Оценка рисков ИБ проводится для типов активов, входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:
Полный перечень типов активов, входящих в область оценки. Он формируется на основе результатов классификации активов. Так, например, полный перечень возможных типов информационных активов организации содержит информацию ограниченного доступа; информацию, содержащую сведения, составляющие банковскую и коммерческую тайны; персональные данные; управляющую информацию информационных и телекоммуникационных систем (для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации); открытую (общедоступную) информацию.
Полный перечень типов объектов среды, соответствующих каждому из типов активов области оценки. Он формуется в соответствии с иерархией уровней информационной инфраструктуры организации. Перечни могут содержать, например, следующие типы объектов
3. Оценка рисков ИБ
85
среды: линии связи и сети передачи данных; сетевые программные и аппаратные средства, в том числе сетевые серверы; файлы данных, базы данных, хранилища данных; носители информации, включая бумажные; прикладные и общесистемные программные средства; программно-технические компоненты автоматизированных систем; помещения, здания, сооружения; технологические процессы.
Модель угроз ИБ для всех выделенных в организации типов объектов среды на всех уровнях иерархии ее информационной инфраструктуры.
Риск ИБ определяется на основании качественных или количественных оценок:
степени возможности реализации (СВР и СВРкол) угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов активов;
степени тяжести последствий (СТП и СТПкол) от потери свойств ИБ для рассматриваемых типов активов.
Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой обладающими необходимыми знаниями, образованием и опытом работы сотрудниками службы ИБ организации с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы. Если работники организации не обладают необходимыми знаниями и опытом, возможно привлечение внешних консультантов или экспертов.
При привлечении к оценке СВР угроз ИБ и СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок итоговая, обобщенная оценка обычно принимается равной экспертной оценке, определяющей соответственно наибольшую СВР угрозы ИБ и наибольшую СТП нарушения ИБ.
Данные, на основании которых проводятся все оценки, и их результаты обязательно документируются.
Для проведения качественной оценки рисков ИБ выполняются шесть процедур:
1. Определение и документальная фиксация перечня типов активов, для которых выполняются процедуры оценки рисков ИБ (далее - область оценки рисков ИБ). Область оценки рисков ИБ может быть определена как перечень типов активов организации в целом, ее отдельного подразделения или отдельного процесса деятельности организации в целом или ее подразделения. Для каждого из типов активов определяется перечень основных и дополнительных свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации.
86
Управление рисками И Б
2. Определение и документальная фиксация перечня типов объектов среды, соответствующих каждому из типов активов области оценки рисков ИБ. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации.
3. Определение на основе модели угроз ИБ организации и документальная фиксация источников угроз ИБ, воздействие которых может привести к потере свойств ИБ соответствующих типов активов для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации. При этом возможно расширение первоначального перечня источников угроз ИБ, зафиксированных в модели угроз организации (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды). При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией.
4. Определение СВР угроз ИБ применительно к выделенным типам объектов среды и анализ возможности потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СВР угроз ИБ в PC БР ИББС-2.2-2009 используется следующая качественная шкала степеней «нереализуемая - минимальная - средняя - высокая - критическая». Основными факторами для оценки СВР угроз ИБ является информация соответствующих моделей угроз ИБ, в частности: данные о расположении источника угрозы ИБ относительно соответствующих типов объектов среды; информация о мотивации источника угрозы ИБ антропогенного характера (связанного с человеком); предположения о квалификации и (или) ресурсах источника угрозы ИБ; статистические данные о частоте реализации угрозы ИБ ее источником в прошлом; информация о способах реализации угроз ИБ; информация о сложности обнаружения реализации угрозы ИБ рассматриваемым источником; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты активов, тем самым снижая вероятность реализации соответствующих угроз ИБ [например, средства защиты от несанкционированного доступа (НСД)].
5. Определение СТП нарушения ИБ для типов активов области оценки рисков ИБ и анализ последствий потери каждого из свойств ИБ для
3. Оценка рисков ИБ
87
каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ в PC БР ИББС-2.2-2009 используется следующая качественная шкала степеней «минимальная - средняя - высокая - критическая». Основными факторами для оценки СТП нарушения ИБ являются: степень влияния на непрерывность бизнеса и репутацию организации; объемы финансовых и материальных потерь, финансовых, материальных и временных затрат, а также людских ресурсов, необходимых для восстановления свойств ИБ для активов рассматриваемого типа и ликвидации последствий нарушения ИБ; степень нарушения законодательных требований и (или) договорных обязательств организации, требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований внутренних нормативных актов организации; объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает СТП нарушения свойств ИБ активов (например, средства резервного копирования и восстановления информации).
6. Оценка рисков ИБ, результаты которой документально фиксируются. Качественная оценка рисков ИБ проводится для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз ИБ на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз ИБ. Для оценки рисков ИБ в PC БР ИББС-2.2-2009 используется следующая качественная шкала «допустимый - недопустимый». Для сопоставления оценок СВР угроз ИБ и СТП нарушения ИБ заполняется таблица допусти-мых/недопустимых рисков ИБ (табл. 3.15), на пересечении столбцов и строк которой указаны соответствующие значения.
Таблица 3,15. Допустимые и недопустимые риски ИБ
СВР угроз И Б СТП нарушения ИБ
Минимальная Средняя Высокая Критическая
Нереализуемая Допустимый Допустимый Допустимый Допустимый
Минимальная Допустимый Допустимый Допустимый Недопустимый
Средняя Допустимый Допустимый Недопустимый Недопустимый
Высокая Допустимый 1 |Недопустимый Недопустимый Недопустимый
Критическая Недопустимый Недопустимый Недопустимый Недопустимый
Входная и результирующая информация по оценке рисков ИБ для типа актива «информация ДСП» представлена в табл. 3.16.
88
Управление рисками ИБ
Таблица 3.16. Оценка рисков ИБ для актива «информация ДСП»
Тип актива Информация ДСП
Тип объекта среды Файлы данных с информацией ДСП
Источник угрозы ИБ Внутренний нарушитель Внешний нарушитель
Свойства ИБ типа актива Конфиденциальность Конфиденциальность
Способ реализации угроз ИБ Несанкционированное копирование Несанкционированное копирование
Оценка СВР угроз ИБ Высокая Минимальная
Оценка СТП нарушения ИБ Высокая Высокая
Оценка рисков ИБ Недопустимый Допустимая
Для формирования резервов на возможные потери, связанные с инцидентами ИБ, риски ИБ могут быть оценены в количественной (денежной) форме. Это определяется на основании количественных оценок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.
Оценки СВРкол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:
нереализуемая - 0 %;
минимальная - от 1 до 20 %;
средняя - от 21 до 50 %;
высокая - от 51 до 100 %;
критическая - 100 %.
Оценки СТПкол нарушения ИБ также формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рамках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:
минимальная - до 0,5 % от величины капитала организации;
средняя - от 0,5 до 1,5 % от величины капитала организации;
высокая - от 1,5 до 3 % от величины капитала организации;
критическая - более 3 % от величины капитала организации.
Данные, на основании которых проводится количественная оценка СВРкол угроз ИБ и СТПкол нарушения ИБ, и ее результаты документально фиксируются.
Количественные оценки рисков ИБ вычисляются для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз ИБ путем перемножения оценок СВРкол угроз ИБ и СТПкол нарушения ИБ.
Суммарная количественная оценка риска ИБ организации вычисляется как сумма количественных оценок по всем отдельным рискам ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска ИБ.
3. Оценка рисков ИБ
89
Вопросы для самоконтроля
1. Какие этапы включает в себя процесс оценки рисков ИБ?
2. Каковы основные методологические недостатки традиционных подходов к оценке рисков ИБ? Применение каких инновационных подходов позволит устранить эти недостатки?
3. Какие этапы включает в себя процесс анализа рисков ИБ?
4. На каких этапах оценки рисков ИБ может потребоваться участие владельцев бизнес-процессов и почему?
5. Целесообразно ли вести реестр активов организации на регулярной основе и как это может повлиять на процесс оценки рисков ИБ?
6. Какое место процесс оценки рисков ИБ занимает в СУИБ?
7. Каковы наиболее значимые для организации результаты, получаемые в результате работы процесса оценки рисков ИБ?
8. На каком этапе цикла PDCA предполагает проведение первоначальной оценки рисков ИБ?
9. Что подразумевается под понятием актива? Какие типы активов учитываются при оценке рисков ИБ?
10. Что такое «угроза ИБ», «уязвимость», «источник угрозы ИБ»? Как взаимосвязаны эти понятия?
11. Каким образом возможно формировать каталоги угроз ИБ и уязвимостей, которые будут использоваться для оценки рисков ИБ?
12. В чем может состоять преимущество использования каталогов угроз ИБ, характерных для организации, в которой проводится оценка рисков ИБ, по сравнению с использованием типовых каталогов угроз ИБ?
13. Какие подходы к анализу рисков ИБ выделяются в стандартах?
14. В чем состоят сходства и различия подходов базового и детального анализа рисков ИБ?
15. Какой из подходов к анализу рисков ИБ предпочтительнее применять в небольшой организации, в которой эксплуатируются критичные системы, поддерживающие предоставление организацией услуг внешним заказчикам?
16. В какой ситуации и для какой организации целесообразно применять комбинированный подход к анализу рисков ИБ?
17. Какие подходы к оценке рисков ИБ выделяются в стандартах?
18. Как осуществляются качественная, количественная и полу количественная оценка рисков ИБ?
19. В чем суть процесса оценивания рисков ИБ?
20. На основании каких оценок риск ИБ определяется в PC БР ИББС-2.2-2009?
21. Каковы процедуры качественной оценки риска ИБ согласно PC БР ИББС-2.2-2009?
22. Что изменяется в процедурах качественной оценки риска ИБ для получения оценки риска ИБ в денежной форме согласно PC БР ИББС-2.2-2009?
4. ОБРАБОТКА РИСКОВ ИБ
Целью обработки рисков ИБ является их уменьшение до приемлемого уровня путем снижения вероятности реализации сценариев инцидентов ИБ или минимизации возможного ущерба (последствий) [3, 4].
После того как конкретный риск ИБ идентифицирован и оценен, должно быть принято решение относительно самого подходящего действия по его обработке - выбора и реализации мер и средств минимизации риска ИБ. Это решение должно основываться на информации о защищаемых активах и возможном воздействии риска ИБ на бизнес. Помимо оцененного уровня риска ИБ, при принятии решения могут быть учтены затраты на внедрение и сопровождение защитных мер, политика руководства, простота реализации, мнения экспертов и т. д. [3, 4, 6].
Еще одним важным фактором, лежащим в основе данного решения, является приемлемая величина риска ИБ, который был идентифицирован после выбора необходимого метода оценки рисков ИБ.
Входными данными процесса является список рисков ИБ с приоритетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ, ведущим к выделенным рискам.
На основе этих данных организация устанавливает средства управления рисками ИБ и определяет защитные меры, ведущие к снижению, принятию (сохранению), предотвращению (избежанию) или передаче (переносу) риска ИБ, а также готовим план обработки рисков ИБ.
