Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Техногенные
|
Антропогенные: внешние: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телематических услуг; представители надзорных организаций и аварийных служб; представители силовых структур и внутренние: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации (администраторы); вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация);
Техногенные: внешние: средства связи; сети инженерных коммуникаций (водоснабжение, канализация); транспорт и внутренние: некачественные технические средства обработки информации (СОИ); некачественные программные СОИ; вспомогательные средства (охрана, сигнализация, телефония); другие технические средства, применяемые в учреждении; Стихийные (чаще всего внешние): пожары; землетрясения; наводнения; ураганы; магнитные бури; радиоактивное излучение; различные непредвиденные обстоятельства; необъяснимые явления; другие форсмажорные обстоятельства. Согласно ставшему уже классическим подходу для информации вообще выделяются различные угрозы ИБ, связанные с ее основными свойствами: конфиденциальности - хищение (копирование) информации и средств ее обработки и т. п.; целостности - модификация (искажение) информации, отрицание ее подлинности, навязывание ложной информации и т. п.; доступности - блокирование информации; уничтожение информации и средств ее обработки и т. п.; неотказуемости - отказ пользователя от факта выполнения им транзакции и т. п.; аутентичности - отказ от авторства в отношении электронного документа и т. п.; учетности - отсутствие места на жестком диске для записи всех событий, собранных агентами СОВ и т. п. и функциональности - когда нет соответствия преднамеренному поведению пользователя и результатам работы приложений. Существуют и другие виды классификаций. Так, угрозы ИБ бывают случайными и намеренными, внешними и внутренними, вызывающими несанкционированные действия, физический ущерб или отказы оборудования. Они могут причинить вред информации, процессам, системам и организации в целом. Некоторые угрозы ИБ могут относиться сразу к нескольким активам и наоборот - для одного актива могут существовать несколько угроз разных классов. При проведении оценки рисков ИБ все типы угроз ИБ для активов организации и их источники идентифицируются и относятся к определенным классам [3, 4]. Для определения вероятности реализации угрозы ИБ исходные данные можно получить от владельцев активов и пользователей, сотрудников департамента персонала, руководителей объектов, специалистов по ИБ, экспертов по физической защите, правового департамента и других организаций, включая юридических лиц, метеорологических организаций, страховых компаний и национальных органов власти. При рассмотрении угроз ИБ также нужно учитывать все аспекты окружающей среды, включая культурные особенности страны, в которой работает организация. Важно применять в новых условиях и собственный опыт произошедших ранее инцидентов ИБ и прошлых оценок угроз ИБ, но помня, что в среде ведения бизнеса и в ИС и в ИТ происходят постоянные изменения. Также стоит обратиться к другим каталогам и статистикам угроз ИБ (возможно, специфичным для организации или ее бизнеса), что поможет создать наиболее полный список угроз ИБ, применимых к организации. Примеры угроз ИБ в соответствии с 180/1ЕС 27002:2005, ГОСТ Р ИСО/МЭК 17799-2005 и В8 7799-3:2006 приведены в приложении 1 [1, 4, 6, 15, 16]. На выходе данного процесса получается список угроз ИБ с их типами и источниками. ШАГ 3 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ СУЩЕСТВУЮЩИХ СРЕДСТВ УПРАВЛЕНИЯ РИСКАМИ ИБ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными третьего шага анализа рисков ИБ являются документация по существующим средствам управления рисками ИБ и планы обработки рисков ИБ, реализующие конкретные действия. В данном контексте под средствами управления рисками ИБ (англ. сопЪгоЫ) понимаются существующие процессы, политики, устройства, практики и другие действия, включая защитные меры, которые минимизируют негативные риски или повышают позитивные возможности для обеспечения достаточной уверенности в отношении достижения поставленных целей в области ОИБ [38], а также любая мера или действие, модифицирующие риск ИБ [39]. На основе имеющихся входных данных необходимо идентифицировать существующие и планируемые к использованию средства управления, реализующие ОИБ для каждого из активов [3, 4, 6]. Это поможет избежать ненужной работы или затрат, например, при дублировании функций управления, выборе дополнительных защитных мер, которые хорошо взаимодействуют с уже существующими, а для существующих средств убедиться в корректности их функционирования (обращения к уже имеющимся отчетам по аудитам СУИБ уменьшат время на выполнение данной задачи). Если средства управления не работают, как это ожидалось, то могут возникнуть уязвимости. Следует особо рассмотреть ситуации, когда выбранное средство управления (или стратегия) не выполняет свои функции и, следовательно, требуются дополнительные средства для эффективного устранения выявленных рисков ИБ. В 180/1ЕС 27001:2005 и ГОСТ Р ИСО/МЭК 27001-2006 для СУИБ это поддерживается измерением эффективности средств управления [1, 2]. Способом оценить действенность средства является выяснение того, как это средство снижает вероятность реализации угрозы ИБ, усложняет использование уязвимостей или смягчает последствия инцидента ИБ. Анализ со стороны руководства и аудиторские отчеты дают информацию об эффективности существующих средств управления. Планируемые к использованию в соответствии с планами обработки рисков ИБ средства управления рассматриваются аналогично уже существующим средствам. Существующие и планируемые средства управления могут быть идентифицированы как неэффективные, недостаточные или неоправданные. В двух последних случаях эти средства необходимо проверить для определения того, стоит ли их удалить, заменить другими более подходящими, или оставить, например, из соображений стоимости. Кроме того, необходимо провести дополнительную проверку для определения совместимости выбранных новых средств управления с действующими и другими планируемыми к использованию, поскольку планируемые и действующие средства управления не должны входить в противоречие друг с другом. Для идентификации существующих и запланированных средств управления могут быть полезны следующие действия [3, 4]: просмотр документов, содержащих информацию по средствам управления (например, планов обработки рисков ИБ). Если процессы управления ИБ хорошо документированы, из них будет понятен статус внедрения этих средств; проверка, проводимая совместно с ответственными за ОИБ (например, сотрудниками подразделений ИБ и ОИБ ИС) и пользователями информационных процессов в ИС, для которых реально реализованы рассматриваемые средства управления; анализ на месте физических средств управления, сравнение реально реализованного и того, что должно быть, и проверка корректности и эффективности реализации; рассмотрение результатов внутренних аудитов ИБ. Выходными данными процесса являются список существующих и запланированных средств управления рисками ИБ и информация о состоянии их внедрения и использования. ШАГ 4 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ УЯЗВИМОСТЕЙ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными являются списки известных угроз ИБ, защищаемых активов и существующих средств управления. На этом шаге идентифицируются уязвимости, которые могут быть использованы угрозами ИБ (точнее источниками угроз ИБ) для причинения ущерба активам или всей организации в целом. Существует несколько разных классификаций уязвимостей [19]: по причинам возникновения, по месту нахождения, по степени критичности последствий от ее использования угрозами ИБ, а также по вероятности реализации. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|