Рисками ИБ
В то время как ISO/IEC 27001:2005 описывает общий непрерывный цикл управления ИБ, в британском стандарте BS 7799–3 содержится его проекция на процессы управления рисками ИБ. BS 7799–3:2006 включает разделы по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ.
Стандарт BS 7799–3:2006 придерживается самого общего понятия риска ИБ, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском ИБ сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации. Непрерывный процесс управления делится на четыре фазы: оценка рисков ИБ, включающая анализ и вычисление рисков; обработка риска ИБ (выбор и реализация мер и средств защиты); контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и аудита ИБ системы; оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.
Помимо определения основных факторов риска и подходов к его оценке и обработке, стандарт также описывает взаимосвязи между рисками ИБ и другими рисками организации, содержит требования и рекомендации по выбору методологии и инструментов для оценки рисков, определяет требования, предъявляемые к экспертам по оценке рисков и менеджерам, отвечающим за процессы управления рисками, содержит соображения по выбору законодательных и нормативных требований по ОИБ и многое другое.
BS 7799–3:2006 допускает использование как количественных, так и качественных методов оценки рисков ИБ, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.
Отличительной чертой стандарта является использование принципа осведомленности о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации. На каждом этапе управления рисками ИБ предусмотрено информирование всех участников процесса управления ИБ, а также фиксирование событий СУИБ. Стандарт перечисляет об-занности и задает требования к категории лиц, непосредственно учас-вующих в управлении рисками ИБ, а именно: экспертам по оценке ри-ков ИБ, менеджерам по безопасности, менеджерам рисков ИБ, владел-цам ресурсов; руководству организации.
К основным документам по управлению рисками ИБ в BS 7799–3:2006 отнесены описание методологии оценки рисков ИБ, отчет об оценке рисков ИБ, план обработки рисков ИБ. Кроме того, в непрерывном цикле управления рисками ИБ задействовано множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т. п.
Следует отметить, что стандарт BS 7799–3:2006 носит концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, обработки и управления рисками ИБ.
С другой стороны стандарт не содержат рекомендаций по выбору какого-либо аппарата оценки риска ИБ, а также по разработке мер, средств и сервисов защиты, используемых для минимизации рисков ИБ.
Лекция 2.
ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ
Риск ИБ
При определении риска в обыденной жизни, в широком смысле осуществляется попытка охарактеризовать и предсказать (при невозможности получения достоверного знания из-за недостатка информации, наличия элементов случайности и противодействия со стороны внутренней и внешней среды) ситуацию из будущего, имеющую неопределенность исхода. При этом существует вероятность как благоприятных, так и обязательно неблагоприятных последствий. Поэтому риск – это возможность опасности, неудачи или действие наудачу в надежде на счастливый исход. Согласно статье 2 Федерального закона 184-ФЗ «О техническом регулировании» риск – это вероятность причинения вреда с учетом его тяжести. Современная экономическая наука представляет риск как опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных средств в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами. Измеряется риск частотой, вероятностью возникновения того или иного уровня потерь.
Исходя из приведенного ранее определения ИБ как состояния защищенности информации, наиболее корректным считается использование понятия риск нарушения ИБ как риск нарушения состояния защищенности информации.
Согласно ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» риск представляет собой сочетание вероятности события и его последствий (результатов событий, которые могут быть выражены качественно или количественно). Похожее определение содержится ГОСТ Р 51898–2002 «Аспекты безопасности. Правила включения в стандарты»: риск – это сочетание вероятности нанесения ущерба и тяжести этого ущерба.
стандарте США NIST 800–30 «Risk Management Guide for Information Technology Systems» (Руководство по управлению рисками для ИТ-систем) риск является функций вероятности использования данным источником угроз ИБ отдельной потенциальной уязвимости и результата воздействия этого неблагоприятного события на организацию.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 определяет риск ИБ как потенциальную возможность использования уязвимостей актива или группы активов конкретной угрозой ИБ для причинения ущерба организации. Измеряется риск ИБ исходя из комбинации вероятности события и его последствия.
