Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet3/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   2   3   4   5   6   7   8   9   ...   29
Bog'liq
Управления рисками учебное пособие

Владеть:

  • терминологией в области управления рисками ИБ;

  • навыками анализа активов организации, их угроз ИБ и уязвимостей в рамках управления рисками ИБ.

Материалы, вошедшие в учебное пособие «Управление рисками ин­формационной безопасности» обеспечивают учебно-методической ба­зой любую учебную дисциплину, относящуюся к управлению ИБ. Одна­ко в полной мере данное учебное пособие может быть востребовано при




подготовки профессионалов в области управления ИБ. Поэтому оно мо­жет быть рекомендовано студентам высших учебных заведений, обу­чающимся по программам магистратуры направления 090900 - «Ин­формационная безопасность».
Кроме этого учебное пособие из серии «Вопросы управления ин­формационной безопасностью» может быть полезным при реализации программ дополнительного образования (курсы повышения квалифика­ции или переподготовки кадров).
Важно подчеркнуть, что для приступающих к ознакомлению с дан­ным учебным пособием есть определенные требования по предвари­тельной подготовке. Например, следует знать основы теории ИБ и ком­плексный подход к обеспечению ИБ (ОИБ), уязвимости и угрозы ИБ в информационной среде. Следует рекомендовать предварительное озна­комление с материалом первой части серии учебных пособий «Основы управления информационной безопасностью».
Авторы признательны коллегам по факультету «Кибернетика и ин­формационная безопасность» НИЯУ МИФИ, а также всем рецензентам.
Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы управления ИБ организа­ции, поэтому с благодарностью внимательно изучат и учтут критиче­ские замечания и предложения читателей при дальнейшей работе над учебным пособием.


ВВЕДЕНИЕ




Основу методологии управления рисками ИБ составляет системный подход, описанный в первой части серии учебных пособий. Такой под­ход к управлению рисками ИБ как к непрерывному процессу помогает идентифицировать потребности организации в обеспечении ИБ (ОИБ) и создать эффективную систему управления ИБ (СУИБ). В определении СУИБ отмечается, что это часть общей системы управления, основанная на оценке рисков ИБ [1, 2]. В стандартах ISO/IЕС 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и сред­ства обеспечения безопасности. Менеджмент риска информационной безопасности» (идентичный первой редакции ISO/IЕС 27005:2008) так­же указывается, что риск-ориентированный подход содействует адек­ватному ОИБ [3, 4]. Деятельность по ОИБ обеспечивает своевременное и эффективное реагирование на риски ИБ там и тогда, где и когда это наиболее необходимо.
Почему такое значение уделяется этому процессу в рамках СУИБ? Вся информация организации, системы, приложения, сети и обору­дование, которое поддерживает их работу - это важные активы органи­зации. Против этих активов могут быть реализованы угрозы ИБ, кото­рые могут привести не только к финансовому ущербу, но и к потере репутации организации, что в современном мире конкуренции может быть даже более существенно. Для того чтобы минимизировать вероят­ность реализации угрозы ИБ, необходимо применять защитные меры - организационные, технические и другие. Построение эффективной сис­темы обеспечения ИБ (СОИБ) в условиях ограниченности всех видов ресурсов и времени, с учетом ценности активов и их уязвимостей и ве­роятных угроз ИБ для активов, а, значит, и выбор адекватных защитных мер, необходимых для достижения достаточного уровня ИБ, должны основываться на результатах анализа рисков ИБ. Эти результаты явля­ются отправной точкой для установления и поддержки эффективного управления ИБ и обязательно используются при написании всех поли­тик ИБ (ПолИБ) организации - корпоративной и частных - и выработки требований по ОИБ. Решения о расходах на мероприятия по управле­нию ИБ также должны приниматься с учетом возможного ущерба, на­несенного в результате нарушения ИБ организации.
Именно современные методики управления рисками ИБ, проектиро­вания и сопровождения СОИБ дают возможность организации сделать следующее [5]:

  • количественно оценить текущий уровень ИБ, обосновать приемле­мые риски ИБ, разработать план мероприятий по поддержанию тре­буемого уровня ИБ на организационно-управленческом, технологи­ческом и техническом уровнях;




  • рассчитать и экономически обосновать размер необходимых вложе­ний в СОИБ, соотнести расходы на ОИБ с потенциальным ущербом и вероятностью его возникновения;