Процесс обработки рисков ИБ включает подготовку, выбор и принятие решений по вариантам обработки рисков ИБ, которые должны быть реализуемы и экономически оправданы. На рис. 4.1 представлена последовательность действий, осуществляемых при обработке рисков ИБ в рамках процесса управления рисками ИБ.
Выбор вариантов обработки рисков ИБ основан на выходных данных оценки рисков ИБ, предполагаемых затратах на их реализацию и ожидаемой прибыли от их внедрения.
Если значительное сокращение рисков ИБ может быть достигнуто при относительно низких затратах, именно такие действия и должны быть предприняты. Дополнительные действия по улучшению могут оказаться нерентабельными, и должно быть определено, являются ли они действительно оправданными.
В общем случае, негативные последствия рисков ИБ должны быть снижены до разумных пределов независимо от любых установленных критериев. Руководители должны рассматривать в основном редко встречающиеся, но серьезные риски ИБ. В таких случаях средства управления рисками ИБ, которые не являются оправданными только по экономическим соображениям, все равно должны быть реализованы
4. Обработка рисков ИБ
91
(например, средства управления непрерывностью бизнеса (УНБ) или устраняющие отдельные высокие риски ИБ).
Сохранение । риска И Б |
Снижение риска ИБ
Избежание риска ИБ
Передача риска И Б
Остаточный риск ИБ
Точка 2 принятия решения по рискам/\нет Обработка удовлетворяет
да
Рис. 4.1. Процесс обработки рисков ИБ
Четыре выше названные возможные варианта обработки рисков ИБ не являются взаимоисключающими. Иногда организация получит существенный выигрыш, сочетая такие варианты, как снижение значения вероятности рисков ИБ, уменьшения их последствий, а также передачи или сохранения любых остаточных рисков ИБ.
Некоторые виды обработки рисков ИБ эффективно борются сразу с двумя и более рисками (например, обучение или информирование по вопросам ИБ).
В организации обязательно разрабатывается план обработки рисков ИБ, в котором четко определены приоритеты, какие отдельные процедуры обработки рисков должны быть реализованы и в какие сроки. Приоритеты могут быть установлены с использованием различных методов, включая рейтинги рисков ИБ и анализ «затраты-выгода». Руководитель организации несет ответственность за решения по балансу между затратами на внедрение защитных мер и распределением бюджета.
Идентификация существующих средств управления рисками ИБ может показать, что они превышают текущие потребности с учетом их стоимости, включая сопровождение. Если рассматривается исключение избыточных или ненужных средств (особенно, если они имеют высокие эксплуатационные расходы), должны учитываться требования по ОИБ и стоимость. Поскольку средства управления могут влиять друг на друга, удаление избыточного элемента может снизить общий уровень ИБ в конкретном месте. Кроме того, может быть дешевле оставить избыточный или ненужный элемент на месте, чем исключить его.
92
Управление рисками ИБ
Варианты обработки рисков ИБ рассматриваются с учетом следующего:
как риск ИБ воспринимается теми, кого он затрагивает;
наиболее приемлемые способы обмена информацией между затрагиваемыми сторонами.
Установление контекста управления рисками ИБ дает информацию о требованиях законодательства и регулирующих органов, которые должна выполнять организация. Обязательно реализуются все действия по обработке рисков ИБ, позволяющие организации соблюдать указанные требования. В ходе обработки рисков ИБ принимаются во внимание все ограничения - организационные, технические, структурные и другие, выявленные в ходе установления контекста.
После уточнения плана обработки рисков ИБ необходимо определить остаточный риск ИБ. Приемлемая величина остаточного риска ИБ не должна превышать максимально допустимую величину риска ИБ, утвержденную руководством организации. Для этого может потребоваться обновить и произвести заново все итерации по оценке рисков ИБ, учитывая ожидаемый эффект от предложенной обработки рисков ИБ. Если и после этого остаточный риск ИБ не соответствует критериям принятия рисков ИБ в организации и превышает максимально допустимую величину риска ИБ, то для его уменьшения должны быть выбраны дополнительные защитные меры и далее выполнены дальнейшие итерации обработки рисков до того момента, пока риск ИБ не будет принят.
На выходе процесса получается план обработки рисков ИБ с дальнейшими действиями для каждой группы рисков ИБ и остаточные риски ИБ, в отношении которых должны быть приняты решения руководством организации.
Для каждого из оцененных рисков ИБ, вошедших в список приоритетных, необходимо выбрать стратегию дальнейшего реагирования, которая может быть направлена на то, чтобы «обойти» риск, застраховаться от него или смягчить его последствия. Иногда риск ИБ можно исключить полностью, отказавшись от одного-двух низкоприоритетных свойств защищаемого актива. Таким образом, для идентифицированных и оцененных рисков ИБ, превышающих приемлемую величину риска ИБ, существуют четыре возможных действия, которые может предпринять организация:
применение надлежащих защитных мер для снижения (уменьшения) рисков ИБ, которые считаются неприемлемыми;
сознательное и намеренное принятие (сохранение) рисков ИБ, при условии, что они соответствуют политикам организации и критериям принятия рисков ИБ; риск ИБ в конкретном случае считается осознанно допустимым, если организация должна смириться с возможными последствиями (стоимость защитных мер значительно
4. Обработка рисков ИБ
93
превосходит потери в случае реализации сценария инцидента ИБ или организация не может найти подходящие защитные меры);
избежание (предотвращение) рисков ИБ (например, отказ от активов или бизнес-процессов, являющихся причиной риска ИБ);
передача рисков ИБ другим сторонам - риск считается неприемлемым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации. Рассмотрим эти опции обработки рисков ИБ более подробно.
4.1. Снижение риска ИБ
Согласно стандартам [3, 4] величина оцененных рисков ИБ в пределах области действия рассматриваемой СУИБ должна быть снижена, что осуществляется посредством выбора средств управления рисками ИБ и позволяет добиться того, чтобы остаточный риск ИБ был оценен как приемлемый для организации. Обоснованные защитные меры выбираются на основе стандартов ISO/IEC 27001 и 27002, а также дополнительных источников, если это необходимо. Строго говоря, задача во многих ситуациях состоит не в том, чтобы свести возможность проявления риска ИБ и его последствий к нулю. Если такое решение и достижимо, оно может потребовать слишком много ресурсов. Реальной целью выбора мер является снижение вероятности и последствий реализации рисков ИБ до уровня, приемлемого для данной организации.
В соответствии с [8, 11] для выбора и внедрения защитных мер, вызванных рисками ИБ, используются результаты детального анализа рисков ИБ, позволяющего рассмотреть их всесторонне. Таким образом, можно избежать крайностей в ОИБ ИС организации. Использование высокоуровневого анализа рисков ИБ позволяет выявлять системы с более низким уровнем риска, для которых могут быть выбраны стандартные защитные меры для обеспечения базового уровня ИБ. Этот уровень должен быть не ниже минимального уровня ИБ, установленного организацией для каждого типа ИС. Базовый уровень ИБ достигается путем реализации минимального пакета защитных мер, известных как базовые защитные меры. Они могут быть идентифицированы по каталогам, которые предлагают пакеты защитных мер для различных типов ИС для обеспечения их защиты от большинства общих угроз ИБ. Каталоги содержат информацию о категориях или отдельных защитных мерах или об их совместном применении. Средний и более высокий уровень ИБ достигается использованием дополнительных защитных мер.
После идентификации подходящих защитных мер, позволяющих снизить риск ИБ до приемлемого уровня, необходимо оценить, в какой именно степени эти меры в случае их реализации уменьшат риск ИБ. Если остаточный риск ИБ является неприемлемым, необходимо принять бизнес-решение о том, что с ним делать дальше. Один из возможных вариантов
94
Управление рисками ИБ
состоит в выборе дополнительных средств, в конечном счете уменьшающих этот риск до приемлемого уровня - если ожидаемые потери больше допустимого уровня, необходимо усилить защитные меры. Для рисков ИБ, не устраненных окончательно или не поддающихся «смягчению», нужно разработать план действий на случай их проявления.
Хотя обычно рекомендуется не допускать оставления неприемлемых рисков ИБ, снижение всех рисков до приемлемого уровня не всегда возможно или осуществимо с финансовой точки зрения.
Существуют риски ИБ, относящиеся к категории достаточно приоритетных, но при этом поддающиеся воздействию.
Выбор защитных мер должен удовлетворять всем требованиям (включая законодательные, контрактные и т. п.), определенным во время оценки и обработки рисков ИБ, и учитывать критерии принятия рисков ИБ, стоимость и временные затраты на реализацию, технические и организационные аспекты. Очень часто можно снизить общую стоимость владения активами при правильном выборе элементов управления ИБ.
Уже реализованные защитные меры должны подвергнуться переоценке на основе сравнений затрат, включая сопровождение, с намерением исключить или усовершенствовать их в случае недостаточной эффективности. Подчеркнем, что иногда исключение несоответствующей (неэффективной) защитной меры может быть дороже, чем последующая ее эксплуатация с возможным добавлением другой меры.
При выборе реализуемых защитных мер следует учесть множество факторов, в том числе:
стоимость приобретения, внедрения, администрирования, функционирования, мониторинга и сопровождения по отношению к ценности активов;
возврат инвестиций в терминах снижения рисков ИБ и потенциального использования новых возможностей для бизнеса;
необходимость получения новых навыков по внедрению и эксплуатации новых и модификации существующих защитных мер;
любые ограничения: временные, финансовые, технические, организационные, операционные, культурные, этические, экологические, законодательные, человеческие и т. д.;
легкость использования и управления;
прозрачность для пользователя;
помощь, предоставляемую пользователям для выполнения их функций;
производительность;
совместимость с существующими мерами;
влияние на производительную работу защищаемых активов;
типы выполняемых функций - коррекция, исключение, предотвращение, минимизация воздействия, сдерживание, обнаружение, восстановление, мониторинг и оповещение.
4. Обработка рисков ИБ
95
Новые защитные меры не должны порождать ложное чувство защищенности или порождать новые риски ИБ (например, требование выбора сложных паролей без соответствующего тренинга, что заставляет пользователей записывать новые пароли на бумаге).
Средства управления рисками ИБ позволяют уменьшить оцененный риск ИБ несколькими различными способами, например:
уменьшая вероятность реализации угрозы ИБ или вероятность использования уязвимости, приводящих к данному риску ИБ;
обеспечивая выполнение законодательных и бизнес-требований;
уменьшая возможные последствия в случае реализации риска ИБ;
обнаруживая нежелательные события, реагируя на них и выполняя восстановление.
Выбор организацией одного из перечисленных способов (или их комбинации) для обеспечения защиты своих активов внутри данной СУИБ является бизнес-решением и зависит от условий бизнеса и обстоятельств, в которых приходится работать организации.
Выходными данными процесса снижения рисков ИБ является список необходимых и достаточных возможных средств управления рисками ИБ с их стоимостью, преимуществами и приоритетами внедрения. Кроме того, должны быть документированы связи с результатами оценки рисков ИБ и обеспечено максимально возможное снижение рисков ИБ.
После реализации выбранных защитных мер риски ИБ остаются в любом случае. Поэтому необходимо проверить результаты их действия (например, по отчетам об инцидентах ИБ или файлам журналов регистрации систем), чтобы окончательно оценить, насколько хорошо работают реализованные меры. Эти действия являются частью этапа проверки в модели PDCA, и после этого идентифицированные усовершенствования должны быть реализованы на этапе улучшения СУИБ в целом и управления рисками ИБ в частности для более эффективного ОИБ.
4.2. Сохранение риска ИБ
Решение по сохранению (принятию и удержанию на том же уровне) рисков ИБ без принятия каких-либо мер должно зависеть от результатов оценивания рисков ИБ. В ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005 определена возможность «сознательного и объективного принятия рисков, при условии, что они четко соответствуют политикам организации и удовлетворяют критериям принятия рисков». Таким образом, если величина оцененных рисков ИБ удовлетворяет критериям принятия рисков, нет необходимости внедрения дополнительных средств управления рисками ИБ, и оцененный риск может быть сохранен на прежнем уровне [1-4, 15].
Если принять во внимание ранее приведенные соображения, что со временем защитные меры и СОИБ в целом деградирует и перестает
96
Управление рисками ИБ
полностью удовлетворять текущим требования по ОИБ, то через некоторое время для поддержания рисков ИБ на прежнем уровне после ранее произведенного внедрения выбранных мер потребуется усилить те из них, которые влияют на сохраняемые риски ИБ. А это повлечет за собой дополнительные финансовые и иные затраты.
4.3. Избежание риска ИБ
Деятельности или условий, приводящих к отдельному риску ИБ, нужно избегать. Согласно [3, 4] если выявленные риски ИБ считаются слишком высокими или затраты на осуществление других действий по обработке рисков ИБ превышают выгоды, может быть принято решение полностью избежать риска ИБ путем отказа от запланированной или осуществляемой деятельности или набора действий или изменением условий осуществления данной деятельности. Например, для рисков ИБ, вызванных природными явлениями, может быть наиболее экономически целесообразно физически переместить СОИ в то место, где риск ИБ не существует или он находится под контролем.
К избежанию рисков ИБ относятся все действия, в результате которых активы исключаются из областей риска (например, физических областей или бизнес-процессов). Этого можно достичь, например, таким образом:
невыполнение отдельных бизнес-операций (например, неиспользование средств электронной коммерции или неиспользование Интернета для конкретных бизнес-операций);
перемещение активов из области, подвергающейся риску (например, запрет хранить важные файлы в интранете организации или перемещение активов из областей, в которых отсутствует надлежащая физическая защита);
решение не обрабатывать особо важную информацию, например, третьей стороной, если не может быть гарантировано должное обеспечение ИБ.
При оценивании варианта избежания риска ИБ его необходимо согласовать с бизнес-потребностями и финансовыми затратами организации. Например, использование Интернета для электронной коммерции может быть обязательным вследствие потребностей бизнеса, несмотря на все проблемы, связанные с незащищенность Интернета, а перемещение активов в более безопасное место может быть недопустимо с точки зрения бизнес-процесса. В подобных ситуациях следует рассмотреть другие опции, то есть передача или снижение риска ИБ.
4.4. Передача риска ИБ
Согласно [3, 4] передача рисков ИБ другим сторонам, способным наиболее эффективно управлять ими по результатам оценивания рисков ИБ, может быть наилучшим вариантом в случае, если невозможно избежать риска и трудно, или слишком дорого, добиться его снижения.
4. Обработка рисков ИБ
97
Передача риска ИБ заключается в разделение определенных рисков с внешними сторонами. Правда, она может породить новые или модифицировать уже существующие риски ИБ. Поэтому может потребоваться дополнительная обработка рисков ИБ.
Передача может быть осуществлена посредством страхования от последствий рисков ИБ или аутсорсинга (субподряда с партнером, роль которого будет заключаться в управлении ИС и принятии незамедлительных мер, останавливающих атаку, прежде чем она вызовет определенный ущерб).
Страхование обычно осуществляется на сумму, соизмеримую с оцененной стоимостью активов и соответствующими рисками ИБ, а также с учетом ценности активов для бизнес-процессов организации. Компенсация убытков предоставляется в том случае, если реализуется риск ИБ, находящийся в пределах страхового покрытия.
Еще одна возможность состоит в использовании для работы с критически важными активами или процессами третьей стороны или аутсорсинговых партнеров, если они должным образом оснащены для выполнения подобной работы. В этом случае необходимо позаботиться, чтобы в соответствующие договоры были включены все требования по ОИБ, цели и защитные меры, которые гарантировали бы обеспечение необходимого уровня ИБ.
Следует отметить, что можно передать ответственность за управление рисками ИБ, но обычно невозможно перенести ответственность за воздействия. Клиенты, как правило, возлагают вину за неблагоприятные последствия на саму организацию.
Другой пример передачи рисков ИБ - когда активы, которые подвергаются риску ИБ, выводятся за область действия данной СУИБ. В этом случае ОИБ особо важной информации может оказаться более простым и дешевым, но необходимо позаботиться о том, чтобы все активы, необходимые для бизнеса, были включены в данную СУИБ посредством соответствующих интерфейсов и зависимостей.
Однако не все потери можно полностью застраховать (например, незастрахованные инциденты, урон, нанесенный бренду или репутации, снижение стоимости активов причастных сторон, сокращение доли рынка и последствия для здоровья человека). Одно только финансовое урегулирование не всегда позволяет полностью защитить организацию способом, удовлетворяющим ожидания причастных сторон. Установление объема страхования, вероятнее всего, следует использовать совместно с другими стратегиями.
Также существуют и некоторые виды рисков ИБ, которые вообще не могут быть переданы. В частности невозможно передать риск потери репутации, даже если в договоре предусмотрен отказ от поставки услуги.
98
Управление рисками ИБ
Вопросы для самоконтроля
1. Какие основные способы обработки рисков ИБ? В чем основная цель каждого из них?
2. Кто в организации обладает достаточными полномочиями для принятия решения об уровне приемлемого риска ИБ и почему?
3. На основе какой информации должно приниматься решение об уровне приемлемого риска ИБ?
4. Какие существую меры по снижению рисков ИБ до приемлемого уровня?
5. Каким образом и кем осуществляется планирование мер по обработке рисков ИБ?
5. ПРИНЯТИЕ, КОММУНИКАЦИЯ, МОНИТОРИНГ И ПЕРЕСМОТР РИСКОВ ИБ
5.1. Принятие рисков ИБ
Согласно [3, 4] входными данными являются план обработки рисков ИБ и оценка рисков ИБ, на основе которых руководство организации делает заключение о принятии рисков ИБ.
Во время данного этапа принимаются и документируются решения о принятии рисков ИБ и об ответственности за такое решение. Планы обработки рисков ИБ описывают, как оцененные риски ИБ должны быть обработаны в соответствии с критериями принятия рисков. Важно, чтобы ответственные руководители пересмотрели и утвердили планы обработки рисков и результирующие остаточные риски ИБ, а также зарегистрировали все условия, связанные с такой поддержкой.
Критерии принятия рисков ИБ могут быть более сложными, чем просто определение, когда остаточный риск ИБ выше или ниже определенного порогового значения.
В некоторых случаях величина остаточного риска ИБ может не соответствовать критериям принятия рисков ИБ, поскольку применяемые критерии не учитывают все текущие обстоятельства. Например, возможно доказать необходимость принятия рисков ИБ по причине привлекательности получаемых от этого выгод или очень больших затрат на их снижение. В этой ситуации важно дать ответ на вопрос: что для организации выгоднее - снижать риски ИБ или бороться с их последствиями, и решать оптимизационную задачу.
Такие обстоятельства указывают на то, что, возможно, критерии принятия рисков ИБ неадекватны и должны быть по возможности пересмотрены. Однако своевременно пересмотреть их не всегда возможно. В таких случаях лицам, принимающим решения, возможно придется принять риски ИБ, которые не соответствуют обычным критериям. Но тогда принимающие решения лица должны четко прокомментировать все такие риски ИБ и привести для них обоснования решений по их принятию.
Основными факторами, влияющими на решение о принятии рисков ИБ, являются:
возможные последствия реализации рисков ИБ, включая все связанные с этим расходы;
ожидаемая частота подобных событий.
Количественные оценки этих факторов субъективны, как было показано ранее, поэтому принимающие решение лица должны иметь представление о точности и достоверности информации, на основе которой приняты данные решения.
100
Управление рисками ИБ
Выходными данными процесса является список принимаемых рисков ИБ с обоснованием тех из них, которые не соответствуют обычным критериям организации в области принятия рисков ИБ.
5.2. Коммуникация рисков ИБ
Во всех стандартах, посвященных рискам ИБ, отмечается необходимость уделять особое внимание информированию о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ должно осуществляться постоянное информирование всех участников процесса управления ИБ, а также фиксирование событий, входящих в область действия СУИБ.
Входными данными процесса является информация по рискам ИБ, полученная во время осуществления всей деятельности по управлению рисками ИБ [3, 4]. Должен быть организован обмен такой информацией о рисках ИБ и ее совместное использование лицами, принимающими решения, и всеми причастными сторонами.
Коммуникация (обмен информацией относительно) рисков ИБ - это деятельность, направленная на достижение соглашения в области управления рисками ИБ путем обмена и/или совместного использования информации о рисках между стороной принимающей решения и другими причастными сторонами. Информация включает (но не ограничивается) наличие, характер, форму, вероятность, серьезность, обработку и приемлемости рисков ИБ.
Эффективная связь между всеми сторонами важна, поскольку она оказывает существенное влияние на решения, которые должны быть приняты. Именно она будет гарантировать, что лица, ответственные за осуществление управления рисками ИБ, и те, кто заинтересован в этом, понимают основы, на которых принимаются решения и причины необходимости конкретных действий. Связь является двунаправленной.
Восприятие и осознание рисков ИБ может меняться в зависимости от различий в исходных предположениях, концепциях и потребностях, связанных с рисками проблем и озабоченности причастных сторон или обсуждаемых вопросов. Причастные стороны, как правило, выносят свои суждения о приемлемости рисков ИБ на основе своего восприятия рисков. Поэтому особенно важно, чтобы восприятие как рисков ИБ, так и выгод было определено и документально оформлено, а лежащие в основе причины четко поняты и учтены.
Деятельность по коммуникации рисков ИБ может осуществляться со следующими целями:
гарантировать получение результата при управлении рисками ИБ организации;
собрать информацию по рискам ИБ;
5. Принятие, коммуникация, мониторинг и пересмотр рисков ИБ
101
совместно использовать результаты оценки рисков ИБ и представить план обработки рисков ИБ;
избежать или снизить возникновение и последствия от нарушения ИБ из-за недостатка взаимопонимания между принимающими решения и заинтересованными лицами;
обеспечить поддержку процесса принятия решений;
получить новые знания в области ИБ;
скоординировать действия всех сторон в соответствии с планом уменьшения последствий любых инцидентов ИБ;
дать принимающим решения и заинтересованным сторонам почувствовать ответственность по отношению к рискам ИБ;
повысить осведомленность (информированность).
Организация разрабатывает план коммуникации рисков ИБ в обычных и нештатных ситуациях, поскольку данная деятельность должна осуществляться непрерывно. Этот план должен включать в себя механизмы для регулярного обновления информации о рисках ИБ как составной части программы непрерывного повышения осведомленности сотрудников организации в вопросах ИБ. Он также должен предусматривать оповещение сотрудников об инцидентах ИБ.
Координация связи между основными принимающими решения и причастными сторонами достигается посредством создания комитета, который обсуждает риски ИБ, их приоритезацию и приемлемую обработку и принимает решения по обработке и принятию рисков ИБ.
Также важно (особенно в случае действий в кризисных ситуациях, например, в ответ на конкретные инциденты ИБ) сотрудничать в рамках организации с соответствующими подразделениями связей с общественностью и коммуникаций для координации всех задач, связанных с коммуникацией рисков ИБ.
Процесс получения обратной связи и вовлечения сотрудников организации в процесс управления рисками ИБ рассмотрен в стандарте BS 7799-3:2006 и включает следующие рекомендации [6]:
четко определить область действия для предложений, касающихся СУИБ и управления рисками ИБ;
использовать простые и легко заполняемые формы для получения предложений;
определить контактных лиц для отправки предложений и запросов;
выражать признательность за любое обращение;
проявлять гибкость в отношении присланных предложений;
по мере возможности привлекать приславшего предложение к процессу устранения выявленной им проблемы;
предусмотреть систему премирования полезных обращений;
быстро и эффективно внедрять предлагаемые усовершенствования;
информировать об успешных усовершенствованиях сотрудников организации;
периодически выпускать напоминания о процессе усовершенствования.
102
Управление рисками И Б
Выходом является постоянное понимание процессов и результатов управления рисками ИБ в организации.
5.3. Мониторинг и пересмотр рисков ИБ
Управление рисками ИБ - это не одноразовое мероприятие. Вероятность проявления и последствия однажды выявленных рисков ИБ и оценка их приоритетности могут в дальнейшем измениться, а могут появиться и новые риски ИБ. Например, по мере накопления сведений об определенных инструментах и методах у исполнителей растет уверенность, что работы по каким-то проектам могут быть выполнены в срок. Или, наоборот, опыт сборки и тестирования предварительных версий ИС, возможно, заставляет усомниться в достаточной ее производительности. Это значит, что данные о рисках ИБ должны регулярно обновляться. Повторный анализ рисков ИБ желательно провести таким образом, чтобы свежие сведения можно было использовать при планировании очередной итерации цикла управления рисками ИБ.
Деятельность по мониторингу рисков ИБ включает две составляющие:
1) мониторинг (как процесс регулярного получения, отслеживания и анализа) и пересмотр показателей риска ИБ;
2) мониторинг, пересмотр и усовершенствование управления рисками ИБ.
5.3.1. Мониторинг и пересмотр показателей риска ИБ
Согласно [3, 4] входные данные для процесса - вся информация о рисках ИБ, полученная во время деятельности по управлению рисками ИБ.
Риски ИБ не статичны. Угрозы ИБ, уязвимости, вероятности их проявления или последствия могут резко измениться, без явных на то указаний. Поэтому должен осуществляться постоянный мониторинг (получение, отслеживание и анализ) и пересмотр (переоценка) рисков ИБ и их основных показателей (например, ценность активов, последствия, угрозы ИБ, уязвимости, значения вероятностей реализации), что позволит выявить любые изменения в контексте управления рисками ИБ на ранних стадиях и иметь общую картину по рискам ИБ в организации. Этому процессу будет способствовать информация из любых внешних источников, описывающих новые угрозы ИБ и уязвимости.
Организация должна проводить постоянный мониторинг следующего: новые активы, попадающие в область действия управления рисками ИБ; необходимые изменения в ценности активов, например, вызванные изменениями бизнес-требований;
новые угрозы ИБ, которые могут проявляться как внутри, так и вне организации и которые еще не были оценены;
возможность использования угрозами ИБ новых или усилившихся старых уязвимостей;
выявление среди идентифицированных уязвимостей тех, которые могут использоваться новыми или вновь возникающими угрозами ИБ;
5. Принятие, коммуникация, мониторинг и пересмотр рисков ИБ
103
возрастающее влияние или последствия от агрегированных оцененных угроз ИБ, уязвимостей и рисков ИБ, проявляющееся в появлении неприемлемого уровня риска ИБ;
инциденты ИБ.
Новые угрозы ИБ, уязвимости или изменения в значениях вероятностей или последствий могут увеличить риски ИБ, ранее оцененные как более низкие. При пересмотре низких и ранее принятых рисков ИБ каждый риск должен рассматриваться как отдельно, так и совместно для оценки их возможного совместного воздействия. Если полученные таким образом риски ИБ не становятся более низкими, они обрабатываются ранее рассмотренными способами.
Могут измениться факторы, влияющие на значения вероятностей и последствия реализации угроз ИБ, а также применимость или стоимость различных вариантов обработки рисков ИБ. Существенные изменения, влияющие на организацию, должны переоцениваться более тщательно. Поэтому деятельность по мониторингу рисков ИБ производится непрерывно и периодически пересматриваются варианты обработки рисков ИБ.
Выходными данными процесса мониторинга рисков ИБ является постоянное согласование управления рисками ИБ с задачами бизнеса организации и критериями принятия рисков ИБ. Эти выходные данные могут стать входными для других действий при пересмотре рисков ИБ.
5.3.2. Мониторинг, пересмотр и усовершенствование ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ ИБ
Согласно [3, 4] входные данные для процесса - вся информация о рисках ИБ, полученная во время деятельности по управлению рисками ИБ.
Процесс управления рисками ИБ должен постоянно контролироваться, пересматриваться и усовершенствоваться по мере необходимости и надлежащим образом. Постоянный контроль и пересмотр необходимы для обеспечения уверенности организации в том, что контекст, результаты оценки и обработки рисков ИБ, а также планы управления рисками ИБ остаются актуальными и соответствующими текущей ситуации. Этим требованиям удовлетворяет как сам процесс управления рисками ИБ, так и осуществляемая в рамках него деятельность.
Любые согласованные улучшения процесса или действий, необходимых для соблюдения процесса управления рисками ИБ, доводятся до сведения соответствующих руководителей. Эти руководители должны иметь гарантии того, что никакой риск ИБ или элемент риска ИБ не упущен из виду или недооценен и что предпринимаются все необходимые действия и принимаются решения, позволяющие реалистично представлять риски ИБ и реагировать на них.
Кроме этого организация регулярно проверяет, что используемые для измерения риска ИБ и его элементов критерии остаются по-прежнему обоснованными и соответствуют бизнес-задачам, стратегиям и политикам, и что изменения бизнес-контекста должным образом учтены во время всего процесса управления рисками ИБ.
104
Управление рисками ИБ
Деятельность по мониторингу и пересмотру (переоценке) процесса управления рисками ИБ затрагивает следующее (но не ограничивается лишь этим):
законодательный контекст и окружающая среда;
конкурентоспособность;
подходы к оценке рисков ИБ;
ценность и классы активов;
критерии оценки влияния на бизнес;
критерии оценивания рисков ИБ;
критерии принятия рисков ИБ;
полная стоимость владения активами;
необходимые ресурсы.
Отслеживание значений ключевых индикаторов рисков ИБ, предварительно установленных на стадиях идентификации и оценки рисков ИБ, ведется постоянно.
Организация обеспечивает постоянную доступность ресурсов оценки и обработки рисков ИБ для пересмотра рисков ИБ, учета новых или измененных угроз ИБ и уязвимостей и соответствующего уведомления руководства.
Результатом мониторинга управления рисками ИБ может стать модификация или дополнение подхода, методологии или используемых инструментальных средств, что зависит от следующих факторов: выявленных изменений;
итераций процесса оценки рисков ИБ;
целей процесса управления рисками ИБ (например, непрерывность бизнеса, устойчивость к инцидентам ИБ, совместимость);
объектов процесса управления рисками ИБ (например, организации в целом, ее подразделений, информационных процессов, технической реализации, приложений, доступа в Интернет).
На выходе получается постоянная обоснованность и значимость процесса управления рисками ИБ по отношению к задачам бизнеса организации или постоянное обновление этого процесса.
Вопросы для самоконтроля
1. В чем отличие понятий сохранения и принятия рисков ИБ? Каковы входные и выходные данные этих процессов?
2. Что такое «коммуникация рисков ИБ»? Каковы цели осуществления деятельности по коммуникации рисков ИБ?
3. Как осуществляется мониторинг и пересмотр рисков ИБ?
4. В чем заключается суть мониторинга и пересмотра показателей рисков ИБ?
5. Каковы входные и выходные данные мониторинга и пересмотра всего процесса управления рисками ИБ?
6. ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИБ
6.1. Документальное обеспечение управления рисками ИБ
Ранее отмечалось, что в состав СУРИБ в качестве одного из ключевых элементов входит документация по управлению рисками ИБ. Успех внедрения эффективного и измеримого процесса управления рисками ИБ во многом зависит от грамотно подготовленной документации, адекватной текущему положению дел в организации, ее культуре и потребностям бизнеса.
Наряду с планом ОНБ, к основным документам по управлению рисками ИБ в британском стандарте BS 7799-3:2006 отнесены: описание методологии оценки рисков ИБ, план обработки рисков и отчет об оценке рисков [6]. Кроме того, в непрерывном цикле управления рисками ИБ используется множество рабочей документации: реестры активов, реестры рисков ИБ, декларация о применимости, списки проверок, протоколы процедур и тестов, журналы регистрации событий и инцидентов ИБ, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. д. Всю эту документацию условно можно разделить на два уровня: нормативный и операционный.
Внутренняя нормативная база организации в области управления рисками ИБ представлена в первую очередь «Политикой управления рисками ИБ» и «Методологией оценки рисков ИБ», которые устанавливают необходимые требования и правила. Эти документы пересматриваются на регулярной основе по мере накопления организацией собственного опыта, изменения ситуации в отношении рисков ИБ и развития бизнеса организации, одобряются и утверждаются высшим руководством организации.
Документ «Политика управления рисками ИБ» базируется на политике СУИБ и обычно состоит из следующих разделов:
общие положения;
цели и задачи управления рисками ИБ;
область управления рисками ИБ (обычно совпадает с областью действия СУИБ и СУРИБ);
критерии управления рисками ИБ (включая критерии оценки ущерба, оценки рисков ИБ, принятия рисков ИБ);
основные принципы управления рисками ИБ (например, осведомленность о риске, разделение полномочий, контроль со стороны руководства, постоянное совершенствование процесса и системы управления рисками ИБ, сочетание централизованного и децентрализованного подхода при управлении рисками ИБ, системный подход к управлению рисками ИБ, экономическая эффективность и т. п.);
106
Управление рисками ИБ
приоритетные области рисков ИБ;
этапы управления рисками ИБ;
организация процесса управления рисками ИБ;
контроль процесса управления рисками ИБ;
отчетность по рискам ИБ;
коммуникация рисков ИБ;
ответственность за управление рисками ИБ;
основные термины, определения и сокращения;
ссылки.
На более низком, операционном, уровне находятся рабочие документы, которые на каждодневной основе используются для отображения текущей ситуации, анализа рисков ИБ, принятия решений по обработки рисков ИБ, планирования защитных мер, оценки соответствия, измерения эффективности и т. п. В число таких документов входят:
«План обеспечения непрерывности бизнеса»;
«Определение приоритетов аварийного восстановления»;
«План обработки рисков ИБ»;
«План оценки рисков ИБ»;
«План аудита и мониторинга ИБ»;
«Реестр (классификатор) рисков ИБ»;
«Реестр требований по ОИБ»;
«Реестр (классификатор) активов»;
«Определение ценности активов»;
«Модель угроз ИБ»;
«Оценка уровней угроз ИБ и уязвимостей»;
«Критерии оценки ущерба для организации»;
«Декларация (заявление) о применимости элементов управления рисками ИБ» (описывает применимые к организации требования по ОИБ, идентифицированных во время оценки рисков ИБ, и текущее состояние выполнения этих требований);
«Отчет об оценке рисков ИБ»;
«Роли и обязанности участников процесса управления рисками ИБ» ит. д.
Приведем примерное содержание документа «Отчет об оценке рисков ИБ»:
общие положения;
цели и задачи оценки рисков ИБ;
краткое описание методологии и результатов оценки рисков ИБ (включая идентификацию и оценку активов, угроз ИБ и уязвимостей, а также количественную оценку и оценивание рисков ИБ);
выводы для руководства с выделением самых опасных рисков ИБ и их причин;
6. Обеспечение управления рисками ИБ
107
приложения (реестры активов, рисков ИБ, требования по ОИБ и результаты определения ценности активов и ущерба для бизнеса).
Одним из основных документов процесса управления рисками ИБ является «План обработки рисков ИБ», определяющий действия по реализации решений по обработке рисков и скоординированный с другими бизнес-планами организации. Каждое из действий должно быть четко определено с указанием ответственности исполнителей, объемов требуемых для их выполнения ресурсов, контрольных точек, критериев успешности поставленной цели и контроля достигнутых результатов, а также сроков осуществления перечисленных действий. Меры по обработке рисков ИБ определяются для каждой группы угроз ИБ и уязвимостей, учитывают оставшиеся после их реализации величины остаточных рисков ИБ и имеют свои приоритеты. Наивысший приоритет присваивается тем мерам, которые служат для снижения самых высоких рисков ИБ и от успешности которых зависит реализация других мер. Особо выделяются защитные меры, быстрее и проще реализуемые и дающие скорейший эффект.
Поскольку документы по рискам ИБ организации должны носить конфиденциальный характер, они обязательно защищаются от несанкционированного доступа. Также определяется круг лиц, имеющих к ним доступ.
6.2. Инструментальные средства управления рисками ИБ
Для управления рисками ИБ и проведения их оценки разработаны разнообразные методы, начиная от простых подходов, основанных на анкетах с вопросами и ответами, и заканчивая методами, использующими структурный анализ. Как было показано ранее, существует множество различных методов оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных подходах и не предполагают применения специализированного ПО, другие, наоборот, его используют. В табличных методах можно наглядно отразить связь факторов негативного воздействия на активы организации и значений вероятностей реализации угроз ИБ с учетом используемых ими уязвимостей. Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость процессов оценки рисков ИБ и выбора защитных мер. Так, завершив в первый раз процесс оценки рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их ценности, требования ИБ и уровни рисков ИБ, а также идентифицированные элементы управления рисками ИБ), например, в БД. Средства программной поддержки могут значительно облегчить эту работу, а также все будущие действия по повторной переоценке.
108
Управление рисками ИБ
В организации рекомендуется сначала внедрить политику управления рисками ИБ и методологию оценки рисков ИБ и провести первоначальную высокоуровневую оценку рисков вручную, а затем перейти к выбору инструментов, которые бы соответствовали выбранному подходу и облегчали выполнение основных операций по оценке рисков ИБ [40]. Положительный эффект от использования таких инструментов может быть значительно выше при детальной оценке рисков ИБ, предполагающей рассмотрение большого количества рисков, так как в этом случае аналитическая работа существенно усложняется.
Основными преимуществами использования ПО оценки рисков ИБ являются:
автоматизация алгоритма процесса оценки рисков ИБ;
унификация методологии оценки рисков ИБ, обеспечивающая воспроизводимость результатов;
интеграция с другими системами управления организации, со средствами контроля соответствия и с системами защиты информации;
поддержание в актуальном состоянии реестров активов, уязвимостей, угроз ИБ и требований ИБ;
автоматическое формирование планов обработки рисков ИБ и деклараций о применимости;
документирование процессов и жизненного цикла СУИБ.
Что должно обеспечивать средство для оценки рисков ИБ? Приводимый ниже список позволяет получить некоторое представление о критериях, которые следует учесть при выборе конкретного решения:
средство должно, по меньшей мере, содержать модули сбора дан-
ных, анализа, вывода результатов;
должны охватываться все компоненты риска ИБ и взаимосвязь между ними;
метод, на основе которого работает и функционирует выбранное средство, должен отражать политику организации и общий подход к оценке рисков ИБ;
если в процессе управления требуется выполнить сравнение альтернативных вариантов и выбрать адекватные, надежные и экономически эффективные элементы управления рисками ИБ, то важнейшей частью этого процесса является эффективное предоставление результатов, поэтому данное средство должно обеспечивать предоставление отчетов с результатами в понятном и четком виде;
возможность вести архив информации, полученной на этапе сбора данных, и архив аналитических данных которые могут пригодиться при проведении последующих оценок рисков ИБ или запросов;
должна быть доступна документация, описывающая данное средство, поскольку она играет важную роль в его эффективном использовании;
6. Обеспечение управления рисками ИБ
109
выбранное средство должно быть совместимо с программным и аппаратным обеспечением, используемым в организации;
автоматизированные средства, как правило, эффективны и свободны от ошибок, но некоторые из них могут иметь сложные процессы установки или использования, поэтому может возникнуть необходимость рассмотреть доступность программ обучения и поддержки;
эффективное применение данного средства частично зависит от того, насколько хорошо пользователь понимает этот продукт, а также от корректной установки и конфигурации используемого средства, поэтому большое значение может иметь наличие руководства по установке и использованию и сопровождение в виде обучения и постоянной поддержки.
В настоящее время на рынке есть около двух десятков программных продуктов для оценки рисков ИБ: от простейших, ориентированных на базовый уровень ИБ, до сложных и дорогостоящих, позволяющих реализовать полный вариант оценки рисков ИБ и выбрать комплекс защитных мер требуемой эффективности. Программные средства последнего класса строятся с использованием SSADM - структурных методов системного анализа и проектирования (англ. Structured Systems Analysis and Design Method) [www.selectbs.com/analysis-and-design/what-is-ssadm] и представляют собой инструментарий для выполнения следующих операций:
построения модели ИС с позиции ИБ;
оценки ценности активов;
составления списка угроз ИБ и уязвимостей, оценки их характеристик;
выбора защитных мер и анализа их эффективности;
анализа вариантов построения защиты;
документирования (генерация отчетов).
Примеры наиболее популярных инструментальных средств управления рисками ИБ приведены в Приложении 3.
Вопросы для самоконтроля
I. Что входит в документальное обеспечение управления рисками ИБ?
2. Охарактеризуйте документ «Политика управления рисками ИБ».
3. Назовите документы процесса управления рисками ИБ операционного уровня.
4. Что отражается в плане обработки рисков ИБ?
5. На каких этапах оценки рисков ИБ использование инструментальных средств управления рисками ИБ может принести наибольшую пользу?
6. Какие критерии необходимо учитывать при выборе инструментальных средства управления рисками ИБ?
ЗАКЛЮЧЕНИЕ
В учебном пособии подробно рассмотрен процесс управления рисками ИБ, включая основные этапы и результаты его работы.
Введены понятие риска ИБ и определены процесс и система управления рисками ИБ.
Детально рассмотрены составляющие процесса управления рисками ИБ и различные подходы к анализу (базовый, неформальный, детальный, комбинированный) и оценке (высокоуровневая и детальная) рисков ИБ.
Все представленные методы могут быть переработаны для целей создания собственного подхода к оценке рисков ИБ, учитывающего бизнес-цели организации, для которой этот подход разрабатывается.
Как уже говорилось, не существует «правильных» или «неправильных» способов расчета рисков ИБ, при условии, что понятия, описанные в учебном пособии, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ. Однако если перед организацией стоит задача построения формальной СУИБ, соответствующей требованиям российских или международных стандартов по управлению ИБ, необходимо, чтобы при разработке методики оценки рисков ИБ были учтены и выполнены все требования, которые предъявляют стандарты, в соответствии с которыми строится СУИБ, к процессу оценки рисков ИБ.
Материал, представленный в учебном пособии «Управление рисками информационной безопасности», предназначен для учебнометодической поддержки формирования у обучающихся профессиональных компетенций и их знаниевых компонентов.
В табл. 31 определена связь содержания глав учебного пособия с соответствующими профессиональными компетенциями.
Таблица 31. Профессиональные компетенции и разделы учебного пособия
Профессиональная компетенция Главы
Способность участвовать в управлении ИБ объекта в части оценки рисков ИБ 1-6
Способность участвовать в проектировании и разработке СУИБ объекта в части применения методов оценки рисков ИБ 2-3
В табл. 32 определена связь содержания глав учебного пособия с знаниевыми компонентами профессиональных компетенций. Полнота обеспечения знаниевых компонентов требует адаптации рассмотренной в данном учебном пособии методологии к особенностям конкретного объекта.
Заключение
111
Таблица 32. Знаниевые компоненты профессиональных компетенций и разделы учебного пособия
Компоненты знания профессиональных компетенций. После изучения учебного пособия обучающиеся будут Разделы
Знать
Современные подходы к управлению рисками ИБ и направления их развития Разд. 2.4
Особенности отдельных процессов управления рисками ИБ в рамках СУИБ Разд. 2.3-2.5
Основные международные и российские стандарты, регламентирующие управление рисками ИБ Разд. 2.3-2.5
Уметь
Анализировать текущее состояние ИБ на предприятии с целью разработки требований к разрабатываемым процессам управления рисками ИБ Разд. 2.3-2.5
Определять цели и задачи, решаемые разрабатываемыми процессами управления рисками ИБ Разд. 2.5
Разрабатывать процессы управления рисками ИБ, учитывающие особенности функционирования предприятия и решаемые ими задачи Гл. 3-6
Практически решать задачи формализации разрабатываемых процессов управления рисками ИБ Гл. 6
Владеть
Терминологией в области управления рисками ИБ Гл. 1-2
Навыками анализа активов организации, их угроз ИБ и уязвимостей в рамках управления рисками ИБ Гл. 3
Для полного формирования профессиональных компетенций необходимо определить объект, для которого создается или на котором функционирует СУИБ, и рассмотреть вопросы, относящиеся к СУИБ конкретного объекта с использованием основ методологии оценки рисков, изложенных в данном учебном пособии.
Для реализации контроля уровня усвоения обучающимися определенных знаниевых компонентов и, как следствия этому, уровня формирования профессиональных компетенций можно воспользоваться перечнями вопросов для самоконтроля, приведенными в конце каждого раздела учебного пособия.
Следует отметить, что материал данного учебного пособия необходимо рассматривать во взаимосвязи с другими аспектами управления ИБ.
ПРИЛОЖЕНИЯ
Ш. Примеры угроз ИБ
Обобщенные примеры угроз ИБ представлены в соответствии с ISO/IEC 27001:2005, ISO/IEC 27002:2005 и ISO/IEC 27005:2011, BS 7799-3:2006, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 2005-2010.
П1.1. Физическая безопасность и безопасность ОКРУЖАЮЩЕЙ СРЕДЫ
Защищенные области. Цель: предотвратить несанкционированный физический доступ, повреждение и вскрытие помещений организации и информации. Критичные или конфиденциальные средства обработки информации должны размещаться в защищенных областях, быть защищены четко определенными периметрами безопасности, оснащенными соответствующими барьерами безопасности и средствами контроля доступа. С этой целью связаны следующие угрозы ИБ, приводящие к физическому ущербу для организации: пожар;
бомбардировка;
землетрясение;
загрязнение окружающей среды (и другие формы катастроф, стихийных или вызванных действиями людей);
затопление;
ураган;
забастовка;
вторжение;
кража;
несанкционированный физический доступ;
умышленное причинение вреда.
Безопасность оборудования. Цель: предотвратить потери, ущерб, кражу или компрометацию активов и прерывание деятельности организации. Оборудование должно быть защищено от физических угроз и угроз окружающей среды. С этой целью связаны следующие угрозы ИБ:
запыление;
сбой системы кондиционирования воздуха;
бомбардировка;
компрометация ресурсов;
загрязнение окружающей среды (и другие формы катастроф, природных или вызванных действиями людей);
перехват информации;
Приложения
113
отказ поддерживающей инфраструктуры (такой как электричество, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха);
пожар;
затопление;
сбой оборудования;
утечка информации;
вторжение;
радиопомехи;
прерывание деятельности;
молния;
ошибка в процессе сопровождения;
сбой функционирования поддерживающей инфраструктуры;
вредоносный код;
флуктуация в системе электропитания;
кража;
несанкционированный физический доступ;
ошибка пользователя;
вандализм;
умышленное причинение ущерба.
П1.2. Управление коммуникациями и операциями
Операционные процедуры и ответственность. Цель: обеспечить корректное и безопасное функционирование средств обработки информации. Должны быть установлены ответственность и процедуры управления и эксплуатации всех средств обработки информации. С этой целью связаны следующие угрозы ИБ:
раскрытие информации;
мошенничество;
внедрение несанкционированного или не протестированного кода;
вредоносный код;
присвоение идентификатора другого пользователя;
злоупотребление ресурсами или активами;
ошибка персонала технической поддержки;
сбой ПО;
злоупотребление системой (случайное или преднамеренное);
сбой системы;
кража;
несанкционированный доступ;
несанкционированная или непреднамеренная модификация;
неудачные изменения;
использование ПО неавторизованными пользователями;
использование ПО несанкционированным образом;
ошибка пользователя;
умышленное причинение вреда.
114
Управление рисками ИБ
П1.3. Аспекты ИБ в управлении непрерывностью бизнеса
Цель’, противодействовать прерываниям бизнес-деятельности и защищать критичные бизнес-процессы от влияния крупных сбоев ИС или катастроф, а также обеспечивать их своевременное возобновление. Для минимизации ущерба организации и восстановления после потери информационных ресурсов должен быть реализован процесс управления непрерывностью бизнеса. С этой целью связаны следующие угрозы ИБ:
акты терроризма;
катастрофы (природные или вызванные действиями людей);
нарушение непрерывности бизнеса;
планы;
пожар;
ошибки;
сбой оборудования;
инциденты информационной безопасности;
прерывание бизнес деятельности и процессов;
невыполненное обслуживание;
сбой системы безопасности;
системный сбой;
кража;
недоступность.
П1.4. Соответствие
Соответствие требованиям законодательства. Цель: избежать нарушения любого законодательства, нормативной базы и контрактных обязательств, а также любых требований ИБ. Проектирование, эксплуатация, использование и управление ИС может попадать под действие законодательных, нормативных и контрактных требований ИБ. С этой целью связаны следующие угрозы ИБ:
нарушение контрактных обязательств;
нарушение законодательства или нормативной базы;
уничтожение записей;
повреждение носителей информации;
фальсификация записей;
нелегальный импорт/экспорт ПО;
нелегальное использование ПО;
потеря документов;
злоупотребление средствами обработки информации;
несанкционированный доступ;
несанкционированное использование материалов, являющихся интеллектуальной собственностью;
несанкционированное использование ПО;
Приложения
115
использование сетевого оборудования несанкционированным образом;
нарушение прав интеллектуальной собственности.
Соответствие политикам и стандартам ИБ, а также техническое соответствие. Цель: обеспечить соответствие систем политикам и стандартам ИБ организации. Безопасность ИС должна регулярно проверяться. С этой целью связаны следующие угрозы ИБ:
взлом защиты;
ущерб, наносимый тестами на проникновение;
сбой средств связи;
злоупотребление ресурсами;
доступ к сети неавторизованных лиц;
кража;
несанкционированный доступ;
нелегальный импорт/экспорт ПО;
нелегальное использование ПО;
вредоносный код;
несанкционированное использование ПО;
использование сетевого оборудования несанкционированным образом;
умышленное причинение ущерба.
Соображения относительно аудита ИБ ИС. Цель: максимизировать эффективность и минимизировать вмешательство в/из процесса аудита ИБ ИС. Должны существовать механизмы контроля для защиты действующих систем и средств аудита при проведении аудита ИБ ИС. С этой целью связаны следующие угрозы ИБ:
ущерб, причиняемый действиями третьей стороны;
раскрытие паролей;
прерывание бизнес процессов;
вмешательство в/из процесса аудита;
нарушение целостности;
злоупотребление средствами аудита;
несанкционированный доступ к журналам аудита;
несанкционированный доступ к средствам аудита;
несанкционированная модификация журналов аудита.
Другая возможная классификация угроз ИБ приведена ниже.
1. Происшествия, связанные с техническими причинами:
отказ (сбой) в работе технических средств;
повреждение кабелей или линий связи;
колебания напряжения (перенапряжение, импульсные выбросы);
перебои в системе электропитания;
воздействие статического электричества, индустриальных помех и технических наводок;
сбой (ошибки) в работе ПО, отказ ПО;
116
Управление рисками ИБ
отказ (сбой, ошибки) в работе СЗИ, средств мониторинга, контроля и администрирования;
отказ в обслуживании вследствие перегрузки (сети, сервера и т. п.);
воздействие вредоносных программ (вирусы, «черви», «троянские кони», закладные устройства);
ошибки при передаче данных;
неправильная маршрутизация сообщений;
потеря (повреждение) данных на носителе информации (выход из строя дискового накопителя с повреждением диска, повреждение магнитных носителей);
другие угрозы со стороны технических и программных средств (отказы электронных схем компьютеров и периферийного оборудования).
2. Происшествия, связанные со стихийными бедствиями:
пожар;
затопление при аварии водопровода, отопления, канализации;
разрушение ветхих элементов конструкции здания;
прямое попадание молнии или наводка импульсных токов во время грозы.
3. Происшествия, связанные с ненамеренными действиями людей:
невыход персонала на работу;
ошибки пользователя;
ошибки администрирования;
отсутствие надлежащего технического обслуживания, ошибки при его проведении;
некомпетентное использование, настройка или неправомерное отключение средств защиты информации (СЗИ) персоналом подразделения безопасности;
неумышленная порча оборудования;
неумышленное повреждение силовых и телекоммуникационных ли-ний/кабелей связи;
неумышленная порча носителей информации;
неумышленное удаление (искажение) защищаемой информации;
неумышленное разглашение конфиденциальной информации;
неуспешное внесение изменений в ИС;
внедрение ПО, содержащего ошибки;
нарушение ИБ в процессе разработки, внедрения и вывода из эксплуатации ИС и их компонентов;
предоставление некачественных услуг третьей стороной;
халатность, игнорирование установленных правил при работе в ИС (в том числе, правил обеспечения ИБ);
неумышленное нарушение технологии обработки информации;
неумышленное удаление (нарушение работы) программ;
несанкционированная установка и запуск программ;
Приложения
117
непреднамеренное заражение компьютера вирусами;
разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или электронной цифровой подписи (ЭЦП), идентификационных карточек, пропусков и т. п.);
создание потенциальной опасности нарушения ИБ при использовании мобильных компьютеров и носителей информации вне организации;
создание потенциальной опасности нарушения ИБ при дистанционной работе;
злоупотребление ресурсами;
другие непреднамеренные действия.
4. Злоумышленные действия людей:
забастовка, преднамеренный невыход персонала на работу;
диверсия;
наблюдения и фотографирование (визуальный перехват информации, выводимой на экран дисплеев или вводимой с клавиатуры для выявления паролей, идентификаторов и процедур доступа...);
раскрытие, перехват, хищение атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т. п.);
проникновение в систему через внешний (телефонный) канал связи с присвоением полномочий легального пользователя (ЛП) с целью подделки, копирования, уничтожения данных о платежах (реализуется угадыванием или подбором паролей, выявлением паролей и протоколов через агентуру в организации, перехватом паролей при подключении к каналу во время сеанса связи, дистанционным перехватом паролей в результате приема электромагнитного излучения);
проникновение в систему через телефонную сеть при перекоммута-ции канала на модем злоумышленника после вхождения ЛП в связь и предъявления им своих полномочий с целью присвоения его прав на доступ к данным;
копирование финансовой информации и паролей при негласном пассивном подключении к кабелю или при приеме электромагнитного излучения сетевого адаптера;
выявление паролей ЛП при негласном подключении к коммуникационной сети при имитации запроса сетевой ОС;
анализ трафика при пассивном подключении к каналу связи или при перехвате электромагнитного излучения аппаратуры для выявления протоколов обмена;
подключение к каналу связи в качестве активного ретранслятора для фальсификации платежных документов, изменения их содержания, порядка следования, повторной передачи, доставки с задержкой или упреждением;
118
Управление рисками ИБ
блокировка канала связи собственными сообщениями, вызывающая отказ в обслуживании для пользователей;
отказ абонента от факта приема (передачи) платежных документов или формирование ложных сведений о времени приема (передачи) сообщений для снятия с себя ответственности за выполнение этих операций;
отказ от авторства сообщений;
формирование ложных утверждений о полученных (переданных) платежных документах;
манипуляции с передаваемыми по сети данными (имитация, подмена, замена, вставка, удаление, изменение, повторное использование);
перенаправление потоков данных (в частности, на системы, контролируемые злоумышленником);
блокирование потоков данных;
ввод некорректных (ложных) данных и значений параметров (время и т. п.);
скрытая НС передача конфиденциальной информации в составе легального сообщения для выявления паролей, ключей и протоколов доступа;
незаконное объявление пользователем себя другим пользователем (маскировка) для нарушения адресации сообщений или отказа в законном обслуживании;
маскарад в сети (попытка злоумышленника выдать свою систему за легальный объект);
считывание информации с жестких и гибких дисков (в том числе и остатков «стертых» файлов), магнитных лент при копировании данных с оборудования на рабочих местах в нерабочее время, при копировании данных с использованием терминалов, оставленных без присмотра в рабочее время;
копирование данных с магнитных носителей, оставленных на столах или в компьютерах; копирование данных с оборудования и магнитных носителей, убранных в специальные хранилища, при их вскрытии или взломе;
сбор и анализ использованных распечаток, документации и других материалов для копирования информации или выявления паролей, идентификаторов, процедур доступа и ключей;
негласная переработка оборудования или ПО на фирме-изготовителе, фирме-поставщике, в месте складирования или в пути следования к заказчику с целью внедрения средств НСД к информации извне (программ-перехватчиков и «троянских коней», аппаратуры вывода информации и т. п.), а также уничтожение информации или оборудования (например, с помощью вирусов, ликвидаторов с дистанционным управлением или замедленного действия);
Приложения
119
намеренная порча технических средств, носителей информации; повреждение силовых и телекоммуникационных линий/кабелей связи;
разрушение информации или создание сбоев в ИС с помощью вирусов для дезорганизации деятельности организации (реализуется загрузкой вирусов в нерабочее время, подменой игровых программ или вручением сотруднику «подарка» в виде новой игры или другой занимательной программы);
повреждение (удаление) регистрационной, конфигурационной или иной информации, влияющей на безопасность ИС;
похищение оборудования, в том числе отдельных плат, дисководов, дорогостоящих микросхем, кабелей, дисков, лент, с целью продажи, что влечет за собой потерю работоспособности системы, а иногда и уничтожение данных;
похищение магнитных носителей с целью получения доступа к данным и программам;
разрушение оборудования, магнитных носителей или дистанционное стирание информации (например, с помощью магнитов);
установка ликвидаторов замедленного действия или с дистанционным управлением (программных, аппаратных или аппаратно-программных с исполнительным механизмом взрывного, химического, электрического или вирусного действия) с целью уничтожения информации или оборудования;
злоупотребление полномочиями;
внесение изменений в данные и программы для подделки и фальсификации финансовых документов при включении системы во время негласного посещения в нерабочее время; использование оставленного без присмотра оборудования в рабочее время; внесение изменений в данные, записанные на оставленных без присмотра магнитных носителях;
несанкционированное изменение своих полномочий на доступ или полномочий других пользователей в обход механизмов защиты;
установка скрытых передатчиков для вывода паролей с целью копирования данных или доступа к ним по легальным каналам связи с ИС в результате негласного посещения в нерабочее время, посещения с целью ремонта, настройки, профилактики оборудования или отладки ПО, скрытой подмены элементов оборудования при оставлении их без присмотра в рабочее время;
внесение изменений в базу данных или в отдельные файлы в пределах выделенных полномочий для подделки или уничтожения финансовой информации.
120
Управление рисками ИБ
П2. Примеры уязвимостей
Приведены примеры уязвимостей применительно к различным объектам, требующим обеспечения ИБ [3, 4, 7, 10, 28, 29].
1. Среда и инфраструктура:
• отсутствие физической защиты зданий, дверей и окон (возможна, например, угроза кражи);
• неправильное или халатное использование физических средств управления доступом в здания, помещения (возможна, например, угроза намеренного повреждения);
• нестабильная работа электросети (возможна, например, угроза колебаний напряжения);
• размещение в зонах возможного затопления (возможна, например, угроза затопления) и т. д.
2. АО:
• отсутствие схем периодической замены (возможна, например, угроза ухудшения состояния запоминающей среды);
• подверженность колебаниям напряжения (возможна, например, угроза возникновения колебаний напряжения);
• подверженность температурным колебаниям (возможна, например, угроза возникновения экстремальных значений температу-ры);
• подверженность воздействию влаги, пыли, загрязнения (возможна, например, угроза запыления);
• чувствительность к воздействию электромагнитного излучения (возможна, например, угроза воздействия электромагнитного излучения);
• недостаточное обслуживание/неправильная инсталляция запоминающих сред (возможна, например, угроза возникновения ошибки при обслуживании);
• отсутствие контроля за эффективным изменением конфигурации (возможна, например, угроза ошибки операторов) и т. д.
3. ПО:
• неясные или неполные технические требования к разработке средств ПО (возможна, например, угроза программных сбоев);
• отсутствие тестирования или недостаточное тестирование ПО (возможна, например, угроза использования ПО несанкционированными пользователями);
• сложный пользовательский интерфейс (возможна, например, угроза ошибки операторов);
• отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например,
Приложения
121
угроза нелегального проникновения злоумышленников под видом законных пользователей);
• отсутствие аудиторской проверки (возможна, например, угроза использования ПО несанкционированным способом);
• хорошо известные дефекты ПО (возможна, например, угроза использования ПО несанкционированными пользователями);
• незащищенные таблицы паролей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей);
• плохое управление паролями (легко определяемые пароли, хранение в незашифрованном виде, недостаточно частая замена паролей);
• неправильное присвоение прав доступа (возможна, например, угроза использования ПО несанкционированным способом);
• неконтролируемая загрузка и использование ПО (возможна, например, угроза столкновения с вредоносным ПО;
• отсутствие регистрации конца сеанса при выходе с рабочей станции (возможна, например, угроза использования ПО несанкционированными пользователями);
• отсутствие эффективного контроля внесения изменений (возможна, например, угроза программных сбоев);
• отсутствие документации (возможна, например, угроза ошибки операторов);
• отсутствие резервных копий (возможна, например, угроза воздействия вредоносного ПО или пожара);
• списание или повторное использование запоминающих сред без надлежащего стирания записей (возможна, например, угроза использования ПО несанкционированными пользователями);
• отсутствие процедуры контроля изменений и т. д.
4. Коммуникации:
• незащищенные линии связи (возможна, например, угроза перехвата информации);
• неудовлетворительная стыковка кабелей (возможна, например, угроза несанкционированного проникновения к средствам связи);
• отсутствие идентификации и аутентификации отправителя и получателя (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей);
• пересылка паролей открытым текстом (возможна, например, угроза доступа несанкционированных пользователей к сети);
• * отсутствие подтверждений посылки или получения сообщения (возможна, например, угроза изменения смысла переданной информации);
122
Управление рисками ИБ
• коммутируемые линии (возможна, например, угроза доступа несанкционированных пользователей к сети);
• незащищенные потоки конфиденциальной информации (возможна, например, угроза перехвата информации);
• неадекватное управление сетью (недостаточная гибкость маршрутизации) (возможна, например, угроза перегрузки трафика);
• незащищенные подключения к сетям общего пользования (возможна, например, угроза использования ПО несанкционированными пользователями) и т. д.
5. Документы:
• хранение в незащищенных местах (возможна, например, угроза хищения);
• недостаточная внимательность при уничтожении (возможна, например, угроза хищения);
• бесконтрольное копирование (возможна, например, угроза хищения) и т. д.
6. Персонал:
• отсутствие персонала (возможна, например, угроза недостаточного числа работников);
• отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц (возможна, например, угроза хищения);
• недостаточная подготовка персонала по вопросам обеспечения ИБ (возможна, например, угроза ошибки операторов);
• отсутствие необходимых знаний по вопросам ИБ (возможна, например, угроза ошибок пользователей);
• неправильное использование программно-аппаратного обеспечения (возможна, например, угроза ошибки операторов);
• отсутствие механизмов отслеживания (возможна, например, угроза использования ПО несанкционированным способом);
• отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями (возможна, например, угроза использования сетевых средств несанкционированным способом);
• несоответствующие процедуры набора кадров (возможна, например, угроза намеренного повреждения);
• неадекватная ответственность за техническое обслуживание;
• отсутствие надлежащего распределения обязанностей за ОИБ и т. д.
7. Общие уязвимые места:
• отказ системы вследствие отказа одного из элементов (возможна, например, угроза сбоев в функционировании услуг связи);
• неадекватные результаты проведения технического обслуживания (возможна, например, угроза аппаратных отказов);
Приложения
123
• отсутствие или недостаточные условия, касающиеся ИБ, в договорах с клиентами и/или третьими лицами;
• отсутствие регулярных аудитов;
• отсутствие или неудовлетворительное соглашение об уровне сервисов;
• отсутствие планов ОНБ;
• отсутствие оговоренного дисциплинарного процесса в случае инцидента ИБ и т. д.
ПЗ. Инструментальные средства управления рисками ИБ
(Дата проверки сайтов - 02.2012)
Название продукта Разработчики продукта Сайт разработчиков
@Risk Palisade Corp. http://www.palisade.com/
Abriska 27001 Ultima Risk Management http://www.ultimariskmanagement.com
Agiliance RiskVision Agiliance http://www.agiliance.com
Archer Risk Management Archer Technologies http://www.archer.com
ARES ARES Corp. http://www.arescorporation.com
Bayesian Decision Support System (BDSS) OPA Inc. http://www.opainc.net
Buddy System Countermeasures Corp. http://www.countermeasures.com
CA GRC Manager CA http://www.ca-grc.com
Callio Secura 17799 Callio Technologies http://www.callio.com
Citicus ONE Citicus http://www.citicus.com
COBRA (Consultative, Objective and Bifunctional Risk Analysis) Risk Associates http://www.riskworld.net
CRAMM (CCTA Risk Analysis and Management Method) Central Computer and Telecommunications Agency (UK), Insight Consulting (Siemens) http://www.cramm.com
CRITI-CALC Zeta Group http://www.zetagroup.ca/zeta-criticalc.html
Digital Security Office 2005 (Гриф, Кондор) Digital Security (Россия) http://dsec.ru
Enterprise Risk Register Incom Pty Ltd. http://www.incom.com.au
MARION (Methodology of Analysis of Computer Risks Directed by Levels) и Mehari (MEthode Harmonisee d'Analyse de Rlsques) CLUSIF (France) http://www.clusif.asso.fr/
MethodWare Methodware (Jade Software Corp.) http://www.methodware.com
MetricStream IT GRC Solution MetricStream http://www. metricstream .com
124
Управление рисками ИБ
Название продукта Разработчики продукта Сайт разработчиков
Microsoft Security Assessment Tool Microsoft Corp. http://www.microsoft.com
Modulo Risk Management Modulo http://www.modulo.com
Network Advisor and Vulnerability Advisor RedSeal Systems http://www.redseal.net
OCTAVE Software Engineering Institute CarnegieMellon University http://www.cert.org/octave
PARI Maintenance (Programme d’Analyse des Risques lors des Interventions en Maintenance) Caisse Regionale D’Assurance Maladie Alsac-Moselle (France) http://www.cram-alsace-moselle.fr
Predict! Risk Decisions http://www.riskdecisions.com
Proteus Enterprise InfoGov http://www.infogov.co.uk
PTA Risk Assessment Tool PTA Technologies http://www.ptatechnologies.com
RA2 art of risk AEXIS Security Consultants совместно c XiSEC Consultants Ltd. http://www.aexis.com
Risk analysis management program (RAMP) Federal Protective Service http://www.dhs.gov
Risk Calc Hoffman Business Associates Inc. http://www.ramas.com/riskcalc.htm
Risk Check Norman Security Solutions http://www.norman.com
RiskComp Managed Service RiskComp Ltd. http://www.riskcomp.com
RISKMASTER Computer Sciences Corp. http://www.csc.com/risk_management_ and_claims
RiskOptix Chapman Technology Group Inc. http://www.ctgi.net
RiskPAC CSCI Inc. http://www.haxerweb.com/
RiskWatch RiskWatch Inc. http://www.riskwatch.com
Rsam Enterprise Risk Management Relational Security Corp. http://www.rsam.com/
SBA Method Norendal International (UK) http://www.thesbamethod.com
SCORE Ageris Consulting http://ageris-consulting.com/
SecureAware Lightwave Security http://www.lightwavesecurity.com
Secure Win Auditor (SWA) Secure Bytes http://www.secure-bytes.com
Skybox® Risk Control Skybox Security http://www.skyboxsecurity.com
Total Protection (ToPS) for Compliance McAfee http://www.mcafee.com
РискМенеджер (Авангард) Институт системного анализа РАН http://www.ocenkariskov.tk
Приложения
125
Принятые сокращения
АО - аппаратное обеспечение.
ИБ - информационная безопасность.
ИС - информационная система.
ИСО - Международная организация по стандартизации.
ИТТ - информационные и телекоммуникационные технологии.
ИТ - информационные технологии.
МЭК - Международная электротехническая комиссия.
НСД - несанкционированный доступ.
ОИБ - обеспечение информационной безопасности.
ОНБ - обеспечения непрерывности бизнеса.
ОС - операционная система.
ПО - программное обеспечение.
ПолИБ - политика информационной безопасности.
СОВ - система обнаружения вторжений.
СОИ - средства обработки информации.
СОИБ - система обеспечения информационной безопасности.
СУИБ - система управления информационной безопасностью.
СУРИБ - система управления рисками информационной безопасности.
УНБ - управление непрерывностью бизнеса.
ЭЦП - электронная цифровая подпись.
СПИСОК ЛИТЕРАТУРЫ
1. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
2. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
3. ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management».
4. ГОСТ P ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011.
5. Петренко С. А. Анализ рисков в области защиты информации. Информационно-методическое пособие по курсу повышения квалификации «Управление информационными рисками» СПб.: ООО Издательский дом «Афина», 2009.
6. BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management».
7. ISO/IEC 13335-3:1998 «Information technology. Guidelines for the management of IT Security. Part 3: Techniques for the management of IT Security».
8. ISO/IEC 13335^4:2000 «Information technology. Guidelines for the management of IT Security. Part 4: Selection of safeguards».
9. ГОСТ P ИСО/МЭК 51897-2002 «Менеджмент риска. Термины и определения».
10. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий». М.: Стандартинформ, 2007.
И. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер».
12. ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты».
13. «Risk Management Guide for Information Technology Systems» (NIST Special Publication 800-30). U.S. Government Printing Office. Washington, 2002.
14. Стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
15. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».
Список литературы
127
16. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».
17. ISO/IEC Guide 73:2009 «Risk management. Vocabulary. Guidelines for use in standards».
18. ГОСТ P 50922-2006 «Защита информации. Основные термины и определения».
19. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем: Учеб, для вузов / В 2 т. Т. 1: Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая линия-Телеком, 2006.
20. ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management».
21. ISO/IEC 15408-1:2009 «The Common Criteria for Information Technology Security Evaluation. 1: Introduction and general model».
22. ISO/IEC 15408-2:2008 «The Common Criteria for Information Technology Security Evaluation. Security functional components».
23. ISO/IEC 15408-3:2008 «The Common Criteria for Information Technology Security Evaluation. Security assurance components».
24. ГОСТ P ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введение и общая модель».
25. Петренко С. Методика построения корпоративной системы защиты информации. [Электронный ресурс]. URL: http://www.citforum.ru/ se-curity/articles/metodika_zashity/.
26. Райзберг Б. А., Лозовский Л. Ш., Стародубцева Е. Б. Современный экономический словарь. 2-е изд., испр. М.: ИНФРА-М, 1999.
27. Балдин К. В., Воробьев С. Н. Управление рисками. М.: Юнити-Дана, 2005.
28. ISO/IEC 13335-1:2004 «Information technology. Security techniques. Management of information and communications technology security».
29. ГОСТ P ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
30. ISO/TR 13569:2005 «Financial services - Information security guidelines».
31. ГОСТ P ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности». М.: Стандартинформ, 2009.
32. Костогрызов А. И., Степанов П. В. Инновационное управление качеством и рисками в жизненном цикле систем. М.: Изд-во ВПК, 2008.
33. Радько Н. М., Скобелев И. О. Риск-модели информационнотелекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. М: Радио Софт, 2010.
34. Емельянов А. А. Имитационное моделирование в управлении рисками / Монография. СПб.: Инжэкон, 2000.
128
Управление рисками ИБ
35. ISO/IEC 31010:2009 «Risk management. Risk assessment techniques».
36. Закис А. Как внедрить управление рисками // Intelligent Enterprise. № 13-14. 2003.
37. ГОСТ P ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Требования доверия к безопасности». М.: Стандартинформ, 2009.
38. AS/NZS 4360:2004 «Risk management». Standards Australia International Ltd, GPO Box 5420, Sydney, NSW 2001 and Standards New Zealand, Private Bag 2439, Wellington 6020, 2004.
39. ISO 31000:2009 «Risk management. Principles and guidelines».
40. Астахов А. Искусство управления информационными рисками. М.: ДМК Пресс, 2010.
41. Рекомендации в области стандартизации Банка России PC БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
Оглавление
Предисловие..................................................3
Введение.....................................................6
1. Нормативное обеспечение управления рисками информационной безопасности.................................................8
1.1. ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 -
управление рисками ИБ...................................9
1.2. BS 7799-3:2006 - руководство по управлению рисками ИБ.............................................11
Вопросы для самоконтроля...............................12
2. Основные определения.....................................13
2.1. Риск ИБ...........................................13
2.2. Управление рисками ИБ.............................17
2.3. Составляющие процесса управления рисками ИБ.......20
2.4. Системный подход к управлению рисками ИБ..........27
2.5. Установление контекста управления рисками ИБ......32
2.5.1. Базовые критерии принятия решений по управлению рисками ИБ..........................................33
2.5.2. Область действия и границы управления рисками ИБ..........................................34
2.5.3. Учет требований по ОИБ при управлении рисками ИБ..........................................35
Вопросы для самоконтроля...............................37
3. Оценка рисков ИБ.........................................38
3.1. Этап 1 - анализ рисков ИБ.........................41
3.1.1. Подэтап 1 анализа рисков ИБ - идентификация рисков ИБ...........................................42
3.1.2. Шаг 1 подэтапа 1 - идентификация активов.....43
3.1.3. Шаг 2 подэтапа 1 - идентификация угроз ИБ....47
3.1.4. Шаг 3 подэтапа 1 - идентификация существующих средств управления рисками ИБ.......................49
3.1.5. Шаг 4 подэтапа 1 - идентификация уязвимостей.50
3.1.6. Шаг 5 подэтапа 1 - идентификация последствий.52
3.1.7. Подэтап 2 анализа рисков ИБ - количественная оценка рисков ИБ....................................53
3.1.8. Шаг 1 подэтапа 2 - оценка последствий........55
3.1.9. Шаг 2 подэтапа 2 - оценка вероятностей.......60
3.1.10. Шаг 3 подэтапа 2 - определение уровня (величины) рисков ИБ...........................................63
3.2. Этап 2 - оценивание рисков ИБ.....................66
3.3. Подходы к оценке рисков ИБ........................67
130
Управление рисками ИБ
3.3.1. Базовый анализ рисков ИБ.....................70
3.3.2. Неформальный анализ рисков ИБ................72
3.3.3. Детальный анализ рисков ИБ...................73
3.3.4. Комбинированный анализ рисков ИБ.............75
3.3.5. Высокоуровневая оценка рисков ИБ.............75
3.3.6. Детальная оценка рисков ИБ...................77
3.3.7. Общий подход к оценке рисков ИБ PC БР ИББС-2.2-2009.......................................84
Вопросы для самоконтроля...............................89
4. Обработка рисков ИБ......................................90
4.1. Снижение риска ИБ.................................93
4.2. Сохранение риска ИБ...............................95
4.3. Избежание риска ИБ................................96
4.4. Передача риска ИБ.................................96
Вопросы для самоконтроля...............................98
5. Принятие, коммуникация, мониторинг и пересмотр рисков ИБ.99
5.1. Принятие рисков ИБ................................99
5.2. Коммуникация рисков ИБ...........................100
5.3. Мониторинг и пересмотр рисков ИБ.................102
5.3.1. Мониторинг и пересмотр показателей риска ИБ.102
5.3.2. Мониторинг, пересмотр и усовершенствование процесса управления рисками ИБ.....................103
Вопросы для самоконтроля..............................104
6. Обеспечение управления рисками ИБ.......................105
6.1. Документальное обеспечение управления рисками ИБ.105
6.2. Инструментальные средства управления рисками ИБ..107
Вопросы для самоконтроля..............................109
Заключение.................................................110
Приложения.................................................112
П1. Примеры угроз ИБ..................................112
П1.1. Физическая безопасность и безопасность окружающей среды...................................112
П1.2. Управление коммуникациями и операциями.......113
П1.3. Аспекты ИБ в управлении непрерывностью бизнеса ..114
П1.4. Соответствие.................................114
П2. Примеры уязвимостей...............................120
ПЗ. Инструментальные средства управления рисками ИБ...123
Принятые сокращения...................................125
Список литературы..........................................126
ВОПРОСЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ_________________________________
КНИГА 2
Серия книг «Вопросы управления информационной безопасностью» содержит систематическое изложение основных вопросов современной теории и практики управления информационной безопасностью (ИБ). В данную серию включены учебные пособия, содержащие обширную информацию, связанную с управлением ИБ и современными подходами к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию систем управления ИБ при организации работ по защите критически важных объектов.
* Книга 1 - «Основы управления информационной безопасностью»
Книга 2 - «Управление рисками информационной безопасности»
В учебном пособии вводится понятие риска ИБ и определяются процесс и система управления рисками ИБ. Детально рассмотрены составляющие процесса управления рисками ИБ, а именно: установление контекста управления рисками ИБ с определением базовых критериев принятия решений, области действия и границ управления рисками ИБ; оценка рисков ИБ, состоящая из двух этапов -анализ и оценивание рисков ИБ; обработка рисков ИБ; принятие риска ИБ; коммуникация рисков ИБ; мониторинг и пересмотр рисков ИБ. Также сравниваются различные подходы к анализу и оценке рисков ИБ. В заключении кратко описываются документальное обеспечение и инструментальные средства управления рисками ИБ.
и„г,- Книга 3 - «Управление инцидентами информационной безопасности и непрерывностью бизнеса»
4 Книга 4 - «Технические, организационные и кадровые аспекты
управления информационной безопасностью»
Книга 5 - «Проверка и оценка деятельности по управлению информационной безопасностью»
Для специалистов в области ИБ, студентов высших учебных заведений, обучающихся по программам магистратуры направления 090900 - «Информационная безопасность», слушателей курсов переподготовки и повышения квалификации и аспирантов.
САЙТ ИЗДАТЕЛЬСТВА:
uuuuuu.techbookru