Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Совещания, посвященные выявлению и оценке рисков ИБ. Индивидуальные интервью
Download 0.83 Mb.
|
Управления рисками учебное пособие
|
Совещания, посвященные выявлению и оценке рисков ИБ. Индивидуальные интервью, которые проводятся как с руководством, так и с рядовыми сотрудниками и всеми заинтересованными лицами Каждый выявленный риск ИБ необходимо документировать, описав суть риска ИБ, причины, которые могут его вызвать, и последствия его реализации. Так, например, влияющие в конечном счете на ИБ риски, с которыми приходится иметь дело в проектах разработки ПО, можно условно разбить на несколько типов [36]: технические риски, связанные с разработкой новых решений или изменением старых, направленных на повышение производительности или достижение принципиально новой функциональности; программные риски, связанные с приобретением или использованием ПО третьих фирм (если это приобретение не находится под должным контролем разработчиков и руководителей проекта); риски на этапе сопровождения системы, в том числе связанные с размещением ПО у заказчика, поддержкой, обучением и т. п.; стоимостные риски, связанные с превышением затрат или проблемами финансирования проекта; риски сроков, связанные с необходимостью ускорить разработку из-за внешних причин; риски неудовлетворенности заказчика. Далее рассмотрим шаги, которые позволят собрать всю необходимую информацию для количественной оценки рисков ИБ. В зависимости от выбранной в организации методологии эти шаги могут выполняться в различной последовательности [3]. ШАГ 1 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ АКТИВОВ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными являются область действия и границы оценки рисков ИБ, список всех попадающих в эту область активов с их владельцами, расположением, функциями, вовлечением в конкретные бизнес- процессы и т. д. Суть процесса идентификации активов определена в [3, 4, 37] и сводится к выявлению (инвентаризации) всех активов в установленной области действия оценки рисков ИБ. Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других бизнес-целей, таких как техника безопасности и охрана труда, страхование или финансовые причины. Это область действия деятельности, относящейся к так называемому управлению активами [1, 15, 16]. Основными активами любой организации являются [3, 4]: бизнес- процессы (подпроцессы) и бизнес-деятельность; информация. К вспомогательным активам относятся аппаратные средства, носители данных, ПО, бизнес-приложения, сети, персонал [3, 4]. Обобщая многочисленные источники информации по активам [1, 3, 4, 6, 13-16], определим, что к активам организации можно отнести следующее: физические объекты: оборудование (в том числе контроля доступа, периферийные устройства, клиентские компьютеры, серверы) и аппаратура связи (в том числе маршрутизаторы, коммутаторы, концентраторы, автоответчики, факсы), носители информации (бумага, магнитные ленты, компакт-диски и т. п.), другое техническое оборудование (источники питания, кондиционеры), мебель, помещения, используемые для поддержки обработки информации; программные ресурсы: прикладное ПО, системное ПО, приложения операционной системы (ОС), сами ОС, процессы, порождаемые ОС, средства разработки, сервис Б^-имен, служба поддержки точного времени, почтовые клиенты, веб-браузеры, удаленные терминалы и т. д.; различные виды информационных ресурсов - информация служебная, финансово-аналитическая, управляющая и пр. в бумажной, электронной и если необходимо и устной формах - в виде БД и файлов, архивированной информации, системной документации, аналитической информации внутреннего пользования, планов ОНБ, процедур эксплуатации и поддержки, контрактов, документов с важными бизнес-результатами, информация о бизнес-контактах, деловая переписка, руководства пользователей, учебные материалы и т. д.; процессы, включая технологические (служебно-информационные, тестовые сообщения, результаты работы приложений и т. п.) и бизнес-процессы (бизнес-планы, финансовые сметы, прогнозы, аналитическая информация, системная документация, руководства пользователя, обучающий материал, эксплуатационные или поддерживающие процедуры, планы ОНБ, меры по нейтрализации рисков ИБ и т. д.); продукты и услуги, предоставляемые клиентам организации: вычислительные и коммуникационные сервисы, другие технические службы (отопление, освещение, электропитание, кондиционирование), как внутренние (например, предоставляемые бизнес-подразделениям подразделениями, ответственными за поддержание ИТ в рамках организации), так и внешние - предоставляемые внешними поставщиками услуг (например, Интернет, поддержка производителей ПО и оборудования); финансовые (денежные) средства; людские ресурсы, их квалификация, способности и опыт: персонал, клиенты, подписчики и любые другие люди, находящиеся в области действия СУИБ, которые участвуют в процессах хранения или обработки информации; нематериальные активы - имидж и репутация организации. Для каждого актива или группы активов обязательно определяется их владелец, что обеспечивает ответственность за активы и их учет- ность. Владелец актива не обязательно имеет права собственности на актив, но он ответственен за его производство, разработку, сопровождение, использование и защиту. Он чаще всего является тем лицом, которое может определить ценность актива для организации. Владелец актива должен нести ответственность за определение его классификации с точки зрения ИБ и прав доступа к нему, согласование и документирование этих решений, а также поддержание соответствующих средств управления. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, может быть полезным определение, документирование и внедрение правил допустимого использования активов, описывающих разрешенные и запрещенные действия при повседневном использовании актива. Лица, использующие активы, должны быть осведомлены об этих правилах, поскольку корректное использование активов входит в их обязанности. Ответственность за реализацию средств управления ИБ актива может быть делегирована, в то время как учет активов должен оставаться обязанностью назначенного владельца актива. Идентификация активов выполняется с соответствующей степенью детализации, необходимой для получения информации для правильной оценки рисков ИБ. Степень детализации влияет на общий объем информации, собранной во время оценки рисков ИБ. Степень детализации может быть пересмотрена при последующих итерациях оценки рисков ИБ. Границами рассмотрения актива является его периметр, определенный для управления активами в рамках всего процесса управления рисками ИБ. Надлежащее управление активами и их учет имеют важнейшее значение для поддержания ИБ активов организации. Необходимо чтобы эти действия выполнялись и поддерживались на разных уровнях управления организацией. Идентификация активов может осуществляться посредством, например, интервьюирования или анкетирования их владельцев. Тогда для каждого из активов составляются анкеты, включающие сведения, характеризующие данный актив. Например, если говорить об оборудовании, то желательно фиксировать в анкетах его месторасположение, так как от этого в значительной степени могут варьироваться угрозы ИБ, которые могут быть реализованы против актива, а также может изменяться вероятность реализации угроз ИБ. При идентификации важно учесть все основные активы. Для уверенности в том, что нет пропущенных или забытых активов, необходимо иметь четко очерченные границы области действия СУИБ. Часто полез но сгруппировать активы по типам, например, информация, ПО, физические активы и услуги. Группа однотипных активов может рассматриваться при последующей оценке рисков ИБ в качестве единого актива. Каждый актив в границах области действия СУИБ явным образом идентифицируется и соответствующим образом оценивается, а его владелец и категория согласуются и документируются. Также обязательно выявляются виды зависимостей одних активов от других, поскольку их наличие может оказать влияние на оценку активов [7, 10]. Например, конфиденциальность данных должна быть обеспечена на протяжении всего процесса их обработки, то есть необходимость ОИБ программ обработки данных следует напрямую соотнести с уровнем ценности и конфиденциальности обрабатываемых данных. Кроме того, если важна целостность вырабатываемых программой данных, то входные данные для этой программы должны иметь соответствующую степень надежности. Целостность информации также будет определяться качеством аппаратных средств и ПО, используемых для ее хранения и обработки. Функционирование аппаратных средств будет зависеть от качества энергоснабжения и, возможно, от работы систем кондиционирования воздуха. Таким образом, данные о зависимостях, существующих между отдельными активами, будут способствовать идентификации некоторых видов угроз ИБ и определению конкретных уязвимостей, а использование данных о зависимостях даст уверенность в том, что активы оценены в соответствии с их реальной ценностью (с учетом существующих взаимозависимостей) и уровень ИБ для них выбран обоснованно. Уровни ценности активов, от которых зависят другие активы, могут быть изменены в следующих случаях: если уровни ценности зависимых активов (например, данных) ниже или равны уровню ценности рассматриваемого актива (например, ПО), то этот уровень останется прежним; если уровни ценности зависимых активов (например, данных) выше, то уровень ценности рассматриваемого актива (например, ПО) необходимо повысить с учетом: уровня соответствующей зависимости, уровней ценности других активов. Организация может иметь в своем распоряжении некоторые многократно используемые активы, например копии ПО, что необходимо учитывать при проведении оценки активов. С одной стороны, копии программ и т. д. в ходе оценки легко упустить из виду, и поэтому следует позаботиться о том, чтобы учесть их все; с другой стороны, их наличие может снизить остроту проблемы доступности информации. В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 и 180 1ЕС 27002:2005 после идентификации информация классифицируется с точки зрения ее значимости, требований закона, конфиденциальности и критичности для организации [1, 15, 16]. Классификация должна учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями. Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом. Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне. Результатом процесса идентификации активов являются два обоснованных списка - активов, подверженных рискам ИБ и относящиеся к рассматриваемой области действия СУИБ, с их местонахождением и владельцами и бизнес-процессов, связанных с этими активами. ШАГ 2 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ УГРОЗ ИБ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] исходными данными для процесса является информация об угрозах ИБ, полученная из отчетов по инцидентам ИБ, от владельцев активов, пользователей и из других источников, включая внешние каталоги угроз ИБ. Основным видом действий на данном шаге является идентификация угроз ИБ и их источников [3, 4]. Напомним, что источник угрозы ИБ - это субъект (физическое лицо, материальный объект или физическое явление), активизирующий угрозу ИБ и переводящий ее из разряда потенциальной опасности нарушения свойств ИБ (конфиденциальности, доступности, целостности и т. д.) активов организации в реально происходящее нарушение этих свойств. Источники угроз ИБ можно разделить на три класса [19]. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|