  • выявить и провести первоочередные мероприятия для уменьшения наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

  • определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц, ответственных за ИБ органи­зации, создать или модифицировать необходимый пакет организаци­онно-распорядительной документации;

  • разработать и согласовать со службами организации и надзорными органами проект внедрения необходимых комплексов защиты, учи­тывающий современный уровень и тенденции развития информаци­онных технологий (ИТ);

  • организовать поддержание внедренного комплекса защиты в соот­ветствии с изменяющимися условиями работы организации, регу­лярными доработками организационно-распорядительной докумен­тации, модификацией технологических процессов и модернизацией технических средств защиты.

Все это доказывает необходимость внимательного изучения вопро­сов управления рисками ИБ. В данном учебном пособии подробно рас­смотрены основополагающие аспекты, связанные со сложными процес­сами управления рисками ИБ как составной части более общего процес­са управления ИБ и построением СУРИБ как части СУИБ.




  1. НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Для наиболее эффективной разработки процессов управления ИБ необ­ходимо руководствоваться требованиями международных и российских стандартов. Это относится и к процессам управления рисками ИБ.
В настоящее время имеется ряд нормативных документов, содержа­щих рекомендации по разработке СУРИБ. Наиболее актуальными яв­ляются:

  • Международный стандарт ISO/IЕС 27005:2011 «Информационная технология. Методы и средства обеспечения безопасности. Управле­ние рисками ИБ» и ГОСТ Р ИСО/МЭК 27005-2010 «Информацион­ная технология. Методы и средства обеспечения безопасности. Ме­неджмент риска информационной безопасности» содержат общее руководство по управлению рисками ИБ, которое может быть ис­пользовано в различных типах организаций и предназначено для «содействия адекватному ОИБ на основе риск-ориентированного подхода» [3, 4].

  • Британский стандарт ВS 7799-3:2006 «Системы менеджмента ИБ. Руководство по управлению рисками ИБ» содержит рекомендации по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ [6].

Необходимо отметить, что эти стандарты являются рекомендательными документами, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.
Поскольку большая часть стандартов в области ИБ является стан­дартами международного уровня, то их готовили группы международ­ных специалистов, обладающих опытом и компетенцией в различных аспектах ИБ. Все это делает стандарты привлекательными для исполь­зования в качестве «лучших практик» по управлению ИБ и, в частности, по управлению рисками ИБ.
Разработка процессов управления рисками ИБ в соответствии с лучшими практиками позволяет самой организации, в которой стандарты будут внедряться, а также ее партнерам убедиться в том, что процессы работают правильно и эффективно. Это особенно важно в том случае, когда организация работает с большими объемами ценной информации или обрабатывает и хранит важную информацию своих клиентов.
В данной главе рассмотрены особенности выше указанных стандар­тов. В последующих главах рассмотрение основных подходов к управ­




лению рисками ИБ базируется на рекомендациях этих стандартов и дру­гих нормативных документов.

  1. 180ЯЕС 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 - управление рисками ИБ

Стандарт ISO/IЕС 27005:2011 «ЫогтаНоп 1есЬпо1о§у. 8есигИу 1есЬ- ^иек. ЫогтаНоп кесигИу пкк тападетей» (Информационная техноло­гия. Методы и средства обеспечения безопасности. Управление рисками ИБ) [3] содержит общее руководство по управлению рисками ИБ, кото­рое может быть использовано в различных типах организаций - ком­мерческих, некоммерческих, государственных. ISO/IЕС 27005:2011 предназначен для организации адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода. Для правильного примене­ния этого стандарта необходимо знание концепций, моделей, процессов и терминологии, введенных в ISO/IЕС 27001 и 27002.
В ISO/IЕС 27005:2011 развиты основные идеи, ранее представлен­ные в уже недействующих в настоящее время стандартах ISO/IЕС 13335-3:1998 [7] и 13335-4:2000 [8], посвященных управлению безо­пасностью информационных и телекоммуникационных технологий (ИТТ). Вторая редакция стандарта ISO/IЕС 27005 гармонизирована с ISO/IЕС 27000:2009. Также он опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке: ISO/IЕС 73:2009 (словарь из более чем 50 терминов в области управ­ления рисками; на основе его более ранней редакции был создан ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» [9]), 180 16085, А8/И28 4360 и №8Т 8Р 800-30. Кроме этого были предприняты определенные усилия по его адаптации в соответствии с принятыми в 2009 г. стандартами ISO/IЕС 31000:2009 (Управление рисками. Принципы и руководящие указания) и ISO/IЕС 31010:2009 (Управление рисками. Мето­дики оценки рисков).
Считается, что ISO/IЕС 27005:2011 был разработан на основе бри­танского стандарта ВS 7799-3:2006 (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) [6], опреде­ляющего процессы оценки и управления рисками как составные эле­менты системы управления организации, при этом используя процесс­ную модель РDСА.
С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспе­чения безопасности. Менеджмент риска информационной безопасно­сти» [4], идентичный ISO/IЕС 27005:2011 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и




средства обеспечения безопасности. Методы менеджмента безопасно­сти информационных технологий» [10] и ГОСТ Р ИСО/МЭК ТО 13335­4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер» [11].
В целом ГОСТ Р ИСО/МЭК 27005-2010 носит описательный характер и не содержит какой-либо конкретной методологии и даже не называет конкретные методы управления рисками ИБ, хотя и устанавливает структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана их обработки. Стандарт позволяет при­меняющей его организации самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать приемлемые риски и т. д. Орга­низация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий, например, от целей использования СУИБ, об­ласти ее действия, содержания процесса управления рисками ИБ и сфе­ры своей деятельности.
ГОСТ Р ИСО/МЭК 27005-010 состоит из следующих основных разделов:

  1. обзор процесса управления рисками ИБ как непрерывного процесса;

  2. установление контекста управления рисками ИБ;

  3. оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков ИБ, включая идентификацию, оценивание значительности и вы­числение рисков ИБ);

  4. обработка рисков ИБ (общее описание обработки рисков, сниже­ние, сохранение, избежание и передача рисков);

  5. принятие рисков ИБ;

  6. коммуникация (обмен информацией) рисков ИБ;

  7. мониторинг и пересмотр рисков ИБ.

В приложениях к стандарту содержится ряд сведений информатив­ного характера: определение целей и границ процесса управления рис­ками ИБ, определение и оценка активов и воздействия на них, примеры типичных угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для снижения рисков.
В стандарте риск ИБ определяется как потенциальная возможность то­го, что установленная угроза воспользуется уязвимостью актива или груп­пы активов и тем самым нанесет ущерб организации. Измеряется риск ИБ как сочетание последствий, вытекающих из возникновения нежелательного события, и вероятности возникновения этих событий. Указывается, что процесс анализа рисков ИБ требует выполнения следующих действий: оп­ределения информационных активов, которые подвержены рискам, потен­циальных угроз ИБ и их источников, потенциальных уязвимостей и потен­циальных последствий при реализации рисков ИБ. Упоминаются как каче­ственные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение. Но отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итератив­




ным, если полученные результаты будут признаны неудовлетворительны­ми. Также наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены оценка рисков ИБ, обработка рисков ИБ и остаточные риски ИБ.
ГОСТ Р ИСО/МЭК 27005-2010 предназначен для руководителей и сотрудников организации, занимающихся управлением рисками ИБ, и на сотрудников внешних организаций, задействованных в данной дея­тельности.

  1. БS 7799-3:2006 - руководство по управлению рисками ИБ

В то время как ISO/IЕС 27001:2005 описывает общий непрерывный цикл управления ИБ, в британском стандарте ВS 7799-3 содержится его проекция на процессы управления рисками ИБ. ВS 7799-3:2006 вклю­чает разделы по оценке рисков ИБ, их обработке, непрерывным дейст­виям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ [6].
Стандарт ВS 7799-3:2006 придерживается самого общего понятия риска ИБ, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском ИБ сформулировано как скоординированные непрерывные дей­ствия по управлению и контролю рисков в организации. Непрерывный процесс управления делится на четыре фазы: оценка рисков ИБ, включающая анализ и вычисление рисков; обработка риска ИБ (выбор и реализация мер и средств защиты); контроль рисков ИБ путем мониторин­га, тестирования, анализа механизмов безопасности и аудита ИБ систе­мы; оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.
Помимо определения основных факторов риска и подходов к его оценке и обработке, стандарт также описывает взаимосвязи между рис­ками ИБ и другими рисками организации, содержит требования и реко­мендации по выбору методологии и инструментов для оценки рисков, определяет требования, предъявляемые к экспертам по оценке рисков и менеджерам, отвечающим за процессы управления рисками, содержит соображения по выбору законодательных и нормативных требований по ОИБ и многое другое.
ВS 7799-3:2006 допускает использование как количественных, так и качественных методов оценки рисков ИБ, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.
Отличительной чертой стандарта является использование принципа осведомленности о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ




предусмотрено информирование всех участников процесса управления ИБ, а также фиксирование событий СУИБ. Стандарт перечисляет обя­занности и задает требования к категории лиц, непосредственно участ­вующих в управлении рисками ИБ, а именно: экспертам по оценке рис­ков ИБ, менеджерам по безопасности, менеджерам рисков ИБ, владель­цам ресурсов; руководству организации.
К основным документам по управлению рисками ИБ в BS 7799­3:2006 отнесены описание методологии оценки рисков ИБ, отчет об оценке рисков ИБ, план обработки рисков ИБ. Кроме того, в непрерыв­ном цикле управления рисками ИБ задействовано множество рабочей документации: реестры ресурсов, реестры рисков, декларации приме­нимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. п.
Следует отметить, что стандарт BS 7799-3:2006 носит концептуаль­ный характер, что позволяет экспертам по ИБ реализовать любые мето­ды, средства и технологии оценки, обработки и управления рисками ИБ. С другой стороны стандарт не содержат рекомендаций по выбору како­го-либо аппарата оценки риска ИБ, а также по разработке мер, средств и сервисов защиты, используемых для минимизации рисков ИБ.
Вопросы для самоконтроля

  1. Почему аспекты, связанные с управлением рисками ИБ, играют такое боль­шое значение в рамках СУИБ?

  2. В каких основных международных и национальных стандартах рассматри­ваются вопросы, посвященные рискам ИБ?


  1. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ


    1. Риск ИБ

При определении риска в обыденной жизни, в широком смысле осуществляется попытка охарактеризовать и предсказать (при невоз­можности получения достоверного знания из-за недостатка информа­ции, наличия элементов случайности и противодействия со стороны внутренней и внешней среды) ситуацию из будущего, имеющую неоп­ределенность исхода. При этом существует вероятность как благопри­ятных, так и обязательно неблагоприятных последствий. Поэтому риск - это возможность опасности, неудачи или действие наудачу в надежде на счастливый исход 1. Согласно статье 2 Федерального закона № 184-ФЗ «О техническом регулировании» риск - это вероятность причинения вреда с учетом его тяжести. Современная экономическая наука представляет риск как опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных средств в связи со случайным изменением условий экономической дея­тельности, неблагоприятными обстоятельствами. Измеряется риск частотой, вероятностью возникновения того или иного уровня потерь.
Исходя из приведенного ранее определения ИБ как состояния защи­щенности информации, оговоримся, что словосочетание «риск состоя­ния ...» с нашей точки зрения имеет мало смысла. Поэтому представля­ется наиболее корректным использовать понятие риск нарушения ИБ как риск нарушения состояния защищенности информации. Но все же для краткости и чтобы не вносить путаницу в общепринятую термино­логию, будет называть его традиционным образом - риск ИБ (англ. т/огшаНоп зесигНу пзк).
Согласно ГОСТ Р 51897-2002 «Менеджмент риска. Термины и оп­ределения» риск представляет собой сочетание вероятности события и его последствий (результатов событий, которые могут быть выражены качественно или количественно) [9]. Похожее определение содержится в ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»: риск - это сочетание вероятности нанесения ущерба и тя­жести этого ущерба [12].
В стандарте США NISТ 800-30 «Шкк МападетеШ ОиШе &г 1п&гта- Иоп ТесЬпо1о§у 8у§1ет8» (Руководство по управлению рисками для ИТ- систем) риск является функций вероятности использования данным источником угроз ИБ отдельной потенциальной уязвимости и результата воздействия этого неблагоприятного события на организацию [13].
Стандарт ГОСТ Р ИСО/МЭК 27005-2010 определяет риск ИБ как потенциальную возможность использования уязвимостей актива или



Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   29



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling