Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»

базовый (англ. ЪазеНпе пзк апа1у8И)

bet	19/29
Sana	27.03.2023
Hajmi	0.83 Mb.
	#1298898
Turi	Учебное пособие

1 ... 15 16 17 18 19 20 21 22 ... 29

Bog'liq
Управления рисками учебное пособие

базовый (англ. ЪазеНпе пзк апа1у8И) с низкой степенью риска и выбором стандартных защитных мер;

неформальный (англ. т/огта1 пзк апа1у8И) для активов организации, которые, как представляется, подвергаются наибольшему риску;

детальный (англ. ёе1аПеё пзк апаЬуш) с использованием формального подхода ко всем активам организации;

комбинированный (англ. сотЪтеё пзк апа1у8И) - сначала высокоуровневый анализ для выбора подхода к анализу рисков ИБ с последующим проведением детального анализа для наиболее критичных выделенных систем (если прекращение их функционирования может причинить ущерб или принести убытки организации, отрицательно повлиять на ее бизнес или активы) и базового для всех остальных.

В стандартах 180/1ЕС 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 выделяются два основных типа оценки рисков ИБ и упоминается их комбинация [3, 4]:

высокоуровневая (англ. ЫдЬ-1еуе1 18 шк аккеккшеШ);
детальная (англ. йе1аЛей 18 шк аккеккшеШ).

Если, например, организация или СУИБ и ее ресурсы имеют требования по ОИБ не выше уровней «низкий» и «средний», то может быть достаточно высокоуровневой оценки рисков ИБ. Прикладные методы оценки рисков ИБ, ориентированные на данный уровень, обычно не рассматривают ценность активов и не оценивают эффективности защитных мер. Методы данного класса применяются в случаях, когда к активам организации не предъявляется повышенных требований по ОИБ. Если требования по ОИБ имеют более высокий уровень, требующий более подробной и специальной оценки, то может потребоваться полная, более детальная оценка рисков ИБ, которая определяет ценность активов, оценивает угрозы ИБ и уязвимости, выбирает адекватные защитные меры и оценивает их эффективности. В любом случае для СУИБ, отвечающей требованиям стандарта (например, 180/1ЕС 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005), необходимо гарантировать, что выбранный подход соответствует всем критериям, приведенным в соответствующих разделах этих стандартов.
В Рекомендациях в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [41] также представлен общий подход к оценке рисков ИБ, заслуживающий отдельного упоминания.
Кратко рассмотрим основные идеи всех выше названных подходов.
3.3.1. Базовый анализ рисков ИБ
Любая организация может выработать свой базовый уровень ИБ в соответствии с собственными условиями ведения бизнеса и бизнес- целями. При данном подходе организация может применить базовый уровень ИБ для всех защищаемых активов за счет выбора стандартных защитных мер [7, 10].
Преимущества использования этого варианта анализа рисков ИБ очевидны:

возможность обойтись минимальным количеством ресурсов при проведении анализа рисков ИБ для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;
при применении базовых защитных мер можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к ОИБ требования соизмеримы.

В то же время данный подход имеет следующие недостатки:

если принимается слишком высокий базовый уровень ИБ, то для ряда активов уровень ОИБ будет завышен и будут выбраны слишком дорогостоящие или излишне ограничительные средства управления;
если базовый уровень будет принят слишком низким, то для ряда защищаемых активов уровень ОИБ будет недостаточен, что увеличит риск нарушения ИБ;
могут возникнуть трудности при внесении изменений, затрагивающих вопросы ОИБ (как это требуется на этапах проверки и совершенствования в модели РБСЛ). Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер и всей СУИБ и далее оставаться достаточно эффективными.

Если все защищаемые в организации активы характеризуются низким уровнем требований по ОИБ, то первый вариант стратегии анализа рисков ИБ может оказаться экономически эффективным. В этом случае базовый уровень ИБ выбирается таким образом, чтобы он соответствовал уровню защиты, требуемому для большинства активов. Для многих организаций для удовлетворения требований правовых и нормативных актов всегда существует необходимость использовать некоторые минимальные стандартные уровни для ОИБ важнейшей информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью критичности, разными объемами и сложностью информации, использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
Цель ОИБ на основе базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для всех или отдельных активов. Используя базовый подход, можно применять соответствующий ему базовый уровень ИБ в организации и, кроме того, дополнительно использовать результаты детального анализа риска ИБ для ОИБ активов с высоким уровнем риска или систем, играющих важную роль в бизнесе организации. Применение базового подхода позволяет снизить инвестиции организации на исследование результатов анализа рисков ИБ.
Требуемая защита при таком подходе обеспечивается за счет использования справочных материалов (каталогов) и лучших практик по защитным мерам, в которых можно подобрать набор средств для защиты активов от наиболее часто встречающихся угроз. Базовый уровень ИБ устанавливается в соответствии с потребностями организации, при этом в проведении детальной оценки угроз ИБ, уязвимостей и рисков ИБ для систем нет необходимости. При наличии в системе установленных защитных мер их сравнивают с рекомендуемыми в каталогах. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы.

Типичным примером области применения данного подхода является часть организации, в которой проводятся не слишком сложные бизнес- операции и зависимость которой от обработки информации и работы в сети не очень велика. Применение данного подхода возможно также в случае небольших организаций. Однако его могут применять и небольшие организации, которые имеют более сложную бизнес-среду, сильно зависят от использования ИТ, и принимают участие в обработке коммерчески важной информации.
Содержание всех этапов процесса управления рисками ИБ при базовом анализе рисков ИБ приведено в табл. 3.7.

Второй вариант анализа рисков ИБ основан на практическом опыте конкретного эксперта и предполагает использование знаний и практического опыта специалистов, а не структурных методов [7, 10]. Этот подход обладает следующими достоинствами: не требует использования значительных средств или времени - эксперт не должен приобретать дополнительные знания, а затраты времени на анализ рисков ИБ при этом меньше, чем при проведении детального анализа.
Однако данный подход имеет и свои недостатки:

при отсутствии хотя бы одного элемента базового анализа рисков ИБ или комплексного перечня средств управления увеличивается вероятность пропуска ряда важных деталей у всех активов организации;

могут возникнуть трудности при обосновании необходимости реализации защитных мер, определенных по результатам данного анализа рисков ИБ;
для экспертов, не обладающих значительным опытом работы в области анализа рисков ИБ, не существует готовых рекомендаций, которые могли бы облегчить их работу;
подходы организации к анализу рисков ИБ в прошлом были продиктованы исключительно оценкой уязвимостей систем, то есть потребность в защитных мерах основывалась на наличии у этих систем уязвимостей без анализа того, существуют ли угрозы ИБ, способные использовать этих уязвимости (без обоснования реальной необходимости в использовании защитных мер);
результаты проведения анализа могут в какой-то мере зависеть от субъективного подхода, личных предубеждений эксперта и, кроме того, могут возникнуть проблемы в случае, если специалист, который проводил неформальный анализ, покидает организацию.

Детальный анализ рисков ИБ

Детальный анализ рисков ИБ предполагает получение результатов для всех активов организации и включает в себя подробную идентификацию и оценку активов, возможных угроз ИБ, которым могут подвергнуться эти активы, а также оценку их уязвимостей [7, 10]. Результаты этих операций затем используют для оценки рисков ИБ и последующего обоснованного выбор защитных мер, обеспечивающих уменьшение рисков до приемлемого уровня (если был выбран данный вариант обработки риска).
Данный подход имеет следующие преимущества:

получается точное и детальное представление о рисках ИБ, которое позволяет идентифицировать уровни ИБ и отражает требования по ОИБ организации к активам и СУИБ в целом;
с высокой вероятностью в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры;
результаты проведения детального анализа могут быть использованы при управлении изменениями в СОИБ (как это требуется на этапах проверки и совершенствования модели РБСА).

В то же время подход характеризуется следующими недостатками, по которым его применение ко всем активам организации не рекомендуется:

для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда;
существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для всех активов и для проведения анализа всех систем потребуется значительное время.

Детальный анализ рисков ИБ может быть очень ресурсоемким процессом, и поэтому требуется тщательное определение границ бизнес- среды, операций, активов в области действия СУИБ. Кроме того, подобный подход требует постоянного внимания со стороны руководства.
Такой анализ рисков ИБ отличается от базового тем, что выполняется более детальный анализ активов и требований по ОИБ (табл. 3.8).

Комбинированный анализ рисков ИБ

Этот подход предполагает идентификацию в первую очередь тех активов из области деятельности СУИБ, которые потенциально имеют большую величину риска ИБ или являются критичными для выполнения бизнес-процессов [7, 10]. На основании полученных результатов все активы, входящие в область деятельности СУИБ, подразделяются на активы, для достижения надлежащей защиты которых требуется проведение детальной оценки рисков ИБ, и ресурсы, для которых достаточно высокоуровневой оценки рисков ИБ. Такой подход позволяет объединить преимущества двух подходов и минимизировать их недостатки, поэтому он минимизирует время и усилия, которые тратятся на идентификацию защитных мер, и обеспечивает при этом надлежащую оценку и защиту активов организации. Кроме того, комбинированный вариант анализа рисков ИБ имеет следующие преимущества:

использование быстрого и простого предварительного анализа рисков ИБ позволяет обеспечить принятие программы анализа рисков ИБ;
существует возможность быстро оценить оперативное состояние программы ОИБ организации, то есть использование такого подхода будет в значительной мере способствовать успешному планированию;
ресурсы и средства вкладываются именно туда, где они принесут максимальный эффект, так как они в первую очередь будут направлены в те системы, которые в наибольшей степени нуждающиеся в ОИБ;
проведение последующих мероприятий будет более успешным. Данный подход имеет следующий недостаток: поскольку предварительный анализ рисков ИБ проводят, исходя из предположения об их возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа рисков, и к ним в дальнейшем будут применены базовые меры ОИБ. При необходимости к рассмотрению этих систем можно вернуться с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.

Использование комбинированного подхода с анализом высокого уровня рисков ИБ в сочетании с базовым подходом и (если необходимо) детальным анализом рисков обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный анализ является наиболее предпочтительным.

Высокоуровневая оценка рисков ИБ

Высокоуровневая оценка рисков ИБ позволяет расставить приоритеты и определить хронологию действий [3, 4]. В силу различных причин, наример таких, как ограниченный бюджет, не всегда все средства управления рисками ИБ возможно реализовать одновременно, и только наи

более значимые риски ИБ могут быть устранены в рамках процесса обработки рисков. Также преждевременно начинать детальное управление рисками ИБ, если реализация ИС предусмотрена только через один или два года. В этом случае высокоуровневая оценка рисков ИБ может начинаться с высокоуровневой оценки последствий, а не с систематического анализа угроз ИБ, уязвимостей, активов и последствий. Другая причина - необходимость синхронизации с другими планами, связанными с изменением управления или непрерывностью бизнеса. Например, не обосновано особо тщательно защищать систему или приложение, если в ближайщее время оно будет отдано на аутсорсинг, хотя произвести оценку рисков ИБ стоит для отражения ее результатов в контракте на аутсорсинг или даже принятия решения о целесообразности аутсорсинга в данном конкретном случае.
Особенности данного подхода к оценке рисков ИБ включают в себя следующее:

при такой оценке организация и ее ИС рассматриваются более глобально, учитывая технологические аспекты в отрыве от бизнеса. Но при этом контекст анализа больше концентрируется на среде осуществления бизнеса и его функционировании, чем на технологических элементах;
при такой оценке рассматривается более ограниченный список угроз ИБ и уязвимостей, группируемых в определенных областях, а для ускорения процесса оценки она фокусируется на общих рисках или сценариях атак, а не на их элементах;
риски ИБ, выявленные при высокоуровневой оценке, являются более общими, чем более специальные идентифицированные риски. Поскольку сценарии атак или угрозы ИБ группируются по некоторым областям, процесс обработки рисков ИБ определяет средства управления для этих областей. Такая деятельность в первую очередь устанавливает наиболее общие средства управления рисками ИБ, которые применимы для всей системы в целом;
однако, поскольку такая оценка редко рассматривает детали технологий, она более подходит для обеспечения организационного и нетехнического контроля, управленческих аспектов технического контроля или ключевых и общих технических мер, таких как резервное копирование и антивирус.

Высокоуровневая оценка рисков ИБ имеет следующие преимущества:

использование на начальных стадиях простого подхода позволяет более легко одобрить программу оценки рисков ИБ;
становится возможным построить стратегическую картину программы ОИБ в организации, то есть такой подход служит хорошей помощью при планировании;

ресурсы и финансы используются там, где они принесут наибольшую выгоду, а системы, нуждающиеся в защите в первую очередь, будут защищены первыми.

Поскольку начальный анализ рисков ИБ проводится на высоком уровне и потенциально менее точен, единственным его недостатком является то, что некоторые бизнес-процессы или системы не могут быть определены, как этого требует детальная оценка рисков ИБ. Этого можно избежать, если имеется достаточно информации по всей организации и ее системам, включая информацию, полученную в результате оценки инцидентов ИБ.
Высокоуровневая оценка рисков ИБ рассматривает ценность информационных активов и риски ИБ с точки зрения бизнеса организации. В первой точке принятия решения (рис. 2.4) ряд факторов помогает определить, является ли оценка рисков ИБ достаточной для их обработки. Эти факторы могут включать в себя следующее:

задачи бизнеса решаются с использованием различных информационных активов;
степень, с которой бизнес организации зависит от каждого информационного актива (то есть зависят ли функции, которые организация считает критическим для ее выживания или эффективного ведения бизнеса, от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и надежности информации, хранимой или обрабатываемой в этом активе);
уровень инвестиций в каждый информационный актив в терминах разработки, поддержания или замены актива;
информационные активы, для которых организация присваивает стоимость (ценность) напрямую (непосредственно).

При оценке этих факторов принятие решения облегчается. Если задачи, выполняемые активами, крайне важны для ведения бизнеса организации или если эти активы подвергаются высокому риску, тогда для конкретного информационного актива (или его части) должна проводиться вторая итерация - детальная оценка рисков ИБ.
Общее применяемое в этом случае правило таково: если недостаток ОИБ может привести к значительным негативным последствиям для организации, ее бизнес-процессам или активам, тогда для выявления потенциальных рисков ИБ необходима вторая итерация оценки рисков на более детальном уровне.

Детальная оценка рисков ИБ

Процесс детальной оценки рисков ИБ включает в себя всестороннюю идентификацию и оценивание активов, оценку угроз ИБ для этих активов и оценку уязвимостей [3, 4]. Результаты процесса далее исполь

зуются для оценки рисков ИБ и определения способов их обработки. Такой подход обычно требует значительного времени, усилий и опыта и поэтому наиболее применим к ИС, находящимся под высоким риском ИБ. На конечном этапе данного процесса получается всесторонняя оценка рисков ИБ.
Последствия могут быть оценены несколькими способами, включая количественный (например, денежный), качественный (использующий прилагательные типа «умеренный» или «тяжелый») и комбинированный подходы.
Для оценки вероятности реализации угроз ИБ устанавливается временной интервал, в течение которого актив будет ценен для организации и его нужно будет защищать. Вероятность реализации отдельной угрозы ИБ определяется нескольким факторами:

привлекательность актива или возможное применимое воздействие, когда рассматривается преднамеренная угроза ИБ со стороны человека;
простота использования уязвимости актива для получения выгоды злоумышленником, когда рассматривается преднамеренная угроза ИБ со стороны человека;
технические возможности источника угроз ИБ, когда рассматривается преднамеренная угроза ИБ со стороны человека;
чувствительность уязвимости к использованию, применимая как к техническим, так и нетехническим уязвимостям.

Многие применяемые для этих целей в настоящее время методы используют таблицы и объединяют субъективные и эмпирические показатели. Важно, чтобы организация использовала метод который ей удобен, которому она доверяет и который будет выдавать повторяемые результаты.
Как правило, для оценки угроз ИБ и уязвимостей применяются различные методы, в основе которых могут лежать экспертные оценки, статистические данные или учет факторов, влияющих на уровни угроз и уязвимостей [5].
Один из возможных подходов к разработке подобных методов - накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы ИБ и уязвимости в других ИС. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во- вторых, данный подход оправдан далеко не всегда. Если ИС достаточно крупная (содержит много элементов, расположена на большой территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же ИС сравнительно невелика и эксплуатирует новейшие

ИТ, для которых пока нет достоверной статистики, оценки угроз ИБ и уязвимостей могут оказаться недостоверными.
Поэтому наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз ИБ и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты. Несомненное достоинство подхода - возможность учета многих косвенных факторов (не только технических). Метод прост и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить полученную оценку. Недостатки - косвенные факторы и их вес зависят от бизнеса организации и ряда других обстоятельств, поэтому метод всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов - задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).
Рассмотрим качественное определение уровня (величины) риска ИБ. Возьмем пример, в котором угрозы ИБ и уязвимости не рассматриваются совместно в качестве причин реализации сценариев инцидентов ИБ, а учитываются отдельно [3, 4]. Оценки активов получаются по результатам интервьюирования выбранных сотрудников из бизнес-персонала (владельцев активов или бизнес-процессов), которые могут авторитетно привести информацию, позволяющую определить стоимость и ценность актива. Эти интервью способствуют выполнению оценки ценности активов, исходя из наиболее неблагоприятных вариантов, которые могут, при разумных предположениях, реализоваться в результате таких инцидентов ИБ, как несанкционированное раскрытие, несанкционированная модификация, отказ от своих действий, недоступность в течение различных периодов времени и уничтожение. При этом могут учитываться следующие факторы:

личная безопасность;
персональная информация;
правовые и нормативные обязательства;
правоприменение (соблюдение законов);
коммерческие и экономические интересы;
финансовые потери/нарушение деятельности;
общественный порядок;
бизнес-политика и бизнес-операции;
нематериальные потери.

При таком подходе для каждого возможного ущерба и для каждого актива необходимо определить соответствующее значение на шкале оценок (например, от 0 до 4).

Следующим важным этапом является заполнение опросных листов для всех идентифицированных активов, угроз ИБ и уязвимостей с целью оценки вероятности реализации угрозы ИБ и простоты использования уязвимости угрозой ИБ, в результате чего происходит инцидент ИБ. Каждый ответ на вопрос добавляет некоторый балл. Это позволяет идентифицировать вероятности реализации угрозы ИБ и простоты использования уязвимостей по заранее заданной шкале (например, «высокий», «средний» и «низкий»).
Для получения информации, используемой при заполнении опросных листов, проводится интервьюирование сотрудников технического отдела, отдела кадров и хозяйственного отдела, инспектируется возможное физическое местонахождение и анализируется имеющаяся документация. Оценки ценности актива сопоставляются с уровнями угроз ИБ и уязвимостей с помощью таблицы. Для каждой комбинации идентифицируется соответствующий показатель риска ИБ по шкале от 0 до 8 (табл. 3.9). Полученные итоговые оценки используются для принятия решения о том, какие риски ИБ необходимо обрабатывать в первую очередь и каким следует уделить больше внимания, а также определения вариантов обработки рисков ИБ. Для того чтобы принять решение о необходимости разработки и внедрения защитных мер для выявленных рисков ИБ, важно определить приемлемый уровень риска ИБ, соответствующую бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ.

Для каждого актива рассматриваются уязвимости, относящиеся к этому активу, и соответствующие им угрозы ИБ. Если имеется уязвимость без соответствующей угрозы ИБ или угроза без соответствующей уязвимости, то считается, что риск ИБ отсутствует. Соответствующая строка в таблице идентифицируется оценкой актива, а столбец - серьезностью угрозы ИБ и уязвимости. Например, если актив имеет оценку «3», уровень угрозы ИБ - «высокий», а уровень уязвимости - «низкий», то величина риска ИБ равна «5».

В таблице может меняться количество уровней угроз ИБ, столбцов для вероятностей реализации угроз ИБ и простоты использования уязвимостей и количество категорий оценки активов, и, следовательно, эту таблицу можно корректировать в соответствии с потребностями организации. Использование дополнительных столбцов и строк влечет за собой дополнительные уровни рисков ИБ.
Завершив в первый раз оценку рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их значимости, требования ИБ и уровни рисков ИБ, а также идентифицированные защитные меры и средства управления рисками ИБ), например, в специальной БД.
Возможно построение похожей матрицы для вероятности реализации сценариев конкретных инцидентов ИБ с учетом их последствий для бизнеса (табл. 3.10). Вероятность зависит от использования угрозами ИБ уязвимостей. Итоговый уровень риска ИБ выражается по шкале от 0 до 8 в соответствии с критериями принятия рисков ИБ. Шкала уровня рисков может быть упрощена введением рейтингов, например, низкий риск ИБ - 0-2, средний риск - 3-5, высокий риск - 6-8.

Для сопоставления последствий (для оценки актива) и вероятности реализации сценариев инцидентов ИБ (с учетом угроз ИБ и уязвимостей, которые могут вызвать конкретный инцидент ИБ) можно использовать табл. 3.11. Первый шаг состоит в оценивании последствий для каждого актива по предварительно установленной шкале, например, от

до 5 (столбец «б»). На втором шаге для каждого инцидента ИБ следует оценить вероятность реализации сценария инцидента ИБ по предварительно установленной шкале, например, от 1 до 5 (столбец «в»). Третий шаг состоит в расчете показателя риска ИБ с помощью умножения значений столбца «б» на значения столбца «в». Наконец, инцидентам ИБ может быть присвоена категория, соответствующая их коэффициенту последствий. Следует отметить, что в данном примере «1» обозначает наименьшее воздействие и наименьшую вероятность реализации сценария инцидента ИБ.

Такая процедура позволяет сравнивать различные инциденты ИБ, имеющие различные последствия и различную вероятность реализации, и ранжировать их в зависимости от приоритета. В некоторых случаях необходимо с используемыми эмпирическими шкалами связать денежные эквиваленты.
В следующем примере акцент делается на последствия (например, сценарии инцидентов ИБ) и определение систем, которым следует отдать приоритет. Для этого определяются две оценки для каждого актива и риска ИБ, которые вместе позволяют присвоить балл каждому активу. Уровень риска ИБ для ИС вычисляется как сумма баллов по всем активам. Сначала каждому активу присваивается некоторая оценка, обозначающая потенциальный ущерб, который может возникнуть в случае реализации угрозы ИБ для данного актива. Оценка присваивается активу для каждой угрозы ИБ, которой он подвергается. После этого для каждой угрозы ИБ оценивается значение вероятности реализации сценария инцидента ИБ (табл. 3.12).

На заключительном шаге суммируются итоговые баллы для всех активов данной системы, в результате чего получается оценка уровня риска ИБ для ИС. Такую процедуру можно использовать, чтобы произвести дифференциацию систем и определить ту, защита которой должна получить приоритетное значение.
Приведем пример. Предположим, что система 8 состоит из трех активов А1, А2 и А3. Допустим, что существуют две угрозы ИБ Т1 и Т2, применимые к системе 8. Пусть ценность А1 равна «3», А2 - «2», А3 - «4». Если для А1 вероятность реализации угрозы Т1 «низкая» и простота использования уязвимости «средняя», то значение вероятности равно «1». Балл для актива/угрозы ИБ А1/Т1 может быть получен из приведенной выше таблицы как пересечение ценности актива, равной «3», и вероятности, равной «1», то есть этот балл будет равен «4». Аналогично, если для А1/Т2 вероятность угрозы ИБ «средняя», а простота использования уязвимости «высокая», то балл равен «6». После этого можно рассчитать итоговый балл для актива А1 Т по всем угрозам ИБ (он равен «10»). Итоговой балл для системы 8Т определяется как сумма А1Т + А2Т + А3Т. Таким образом можно выполнить сравнение систем и определить их приоритетность.
Аналогично можно посчитать приоритеты для бизнес-процессов.
Как правило, риски ИБ с текущим значением приоритета меньше «1» просто игнорируются. Риски со значением приоритета в диапазоне 1-2 оставляются в списке, но реальных действий по их устранению обычно не предпринимается. Основное же внимание уделяется рискам ИБ с приоритетом больше «2».
Если для определения вероятности и последствий рисков ИБ использовались качественные оценки, то и приоритетность рисков оценивается на качественном уровне. Например, можно игнорировать те риски ИБ, у которых вероятность или последствия пренебрежимо малы. А высокоприоритетными следует считать риски ИБ, у которых вероятность выше средней и последствия выше существенных.
Для рисков ИБ с высоким приоритетом в ходе анализа полезно определить некоторые характеристики, которые позволят судить о приближении момента проявления риска ИБ или о существенном изменении вероятности его реализации.
Еще один способ определения уровня риска ИБ состоит в разграничении приемлемых и неприемлемых рисков ИБ. Суть этого метода заключается в том, что уровни риска ИБ используются только для определения тех рисков, для которых требуется наиболее срочное принятие защитных мер. При подобном подходе используемая таблица не будет содержать цифр, а будет состоять только из значений «П» и «Н», показывающих, является риск ИБ приемлемым или неприемлемым (табл. 3.14).

Данная таблица является лишь примером, и организация сама может провести разграничивающую линию между приемлемыми и неприемлемыми рисками ИБ.
3.3.7. Общий подход к оценке рисков ИБ РС БР ИББС-2.2-2009
Рассмотрим подход, представленный в РС БР ИББС-2.2-2009 [41], обобщая его основные идеи не только на информационные, но и на все остальные виды требующих ОИБ активов организации.
Активы рассматриваются в совокупности с соответствующими им материальными объектами среды использования и (или) эксплуатации актива (объект хранения, передачи, обработки, уничтожения и т. д.). При этом обеспечение свойств ИБ для активов выражается в создании необходимой защиты соответствующих им объектов среды.
Угрозы ИБ реализуются их источниками, которые могут воздействовать на объекты среды активов. В случае успешной реализации угрозы ИБ активы теряют часть или все свойства ИБ.
Риски ИБ заключаются в возможности утраты свойств ИБ активов в результате реализации угроз ИБ, вследствие чего организации может быть нанесен ущерб. Оценка рисков ИБ проводится для типов активов, входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

Полный перечень типов активов, входящих в область оценки. Он формируется на основе результатов классификации активов. Так, например, полный перечень возможных типов информационных активов организации содержит информацию ограниченного доступа; информацию, содержащую сведения, составляющие банковскую и коммерческую тайны; персональные данные; управляющую информацию информационных и телекоммуникационных систем (для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации); открытую (общедоступную) информацию.
Полный перечень типов объектов среды, соответствующих каждому из типов активов области оценки. Он формуется в соответствии с иерархией уровней информационной инфраструктуры организации. Перечни могут содержать, например, следующие типы объектов

среды: линии связи и сети передачи данных; сетевые программные и аппаратные средства, в том числе сетевые серверы; файлы данных, базы данных, хранилища данных; носители информации, включая бумажные; прикладные и общесистемные программные средства; программно-технические компоненты автоматизированных систем; помещения, здания, сооружения; технологические процессы.

Модель угроз ИБ для всех выделенных в организации типов объектов среды на всех уровнях иерархии ее информационной инфраструктуры. Риск ИБ определяется на основании качественных или количественных оценок:
степени возможности реализации (СВР и СВРкол) угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов активов;
степени тяжести последствий (СТП и СТПкол) от потери свойств ИБ для рассматриваемых типов активов.

Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой обладающими необходимыми знаниями, образованием и опытом работы сотрудниками службы ИБ организации с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы. Если работники организации не обладают необходимыми знаниями и опытом, возможно привлечение внешних консультантов или экспертов.
При привлечении к оценке СВР угроз ИБ и СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок итоговая, обобщенная оценка обычно принимается равной экспертной оценке, определяющей соответственно наибольшую СВР угрозы ИБ и наибольшую СТП нарушения ИБ.
Данные, на основании которых проводятся все оценки, и их результаты обязательно документируются.
Для проведения качественной оценки рисков ИБ выполняются шесть процедур:

Определение и документальная фиксация перечня типов активов, для которых выполняются процедуры оценки рисков ИБ (далее - область оценки рисков ИБ). Область оценки рисков ИБ может быть определена как перечень типов активов организации в целом, ее отдельного подразделения или отдельного процесса деятельности организации в целом или ее подразделения. Для каждого из типов активов определяется перечень основных и дополнительных свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации.

Определение и документальная фиксация перечня типов объектов среды, соответствующих каждому из типов активов области оценки рисков ИБ. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации.
Определение на основе модели угроз ИБ организации и документальная фиксация источников угроз ИБ, воздействие которых может привести к потере свойств ИБ соответствующих типов активов для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации. При этом возможно расширение первоначального перечня источников угроз ИБ, зафиксированных в модели угроз организации (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды). При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией.
Определение СВР угроз ИБ применительно к выделенным типам объектов среды и анализ возможности потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СВР угроз ИБ в РС БР ИББС-2.2-2009 используется следующая качественная шкала степеней «нереализуемая - минимальная - средняя - высокая - критическая». Основными факторами для оценки СВР угроз ИБ является информация соответствующих моделей угроз ИБ, в частности: данные о расположении источника угрозы ИБ относительно соответствующих типов объектов среды; информация о мотивации источника угрозы ИБ антропогенного характера (связанного с человеком); предположения о квалификации и (или) ресурсах источника угрозы ИБ; статистические данные о частоте реализации угрозы ИБ ее источником в прошлом; информация о способах реализации угроз ИБ; информация о сложности обнаружения реализации угрозы ИБ рассматриваемым источником; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты активов, тем самым снижая вероятность реализации соответствующих угроз ИБ [например, средства защиты от несанкционированного доступа (НСД)].
Определение СТП нарушения ИБ для типов активов области оценки рисков ИБ и анализ последствий потери каждого из свойств ИБ для

каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ в РС БР ИББС-2.2- 2009 используется следующая качественная шкала степеней «минимальная - средняя - высокая - критическая». Основными факторами для оценки СТП нарушения ИБ являются: степень влияния на непрерывность бизнеса и репутацию организации; объемы финансовых и материальных потерь, финансовых, материальных и временных затрат, а также людских ресурсов, необходимых для восстановления свойств ИБ для активов рассматриваемого типа и ликвидации последствий нарушения ИБ; степень нарушения законодательных требований и (или) договорных обязательств организации, требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований внутренних нормативных актов организации; объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает СТП нарушения свойств ИБ активов (например, средства резервного копирования и восстановления информации).

Оценка рисков ИБ, результаты которой документально фиксируются. Качественная оценка рисков ИБ проводится для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз ИБ на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз ИБ. Для оценки рисков ИБ в РС БР ИББС-2.2-2009 используется следующая качественная шкала «допустимый - недопустимый». Для сопоставления оценок СВР угроз ИБ и СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков ИБ (табл. 3.15), на пересечении столбцов и строк которой указаны соответствующие значения.

Входная и результирующая информация по оценке рисков ИБ для типа актива «информация ДСП» представлена в табл. 3.16.

Для формирования резервов на возможные потери, связанные с инцидентами ИБ, риски ИБ могут быть оценены в количественной (денежной) форме. Это определяется на основании количественных оценок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.
Оценки СВРкол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:

нереализуемая - 0 %;
минимальная - от 1 до 20 %;
средняя - от 21 до 50 %;
высокая - от 51 до 100 %;
критическая - 100 %.

Оценки СТПкол нарушения ИБ также формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рамках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:

минимальная - до 0,5 % от величины капитала организации;
средняя - от 0,5 до 1,5 % от величины капитала организации;
высокая - от 1,5 до 3 % от величины капитала организации;
критическая - более 3 % от величины капитала организации.

Данные, на основании которых проводится количественная оценка
СВРкол угроз ИБ и СТПкол нарушения ИБ, и ее результаты документально фиксируются.
Количественные оценки рисков ИБ вычисляются для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз ИБ путем перемножения оценок СВРкол угроз ИБ и СТПкол нарушения ИБ.
Суммарная количественная оценка риска ИБ организации вычисляется как сумма количественных оценок по всем отдельным рискам ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска ИБ.

Вопросы для самоконтроля

Какие этапы включает в себя процесс оценки рисков ИБ?
Каковы основные методологические недостатки традиционных подходов к оценке рисков ИБ? Применение каких инновационных подходов позволит устранить эти недостатки?
Какие этапы включает в себя процесс анализа рисков ИБ?
На каких этапах оценки рисков ИБ может потребоваться участие владельцев бизнес-процессов и почему?
Целесообразно ли вести реестр активов организации на регулярной основе и как это может повлиять на процесс оценки рисков ИБ?
Какое место процесс оценки рисков ИБ занимает в СУИБ?
Каковы наиболее значимые для организации результаты, получаемые в результате работы процесса оценки рисков ИБ?
На каком этапе цикла РБСЛ предполагает проведение первоначальной оценки рисков ИБ?
Что подразумевается под понятием актива? Какие типы активов учитываются при оценке рисков ИБ?
Что такое «угроза ИБ», «уязвимость», «источник угрозы ИБ»? Как взаимосвязаны эти понятия?
Каким образом возможно формировать каталоги угроз ИБ и уязвимостей, которые будут использоваться для оценки рисков ИБ?
В чем может состоять преимущество использования каталогов угроз ИБ, характерных для организации, в которой проводится оценка рисков ИБ, по сравнению с использованием типовых каталогов угроз ИБ?
Какие подходы к анализу рисков ИБ выделяются в стандартах?
В чем состоят сходства и различия подходов базового и детального анализа рисков ИБ?
Какой из подходов к анализу рисков ИБ предпочтительнее применять в небольшой организации, в которой эксплуатируются критичные системы, поддерживающие предоставление организацией услуг внешним заказчикам?
В какой ситуации и для какой организации целесообразно применять комбинированный подход к анализу рисков ИБ?
Какие подходы к оценке рисков ИБ выделяются в стандартах?
Как осуществляются качественная, количественная и полуколичественная оценка рисков ИБ?
В чем суть процесса оценивания рисков ИБ?
На основании каких оценок риск ИБ определяется в РС БР ИББС-2.2-2009?
Каковы процедуры качественной оценки риска ИБ согласно РС БР ИББС- 2.2-2009?
Что изменяется в процедурах качественной оценки риска ИБ для получения оценки риска ИБ в денежной форме согласно РС БР ИББС-2.2-2009?

ОБРАБОТКА РИСКОВ ИБ

Целью обработки рисков ИБ является их уменьшение до приемлемого уровня путем снижения вероятности реализации сценариев инцидентов ИБ или минимизации возможного ущерба (последствий) [3, 4].
После того как конкретный риск ИБ идентифицирован и оценен, должно быть принято решение относительно самого подходящего действия по его обработке - выбора и реализации мер и средств минимизации риска ИБ. Это решение должно основываться на информации о защищаемых активах и возможном воздействии риска ИБ на бизнес. Помимо оцененного уровня риска ИБ, при принятии решения могут быть учтены затраты на внедрение и сопровождение защитных мер, политика руководства, простота реализации, мнения экспертов и т. д. [3, 4, 6].
Еще одним важным фактором, лежащим в основе данного решения, является приемлемая величина риска ИБ, который был идентифицирован после выбора необходимого метода оценки рисков ИБ.
Входными данными процесса является список рисков ИБ с приоритетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ, ведущим к выделенным рискам.
На основе этих данных организация устанавливает средства управления рисками ИБ и определяет защитные меры, ведущие к снижению, принятию (сохранению), предотвращению (избежанию) или передаче (переносу) риска ИБ, а также готовим план обработки рисков ИБ.
Процесс обработки рисков ИБ включает подготовку, выбор и принятие решений по вариантам обработки рисков ИБ, которые должны быть реализуемы и экономически оправданы. На рис. 4.1 представлена последовательность действий, осуществляемых при обработке рисков ИБ в рамках процесса управления рисками ИБ.
Выбор вариантов обработки рисков ИБ основан на выходных данных оценки рисков ИБ, предполагаемых затратах на их реализацию и ожидаемой прибыли от их внедрения.
Если значительное сокращение рисков ИБ может быть достигнуто при относительно низких затратах, именно такие действия и должны быть предприняты. Дополнительные действия по улучшению могут оказаться нерентабельными, и должно быть определено, являются ли они действительно оправданными.
В общем случае, негативные последствия рисков ИБ должны быть снижены до разумных пределов независимо от любых установленных критериев. Руководители должны рассматривать в основном редко встречающиеся, но серьезные риски ИБ. В таких случаях средства управления рисками ИБ, которые не являются оправданными только по экономическим соображениям, все равно должны быть реализованы

Четыре выше названные возможные варианта обработки рисков ИБ не являются взаимоисключающими. Иногда организация получит существенный выигрыш, сочетая такие варианты, как снижение значения вероятности рисков ИБ, уменьшения их последствий, а также передачи или сохранения любых остаточных рисков ИБ.
Некоторые виды обработки рисков ИБ эффективно борются сразу с двумя и более рисками (например, обучение или информирование по вопросам ИБ).
В организации обязательно разрабатывается план обработки рисков ИБ, в котором четко определены приоритеты, какие отдельные процедуры обработки рисков должны быть реализованы и в какие сроки. Приоритеты могут быть установлены с использованием различных методов, включая рейтинги рисков ИБ и анализ «затраты-выгода». Руководитель организации несет ответственность за решения по балансу между затратами на внедрение защитных мер и распределением бюджета.
Идентификация существующих средств управления рисками ИБ может показать, что они превышают текущие потребности с учетом их стоимости, включая сопровождение. Если рассматривается исключение избыточных или ненужных средств (особенно, если они имеют высокие эксплуатационные расходы), должны учитываться требования по ОИБ и стоимость. Поскольку средства управления могут влиять друг на друга, удаление избыточного элемента может снизить общий уровень ИБ в конкретном месте. Кроме того, может быть дешевле оставить избыточный или ненужный элемент на месте, чем исключить его.

(например, средства управления непрерывностью бизнеса (УНБ) или устраняющие отдельные высокие риски ИБ).

Варианты обработки рисков ИБ рассматриваются с учетом следующего:

как риск ИБ воспринимается теми, кого он затрагивает;
наиболее приемлемые способы обмена информацией между затрагиваемыми сторонами.

Установление контекста управления рисками ИБ дает информацию о требованиях законодательства и регулирующих органов, которые должна выполнять организация. Обязательно реализуются все действия по обработке рисков ИБ, позволяющие организации соблюдать указанные требования. В ходе обработки рисков ИБ принимаются во внимание все ограничения - организационные, технические, структурные и другие, выявленные в ходе установления контекста.
После уточнения плана обработки рисков ИБ необходимо определить остаточный риск ИБ. Приемлемая величина остаточного риска ИБ не должна превышать максимально допустимую величину риска ИБ, утвержденную руководством организации. Для этого может потребоваться обновить и произвести заново все итерации по оценке рисков ИБ, учитывая ожидаемый эффект от предложенной обработки рисков ИБ. Если и после этого остаточный риск ИБ не соответствует критериям принятия рисков ИБ в организации и превышает максимально допустимую величину риска ИБ, то для его уменьшения должны быть выбраны дополнительные защитные меры и далее выполнены дальнейшие итерации обработки рисков до того момента, пока риск ИБ не будет принят.
На выходе процесса получается план обработки рисков ИБ с дальнейшими действиями для каждой группы рисков ИБ и остаточные риски ИБ, в отношении которых должны быть приняты решения руководством организации.
Для каждого из оцененных рисков ИБ, вошедших в список приоритетных, необходимо выбрать стратегию дальнейшего реагирования, которая может быть направлена на то, чтобы «обойти» риск, застраховаться от него или смягчить его последствия. Иногда риск ИБ можно исключить полностью, отказавшись от одного-двух низкоприоритетных свойств защищаемого актива. Таким образом, для идентифицированных и оцененных рисков ИБ, превышающих приемлемую величину риска ИБ, существуют четыре возможных действия, которые может предпринять организация:

применение надлежащих защитных мер для снижения (уменьшения) рисков ИБ, которые считаются неприемлемыми;
сознательное и намеренное принятие (сохранение) рисков ИБ, при условии, что они соответствуют политикам организации и критериям принятия рисков ИБ; риск ИБ в конкретном случае считается осознанно допустимым, если организация должна смириться с возможными последствиями (стоимость защитных мер значительно

превосходит потери в случае реализации сценария инцидента ИБ или организация не может найти подходящие защитные меры);

избежание (предотвращение) рисков ИБ (например, отказ от активов или бизнес-процессов, являющихся причиной риска ИБ);
передача рисков ИБ другим сторонам - риск считается неприемлемым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации. Рассмотрим эти опции обработки рисков ИБ более подробно.

Снижение риска ИБ

Согласно стандартам [3, 4] величина оцененных рисков ИБ в пределах области действия рассматриваемой СУИБ должна быть снижена, что осуществляется посредством выбора средств управления рисками ИБ и позволяет добиться того, чтобы остаточный риск ИБ был оценен как приемлемый для организации. Обоснованные защитные меры выбираются на основе стандартов 180/1ЕС 27001 и 27002, а также дополнительных источников, если это необходимо. Строго говоря, задача во многих ситуациях состоит не в том, чтобы свести возможность проявления риска ИБ и его последствий к нулю. Если такое решение и достижимо, оно может потребовать слишком много ресурсов. Реальной целью выбора мер является снижение вероятности и последствий реализации рисков ИБ до уровня, приемлемого для данной организации.
В соответствии с [8, 11] для выбора и внедрения защитных мер, вызванных рисками ИБ, используются результаты детального анализа рисков ИБ, позволяющего рассмотреть их всесторонне. Таким образом, можно избежать крайностей в ОИБ ИС организации. Использование высокоуровневого анализа рисков ИБ позволяет выявлять системы с более низким уровнем риска, для которых могут быть выбраны стандартные защитные меры для обеспечения базового уровня ИБ. Этот уровень должен быть не ниже минимального уровня ИБ, установленного организацией для каждого типа ИС. Базовый уровень ИБ достигается путем реализации минимального пакета защитных мер, известных как базовые защитные меры. Они могут быть идентифицированы по каталогам, которые предлагают пакеты защитных мер для различных типов ИС для обеспечения их защиты от большинства общих угроз ИБ. Каталоги содержат информацию о категориях или отдельных защитных мерах или об их совместном применении. Средний и более высокий уровень ИБ достигается использованием дополнительных защитных мер.
После идентификации подходящих защитных мер, позволяющих снизить риск ИБ до приемлемого уровня, необходимо оценить, в какой именно степени эти меры в случае их реализации уменьшат риск ИБ. Если остаточный риск ИБ является неприемлемым, необходимо принять бизнес- решение о том, что с ним делать дальше. Один из возможных вариантов

состоит в выборе дополнительных средств, в конечном счете уменьшающих этот риск до приемлемого уровня - если ожидаемые потери больше допустимого уровня, необходимо усилить защитные меры. Для рисков ИБ, не устраненных окончательно или не поддающихся «смягчению», нужно разработать план действий на случай их проявления.
Хотя обычно рекомендуется не допускать оставления неприемлемых рисков ИБ, снижение всех рисков до приемлемого уровня не всегда возможно или осуществимо с финансовой точки зрения.
Существуют риски ИБ, относящиеся к категории достаточно приоритетных, но при этом поддающиеся воздействию.
Выбор защитных мер должен удовлетворять всем требованиям (включая законодательные, контрактные и т. п.), определенным во время оценки и обработки рисков ИБ, и учитывать критерии принятия рисков ИБ, стоимость и временные затраты на реализацию, технические и организационные аспекты. Очень часто можно снизить общую стоимость владения активами при правильном выборе элементов управления ИБ.
Уже реализованные защитные меры должны подвергнуться переоценке на основе сравнений затрат, включая сопровождение, с намерением исключить или усовершенствовать их в случае недостаточной эффективности. Подчеркнем, что иногда исключение несоответствующей (неэффективной) защитной меры может быть дороже, чем последующая ее эксплуатация с возможным добавлением другой меры.
При выборе реализуемых защитных мер следует учесть множество факторов, в том числе:

стоимость приобретения, внедрения, администрирования, функционирования, мониторинга и сопровождения по отношению к ценности активов;
возврат инвестиций в терминах снижения рисков ИБ и потенциального использования новых возможностей для бизнеса;
необходимость получения новых навыков по внедрению и эксплуатации новых и модификации существующих защитных мер;
любые ограничения: временные, финансовые, технические, организационные, операционные, культурные, этические, экологические, законодательные, человеческие и т. д.;
легкость использования и управления;
прозрачность для пользователя;
помощь, предоставляемую пользователям для выполнения их функций;
производительность;
совместимость с существующими мерами;
влияние на производительную работу защищаемых активов;
типы выполняемых функций - коррекция, исключение, предотвращение, минимизация воздействия, сдерживание, обнаружение, восстановление, мониторинг и оповещение.

Новые защитные меры не должны порождать ложное чувство защищенности или порождать новые риски ИБ (например, требование выбора сложных паролей без соответствующего тренинга, что заставляет пользователей записывать новые пароли на бумаге).
Средства управления рисками ИБ позволяют уменьшить оцененный риск ИБ несколькими различными способами, например:

уменьшая вероятность реализации угрозы ИБ или вероятность использования уязвимости, приводящих к данному риску ИБ;
обеспечивая выполнение законодательных и бизнес-требований;
уменьшая возможные последствия в случае реализации риска ИБ;
обнаруживая нежелательные события, реагируя на них и выполняя восстановление.

Выбор организацией одного из перечисленных способов (или их комбинации) для обеспечения защиты своих активов внутри данной СУИБ является бизнес-решением и зависит от условий бизнеса и обстоятельств, в которых приходится работать организации.
Выходными данными процесса снижения рисков ИБ является список необходимых и достаточных возможных средств управления рисками ИБ с их стоимостью, преимуществами и приоритетами внедрения. Кроме того, должны быть документированы связи с результатами оценки рисков ИБ и обеспечено максимально возможное снижение рисков ИБ.
После реализации выбранных защитных мер риски ИБ остаются в любом случае. Поэтому необходимо проверить результаты их действия (например, по отчетам об инцидентах ИБ или файлам журналов регистрации систем), чтобы окончательно оценить, насколько хорошо работают реализованные меры. Эти действия являются частью этапа проверки в модели РБСА, и после этого идентифицированные усовершенствования должны быть реализованы на этапе улучшения СУИБ в целом и управления рисками ИБ в частности для более эффективного ОИБ.

Сохранение риска ИБ

Решение по сохранению (принятию и удержанию на том же уровне) рисков ИБ без принятия каких-либо мер должно зависеть от результатов оценивания рисков ИБ. В 180/1ЕС 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005 определена возможность «сознательного и объективного принятия рисков, при условии, что они четко соответствуют политикам организации и удовлетворяют критериям принятия рисков». Таким образом, если величина оцененных рисков ИБ удовлетворяет критериям принятия рисков, нет необходимости внедрения дополнительных средств управления рисками ИБ, и оцененный риск может быть сохранен на прежнем уровне [1-4, 15].
Если принять во внимание ранее приведенные соображения, что со временем защитные меры и СОИБ в целом деградирует и перестает

полностью удовлетворять текущим требования по ОИБ, то через некоторое время для поддержания рисков ИБ на прежнем уровне после ранее произведенного внедрения выбранных мер потребуется усилить те из них, которые влияют на сохраняемые риски ИБ. А это повлечет за собой дополнительные финансовые и иные затраты.

Избежание риска ИБ

Деятельности или условий, приводящих к отдельному риску ИБ, нужно избегать. Согласно [3, 4] если выявленные риски ИБ считаются слишком высокими или затраты на осуществление других действий по обработке рисков ИБ превышают выгоды, может быть принято решение полностью избежать риска ИБ путем отказа от запланированной или осуществляемой деятельности или набора действий или изменением условий осуществления данной деятельности. Например, для рисков ИБ, вызванных природными явлениями, может быть наиболее экономически целесообразно физически переместить СОИ в то место, где риск ИБ не существует или он находится под контролем.
К избежанию рисков ИБ относятся все действия, в результате которых активы исключаются из областей риска (например, физических областей или бизнес-процессов). Этого можно достичь, например, таким образом:

невыполнение отдельных бизнес-операций (например, неиспользование средств электронной коммерции или неиспользование Интернета для конкретных бизнес-операций);
перемещение активов из области, подвергающейся риску (например, запрет хранить важные файлы в интранете организации или перемещение активов из областей, в которых отсутствует надлежащая физическая защита);
решение не обрабатывать особо важную информацию, например, третьей стороной, если не может быть гарантировано должное обеспечение ИБ.

При оценивании варианта избежания риска ИБ его необходимо согласовать с бизнес-потребностями и финансовыми затратами организации. Например, использование Интернета для электронной коммерции может быть обязательным вследствие потребностей бизнеса, несмотря на все проблемы, связанные с незащищенность Интернета, а перемещение активов в более безопасное место может быть недопустимо с точки зрения бизнес-процесса. В подобных ситуациях следует рассмотреть другие опции, то есть передача или снижение риска ИБ.

Передача риска ИБ

Согласно [3, 4] передача рисков ИБ другим сторонам, способным наиболее эффективно управлять ими по результатам оценивания рисков ИБ, может быть наилучшим вариантом в случае, если невозможно избежать риска и трудно, или слишком дорого, добиться его снижения.

Передача риска ИБ заключается в разделение определенных рисков с внешними сторонами. Правда, она может породить новые или модифицировать уже существующие риски ИБ. Поэтому может потребоваться дополнительная обработка рисков ИБ.
Передача может быть осуществлена посредством страхования от последствий рисков ИБ или аутсорсинга (субподряда с партнером, роль которого будет заключаться в управлении ИС и принятии незамедлительных мер, останавливающих атаку, прежде чем она вызовет определенный ущерб).
Страхование обычно осуществляется на сумму, соизмеримую с оцененной стоимостью активов и соответствующими рисками ИБ, а также с учетом ценности активов для бизнес-процессов организации. Компенсация убытков предоставляется в том случае, если реализуется риск ИБ, находящийся в пределах страхового покрытия.
Еще одна возможность состоит в использовании для работы с критически важными активами или процессами третьей стороны или аутсорсинговых партнеров, если они должным образом оснащены для выполнения подобной работы. В этом случае необходимо позаботиться, чтобы в соответствующие договоры были включены все требования по ОИБ, цели и защитные меры, которые гарантировали бы обеспечение необходимого уровня ИБ.
Следует отметить, что можно передать ответственность за управление рисками ИБ, но обычно невозможно перенести ответственность за воздействия. Клиенты, как правило, возлагают вину за неблагоприятные последствия на саму организацию.
Другой пример передачи рисков ИБ - когда активы, которые подвергаются риску ИБ, выводятся за область действия данной СУИБ. В этом случае ОИБ особо важной информации может оказаться более простым и дешевым, но необходимо позаботиться о том, чтобы все активы, необходимые для бизнеса, были включены в данную СУИБ посредством соответствующих интерфейсов и зависимостей.
Однако не все потери можно полностью застраховать (например, незастрахованные инциденты, урон, нанесенный бренду или репутации, снижение стоимости активов причастных сторон, сокращение доли рынка и последствия для здоровья человека). Одно только финансовое урегулирование не всегда позволяет полностью защитить организацию способом, удовлетворяющим ожидания причастных сторон. Установление объема страхования, вероятнее всего, следует использовать совместно с другими стратегиями.
Также существуют и некоторые виды рисков ИБ, которые вообще не могут быть переданы. В частности невозможно передать риск потери репутации, даже если в договоре предусмотрен отказ от поставки услуги.

Вопросы для самоконтроля

Какие основные способы обработки рисков ИБ? В чем основная цель каждого из них?
Кто в организации обладает достаточными полномочиями для принятия решения об уровне приемлемого риска ИБ и почему?
На основе какой информации должно приниматься решение об уровне приемлемого риска ИБ?
Какие существую меры по снижению рисков ИБ до приемлемого уровня?
Каким образом и кем осуществляется планирование мер по обработке рисков ИБ?

ПРИНЯТИЕ, КОММУНИКАЦИЯ, МОНИТОРИНГ И ПЕРЕСМОТР РИСКОВ ИБ
1. Принятие рисков ИБ

Согласно [3, 4] входными данными являются план обработки рисков ИБ и оценка рисков ИБ, на основе которых руководство организации делает заключение о принятии рисков ИБ.
Во время данного этапа принимаются и документируются решения о принятии рисков ИБ и об ответственности за такое решение. Планы обработки рисков ИБ описывают, как оцененные риски ИБ должны быть обработаны в соответствии с критериями принятия рисков. Важно, чтобы ответственные руководители пересмотрели и утвердили планы обработки рисков и результирующие остаточные риски ИБ, а также зарегистрировали все условия, связанные с такой поддержкой.
Критерии принятия рисков ИБ могут быть более сложными, чем просто определение, когда остаточный риск ИБ выше или ниже определенного порогового значения.
В некоторых случаях величина остаточного риска ИБ может не соответствовать критериям принятия рисков ИБ, поскольку применяемые критерии не учитывают все текущие обстоятельства. Например, возможно доказать необходимость принятия рисков ИБ по причине привлекательности получаемых от этого выгод или очень больших затрат на их снижение. В этой ситуации важно дать ответ на вопрос: что для организации выгоднее - снижать риски ИБ или бороться с их последствиями, и решать оптимизационную задачу.
Такие обстоятельства указывают на то, что, возможно, критерии принятия рисков ИБ неадекватны и должны быть по возможности пересмотрены. Однако своевременно пересмотреть их не всегда возможно. В таких случаях лицам, принимающим решения, возможно придется принять риски ИБ, которые не соответствуют обычным критериям. Но тогда принимающие решения лица должны четко прокомментировать все такие риски ИБ и привести для них обоснования решений по их принятию.
Основными факторами, влияющими на решение о принятии рисков ИБ, являются:

возможные последствия реализации рисков ИБ, включая все связанные с этим расходы;
ожидаемая частота подобных событий.

Количественные оценки этих факторов субъективны, как было показано ранее, поэтому принимающие решение лица должны иметь представление о точности и достоверности информации, на основе которой приняты данные решения.

Выходными данными процесса является список принимаемых рисков ИБ с обоснованием тех из них, которые не соответствуют обычным критериям организации в области принятия рисков ИБ.

Коммуникация рисков ИБ

Во всех стандартах, посвященных рискам ИБ, отмечается необходимость уделять особое внимание информированию о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ должно осуществляться постоянное информирование всех участников процесса управления ИБ, а также фиксирование событий, входящих в область действия СУИБ.
Входными данными процесса является информация по рискам ИБ, полученная во время осуществления всей деятельности по управлению рисками ИБ [3, 4]. Должен быть организован обмен такой информацией о рисках ИБ и ее совместное использование лицами, принимающими решения, и всеми причастными сторонами.
Коммуникация (обмен информацией относительно) рисков ИБ - это деятельность, направленная на достижение соглашения в области управления рисками ИБ путем обмена и/или совместного использования информации о рисках между стороной принимающей решения и другими причастными сторонами. Информация включает (но не ограничивается) наличие, характер, форму, вероятность, серьезность, обработку и приемлемости рисков ИБ.
Эффективная связь между всеми сторонами важна, поскольку она оказывает существенное влияние на решения, которые должны быть приняты. Именно она будет гарантировать, что лица, ответственные за осуществление управления рисками ИБ, и те, кто заинтересован в этом, понимают основы, на которых принимаются решения и причины необходимости конкретных действий. Связь является двунаправленной.
Восприятие и осознание рисков ИБ может меняться в зависимости от различий в исходных предположениях, концепциях и потребностях, связанных с рисками проблем и озабоченности причастных сторон или обсуждаемых вопросов. Причастные стороны, как правило, выносят свои суждения о приемлемости рисков ИБ на основе своего восприятия рисков. Поэтому особенно важно, чтобы восприятие как рисков ИБ, так и выгод было определено и документально оформлено, а лежащие в основе причины четко поняты и учтены.
Деятельность по коммуникации рисков ИБ может осуществляться со следующими целями:

гарантировать получение результата при управлении рисками ИБ

организации;

собрать информацию по рискам ИБ;

совместно использовать результаты оценки рисков ИБ и представить план обработки рисков ИБ;
избежать или снизить возникновение и последствия от нарушения ИБ из-за недостатка взаимопонимания между принимающими решения и заинтересованными лицами;
обеспечить поддержку процесса принятия решений;
получить новые знания в области ИБ;
скоординировать действия всех сторон в соответствии с планом уменьшения последствий любых инцидентов ИБ;
дать принимающим решения и заинтересованным сторонам почувствовать ответственность по отношению к рискам ИБ;
повысить осведомленность (информированность).

Организация разрабатывает план коммуникации рисков ИБ в обычных и нештатных ситуациях, поскольку данная деятельность должна осуществляться непрерывно. Этот план должен включать в себя механизмы для регулярного обновления информации о рисках ИБ как составной части программы непрерывного повышения осведомленности сотрудников организации в вопросах ИБ. Он также должен предусматривать оповещение сотрудников об инцидентах ИБ.
Координация связи между основными принимающими решения и причастными сторонами достигается посредством создания комитета, который обсуждает риски ИБ, их приоритезацию и приемлемую обработку и принимает решения по обработке и принятию рисков ИБ.
Также важно (особенно в случае действий в кризисных ситуациях, например, в ответ на конкретные инциденты ИБ) сотрудничать в рамках организации с соответствующими подразделениями связей с общественностью и коммуникаций для координации всех задач, связанных с коммуникацией рисков ИБ.
Процесс получения обратной связи и вовлечения сотрудников организации в процесс управления рисками ИБ рассмотрен в стандарте Б8 7799-3:2006 и включает следующие рекомендации [6]:

четко определить область действия для предложений, касающихся СУИБ и управления рисками ИБ;
использовать простые и легко заполняемые формы для получения предложений;
определить контактных лиц для отправки предложений и запросов;
выражать признательность за любое обращение;
проявлять гибкость в отношении присланных предложений;
по мере возможности привлекать приславшего предложение к процессу устранения выявленной им проблемы;
предусмотреть систему премирования полезных обращений;
быстро и эффективно внедрять предлагаемые усовершенствования;
информировать об успешных усовершенствованиях сотрудников организации;
периодически выпускать напоминания о процессе усовершенствования.

Выходом является постоянное понимание процессов и результатов управления рисками ИБ в организации.

Мониторинг и пересмотр рисков ИБ

Управление рисками ИБ - это не одноразовое мероприятие. Вероятность проявления и последствия однажды выявленных рисков ИБ и оценка их приоритетности могут в дальнейшем измениться, а могут появиться и новые риски ИБ. Например, по мере накопления сведений об определенных инструментах и методах у исполнителей растет уверенность, что работы по каким-то проектам могут быть выполнены в срок. Или, наоборот, опыт сборки и тестирования предварительных версий ИС, возможно, заставляет усомниться в достаточной ее производительности. Это значит, что данные о рисках ИБ должны регулярно обновляться. Повторный анализ рисков ИБ желательно провести таким образом, чтобы свежие сведения можно было использовать при планировании очередной итерации цикла управления рисками ИБ.
Деятельность по мониторингу рисков ИБ включает две составляющие:

мониторинг (как процесс регулярного получения, отслеживания и анализа) и пересмотр показателей риска ИБ;
мониторинг, пересмотр и усовершенствование управления рисками ИБ.

Мониторинг и пересмотр показателей риска ИБ

Согласно [3, 4] входные данные для процесса - вся информация о рисках ИБ, полученная во время деятельности по управлению рисками ИБ.
Риски ИБ не статичны. Угрозы ИБ, уязвимости, вероятности их проявления или последствия могут резко измениться, без явных на то указаний. Поэтому должен осуществляться постоянный мониторинг (получение, отслеживание и анализ) и пересмотр (переоценка) рисков ИБ и их основных показателей (например, ценность активов, последствия, угрозы ИБ, уязвимости, значения вероятностей реализации), что позволит выявить любые изменения в контексте управления рисками ИБ на ранних стадиях и иметь общую картину по рискам ИБ в организации. Этому процессу будет способствовать информация из любых внешних источников, описывающих новые угрозы ИБ и уязвимости.
Организация должна проводить постоянный мониторинг следующего:

новые активы, попадающие в область действия управления рисками ИБ;
необходимые изменения в ценности активов, например, вызванные изменениями бизнес-требований;
новые угрозы ИБ, которые могут проявляться как внутри, так и вне организации и которые еще не были оценены;
возможность использования угрозами ИБ новых или усилившихся старых уязвимостей;
выявление среди идентифицированных уязвимостей тех, которые могут использоваться новыми или вновь возникающими угрозами ИБ;

возрастающее влияние или последствия от агрегированных оцененных угроз ИБ, уязвимостей и рисков ИБ, проявляющееся в появлении неприемлемого уровня риска ИБ;
инциденты ИБ.

Новые угрозы ИБ, уязвимости или изменения в значениях вероятностей или последствий могут увеличить риски ИБ, ранее оцененные как более низкие. При пересмотре низких и ранее принятых рисков ИБ каждый риск должен рассматриваться как отдельно, так и совместно для оценки их возможного совместного воздействия. Если полученные таким образом риски ИБ не становятся более низкими, они обрабатываются ранее рассмотренными способами.
Могут измениться факторы, влияющие на значения вероятностей и последствия реализации угроз ИБ, а также применимость или стоимость различных вариантов обработки рисков ИБ. Существенные изменения, влияющие на организацию, должны переоцениваться более тщательно. Поэтому деятельность по мониторингу рисков ИБ производится непрерывно и периодически пересматриваются варианты обработки рисков ИБ.
Выходными данными процесса мониторинга рисков ИБ является постоянное согласование управления рисками ИБ с задачами бизнеса организации и критериями принятия рисков ИБ. Эти выходные данные могут стать входными для других действий при пересмотре рисков ИБ.

Мониторинг, пересмотр и усовершенствование ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ ИБ

Согласно [3, 4] входные данные для процесса - вся информация о рисках ИБ, полученная во время деятельности по управлению рисками ИБ.
Процесс управления рисками ИБ должен постоянно контролироваться, пересматриваться и усовершенствоваться по мере необходимости и надлежащим образом. Постоянный контроль и пересмотр необходимы для обеспечения уверенности организации в том, что контекст, результаты оценки и обработки рисков ИБ, а также планы управления рисками ИБ остаются актуальными и соответствующими текущей ситуации. Этим требованиям удовлетворяет как сам процесс управления рисками ИБ, так и осуществляемая в рамках него деятельность.
Любые согласованные улучшения процесса или действий, необходимых для соблюдения процесса управления рисками ИБ, доводятся до сведения соответствующих руководителей. Эти руководители должны иметь гарантии того, что никакой риск ИБ или элемент риска ИБ не упущен из виду или недооценен и что предпринимаются все необходимые действия и принимаются решения, позволяющие реалистично представлять риски ИБ и реагировать на них.
Кроме этого организация регулярно проверяет, что используемые для измерения риска ИБ и его элементов критерии остаются по- прежнему обоснованными и соответствуют бизнес-задачам, стратегиям и политикам, и что изменения бизнес-контекста должным образом учтены во время всего процесса управления рисками ИБ.

Деятельность по мониторингу и пересмотру (переоценке) процесса управления рисками ИБ затрагивает следующее (но не ограничивается лишь этим):

законодательный контекст и окружающая среда;
конкурентоспособность;
подходы к оценке рисков ИБ;
ценность и классы активов;
критерии оценки влияния на бизнес;
критерии оценивания рисков ИБ;
критерии принятия рисков ИБ;
полная стоимость владения активами;
необходимые ресурсы.

Отслеживание значений ключевых индикаторов рисков ИБ, предварительно установленных на стадиях идентификации и оценки рисков ИБ, ведется постоянно.
Организация обеспечивает постоянную доступность ресурсов оценки и обработки рисков ИБ для пересмотра рисков ИБ, учета новых или измененных угроз ИБ и уязвимостей и соответствующего уведомления руководства.
Результатом мониторинга управления рисками ИБ может стать модификация или дополнение подхода, методологии или используемых инструментальных средств, что зависит от следующих факторов:

выявленных изменений;
итераций процесса оценки рисков ИБ;
целей процесса управления рисками ИБ (например, непрерывность бизнеса, устойчивость к инцидентам ИБ, совместимость);
объектов процесса управления рисками ИБ (например, организации в целом, ее подразделений, информационных процессов, технической реализации, приложений, доступа в Интернет).

На выходе получается постоянная обоснованность и значимость процесса управления рисками ИБ по отношению к задачам бизнеса организации или постоянное обновление этого процесса.
Вопросы для самоконтроля

В чем отличие понятий сохранения и принятия рисков ИБ? Каковы входные и выходные данные этих процессов?
Что такое «коммуникация рисков ИБ»? Каковы цели осуществления деятельности по коммуникации рисков ИБ?
Как осуществляется мониторинг и пересмотр рисков ИБ?
В чем заключается суть мониторинга и пересмотра показателей рисков ИБ?
Каковы входные и выходные данные мониторинга и пересмотра всего процесса управления рисками ИБ?

ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИБ
1. Документальное обеспечение управления рисками ИБ

Ранее отмечалось, что в состав СУРИБ в качестве одного из ключевых элементов входит документация по управлению рисками ИБ. Успех внедрения эффективного и измеримого процесса управления рисками ИБ во многом зависит от грамотно подготовленной документации, адекватной текущему положению дел в организации, ее культуре и потребностям бизнеса.
Наряду с планом ОНБ, к основным документам по управлению рисками ИБ в британском стандарте Б8 7799-3:2006 отнесены: описание методологии оценки рисков ИБ, план обработки рисков и отчет об оценке рисков [6]. Кроме того, в непрерывном цикле управления рисками ИБ используется множество рабочей документации: реестры активов, реестры рисков ИБ, декларация о применимости, списки проверок, протоколы процедур и тестов, журналы регистрации событий и инцидентов ИБ, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. д. Всю эту документацию условно можно разделить на два уровня: нормативный и операционный.
Внутренняя нормативная база организации в области управления рисками ИБ представлена в первую очередь «Политикой управления рисками ИБ» и «Методологией оценки рисков ИБ», которые устанавливают необходимые требования и правила. Эти документы пересматриваются на регулярной основе по мере накопления организацией собственного опыта, изменения ситуации в отношении рисков ИБ и развития бизнеса организации, одобряются и утверждаются высшим руководством организации.
Документ «Политика управления рисками ИБ» базируется на политике СУИБ и обычно состоит из следующих разделов:

общие положения;
цели и задачи управления рисками ИБ;
область управления рисками ИБ (обычно совпадает с областью действия СУИБ и СУРИБ);
критерии управления рисками ИБ (включая критерии оценки ущерба, оценки рисков ИБ, принятия рисков ИБ);
основные принципы управления рисками ИБ (например, осведомленность о риске, разделение полномочий, контроль со стороны руководства, постоянное совершенствование процесса и системы управления рисками ИБ, сочетание централизованного и децентрализованного подхода при управлении рисками ИБ, системный подход к управлению рисками ИБ, экономическая эффективность и т. п.);

приоритетные области рисков ИБ;
этапы управления рисками ИБ;
организация процесса управления рисками ИБ;
контроль процесса управления рисками ИБ;
отчетность по рискам ИБ;
коммуникация рисков ИБ;
ответственность за управление рисками ИБ;
основные термины, определения и сокращения;
ссылки.

На более низком, операционном, уровне находятся рабочие документы, которые на каждодневной основе используются для отображения текущей ситуации, анализа рисков ИБ, принятия решений по обработки рисков ИБ, планирования защитных мер, оценки соответствия, измерения эффективности и т. п. В число таких документов входят:

«План обеспечения непрерывности бизнеса»;
«Определение приоритетов аварийного восстановления»;
«План обработки рисков ИБ»;
«План оценки рисков ИБ»;
«План аудита и мониторинга ИБ»;
«Реестр (классификатор) рисков ИБ»;
«Реестр требований по ОИБ»;
«Реестр (классификатор) активов»;
«Определение ценности активов»;
«Модель угроз ИБ»;
«Оценка уровней угроз ИБ и уязвимостей»;
«Критерии оценки ущерба для организации»;
«Декларация (заявление) о применимости элементов управления рисками ИБ» (описывает применимые к организации требования по ОИБ, идентифицированных во время оценки рисков ИБ, и текущее состояние выполнения этих требований);
«Отчет об оценке рисков ИБ»;
«Роли и обязанности участников процесса управления рисками ИБ» и т. д.

Приведем примерное содержание документа «Отчет об оценке рисков ИБ»:

общие положения;
цели и задачи оценки рисков ИБ;
краткое описание методологии и результатов оценки рисков ИБ (включая идентификацию и оценку активов, угроз ИБ и уязвимостей, а также количественную оценку и оценивание рисков ИБ);
выводы для руководства с выделением самых опасных рисков ИБ и их причин;

приложения (реестры активов, рисков ИБ, требования по ОИБ и результаты определения ценности активов и ущерба для бизнеса).

Одним из основных документов процесса управления рисками ИБ является «План обработки рисков ИБ», определяющий действия по реализации решений по обработке рисков и скоординированный с другими бизнес-планами организации. Каждое из действий должно быть четко определено с указанием ответственности исполнителей, объемов требуемых для их выполнения ресурсов, контрольных точек, критериев успешности поставленной цели и контроля достигнутых результатов, а также сроков осуществления перечисленных действий. Меры по обработке рисков ИБ определяются для каждой группы угроз ИБ и уязвимостей, учитывают оставшиеся после их реализации величины остаточных рисков ИБ и имеют свои приоритеты. Наивысший приоритет присваивается тем мерам, которые служат для снижения самых высоких рисков ИБ и от успешности которых зависит реализация других мер. Особо выделяются защитные меры, быстрее и проще реализуемые и дающие скорейший эффект.
Поскольку документы по рискам ИБ организации должны носить конфиденциальный характер, они обязательно защищаются от несанкционированного доступа. Также определяется круг лиц, имеющих к ним доступ.

Инструментальные средства управления рисками ИБ

Для управления рисками ИБ и проведения их оценки разработаны разнообразные методы, начиная от простых подходов, основанных на анкетах с вопросами и ответами, и заканчивая методами, использующими структурный анализ. Как было показано ранее, существует множество различных методов оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных подходах и не предполагают применения специализированного ПО, другие, наоборот, его используют. В табличных методах можно наглядно отразить связь факторов негативного воздействия на активы организации и значений вероятностей реализации угроз ИБ с учетом используемых ими уязвимостей. Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость процессов оценки рисков ИБ и выбора защитных мер. Так, завершив в первый раз процесс оценки рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их ценности, требования ИБ и уровни рисков ИБ, а также идентифицированные элементы управления рисками ИБ), например, в БД. Средства программной поддержки могут значительно облегчить эту работу, а также все будущие действия по повторной переоценке.

В организации рекомендуется сначала внедрить политику управления рисками ИБ и методологию оценки рисков ИБ и провести первоначальную высокоуровневую оценку рисков вручную, а затем перейти к выбору инструментов, которые бы соответствовали выбранному подходу и облегчали выполнение основных операций по оценке рисков ИБ [40]. Положительный эффект от использования таких инструментов может быть значительно выше при детальной оценке рисков ИБ, предполагающей рассмотрение большого количества рисков, так как в этом случае аналитическая работа существенно усложняется.
Основными преимуществами использования ПО оценки рисков ИБ являются:

автоматизация алгоритма процесса оценки рисков ИБ;
унификация методологии оценки рисков ИБ, обеспечивающая воспроизводимость результатов;
интеграция с другими системами управления организации, со средствами контроля соответствия и с системами защиты информации;
поддержание в актуальном состоянии реестров активов, уязвимо - стей, угроз ИБ и требований ИБ;
автоматическое формирование планов обработки рисков ИБ и деклараций о применимости;
документирование процессов и жизненного цикла СУИБ.

Что должно обеспечивать средство для оценки рисков ИБ? Приводимый ниже список позволяет получить некоторое представление о критериях, которые следует учесть при выборе конкретного решения:

средство должно, по меньшей мере, содержать модули сбора данных, анализа, вывода результатов;
должны охватываться все компоненты риска ИБ и взаимосвязь между ними;
метод, на основе которого работает и функционирует выбранное средство, должен отражать политику организации и общий подход к оценке рисков ИБ;
если в процессе управления требуется выполнить сравнение альтернативных вариантов и выбрать адекватные, надежные и экономически эффективные элементы управления рисками ИБ, то важнейшей частью этого процесса является эффективное предоставление результатов, поэтому данное средство должно обеспечивать предоставление отчетов с результатами в понятном и четком виде;
возможность вести архив информации, полученной на этапе сбора данных, и архив аналитических данных которые могут пригодиться при проведении последующих оценок рисков ИБ или запросов;
должна быть доступна документация, описывающая данное средство, поскольку она играет важную роль в его эффективном использовании;

выбранное средство должно быть совместимо с программным и аппаратным обеспечением, используемым в организации;
автоматизированные средства, как правило, эффективны и свободны от ошибок, но некоторые из них могут иметь сложные процессы установки или использования, поэтому может возникнуть необходимость рассмотреть доступность программ обучения и поддержки;
эффективное применение данного средства частично зависит от того, насколько хорошо пользователь понимает этот продукт, а также от корректной установки и конфигурации используемого средства, поэтому большое значение может иметь наличие руководства по установке и использованию и сопровождение в виде обучения и постоянной поддержки.

В настоящее время на рынке есть около двух десятков программных продуктов для оценки рисков ИБ: от простейших, ориентированных на базовый уровень ИБ, до сложных и дорогостоящих, позволяющих реализовать полный вариант оценки рисков ИБ и выбрать комплекс защитных мер требуемой эффективности. Программные средства последнего класса строятся с использованием 88ЛБМ - структурных методов системного анализа и проектирования (англ. 81гис1игеё 8у$1еш$ Лпа1уш апё Бет§п Ме(код) [№№№.8е1ес1Ъ8.сот/апа1у818-апй-йе81дпМЬа1-18-88айт] и представляют собой инструментарий для выполнения следующих операций:

построения модели ИС с позиции ИБ;
оценки ценности активов;
составления списка угроз ИБ и уязвимостей, оценки их характеристик;
выбора защитных мер и анализа их эффективности;
анализа вариантов построения защиты;
документирования (генерация отчетов).

Примеры наиболее популярных инструментальных средств управления рисками ИБ приведены в Приложении 3.
Вопросы для самоконтроля

Что входит в документальное обеспечение управления рисками ИБ?
Охарактеризуйте документ «Политика управления рисками ИБ».
Назовите документы процесса управления рисками ИБ операционного уровня.
Что отражается в плане обработки рисков ИБ?
На каких этапах оценки рисков ИБ использование инструментальных средств управления рисками ИБ может принести наибольшую пользу?
Какие критерии необходимо учитывать при выборе инструментальных средства управления рисками ИБ?

ЗАКЛЮЧЕНИЕ
В учебном пособии подробно рассмотрен процесс управления рисками ИБ, включая основные этапы и результаты его работы.
Введены понятие риска ИБ и определены процесс и система управления рисками ИБ.
Детально рассмотрены составляющие процесса управления рисками ИБ и различные подходы к анализу (базовый, неформальный, детальный, комбинированный) и оценке (высокоуровневая и детальная) рисков ИБ.
Все представленные методы могут быть переработаны для целей создания собственного подхода к оценке рисков ИБ, учитывающего бизнес-цели организации, для которой этот подход разрабатывается.
Как уже говорилось, не существует «правильных» или «неправильных» способов расчета рисков ИБ, при условии, что понятия, описанные в учебном пособии, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ. Однако если перед организацией стоит задача построения формальной СУИБ, соответствующей требованиям российских или международных стандартов по управлению ИБ, необходимо, чтобы при разработке методики оценки рисков ИБ были учтены и выполнены все требования, которые предъявляют стандарты, в соответствии с которыми строится СУИБ, к процессу оценки рисков ИБ.
Материал, представленный в учебном пособии «Управление рисками информационной безопасности», предназначен для учебнометодической поддержки формирования у обучающихся профессиональных компетенций и их знаниевых компонентов.
В табл. З1 определена связь содержания глав учебного пособия с соответствующими профессиональными компетенциями.

В табл. З2 определена связь содержания глав учебного пособия с знаниевыми компонентами профессиональных компетенций. Полнота обеспечения знаниевых компонентов требует адаптации рассмотренной в данном учебном пособии методологии к особенностям конкретного объекта.

Для полного формирования профессиональных компетенций необходимо определить объект, для которого создается или на котором функционирует СУИБ, и рассмотреть вопросы, относящиеся к СУИБ конкретного объекта с использованием основ методологии оценки рисков, изложенных в данном учебном пособии.
Для реализации контроля уровня усвоения обучающимися определенных знаниевых компонентов и, как следствия этому, уровня формирования профессиональных компетенций можно воспользоваться перечнями вопросов для самоконтроля, приведенными в конце каждого раздела учебного пособия.
Следует отметить, что материал данного учебного пособия необходимо рассматривать во взаимосвязи с другими аспектами управления ИБ.

ПРИЛОЖЕНИЯ

П1. Примеры угроз ИБ
Обобщенные примеры угроз ИБ представлены в соответствии с КОЛЕС 27001:2005, КОЛЕС 27002:2005 и КОЛЕС 27005:2011, Б8 7799-3:2006, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 2005-2010.
П1.1. Физическая безопасность и безопасность
ОКРУЖАЮЩЕЙ СРЕДЫ

Download 0.83 Mb.

Do'stlaringiz bilan baham:

1 ... 15 16 17 18 19 20 21 22 ... 29