Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Совещания, посвященные выявлению и оценке рисков ИБ. Индивидуальные интервью


Download 0.83 Mb.
bet14/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   10   11   12   13   14   15   16   17   ...   29
Bog'liq
Управления рисками учебное пособие

Совещания, посвященные выявлению и оценке рисков ИБ.


Индивидуальные интервью, которые проводятся как с руково­дством, так и с рядовыми сотрудниками и всеми заинтересованными лицами
Каждый выявленный риск ИБ необходимо документировать, описав суть риска ИБ, причины, которые могут его вызвать, и последствия его реализации.
Так, например, влияющие в конечном счете на ИБ риски, с которыми приходится иметь дело в проектах разработки ПО, можно условно раз­бить на несколько типов [36]:

  1. технические риски, связанные с разработкой новых решений или изменением старых, направленных на повышение производительности или достижение принципиально новой функциональности;

  2. программные риски, связанные с приобретением или использова­нием ПО третьих фирм (если это приобретение не находится под долж­ным контролем разработчиков и руководителей проекта);

  3. риски на этапе сопровождения системы, в том числе связанные с размещением ПО у заказчика, поддержкой, обучением и т. п.;

  4. стоимостные риски, связанные с превышением затрат или про­блемами финансирования проекта;

  5. риски сроков, связанные с необходимостью ускорить разработку из-за внешних причин;

  6. риски неудовлетворенности заказчика.

Далее рассмотрим шаги, которые позволят собрать всю необходи­мую информацию для количественной оценки рисков ИБ. В зависимо­сти от выбранной в организации методологии эти шаги могут выпол­няться в различной последовательности [3].

  1. ШАГ 1 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ АКТИВОВ

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными являются область действия и границы оценки рис­ков ИБ, список всех попадающих в эту область активов с их владельца­ми, расположением, функциями, вовлечением в конкретные бизнес- процессы и т. д.
Суть процесса идентификации активов определена в [3, 4, 37] и сво­дится к выявлению (инвентаризации) всех активов в установленной об­ласти действия оценки рисков ИБ. Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходи­мы для других бизнес-целей, таких как техника безопасности и охрана труда, страхование или финансовые причины. Это область действия деятельности, относящейся к так называемому управлению активами
[1, 15, 16].
Основными активами любой организации являются [3, 4]: бизнес- процессы (подпроцессы) и бизнес-деятельность; информация.




К вспомогательным активам относятся аппаратные средства, носи­тели данных, ПО, бизнес-приложения, сети, персонал [3, 4].
Обобщая многочисленные источники информации по активам [1, 3,
4, 6, 13-16], определим, что к активам организации можно отнести сле­дующее:

  • физические объекты: оборудование (в том числе контроля доступа, периферийные устройства, клиентские компьютеры, серверы) и ап­паратура связи (в том числе маршрутизаторы, коммутаторы, концен­траторы, автоответчики, факсы), носители информации (бумага, магнитные ленты, компакт-диски и т. п.), другое техническое обору­дование (источники питания, кондиционеры), мебель, помещения, используемые для поддержки обработки информации;

  • программные ресурсы: прикладное ПО, системное ПО, приложения операционной системы (ОС), сами ОС, процессы, порождаемые ОС, средства разработки, сервис Б^-имен, служба поддержки точного времени, почтовые клиенты, веб-браузеры, удаленные терминалы и т. д.;

  • различные виды информационных ресурсов - информация служеб­ная, финансово-аналитическая, управляющая и пр. в бумажной, элек­тронной и если необходимо и устной формах - в виде БД и файлов, архивированной информации, системной документации, аналитиче­ской информации внутреннего пользования, планов ОНБ, процедур эксплуатации и поддержки, контрактов, документов с важными биз­нес-результатами, информация о бизнес-контактах, деловая пере­писка, руководства пользователей, учебные материалы и т. д.;

  • процессы, включая технологические (служебно-информационные, тестовые сообщения, результаты работы приложений и т. п.) и биз­нес-процессы (бизнес-планы, финансовые сметы, прогнозы, анали­тическая информация, системная документация, руководства поль­зователя, обучающий материал, эксплуатационные или поддержи­вающие процедуры, планы ОНБ, меры по нейтрализации рисков ИБ и т. д.);

  • продукты и услуги, предоставляемые клиентам организации: вычис­лительные и коммуникационные сервисы, другие технические служ­бы (отопление, освещение, электропитание, кондиционирование), как внутренние (например, предоставляемые бизнес-подразделениям подразделениями, ответственными за поддержание ИТ в рамках ор­ганизации), так и внешние - предоставляемые внешними поставщи­ками услуг (например, Интернет, поддержка производителей ПО и оборудования);

  • финансовые (денежные) средства;

  • людские ресурсы, их квалификация, способности и опыт: персонал, клиенты, подписчики и любые другие люди, находящиеся в области




действия СУИБ, которые участвуют в процессах хранения или обра­ботки информации;

  • нематериальные активы - имидж и репутация организации.

Для каждого актива или группы активов обязательно определяется их владелец, что обеспечивает ответственность за активы и их учет- ность. Владелец актива не обязательно имеет права собственности на актив, но он ответственен за его производство, разработку, сопровожде­ние, использование и защиту. Он чаще всего является тем лицом, кото­рое может определить ценность актива для организации. Владелец ак­тива должен нести ответственность за определение его классификации с точки зрения ИБ и прав доступа к нему, согласование и документирова­ние этих решений, а также поддержание соответствующих средств управления. В обязанности владельца актива также входит периодиче­ский пересмотр прав доступа и классификаций безопасности. Кроме того, может быть полезным определение, документирование и внедре­ние правил допустимого использования активов, описывающих разре­шенные и запрещенные действия при повседневном использовании ак­тива. Лица, использующие активы, должны быть осведомлены об этих правилах, поскольку корректное использование активов входит в их обязанности. Ответственность за реализацию средств управления ИБ актива может быть делегирована, в то время как учет активов должен оставаться обязанностью назначенного владельца актива.
Идентификация активов выполняется с соответствующей степенью де­тализации, необходимой для получения информации для правильной оцен­ки рисков ИБ. Степень детализации влияет на общий объем информации, собранной во время оценки рисков ИБ. Степень детализации может быть пересмотрена при последующих итерациях оценки рисков ИБ.
Границами рассмотрения актива является его периметр, определен­ный для управления активами в рамках всего процесса управления рис­ками ИБ. Надлежащее управление активами и их учет имеют важней­шее значение для поддержания ИБ активов организации. Необходимо чтобы эти действия выполнялись и поддерживались на разных уровнях управления организацией.
Идентификация активов может осуществляться посредством, напри­мер, интервьюирования или анкетирования их владельцев. Тогда для каждого из активов составляются анкеты, включающие сведения, харак­теризующие данный актив. Например, если говорить об оборудовании, то желательно фиксировать в анкетах его месторасположение, так как от этого в значительной степени могут варьироваться угрозы ИБ, кото­рые могут быть реализованы против актива, а также может изменяться вероятность реализации угроз ИБ.
При идентификации важно учесть все основные активы. Для уверен­ности в том, что нет пропущенных или забытых активов, необходимо иметь четко очерченные границы области действия СУИБ. Часто полез­




но сгруппировать активы по типам, например, информация, ПО, физи­ческие активы и услуги. Группа однотипных активов может рассматри­ваться при последующей оценке рисков ИБ в качестве единого актива. Каждый актив в границах области действия СУИБ явным образом иден­тифицируется и соответствующим образом оценивается, а его владелец и категория согласуются и документируются.
Также обязательно выявляются виды зависимостей одних активов от других, поскольку их наличие может оказать влияние на оценку активов [7, 10]. Например, конфиденциальность данных должна быть обеспече­на на протяжении всего процесса их обработки, то есть необходимость ОИБ программ обработки данных следует напрямую соотнести с уров­нем ценности и конфиденциальности обрабатываемых данных. Кроме того, если важна целостность вырабатываемых программой данных, то входные данные для этой программы должны иметь соответствующую степень надежности. Целостность информации также будет определять­ся качеством аппаратных средств и ПО, используемых для ее хранения и обработки. Функционирование аппаратных средств будет зависеть от качества энергоснабжения и, возможно, от работы систем кондициони­рования воздуха. Таким образом, данные о зависимостях, существую­щих между отдельными активами, будут способствовать идентифика­ции некоторых видов угроз ИБ и определению конкретных уязвимо­стей, а использование данных о зависимостях даст уверенность в том, что активы оценены в соответствии с их реальной ценностью (с учетом существующих взаимозависимостей) и уровень ИБ для них выбран обоснованно.
Уровни ценности активов, от которых зависят другие активы, могут быть изменены в следующих случаях:

  • если уровни ценности зависимых активов (например, данных) ниже или равны уровню ценности рассматриваемого актива (например, ПО), то этот уровень останется прежним;

  • если уровни ценности зависимых активов (например, данных) выше, то уровень ценности рассматриваемого актива (например, ПО) необ­ходимо повысить с учетом:

  • уровня соответствующей зависимости,

  • уровней ценности других активов.

Организация может иметь в своем распоряжении некоторые много­кратно используемые активы, например копии ПО, что необходимо учитывать при проведении оценки активов. С одной стороны, копии программ и т. д. в ходе оценки легко упустить из виду, и поэтому следу­ет позаботиться о том, чтобы учесть их все; с другой стороны, их нали­чие может снизить остроту проблемы доступности информации.
В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 и 180 1ЕС 27002:2005 после идентификации информация классифицируется с точ­ки зрения ее значимости, требований закона, конфиденциальности




и критичности для организации [1, 15, 16]. Классификация должна учи­тывать потребности бизнеса в разделении или ограничении информа­ции, а также негативное влияние на бизнес, связанное с такими потреб­ностями. Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно опреде­ленной политикой в области управления доступом. Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне.
Результатом процесса идентификации активов являются два обосно­ванных списка - активов, подверженных рискам ИБ и относящиеся к рассматриваемой области действия СУИБ, с их местонахождением и владельцами и бизнес-процессов, связанных с этими активами.

  1. ШАГ 2 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ УГРОЗ ИБ

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] исходными данными для процесса является информация об угрозах ИБ, полученная из отчетов по инцидентам ИБ, от владельцев активов, поль­зователей и из других источников, включая внешние каталоги угроз ИБ. Основным видом действий на данном шаге является идентификация угроз ИБ и их источников [3, 4].
Напомним, что источник угрозы ИБ - это субъект (физическое лицо, материальный объект или физическое явление), активизирующий угро­зу ИБ и переводящий ее из разряда потенциальной опасности наруше­ния свойств ИБ (конфиденциальности, доступности, целостности и т. д.) активов организации в реально происходящее нарушение этих свойств. Источники угроз ИБ можно разделить на три класса [19].

Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   ...   10   11   12   13   14   15   16   17   ...   29




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling