Лекция 1.
НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Для наиболее эффективной разработки процессов управления ИБ необходимо руководствоваться требованиями международных и российских стандартов. Это относится и к процессам управления рисками ИБ.
В настоящее время имеется ряд нормативных документов, содержащих рекомендации по разработке СУРИБ. Наиболее актуальными являются:
Международный стандарт ISO/IEC 27005:2011 «Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ» и ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» содержат общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций и предназначено для «содействия адекватному ОИБ на основе риск-ориентированного подхода».
Британский стандарт BS 7799–3:2006 «Системы менеджмента ИБ. Руководство по управлению рисками ИБ» содержит рекомендации по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ.
Необходимо отметить, что эти стандарты являются рекомендательными документами, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.
Поскольку большая часть стандартов в области ИБ является стандартами международного уровня, то их готовили группы международных специалистов, обладающих опытом и компетенцией в различных аспектах ИБ. Все это делает стандарты привлекательными для использования в качестве «лучших практик» по управлению ИБ и, в частности, по управлению рисками ИБ.
Разработка процессов управления рисками ИБ в соответствии с лучими практиками позволяет самой организации, в которой стандарты будут внедряться, а также ее партнерам убедиться в том, что процессы работают правильно и эффективно. Это особенно важно в том случае, когда организация работает с большими объемами ценной информации или обрабатывает и хранит важную информацию своих клиентов.
В данной лекции будут рассмотрены особенности выше указанных стандартов.
BS 7799–3:2006 – руководство по управлению
Рисками ИБ
В то время как ISO/IEC 27001:2005 описывает общий непрерывный цикл управления ИБ, в британском стандарте BS 7799–3 содержится его проекция на процессы управления рисками ИБ. BS 7799–3:2006 включает разделы по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ.
Стандарт BS 7799–3:2006 придерживается самого общего понятия риска ИБ, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском ИБ сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации. Непрерывный процесс управления делится на четыре фазы: оценка рисков ИБ, включающая анализ и вычисление рисков; обработка риска ИБ (выбор и реализация мер и средств защиты); контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и аудита ИБ системы; оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.
Помимо определения основных факторов риска и подходов к его оценке и обработке, стандарт также описывает взаимосвязи между рисками ИБ и другими рисками организации, содержит требования и рекомендации по выбору методологии и инструментов для оценки рисков, определяет требования, предъявляемые к экспертам по оценке рисков и менеджерам, отвечающим за процессы управления рисками, содержит соображения по выбору законодательных и нормативных требований по ОИБ и многое другое.
BS 7799–3:2006 допускает использование как количественных, так и качественных методов оценки рисков ИБ, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.
Отличительной чертой стандарта является использование принципа осведомленности о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ предусмотрено информирование всех участников процесса управления ИБ, а также фиксирование событий СУИБ. Стандарт перечисляет об-занности и задает требования к категории лиц, непосредственно учас-вующих в управлении рисками ИБ, а именно: экспертам по оценке ри-ков ИБ, менеджерам по безопасности, менеджерам рисков ИБ, владел-цам ресурсов; руководству организации.
К основным документам по управлению рисками ИБ в BS 7799–3:2006 отнесены описание методологии оценки рисков ИБ, отчет об оценке рисков ИБ, план обработки рисков ИБ. Кроме того, в непрерывном цикле управления рисками ИБ задействовано множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. п.
Следует отметить, что стандарт BS 7799–3:2006 носит концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, обработки и управления рисками ИБ.
С другой стороны стандарт не содержат рекомендаций по выбору какого-либо аппарата оценки риска ИБ, а также по разработке мер, средств и сервисов защиты, используемых для минимизации рисков ИБ.
Лекция 2.
ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ
Риск ИБ
При определении риска в обыденной жизни, в широком смысле осуществляется попытка охарактеризовать и предсказать (при невозможности получения достоверного знания из-за недостатка информации, наличия элементов случайности и противодействия со стороны внутренней и внешней среды) ситуацию из будущего, имеющую неопределенность исхода. При этом существует вероятность как благоприятных, так и обязательно неблагоприятных последствий. Поэтому риск – это возможность опасности, неудачи или действие наудачу в надежде на счастливый исход. Согласно статье 2 Федерального закона 184-ФЗ «О техническом регулировании» риск – это вероятность причинения вреда с учетом его тяжести. Современная экономическая наука представляет риск как опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных средств в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами. Измеряется риск частотой, вероятностью возникновения того или иного уровня потерь.
Исходя из приведенного ранее определения ИБ как состояния защищенности информации, наиболее корректным считается использование понятия риск нарушения ИБ как риск нарушения состояния защищенности информации.
Согласно ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» риск представляет собой сочетание вероятности события и его последствий (результатов событий, которые могут быть выражены качественно или количественно). Похожее определение содержится ГОСТ Р 51898–2002 «Аспекты безопасности. Правила включения в стандарты»: риск – это сочетание вероятности нанесения ущерба и тяжести этого ущерба.
стандарте США NIST 800–30 «Risk Management Guide for Information Technology Systems» (Руководство по управлению рисками для ИТ-систем) риск является функций вероятности использования данным источником угроз ИБ отдельной потенциальной уязвимости и результата воздействия этого неблагоприятного события на организацию.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 определяет риск ИБ как потенциальную возможность использования уязвимостей актива или группы активов конкретной угрозой ИБ для причинения ущерба организации. Измеряется риск ИБ исходя из комбинации вероятности события и его последствия.
Стандарт ISO/IEC 27005:2011 определяет риск ИБ как влияние неопределенности на цели. Влияние – это отклонение от предполагаемого (положительное и/или отрицательное). Цели могут быть различными (финансовые , охраны здоровья и безопасности, экологические) и могут применяться на различных уровнях (стратегические, в масштабах организации, проекта, продукции или процесса). Риск обычно характеризуется возможными событиями и последствиями или их сочетанием. При этом последствия (англ. consequence) рассматриваются как результат события, влияющего на цели. Результатом события может быть одно или более последствий. Последствия могут быть как позитивными, так негативными. Однако применительно к аспектам ИБ последствия всегда негативные. Они могут быть выражены качественно и количественно. Начальные последствия могут вырасти посредством порожденной ими цепной реакции. Риск обычно выражается в виде сочетания последствий события (включая изменения в обстоятельствах) и связанной с ним возможностью возникновения. Неопределённость – это недостаточность (даже частичная) информации, связанной с пониманием события или знаниями о нем, его последствиями или возможностью возникновения.
В СТО БР ИББС 1.0–2010 риск нарушения ИБ – риск, связанный с угрозой ИБ. Под риском понимается мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. При этом угроза ИБ – это угроза нарушения свойств ИБ – доступности, целостности или конфиденциальности информационных активов организации. А ущербом называется утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре организации, наступивший в результате реализации угроз через уязвимости.
В публикациях также встречается упоминание информационных рисков, определяемых как риски, которым подвергаются информационные активы организации или которые приводят к убыткам или ущербу в результате применения ИТ.
Простейший пример рисков ИБ можно привести для ОС. Для них специфические риски ИБ подразделяются на две группы:
1) риски, связанные с неправильной конфигурацией системы и чаще всего возникающие вследствие ошибок или недостаточных навыков ее администратора;
2) риски, связанные с ошибками в ПО (особенно характерно при установке в систему нескольких устаревших версий ПО, в которых уже были обнаружены определенные ошибки и о которых публично сообщалось в различных специализированных компьютерных и хакерских изданиях и сайтах).
Как видно из приведенных выше определений, в области ИБ термин «риск» используют только тогда, когда существует возможность негативных последствий, само же понятие риска ИБ является комбинированным, сочетающим в себе ряд других ключевых терминов – активы, уязвимости, угрозы, ущерб. Введем эту терминологию для дальнейшего использования.
Актив (англ. asset) – все , что имеет ценность для организации и находится в ее распоряжении или то, что обладает ценностью или полезностью для организации, ее бизнес-операций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить корректное выполнение бизнес-операций и непрерывность бизнеса.
К активам организации могут относиться:
- ее работники (персонал); ƒ
- финансовые (денежные) средства;
- средства вычислительной техники, телекоммуникационные средства пр.;
- различные виды информации – финансово-аналитическая, служебная, управляющая и пр.;
- бизнес-процессы (технологические процессы, информационные процессы и т. п.);
- продукты и услуги, предоставляемые организацией своим клиентам и партнерам.
Информационный актив – это информация:
- с реквизитами, позволяющими ее идентифицировать;
- имеющая ценность для организации;
- находящаяся в распоряжении организации;
-представленная на любом материальном носителе;
- в пригодной для ее обработки, хранения или передачи форме.
Ресурс – актив организации, который используется или потребляется процессе выполнения некоторой деятельности.
Уязвимость (англ. vulnerability) – любая характеристика или свойство ИС, обуславливающее возможность реализации угроз ИБ обрабатываемой в ней информации или слабое место в инфраструктуре организации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.
Угроза ИБ (англ. information security threat) – совокупность условий факторов, создающих потенциальную или реально существующую опасность нарушения свойств ИБ – конфиденциальности, доступности и/или целостности информации/информационных активов организации.
Для того чтобы угроза ИБ из потенциальной возможности стала реальной атакой необходимо, чтобы ее активировал источник угрозы ИБ – некий субъект, которым может быть физическое лицо, материальный объект или физическое явление.
Нарушитель ИБ (англ. intruder) – субъект (в данном случае физическое лицо), реализующий угрозы ИБ организации, нарушая предоставленные ему полномочия по доступу к активам организации или по распоряжению ими.
Наглядная взаимосвязь введенных выше понятий представлена на рис. 2.1. Эта модель основана на адаптации «Общих критериев» и проведении анализа рисков ИБ .
Рис. 2.1. Взаимосвязь основных понятий ИБ
Зона, где возникает возможность появления риска ИБ, находится на пересечении активов, уязвимостей, угроз ИБ и нарушителей как одного из видов источников угроз ( рис. 2.2). Причем из-за наличия в активе одной уязвимости может при стечении соответствующих обстоятельств реализоваться одна, две и более угроз ИБ. Аналогично – одна угроза ИБ может стать атакой, если в активах есть необходимая для этого совокупность уязвимостей. Одна угроза ИБ может затронуть сразу несколько активов. И, наконец, в реализации угрозы может участвовать ни один, а несколько нарушителей, действующих в сговоре.
Итак, риск нарушения ИБ(риск ИБ) –потенциальная возможность использования уязвимостей активов организации угрозами ИБ для причинения ущерба организации, измеряемая с учетом вероятности реализации угроз ИБ и величины ущерба от реализации угроз ИБ.
Таким образом , в представленном определении риск ИБ есть функция как минимум двух переменных: величины потенциального (негативного) воздействия – ущерба для бизнеса организации и вероятности реализации угрозы ИБ. Вторая величина является комплексным показателем и для ее адекватного определения требуется учесть, например, вероятности существования в определенных активах организации уязвимостей (незащищённости), вероятности использования злоумышленниками именно этих уязвимостей, а также вероятности активации соответствующих конкретным угрозам ИБ источников.
Рис. 2.2. Зона возможного риска ИБ
Любая организация практически всегда подвергается ряду рисков ИБ. Они могут рассматриваться в качестве одной из основных категорий бизнес-рисков или быть отнесены к другим категориям, таким как стратегические и операционные риски [6]. В любом случае риски ИБ всегда должны рассматриваться в контексте бизнеса организации. Чтобы получить целостную и завершенную картину этих рисков, должны быть идентифицированы взаимосвязи с другими бизнес-функциями, такими как кадровые ресурсы, исследование–разработка –производство– эксплуатация основной продукции, администрирование, ИТ, финансы и клиенты. Такой подход учитывает все риски организации и применение концепций и идей в области общего управления ею. Все это, наряду с бизнесом организации, соображениями эффективности, а также законодательной и нормативной базой служит в качестве мотивирующих и усиливающих факторов для успешного процесса управления рисками ИБ.
Управление рисками ИБ
Управление рисками или риск-менеджмент (англ. risk management) – особый вид деятельности (процесс) по принятию и выполнению управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Более кратко это скоординированная деятельность по руководству и управлению организацией в отношении риска. В другой интерпретации управление рисками это бизнес-процессы (или упрощенно совокупность методов) по идентификации, анализу и принятию решений, которые минимизируют отрицательные или максимизируют положительные последствия наступления рисковых событий (в общем случае нейтрализуют факторы риска) и объединены в систему планирования, мониторинга и корректирующих воздействий.
В классическом управлении рисками принято выделять пять ключевых этапов:
1) выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально-возможного убытка;
2) выбор методов и инструментов управления выявленным риском (это ключевой этап);
3) разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4) реализация риск-стратегии;
5) оценка достигнутых результатов и корректировка риск-стратегии.
В широком смысле управление рисками направлено, с одной стороны, на смягчение нежелательных или неблагоприятных внешних и внутренних факторов на результаты бизнеса, а с другой стороны – на использование благоприятного влияния этих факторов, обеспечивающего организациям дополнительные полезные результаты или иные преимущества по сравнению с конкурентами. Оно включает идентификацию, анализ, оценку, отслеживание и устранение рисков; превентивную разработку программы мероприятий по ликвидации последствий кризисных ситуаций; разработку механизмов выживания; создание системы страхования; прогнозирование развития организации с учетом возможного изменения конъюнктуры и другие мероприятия. Риски желательно выявить как можно раньше и еще до того, как они превратились в проблему (обычно в этом случае принятие мер требует меньших ресурсов). После выявления риска необходимо принять решение об ответных действиях, позволяющих снизить вероятность неблагоприятного события или уменьшить его последствия в случае реализации риска. При этом желательно, чтобы расход ресурсов был минимальным.
В узком смысле управление рисками сводится только к обеспечению безопасности бизнеса на основе учета неблагоприятных факторов и снижения или ликвидации их самих или последствий их влияния. Также это особый вид услуг, оказываемых брокерскими, страховыми и перестраховочными компаниями своим клиентам.
Применительно к области ИБ определения управления рисками ИБ (англ. information security risk management или IS risk management) в разных стандартах достаточно близки по смыслу и хорошо дополняют друг друга:
- согласованные виды деятельности по руководству и управлению организацией в отношении рисков ИБ;
- скоординированные непрерывные действия по управлению и контролю рисков ИБ в организации;
- скоординированные действия по руководству и управлению организацией в отношении рисков ИБ, обычно включающие в себя оценку, обработку, принятие и коммуникацию риска ИБ;
- процесс выявления, контроля и минимизации или устранения рисков ИБ, оказывающих влияние на ИС, в рамках допустимых затрат;
- полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы ИТТ;
- непрерывный процесс, устанавливающий контекст управления рисками ИБ, оценку и обработку рисков ИБ на основе плана обработки рисков для реализации рекомендаций и принятых решений.
Управление рисками ИБ определим как скоординированную непрерывную деятельность по руководству и управлению организацией в отношении рисков ИБ на основе политики управления рисками ИБ и плана обработки рисков ИБ, обычно включающую в себя установление контекста управления рисками ИБ, оценку, обработку, принятие, мониторинг, пересмотр и коммуникацию рисков ИБ.
На рис. 2.3 приведены основные элементы, входящие в управление рисками ИБ.
Рис. 2.3. Основные элементы управления рисками ИБ применительно к понятиям ИБ
Прежде чем приступить к любым действиям , связанным с управлением рисками ИБ, организация должна иметь стратегию проведения такого управления, причем составные части этой стратегии (методы, способы и т. д .) должны быть отражены в ее ПолИБ. Эти методы и критерии выбора вариантов стратегии управления должны отвечать потребностям организации и обеспечивать соответствие выбранного варианта стратегии условиям осуществления бизнес-операций и приложения усилий по ОИБ в тех областях, где это действительно необходимо.
Выделим основные задачи управления рисками ИБ, соответствующие стандартной методике организации работ по управлению рисками ИБ:
1) планирование управления рисками ИБ – отражается в политике управления рисками ИБ и плане обработки рисков ИБ, описывающих общий контекст управления рисками ИБ в организации, подходы управлению ими, основные действия, которые требуется выполнять для реализации политики и плана, методологии и средства, с помощью которых будет производиться оценка рисков ИБ. Также назначаются ответственные лица, которые будут заниматься управлением рисками ИБ и определяется бюджет на эту деятельность;
2) выявление, идентификация и документирование рисков ИБ, включающие определение тех ситуаций или событий, которые могут вызвать отрицательные последствия для бизнеса организации, на основе лучших практик и собственного опыта;
3) детальная оценка рисков ИБ и их приоритетности с целью выявления их потенциального влияния на бизнес, выражаемого величиной ожидаемого ущерба, и вероятности реализации (с учетом вероятности нахождения в системах неустраненных уязвимостей), а также установка критериев приемлемости рисков ИБ на основе принятой методики;
4) планирование ответных действий для каждого риска ИБ (обработка рисков ИБ), определяющее шаги, необходимые для снижения вероятности реализации каждого риска ИБ и его последствий, и соответствующих резервов (финансовых, людских, временных);
5) мониторинг рисков ИБ, по результатам которого возможно изменение приоритетов и планов обработки ранее выявленных рисков ИБ, а также своевременное выявление новых рисков ИБ, которые проявились в настоящий момент;
6) мониторинг всех работ по управлению рисками ИБ в организации с целью внесения необходимых корректив в этот процесс.
Поскольку риски ИБ не во всех организациях рассматриваются как одни из основных, можно условно выделить три подхода к управлению рисками ИБ:
1) для некритичных (вспомогательных для бизнеса) систем организации, когда применяются стандартные требования по ОИБ, определяемые законодательством, стандартами, лучшими практиками, опытом;
2) для критичных систем, когда особое внимание уделяется системам с наибольшими рисками ИБ (для них требуется проведение высокоуровневой оценки рисков ИБ с неформальными качественными подходами);
3) для особо критичных систем, для которых необходима детальная оценка рисков ИБ для всех активов.
Таблица 2.1. Соответствие этапов жизненного цикла СУИБ
Лекция 3.
ОЦЕНКА РИСКОВ ИБ
Оценка рисков ИБ рассматривается в ISO/IEC 27001:2005. Входными данными этого процесса являются область действия и границы и установленная организация (структура) процесса управления рисками ИБ.
Суть процесса оценки рисков ИБ заключается в их идентификации, количественном или качественном описании и приоритезации согласно критериям и задачам оценивания рисков ИБ, применимым к организации.
Поскольку риски ИБ являются комбинацией последствий, проявляющихся в результате реализации нежелательных событий и вероятности их возникновения, количественная или качественная оценка рисков ИБ описывает эти риски и позволяет руководству установить приоритеты рисков ИБ согласно их ожидаемой значимости (серьезности) или другим установленным критериям.
Согласно ГОСТ Р ИСО/МЭК 27005–2010 деятельность пооценке рисков ИБ включает следующие составляющие:
1) анализ рисков ИБ, в свою очередь подразделяемый на идентификацию и количественную оценку рисков ИБ;
2) оценивание рисков ИБ.
По шагам процесс оценки рисков ИБ выглядит таким образом:
Этап 1 – анализ рисков ИБ.
Подэтап 1 – идентификация рисков ИБ.
Шаг 1 – идентификация активов.
Шаг 2 – идентификация угроз ИБ.
Шаг 3 – идентификация существующих средств управления рисками ИБ.
Шаг 4 – идентификация уязвимостей.
Шаг 5 – идентификация последствий.
Подэтап 2 – количественная оценка рисков ИБ.
Шаг 1 – оценка последствий.
Шаг 2 – оценка вероятностей.
Шаг 3 – определение уровня (величины) рисков ИБ.
Этап 2 – оценивание рисков ИБ.
В процессе оценки рисков ИБ определяются ценность информационных активов, возможные угрозы ИБ, существующие уязвимости, средства управления и их влияние на выявленные риски ИБ и потенциальные последствия, а также устанавливаются окончательные приоритеты рисков ИБ и они ранжируются согласно критериям оценивания рисков в контексте управления рисками ИБ.
Оценка рисков ИБ обычно осуществляется за две или более итераций: первая – высокоуровневая оценка для выявления наивысших рисков, которая служит основой для дальнейшей оценки; вторая – более глубокое рассмотрение потенциально высоких рисков, обнаруженных ранее. После этого если собрано недостаточно информации, проводится более детальный анализ рисков ИБ, возможно для отдельных частей области действия и с использованием различных методов.
В стандартах, описывающих вопросы управления рисками ИБ, отмечается, что каждая организация вправе выбирать свой подход к оценке рисков ИБ, исходя из ее целей и задач.
Эксперт, участвующий в оценке рисков ИБ, должен быть профессионалом в области ИТ и ИБ, человеком бизнеса или внешним консультантом организации по ИТ. Он должен обладать следующими характеристикам:
- базовое понимание того, как функционирует бизнес, и подверженность этого бизнеса рискам ИБ;
- понимание основных концепций риска ИБ, например, каким образом комбинируются оценки угрозы ИБ, уязвимостей и ущерба для получения величины риска ИБ;
- понимание ИТ на уровне, достаточном для понимания угроз ИБ и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, ОС, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют;
- понимание различных типов защитных мер (например, межсетевой экран (МЭ), система обнаружения вторжений (СОВ), механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также системы регистрации событий и мониторинга), как они работают и любые свойственные им ограничения;
- понимание подходящего метода оценки рисков ИБ и практическое владение любыми, связанными с ним, инструментами, ПО или формами;
- аналитические способности, то есть способность выделять относящиеся к делу факты;
- способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
- уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков ИБ в форме, понятной руководству, принимающему решения.
На выходе процесса оценки рисков ИБ получается список оцененных рисков ИБ с их приоритетами, присвоенными в соответствии с критериями оценивания рисков ИБ.
Оценка рисков ИБ может проводиться на уровне организации, в рамках взаимосвязанной совокупности систем, для отдельной системы или приложений, а также для конкретных критических функций внутри системы. Важно помнить, что оценка рисков ИБ на уровне организации не является простой комбинацией рисков для всех ее критических функций, поскольку совместное проявление нескольких рисков может существенно повысить общий риск ИБ.
Общими методологическими недостатками большинства современных подходов к оценке рисков ИБ являются, во-первых, субъективный выбор экспертами уровней рисков, которые в идеале должны были бы оцениваться на основе математического моделирования и представлять собой основу эффективного управления, и, во-вторых, использование исторических данных (набранной статистики) для получения и объяснения оценок рисков постфактум, без научно-методического прогнозирования в развитии различных сценариев угроз ИБ для разных условий функционирования систем. Как следствие – большие погрешности в предсказания рисков ИБ и поведении систем. Поэтому многие инструментальные средства, автоматизирующие процесс оценки рисков на основе традиционных экспертных подходов, всего лишь проверяют выполнение некоторых условий, признаваемых обязательными. Далее из выполнения этих условий делаются соответствующие выводы: «выполнено» – риск меньше, «не выполнено» – риск возрастает. Поэтому в настоящее время существенно возрастает роль моделирования, в первую очередь математического, как наиболее объективного гаранта всесторонней оценки и прогнозирования рисков ИБ и разрабатываемых систем с учетом возможных последствий от их проявлений. Инновационные модели, предложенные российскими учеными, базируются на использовании методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов, сетей Петри-Маркова, имитационном моделировании и т. п. Их применение в зависимости от количественных системных характеристик процессов позволяет заказчикам, разработчикам и пользователям систем оперативно вычислять вероятности успеха, риски неудач и связанные с этим потери, в том числе в денежном выражении, или количестве успешно реализованных атак (правда, тогда опять потребуется статистика по атакам). Такое моделирование обеспечивает аргументированное решение задач анализа и снижения рисков при управлении проектами, исследования вопросов защищенности систем от потенциальных угроз ИБ, выявления уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и многих других.
Этап 1 – анализ рисков ИБ
Анализ рисков ИБ позволяет эффективно управлять ИБ организации. Для этого в самом начале работ по анализу рисков ИБ необходимо определить, какие именно активы организации подлежат защите, какие угрозы ИБ могут воздействовать на эти активы, а также через какие уязвимости активов и с какой вероятностью эти угрозы ИБ могут быть реализованы. На основе полученной информации по результатам анализа рисков ИБ формируется план обработки рисков ИБ, рассчитанный на определенный период времени, за который выявленные риски ИБ должны быть минимизированы за счет использования конкретных защитных мер.
Лучшие практики в области управления рисками ИБ показывают, что анализ рисков ИБ проводится в следующих случаях:
- изменения в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);
- обновления информационной инфраструктуры организации или существенных изменений в ней;
- переход на новые ИТ;
- организация новых подключений к сети организации (например, подключения сети филиала к сети головного офиса);
- подключение к глобальным сетям (в первую очередь к Интернету);
- проверка эффективности ОИБ в организации или ее подразделениях.
Выделим основные этапы процесса анализа рисков ИБ в организации:
- идентификация (инвентаризация), категоризация и определение ценности подлежащих защите активов с их подробным документированием, причем особое внимание необходимо уделять критически важным для бизнеса активам и степени зависимости организации от их штатного функционирования, ИБ хранимых и обрабатываемых данных;
- идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и уязвимости, законодательные и бизнес-требования; при этом необходимо учитывать, что появляются новые угрозы ИБ и уязвимости по отношению к старым активам, а также сами новые активы и ассоциированные с ними угрозы ИБ и уязвимости;
- оценка вероятности проявления угроз ИБ и уязвимостей, важности правовых и бизнес-требований и ожидаемых размеров потерь;
- расчет рисков ИБ, возникающих в результате сочетания указанных факторов.
При выполнении оценки рисков ИБ может использоваться широко распространенная методология оценки критичных угроз ИБ, активов и уязвимостей для организаций разного размера и сферы деятельности OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) [www.cert.org/octave], разработанная в университете Карнеги-Мелон (США). Сущность метода заключается в том, что для оценки рисков ИБ соответствующим образом в три этапа проводятся внутренние семинары (англ. workshops). Оценке рисков ИБ предшествуют подготовительные мероприятия: согласование графика семинаров, назначение ролей, планирование, координация действий участников проектной группы. На первом этапе осуществляется разработка профилей (моделей) угроз ИБ, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз ИБ и оценку их вероятности, а также определение системы организационных мер по ОИБ. На втором этапе производится технический анализ уязвимостей ИС организации в отношении рассматриваемых угроз ИБ с оценкой их величины. На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления ранее идентифицированных угроз ИБ с использованием уязвимостей, определение стратегии ОИБ, а также выбор вариантов и принятие решений по обработке рисков ИБ. Величина риска ИБ рассчитывается как усредненная величина годовых потерь организации в результате реализации угроз ИБ.
В зависимости от используемого метода оценки рисков ИБ, угрозы ИБ и уязвимости могут идентифицироваться и, следовательно, оцениваться вместе или отдельно. Возможно использование обоих вариантов. Решение о выборе конкретного подхода следует принимать при выборе общего подхода к оценке рисков ИБ.
Рассмотрим указанные шаги анализа рисков ИБ более подробно.
3.1.1. ПОДЭТАП 1 АНАЛИЗА РИСКОВ ИБ – ИДЕНТИФИКАЦИЯ
РИСКОВ ИБ
Целью идентификации рисков ИБ является определение того, что может случиться и повлечь за собой потенциальные потери, и попытка разобраться, как, где, когда и почему может возникнуть ущерб [35]. На этой стадии проводится выявление рисков ИБ, их идентификация и сравнение новых идентифицированных рисков ИБ с ранее выявленными. Новый риск ИБ может повторять или расширять один из ранее выявленных. В таком случае следует не включать его в список рисков ИБ, а уточнить описание и оценки выявленного раньше риска ИБ.
Для идентификации рисков ИБ обычно используются четыре метода. Исторический анализ – сравнение ситуации в области ОИБ в организации с аналогичным анализом, выполненным ранее, поскольку часто прошлые проблемы остаются рисками ИБ и в новых условиях ведения бизнеса.
Аналитический метод, который включает моделирование, анализ по схеме «причина-результат», анализ таблиц истинности и т. д.
Совещания, посвященные выявлению и оценке рисков ИБ. Индивидуальные интервью, которые проводятся как с руководством, так и с рядовыми сотрудниками и всеми заинтересованными лицами и каждый выявленный риск ИБ необходимо документировать, описав суть риска ИБ, причины, которые могут его вызвать, и последствия его реализации.
Так, например, влияющие в конечном счете на ИБ риски, с которыми приходится иметь дело в проектах разработки ПО, можно условно разбить на несколько типов:
1) технические риски, связанные с разработкой новых решений или изменением старых, направленных на повышение производительности или достижение принципиально новой функциональности;
2) программные риски, связанные с приобретением или использованием ПО третьих фирм (если это приобретение не находится под должным контролем разработчиков и руководителей проекта);
3) риски на этапе сопровождения системы, в том числе связанные с размещением ПО у заказчика, поддержкой, обучением и т. п.;
4) стоимостные риски, связанные с превышением затрат или проблемами финансирования проекта;
5) риски сроков, связанные с необходимостью ускорить разработку из-за внешних причин;
6) риски неудовлетворенности заказчика.
Далее рассмотрим шаги, которые позволят собрать всю необходимую информацию для количественной оценки рисков ИБ. В зависимости от выбранной в организации методологии эти шаги могут выполняться в различной последовательности.
3.1.2. ШАГ 1 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ АКТИВОВ
Согласно ГОСТ Р ИСО/МЭК 27005 -2010 и ISO/IEC 27005:2011 входными данными являются область действия и границы оценки рисков ИБ, список всех попадающих в эту область активов с их владельцами, расположением, функциями, вовлечением в конкретные бизнес-процессы и т. д.
Суть процесса идентификации активов сводится к выявлению (инвентаризации) всех активов в установленной области действия оценки рисков ИБ. Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других бизнес-целей, таких как техника безопасности и охрана труда, страхование или финансовые причины . Это область действия деятельности, относящейся к так называемому управлению активами.
Основными активами любой организации являются:
- бизнес-процессы (подпроцессы) и бизнес-деятельность;
- информация.
К вспомогательным активам относятся аппаратные средства, носители данных, ПО, бизнес-приложения, сети, персонал.
Обобщая многочисленные источники информации по активам, определим, что к активам организации можно отнести следующее:
- физические объекты: оборудование (в том числе контроля доступа, периферийные устройства, клиентские компьютеры, серверы) и аппаратура связи (в том числе маршрутизаторы, коммутаторы, концентраторы, автоответчики, факсы), носители информации (бумага, магнитные ленты, компакт-диски и т. п.), другое техническое оборудование (источники питания, кондиционеры), мебель, помещения, используемые для поддержки обработки информации;
- программные ресурсы: прикладное ПО, системное ПО, приложения операционной системы (ОС), сами ОС, процессы, порождаемые ОС, средства разработки, сервис DNS-имен, служба поддержки точного времени, почтовые клиенты, веб-браузеры, удаленные терминалы и т. д.;
- различные виды информационных ресурсов – информация служебная, финансово-аналитическая, управляющая и пр. в бумажной, электронной и если необходимо и устной формах – в виде БД и файлов, архивированной информации, системной документации, аналитической информации внутреннего пользования, планов ОНБ, процедур эксплуатации и поддержки, контрактов, документов с важными бизнес-результатами, информация о бизнес-контактах, деловая переписка, руководства пользователей, учебные материалы и т. д.;
- процессы, включая технологические (служебно-информационные, тестовые сообщения, результаты работы приложений и т. п.) и бизнес-процессы (бизнес-планы, финансовые сметы, прогнозы, аналитическая информация, системная документация, руководства пользователя, обучающий материал, эксплуатационные или поддерживающие процедуры, планы ОНБ, меры по нейтрализации рисков ИБ и т. д.);
- продукты и услуги, предоставляемые клиентам организации: вычислительные и коммуникационные сервисы, другие технические службы (отопление, освещение, электропитание, кондиционирование), как внутренние (например, предоставляемые бизнес-подразделениям подразделениями, ответственными за поддержание ИТ в рамках организации), так и внешние – предоставляемые внешними поставщиками услуг (например, Интернет, поддержка производителей ПО и оборудования);
- финансовые (денежные) средства;
- людские ресурсы, их квалификация, способности и опыт: персонал, клиенты, подписчики и любые другие люди, находящиеся в области действия СУИБ, которые участвуют в процессах хранения или обработки информации;
- нематериальные активы – имидж и репутация организации.
Для каждого актива или группы активов обязательно определяется их владелец, что обеспечивает ответственность за активы и их ученость. Владелец актива не обязательно имеет права собственности на актив, но он ответственен за его производство, разработку, сопровождение, использование и защиту. Он чаще всего является тем лицом, кото-рое может определить ценность актива для организации. Владелец актива должен нести ответственность за определение его классификации с точки зрения ИБ и прав доступа к нему, согласование и документирование этих решений, а также поддержание соответствующих средств управления. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности . Кроме того, может быть полезным определение, документирование и внедрение правил допустимого использования активов, описывающих разрешенные и запрещенные действия при повседневном использовании актива. Лица, использующие активы, должны быть осведомлены об этих правилах, поскольку корректное использование активов входит в их обязанности. Ответственность за реализацию средств управления ИБ актива может быть делегирована, в то время как учет активов должен оставаться обязанностью назначенного владельца актива.
Идентификация активов выполняется с соответствующей степенью детализации, необходимой для получения информации для правильной оценки рисков ИБ. Степень детализации влияет на общий объем информации, собранной во время оценки рисков ИБ. Степень детализации может быть пересмотрена при последующих итерациях оценки рисков ИБ.
Границами рассмотрения актива является его периметр, определенный для управления активами в рамках всего процесса управления рисками ИБ. Надлежащее управление активами и их учет имеют важнейшее значение для поддержания ИБ активов организации. Необходимо чтобы эти действия выполнялись и поддерживались на разных уровнях управления организацией.
Идентификация активов может осуществляться посредством, например, интервьюирования или анкетирования их владельцев. Тогда для каждого из активов составляются анкеты, включающие сведения, характеризующие данный актив. Например, если говорить об оборудовании, то желательно фиксировать в анкетах его месторасположение, так как от этого в значительной степени могут варьироваться угрозы ИБ, которые могут быть реализованы против актива, а также может изменяться вероятность реализации угроз ИБ.
При идентификации важно учесть все основные активы. Для уверенности в том, что нет пропущенных или забытых активов, необходимо иметь четко очерченные границы области действия СУИБ. Часто полезно сгруппировать активы по типам, например, информация, ПО, физические активы и услуги. Группа однотипных активов может рассматриваться при последующей оценке рисков ИБ в качестве единого актива. Каждый актив в границах области действия СУИБ явным образом идентифицируется и соответствующим образом оценивается, а его владелец и категория согласуются и документируются.
Также обязательно выявляются виды зависимостей одних активов от других, поскольку их наличие может оказать влияние на оценку активов. Например, конфиденциальность данных должна быть обеспеченна на протяжении всего процесса их обработки, то есть необходимость ОИБ программ обработки данных следует напрямую соотнести с уровнем ценности и конфиденциальности обрабатываемых данных. Кроме того, если важна целостность вырабатываемых программой данных, то входные данные для этой программы должны иметь соответствующую степень надежности. Целостность информации также будет определяться качеством аппаратных средств и ПО, используемых для ее хранения и обработки. Функционирование аппаратных средств будет зависеть от качества энергоснабжения и, возможно, от работы систем кондиционирования воздуха. Таким образом, данные о зависимостях, существующих между отдельными активами, будут способствовать идентификации некоторых видов угроз ИБ и определению конкретных уязвимостей, а использование данных о зависимостях даст уверенность в том, что активы оценены в соответствии с их реальной ценностью (с учетом существующих взаимозависимостей) и уровень ИБ для них выбран обоснованно.
Уровни ценности активов, от которых зависят другие активы, могут быть изменены в следующих случаях:
- если уровни ценности зависимых активов (например, данных) ниже или равны уровню ценности рассматриваемого актива (например, ПО), то этот уровень останется прежним;
- если уровни ценности зависимых активов (например, данных) выше, то уровень ценности рассматриваемого актива (например, ПО) необходимо повысить с учетом:
- уровня соответствующей зависимости,
- уровней ценности других активов.
Организация может иметь в своем распоряжении некоторые многократно используемые активы, например копии ПО, что необходимо учитывать при проведении оценки активов. С одной стороны, копии программ и т. д. в ходе оценки легко упустить из виду, и поэтому следует позаботиться о том, чтобы учесть их все; с другой стороны, их наличие может снизить остроту проблемы доступности информации.
В соответствии с ГОСТ Р ИСО/МЭК 17799–2005 и ISO IEC 27002:2005 после идентификации информация классифицируется с точки зрения ее значимости, требований закона, конфиденциальности и критичности для организации. Классификация должна учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями. Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом. Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне.
Результатом процесса идентификации активов являются два обоснованных списка – активов, подверженных рискам ИБ и относящиеся к рассматриваемой области действия СУИБ, с их местонахождением и владельцами и бизнес-процессов, связанных с этими активами.
3.1.3. ШАГ 2 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ УГРОЗ ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 исходными данными для процесса является информация об угрозах ИБ, полученная из отчетов по инцидентам ИБ, от владельцев активов, пользователей и из других источников, включая внешние каталоги угроз ИБ. Основным видом действий на данном шаге является идентификация угроз ИБ и их источников.
Напомним, что источник угрозы ИБ – это субъект (физическое лицо, материальный объект или физическое явление), активизирующий угрозу ИБ и переводящий ее из разряда потенциальной опасности нарушения свойств ИБ (конфиденциальности, доступности, целостности и т. д.) активов организации в реально происходящее нарушение этих свойств. Источники угроз ИБ можно разделить на три класса.
Антропогенные: внешние: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телепатических услуг; представители надзорных организаций и аварийных служб; представители силовых структур и внутренние: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации (администраторы); вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация);
Техногенные: внешние: средства связи; сети инженерных коммуникаций (водоснабжение , канализация); транспорт и внутренние: некачественные технические средства обработки информации (СОИ); некачественные программные СОИ ; вспомогательные средства (охрана, сигнализация, телефония); другие технические средства, применяемые в учреждении;
Стихийные (чаще всего внешние): пожары; землетрясения; наводнения; ураганы; магнитные бури; радиоактивное излучение; различные
непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.
Согласно ставшему уже классическим подходу для информации вообще выделяются различные угрозы ИБ, связанные с ее основными свойствами: конфиденциальности – хищение (копирование) информации и средств ее обработки и т. п.; целостности – модификация (искажение) информации , отрицание ее подлинности, навязывание ложной информации и т. п.; доступности – блокирование информации; уничтожение информации и средств ее обработки и т. п.; неотказуемости – отказ пользователя от факта выполнения им транзакции и т. п.; аутентичности – отказ от авторства в отношении электронного документа и т. п.; учетности – отсутствие места на жестком диске для записи всех событий, собранных агентами СОВ и т. п. и функциональности – когда нет соответствия преднамеренному поведению пользователя и результатам работы приложений.
Существуют и другие виды классификаций. Так, угрозы ИБ бывают случайными и намеренными, внешними и внутренними, вызывающими несанкционированные действия, физический ущерб или отказы оборудования. Они могут причинить вред информации, процессам, системам организации в целом. Некоторые угрозы ИБ могут относиться сразу к нескольким активам и наоборот – для одного актива могут существовать несколько угроз разных классов.
При проведении оценки рисков ИБ все типы угроз ИБ для активов организации и их источники идентифицируются и относятся к определенным классам.
Для определения вероятности реализации угрозы ИБ исходные данные можно получить от владельцев активов и пользователей, сотрудников департамента персонала, руководителей объектов, специалистов по ИБ, экспертов по физической защите, правового департамента и других организаций, включая юридических лиц, метеорологических организаций, страховых компаний и национальных органов власти. При рассмотрении угроз ИБ также нужно учитывать все аспекты окружающей среды, включая культурные особенности страны, в которой работает организация.
Важно применять в новых условиях и собственный опыт произошедших ранее инцидентов ИБ и прошлых оценок угроз ИБ, но помня, что в среде ведения бизнеса и в ИС и в ИТ происходят постоянные изменения. Также стоит обратиться к другим каталогам и статистикам угроз ИБ (возможно, специфичным для организации или ее бизнеса), что поможет создать наиболее полный список угроз ИБ, применимых к организации.
На выходе данного процесса получается список угроз ИБ с их типами и источниками.
3.1.4. ШАГ 3 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ СУЩЕСТВУЮЩИХ СРЕДСТВ УПРАВЛЕНИЯ РИСКАМИ ИБ
Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными третьего шага анализа рисков ИБ являются документация по существующим средствам управления рисками ИБ и планы обработки рисков ИБ, реализующие конкретные действия. В данном контексте под средствами управления рисками ИБ (англ. controls) понимаются существующие процессы, политики, устройства, практики и другие действия, включая защитные меры, которые минимизируют негативные риски или повышают позитивные возможности для обеспечения достаточной уверенности в отношении достижения поставленных целей в области ОИБ, а также любая мера или действие, модифицирующие риск ИБ.
На основе имеющихся входных данных необходимо идентифицировать существующие и планируемые к использованию средства управления, реализующие ОИБ для каждого из активов. Это поможет избежать ненужной работы или затрат, например, при дублировании функций управления, выборе дополнительных защитных мер, которые хорошо взаимодействуют с уже существующими, а для существующих средств убедиться в корректности их функционирования (обращения к уже имеющимся отчетам по аудитам СУИБ уменьшат время на выполнение данной задачи).
Если средства управления не работают, как это ожидалось, то могут возникнуть уязвимости.
Следует особо рассмотреть ситуации, когда выбранное средство управления (или стратегия) не выполняет свои функции и, следовательно, требуются дополнительные средства для эффективного устранения выявленных рисков ИБ. В ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 для СУИБ это поддерживается измерением эффективности средств управления. Способом оценить действенность средства является выяснение того, как это средство снижает вероятность реализации угрозы ИБ, усложняет использование уязвимостей или смягчает последствия инцидента ИБ.
Анализ со стороны руководства и аудиторские отчеты дают информацию об эффективности существующих средств управления.
Планируемые к использованию в соответствии с планами обработки рисков ИБ средства управления рассматриваются аналогично уже существующим средствам.
Существующие и планируемые средства управления могут быть идентифицированы как неэффективные, недостаточные или неоправданные. В двух последних случаях эти средства необходимо проверить
для определения того, стоит ли их удалить, заменить другими более подходящими, или оставить, например, из соображений стоимости.
Кроме того, необходимо провести дополнительную проверку для определения совместимости выбранных новых средств управления с действующими и другими планируемыми к использованию, поскольку планируемые и действующие средства управления не должны входить в противоречие друг с другом.
Для идентификации существующих и запланированных средств управления могут быть полезны следующие действия:
- просмотр документов, содержащих информацию по средствам управления (например, планов обработки рисков ИБ). Если процессы управления ИБ хорошо документированы, из них будет понятен статус внедрения этих средств;
- проверка, проводимая совместно с ответственными за ОИБ (например, сотрудниками подразделений ИБ и ОИБ ИС) и пользователями информационных процессов в ИС, для которых реально реализованы рассматриваемые средства управления;
- анализ на месте физических средств управления, сравнение реально реализованного и того, что должно быть, и проверка корректности и эффективности реализации;
- рассмотрение результатов внутренних аудитов ИБ.
Выходными данными процесса являются список существующих и запланированных средств управления рисками ИБ и информация о состоянии их внедрения и использования.
3.1.5. ШАГ 4 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ УЯЗВИМОСТЕЙ
Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными являются списки известных угроз ИБ, защищаемых активов и существующих средств управления. На этом шаге идентифицируются уязвимости, которые могут быть использованы угрозами ИБ (точнее источниками угроз ИБ) для причинения ущерба активам или всей организации в целом.
Существует несколько разных классификаций уязвимостей: по причинам возникновения, по месту нахождения, по степени критичности последствий от ее использования угрозами ИБ, а также по вероятности реализации.
По причинам возникновения уязвимости подразделяются на три класса:
- проектирования, использующие анализ алгоритма ПО и АО;
- реализации, использующие анализ исходного текста (его синтаксиса, семантики, конструкций и т. п.) или исполняемого файла (его атрибутов, процесса выполнения – операции с памятью, работа с указателями, вызов функций), внешними воздействиями, когда на вход подаются разные граничные и маловероятные значения переменных, а также дизассемблированием и анализом полученного кода);
- эксплуатации, включая слабости системной политики, ошибки настройки ПО и АО и пр.
По месту нахождения уязвимости могут быть идентифицированы в следующих областях:
- организация в целом;
- ее процессы и процедуры (организация работ);
- установившаяся практика (порядок) управления и администрирования;
- персонал;
- физическая среда;
- конфигурации ИС;
- аппаратное, программное и телекоммуникационное оборудование;
- зависимость от внешних сторон.
Уязвимость может присутствовать в активе, а может находиться и в средстве обеспечения его ИБ. Также выделяют уязвимости на уровне сети, отдельного хоста (устройства с уникальным адресом) или приложения.
По степени критичности (уровню риска) уязвимости делятся следующим образом(при этом уровень риска (англ. level of risk) – это величина риска или комбинации рисков, выраженная как сочетание последствий и возможности их возникновения:
- высокий уровень риска – уязвимости, позволяющие атакующему получить доступ к хосту с правами суперпользователя, а также уязвимости, делающие возможным обход средств защиты для попадания в интранет организации;
- средний уровень риска – уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к отдельному хосту и уязвимости, приводящие к повышенному расходу ресурсов системы (за счет атак «отказ в обслуживании»);
- низкий уровень риска – уязвимости, позволяющие осуществлять сбор критической информации о системе (например, неиспользуемые службы, текущее время на компьютере для последующих атак на криптоалгоритмы и т. д.).
Уязвимости можно оценить по вероятности реализации на ее основе угрозы ИБ:
- высоковероятная или вероятная – данную уязвимость легко использовать, защита отсутствует или очень слаба;
- возможная – уязвимость может быть использована, но имеется защита;
- маловероятная или невозможная – данную уязвимость использовать трудно, имеется хорошая защита. Сама по себе уязвимость ( просто ее наличие) не причиняет вреда – для этого нужны угроза ИБ и ее источник, которые ею воспользуются. Уязвимость лишь создает потенциальные условия для реализации угрозы ИБ.
Уязвимость, для которой не выявлено соответствующей угрозы ИБ, может и не требовать реализации средств управления, но она все равно должна быть осознана и должен осуществляться мониторинг ее изменений. И наоборот, угроза ИБ, для реализации которой в системе нет уяз - вымости, не актуальна для этой системы и не влечет за собой риска ИБ.
Следует отметить, что некорректная реализация или использование и неправильное функционирование средств управления и, следовательно, защитных мер (например, при некорректной конфигурации) может также создать уязвимость. Средство управления может быть эффективным или неэффективным в зависимости от среды его функционирования.
Уязвимости могут быть связаны со свойствами актива. Способ и цели использования актива могут отличаться от планируемых при его приобретении или создании. Необходимо учитывать уязвимости различного происхождения, например, внутренние или внешние по отношению к данному активу.
Выходными данными процесса являются два списка – уязвимости по отношению к активам, угрозам ИБ и средствам управления и уязвимости, не связанные ни с какими обнаруженными угрозами ИБ.
3.1.6. ШАГ 5 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ ПОСЛЕДСТВИЙ
Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными процесса являются списки активов, бизнес-процессов , угроз ИБ и уязвимостей (при возможности с указанием активов) и их значимость. Должны быть определены прямые и косвенные последствия возможной потери активами конфиденциальности, целостности и доступности, вызванной инцидентами ИБ. Такими последствиями могут быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб для репутации и т. д. Возможные развития (сценарии) инцидентов ИБ описываются как реализации угроз ИБ на основе использования одной или нескольких существующих уязвимостей.
Воздействия инцидента ИБ определяются с учетом критериев оценки последствий , выделенных в процессе установления контекста управления рисками ИБ. Последствия могут затронуть один или несколько активов или часть актива, могут носить временный и постоянный характер (как в случае разрушения актива). Активам при их повреждении или компрометации могут быть сопоставлены как значения финансовых потерь, так и последствия для всего бизнеса организации.
Негативные последствия от воздействия рисков ИБ могут быть двух типов:
- мгновенные последствия, например, отказ оборудования;
- накапливающиеся последствия, например, отказ оборудования в результате исчерпания его ресурса.
Последствия идентифицируются, например, в следующих терминах:
- время исследования возникших проблем и время восстановления;
- потеря рабочего времени;
- упущенные возможности;
- охрана труда и безопасность;
- финансовые затраты на приобретение навыков по устранению неисправностей и возмещению ущерба;
- имидж и репутация и т. д.
Выходные данные процесса представляются в виде списка сценариев инцидентов ИБ с их последствиями для конкретных активов и бизнес-процессов.
3.1.7. ПОДЭТАП 2 АНАЛИЗА РИСКОВ ИБ – КОЛИЧЕСТВЕННАЯ
ОЦЕНКА РИСКОВ ИБ
Анализ рисков ИБ может проводиться с разной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и произошедших в организации инцидентов ИБ. Может быть произведена количественная, качественная и комбинированная оценка (в смысле установления значений) рисков ИБ. На практике сначала обычно применяется качественная оценка, показывающая уровень риска и выявляющая наиболее важные риски ИБ. Далее может потребоваться провести более конкретный количественных анализ основных рисков ИБ, который является более сложным и дорогим в реализации. Форма анализа должны соответствовать критериям оценивания рисков ИБ, разработанных в рамках установления контекста управления рисками ИБ.
Для количественной оценки, или установления значения, формализации, рисков ИБ не существует естественной шкалы – их можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия – оценка владельцем актива риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков ИБ, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку оценка должна отражать субъективную точку зрения владельца актива, и следует учитывать различные аспекты – не только технические, но и организационные, психологические и т. д.
Как было отмечено выше, различают качественный, количественный и полуколичественный подходы к установлению значений рисков ИБ.
Качественный подход к количественной оценке рисков ИБ использует словесную шкалу квалификационных атрибутов, описывающих величину потенциальных последствий (например, как «низкую», «среднюю» и «высокую») и вероятность возникновения данных последствий. Преимущество такой оценки – ее понятность всему персоналу, недостаток – субъективный выбор шкалы численных значений. Шкалы могут быть адаптированы или откорректированы согласно обстоятельствам и для различных рисков могут использоваться разные описания.
Качественный подход к количественной оценке рисков ИБ может применяться:
- как начальный при идентификации рисков ИБ, которые позже будет проанализированы более детально;
- когда этого типа анализа достаточно для принятия решений;
- когда имеющихся числовых данных или ресурсов недостаточно для количественной оценки.
Качественный анализ использует по возможности фактическую информацию и данные.
Количественный подход к количественной оценке рисков ИБ использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников. Качество такого анализа зависит от точности и полноты числовых значений и правильности применяемых моделей. Количественный подход к количественной оценке рисков ИБ во многих случаях использует исторические данные (фактические данные за прошедший период) об инцидентах ИБ, что обеспечивает его основное преимущество – непосредственную связь с задачами и потребностями организации в ОИБ. Недостаток – отсутствие таких данных по новым рискам ИБ и уязвимостям, а также возможная недоступность фактических данных или данных аудитов, которая порождает иллюзию правильно проведенной оценки рисков ИБ.
При комбинированном полуколичественном подходе к количественной оценке рисков ИБ для выше описанных качественных шкал задаются значения. Цель – создание шкалы более широких рейтингов, чем при качественном анализе, но это не означает присвоение реалистичных значений риска ИБ, как при количественном анализе. Однако, поскольку присваиваемое каждому описанию значение не может точно соответствовать фактической величине последствий или вероятности, значения должны быть объединены с помощью формулы, учитывающей ограничения типов используемых шкал. Следует соблюдать осторожность при использовании полуколичественного анализа, поскольку выбранные значения не могут правильно отражать относительность и это может привести к несогласованности, аномальным или несоответствующим результатам. Полуколичественный анализ не может правильно дифференцировать риски ИБ, особенно когда последствия или вероятности являются экстремальными.
Способ представления последствий и вероятностей и их комбинирования для обеспечения допустимого уровня риска ИБ будет варьироваться в зависимости от типа риска и цели, для которой выходные данные оценки рисков ИБ будут использоваться. Важно учитывать неопределенность и изменяемость этих последствий и вероятностей.
3.1.8. ШАГ 1 ПОДЭТАПА 2 – ОЦЕНКА ПОСЛЕДСТВИЙ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 входными данными процесса является список идентифицированных возможных сценариев инцидентов ИБ, включая угрозы ИБ, уязвимости, затрагиваемые активы, последствия для активов и бизнес-процессов.
В рамках данного процесса оценивается воздействие на организацию возможных или фактических инцидентов ИБ, принимая во внимание последствия нарушения ИБ, например, потери активами конфиденциальности, целостности или доступности. Воздействие может оцениваться в краткосрочном плане и долгосрочной перспективе.
Значение последствий для бизнеса может быть выражено в качественной или количественной форме. Наиболее нагляден и больше дает информации для принятия решений метод, в котором последствиям присваивается денежное выражение.
Оценка последствий может включать в себя:
- учет существующих средств управления рисками ИБ для обработки последствий, вместе со всеми соответствующими факторами, которые оказывают влияние на них;
- влияние последствий рисков ИБ на первоначальные цели организации;
- учет как непосредственных последствий, так и тех, которые могут возникнуть через определенный период времени, если это согласуется с областью оценки;
- учет вторичных последствий, таких, которые влияют на соответствующие системы, деятельность, оборудование или организации.
После идентификации всех входящих в область действия активов для оценки последствий должна учитываться ценность активов организации. Это важный этап в общем процессе анализа рисков ИБ и фактор оценки последствий инцидентов ИБ, поскольку инцидент может затрагивать более одного актива или только часть актива. Входные данные для оценки ценности активов должны быть предоставлены владельцами (иногда пользователями) активов – людьми, которые обладают наиболее полными знаниями об активе и способны оценить его важность для организации и ее бизнеса.
Чтобы правильно спланировать защитные меры для активов, необходимо определить их ценность на основе стоимости их восстановления (или замены) и важности для бизнеса и значимости в определенных обстоятельствах. Оценка активов начинается с их инвентаризации и классификации в соответствии со значимостью, которая обычно определятся в терминах потенциальных воздействий на бизнес, которые могут быть оказаны в результате нежелательных инцидентов ИБ, приводящих к финансовым потерям, уменьшению прибыли, доли на рынке или ущербу репутации организации.
Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и организации, ведущей бизнес. Важно учесть все потенциальные затраты, связанные с возможной компрометацией защищаемых активов.
Чтобы единообразно определить ценность активов и надлежащим образом связать эти оценки, необходимо применять шкалу оценок активов. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех-пяти (например, шкалы «низкая– средняя–высокая» или «пренебрежимо малая–низкая–средняя–высокая– очень высокая–критичная») до десяти при условии, что это совместимо с подходом организации к общему процессу оценки рисков ИБ. Так можно определить шкалу для получения оценки актива, например, имеющую три значения:
- малоценный актив: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;
- актив средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления – высокая;
- ценный актив: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.
При другом подходе каждому качественному значению шкалы возможно поставить в соответствие количественные значения (например, интервалы, выраженные в денежных единицах).
Часто для оценки активов используются следующие показатели:
1. Первоначальная стоимость актива (стоимость приобретения).
2. Стоимость поддержания актива в процессе решения бизнес-задач до его компрометации.
3. Стоимость замены/восстановления/воссоздания/обновления актива (восстанавливающая очистка или замена информации, если это вообще возможно).
4. Последствия для бизнеса от потери или компрометации актива (например, потенциальных неблагоприятных бизнес-последствий и/или правовых или нормативных последствий раскрытия, изменения, недоступности и/или уничтожение информации и других информационных ресурсов). Такая оценка может быть получена на основе анализа бизнес-последствий.
Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки. Например, бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга.
Ценность актива может также носить нематериальный характер, например, цена репутации организации или цена личной безопасности.
Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей.
В любом случае организация должна определить свои собственные границы для шкалы оценок активов: что следует считать «низкой» или «высокой» ценностью, поскольку ущерб, катастрофический для небольшой организации, может быть низким или даже пренебрежимым для очень крупной организации. Правильное и понятное объяснение этих оценок в терминах бизнеса очень важно при интервьюировании/анкетировании владельцев активов, которое должно проводиться с целью получения входных данных для оценки активов.
Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива.
В конечном счете все оценки активов должны проводиться на основе общего подхода с использованием единых критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:
- нарушение законов и/или подзаконных актов;
- снижение эффективности бизнеса;
- потеря престижа/негативное воздействие на репутацию;
- нарушение конфиденциальности личных данных;
- необеспеченность личной безопасности;
- негативный эффект с точки зрения обеспечения правопорядка;
- нарушение конфиденциальности коммерческой информации;
- нарушение общественного порядка;
- финансовые потери;
- нарушение деловых операций;
- угроза безопасности окружающей среды.
Другой подход к оценке последствий для бизнеса может учитывать следующее:
- прерывание предоставления сервиса;
- утрата доверия клиентов и их потеря;
- нарушение внутреннего функционирования;
- нарушение законов/норм;
- нарушение договорных обязательств;
- опасность для персонала (пользователей);
- финансовые потери;
- судебные дела и штрафы;
- увольнения;
- промышленный кризис (забастовки) и т. д.
Как правило, процессы идентификации активов и оценки их ценности проходят параллельно. Так, при формировании анкет для проведения инвентаризации активов можно включить соответствующие графы, в которых будет указываться ценность того или иного актива.
Обычно величина последствий существенно выше, чем просто стоимость замены, что зависит от ценности актива при решении задач бизнеса организации.
Разные угрозы ИБ и уязвимости приводят к разным последствиям для активов – раскрытию, модификации, недоступности и/или уничтожению и т. д. – в терминах конфиденциальности, целостности и доступности. Но иногда только этих критериев недостаточно, например, при рассмотрении информации, для которой требуется защита права на интеллектуальную собственность. Таким образом, оценка последствий связана с оценкой активов на основе анализа их воздействия на бизнес. Последствия или влияние на бизнес можно определить посредством моделирования результатов события или нескольких событий или экстраполяцией экспериментов или прошлых данных. Последствия могут быть выражены в денежном эквиваленте, с технической точки зрения или с точки зрения человеческого фактора или иным подходящим для организации способом. В некоторых случаях требуется не одно, а несколько числовых значений, определяющих последствия для разного времени, места, групп или ситуаций. Последствия с точки зрения времени и финансов могут быть измерены на основе тех же подходов, которые используются для вероятностей и уязвимостей. При количественном и качественном подходах должна сохраняться последовательность.
Оценка влияния на бизнес может быть выражена как качественно, так и количественно, но любой способ получения некоторого денежного эквивалента предоставит более подробную информацию для принятия решений и, следовательно, будет способствовать принятию самого эффективного решения.
Оценку возможного ущерба может сделать только собственник или владелец актива. Часто бывает удобнее и проще это сделать с использованием качественного описания (табл. 3.1).
Таблица 3.1. Шестибалльная оценка последствий от реализации сценариев инцидентов ИБ
| Значение шкалы (балл) | Название | Качественное описание |
| 0 | Нулевой | Ущерб отсутствует |
| 1 | Очень низкий | Может привести к незначительному материальному ущербу |
| 2 | Низкий | Информация может быть интересна конкурентам, но не имеет коммерческой ценности. Может привести к осуществлению неэффективной деятельности одного подразделения организации и/или невозможности оперативно выполнять распоряжения руководства организации |
| 3 | Средний | Может привести к нарушению обязательств организации, в том числе к нарушению надлежащих обязательств сохранять конфиденциальность информации, принадлежащей третьей стороне, в результате чего возможно предъявление гражданского или уголовно- го иска против организации в результате причинения ущерба и/или может привести к потере конкурентно- го преимущества или содействию несанкционированным целям и преимуществу других лиц или организаций и/или информация имеет ценность для конкурентов ввиду того, что имеет коммерческую ценность и/или может привести к нарушению надлежащего управления организацией или ее деятельностью (например, может быть затронута деятельность ряда подразделений организации) и/или возможно искажение оперативной отчетности |
| 4 | Высокий | Может привести к частичной остановке или иному нарушению основных операций в организации |
| 5 | Очень высокий | Может привести к остановке или иному существен- ному нарушению основных операций в организации |
Выходными данными процесса является список оцененных последствий для применимых сценариев инцидентов ИТ, связанных с активами с учетом критериев оценки последствий. В результате данного этапа в список активов должна быть добавлена оценка для каждого идентифицированного актива по каждому критерию, например, по конфиденциальности, целостности и доступности, а также по любым другими критериям, если они используются.
3.1.9. ШАГ 2 ПОДЭТАПА 2 – ОЦЕНКА ВЕРОЯТНОСТЕЙ
Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входные данные процесса – список возможных идентифицированных сценариев ИБ, включая идентифицированные угрозы ИБ, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес-процессов, а также списки всех существующих и запланированных элементов управления рисками ИБ, их эффективность, статус внедрения и использования.
Должны быть оценены вероятности реализации конкретных сценариев инцидентов ИБ. При этом чаще всего применяются три подхода – исторические данные, предсказание вероятностей (например, с использованием дерева отказов или дерева событий) и экспертные оценки.
Термин «вероятность» имеет несколько различных значений, например «объективная» и «субъективная». Под объективной (математической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа имевших место в прошлом наблюдений, а также наблюдений, полученных из моделей, описывающих некоторые процессы. Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие произойдет в действительности. Эта мера может быть формально представлена вероятностным распределением на множестве событий, не полностью заданным вероятностным распределением, бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.
После идентификации сценариев инцидентов ИБ необходимо оценить вероятность реализации каждого сценария и проявления последствий инцидента ИБ, используя качественные и количественные подходы. При этом учитывается следующее:
- насколько часто реализуются угрозы ИБ и насколько просто использовать уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ;
- уязвимости, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации;
- многократно увеличить потери организации;
- вероятность реализации некоторой комбинации угроз ИБ и уязвимостей;
- для умышленных (преднамеренных) источников угроз ИБ – мотивация и возможности, которые меняются со временем, а также ресурсы, доступные потенциальным злоумышленникам, и осознание ими привлекательности и уязвимости активов;
- для случайных (непреднамеренных) источников угроз ИБ насколько часто они могут возникать, в соответствии с опытом, статистикой и т. д.; географические факторы (близость к химическим и нефтеперерабатывающим заводам, нахождение в районах, где велика вероятность экстремальных погодных условий, и факторы, которые могут вызвать совершаемые человеком ошибки и сбои в работе оборудования);
- существующие средства управления и насколько эффективно они снижают уязвимости.
Например, ИС уязвимы для угроз «маскарада» пользователей и злоупотребления ресурсами. Угроза маскарада может быть высока из-за недостаточной аутентификации пользователей и наоборот – угроза злоупотребления ресурсами может быть мала, несмотря на отсутствие аутентификации пользователей, поскольку способов злоупотребления немного.
В зависимости от требуемой точности, активы могут быть сгруппированы или наоборот один актив может быть разделен на элементы, что, в конечном счете, должно быть соотнесено со сценариями инцидентов ИБ. Кроме этого в рамках одного географического местоположения для одних и тех же типов активов может меняться характер угроз ИБ или эффективность средств управления.
Информация, используемая для оценки угроз ИБ и уязвимостей, может быть получена от тех, кто имеет отношение к рассматриваемой СУИБ и соответствующим бизнес-процессам. Это могут быть, например, сотрудники отдела кадров, специалисты по поддержанию жизнеспособности здания и ИТ-специалисты, а также те, кто отвечает в организации за безопасность.
Иногда удобно использовать качественное описание при определении балльной оценки вероятностей реализации сценариев инцидентов ИБ. Самая полная девятибалльная оценка вероятности реализации сценариев инцидентов ИБ приведена в табл. 3.2.
Таблица 3.2. Девятибалльная оценка вероятностей реализации сценариев инцидентов ИБ
| Значение шкалы (балл) | Название | Качественное описание. Частота реализации инцидента ИБ в среднем 1 раз | |
| 0 | Пренебрежимо малая | В 1000 лет или реже | |
| 1 | Крайне маловероятная | 200 лет | |
| 2 | Очень маловероятная | 50 лет | |
| 3 | Маловероятная | 20 лет | |
| 4 | Возможная | 5 лет | |
| 5 | Вероятная | Год | |
| 6 | Очень вероятная | Квартал | |
| 7 | Ожидаемая | Месяц | |
| 8 | Ожидаемая с уверенностью | Неделю |
Удобнее использовать несколько сокращенную балльную оценку вероятностей реализации сценариев инцидентов ИБ (табл. 3.3).
Таблица 3.3. Пятибалльная оценка вероятностей реализации сценариев инцидентов ИБ
| Значение шкалы (балл) | Название | Качественное описание. Частота реализа ции инцидента ИБ в среднем 1 раз | |
| 0 | Очень низкая | В 3 года (вероятность реализации 0,2–0,4) | |
| 1 | Низкая | Год (вероятность реализации 0,4–0,6) | |
| 2 | Средняя | 4 месяца (вероятность реализации 0,6–0,8) | |
| 3 | Высокая | Месяц (вероятность реализации более 0,8) | |
| 4 | Очень высокая | Неделю (вероятность реализации более 0,9) |
В случае если применение двух предыдущих шкал вызывает затруднения, может использоваться сокращенная трехбалльная шкала (табл. 3.4).
Таблица 3.4. Трехбалльная оценка вероятностей реализации сценариев инцидентов ИБ
| Значение шкалы (балл) | Название | Качественное описание | |
| 1 | Низкая | Маловероятно, что осуществится. Нет статистики, мотивов и т. п., которые указывали на то, что это может произойти | |
| 2 | Низкая | Возможно осуществится. В прошлом происходили инциденты, или существует статистика, или другая информация указывает на то, что такие или подобные инциденты иногда осуществлялись прежде или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий | |
| 3 | Средняя | Скорее всего, осуществится. Существует статистика или другая информация, указывающая на то, что инцидент, скорее всего, осуществится или могут существовать серьезные причины или мотивы для атакующего для осуществления таких действий |
Выходными данными процесса является вероятность реализации сценариев инцидентов ИБ – в количественном или качественном выражении.
3.1.10. ШАГ 3 ПОДЭТАПА 2 – ОПРЕДЕЛЕНИЕ УРОВНЯ (ВЕЛИЧИНЫ) РИСКОВ ИБ
Согласно ГОСТ Р ИСО /МЭК 27005-2010 и ISO/IEC 27005:2011 входные данные процесса – список сценариев инцидентов ИБ с их последствиями, связанными с активами и бизнес-процессами и вероятность их реализации – количественная или качественная.
Процесс основан на оценке последствий и вероятностей. При количественной оценке рисков ИБ вероятностям и последствиям рисков присваиваются определенные значения – количественные или качественные.
В процессе оценивается величина уровня рисков реализации сценариев инцидентов ИБ, которая определяется путем комбинирования вероятности события и его последствий (цена потери или размер ущерба). Событие заключается в реализации угрозы ИБ, использующей уязвимости актива для воздействия на этот актив и нарушения его ИБ.
Вычисление уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочными вероятностями осуществления связанных с ними угроз ИБ и простоты использования уязвимостей, которые при объединении становятся причиной возможной реализации инцидента ИБ.
По аналогии с уровнем рисков ИБ для введения некоторого единообразия и краткости часто используются два понятия:
- уровень угрозы ИБ, под которым понимается вероятность осуществления угрозы ИБ;
- уровень уязвимости, под которым понимается простота использования уязвимости угрозой ИБ.
Далее, все же, будут использоваться более верные по смыслу понятия – вероятности реализации угроз ИБ и простота использования уязвимостей (поскольку объяснить, что такое уровень совокупности условий и факторов или уровень свойства информационной системы, с точки зрения авторов не представляется возможным). Можно привести два примера:
- делаются различия между рисками для конфиденциальности, целостности и доступности, при этом используются соответствующие значения стоимости актива в качестве величины ущерба и, вследствие этого, для каждого актива рассматриваются три различных риска ИБ;
- комбинирование трех значений стоимости актива, которые были оценены, в одно, например, путем использования максимального значения или суммы этих трех величин.
Вероятностный фактор риска ИБ базируется на угрозах ИБ и уязвимостях и их оценочных величинах. Вероятности реализации угроз ИБ и простота использования уязвимостей могут комбинироваться различными способами, например:
- сложение или умножение вероятностей реализации угрозы ИБ и простоты использования уязвимости для получения комбинированной величины;
- вероятности реализации угроз ИБ и простоты использования уязвимостей не комбинируются, а применяются по отдельности.
Каким образом комбинировать оба фактора риска ИБ (величину ущерба и вероятности) для вычисления риска ИБ, определяется самой организацией и ее выбором конкретного метода оценки рисков ИБ. Единственное, что должно быть гарантировано, это увеличение риска ИБ в случае увеличения любого из этих факторов.
В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий – уровень риска ИБ тем больше, чем больше эти величины. Общая идея может быть выражена формулой:
[уровень риска ИБ] = [вероятность происшествия]х[цена потери].
Если переменные являются количественными величинами, то уровень риска ИБ – это оценка математического ожидания потерь. Если переменные – качественные величины, то метрическая операция умножения не определена и в явном виде формулу применять не следует. Тогда определяются шкалы для вероятности происшествия, его серьезности и рисков ИБ и строится таблица. На пересечении строк (вероятностей происшествий) и столбцов (серьезности происшествий) будут получения значения рисков ИБ.
Приведем пример субъективной шкалы вероятностей событий и серьезности последствий:
А – событие практически никогда не происходит; В – событие случается редко; С – вероятность события за рассматриваемый промежуток времени – 0,5; D – скорее всего событие произойдет; Е – событие почти обязательно произойдет.
«Пренебрежимо малое» – воздействием можно пренебречь; «незначительное» – незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно; «среднее» – происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое и не затрагивает критически важные задачи; «серьезное» – происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач; «критическое» – происшествие приводит к невозможности решения критически важных задач.
Для оценки уровня рисков ИБ устанавливается шкала из трех значений: «низкий», «средний» и «высокий» (табл. 3.5).
Таблица 3.5. Определение риска ИБ в зависимости от двух факторов
| Пренебрежимо малое | Незначительное | Среднее | Серьезное | Критичное | |
| A | Низкий | Низкий | Низкий | Средний | Средний |
| B | Низкий | Низкий | Средний | Средний | Высокий |
| C | Низкие | Средний | Средний | Средний | Высокий |
| D | Средний | Средний | Средний | Средний | Высокий |
| E | Средний | Высокий | Высокий | Высокий | Высокий |
Другой подход определяет, что величина риска ИБ вычисляется по формуле
[уровень риска ИБ] = [вероятность события]х[размер ущерба],
где [вероятность события] = [вероятность реализации угрозы ИБ] х
× [простота использования уязвимости].
На практике для вычисления уровня риска ИБ используется не математическая вероятность угрозы ИБ, а ожидаемое количество попыток или частота реализации угрозы ИБ за определенный период времени (в международных стандартах для этого используется термин «likeli-hood», который является общим описанием вероятности (англ. probabil-ity) и частоты (англ. frequency) и на русский язык переводится как «вероятность»).
Дополнительно могут быть рассмотрены прибыль от затрат, потребности заинтересованных сторон и другие переменные, применимые для количественной оценки рисков ИБ.
Оцененный риск является комбинацией вероятности реализации сценария инцидента ИБ и его последствий.
Для определения уровня риска ИБ используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования и на основании статистических данных . Размер ущерба выражается, как правило, в денежном эквиваленте. Простота использования уязвимости как вероятность ее использования принимает значения от 0 до 1. Оценка вероятности реализации (или возможность) угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы ИБ за определенный период времени, обычно принимаемый за один год. В этом случае уровень риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов ИБ ALE ( англ. Annual Loss Expectancy). Эту вели-чину удобно использовать для соотнесения расходов на обеспечение и управление ИБ с уровнем рисков ИБ и для оценки возврата инвестиций, достигаемого за счет уменьшения уровня рисков ИБ и соответствующему сокращению среднегодовых потерь организации.
Тогда [уровень риска ИБ] = ALE.
На практике оценивание рисков ИБ проводится с определенной степенью детализации. Все составляющие могут быть разложены на более мелкие элементы и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок. В этом случае
[уровень группы рисков ИБ] = [ожидаемое количество попыток реализации группы угроз ИБ в течение года] х [суммарная простота использования группы уязвимостей] х [размер суммарного ущерба].
Точно предсказать вероятность реализации угрозы ИБ, величину использования уязвимостей и размер ущерба обычно не представляется возможным, поэтому часто используют числовые оценки в некотором диапазоне величин. Каждому количественному диапазону можно сопоставить определенный качественный уровень риска ИБ. В результате получается качественная шкала оценки рисков ИБ, которой сопоставляются некоторые количественные оценки.
Важно отметить, что не существует «правильных » или «неправильных» способов вычисления рисков ИБ, при условии, что понятия, описанные в предыдущих пунктах, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод количественной оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ.
Выходные данные процесса количественной оценки рисков ИБ – список рисков ИБ с приписанными им уровнями. Оцененные уровни рисков ИБ позволяют ранжировать риски и идентифицировать те из них, которые являются наиболее критичными (проблематичными) для организации.
Подходы к оценке рисков ИБ
Как отмечалось ранее, для оценки рисков ИБ организация может самостоятельно выбирать различные общие, используемые во всей организации, подходы. Важно, чтобы эти подходы соответствовали всем требованиям организации. Какой именно подход использовать, зависит от нескольких факторов, в том числе:
- от их бизнес-среды и вида бизнеса организации;
- зависимости от обработки информации и приложений, поддерживающих бизнес;
- сложности ИС и поддерживающих систем, приложений и сервисов;
- количества компаний-партнеров и объема внешних деловых и договорных отношений.
Эти факторы являются, как правило, общими для всех направлений деятельности организации, поэтому их необходимо учитывать наряду с преимуществами и недостатками самих подходов. Принимает решение о выборе подхода сама организация. На практике рекомендуется придерживаться следующего правила: чем более важной и необходимой является ИБ для организации и ее бизнеса, и чем больше могут быть потери, тем больше времени и средств необходимо потратить на ОИБ.
Различные подходы к оценке рисков ИБ отличаются требуемым количеством времени и объемом работы, а также глубиной детализации и анализа. Несмотря на то, что организация сама может выбирать подход (подходы) к оценке рисков ИБ, необходимо гарантировать достаточную меру адекватности и подробности применяемого подхода для обеспечения выполнения бизнес-требований и требований по ОИБ организации.
Для различных этапов оценки рисков ИБ применимы различные средства оценки, представленные в табл. 3.6. В ячейках таблицы используются следующие сокращения: П – средство применимо, ХП – хорошо применимо, НП – не применимо.
Таблица 3.6. Применимость средств, используемых для оценки рисков ИБ
| Средство | Риск ИБ | Оценка | ||||
| Идентификация | Уровень | Оценка | послед ствий | вероятностей | ||
| «Мозговой штурм» | ХП | НП | НП | НП | НП | |
| Структурированные и полуструктурированные интервью | ХП | НП | НП | НП | НП | |
| Метод Дельфи | ХП | НП | НП | НП | НП | |
| Контрольные списки | ХП | НП | НП | НП | НП | |
| Первичный анализ опасностей | ХП | НП | НП | НП | НП | |
| Исследование опасностей и работоспособности | ХП | П | П | ХП | П | |
| Анализ опасностей и критических контрольных точек | ХП | НП | ХП | ХП | НП | |
| Оценка риска со стороны внешней среды | ХП | ХП | ХП | ХП | ХП | |
| «Что если?» | ХП | ХП | ХП | ХП | ХП | |
| Анализ сценариев | ХП | П | П | ХП | П | |
| Анализ влияния на бизнес | П | П | П | ХП | П | |
| Анализ основных причин | НП | ХП | ХП | ХП | ХП | |
| Анализ последствий отказов | ХП | ХП | ХП | ХП | ХП | |
| Дерево отказов | П | П | П | НП | ХП | |
| Дерево события | П | П | НП | ХП | П | |
| Анализ причин и следствий | П | П | П | ХП | ХП | |
| Анализ причин и осуществления | ХП | НП | НП | ХП | НП | |
| Анализ защитного слоя | П | П | НП | ХП | П | |
| Дерево решений | НП | П | П | ХП | ХП | |
| Анализ надежности людей | ХП | ХП | П | ХП | ХП | |
| Сопровождение, нацеленное на надежность | ХП | ХП | ХП | ХП | ХП | |
| Марковские цепи | П | НП | ГП | ХП | НП | |
| Метод Монте-Карло | НП | НП | ХП | ГП | НП | |
| Сети и статистика Байеса | НП | НП | ХП | ХП | НП | |
| FN-кривые (частота- фатальный исход) | П | П | ХП | ХП | ХП | |
| Индексы рисков | П | П | ХП | ХП | ХП | |
| Матрица последствий/вероятностей | ХП | ХП | П | ХП | ХП | |
| Анализ «затраты -прибыль» | П | П | П | ХП | П | |
| Многокритериальный анализ принятия решений | П | ХП | П | ХП | П | |
Известно два основных подхода к классификации стратегий оценки и анализа рисков ИБ.
В стандартах ISO/IEC ТR 13335–3:1998 и ГОСТ Р ИСО/МЭК 13335– 3–2007 рассматриваются четыре вида анализа рисков ИБ:
1) базовый (англ. baseline risk analysis) с низкой степенью риска и выбором стандартных защитных мер;
2) неформальный (англ. informal risk analysis) для активов организации, которые, как представляется, подвергаются наибольшему риску;
3) детальный (англ. detailed risk analysis) с использованием формального подхода ко всем активам организации;
4) комбинированный (англ. combined risk analysis) – сначала высокоуровневый анализ для выбора подхода к анализу рисков ИБ с последующим проведением детального анализа для наиболее критичных выделенных систем (если прекращение их функционирования может причинить ущерб или принести убытки организации, отрицательно повлиять на ее бизнес или активы) и базового для всех остальных.
В стандартах ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005–2010
выделяются два основных типа оценки рисков ИБ и упоминается их комбинация:
- высокоуровневая (англ. high-level IS risk assessment);
- детальная (англ. detailed IS risk assessment).
Если, например, организация или СУИБ и ее ресурсы имеют требования по ОИБ не выше уровней «низкий» и «средний», то может быть достаточно высокоуровневой оценки рисков ИБ. Прикладные методы оценки рисков ИБ, ориентированные на данный уровень, обычно не рассматривают ценность активов и не оценивают эффективности защитных мер. Методы данного класса применяются в случаях, когда к активам организации не предъявляется повышенных требований по ОИБ . Если требования по ОИБ имеют более высокий уровень, требующий более подробной и специальной оценки, то может потребоваться полная, более детальная оценка рисков ИБ, которая определяет ценность активов, оценивает угрозы ИБ и уязвимости, выбирает адекватные защитные меры и оценивает их эффективности. В любом случае для СУИБ, отвечающей требованиям стандарта (например, ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 17799–2005), необходимо гарантировать, что выбранный подход соответствует всем критериям, приведенным в соответствующих разделах этих стандартов.
В Рекомендациях в области стандартизации Банка России РС БР ИББС-2.2–2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» также представлен общий подход к оценке рисков ИБ, заслуживающий отдельного упоминания.
Кратко рассмотрим выше названные подходы.
3.3.1. БАЗОВЫЙ АНАЛИЗ РИСКОВ ИБ
Любая организация может выработать свой базовый уровень ИБ в соответствии с собственными условиями ведения бизнеса и бизнес-целями. При данном подходе организация может применить базовый уровень ИБ для всех защищаемых активов за счет выбора стандартных защитных мер.
Преимущества использования этого варианта анализа рисков ИБ очевидны:
- возможность обойтись минимальным количеством ресурсов при проведении анализа рисков ИБ для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;
- при применении базовых защитных мер можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к ОИБ требования соизмеримы.
В то же время данный подход имеет следующие недостатки:
- если принимается слишком высокий базовый уровень ИБ, то для ряда активов уровень ОИБ будет завышен и будут выбраны слишком дорогостоящие или излишне ограничительные средства управления;
- если базовый уровень будет принят слишком низким, то для ряда защищаемых активов уровень ОИБ будет недостаточен, что увеличит риск нарушения ИБ;
- могут возникнуть трудности при внесении изменений, затрагивающих вопросы ОИБ (как это требуется на этапах проверки и совершенствования в модели PDCA). Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер и всей СУИБ и далее оставаться достаточно эффективными.
Если все защищаемые в организации активы характеризуются низким уровнем требований по ОИБ, то первый вариант стратегии анализа рисков ИБ может оказаться экономически эффективным. В этом случае базовый уровень ИБ выбирается таким образом, чтобы он соответствовал уровню защиты, требуемому для большинства активов. Для многих организаций для удовлетворения требований правовых и нормативных актов всегда существует необходимость использовать некоторые минимальные стандартные уровни для ОИБ важнейшей информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью критичности, разными объемами и сложностью информации, использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
Цель ОИБ на основе базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для всех или отдельных активов. Используя базовый подход, можно применять соответствующий ему базовый уровень ИБ в организации и, кроме того, дополнительно использовать результаты детального анализа риска ИБ для ОИБ активов с высоким уровнем риска или систем, играющих важную роль в бизнесе организации. Применение базового подхода позволяет снизить инвестиции организации на исследование результатов анализа рисков ИБ.
Требуемая защита при таком подходе обеспечивается за счет использования справочных материалов (каталогов) и лучших практик по защитным мерам, в которых можно подобрать набор средств для защиты активов от наиболее часто встречающихся угроз. Базовый уровень ИБ устанавливается в соответствии с потребностями организации, при этом в проведении детальной оценки угроз ИБ, уязвимостей и рисков ИБ для систем нет необходимости. При наличии в системе установленных защитных мер их сравнивают с рекомендуемыми в каталогах. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы.
Типичным примером области применения данного подхода является часть организации, в которой проводятся не слишком сложные бизнес-операции и зависимость которой от обработки информации и работы в сети не очень велика. Применение данного подхода возможно также в случае небольших организаций. Однако его могут применять и небольшие организации, которые имеют более сложную бизнес-среду, сильно зависят от использования ИТ, и принимают участие в обработке коммерчески важной информации.
Содержание всех этапов процесса управления рисками ИБ при базовом анализе рисков ИБ приведено в табл. 3.7.
Таблица 3.7. Содержание этапов процесса управления рисками ИБ при базовом анализе рисков ИБ
| Этапы | Содержание этапов |
| Идентификация и оценка ценности активов | Оставить список активов, связанных с данной бизнес-средой, операциями и информацией, оцениваемой в пределах области применения СУИБ, и определить уровень их важности, используя простую шкалу оценки |
| Идентификация угроз ИБ, уязвимостей и последствий | Идентифицировать требования по ОИБ (при этом можно использовать контрольные списки обобщенных или широко известных угроз ИБ и уязвимостей) и определить уровень всех идентифицированных требований по ОИБ, используя простую шкалу оценки |
| Расчет рисков ИБ | Рассчитать риски ИБ на основе информации об активах и требованиях по ОИБ, используя простую схему расчета. |
| Идентификация и оценка вариантов обработки рисков ИБ | Идентифицировать подходящий вариант обработки риска ИБ для каждого из идентифицированных рисков; документировать результаты для плана обработки рисков ИБ |
| Выбор средств управления ИБ, уменьшение и принятие рисков ИБ | Для каждого из идентифицированных активов идентифицировать являющиеся значимыми защитные меры, например, из стандарта ISO/IEC 27002. Гарантировать, что выбранные меры уменьшают риски ИБ до приемлемого уровня |
3.3.2. НЕФОРМАЛЬНЫЙ АНАЛИЗ РИСКОВ ИБ
Второй вариант анализа рисков ИБ основан на практическом опыте конкретного эксперта и предполагает использование знаний и практического опыта специалистов, а не структурных методов. Этот подход обладает следующими достоинствами: не требует использования значительных средств или времени – эксперт не должен приобретать дополнительные знания, а затраты времени на анализ рисков ИБ при этом меньше, чем при проведении детального анализа.
Однако данный подход имеет и свои недостатки:
- при отсутствии хотя бы одного элемента базового анализа рисков ИБ или комплексного перечня средств управления увеличивается вероятность пропуска ряда важных деталей у всех активов организации;
- могут возникнуть трудности при обосновании необходимости реализации защитных мер, определенных по результатам данного анализа рисков ИБ;
- для экспертов, не обладающих значительным опытом работы в области анализа рисков ИБ, не существует готовых рекомендаций, которые могли бы облегчить их работу;
- подходы организации к анализу рисков ИБ в прошлом были продиктованы исключительно оценкой уязвимостей систем, то есть потребность в защитных мерах основывалась на наличии у этих систем уязвимостей без анализа того, существуют ли угрозы ИБ, способные использовать этих уязвимости (без обоснования реальной необходимости в использовании защитных мер);
- результаты проведения анализа могут в какой-то мере зависеть от субъективного подхода, личных предубеждений эксперта и, кроме того, могут возникнуть проблемы в случае, если специалист, который проводил неформальный анализ, покидает организацию.
3.3.3. ДЕТАЛЬНЫЙ АНАЛИЗ РИСКОВ ИБ
Детальный анализ рисков ИБ предполагает получение результатов для всех активов организации и включает в себя подробную идентификацию и оценку активов, возможных угроз ИБ, которым могут подвергнуться эти активы, а также оценку их уязвимостей . Результаты этих операций затем используют для оценки рисков ИБ и последующего обоснованного выбор защитных мер, обеспечивающих уменьшение рисков до приемлемого уровня (если был выбран данный вариант обработки риска).
Данный подход имеет следующие преимущества:
- получается точное и детальное представление о рисках ИБ, которое позволяет идентифицировать уровни ИБ и отражает требования по ОИБ организации к активам и СУИБ в целом;
- с высокой вероятностью в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры;
- результаты проведения детального анализа могут быть использованы при управлении изменениями в СОИБ (как это требуется на этапах проверки и совершенствования модели PDCA).
В то же время подход характеризуется следующими недостатками, по которым его применение ко всем активам организации не рекомендуется:
- для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда;
- существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для всех активов и для проведения анализа всех систем потребуется значительное время.
Детальный анализ рисков ИБ может быть очень ресурсоемким процессом , и поэтому требуется тщательное определение границ бизнес-среды, операций, активов в области действия СУИБ. Кроме того, подобный подход требует постоянного внимания со стороны руководства.
Такой анализ рисков ИБ отличается от базового тем, что выполняется более детальный анализ активов и требований по ОИБ (табл. 3.8).
Таблица 3.8. Содержание этапов процесса управления рисками ИБ при детальном анализе рисков ИБ
| Название этапа | Содержание этапа | |
| Идентификация и оценка активов | Идентифицировать и составить список всех активов, связанных с бизнес-средой, операциями и информацией в пределах области действия данной СУИБ, задать шкалу оценок и для каждого актива определить оценки по данной шкале (по одной оценке для каждого фактора: конфиденциальности, целостности и доступности, а также, при необходимости, любого другого фактора) | |
| Идентификация требований по ОИБ | Идентифицировать все требования по ОИБ (угрозы ИБ и уязвимости, правовые требования и бизнес-требования), связанные со списком активов, находящихся в области действия СУИБ | |
| Оценка требований по ОИБ | Идентифицировать необходимую шкалу оценок для требований по ОИБ и определить соответствующую оценку для каждого из идентифицированных требований | |
| Расчет рисков ИБ | Рассчитать риски ИБ (исходя из активов и требований по ОИБ, а также уровней их значимости, полученных в результате указанного выше оценивания) с помощью одного из методов оценки рисков, соответствующего требованиям по ОИБ для рассматриваемой СУИБ | |
| Идентификация и оценивание вариантов обработки рис- ков ИБ | Идентифицировать подходящее действие по обработке рисков ИБ для каждого из идентифицированных рисков. Оценить реалистичность идентифицированного варианта, его адекватность и соответствие всем бизнес-требованиям и требованиям по ОИБ. Документировать результаты для плана обработки рисков ИБ | |
| Выбор средств управления рисками ИБ, уменьшение и принятие рис- ков ИБ | Определить величину приемлемого риска ИБ для выбранного метода оценки рисков и гарантировать соответствие этого уровня приемлемого риска бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ. Для тех рисков ИБ, для которых был выбран вариант уменьшения риска, выбрать, например, из стандартов ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799, подходящие защитные меры, позволяющие уменьшить эти риски до приемлемого уровня. Оценить, в какой степени выбранные меры уменьшают идентифицированные риски. Для каждого риска ИБ, который не может быть уменьшен до приемлемого уровня, идентифицировать дополнительные действия по его обработке (либо утверждение руководством принятия этого риска по соображениям бизнеса, либо дальнейшее уменьшение риска) | |
3.3.4. КОМБИНИРОВАННЫЙ АНАЛИЗ РИСКОВ ИБ
Этот подход предполагает идентификацию в первую очередь тех активов из области деятельности СУИБ, которые потенциально имеют большую величину риска ИБ или являются критичными для выполнения бизнес-процессов . На основании полученных результатов все активы, входящие в область деятельности СУИБ, подразделяются на активы, для достижения надлежащей защиты которых требуется проведение детальной оценки рисков ИБ, и ресурсы, для которых достаточно высокоуровневой оценки рисков ИБ. Такой подход позволяет объединить преимущества двух подходов и минимизировать их недостатки, поэтому он минимизирует время и усилия, которые тратятся на идентификацию защитных мер, и обеспечивает при этом надлежащую оценку и защиту активов организации. Кроме того, комбинированный вариант анализа рисков ИБ имеет следующие преимущества:
- использование быстрого и простого предварительного анализа рисков ИБ позволяет обеспечить принятие программы анализа рисков ИБ;
- существует возможность быстро оценить оперативное состояние программы ОИБ организации, то есть использование такого подхода будет в значительной мере способствовать успешному планированию;
- ресурсы и средства вкладываются именно туда, где они принесут максимальный эффект, так как они в первую очередь будут направлены в те системы, которые в наибольшей степени нуждающиеся в ОИБ;
- проведение последующих мероприятий будет более успешным.
Данный подход имеет следующий недостаток: поскольку предварительный анализ рисков ИБ проводят, исходя из предположения об их возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа рисков, и к ним в дальнейшем будут применены базовые меры ОИБ. При необходимости к рассмотрению этих систем можно вернуться с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.
Использование комбинированного подхода с анализом высокого уровня рисков ИБ в сочетании с базовым подходом и (если необходимо) детальным анализом рисков обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный анализ является наиболее предпочтительным.
3.3.5. ВЫСОКОУРОВНЕВАЯ ОЦЕНКА РИСКОВ ИБ
Высокоуровневая оценка рисков ИБ позволяет расставить приоритеты и определить хронологию действий . В силу различных причин, например таких, как ограниченный бюджет , не всегда все средства управления рисками ИБ возможно реализовать одновременно, и только наиболее значимые риски ИБ могут быть устранены в рамках процесса обработки рисков. Также преждевременно начинать детальное управление рисками ИБ, если реализация ИС предусмотрена только через один или два года. В этом случае высокоуровневая оценка рисков ИБ может начинаться с высокоуровневой оценки последствий , а не с систематического анализа угроз ИБ, уязвимостей, активов и последствий. Другая причина – необходимость синхронизации с другими планами, связанными с изменением управления или непрерывностью бизнеса. Например, не обосновано особо тщательно защищать систему или приложение, если в ближайшее время оно будет отдано на аутсорсинг, хотя произвести оценку рисков ИБ стоит для отражения ее результатов в контракте на аутсорсинг или даже принятия решения о целесообразности аутсорсинга в данном конкретном случае.
Особенности данного подхода к оценке рисков ИБ включают в себя следующее:
- при такой оценке организация и ее ИС рассматриваются более глобально, учитывая технологические аспекты в отрыве от бизнеса. Но при этом контекст анализа больше концентрируется на среде осуществления бизнеса и его функционировании, чем на технологических элементах;
- при такой оценке рассматривается более ограниченный список угроз ИБ и уязвимостей, группируемых в определенных областях, а для ускорения процесса оценки она фокусируется на общих рисках или сценариях атак, а не на их элементах;
- риски ИБ, выявленные при высокоуровневой оценке, являются более общими, чем более специальные идентифицированные риски. Поскольку сценарии атак или угрозы ИБ группируются по некоторым областям, процесс обработки рисков ИБ определяет средства управления для этих областей. Такая деятельность в первую очередь устанавливает наиболее общие средства управления рисками ИБ, которые применимы для всей системы в целом;
- Однако, поскольку такая оценка редко рассматривает детали технологий, она более подходит для обеспечения организационного и нетехнического контроля, управленческих аспектов технического контроля или ключевых и общих технических мер, таких как резервное копирование и антивирус.
Высокоуровневая оценка рисков ИБ имеет следующие преимущества:
- использование на начальных стадиях простого подхода позволяет более легко одобрить программу оценки рисков ИБ;
- становится возможным построить стратегическую картину программы ОИБ в организации, то есть такой подход служит хорошей помощью при планировании;
- ресурсы и финансы используются там, где они принесут наибольшую выгоду, а системы, нуждающиеся в защите в первую очередь, будут защищены первыми.
Поскольку начальный анализ рисков ИБ проводится на высоком уровне и потенциально менее точен, единственным его недостатком является то, что некоторые бизнес-процессы или системы не могут быть определены, как этого требует детальная оценка рисков ИБ. Этого можно избежать, если имеется достаточно информации по всей организации и ее системам, включая информацию, полученную в результате оценки инцидентов ИБ.
Высокоуровневая оценка рисков ИБ рассматривает ценность информационных активов и риски ИБ с точки зрения бизнеса организации. В первой точке принятия решения (рис. 2.4) ряд факторов помогает определить, является ли оценка рисков ИБ достаточной для их обработки. Эти факторы могут включать в себя следующее:
- задачи бизнеса решаются с использованием различных информационных активов;
- степень, с которой бизнес организации зависит от каждого информационного актива (то есть зависят ли функции, которые организация считает критическим для ее выживания или эффективного ведения бизнеса, от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и надежности информации, хранимой или обрабатываемой в этом активе);
- уровень инвестиций в каждый информационный актив в терминах разработки, поддержания или замены актива;
- информационные активы, для которых организация присваивает стоимость (ценность) напрямую (непосредственно).
При оценке этих факторов принятие решения облегчается. Если задачи, выполняемые активами, крайне важны для ведения бизнеса организации или если эти активы подвергаются высокому риску, тогда для конкретного информационного актива (или его части) должна проводиться вторая итерация – детальная оценка рисков ИБ.
Общее применяемое в этом случае правило таково: если недостаток ОИБ может привести к значительным негативным последствиям для организации, ее бизнес-процессам или активам, тогда для выявления потенциальных рисков ИБ необходима вторая итерация оценки рисков на более детальном уровне.
3.3.6. ДЕТАЛЬНАЯ ОЦЕНКА РИСКОВ ИБ
Процесс детальной оценки рисков ИБ включает в себя всестороннюю идентификацию и оценивание активов, оценку угроз ИБ для этих активов и оценку уязвимостей . Результаты процесса далее используются для оценки рисков ИБ и определения способов их обработки. Такой подход обычно требует значительного времени, усилий и опыта и поэтому наиболее применим к ИС, находящимся под высоким риском ИБ. На конечном этапе данного процесса получается всесторонняя оценка рисков ИБ.
Последствия могут быть оценены несколькими способами, включая количественный (например, денежный), качественный (использующий прилагательные типа «умеренный» или «тяжелый») и комбинированный подходы.
Для оценки вероятности реализации угроз ИБ устанавливается временной интервал, в течение которого актив будет ценен для организации и его нужно будет защищать. Вероятность реализации отдельной угрозы ИБ определяется нескольким факторами:
- привлекательность актива или возможное применимое воздействие, когда рассматривается преднамеренная угроза ИБ со стороны человека;
- простота использования уязвимости актива для получения выгоды злоумышленником, когда рассматривается преднамеренная угроза ИБ со стороны человека;
- технические возможности источника угроз ИБ, когда рассматривается преднамеренная угроза ИБ со стороны человека;
- чувствительность уязвимости к использованию, применимая как к техническим, так и нетехническим уязвимостям.
Многие применяемые для этих целей в настоящее время методы используют таблицы и объединяют субъективные и эмпирические показатели. Важно, чтобы организация использовала метод который ей удобен, которому она доверяет и который будет выдавать повторяемые результаты.
Как правило, для оценки угроз ИБ и уязвимостей применяются различные методы, в основе которых могут лежать экспертные оценки, статистические данные или учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методов – накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы ИБ и уязвимости в других ИС. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во-вторых, данный подход оправдан далеко не всегда. Если ИС достаточно крупная (содержит много элементов, расположена на большой территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же ИС сравнительно невелика и эксплуатирует новейшие ИТ, для которых пока нет достоверной статистики, оценки угроз ИБ и уязвимостей могут оказаться недостоверными.
Поэтому наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз ИБ и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты. Несомненное достоинство подхода – возможность учета многих косвенных факторов (не только технических). Метод прост и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить полученную оценку. Недостатки – косвенные факторы и их вес зависят от бизнеса организации и ряда других обстоятельств, поэтому метод всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов – задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).
Рассмотрим качественное определение уровня (величины) риска ИБ. Возьмем пример, в котором угрозы ИБ и уязвимости не рассматриваются совместно в качестве причин реализации сценариев инцидентов ИБ, а учитываются отдельно . Оценки активов получаются по результатам интервьюирования выбранных сотрудников из бизнес-персонала (владельцев активов или бизнес-процессов), которые могут авторитетно привести информацию, позволяющую определить стоимость и ценность актива. Эти интервью способствуют выполнению оценки ценности активов, исходя из наиболее неблагоприятных вариантов, которые могут, при разумных предположениях, реализоваться в результате таких инцидентов ИБ, как несанкционированное раскрытие, несанкционированная модификация, отказ от своих действий, недоступность в течение различных периодов времени и уничтожение. При этом могут учитываться следующие факторы:
- личная безопасность;
- персональная информация;
- правовые и нормативные обязательства;
- правоприменение (соблюдение законов);
- коммерческие и экономические интересы;
- финансовые потери/нарушение деятельности;
- общественный порядок;
- бизнес-политика и бизнес-операции;
- нематериальные потери.
При таком подходе для каждого возможного ущерба и для каждого актива необходимо определить соответствующее значение на шкале оценок (например, от 0 до 4).
Следующим важным этапом является заполнение опросных листов для всех идентифицированных активов, угроз ИБ и уязвимостей с целью оценки вероятности реализации угрозы ИБ и простоты использования уязвимости угрозой ИБ, в результате чего происходит инцидент ИБ. Каждый ответ на вопрос добавляет некоторый балл. Это позволяет идентифицировать вероятности реализации угрозы ИБ и простоты использования уязвимостей по заранее заданной шкале (например, «высокий», «средний» и «низкий»).
Для получения информации, используемой при заполнении опросных листов, проводится интервьюирование сотрудников технического отдела, отдела кадров и хозяйственного отдела, инспектируется возможное физическое местонахождение и анализируется имеющаяся документация. Оценки ценности актива сопоставляются с уровнями угроз ИБ и уязвимостей с помощью таблицы. Для каждой комбинации идентифицируется соответствующий показатель риска ИБ по шкале от 0 до 8 (табл. 3.9). Полученные итоговые оценки используются для принятия решения о том, какие риски ИБ необходимо обрабатывать в первую очередь и каким следует уделить больше внимания, а также определения вариантов обработки рисков ИБ. Для того чтобы принять решение о необходимости разработки и внедрения защитных мер для выявленных рисков ИБ, важно определить приемлемый уровень риска ИБ, соответствующую бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ.
Таблица 3.9. Уровни рисков ИБ для активов
| Ценность актива | Вероятность реализации угрозы ИБ | ||||||||
| Низкий (Н) | Средний (С) | Высокий (В) | |||||||
| Простота использования уязвимостей | |||||||||
| Н | С | В | Н | С | В | Н | С | В | |
| 0 | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
| 1 | 1 | 2 | 2 | 1 | 3 | 4 | 3 | 4 | 5 |
| 2 | 2 | 3 | 3 | 2 | 4 | 5 | 4 | 5 | 6 |
| 3 | 3 | 4 | 4 | 3 | 5 | 6 | 5 | 6 | 7 |
| 4 | 4 | 5 | 5 | 4 | 6 | 7 | 6 | 7 | 8 |
Для каждого актива рассматриваются уязвимости, относящиеся к этому активу, и соответствующие им угрозы ИБ. Если имеется уязвимость без соответствующей угрозы ИБ или угроза без соответствующей уязвимости, то считается, что риск ИБ отсутствует . Соответствующая строка в таблице идентифицируется оценкой актива, а столбец – серьезностью угрозы ИБ и уязвимости. Например, если актив имеет оценку «3», уровень угрозы ИБ – «высокий», а уровень уязвимости – «низкий», то величина риска ИБ равна «5».
В таблице может меняться количество уровней угроз ИБ, столбцов для вероятностей реализации угроз ИБ и простоты использования уязвимостей и количество категорий оценки активов, и, следовательно, эту таблицу можно корректировать в соответствии с потребностями организации. Использование дополнительных столбцов и строк влечет за собой дополнительные уровни рисков ИБ.
Завершив в первый раз оценку рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их значимости, требования ИБ и уровни рисков ИБ, а также идентифицированные защитные меры и средства управления рисками ИБ), например, в специальной БД.
Возможно построение похожей матрицы для вероятности реализации сценариев конкретных инцидентов ИБ с учетом их последствий для бизнеса (табл. 3.10). Вероятность зависит от использования угрозами ИБ уязвимостей. Итоговый уровень риска ИБ выражается по шкале от 0 до 8 в соответствии с критериями принятия рисков ИБ. Шкала уровня рисков может быть упрощена введением рейтингов, например, низкий риск ИБ – 0–2, средний риск – 3–5, высокий риск – 6–8.
Таблица 3.10. Уровни рисков ИБ для влияния инцидентов ИБ на бизнес
| Влияние на бизнес | Вероятность реализации сценариев инцидентов ИБ | ||||
| Очень низкая | Низкая | Средняя | Высокая | Очень высокая | |
| Очень низкое | 0 | 1 | 2 | 3 | 4 |
| Низкое | 1 | 2 | 3 | 4 | 5 |
| Среднее | 2 | 3 | 4 | 5 | 6 |
| Высокое | 3 | 4 | 5 | 6 | 7 |
| Очень высокое | 4 | 5 | 6 | 7 | 8 |
Для сопоставления последствий (для оценки актива) и вероятности реализации сценариев инцидентов ИБ (с учетом угроз ИБ и уязвимостей, которые могут вызвать конкретный инцидент ИБ) можно использовать табл. 3.11. Первый шаг состоит в оценивании последствий для каждого актива по предварительно установленной шкале, например, от 1 до 5 (столбец «б»). На втором шаге для каждого инцидента ИБ следует оценить вероятность реализации сценария инцидента ИБ по предварительно установленной шкале, например, от 1 до 5 (столбец «в»). Третий шаг состоит в расчете показателя риска ИБ с помощью умножения значений столбца «б» на значения столбца «в». Наконец, инцидентам ИБ может быть присвоена категория, соответствующая их коэффициенту последствий. Следует отметить, что в данном примере «1» обозначает наименьшее воздействие и наименьшую вероятность реализации сценария инцидента ИБ.
Таблица 3.11. Сопоставление воздействия (оценки актива) и вероятности инцидента ИБ
| Идентифика тор угрозы ИБ (а) | Оценка последствий (для актива) (б) | Вероятность реализации инцидента ИБ (в) | Уровень риска ИБ (г) | Рейтинг угрозы ИБ (д) | |
| Угроза А | 5 | 2 | 10 | 2 | |
| Угроза Б | 2 | 4 | 8 | 3 | |
| Угроза В | 3 | 5 | 15 | 1 | |
| Угроза Г | 1 | 3 | 3 | 5 | |
| Угроза Д | 4 | 1 | 4 | 4 | |
| Угроза Е | 2 | 4 | 8 | 3 | |
Такая процедура позволяет сравнивать различные инциденты ИБ, имеющие различные последствия и различную вероятность реализации, и ранжировать их в зависимости от приоритета. В некоторых случаях необходимо с используемыми эмпирическими шкалами связать денежные эквиваленты.
В следующем примере акцент делается на последствия (например, сценарии инцидентов ИБ) и определение систем, которым следует отдать приоритет. Для этого определяются две оценки для каждого актива и риска ИБ, которые вместе позволяют присвоить балл каждому активу. Уровень риска ИБ для ИС вычисляется как сумма баллов по всем активам. Сначала каждому активу присваивается некоторая оценка, обозна-чающая потенциальный ущерб, который может возникнуть в случае реализации угрозы ИБ для данного актива. Оценка присваивается активу для каждой угрозы ИБ, которой он подвергается. После этого для каждой угрозы ИБ оценивается значение вероятности реализации сценария инцидента ИБ (табл. 3.12).
Таблица 3.12. Таблица определения вероятности реализации сценария инцидента ИБ
| Вероятность реализации угрозы ИБ | Низкая (Н) | Средняя (С) | Высокая (В) | ||||||
| Простота использования уязвимости | Н | С | В | Н | С | В | Н | С | В |
| Вероятность реализации сценария инцидента ИБ | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
Затем с помощью поиска пересечения ценности актива и значения вероятности реализации сценария инцидента ИБ определяется итоговый балл для актива (табл. 3.13).
Таблица 3.13. Таблица определения балла для актива
| Вероятность реализации сценария инцидента ИБ | Ценность актива | |||||
| 0 | 1 | 2 | 3 | 4 | ||
| 0 | 0 | 1 | 2 | 3 | 4 | |
| 1 | 1 | 2 | 3 | 4 | 5 | |
| 2 | 2 | 3 | 4 | 5 | 6 | |
| 3 | 3 | 4 | 5 | 6 | 7 | |
| 4 | 4 | 5 | 6 | 7 | 8 | |
На заключительном шаге суммируются итоговые баллы для всех активов данной системы, в результате чего получается оценка уровня риска ИБ для ИС. Такую процедуру можно использовать, чтобы произвести дифференциацию систем и определить ту, защита которой должна получить приоритетное значение.
Приведем пример. Предположим, что система S состоит из трех активов Al, A2 и A3. Допустим, что существуют две угрозы ИБ Т1 и Т 2, применимые к системе S. Пусть ценность Al равна «3», A2 – «2», A3 – «4». Если для А1 вероятность реализации угрозы Т1 «низкая» и простота использования уязвимости «средняя», то значение вероятности равно «1». Балл для актива/угрозы ИБ А1/Т1 может быть получен из приведенной выше таблицы как пересечение ценности актива, равной «3», и вероятности, равной «1», то есть этот балл будет равен «4». Аналогично, если для А1/Т2 вероятность угрозы ИБ «средняя», а простота использования уязвимости «высокая», то балл равен «6». После этого можно рассчитать итоговый балл для актива А1Т по всем угрозам ИБ (он равен «10»). Итоговой балл для системы ST определяется как сумма А1Т + A2Т + A3Т. Таким образом можно выполнить сравнение систем и определить их приоритетность.
Аналогично можно посчитать приоритеты для бизнес-процессов. Как правило, риски ИБ с текущим значением приоритета меньше «1» просто игнорируются. Риски со значением приоритета в диапазоне 1–2 оставляются в списке, но реальных действий по их устранению обычно не предпринимается. Основное же внимание уделяется рискам ИБ с приоритетом больше «2».
Если для определения вероятности и последствий рисков ИБ использовались качественные оценки, то и приоритетность рисков оценивается на качественном уровне. Например, можно игнорировать те риски ИБ, у которых вероятность или последствия пренебрежимо малы. А высокоприоритетными следует считать риски ИБ, у которых вероятность выше средней и последствия выше существенных.
Для рисков ИБ с высоким приоритетом в ходе анализа полезно определить некоторые характеристики, которые позволят судить о приближении момента проявления риска ИБ или о существенном изменении вероятности его реализации.
Еще один способ определения уровня риска ИБ состоит в разграничении приемлемых и неприемлемых рисков ИБ. Суть этого метода заключается в том, что уровни риска ИБ используются только для определения тех рисков, для которых требуется наиболее срочное принятие защитных мер. При подобном подходе используемая таблица не будет содержать цифр, а будет состоять только из значений «П» и «Н», показывающих, является риск ИБ приемлемым или неприемлемым (табл. 3.14).
Таблица 3.14. Таблица определения рисков ИБ для актива
| Вероятность реализации сценария инцидента ИБ | Оценка актива | ||||
| 0 | 1 | 2 | 3 | 4 | |
| 0 | П | П | П | П | Н |
| 1 | П | П | П | Н | Н |
| 2 | П | П | Н | Н | Н |
| 3 | П | Н | Н | Н | Н |
| 4 | Н | Н | Н | Н | Н |
Данная таблица является лишь примером, и организация сама может провести разграничивающую линию между приемлемыми и неприемлемыми рисками ИБ.
3.3.7. ОБЩИЙ ПОДХОД К ОЦЕНКЕ РИСКОВ ИБ РС БР ИББС-2.2–2009
Рассмотрим подход, представленный в РС БР ИББС-2.2–2009, обобщая его основные идеи не только на информационные, но и на все остальные виды требующих ОИБ активов организации.
Активы рассматриваются в совокупности с соответствующими им материальными объектами среды использования и (или) эксплуатации актива (объект хранения, передачи , обработки, уничтожения и т. д.). При этом обеспечение свойств ИБ для активов выражается в создании необходимой защиты соответствующих им объектов среды.
Угрозы ИБ реализуются их источниками, которые могут воздействовать на объекты среды активов. В случае успешной реализации угрозы ИБ активы теряют часть или все свойства ИБ.
Риски ИБ заключаются в возможности утраты свойств ИБ активов в результате реализации угроз ИБ, вследствие чего организации может быть нанесен ущерб. Оценка рисков ИБ проводится для типов активов, входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:
- Полный перечень типов активов, входящих в область оценки. Он формируется на основе результатов классификации активов. Так, например, полный перечень возможных типов информационных активов организации содержит информацию ограниченного доступа; информацию, содержащую сведения, составляющие банковскую и коммерческую тайны; персональные данные; управляющую информацию информационных и телекоммуникационных систем (для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации); открытую (общедоступную) информацию.
- Полный перечень типов объектов среды, соответствующих каждому из типов активов области оценки. Он формуется в соответствии с иерархией уровней информационной инфраструктуры организации. Перечни могут содержать, например, следующие типы объектов
среды: линии связи и сети передачи данных; сетевые программные и аппаратные средства, в том числе сетевые серверы; файлы данных, базы данных, хранилища данных; носители информации, включая бумажные; прикладные и общесистемные программные средства; программно-технические компоненты автоматизированных систем; помещения, здания, сооружения; технологические процессы.
- Модель угроз ИБ для всех выделенных в организации типов объектов среды на всех уровнях иерархии ее информационной инфраструктуры.
Риск ИБ определяется на основании качественных или количественных оценок:
- степени возможности реализации (СВР и СВРкол) угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов активов;
- степени тяжести последствий (СТП и СТПкол) от потери свойств ИБ для рассматриваемых типов активов.
Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой обладающими необходимыми знаниями, образованием и опытом работы сотрудниками службы ИБ организации с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы. Если работники организации не обладают необходимыми знаниями и опытом, возможно привлечение внешних консультантов или экспертов.
При привлечении к оценке СВР угроз ИБ и СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок итоговая, обобщенная оценка обычно принимается равной экспертной оценке, определяющей соответственно наибольшую СВР угрозы ИБ и наибольшую СТП нарушения ИБ.
Данные, на основании которых проводятся все оценки, и их результаты обязательно документируются.
Для проведения качественной оценки рисков ИБ выполняются шесть процедур:
1. Определение и документальная фиксация перечня типов активов, для которых выполняются процедуры оценки рисков ИБ (далее – область оценки рисков ИБ). Область оценки рисков ИБ может быть определенна как перечень типов активов организации в целом, ее отдельного подразделения или отдельного процесса деятельности организации в целом или ее подразделения. Для каждого из типов активов определяется перечень основных и дополнительных свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации.
2. Определение и документальная фиксация перечня типов объектов среды, соответствующих каждому из типов активов области оценки рисков ИБ. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации.
3. Определение на основе модели угроз ИБ организации и документальная фиксация источников угроз ИБ, воздействие которых может привести к потере свойств ИБ соответствующих типов активов для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации. При этом возможно расширение первоначального перечня источников угроз ИБ, зафиксированных в модели угроз организации (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды). При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией.
4. Определение СВР угроз ИБ применительно к выделенным типам объектов среды и анализ возможности потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СВР угроз ИБ в РС БР ИББС-2.2–2009 используется следующая качественная шкала степеней «нереализуемая – минимальная – средняя – высокая – критическая». Основными факторами для оценки СВР угроз ИБ является информация соответствующих моделей угроз ИБ, в частности: данные о расположении источника угрозы ИБ относительно соответствующих типов объектов среды; информация о мотивации источника угрозы ИБ антропогенного характера (связанного с человеком); предположения о квалификации и (или) ресурсах источника угрозы ИБ; статистические данные о частоте реализации угрозы ИБ ее источником в прошлом; информация о способах реализации угроз ИБ; информация о сложности обнаружения реализации угрозы ИБ рассматриваемым источником; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты активов, тем самым снижая вероятность реализации соответствующих угроз ИБ [например, средства защиты от несанкционированного доступа (НСД)].
5. Определение СТП нарушения ИБ для типов активов области оценки рисков ИБ и анализ последствий потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ в РС БР ИББС-2.2– 2009 используется следующая качественная шкала степеней «минимальная – средняя – высокая – критическая». Основными факторами для оценки СТП нарушения ИБ являются: степень влияния на непрерывность бизнеса и репутацию организации; объемы финансовых и материальных потерь, финансовых, материальных и временных затрат, а также людских ресурсов, необходимых для восстановления свойств ИБ для активов рассматриваемого типа и ликвидации последствий нарушения ИБ; степень нарушения законодательных требований и (или) договорных обязательств организации, требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований внутренних нормативных актов организации; объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает СТП нарушения свойств ИБ активов (например, средства резервного копирования и восстановления информации).
6. Оценка рисков ИБ, результаты которой документально фиксируются. Качественная оценка рисков ИБ проводится для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз ИБ на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз ИБ. Для оценки рисков ИБ в РС БР ИББС-2.2–2009 используется следующая качественная шкала «допустимый – недопустимый». Для сопоставления оценок СВР угроз ИБ и СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков ИБ (табл. 3.15), на пересечении столбцов и строк которой указаны соответствующие значения.
Таблица 3.15. Допустимые и недопустимые риски ИБ
| СВР угроз ИБ | СТП нарушения ИБ | ||||
| Минимальная | Средняя | Высокая | Критическая | ||
| Нереализуемая | Допустимый | Допустимый | Допустимый | Допустимый | |
| Минимальная | Допустимый | Допустимый | Допустимый | Недопустимый | |
| Средняя | Допустимый | Допустимый | Недопустимый | Недопустимый | |
| Высокая | Допустимый | Недопустимый | Недопустимый | Недопустимый | |
| Критическая | Недопустимый | Недопустимый | Недопустимый | Недопустимый | |
Входная и результирующая информация по оценке рисков ИБ для типа актива «информация ДСП» представлена в табл. 3.16.
Таблица 3.16. Оценка рисков ИБ для актива «информация ДСП»
| Тип актива | Информация ДСП | |
| Тип объекта среды | Файлы данных с информацией ДСП | |
| Источник угрозы ИБ | Внутренний нарушитель | Внешний нарушитель |
| Свойства ИБ типа актива | Конфиденциальность | Конфиденциальность |
| Способ реализации угроз ИБ | Несанкционированное копирование | Несанкционированное копирование |
| Оценка СВР угроз ИБ | Высокая | Минимальная |
| Оценка СТП нарушения ИБ | Высокая | Высокая |
| Оценка рисков ИБ | Недопустимый | Допустимая |
Для формирования резервов на возможные потери, связанные с инцидентами ИБ, риски ИБ могут быть оценены в количественной(денежной) форме. Это определяется на основании количественных оценок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.
Оценки СВРкол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:
- нереализуемая – 0 %;
- минимальная – от 1 до 20 %;
- средняя – от 21 до 50 %;
- высокая – от 51 до 100 %;
- критическая – 100 %.
Оценки СТПкол нарушения ИБ также формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рамках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:
- минимальная – до 0,5 % от величины капитала организации;
- средняя – от 0,5 до 1,5 % от величины капитала организации;
- высокая – от 1,5 до 3 % от величины капитала организации;
- критическая – более 3 % от величины капитала организации.
Данные, на основании которых проводится количественная оценка СВРкол угроз ИБ и СТПкол нарушения ИБ, и ее результаты документально фиксируются.
Количественные оценки рисков ИБ вычисляются для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз ИБ путем перемножения оценок СВРкол угроз ИБ и СТПкол нарушения ИБ.
Суммарная количественная оценка риска ИБ организации вычисляется как сумма количественных оценок по всем отдельным рискам ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска ИБ.
Лекция 1.
НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Для наиболее эффективной разработки процессов управления ИБ необходимо руководствоваться требованиями международных и российских стандартов. Это относится и к процессам управления рисками ИБ.
В настоящее время имеется ряд нормативных документов, содержащих рекомендации по разработке СУРИБ. Наиболее актуальными являются:
Международный стандарт ISO/IEC 27005:2011 «Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ» и ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» содержат общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций и предназначено для «содействия адекватному ОИБ на основе риск-ориентированного подхода».
Британский стандарт BS 7799–3:2006 «Системы менеджмента ИБ. Руководство по управлению рисками ИБ» содержит рекомендации по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ.
Необходимо отметить, что эти стандарты являются рекомендательными документами, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.
Поскольку большая часть стандартов в области ИБ является стандартами международного уровня, то их готовили группы международных специалистов, обладающих опытом и компетенцией в различных аспектах ИБ. Все это делает стандарты привлекательными для использования в качестве «лучших практик» по управлению ИБ и, в частности, по управлению рисками ИБ.
Разработка процессов управления рисками ИБ в соответствии с лучими практиками позволяет самой организации, в которой стандарты будут внедряться, а также ее партнерам убедиться в том, что процессы работают правильно и эффективно. Это особенно важно в том случае, когда организация работает с большими объемами ценной информации или обрабатывает и хранит важную информацию своих клиентов.
В данной лекции будут рассмотрены особенности выше указанных стандартов.
Дата: 2018-12-28, просмотров: 713.
