Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet10/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   6   7   8   9   10   11   12   13   ...   29
Bog'liq
Управления рисками учебное пособие

СУРИБ объединяет в себе три составляющие:

  1. совокупность формализованных взаимосвязанных процессов, обеспечивающих все этапы управления рисками ИБ - от анализа и пла­нирования, до проверки и совершенствования;

  2. международные, национальные, ведомственные и иные стандар­ты, технологии, методики управления рисками ИБ, представленные в виде документального обеспечения, обязательно включающего полити­ку управления рисками ИБ, методологию оценки рисков ИБ, план обра­ботки рисков ИБ, декларацию о применимости и т. д.;

  3. квалифицированные кадры и организационную структуру управле­ния рисками ИБ, состоящую из нескольких уровней (минимально трех).

Верхний - коллегиальный орган (возможно, система комитетов, на­пример, инвестиционный комитет), на который возложена ответствен­ность за управление рисками ИБ. Этот орган принимает решения по конкретным рискам ИБ и утверждает процедуры, передающие часть полномочий по принятию таких решений на низшие уровни системы.
Средний - специальные подразделения, контролирующие исполне­ние прочими отделами, управлениями и т. п. установленных процедур, связанных с рисками ИБ.
Низший - подразделения, непосредственно совершающие действия в рамках общей деятельности организации по управлению рисками ИБ, предусмотренные в ее политике управления рисками ИБ и других доку­ментах (например, в плане обработки рисков ИБ).
Как видно из основного назначения этой системы, СУРИБ организа­ции предусматривает работу в следующих режимах:

  • обычный, действующий по умолчанию в обычных условиях ведения бизнеса;

  • контроля, применяемый к отдельному подразделению, при накопле­нии сигналов о концентрации рисков ИБ, по особым решениям ру­ководства и т. д.;

  • чрезвычайный, реализуемый по отношению ко всей организации при сигнале о превышении допустимого уровня концентрации рисков;

  • отладки - режим испытания СУРИБ, внедрения новых продуктов и процедур, устанавливаемый по решению руководства.

Наличие СУРИБ в организации способствует следующему:

  • риски ИБ идентифицированы;

  • риски ИБ оценены с точки зрения их последствий для бизнеса и ве­роятности их осуществления;




  • информация о вероятности и последствиях этих рисков ИБ доведена до сведения и понята всеми причастными и заинтересованными сто­ронами;

  • приоритетный порядок обработки рисков ИБ установлен;

  • приоритетность действия по снижению рисков ИБ выполняется;

  • заинтересованные стороны участвуют в принятии решений по рис­кам ИБ и информируются о положении дел в области управления рисками ИБ;

  • осуществляется мониторинг эффективности обработки рисков ИБ;

  • риски ИБ и процесс управления рисками ИБ регулярно контролиру­ются и пересматриваются;

  • собирается информация для усовершенствования подходов к управ­лению рисками ИБ;

  • руководящий персонал и сотрудники проходят обучение по рискам ИБ и действиям, которые необходимо предпринимать по их умень­шению.

Как и ко всему процессу управления ИБ, к управлению рисками ИБ, в соответствии со стандартами [3, 4], применим системный подход. Он основывается на том, что все процессы и явления, связанные с рисками ИБ, рассматриваются в их системной связи, учитывается влияние от­дельных решений и элементов на систему в целом, и выражается в сле­дующем, но не ограничиваются только перечисленным:

  • управление рисками ИБ в каждой организации должно иметь свою стратегию, тактику и оперативную составляющую;

  • ОИБ в организации проводиться системно, то есть защита активов от недопустимых (чрезмерных) рисков ИБ осуществляется одновре­менно всеми предусмотренными защитными мерами на основе уста­новленных планов;

  • мероприятия по управлению рисками ИБ на различных этапах функ­ционирования организации и создания ею своей основной продук­ции рассматриваются как некоторая единая система в их взаимной связи для защиты от рисков ИБ деятельности организации в целом;

  • риски ИБ, связанные с одной операцией или объектом, рассматри­ваются как единый комплекс факторов, влияющих на эффективность и расход ресурсов всей организации;

  • соблюдается баланс и предусматривается возможность создания или выделения необходимых для управления рисками ИБ резервных ре­сурсов на различных иерархических уровнях;

  • каждая из существующих альтернативных возможностей по исполь­зованию ограниченных ресурсов анализируется, определяются наи­более выгодные и используются именно эти наиболее эффективные действия или их комбинации по обработке рисков ИБ;




  • найден оптимальный баланс между стремлением к ОИБ и необходи­мыми для ее обеспечения ресурсами.

В отношении рисков ИБ четыре этапа модели РБСЛ выглядят сле­дующим образом [6]: «оценка рисков ИБ - обработка рисков ИБ - кон­троль рисков ИБ (путем мониторинга, тестирования, анализа защитных мер, а также аудита ИБ ИС) - оптимизация рисков ИБ (путем модифи­кации и обновления правил политики и защитных мер для каждого из рисков ИБ)» (рис. 2.7).


Если смотреть на место процесса управления рисками ИБ в рамках циклической модели РБСЛ для СУИБ и тех действий, которые должны быть выполнены при ее построении и дальнейшем функционировании, то очевидно, что установление контекста управления рисками ИБ, оцен­ка рисков ИБ, разработка плана обработки рисков ИБ и принятие рисков ИБ являются основными частями этапа «Планирование».
Таким же образом действия и средства управления для снижения рисков ИБ до приемлемого уровня осуществляются в соответствии с планом обработки рисков ИБ, что является важным элементом этапа «Реализация».
На этапе «Проверка» руководство может определить потребность в пересмотре оценки (переоценке) и обработки рисков ИБ в свете про­изошедших инцидентов ИБ и изменившихся обстоятельств ведения бизнеса. Оценка эффективности процесса управления рисками ИБ осу­ществляется на основании анализа динамики изменения оценки рисков ИБ, целостности и полноты действий по снижению рисков ИБ, а также динамики изменения ключевых индикаторов рисков ИБ.
На этапе «Совершенствование» выполняются любые необходимые действия, включая дополнительное применение процесса управления рисками ИБ. Таким образом, процесс управления рисками ИБ является важным элементом всех этапов жизненного цикла СУИБ в рамках цик­лической модели РБСЛ [3, 4] (табл. 2.1).










Эффективная СУРИБ нуждается в извлечении информации из всех возможных источников, включая руководство, всех сотрудников и под­рядчиков безотносительно к выполняемым ими функциям, а также (где это применимо) от внешних сторон, таких как поставщики и клиенты. Поэтому участие в процессе совершенствования этой системы должно являться частью должностных обязанностей каждого сотрудника орга­низации. Руководители подразделений должны нести ответственность за поддержку и непосредственное участие в оценке рисков ИБ для ин­формационных активов, владельцами которых они являются, а также за оценку критичности систем и конфиденциальности обрабатываемой информации. Президент, генеральный или исполнительный директор координирует выполнение корпоративной программы управления рис­ками ИБ, утверждает план обработки рисков ИБ и принимает решение по допустимому уровню остаточного риска ИБ.
Ключевыми ролями в СУРИБ являются роли риск-менеджера и экс­перта по оценке рисков ИБ. Поскольку управление рисками ИБ - про­цесс более высокого уровня по сравнению с текущей деятельностью по ОИБ, оно должно осуществляться руководством организации совместно с риск-менеджером, который и несет ответственность за формирование и поддержание в актуальном состоянии ключевых документов (реестра рисков ИБ и плана их обработки), осуществление общего контроля про­цессов управления рисками ИБ, включая выполнение правил политики управления рисками ИБ и обеспечение соответствия этих правил требо­ваниям международных и национальных стандартов. Служба ИБ орга­низации, так же как и ИТ, бизнес-подразделения и владельцы активов совместно с экспертом по оценке рисков ИБ активно участвуют в этом процессе, но владельцем самого процесса должен быть риск-менеджер. В данном контексте служба ИБ несет ответственность за разработку, реали­зацию и поддержание в актуальном состоянии методологии оценки рисков ИБ с учетом специфики бизнеса организации и последних достижений в предметной области. В случае отсутствия в организации должности риск- менеджера его обязанности могут возлагаться на человека, отвечающего за ОИБ организации в целом (Директора службы ИБ).




Входными данными для первой из составляющих общего процесса управления рисками ИБ является вся информация об организации, ко­торая важна для установления контекста - внешнего и внутреннего - управления рисками ИБ [3, 4].
Внешний контекст может включать следующее [3]:

  • культурную, социальную, политическую, правовую, законодатель­ную, финансовую, технологическую, экономическую, природную и рыночную среды на международном, региональном, национальном или локальном уровнях;

  • основные факторы и тенденции, влияющие на цели организации;

  • взаимосвязи с заинтересованными сторонами, их восприятие и цен­ности.

Внутренний контекст подразумевает следующее [3]:

  • руководство, организационную структуру, функции и обязательства;

  • политику, цели и стратегии для их достижения;

  • возможности, рассматриваемые в отношении ресурсов и знаний (на­пример, капитал, время, персонал, процессы, системы и технологии);

  • информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);

  • взаимосвязи с внутренними заинтересованными сторонами, их вос­приятие и ценности;

  • культуру организации;

  • стандарты, руководящие указания и модели, принятые организацией;

  • форму и объем контрактных взаимоотношений.

В сам процесс входит определение базовых критериев принятия ре­шений, области действия, границ и соответствующей деятельности ор­ганизации по процессу управления рисками ИБ. Важно определить цели управления рисками ИБ, поскольку они влияют на весь процесс в целом и контекст в частности. Такими целями могут быть:

  • поддержка функционирования СУИБ;

  • соблюдение соответствия законодательным нормам и получение доказательств должного выполнения;

  • подготовка плана ОНБ;

  • подготовка плана реагирования на инциденты ИБ;

  • описание требований по ОИБ к продуктам, сервисам или механиз­мам реализации элементов процесса установления контекста управ­ления ИБ, необходимым для поддержки функционирования СУИБ.

Выходными данными процесса являются базовые критерии приня­тия решений, область действия, границы и соответствующая деятель­ность организации по процессу управления рисками ИБ с описанием его структуры.




  1. Базовые критерии принятия решений по управлению

РИСКАМИ ИБ
В зависимости от области действия и задач управления рисками ИБ, для определения базовых критериев принятия решений по управлению рисками ИБ могут быть применены различные подходы, выбранные из имеющихся и описанных в лучших практиках в области управления рисками ИБ, а также разработанные самой организацией. Причем на каждой итерации подход может быть отличным от предыдущего.
В соответствии с [3, 4] к базовым относятся следующие критерии:

  1. оценивание рисков ИБ (для сравнения количественно оценен­ного риска с данными критериями риска для определения значимо­сти риска ИБ);

  2. оценки последствий (влияния);

  3. принятия рисков ИБ.

Также организация должна оценить, хватит ли ей ресурсов, чтобы выполнять следующие действия:

  • оценивать риски и разрабатыватать план обработки рисков ИБ;

  • определять и внедрять политики и процедуры, включая реализацию выбранных средств управления;

  • осуществлять мониторинг средств управления рисками ИБ;

  • проводить мониторинг процесса управления рисками ИБ.

При определении критериев оценивания рисков ИБ учитывается следующее:

  • стратегическая роль для бизнеса информационных процессов;

  • критичность затронутых (вовлеченных) информационных активов;

  • требования законодательства и регулирующих органов и договорных обязательств;

  • важность для функционирования организации и значения для бизне­са доступности, конфиденциальности и целостности;

  • ожидания и реакция причастных сторон и негативные последствия для нематериальных активов и репутации.

Кроме этого критерии оценивания рисков ИБ могут быть использо­ваны для спецификации приоритетов при обработке рисков ИБ.
Критерии оценки последствий определяются в терминах степени ущерба или расходов организации, вызванных событиями ИБ, с учетом следующих факторов:

  • класс затрагиваемых информационных активов;

  • нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

  • нарушение оперативной деятельности (собственной или третьих сто­рон);

  • потеря бизнеса или финансовой ценности;

  • нарушение планов и конечных сроков;




  • ущерб для репутации;

  • нарушения законодательных, нормативных или договорных требо­ваний.

Критерии принятии рисков ИБ определяются в зависимости от поли­тик, целей, задач организации и интересов всех заинтересованных сто­рон. Организация должна установить свою собственную шкалу уровней принятия рисков ИБ с учетом следующего:

  • могут рассматриваться несколько порогов с указанием желаемого целевого уровня рисков ИБ, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, выше принятых значений;

  • критерии могут выражаться как отношение количественно оценен­ной прибыли (или другой выгоды для бизнеса) к количественно оце­ненному риску ИБ;

  • к разным классам рисков могут применяться разные критерии, на­пример, может быть не принят риск несоблюдения требования регу­ляторов или законодательства, тогда как приняты более высокие риски, определенные в договорных обязательствах;

  • критерии могут включать требования последующей дополнительной обработки, например, риск ИБ может быть принят, если есть одоб­рение и обязательства по принятию мер по его снижению до прием­лемого уровня в течение определенного периода времени.

Критерии принятии рисков ИБ могут различаться в зависимости от
ожидаемых сроков их существования, например, риск ИБ может быть связан с временными или краткосрочными действиями.
Критерии принятия рисков обязательно согласуются с бизнес-крите­риями, законодательством и регуляторами, всеми бизнес-процессами и технологиями, финансами, а также социальными и человеческими фак­торами.

  1. Область действия и границы управления рисками ИБ

Как отмечено в ГОСТ Р ИСО/МЭК 27005-2010 [3, 4], организация должна установить область действия и границы управления рисками ИБ, что гарантирует охват всех относящихся к рискам ИБ активов при оценке рисков ИБ в рамках определенных границ в условиях ведения бизнеса. При этом учитываются следующие факторы:

  • стратегические бизнес-задачи, стратегия и политики организации;

  • бизнес-процессы;

  • функции и структура организации;

  • законодательные, регулирующие и договорные требования, приме­нимые к организации;

  • ПолИБ организации;

  • общий подход организации к управлению всеми рисками;




  • информационные активы;

  • местоположение и географические особенности организации;

  • потребности заинтересованных лиц;

  • социо-культурная среда;

  • граница - линия раздела (например, для информационного обмена с внешней средой).

При наличии любых исключений из области действия они обосно­вываются.

Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   ...   6   7   8   9   10   11   12   13   ...   29



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling