Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Системный подход к управлению рисками ИБ
|
Принятие рисков ИБ (англ. 18 пзк ассер1апсе) - решение принять (взять на себя) риски ИБ, зависящее от критериев рисков ИБ [1, 2, 4, 9].
Коммуникация рисков ИБ (англ. 18 пзк соттитсаНоп) - обмен информацией о рисках ИБ или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами [3, 4, 9]. Снижение/уменьшение риска ИБ (англ. 18 пзк геёисИоп) - действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском ИБ [3, 4, 9]. Этот термин перекрывается обработкой риска. Перенос риска ИБ (англ. 18 пзк 1гапз/ег) - разделение с другой стороной бремени потерь от риска ИБ. Перенос риска ИБ может быть осуществлен страхованием или другими соглашениями [3, 4, 9]. Этот термин перекрывается обработкой риска. Избежание риска ИБ/уход от риска ИБ (англ. 18 пзк ауоШапсе) - решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе результатов оценивания риска ИБ [3, 4, 9]. Оптимизация риска ИБ (англ. пзк орИтггаПоп) - процесс, связанный с риском ИБ, направленный на минимизацию негативных последствий и, соответственно, их вероятности. Оптимизация риска ИБ зависит от критериев риска ИБ с учетом стоимости и законодательных требований [9]. Сохранение/удержание риска ИБ (англ. 18 пзк ге1епИоп) - принятие бремени потерь от конкретного риска ИБ. Сохранение риска ИБ не включает в себя обработку риска ИБ в результате страхования или перенос риска ИБ другими средствами [3, 4, 9]. Этот термин перекрывается обработкой риска. Осознание риска ИБ (англ. 18 пзк регсерИоп) - набор ценностей и озабоченностей, в соответствии с которыми причастная сторона рассматривает конкретный риск ИБ. Осознание риска ИБ зависит от потребностей, результатов и знаний причастных сторон [9]. Контроль риска ИБ (англ. 18 пзк соп1го1) - действия, осуществляемые для выполнения решений в рамках управления рисками ИБ, включая мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям [9]. Финансирование риска ИБ (англ. 18 пзк /тапстд) - предусмотрение финансовых средств на расходы по обработке риска ИБ и сопутствующие затраты [9]. Остаточный риск ИБ (англ. 18 гезШиа1 пзк) - риск ИБ, остающийся после обработки риска ИБ [1, 2, 9, 14].
Стадии одного из ключевых этапов управления рисками ИБ - оценки рисков ИБ - подробно рассмотрены и в стандарте №8Т 8Р 800-30 [13]. Они должны минимизировать возможные негативные последствия использования ИТ и обеспечить выполнение основных бизнес-целей организации. Для этого процесс оценки рисков ИБ должен сопровождать все стадии жизненного цикла информационной системы (ИС) (рис. 2.5). Сначала осуществляется описание системы: границы, функции, элементы (архитектура, сетевая топология, программное обеспечение (ПО), аппаратное обеспечение (АО), интерфейсы, данные и информация, обслуживающий персонал, функциональные требования к ИС, пользователи и т. д.), требования по ОИБ и выделяются классы данных с позиции обеспечения их ИБ. При этом основными технологиями описания являются опросники, интервьюирование, анализ документации и использование специальных программных средств (сканеров). После этого идентифицируются угрозы ИБ (включая их источники, под которыми здесь понимаются намерения и методы, направленные на умышленное использование уязвимости, или ситуации и методы, которые могут случайно создать уязвимость) и уязвимости технического и нетехнического характера (под ними подразумеваются недостатки или слабости в процедурах, разработке, внедрении системы защиты или внутреннем контроле, которые могут быть случайно или намеренно использованы и проявляющиеся как взломы защиты или нарушения ПолИБ системы) ИТ. Далее анализируется имеющаяся и планируемая система управления для ИТ (технического, организационного и процедурного уровней), минимизирующая и устраняющая возможность (вероятность) реализации угроз из-за имеющихся уязвимостей. Потом определяются вероятности реализации и по ним ранжируются угрозы ИБ. Аналогично по степени тяжести ранжируются последствия инцидентов ИБ. На заключительной стадии определяются риски ИБ, для измерения которых разрабатывается шкала рисков ИБ и матрица уровня рисков ИБ. На этой основе составляется ранжированный список рисков ИБ, вырабатываются рекомендации по управлению выявленными рисками ИБ и составляются отчетные документы. Согласно №8Т 8Р 800-30 деятельность по снижению рисков ИБ также в свою очередь состоит из нескольких основных стадий (рис. 2.6): составляется список ранжированных действий по снижению рисков ИБ, производится оценка рекомендованных элементов управления рисками ИБ (технических, управленческих и операционных) с точки зрения их осуществимости и эффективности, проводится анализ затрат и прибыли (с учетом реализации или нереализации элементов управления и всех ассоциированных затрат), выбираются реализуемые элементы управления, в отношении них распределяется ответственность, разрабатывается план реализации мер по снижению рисков ИБ и осуществляется непосредственное внедрение выбранных элементов управления рисками ИБ [13]. Таким образом, управленческий персонал организации, занимающийся рисками ИБ, анализирует, что может произойти и каковы возможные последствия, прежде чем решить, что и когда должно быть сделано для снижения рисков ИБ до приемлемого уровня или, в идеале, до их полного устранения. Причем процесс управления рисками ИБ может быть применен как к организации в целом, так и любому ее подразделению (например, департаменту, территориальному учреждению, сервису), любой существующей или планируемой ИС или отдельному аспек- Как отмечалось ранее, 180/1ЕС 27001:2005 определяет, что средства управления СУИБ, используемые в рамках ее области действия, границ и контекста, должны быть основаны на рисках ИБ. Процесс управления рисками ИБ, реализованный в разных организациях по-разному в зависимости от его конкретного применения, как раз удовлетворяет этому требованию. В стандартах, посвященных управлению рисками ИБ, в частности в В8 7799-3:2006, особо отмечается, что деятельность по управлению рисками ИБ является непрерывной и затрагивает следующие две фазы: контроль рисков и их оптимизация [6]. Для контроля рисков ИБ рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации рисков ИБ содержит переоценку риска и, соответственно, пересмотр политик, планов по управлению рисками ИБ, корректировку и обновление защитных мер и всех элементов управления рисками ИБ. Системный подход к управлению рисками ИБ Определим систему управления рисками ИБ (СУРИБ) (англ. 18 пзк тападетеп зуз(ет) как набор элементов системы управления организации в отношении средств управления рисками ИБ на всех уровнях, включая стратегическое планирование, принятие решений и другие процессы, затрагивающие риски ИБ [9]. Это часть общей системы управления организацией. Внедрение такой системы основано на комплексном подходе к решению проблемы контроля над рисками ИБ, возникающими в ходе деятельности организации. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|