Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


базовый (англ. ЪазеНпе пзк апа1у8И)


Download 0.83 Mb.
bet19/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   15   16   17   18   19   20   21   22   ...   29
Bog'liq
Управления рисками учебное пособие

базовый (англ. ЪазеНпе пзк апа1у8И) с низкой степенью риска и выбором стандартных защитных мер;

  • неформальный (англ. т/огта1 пзк апа1у8И) для активов организа­ции, которые, как представляется, подвергаются наибольшему риску;

  • детальный (англ. ёе1аПеё пзк апаЬуш) с использованием фор­мального подхода ко всем активам организации;

  • комбинированный (англ. сотЪтеё пзк апа1у8И) - сначала высоко­уровневый анализ для выбора подхода к анализу рисков ИБ с после­дующим проведением детального анализа для наиболее критичных вы­деленных систем (если прекращение их функционирования может при­чинить ущерб или принести убытки организации, отрицательно повли­ять на ее бизнес или активы) и базового для всех остальных.

    В стандартах 180/1ЕС 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 выделяются два основных типа оценки рисков ИБ и упоминается их комбинация [3, 4]:

    • высокоуровневая (англ. ЫдЬ-1еуе1 18 шк аккеккшеШ);

    • детальная (англ. йе1аЛей 18 шк аккеккшеШ).




    Если, например, организация или СУИБ и ее ресурсы имеют требо­вания по ОИБ не выше уровней «низкий» и «средний», то может быть достаточно высокоуровневой оценки рисков ИБ. Прикладные методы оценки рисков ИБ, ориентированные на данный уровень, обычно не рассматривают ценность активов и не оценивают эффективности за­щитных мер. Методы данного класса применяются в случаях, когда к активам организации не предъявляется повышенных требований по ОИБ. Если требования по ОИБ имеют более высокий уровень, требую­щий более подробной и специальной оценки, то может потребоваться полная, более детальная оценка рисков ИБ, которая определяет цен­ность активов, оценивает угрозы ИБ и уязвимости, выбирает адекватные защитные меры и оценивает их эффективности. В любом случае для СУИБ, отвечающей требованиям стандарта (например, 180/1ЕС 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005), необходимо гарантиро­вать, что выбранный подход соответствует всем критериям, приведен­ным в соответствующих разделах этих стандартов.
    В Рекомендациях в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организа­ций банковской системы Российской Федерации. Методика оценки рис­ков нарушения информационной безопасности» [41] также представлен общий подход к оценке рисков ИБ, заслуживающий отдельного упоми­нания.
    Кратко рассмотрим основные идеи всех выше названных подходов.
    3.3.1. Базовый анализ рисков ИБ

    Любая организация может выработать свой базовый уровень ИБ в соответствии с собственными условиями ведения бизнеса и бизнес- целями. При данном подходе организация может применить базовый уровень ИБ для всех защищаемых активов за счет выбора стандартных защитных мер [7, 10].
    Преимущества использования этого варианта анализа рисков ИБ очевидны:

    • возможность обойтись минимальным количеством ресурсов при проведении анализа рисков ИБ для каждого случая принятия защит­ных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;

    • при применении базовых защитных мер можно принять экономиче­ски эффективное решение, поскольку те же или схожие базовые за­щитные меры могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функ­ционирует в одних и тех же условиях и предъявляемые к ОИБ тре­бования соизмеримы.




    В то же время данный подход имеет следующие недостатки:

    • если принимается слишком высокий базовый уровень ИБ, то для ряда активов уровень ОИБ будет завышен и будут выбраны слишком дорогостоящие или излишне ограничительные средства управления;

    • если базовый уровень будет принят слишком низким, то для ряда защищаемых активов уровень ОИБ будет недостаточен, что увели­чит риск нарушения ИБ;

    • могут возникнуть трудности при внесении изменений, затрагиваю­щих вопросы ОИБ (как это требуется на этапах проверки и совер­шенствования в модели РБСЛ). Так, если была проведена модерни­зация системы, то могут возникнуть сложности при оценке способ­ностей первоначально примененных базовых защитных мер и всей СУИБ и далее оставаться достаточно эффективными.

    Если все защищаемые в организации активы характеризуются низ­ким уровнем требований по ОИБ, то первый вариант стратегии анализа рисков ИБ может оказаться экономически эффективным. В этом случае базовый уровень ИБ выбирается таким образом, чтобы он соответство­вал уровню защиты, требуемому для большинства активов. Для многих организаций для удовлетворения требований правовых и нормативных актов всегда существует необходимость использовать некоторые мини­мальные стандартные уровни для ОИБ важнейшей информации. Однако в случаях, если отдельные системы организации характеризуются раз­личной степенью критичности, разными объемами и сложностью ин­формации, использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
    Цель ОИБ на основе базового подхода состоит в том, чтобы подоб­рать для организации минимальный набор защитных мер для всех или отдельных активов. Используя базовый подход, можно применять соот­ветствующий ему базовый уровень ИБ в организации и, кроме того, до­полнительно использовать результаты детального анализа риска ИБ для ОИБ активов с высоким уровнем риска или систем, играющих важную роль в бизнесе организации. Применение базового подхода позволяет снизить инвестиции организации на исследование результатов анализа рисков ИБ.
    Требуемая защита при таком подходе обеспечивается за счет ис­пользования справочных материалов (каталогов) и лучших практик по защитным мерам, в которых можно подобрать набор средств для защи­ты активов от наиболее часто встречающихся угроз. Базовый уровень ИБ устанавливается в соответствии с потребностями организации, при этом в проведении детальной оценки угроз ИБ, уязвимостей и рисков ИБ для систем нет необходимости. При наличии в системе установлен­ных защитных мер их сравнивают с рекомендуемыми в каталогах. За­щитные меры, которые отсутствуют в системе, но могут быть в ней ис­пользованы, должны быть реализованы.




    Типичным примером области применения данного подхода является часть организации, в которой проводятся не слишком сложные бизнес- операции и зависимость которой от обработки информации и работы в сети не очень велика. Применение данного подхода возможно также в случае небольших организаций. Однако его могут применять и неболь­шие организации, которые имеют более сложную бизнес-среду, сильно зависят от использования ИТ, и принимают участие в обработке ком­мерчески важной информации.
    Содержание всех этапов процесса управления рисками ИБ при базо­вом анализе рисков ИБ приведено в табл. 3.7.





    Второй вариант анализа рисков ИБ основан на практическом опыте конкретного эксперта и предполагает использование знаний и практиче­ского опыта специалистов, а не структурных методов [7, 10]. Этот под­ход обладает следующими достоинствами: не требует использования значительных средств или времени - эксперт не должен приобретать дополнительные знания, а затраты времени на анализ рисков ИБ при этом меньше, чем при проведении детального анализа.
    Однако данный подход имеет и свои недостатки:

    • при отсутствии хотя бы одного элемента базового анализа рисков ИБ или комплексного перечня средств управления увеличивается веро­ятность пропуска ряда важных деталей у всех активов организации;




    • могут возникнуть трудности при обосновании необходимости реали­зации защитных мер, определенных по результатам данного анализа рисков ИБ;

    • для экспертов, не обладающих значительным опытом работы в об­ласти анализа рисков ИБ, не существует готовых рекомендаций, ко­торые могли бы облегчить их работу;

    • подходы организации к анализу рисков ИБ в прошлом были продик­тованы исключительно оценкой уязвимостей систем, то есть потреб­ность в защитных мерах основывалась на наличии у этих систем уязвимостей без анализа того, существуют ли угрозы ИБ, способные использовать этих уязвимости (без обоснования реальной необходи­мости в использовании защитных мер);

    • результаты проведения анализа могут в какой-то мере зависеть от субъективного подхода, личных предубеждений эксперта и, кроме того, могут возникнуть проблемы в случае, если специалист, кото­рый проводил неформальный анализ, покидает организацию.

    1. Детальный анализ рисков ИБ

    Детальный анализ рисков ИБ предполагает получение результатов для всех активов организации и включает в себя подробную идентифи­кацию и оценку активов, возможных угроз ИБ, которым могут подверг­нуться эти активы, а также оценку их уязвимостей [7, 10]. Результаты этих операций затем используют для оценки рисков ИБ и последующего обоснованного выбор защитных мер, обеспечивающих уменьшение рисков до приемлемого уровня (если был выбран данный вариант обра­ботки риска).
    Данный подход имеет следующие преимущества:

    • получается точное и детальное представление о рисках ИБ, которое позволяет идентифицировать уровни ИБ и отражает требования по ОИБ организации к активам и СУИБ в целом;

    • с высокой вероятностью в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры;

    • результаты проведения детального анализа могут быть использова­ны при управлении изменениями в СОИБ (как это требуется на эта­пах проверки и совершенствования модели РБСА).

    В то же время подход характеризуется следующими недостатками, по которым его применение ко всем активам организации не рекомен­дуется:

    • для его реализации и получения нужного результата требуется за­тратить значительное количество средств, времени и квалифициро­ванного труда;

    • существует вероятность того, что определение необходимых защит­ных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для всех активов и для проведения анализа всех систем потребуется значительное время.




    Детальный анализ рисков ИБ может быть очень ресурсоемким про­цессом, и поэтому требуется тщательное определение границ бизнес- среды, операций, активов в области действия СУИБ. Кроме того, по­добный подход требует постоянного внимания со стороны руководства.
    Такой анализ рисков ИБ отличается от базового тем, что выполняет­ся более детальный анализ активов и требований по ОИБ (табл. 3.8).





    1. Комбинированный анализ рисков ИБ

    Этот подход предполагает идентификацию в первую очередь тех ак­тивов из области деятельности СУИБ, которые потенциально имеют большую величину риска ИБ или являются критичными для выполне­ния бизнес-процессов [7, 10]. На основании полученных результатов все активы, входящие в область деятельности СУИБ, подразделяются на активы, для достижения надлежащей защиты которых требуется прове­дение детальной оценки рисков ИБ, и ресурсы, для которых достаточно высокоуровневой оценки рисков ИБ. Такой подход позволяет объеди­нить преимущества двух подходов и минимизировать их недостатки, поэтому он минимизирует время и усилия, которые тратятся на иденти­фикацию защитных мер, и обеспечивает при этом надлежащую оценку и защиту активов организации. Кроме того, комбинированный вариант анализа рисков ИБ имеет следующие преимущества:

    • использование быстрого и простого предварительного анализа рисков ИБ позволяет обеспечить принятие программы анализа рисков ИБ;

    • существует возможность быстро оценить оперативное состояние про­граммы ОИБ организации, то есть использование такого подхода будет в значительной мере способствовать успешному планированию;

    • ресурсы и средства вкладываются именно туда, где они принесут максимальный эффект, так как они в первую очередь будут направ­лены в те системы, которые в наибольшей степени нуждающиеся в ОИБ;

    • проведение последующих мероприятий будет более успешным. Данный подход имеет следующий недостаток: поскольку предвари­тельный анализ рисков ИБ проводят, исходя из предположения об их возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа рисков, и к ним в дальнейшем будут применены базовые меры ОИБ. При необходимости к рассмотрению этих систем можно вернуться с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.

    Использование комбинированного подхода с анализом высокого уровня рисков ИБ в сочетании с базовым подходом и (если необходимо) детальным анализом рисков обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный анализ является наиболее предпочтительным.

    1. Высокоуровневая оценка рисков ИБ

    Высокоуровневая оценка рисков ИБ позволяет расставить приорите­ты и определить хронологию действий [3, 4]. В силу различных причин, наример таких, как ограниченный бюджет, не всегда все средства управ­ления рисками ИБ возможно реализовать одновременно, и только наи­




    более значимые риски ИБ могут быть устранены в рамках процесса об­работки рисков. Также преждевременно начинать детальное управление рисками ИБ, если реализация ИС предусмотрена только через один или два года. В этом случае высокоуровневая оценка рисков ИБ может на­чинаться с высокоуровневой оценки последствий, а не с систематиче­ского анализа угроз ИБ, уязвимостей, активов и последствий. Другая причина - необходимость синхронизации с другими планами, связан­ными с изменением управления или непрерывностью бизнеса. Напри­мер, не обосновано особо тщательно защищать систему или приложе­ние, если в ближайщее время оно будет отдано на аутсорсинг, хотя про­извести оценку рисков ИБ стоит для отражения ее результатов в кон­тракте на аутсорсинг или даже принятия решения о целесообразности аутсорсинга в данном конкретном случае.
    Особенности данного подхода к оценке рисков ИБ включают в себя следующее:

    • при такой оценке организация и ее ИС рассматриваются более гло­бально, учитывая технологические аспекты в отрыве от бизнеса. Но при этом контекст анализа больше концентрируется на среде осуще­ствления бизнеса и его функционировании, чем на технологических элементах;

    • при такой оценке рассматривается более ограниченный список угроз ИБ и уязвимостей, группируемых в определенных областях, а для ускорения процесса оценки она фокусируется на общих рисках или сценариях атак, а не на их элементах;

    • риски ИБ, выявленные при высокоуровневой оценке, являются более общими, чем более специальные идентифицированные риски. По­скольку сценарии атак или угрозы ИБ группируются по некоторым областям, процесс обработки рисков ИБ определяет средства управ­ления для этих областей. Такая деятельность в первую очередь уста­навливает наиболее общие средства управления рисками ИБ, кото­рые применимы для всей системы в целом;

    • однако, поскольку такая оценка редко рассматривает детали техно­логий, она более подходит для обеспечения организационного и не­технического контроля, управленческих аспектов технического кон­троля или ключевых и общих технических мер, таких как резервное копирование и антивирус.

    Высокоуровневая оценка рисков ИБ имеет следующие преимущества:

    • использование на начальных стадиях простого подхода позволяет более легко одобрить программу оценки рисков ИБ;

    • становится возможным построить стратегическую картину програм­мы ОИБ в организации, то есть такой подход служит хорошей по­мощью при планировании;




    • ресурсы и финансы используются там, где они принесут наиболь­шую выгоду, а системы, нуждающиеся в защите в первую очередь, будут защищены первыми.

    Поскольку начальный анализ рисков ИБ проводится на высоком уровне и потенциально менее точен, единственным его недостатком является то, что некоторые бизнес-процессы или системы не могут быть определены, как этого требует детальная оценка рисков ИБ. Этого мож­но избежать, если имеется достаточно информации по всей организации и ее системам, включая информацию, полученную в результате оценки инцидентов ИБ.
    Высокоуровневая оценка рисков ИБ рассматривает ценность инфор­мационных активов и риски ИБ с точки зрения бизнеса организации. В первой точке принятия решения (рис. 2.4) ряд факторов помогает оп­ределить, является ли оценка рисков ИБ достаточной для их обработки. Эти факторы могут включать в себя следующее:

    • задачи бизнеса решаются с использованием различных информаци­онных активов;

    • степень, с которой бизнес организации зависит от каждого информа­ционного актива (то есть зависят ли функции, которые организация считает критическим для ее выживания или эффективного ведения бизнеса, от каждого актива или от конфиденциальности, целостно­сти, доступности, неотказуемости, подотчетности, аутентичности и надежности информации, хранимой или обрабатываемой в этом ак­тиве);

    • уровень инвестиций в каждый информационный актив в терминах разработки, поддержания или замены актива;

    • информационные активы, для которых организация присваивает стоимость (ценность) напрямую (непосредственно).

    При оценке этих факторов принятие решения облегчается. Если за­дачи, выполняемые активами, крайне важны для ведения бизнеса орга­низации или если эти активы подвергаются высокому риску, тогда для конкретного информационного актива (или его части) должна прово­диться вторая итерация - детальная оценка рисков ИБ.
    Общее применяемое в этом случае правило таково: если недостаток ОИБ может привести к значительным негативным последствиям для организации, ее бизнес-процессам или активам, тогда для выявления потенциальных рисков ИБ необходима вторая итерация оценки рисков на более детальном уровне.

    1. Детальная оценка рисков ИБ

    Процесс детальной оценки рисков ИБ включает в себя всесторон­нюю идентификацию и оценивание активов, оценку угроз ИБ для этих активов и оценку уязвимостей [3, 4]. Результаты процесса далее исполь­




    зуются для оценки рисков ИБ и определения способов их обработки. Такой подход обычно требует значительного времени, усилий и опыта и поэтому наиболее применим к ИС, находящимся под высоким риском ИБ. На конечном этапе данного процесса получается всесторонняя оценка рисков ИБ.
    Последствия могут быть оценены несколькими способами, включая количественный (например, денежный), качественный (использующий прилагательные типа «умеренный» или «тяжелый») и комбинирован­ный подходы.
    Для оценки вероятности реализации угроз ИБ устанавливается вре­менной интервал, в течение которого актив будет ценен для организа­ции и его нужно будет защищать. Вероятность реализации отдельной угрозы ИБ определяется нескольким факторами:

    • привлекательность актива или возможное применимое воздействие, когда рассматривается преднамеренная угроза ИБ со стороны чело­века;

    • простота использования уязвимости актива для получения выгоды злоумышленником, когда рассматривается преднамеренная угроза ИБ со стороны человека;

    • технические возможности источника угроз ИБ, когда рассматривает­ся преднамеренная угроза ИБ со стороны человека;

    • чувствительность уязвимости к использованию, применимая как к техническим, так и нетехническим уязвимостям.

    Многие применяемые для этих целей в настоящее время методы ис­пользуют таблицы и объединяют субъективные и эмпирические показа­тели. Важно, чтобы организация использовала метод который ей удо­бен, которому она доверяет и который будет выдавать повторяемые ре­зультаты.
    Как правило, для оценки угроз ИБ и уязвимостей применяются раз­личные методы, в основе которых могут лежать экспертные оценки, статистические данные или учет факторов, влияющих на уровни угроз и уязвимостей [5].
    Один из возможных подходов к разработке подобных методов - на­копление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы ИБ и уязвимо­сти в других ИС. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во- вторых, данный подход оправдан далеко не всегда. Если ИС достаточно крупная (содержит много элементов, расположена на большой террито­рии), имеет давнюю историю, то подобный подход, скорее всего, при­меним. Если же ИС сравнительно невелика и эксплуатирует новейшие




    ИТ, для которых пока нет достоверной статистики, оценки угроз ИБ и уязвимостей могут оказаться недостоверными.
    Поэтому наиболее распространен в настоящее время подход, осно­ванный на учете различных факторов, влияющих на уровни угроз ИБ и уязвимостей. Он позволяет абстрагироваться от малосущественных тех­нических деталей, принять во внимание не только программно-техни­ческие, но и иные аспекты. Несомненное достоинство подхода - воз­можность учета многих косвенных факторов (не только технических). Метод прост и дает владельцу информационных ресурсов ясное пред­ставление, каким образом получается итоговая оценка и что надо изме­нить, чтобы улучшить полученную оценку. Недостатки - косвенные факторы и их вес зависят от бизнеса организации и ряда других обстоя­тельств, поэтому метод всегда требует подстройки под конкретный объ­ект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов - задача мало формализо­ванная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидае­мым для тестовых ситуаций).
    Рассмотрим качественное определение уровня (величины) риска ИБ. Возьмем пример, в котором угрозы ИБ и уязвимости не рассматривают­ся совместно в качестве причин реализации сценариев инцидентов ИБ, а учитываются отдельно [3, 4]. Оценки активов получаются по результа­там интервьюирования выбранных сотрудников из бизнес-персонала (владельцев активов или бизнес-процессов), которые могут авторитетно привести информацию, позволяющую определить стоимость и ценность актива. Эти интервью способствуют выполнению оценки ценности ак­тивов, исходя из наиболее неблагоприятных вариантов, которые могут, при разумных предположениях, реализоваться в результате таких инци­дентов ИБ, как несанкционированное раскрытие, несанкционированная модификация, отказ от своих действий, недоступность в течение раз­личных периодов времени и уничтожение. При этом могут учитываться следующие факторы:

    • личная безопасность;

    • персональная информация;

    • правовые и нормативные обязательства;

    • правоприменение (соблюдение законов);

    • коммерческие и экономические интересы;

    • финансовые потери/нарушение деятельности;

    • общественный порядок;

    • бизнес-политика и бизнес-операции;

    • нематериальные потери.

    При таком подходе для каждого возможного ущерба и для каждого актива необходимо определить соответствующее значение на шкале оценок (например, от 0 до 4).




    Следующим важным этапом является заполнение опросных листов для всех идентифицированных активов, угроз ИБ и уязвимостей с це­лью оценки вероятности реализации угрозы ИБ и простоты использова­ния уязвимости угрозой ИБ, в результате чего происходит инцидент ИБ. Каждый ответ на вопрос добавляет некоторый балл. Это позволяет идентифицировать вероятности реализации угрозы ИБ и простоты ис­пользования уязвимостей по заранее заданной шкале (например, «высо­кий», «средний» и «низкий»).
    Для получения информации, используемой при заполнении опрос­ных листов, проводится интервьюирование сотрудников технического отдела, отдела кадров и хозяйственного отдела, инспектируется воз­можное физическое местонахождение и анализируется имеющаяся до­кументация. Оценки ценности актива сопоставляются с уровнями угроз ИБ и уязвимостей с помощью таблицы. Для каждой комбинации иден­тифицируется соответствующий показатель риска ИБ по шкале от 0 до 8 (табл. 3.9). Полученные итоговые оценки используются для принятия решения о том, какие риски ИБ необходимо обрабатывать в первую оче­редь и каким следует уделить больше внимания, а также определения вариантов обработки рисков ИБ. Для того чтобы принять решение о необходимости разработки и внедрения защитных мер для выявленных рисков ИБ, важно определить приемлемый уровень риска ИБ, соответ­ствующую бизнес-требованиям и требованиям по ОИБ для рассматри­ваемой СУИБ.


    Для каждого актива рассматриваются уязвимости, относящиеся к этому активу, и соответствующие им угрозы ИБ. Если имеется уязви­мость без соответствующей угрозы ИБ или угроза без соответствующей уязвимости, то считается, что риск ИБ отсутствует. Соответствующая строка в таблице идентифицируется оценкой актива, а столбец - серьез­ностью угрозы ИБ и уязвимости. Например, если актив имеет оценку «3», уровень угрозы ИБ - «высокий», а уровень уязвимости - «низкий», то величина риска ИБ равна «5».







    В таблице может меняться количество уровней угроз ИБ, столбцов для вероятностей реализации угроз ИБ и простоты использования уяз­вимостей и количество категорий оценки активов, и, следовательно, эту таблицу можно корректировать в соответствии с потребностями органи­зации. Использование дополнительных столбцов и строк влечет за со­бой дополнительные уровни рисков ИБ.
    Завершив в первый раз оценку рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их зна­чимости, требования ИБ и уровни рисков ИБ, а также идентифициро­ванные защитные меры и средства управления рисками ИБ), например, в специальной БД.
    Возможно построение похожей матрицы для вероятности реализа­ции сценариев конкретных инцидентов ИБ с учетом их последствий для бизнеса (табл. 3.10). Вероятность зависит от использования угрозами ИБ уязвимостей. Итоговый уровень риска ИБ выражается по шкале от 0 до 8 в соответствии с критериями принятия рисков ИБ. Шкала уровня рисков может быть упрощена введением рейтингов, например, низкий риск ИБ - 0-2, средний риск - 3-5, высокий риск - 6-8.





    Для сопоставления последствий (для оценки актива) и вероятности реализации сценариев инцидентов ИБ (с учетом угроз ИБ и уязвимо­стей, которые могут вызвать конкретный инцидент ИБ) можно исполь­зовать табл. 3.11. Первый шаг состоит в оценивании последствий для каждого актива по предварительно установленной шкале, например, от

    1. до 5 (столбец «б»). На втором шаге для каждого инцидента ИБ следует оценить вероятность реализации сценария инцидента ИБ по предвари­тельно установленной шкале, например, от 1 до 5 (столбец «в»). Третий шаг состоит в расчете показателя риска ИБ с помощью умножения зна­чений столбца «б» на значения столбца «в». Наконец, инцидентам ИБ может быть присвоена категория, соответствующая их коэффициенту последствий. Следует отметить, что в данном примере «1» обозначает наименьшее воздействие и наименьшую вероятность реализации сцена­рия инцидента ИБ.




    Такая процедура позволяет сравнивать различные инциденты ИБ, имеющие различные последствия и различную вероятность реализации, и ранжировать их в зависимости от приоритета. В некоторых случаях необходимо с используемыми эмпирическими шкалами связать денеж­ные эквиваленты.
    В следующем примере акцент делается на последствия (например, сценарии инцидентов ИБ) и определение систем, которым следует от­дать приоритет. Для этого определяются две оценки для каждого актива и риска ИБ, которые вместе позволяют присвоить балл каждому активу. Уровень риска ИБ для ИС вычисляется как сумма баллов по всем акти­вам. Сначала каждому активу присваивается некоторая оценка, обозна­чающая потенциальный ущерб, который может возникнуть в случае реализации угрозы ИБ для данного актива. Оценка присваивается акти­ву для каждой угрозы ИБ, которой он подвергается. После этого для каждой угрозы ИБ оценивается значение вероятности реализации сце­нария инцидента ИБ (табл. 3.12).










    На заключительном шаге суммируются итоговые баллы для всех ак­тивов данной системы, в результате чего получается оценка уровня рис­ка ИБ для ИС. Такую процедуру можно использовать, чтобы произвести дифференциацию систем и определить ту, защита которой должна по­лучить приоритетное значение.
    Приведем пример. Предположим, что система 8 состоит из трех ак­тивов А1, А2 и А3. Допустим, что существуют две угрозы ИБ Т1 и Т2, применимые к системе 8. Пусть ценность А1 равна «3», А2 - «2», А3 - «4». Если для А1 вероятность реализации угрозы Т1 «низкая» и просто­та использования уязвимости «средняя», то значение вероятности равно «1». Балл для актива/угрозы ИБ А1/Т1 может быть получен из приве­денной выше таблицы как пересечение ценности актива, равной «3», и вероятности, равной «1», то есть этот балл будет равен «4». Анало­гично, если для А1/Т2 вероятность угрозы ИБ «средняя», а простота использования уязвимости «высокая», то балл равен «6». После этого можно рассчитать итоговый балл для актива А1 Т по всем угрозам ИБ (он равен «10»). Итоговой балл для системы 8Т определяется как сумма А1Т + А2Т + А3Т. Таким образом можно выполнить сравнение систем и определить их приоритетность.
    Аналогично можно посчитать приоритеты для бизнес-процессов.
    Как правило, риски ИБ с текущим значением приоритета меньше «1» просто игнорируются. Риски со значением приоритета в диапазоне 1-2 оставляются в списке, но реальных действий по их устранению обычно не предпринимается. Основное же внимание уделяется рискам ИБ с приоритетом больше «2».
    Если для определения вероятности и последствий рисков ИБ исполь­зовались качественные оценки, то и приоритетность рисков оценивается на качественном уровне. Например, можно игнорировать те риски ИБ, у которых вероятность или последствия пренебрежимо малы. А высо­коприоритетными следует считать риски ИБ, у которых вероятность выше средней и последствия выше существенных.
    Для рисков ИБ с высоким приоритетом в ходе анализа полезно опре­делить некоторые характеристики, которые позволят судить о прибли­жении момента проявления риска ИБ или о существенном изменении вероятности его реализации.
    Еще один способ определения уровня риска ИБ состоит в разграни­чении приемлемых и неприемлемых рисков ИБ. Суть этого метода за­ключается в том, что уровни риска ИБ используются только для опреде­ления тех рисков, для которых требуется наиболее срочное принятие защитных мер. При подобном подходе используемая таблица не будет содержать цифр, а будет состоять только из значений «П» и «Н», пока­зывающих, является риск ИБ приемлемым или неприемлемым (табл. 3.14).




    Данная таблица является лишь примером, и организация сама может провести разграничивающую линию между приемлемыми и неприем­лемыми рисками ИБ.
    3.3.7. Общий подход к оценке рисков ИБ РС БР ИББС-2.2-2009

    Рассмотрим подход, представленный в РС БР ИББС-2.2-2009 [41], обобщая его основные идеи не только на информационные, но и на все остальные виды требующих ОИБ активов организации.
    Активы рассматриваются в совокупности с соответствующими им материальными объектами среды использования и (или) эксплуатации актива (объект хранения, передачи, обработки, уничтожения и т. д.). При этом обеспечение свойств ИБ для активов выражается в создании необ­ходимой защиты соответствующих им объектов среды.
    Угрозы ИБ реализуются их источниками, которые могут воздейство­вать на объекты среды активов. В случае успешной реализации угрозы ИБ активы теряют часть или все свойства ИБ.
    Риски ИБ заключаются в возможности утраты свойств ИБ активов в результате реализации угроз ИБ, вследствие чего организации может быть нанесен ущерб. Оценка рисков ИБ проводится для типов активов, входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

    • Полный перечень типов активов, входящих в область оценки. Он формируется на основе результатов классификации активов. Так, например, полный перечень возможных типов информационных ак­тивов организации содержит информацию ограниченного доступа; информацию, содержащую сведения, составляющие банковскую и коммерческую тайны; персональные данные; управляющую инфор­мацию информационных и телекоммуникационных систем (для тех­нической настройки программно-аппаратных комплексов обработки, хранения и передачи информации); открытую (общедоступную) ин­формацию.

    • Полный перечень типов объектов среды, соответствующих каждому из типов активов области оценки. Он формуется в соответствии с иерархией уровней информационной инфраструктуры организации. Перечни могут содержать, например, следующие типы объектов







    среды: линии связи и сети передачи данных; сетевые программные и аппаратные средства, в том числе сетевые серверы; файлы данных, базы данных, хранилища данных; носители информации, включая бумажные; прикладные и общесистемные программные средства; программно-технические компоненты автоматизированных систем; помещения, здания, сооружения; технологические процессы.

    • Модель угроз ИБ для всех выделенных в организации типов объектов среды на всех уровнях иерархии ее информационной инфраструктуры. Риск ИБ определяется на основании качественных или количествен­ных оценок:

    • степени возможности реализации (СВР и СВРкол) угроз ИБ выявлен­ными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов активов;

    • степени тяжести последствий (СТП и СТПкол) от потери свойств ИБ для рассматриваемых типов активов.

    Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на эксперт­ной оценке, выполняемой обладающими необходимыми знаниями, обра­зованием и опытом работы сотрудниками службы ИБ организации с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профиль­ных подразделений, использующих рассматриваемые типы активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы. Если работники органи­зации не обладают необходимыми знаниями и опытом, возможно при­влечение внешних консультантов или экспертов.
    При привлечении к оценке СВР угроз ИБ и СТП нарушения ИБ не­скольких экспертов и получении разных экспертных оценок итоговая, обобщенная оценка обычно принимается равной экспертной оценке, определяющей соответственно наибольшую СВР угрозы ИБ и наиболь­шую СТП нарушения ИБ.
    Данные, на основании которых проводятся все оценки, и их резуль­таты обязательно документируются.
    Для проведения качественной оценки рисков ИБ выполняются шесть процедур:

    1. Определение и документальная фиксация перечня типов активов, для которых выполняются процедуры оценки рисков ИБ (далее - об­ласть оценки рисков ИБ). Область оценки рисков ИБ может быть опре­делена как перечень типов активов организации в целом, ее отдельного подразделения или отдельного процесса деятельности организации в целом или ее подразделения. Для каждого из типов активов определяет­ся перечень основных и дополнительных свойств ИБ, поддержание ко­торых необходимо обеспечивать в рамках СОИБ организации.




    1. Определение и документальная фиксация перечня типов объектов среды, соответствующих каждому из типов активов области оценки рис­ков ИБ. При составлении данного перечня рассматриваемые типы объ­ектов среды разделяются по уровням информационной инфраструктуры организации.

    2. Определение на основе модели угроз ИБ организации и докумен­тальная фиксация источников угроз ИБ, воздействие которых может привести к потере свойств ИБ соответствующих типов активов для каж­дого из определенных в рамках выполнения процедуры 2 типов объек­тов среды. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информацион­ной инфраструктуры организации. При этом возможно расширение пер­воначального перечня источников угроз ИБ, зафиксированных в модели угроз организации (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды). При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов активов (способы реализа­ции угроз ИБ). Степень детализации и порядок группировки для рас­смотрения способов реализации угроз ИБ определяются организацией.

    3. Определение СВР угроз ИБ применительно к выделенным типам объектов среды и анализ возможности потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответст­вующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СВР угроз ИБ в РС БР ИББС-2.2-2009 используется следующая качественная шкала степеней «нереализуемая - минимальная - сред­няя - высокая - критическая». Основными факторами для оценки СВР угроз ИБ является информация соответствующих моделей угроз ИБ, в частности: данные о расположении источника угрозы ИБ относитель­но соответствующих типов объектов среды; информация о мотивации источника угрозы ИБ антропогенного характера (связанного с челове­ком); предположения о квалификации и (или) ресурсах источника угро­зы ИБ; статистические данные о частоте реализации угрозы ИБ ее ис­точником в прошлом; информация о способах реализации угроз ИБ; информация о сложности обнаружения реализации угрозы ИБ рассмат­риваемым источником; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает качественно или количественно суще­ствующие уязвимости объектов защиты активов, тем самым снижая ве­роятность реализации соответствующих угроз ИБ [например, средства защиты от несанкционированного доступа (НСД)].

    4. Определение СТП нарушения ИБ для типов активов области оцен­ки рисков ИБ и анализ последствий потери каждого из свойств ИБ для




    каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ в РС БР ИББС-2.2- 2009 используется следующая качественная шкала степеней «мини­мальная - средняя - высокая - критическая». Основными факторами для оценки СТП нарушения ИБ являются: степень влияния на непрерыв­ность бизнеса и репутацию организации; объемы финансовых и матери­альных потерь, финансовых, материальных и временных затрат, а также людских ресурсов, необходимых для восстановления свойств ИБ для активов рассматриваемого типа и ликвидации последствий нарушения ИБ; степень нарушения законодательных требований и (или) договор­ных обязательств организации, требований регулирующих и контроли­рующих (надзорных) органов в области ИБ, а также требований внут­ренних нормативных актов организации; объем хранимой, передавае­мой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды; данные о наличии у рассматри­ваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает СТП нарушения свойств ИБ активов (например, средства резервного копирования и вос­становления информации).

    1. Оценка рисков ИБ, результаты которой документально фиксиру­ются. Качественная оценка рисков ИБ проводится для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз ИБ на основании сопоставления оценок СВР угроз ИБ и оценок СТП наруше­ния ИБ вследствие реализации соответствующих угроз ИБ. Для оценки рисков ИБ в РС БР ИББС-2.2-2009 используется следующая качествен­ная шкала «допустимый - недопустимый». Для сопоставления оценок СВР угроз ИБ и СТП нарушения ИБ заполняется таблица допусти­мых/недопустимых рисков ИБ (табл. 3.15), на пересечении столбцов и строк которой указаны соответствующие значения.





    Входная и результирующая информация по оценке рисков ИБ для типа актива «информация ДСП» представлена в табл. 3.16.




    Для формирования резервов на возможные потери, связанные с ин­цидентами ИБ, риски ИБ могут быть оценены в количественной (де­нежной) форме. Это определяется на основании количественных оце­нок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.
    Оценки СВРкол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:

    • нереализуемая - 0 %;

    • минимальная - от 1 до 20 %;

    • средняя - от 21 до 50 %;

    • высокая - от 51 до 100 %;

    • критическая - 100 %.

    Оценки СТПкол нарушения ИБ также формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рам­ках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:

    • минимальная - до 0,5 % от величины капитала организации;

    • средняя - от 0,5 до 1,5 % от величины капитала организации;

    • высокая - от 1,5 до 3 % от величины капитала организации;

    • критическая - более 3 % от величины капитала организации.

    Данные, на основании которых проводится количественная оценка
    СВРкол угроз ИБ и СТПкол нарушения ИБ, и ее результаты докумен­тально фиксируются.
    Количественные оценки рисков ИБ вычисляются для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз ИБ путем перемножения оценок СВРкол угроз ИБ и СТПкол нарушения ИБ.
    Суммарная количественная оценка риска ИБ организации вычисля­ется как сумма количественных оценок по всем отдельным рискам ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска ИБ.







    Вопросы для самоконтроля

    1. Какие этапы включает в себя процесс оценки рисков ИБ?

    2. Каковы основные методологические недостатки традиционных подходов к оценке рисков ИБ? Применение каких инновационных подходов позволит устранить эти недостатки?

    3. Какие этапы включает в себя процесс анализа рисков ИБ?

    4. На каких этапах оценки рисков ИБ может потребоваться участие владельцев бизнес-процессов и почему?

    5. Целесообразно ли вести реестр активов организации на регулярной основе и как это может повлиять на процесс оценки рисков ИБ?

    6. Какое место процесс оценки рисков ИБ занимает в СУИБ?

    7. Каковы наиболее значимые для организации результаты, получаемые в ре­зультате работы процесса оценки рисков ИБ?

    8. На каком этапе цикла РБСЛ предполагает проведение первоначальной оценки рисков ИБ?

    9. Что подразумевается под понятием актива? Какие типы активов учитывают­ся при оценке рисков ИБ?

    10. Что такое «угроза ИБ», «уязвимость», «источник угрозы ИБ»? Как взаимо­связаны эти понятия?

    11. Каким образом возможно формировать каталоги угроз ИБ и уязвимостей, которые будут использоваться для оценки рисков ИБ?

    12. В чем может состоять преимущество использования каталогов угроз ИБ, характерных для организации, в которой проводится оценка рисков ИБ, по сравнению с использованием типовых каталогов угроз ИБ?

    13. Какие подходы к анализу рисков ИБ выделяются в стандартах?

    14. В чем состоят сходства и различия подходов базового и детального анализа рисков ИБ?

    15. Какой из подходов к анализу рисков ИБ предпочтительнее применять в не­большой организации, в которой эксплуатируются критичные системы, под­держивающие предоставление организацией услуг внешним заказчикам?

    16. В какой ситуации и для какой организации целесообразно применять ком­бинированный подход к анализу рисков ИБ?

    17. Какие подходы к оценке рисков ИБ выделяются в стандартах?

    18. Как осуществляются качественная, количественная и полуколичественная оценка рисков ИБ?

    19. В чем суть процесса оценивания рисков ИБ?

    20. На основании каких оценок риск ИБ определяется в РС БР ИББС-2.2-2009?

    21. Каковы процедуры качественной оценки риска ИБ согласно РС БР ИББС- 2.2-2009?

    22. Что изменяется в процедурах качественной оценки риска ИБ для получения оценки риска ИБ в денежной форме согласно РС БР ИББС-2.2-2009?




    1. ОБРАБОТКА РИСКОВ ИБ

    Целью обработки рисков ИБ является их уменьшение до приемлемо­го уровня путем снижения вероятности реализации сценариев инциден­тов ИБ или минимизации возможного ущерба (последствий) [3, 4].
    После того как конкретный риск ИБ идентифицирован и оценен, должно быть принято решение относительно самого подходящего дей­ствия по его обработке - выбора и реализации мер и средств минимиза­ции риска ИБ. Это решение должно основываться на информации о за­щищаемых активах и возможном воздействии риска ИБ на бизнес. По­мимо оцененного уровня риска ИБ, при принятии решения могут быть учтены затраты на внедрение и сопровождение защитных мер, политика руководства, простота реализации, мнения экспертов и т. д. [3, 4, 6].
    Еще одним важным фактором, лежащим в основе данного решения, является приемлемая величина риска ИБ, который был идентифициро­ван после выбора необходимого метода оценки рисков ИБ.
    Входными данными процесса является список рисков ИБ с приори­тетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ, ведущим к вы­деленным рискам.
    На основе этих данных организация устанавливает средства управ­ления рисками ИБ и определяет защитные меры, ведущие к снижению, принятию (сохранению), предотвращению (избежанию) или передаче (переносу) риска ИБ, а также готовим план обработки рисков ИБ.
    Процесс обработки рисков ИБ включает подготовку, выбор и приня­тие решений по вариантам обработки рисков ИБ, которые должны быть реализуемы и экономически оправданы. На рис. 4.1 представлена по­следовательность действий, осуществляемых при обработке рисков ИБ в рамках процесса управления рисками ИБ.
    Выбор вариантов обработки рисков ИБ основан на выходных дан­ных оценки рисков ИБ, предполагаемых затратах на их реализацию и ожидаемой прибыли от их внедрения.
    Если значительное сокращение рисков ИБ может быть достигнуто при относительно низких затратах, именно такие действия и должны быть предприняты. Дополнительные действия по улучшению могут оказаться нерентабельными, и должно быть определено, являются ли они действительно оправданными.
    В общем случае, негативные последствия рисков ИБ должны быть снижены до разумных пределов независимо от любых установленных критериев. Руководители должны рассматривать в основном редко встречающиеся, но серьезные риски ИБ. В таких случаях средства управления рисками ИБ, которые не являются оправданными только по экономическим соображениям, все равно должны быть реализованы




    Четыре выше названные возможные варианта обработки рисков ИБ не являются взаимоисключающими. Иногда организация получит суще­ственный выигрыш, сочетая такие варианты, как снижение значения вероятности рисков ИБ, уменьшения их последствий, а также передачи или сохранения любых остаточных рисков ИБ.
    Некоторые виды обработки рисков ИБ эффективно борются сразу с двумя и более рисками (например, обучение или информирование по вопросам ИБ).
    В организации обязательно разрабатывается план обработки рисков ИБ, в котором четко определены приоритеты, какие отдельные процедуры об­работки рисков должны быть реализованы и в какие сроки. Приоритеты могут быть установлены с использованием различных методов, включая рейтинги рисков ИБ и анализ «затраты-выгода». Руководитель организа­ции несет ответственность за решения по балансу между затратами на вне­дрение защитных мер и распределением бюджета.
    Идентификация существующих средств управления рисками ИБ мо­жет показать, что они превышают текущие потребности с учетом их стоимости, включая сопровождение. Если рассматривается исключение избыточных или ненужных средств (особенно, если они имеют высокие эксплуатационные расходы), должны учитываться требования по ОИБ и стоимость. Поскольку средства управления могут влиять друг на друга, удаление избыточного элемента может снизить общий уровень ИБ в конкретном месте. Кроме того, может быть дешевле оставить избыточ­ный или ненужный элемент на месте, чем исключить его.


    (например, средства управления непрерывностью бизнеса (УНБ) или устраняющие отдельные высокие риски ИБ).







    Варианты обработки рисков ИБ рассматриваются с учетом сле­дующего:

    • как риск ИБ воспринимается теми, кого он затрагивает;

    • наиболее приемлемые способы обмена информацией между затраги­ваемыми сторонами.

    Установление контекста управления рисками ИБ дает информацию о требованиях законодательства и регулирующих органов, которые должна выполнять организация. Обязательно реализуются все действия по обработке рисков ИБ, позволяющие организации соблюдать указан­ные требования. В ходе обработки рисков ИБ принимаются во внимание все ограничения - организационные, технические, структурные и дру­гие, выявленные в ходе установления контекста.
    После уточнения плана обработки рисков ИБ необходимо опреде­лить остаточный риск ИБ. Приемлемая величина остаточного риска ИБ не должна превышать максимально допустимую величину риска ИБ, утвержденную руководством организации. Для этого может потребо­ваться обновить и произвести заново все итерации по оценке рисков ИБ, учитывая ожидаемый эффект от предложенной обработки рисков ИБ. Если и после этого остаточный риск ИБ не соответствует критериям принятия рисков ИБ в организации и превышает максимально допусти­мую величину риска ИБ, то для его уменьшения должны быть выбраны дополнительные защитные меры и далее выполнены дальнейшие итера­ции обработки рисков до того момента, пока риск ИБ не будет принят.
    На выходе процесса получается план обработки рисков ИБ с даль­нейшими действиями для каждой группы рисков ИБ и остаточные риски ИБ, в отношении которых должны быть приняты решения руководством организации.
    Для каждого из оцененных рисков ИБ, вошедших в список приори­тетных, необходимо выбрать стратегию дальнейшего реагирования, которая может быть направлена на то, чтобы «обойти» риск, застрахо­ваться от него или смягчить его последствия. Иногда риск ИБ можно исключить полностью, отказавшись от одного-двух низкоприоритет­ных свойств защищаемого актива. Таким образом, для идентифициро­ванных и оцененных рисков ИБ, превышающих приемлемую величину риска ИБ, существуют четыре возможных действия, которые может предпринять организация:

    • применение надлежащих защитных мер для снижения (уменьшения) рисков ИБ, которые считаются неприемлемыми;

    • сознательное и намеренное принятие (сохранение) рисков ИБ, при условии, что они соответствуют политикам организации и критери­ям принятия рисков ИБ; риск ИБ в конкретном случае считается осознанно допустимым, если организация должна смириться с воз­можными последствиями (стоимость защитных мер значительно




    превосходит потери в случае реализации сценария инцидента ИБ или организация не может найти подходящие защитные меры);

    • избежание (предотвращение) рисков ИБ (например, отказ от активов или бизнес-процессов, являющихся причиной риска ИБ);

    • передача рисков ИБ другим сторонам - риск считается неприемле­мым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации. Рассмотрим эти опции обработки рисков ИБ более подробно.

    1. Снижение риска ИБ

    Согласно стандартам [3, 4] величина оцененных рисков ИБ в преде­лах области действия рассматриваемой СУИБ должна быть снижена, что осуществляется посредством выбора средств управления рисками ИБ и позволяет добиться того, чтобы остаточный риск ИБ был оценен как приемлемый для организации. Обоснованные защитные меры выби­раются на основе стандартов 180/1ЕС 27001 и 27002, а также дополни­тельных источников, если это необходимо. Строго говоря, задача во многих ситуациях состоит не в том, чтобы свести возможность прояв­ления риска ИБ и его последствий к нулю. Если такое решение и дости­жимо, оно может потребовать слишком много ресурсов. Реальной це­лью выбора мер является снижение вероятности и последствий реализа­ции рисков ИБ до уровня, приемлемого для данной организации.
    В соответствии с [8, 11] для выбора и внедрения защитных мер, вы­званных рисками ИБ, используются результаты детального анализа рис­ков ИБ, позволяющего рассмотреть их всесторонне. Таким образом, можно избежать крайностей в ОИБ ИС организации. Использование высокоуровневого анализа рисков ИБ позволяет выявлять системы с более низким уровнем риска, для которых могут быть выбраны стан­дартные защитные меры для обеспечения базового уровня ИБ. Этот уровень должен быть не ниже минимального уровня ИБ, установленно­го организацией для каждого типа ИС. Базовый уровень ИБ достигается путем реализации минимального пакета защитных мер, известных как базовые защитные меры. Они могут быть идентифицированы по катало­гам, которые предлагают пакеты защитных мер для различных типов ИС для обеспечения их защиты от большинства общих угроз ИБ. Ката­логи содержат информацию о категориях или отдельных защитных ме­рах или об их совместном применении. Средний и более высокий уро­вень ИБ достигается использованием дополнительных защитных мер.
    После идентификации подходящих защитных мер, позволяющих сни­зить риск ИБ до приемлемого уровня, необходимо оценить, в какой именно степени эти меры в случае их реализации уменьшат риск ИБ. Если остаточ­ный риск ИБ является неприемлемым, необходимо принять бизнес- решение о том, что с ним делать дальше. Один из возможных вариантов




    состоит в выборе дополнительных средств, в конечном счете уменьшаю­щих этот риск до приемлемого уровня - если ожидаемые потери больше допустимого уровня, необходимо усилить защитные меры. Для рисков ИБ, не устраненных окончательно или не поддающихся «смягчению», нужно разработать план действий на случай их проявления.
    Хотя обычно рекомендуется не допускать оставления неприемлемых рисков ИБ, снижение всех рисков до приемлемого уровня не всегда возможно или осуществимо с финансовой точки зрения.
    Существуют риски ИБ, относящиеся к категории достаточно при­оритетных, но при этом поддающиеся воздействию.
    Выбор защитных мер должен удовлетворять всем требованиям (включая законодательные, контрактные и т. п.), определенным во вре­мя оценки и обработки рисков ИБ, и учитывать критерии принятия рис­ков ИБ, стоимость и временные затраты на реализацию, технические и организационные аспекты. Очень часто можно снизить общую стои­мость владения активами при правильном выборе элементов управле­ния ИБ.
    Уже реализованные защитные меры должны подвергнуться пере­оценке на основе сравнений затрат, включая сопровождение, с намере­нием исключить или усовершенствовать их в случае недостаточной эф­фективности. Подчеркнем, что иногда исключение несоответствующей (неэффективной) защитной меры может быть дороже, чем последующая ее эксплуатация с возможным добавлением другой меры.
    При выборе реализуемых защитных мер следует учесть множество факторов, в том числе:

    • стоимость приобретения, внедрения, администрирования, функцио­нирования, мониторинга и сопровождения по отношению к ценности активов;

    • возврат инвестиций в терминах снижения рисков ИБ и потенциаль­ного использования новых возможностей для бизнеса;

    • необходимость получения новых навыков по внедрению и эксплуа­тации новых и модификации существующих защитных мер;

    • любые ограничения: временные, финансовые, технические, органи­зационные, операционные, культурные, этические, экологические, законодательные, человеческие и т. д.;

    • легкость использования и управления;

    • прозрачность для пользователя;

    • помощь, предоставляемую пользователям для выполнения их функций;

    • производительность;

    • совместимость с существующими мерами;

    • влияние на производительную работу защищаемых активов;

    • типы выполняемых функций - коррекция, исключение, предотвра­щение, минимизация воздействия, сдерживание, обнаружение, вос­становление, мониторинг и оповещение.




    Новые защитные меры не должны порождать ложное чувство защи­щенности или порождать новые риски ИБ (например, требование выбо­ра сложных паролей без соответствующего тренинга, что заставляет пользователей записывать новые пароли на бумаге).
    Средства управления рисками ИБ позволяют уменьшить оцененный риск ИБ несколькими различными способами, например:

    • уменьшая вероятность реализации угрозы ИБ или вероятность ис­пользования уязвимости, приводящих к данному риску ИБ;

    • обеспечивая выполнение законодательных и бизнес-требований;

    • уменьшая возможные последствия в случае реализации риска ИБ;

    • обнаруживая нежелательные события, реагируя на них и выполняя восстановление.

    Выбор организацией одного из перечисленных способов (или их комбинации) для обеспечения защиты своих активов внутри данной СУИБ является бизнес-решением и зависит от условий бизнеса и об­стоятельств, в которых приходится работать организации.
    Выходными данными процесса снижения рисков ИБ является список необходимых и достаточных возможных средств управления рисками ИБ с их стоимостью, преимуществами и приоритетами внедрения. Кро­ме того, должны быть документированы связи с результатами оценки рисков ИБ и обеспечено максимально возможное снижение рисков ИБ.
    После реализации выбранных защитных мер риски ИБ остаются в любом случае. Поэтому необходимо проверить результаты их действия (например, по отчетам об инцидентах ИБ или файлам журналов регист­рации систем), чтобы окончательно оценить, насколько хорошо работа­ют реализованные меры. Эти действия являются частью этапа проверки в модели РБСА, и после этого идентифицированные усовершенствова­ния должны быть реализованы на этапе улучшения СУИБ в целом и управления рисками ИБ в частности для более эффективного ОИБ.

    1. Сохранение риска ИБ

    Решение по сохранению (принятию и удержанию на том же уровне) рисков ИБ без принятия каких-либо мер должно зависеть от результатов оценивания рисков ИБ. В 180/1ЕС 27001:2005 и ГОСТ Р ИСО/МЭК 17799-2005 определена возможность «сознательного и объективного принятия рисков, при условии, что они четко соответствуют политикам организации и удовлетворяют критериям принятия рисков». Таким об­разом, если величина оцененных рисков ИБ удовлетворяет критериям принятия рисков, нет необходимости внедрения дополнительных средств управления рисками ИБ, и оцененный риск может быть сохра­нен на прежнем уровне [1-4, 15].
    Если принять во внимание ранее приведенные соображения, что со временем защитные меры и СОИБ в целом деградирует и перестает




    полностью удовлетворять текущим требования по ОИБ, то через неко­торое время для поддержания рисков ИБ на прежнем уровне после ра­нее произведенного внедрения выбранных мер потребуется усилить те из них, которые влияют на сохраняемые риски ИБ. А это повлечет за собой дополнительные финансовые и иные затраты.

    1. Избежание риска ИБ

    Деятельности или условий, приводящих к отдельному риску ИБ, нужно избегать. Согласно [3, 4] если выявленные риски ИБ считаются слишком высокими или затраты на осуществление других действий по обработке рисков ИБ превышают выгоды, может быть принято решение полностью избежать риска ИБ путем отказа от запланированной или осуществляемой деятельности или набора действий или изменением условий осуществления данной деятельности. Например, для рисков ИБ, вызванных природными явлениями, может быть наиболее экономи­чески целесообразно физически переместить СОИ в то место, где риск ИБ не существует или он находится под контролем.
    К избежанию рисков ИБ относятся все действия, в результате кото­рых активы исключаются из областей риска (например, физических об­ластей или бизнес-процессов). Этого можно достичь, например, таким образом:

    • невыполнение отдельных бизнес-операций (например, неиспользо­вание средств электронной коммерции или неиспользование Интер­нета для конкретных бизнес-операций);

    • перемещение активов из области, подвергающейся риску (например, запрет хранить важные файлы в интранете организации или переме­щение активов из областей, в которых отсутствует надлежащая фи­зическая защита);

    • решение не обрабатывать особо важную информацию, например, третьей стороной, если не может быть гарантировано должное обес­печение ИБ.

    При оценивании варианта избежания риска ИБ его необходимо со­гласовать с бизнес-потребностями и финансовыми затратами организа­ции. Например, использование Интернета для электронной коммерции может быть обязательным вследствие потребностей бизнеса, несмотря на все проблемы, связанные с незащищенность Интернета, а перемеще­ние активов в более безопасное место может быть недопустимо с точки зрения бизнес-процесса. В подобных ситуациях следует рассмотреть другие опции, то есть передача или снижение риска ИБ.

    1. Передача риска ИБ

    Согласно [3, 4] передача рисков ИБ другим сторонам, способным наиболее эффективно управлять ими по результатам оценивания рисков ИБ, может быть наилучшим вариантом в случае, если невозможно из­бежать риска и трудно, или слишком дорого, добиться его снижения.




    Передача риска ИБ заключается в разделение определенных рисков с внешними сторонами. Правда, она может породить новые или модифи­цировать уже существующие риски ИБ. Поэтому может потребоваться дополнительная обработка рисков ИБ.
    Передача может быть осуществлена посредством страхования от по­следствий рисков ИБ или аутсорсинга (субподряда с партнером, роль которого будет заключаться в управлении ИС и принятии незамедли­тельных мер, останавливающих атаку, прежде чем она вызовет опреде­ленный ущерб).
    Страхование обычно осуществляется на сумму, соизмеримую с оце­ненной стоимостью активов и соответствующими рисками ИБ, а также с учетом ценности активов для бизнес-процессов организации. Компен­сация убытков предоставляется в том случае, если реализуется риск ИБ, находящийся в пределах страхового покрытия.
    Еще одна возможность состоит в использовании для работы с крити­чески важными активами или процессами третьей стороны или аутсор­синговых партнеров, если они должным образом оснащены для выпол­нения подобной работы. В этом случае необходимо позаботиться, чтобы в соответствующие договоры были включены все требования по ОИБ, цели и защитные меры, которые гарантировали бы обеспечение необхо­димого уровня ИБ.
    Следует отметить, что можно передать ответственность за управле­ние рисками ИБ, но обычно невозможно перенести ответственность за воздействия. Клиенты, как правило, возлагают вину за неблагоприятные последствия на саму организацию.
    Другой пример передачи рисков ИБ - когда активы, которые подвер­гаются риску ИБ, выводятся за область действия данной СУИБ. В этом случае ОИБ особо важной информации может оказаться более простым и дешевым, но необходимо позаботиться о том, чтобы все активы, необ­ходимые для бизнеса, были включены в данную СУИБ посредством соответствующих интерфейсов и зависимостей.
    Однако не все потери можно полностью застраховать (например, не­застрахованные инциденты, урон, нанесенный бренду или репутации, снижение стоимости активов причастных сторон, сокращение доли рынка и последствия для здоровья человека). Одно только финансовое урегулирование не всегда позволяет полностью защитить организацию способом, удовлетворяющим ожидания причастных сторон. Установле­ние объема страхования, вероятнее всего, следует использовать совме­стно с другими стратегиями.
    Также существуют и некоторые виды рисков ИБ, которые вообще не могут быть переданы. В частности невозможно передать риск потери репу­тации, даже если в договоре предусмотрен отказ от поставки услуги.




    Вопросы для самоконтроля

    1. Какие основные способы обработки рисков ИБ? В чем основная цель каждо­го из них?

    2. Кто в организации обладает достаточными полномочиями для принятия решения об уровне приемлемого риска ИБ и почему?

    3. На основе какой информации должно приниматься решение об уровне при­емлемого риска ИБ?

    4. Какие существую меры по снижению рисков ИБ до приемлемого уровня?

    5. Каким образом и кем осуществляется планирование мер по обработке рис­ков ИБ?




    1. ПРИНЯТИЕ, КОММУНИКАЦИЯ, МОНИТОРИНГ И ПЕРЕСМОТР РИСКОВ ИБ

      1. Принятие рисков ИБ

    Согласно [3, 4] входными данными являются план обработки рисков ИБ и оценка рисков ИБ, на основе которых руководство организации делает заключение о принятии рисков ИБ.
    Во время данного этапа принимаются и документируются решения о принятии рисков ИБ и об ответственности за такое решение. Планы об­работки рисков ИБ описывают, как оцененные риски ИБ должны быть обработаны в соответствии с критериями принятия рисков. Важно, что­бы ответственные руководители пересмотрели и утвердили планы обра­ботки рисков и результирующие остаточные риски ИБ, а также зареги­стрировали все условия, связанные с такой поддержкой.
    Критерии принятия рисков ИБ могут быть более сложными, чем просто определение, когда остаточный риск ИБ выше или ниже опреде­ленного порогового значения.
    В некоторых случаях величина остаточного риска ИБ может не соот­ветствовать критериям принятия рисков ИБ, поскольку применяемые критерии не учитывают все текущие обстоятельства. Например, воз­можно доказать необходимость принятия рисков ИБ по причине при­влекательности получаемых от этого выгод или очень больших затрат на их снижение. В этой ситуации важно дать ответ на вопрос: что для организации выгоднее - снижать риски ИБ или бороться с их последст­виями, и решать оптимизационную задачу.
    Такие обстоятельства указывают на то, что, возможно, критерии приня­тия рисков ИБ неадекватны и должны быть по возможности пересмотрены. Однако своевременно пересмотреть их не всегда возможно. В таких случа­ях лицам, принимающим решения, возможно придется принять риски ИБ, которые не соответствуют обычным критериям. Но тогда принимающие решения лица должны четко прокомментировать все такие риски ИБ и при­вести для них обоснования решений по их принятию.
    Основными факторами, влияющими на решение о принятии рисков ИБ, являются:

    • возможные последствия реализации рисков ИБ, включая все связан­ные с этим расходы;

    • ожидаемая частота подобных событий.

    Количественные оценки этих факторов субъективны, как было пока­зано ранее, поэтому принимающие решение лица должны иметь пред­ставление о точности и достоверности информации, на основе которой приняты данные решения.




    Выходными данными процесса является список принимаемых рис­ков ИБ с обоснованием тех из них, которые не соответствуют обычным критериям организации в области принятия рисков ИБ.

      1. Коммуникация рисков ИБ

    Во всех стандартах, посвященных рискам ИБ, отмечается необходи­мость уделять особое внимание информированию о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каж­дом этапе управления рисками ИБ должно осуществляться постоянное информирование всех участников процесса управления ИБ, а также фиксирование событий, входящих в область действия СУИБ.
    Входными данными процесса является информация по рискам ИБ, полученная во время осуществления всей деятельности по управлению рисками ИБ [3, 4]. Должен быть организован обмен такой информацией о рисках ИБ и ее совместное использование лицами, принимающими решения, и всеми причастными сторонами.
    Коммуникация (обмен информацией относительно) рисков ИБ - это деятельность, направленная на достижение соглашения в области управления рисками ИБ путем обмена и/или совместного использования информации о рисках между стороной принимающей решения и други­ми причастными сторонами. Информация включает (но не ограничива­ется) наличие, характер, форму, вероятность, серьезность, обработку и приемлемости рисков ИБ.
    Эффективная связь между всеми сторонами важна, поскольку она оказывает существенное влияние на решения, которые должны быть приняты. Именно она будет гарантировать, что лица, ответственные за осуществление управления рисками ИБ, и те, кто заинтересован в этом, понимают основы, на которых принимаются решения и причины необ­ходимости конкретных действий. Связь является двунаправленной.
    Восприятие и осознание рисков ИБ может меняться в зависимости от различий в исходных предположениях, концепциях и потребностях, связанных с рисками проблем и озабоченности причастных сторон или обсуждаемых вопросов. Причастные стороны, как правило, выносят свои суждения о приемлемости рисков ИБ на основе своего восприятия рисков. Поэтому особенно важно, чтобы восприятие как рисков ИБ, так и выгод было определено и документально оформлено, а лежащие в основе причины четко поняты и учтены.
    Деятельность по коммуникации рисков ИБ может осуществляться со следующими целями:

    • гарантировать получение результата при управлении рисками ИБ

    организации;

    • собрать информацию по рискам ИБ;




    • совместно использовать результаты оценки рисков ИБ и представить план обработки рисков ИБ;

    • избежать или снизить возникновение и последствия от нарушения ИБ из-за недостатка взаимопонимания между принимающими реше­ния и заинтересованными лицами;

    • обеспечить поддержку процесса принятия решений;

    • получить новые знания в области ИБ;

    • скоординировать действия всех сторон в соответствии с планом уменьшения последствий любых инцидентов ИБ;

    • дать принимающим решения и заинтересованным сторонам почув­ствовать ответственность по отношению к рискам ИБ;

    • повысить осведомленность (информированность).

    Организация разрабатывает план коммуникации рисков ИБ в обыч­ных и нештатных ситуациях, поскольку данная деятельность должна осуществляться непрерывно. Этот план должен включать в себя меха­низмы для регулярного обновления информации о рисках ИБ как со­ставной части программы непрерывного повышения осведомленности сотрудников организации в вопросах ИБ. Он также должен предусмат­ривать оповещение сотрудников об инцидентах ИБ.
    Координация связи между основными принимающими решения и причастными сторонами достигается посредством создания комитета, который обсуждает риски ИБ, их приоритезацию и приемлемую обра­ботку и принимает решения по обработке и принятию рисков ИБ.
    Также важно (особенно в случае действий в кризисных ситуациях, например, в ответ на конкретные инциденты ИБ) сотрудничать в рамках организации с соответствующими подразделениями связей с общест­венностью и коммуникаций для координации всех задач, связанных с коммуникацией рисков ИБ.
    Процесс получения обратной связи и вовлечения сотрудников орга­низации в процесс управления рисками ИБ рассмотрен в стандарте Б8 7799-3:2006 и включает следующие рекомендации [6]:

    • четко определить область действия для предложений, касающихся СУИБ и управления рисками ИБ;

    • использовать простые и легко заполняемые формы для получения предложений;

    • определить контактных лиц для отправки предложений и запросов;

    • выражать признательность за любое обращение;

    • проявлять гибкость в отношении присланных предложений;

    • по мере возможности привлекать приславшего предложение к про­цессу устранения выявленной им проблемы;

    • предусмотреть систему премирования полезных обращений;

    • быстро и эффективно внедрять предлагаемые усовершенствования;

    • информировать об успешных усовершенствованиях сотрудников организации;

    • периодически выпускать напоминания о процессе усовершенствования.




    Выходом является постоянное понимание процессов и результатов управления рисками ИБ в организации.

      1. Мониторинг и пересмотр рисков ИБ

    Управление рисками ИБ - это не одноразовое мероприятие. Вероят­ность проявления и последствия однажды выявленных рисков ИБ и оценка их приоритетности могут в дальнейшем измениться, а могут появиться и новые риски ИБ. Например, по мере накопления сведений об определенных инструментах и методах у исполнителей растет уве­ренность, что работы по каким-то проектам могут быть выполнены в срок. Или, наоборот, опыт сборки и тестирования предварительных вер­сий ИС, возможно, заставляет усомниться в достаточной ее производи­тельности. Это значит, что данные о рисках ИБ должны регулярно об­новляться. Повторный анализ рисков ИБ желательно провести таким образом, чтобы свежие сведения можно было использовать при плани­ровании очередной итерации цикла управления рисками ИБ.
    Деятельность по мониторингу рисков ИБ включает две составляющие:

    1. мониторинг (как процесс регулярного получения, отслеживания и анализа) и пересмотр показателей риска ИБ;

    2. мониторинг, пересмотр и усовершенствование управления риска­ми ИБ.

    1. Мониторинг и пересмотр показателей риска ИБ

    Согласно [3, 4] входные данные для процесса - вся информация о рис­ках ИБ, полученная во время деятельности по управлению рисками ИБ.
    Риски ИБ не статичны. Угрозы ИБ, уязвимости, вероятности их про­явления или последствия могут резко измениться, без явных на то ука­заний. Поэтому должен осуществляться постоянный мониторинг (полу­чение, отслеживание и анализ) и пересмотр (переоценка) рисков ИБ и их основных показателей (например, ценность активов, последствия, угрозы ИБ, уязвимости, значения вероятностей реализации), что позво­лит выявить любые изменения в контексте управления рисками ИБ на ранних стадиях и иметь общую картину по рискам ИБ в организации. Этому процессу будет способствовать информация из любых внешних источников, описывающих новые угрозы ИБ и уязвимости.
    Организация должна проводить постоянный мониторинг следующего:

    • новые активы, попадающие в область действия управления рисками ИБ;

    • необходимые изменения в ценности активов, например, вызванные изменениями бизнес-требований;

    • новые угрозы ИБ, которые могут проявляться как внутри, так и вне организации и которые еще не были оценены;

    • возможность использования угрозами ИБ новых или усилившихся старых уязвимостей;

    • выявление среди идентифицированных уязвимостей тех, которые могут использоваться новыми или вновь возникающими угрозами ИБ;




    • возрастающее влияние или последствия от агрегированных оценен­ных угроз ИБ, уязвимостей и рисков ИБ, проявляющееся в появле­нии неприемлемого уровня риска ИБ;

    • инциденты ИБ.

    Новые угрозы ИБ, уязвимости или изменения в значениях вероятно­стей или последствий могут увеличить риски ИБ, ранее оцененные как более низкие. При пересмотре низких и ранее принятых рисков ИБ каж­дый риск должен рассматриваться как отдельно, так и совместно для оценки их возможного совместного воздействия. Если полученные та­ким образом риски ИБ не становятся более низкими, они обрабатыва­ются ранее рассмотренными способами.
    Могут измениться факторы, влияющие на значения вероятностей и по­следствия реализации угроз ИБ, а также применимость или стоимость раз­личных вариантов обработки рисков ИБ. Существенные изменения, влияющие на организацию, должны переоцениваться более тщательно. Поэтому деятельность по мониторингу рисков ИБ производится непрерыв­но и периодически пересматриваются варианты обработки рисков ИБ.
    Выходными данными процесса мониторинга рисков ИБ является по­стоянное согласование управления рисками ИБ с задачами бизнеса ор­ганизации и критериями принятия рисков ИБ. Эти выходные данные могут стать входными для других действий при пересмотре рисков ИБ.

    1. Мониторинг, пересмотр и усовершенствование ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ ИБ

    Согласно [3, 4] входные данные для процесса - вся информация о рис­ках ИБ, полученная во время деятельности по управлению рисками ИБ.
    Процесс управления рисками ИБ должен постоянно контролировать­ся, пересматриваться и усовершенствоваться по мере необходимости и надлежащим образом. Постоянный контроль и пересмотр необходимы для обеспечения уверенности организации в том, что контекст, резуль­таты оценки и обработки рисков ИБ, а также планы управления рисками ИБ остаются актуальными и соответствующими текущей ситуации. Этим требованиям удовлетворяет как сам процесс управления рисками ИБ, так и осуществляемая в рамках него деятельность.
    Любые согласованные улучшения процесса или действий, необхо­димых для соблюдения процесса управления рисками ИБ, доводятся до сведения соответствующих руководителей. Эти руководители должны иметь гарантии того, что никакой риск ИБ или элемент риска ИБ не упущен из виду или недооценен и что предпринимаются все необходи­мые действия и принимаются решения, позволяющие реалистично пред­ставлять риски ИБ и реагировать на них.
    Кроме этого организация регулярно проверяет, что используемые для измерения риска ИБ и его элементов критерии остаются по- прежнему обоснованными и соответствуют бизнес-задачам, стратегиям и политикам, и что изменения бизнес-контекста должным образом уч­тены во время всего процесса управления рисками ИБ.




    Деятельность по мониторингу и пересмотру (переоценке) процесса управления рисками ИБ затрагивает следующее (но не ограничивается лишь этим):

    • законодательный контекст и окружающая среда;

    • конкурентоспособность;

    • подходы к оценке рисков ИБ;

    • ценность и классы активов;

    • критерии оценки влияния на бизнес;

    • критерии оценивания рисков ИБ;

    • критерии принятия рисков ИБ;

    • полная стоимость владения активами;

    • необходимые ресурсы.

    Отслеживание значений ключевых индикаторов рисков ИБ, предва­рительно установленных на стадиях идентификации и оценки рисков ИБ, ведется постоянно.
    Организация обеспечивает постоянную доступность ресурсов оцен­ки и обработки рисков ИБ для пересмотра рисков ИБ, учета новых или измененных угроз ИБ и уязвимостей и соответствующего уведомления руководства.
    Результатом мониторинга управления рисками ИБ может стать мо­дификация или дополнение подхода, методологии или используемых инструментальных средств, что зависит от следующих факторов:

    • выявленных изменений;

    • итераций процесса оценки рисков ИБ;

    • целей процесса управления рисками ИБ (например, непрерывность бизнеса, устойчивость к инцидентам ИБ, совместимость);

    • объектов процесса управления рисками ИБ (например, организации в целом, ее подразделений, информационных процессов, техниче­ской реализации, приложений, доступа в Интернет).

    На выходе получается постоянная обоснованность и значимость процесса управления рисками ИБ по отношению к задачам бизнеса ор­ганизации или постоянное обновление этого процесса.
    Вопросы для самоконтроля

    1. В чем отличие понятий сохранения и принятия рисков ИБ? Каковы входные и выходные данные этих процессов?

    2. Что такое «коммуникация рисков ИБ»? Каковы цели осуществления дея­тельности по коммуникации рисков ИБ?

    3. Как осуществляется мониторинг и пересмотр рисков ИБ?

    4. В чем заключается суть мониторинга и пересмотра показателей рисков ИБ?

    5. Каковы входные и выходные данные мониторинга и пересмотра всего про­цесса управления рисками ИБ?




    1. ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИБ

      1. Документальное обеспечение управления рисками ИБ

    Ранее отмечалось, что в состав СУРИБ в качестве одного из ключе­вых элементов входит документация по управлению рисками ИБ. Успех внедрения эффективного и измеримого процесса управления рисками ИБ во многом зависит от грамотно подготовленной документации, аде­кватной текущему положению дел в организации, ее культуре и потреб­ностям бизнеса.
    Наряду с планом ОНБ, к основным документам по управлению рис­ками ИБ в британском стандарте Б8 7799-3:2006 отнесены: описание методологии оценки рисков ИБ, план обработки рисков и отчет об оценке рисков [6]. Кроме того, в непрерывном цикле управления риска­ми ИБ используется множество рабочей документации: реестры акти­вов, реестры рисков ИБ, декларация о применимости, списки проверок, протоколы процедур и тестов, журналы регистрации событий и инци­дентов ИБ, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. д. Всю эту документацию условно можно разделить на два уровня: нормативный и операционный.
    Внутренняя нормативная база организации в области управления рисками ИБ представлена в первую очередь «Политикой управления рисками ИБ» и «Методологией оценки рисков ИБ», которые устанавли­вают необходимые требования и правила. Эти документы пересматри­ваются на регулярной основе по мере накопления организацией собст­венного опыта, изменения ситуации в отношении рисков ИБ и развития бизнеса организации, одобряются и утверждаются высшим руково­дством организации.
    Документ «Политика управления рисками ИБ» базируется на поли­тике СУИБ и обычно состоит из следующих разделов:

    • общие положения;

    • цели и задачи управления рисками ИБ;

    • область управления рисками ИБ (обычно совпадает с областью дей­ствия СУИБ и СУРИБ);

    • критерии управления рисками ИБ (включая критерии оценки ущер­ба, оценки рисков ИБ, принятия рисков ИБ);

    • основные принципы управления рисками ИБ (например, осведомлен­ность о риске, разделение полномочий, контроль со стороны руково­дства, постоянное совершенствование процесса и системы управления рисками ИБ, сочетание централизованного и децентрализованного под­хода при управлении рисками ИБ, системный подход к управлению рисками ИБ, экономическая эффективность и т. п.);


    • приоритетные области рисков ИБ;

    • этапы управления рисками ИБ;

    • организация процесса управления рисками ИБ;

    • контроль процесса управления рисками ИБ;

    • отчетность по рискам ИБ;

    • коммуникация рисков ИБ;

    • ответственность за управление рисками ИБ;

    • основные термины, определения и сокращения;

    • ссылки.

    На более низком, операционном, уровне находятся рабочие доку­менты, которые на каждодневной основе используются для отображе­ния текущей ситуации, анализа рисков ИБ, принятия решений по обра­ботки рисков ИБ, планирования защитных мер, оценки соответствия, измерения эффективности и т. п. В число таких документов входят:

    • «План обеспечения непрерывности бизнеса»;

    • «Определение приоритетов аварийного восстановления»;

    • «План обработки рисков ИБ»;

    • «План оценки рисков ИБ»;

    • «План аудита и мониторинга ИБ»;

    • «Реестр (классификатор) рисков ИБ»;

    • «Реестр требований по ОИБ»;

    • «Реестр (классификатор) активов»;

    • «Определение ценности активов»;

    • «Модель угроз ИБ»;

    • «Оценка уровней угроз ИБ и уязвимостей»;

    • «Критерии оценки ущерба для организации»;

    • «Декларация (заявление) о применимости элементов управления рисками ИБ» (описывает применимые к организации требования по ОИБ, идентифицированных во время оценки рисков ИБ, и текущее состояние выполнения этих требований);

    • «Отчет об оценке рисков ИБ»;

    • «Роли и обязанности участников процесса управления рисками ИБ» и т. д.

    Приведем примерное содержание документа «Отчет об оценке рис­ков ИБ»:

    • общие положения;

    • цели и задачи оценки рисков ИБ;

    • краткое описание методологии и результатов оценки рисков ИБ (включая идентификацию и оценку активов, угроз ИБ и уязвимостей, а также количественную оценку и оценивание рисков ИБ);

    • выводы для руководства с выделением самых опасных рисков ИБ и их причин;




    • приложения (реестры активов, рисков ИБ, требования по ОИБ и ре­зультаты определения ценности активов и ущерба для бизнеса).

    Одним из основных документов процесса управления рисками ИБ является «План обработки рисков ИБ», определяющий действия по реа­лизации решений по обработке рисков и скоординированный с другими бизнес-планами организации. Каждое из действий должно быть четко определено с указанием ответственности исполнителей, объемов тре­буемых для их выполнения ресурсов, контрольных точек, критериев успешности поставленной цели и контроля достигнутых результатов, а также сроков осуществления перечисленных действий. Меры по обра­ботке рисков ИБ определяются для каждой группы угроз ИБ и уязвимо­стей, учитывают оставшиеся после их реализации величины остаточных рисков ИБ и имеют свои приоритеты. Наивысший приоритет присваи­вается тем мерам, которые служат для снижения самых высоких рисков ИБ и от успешности которых зависит реализация других мер. Особо выделяются защитные меры, быстрее и проще реализуемые и дающие скорейший эффект.
    Поскольку документы по рискам ИБ организации должны носить конфиденциальный характер, они обязательно защищаются от несанк­ционированного доступа. Также определяется круг лиц, имеющих к ним доступ.

      1. Инструментальные средства управления рисками ИБ

    Для управления рисками ИБ и проведения их оценки разработаны разнообразные методы, начиная от простых подходов, основанных на анкетах с вопросами и ответами, и заканчивая методами, использующи­ми структурный анализ. Как было показано ранее, существует множест­во различных методов оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных подходах и не предполагают приме­нения специализированного ПО, другие, наоборот, его используют. В табличных методах можно наглядно отразить связь факторов нега­тивного воздействия на активы организации и значений вероятностей реализации угроз ИБ с учетом используемых ими уязвимостей. Приме­нение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость процессов оценки рисков ИБ и выбора защитных мер. Так, завершив в первый раз процесс оценки рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их ценности, требования ИБ и уровни рис­ков ИБ, а также идентифицированные элементы управления рисками ИБ), например, в БД. Средства программной поддержки могут значи­тельно облегчить эту работу, а также все будущие действия по повтор­ной переоценке.




    В организации рекомендуется сначала внедрить политику управле­ния рисками ИБ и методологию оценки рисков ИБ и провести первона­чальную высокоуровневую оценку рисков вручную, а затем перейти к выбору инструментов, которые бы соответствовали выбранному подхо­ду и облегчали выполнение основных операций по оценке рисков ИБ [40]. Положительный эффект от использования таких инструментов может быть значительно выше при детальной оценке рисков ИБ, пред­полагающей рассмотрение большого количества рисков, так как в этом случае аналитическая работа существенно усложняется.
    Основными преимуществами использования ПО оценки рисков ИБ являются:

    • автоматизация алгоритма процесса оценки рисков ИБ;

    • унификация методологии оценки рисков ИБ, обеспечивающая вос­производимость результатов;

    • интеграция с другими системами управления организации, со сред­ствами контроля соответствия и с системами защиты информации;

    • поддержание в актуальном состоянии реестров активов, уязвимо - стей, угроз ИБ и требований ИБ;

    • автоматическое формирование планов обработки рисков ИБ и дек­лараций о применимости;

    • документирование процессов и жизненного цикла СУИБ.

    Что должно обеспечивать средство для оценки рисков ИБ? Приво­димый ниже список позволяет получить некоторое представление о критериях, которые следует учесть при выборе конкретного решения:

    • средство должно, по меньшей мере, содержать модули сбора дан­ных, анализа, вывода результатов;

    • должны охватываться все компоненты риска ИБ и взаимосвязь меж­ду ними;

    • метод, на основе которого работает и функционирует выбранное средство, должен отражать политику организации и общий подход к оценке рисков ИБ;

    • если в процессе управления требуется выполнить сравнение альтер­нативных вариантов и выбрать адекватные, надежные и экономиче­ски эффективные элементы управления рисками ИБ, то важнейшей частью этого процесса является эффективное предоставление ре­зультатов, поэтому данное средство должно обеспечивать предос­тавление отчетов с результатами в понятном и четком виде;

    • возможность вести архив информации, полученной на этапе сбора данных, и архив аналитических данных которые могут пригодиться при проведении последующих оценок рисков ИБ или запросов;

    • должна быть доступна документация, описывающая данное средст­во, поскольку она играет важную роль в его эффективном использо­вании;




    • выбранное средство должно быть совместимо с программным и ап­паратным обеспечением, используемым в организации;

    • автоматизированные средства, как правило, эффективны и свободны от ошибок, но некоторые из них могут иметь сложные процессы ус­тановки или использования, поэтому может возникнуть необходи­мость рассмотреть доступность программ обучения и поддержки;

    • эффективное применение данного средства частично зависит от то­го, насколько хорошо пользователь понимает этот продукт, а также от корректной установки и конфигурации используемого средства, поэтому большое значение может иметь наличие руководства по ус­тановке и использованию и сопровождение в виде обучения и посто­янной поддержки.

    В настоящее время на рынке есть около двух десятков программных продуктов для оценки рисков ИБ: от простейших, ориентированных на базовый уровень ИБ, до сложных и дорогостоящих, позволяющих реа­лизовать полный вариант оценки рисков ИБ и выбрать комплекс защит­ных мер требуемой эффективности. Программные средства последнего класса строятся с использованием 88ЛБМ - структурных методов сис­темного анализа и проектирования (англ. 81гис1игеё 8у$1еш$ Лпа1уш апё Бет§п Ме(код) [№№№.8е1ес1Ъ8.сот/апа1у818-апй-йе81дпМЬа1-18-88айт] и представляют собой инструментарий для выполнения следующих опе­раций:

    • построения модели ИС с позиции ИБ;

    • оценки ценности активов;

    • составления списка угроз ИБ и уязвимостей, оценки их характери­стик;

    • выбора защитных мер и анализа их эффективности;

    • анализа вариантов построения защиты;

    • документирования (генерация отчетов).

    Примеры наиболее популярных инструментальных средств управле­ния рисками ИБ приведены в Приложении 3.
    Вопросы для самоконтроля

    1. Что входит в документальное обеспечение управления рисками ИБ?

    2. Охарактеризуйте документ «Политика управления рисками ИБ».

    3. Назовите документы процесса управления рисками ИБ операционного уровня.

    4. Что отражается в плане обработки рисков ИБ?

    5. На каких этапах оценки рисков ИБ использование инструментальных средств управления рисками ИБ может принести наибольшую пользу?

    6. Какие критерии необходимо учитывать при выборе инструментальных сред­ства управления рисками ИБ?




    ЗАКЛЮЧЕНИЕ
    В учебном пособии подробно рассмотрен процесс управления рис­ками ИБ, включая основные этапы и результаты его работы.
    Введены понятие риска ИБ и определены процесс и система управ­ления рисками ИБ.
    Детально рассмотрены составляющие процесса управления рисками ИБ и различные подходы к анализу (базовый, неформальный, деталь­ный, комбинированный) и оценке (высокоуровневая и детальная) рис­ков ИБ.
    Все представленные методы могут быть переработаны для целей создания собственного подхода к оценке рисков ИБ, учитывающего бизнес-цели организации, для которой этот подход разрабатывается.
    Как уже говорилось, не существует «правильных» или «неправиль­ных» способов расчета рисков ИБ, при условии, что понятия, описанные в учебном пособии, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ. Однако если перед организацией стоит задача построения фор­мальной СУИБ, соответствующей требованиям российских или между­народных стандартов по управлению ИБ, необходимо, чтобы при разра­ботке методики оценки рисков ИБ были учтены и выполнены все требо­вания, которые предъявляют стандарты, в соответствии с которыми строится СУИБ, к процессу оценки рисков ИБ.
    Материал, представленный в учебном пособии «Управление рисками информационной безопасности», предназначен для учебно­методической поддержки формирования у обучающихся профессио­нальных компетенций и их знаниевых компонентов.
    В табл. З1 определена связь содержания глав учебного пособия с со­ответствующими профессиональными компетенциями.


    В табл. З2 определена связь содержания глав учебного пособия с знаниевыми компонентами профессиональных компетенций. Полнота обеспечения знаниевых компонентов требует адаптации рассмотренной в данном учебном пособии методологии к особенностям конкретного объекта.










    Для полного формирования профессиональных компетенций необ­ходимо определить объект, для которого создается или на котором функционирует СУИБ, и рассмотреть вопросы, относящиеся к СУИБ конкретного объекта с использованием основ методологии оценки рис­ков, изложенных в данном учебном пособии.
    Для реализации контроля уровня усвоения обучающимися опреде­ленных знаниевых компонентов и, как следствия этому, уровня форми­рования профессиональных компетенций можно воспользоваться пе­речнями вопросов для самоконтроля, приведенными в конце каждого раздела учебного пособия.
    Следует отметить, что материал данного учебного пособия необходимо рассматривать во взаимосвязи с другими аспектами управления ИБ.


    ПРИЛОЖЕНИЯ


    П1. Примеры угроз ИБ
    Обобщенные примеры угроз ИБ представлены в соответствии с КОЛЕС 27001:2005, КОЛЕС 27002:2005 и КОЛЕС 27005:2011, Б8 7799-3:2006, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 2005-2010.
    П1.1. Физическая безопасность и безопасность
    ОКРУЖАЮЩЕЙ СРЕДЫ

    Download 0.83 Mb.

    Do'stlaringiz bilan baham:
  • 1   ...   15   16   17   18   19   20   21   22   ...   29




    Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
    ma'muriyatiga murojaat qiling