Стандарт ISO/IEC 27005:2011 определяет риск ИБ как влияние неопределенности на цели. Влияние – это отклонение от предполагаемого (положительное и/или отрицательное). Цели могут быть различными (финансовые , охраны здоровья и безопасности, экологические) и могут применяться на различных уровнях (стратегические, в масштабах организации, проекта, продукции или процесса). Риск обычно характеризуется возможными событиями и последствиями или их сочетанием. При этом последствия (англ. consequence) рассматриваются как результат события, влияющего на цели. Результатом события может быть одно или более последствий. Последствия могут быть как позитивными, так негативными. Однако применительно к аспектам ИБ последствия всегда негативные. Они могут быть выражены качественно и количественно. Начальные последствия могут вырасти посредством порожденной ими цепной реакции. Риск обычно выражается в виде сочетания последствий события (включая изменения в обстоятельствах) и связанной с ним возможностью возникновения. Неопределённость – это недостаточность (даже частичная) информации, связанной с пониманием события или знаниями о нем, его последствиями или возможностью возникновения.
В СТО БР ИББС 1.0–2010 риск нарушения ИБ – риск, связанный с угрозой ИБ. Под риском понимается мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. При этом угроза ИБ – это угроза нарушения свойств ИБ – доступности, целостности или конфиденциальности информационных активов организации. А ущербом называется утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре организации, наступивший в результате реализации угроз через уязвимости.
В публикациях также встречается упоминание информационных рисков, определяемых как риски, которым подвергаются информационные активы организации или которые приводят к убыткам или ущербу в результате применения ИТ.
Простейший пример рисков ИБ можно привести для ОС. Для них специфические риски ИБ подразделяются на две группы:
1) риски, связанные с неправильной конфигурацией системы и чаще всего возникающие вследствие ошибок или недостаточных навыков ее администратора;
2) риски, связанные с ошибками в ПО (особенно характерно при установке в систему нескольких устаревших версий ПО, в которых уже были обнаружены определенные ошибки и о которых публично сообщалось в различных специализированных компьютерных и хакерских изданиях и сайтах).
Как видно из приведенных выше определений, в области ИБ термин «риск» используют только тогда, когда существует возможность негативных последствий, само же понятие риска ИБ является комбинированным, сочетающим в себе ряд других ключевых терминов – активы, уязвимости, угрозы, ущерб. Введем эту терминологию для дальнейшего использования.
Актив (англ. asset) – все , что имеет ценность для организации и находится в ее распоряжении или то, что обладает ценностью или полезностью для организации, ее бизнес-операций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить корректное выполнение бизнес-операций и непрерывность бизнеса.
К активам организации могут относиться:
- ее работники (персонал); ƒ
- финансовые (денежные) средства;
- средства вычислительной техники, телекоммуникационные средства пр.;
- различные виды информации – финансово-аналитическая, служебная, управляющая и пр.;
- бизнес-процессы (технологические процессы, информационные процессы и т. п.);
- продукты и услуги, предоставляемые организацией своим клиентам и партнерам.
Информационный актив – это информация:
- с реквизитами, позволяющими ее идентифицировать;
- имеющая ценность для организации;
- находящаяся в распоряжении организации;
-представленная на любом материальном носителе;
- в пригодной для ее обработки, хранения или передачи форме.
Ресурс – актив организации, который используется или потребляется процессе выполнения некоторой деятельности.
Уязвимость (англ. vulnerability) – любая характеристика или свойство ИС, обуславливающее возможность реализации угроз ИБ обрабатываемой в ней информации или слабое место в инфраструктуре организации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.
Угроза ИБ (англ. information security threat) – совокупность условий факторов, создающих потенциальную или реально существующую опасность нарушения свойств ИБ – конфиденциальности, доступности и/или целостности информации/информационных активов организации.
Для того чтобы угроза ИБ из потенциальной возможности стала реальной атакой необходимо, чтобы ее активировал источник угрозы ИБ – некий субъект, которым может быть физическое лицо, материальный объект или физическое явление.
Нарушитель ИБ (англ. intruder) – субъект (в данном случае физическое лицо), реализующий угрозы ИБ организации, нарушая предоставленные ему полномочия по доступу к активам организации или по распоряжению ими.
Наглядная взаимосвязь введенных выше понятий представлена на рис. 2.1. Эта модель основана на адаптации «Общих критериев» и проведении анализа рисков ИБ .
Рис. 2.1. Взаимосвязь основных понятий ИБ
Зона, где возникает возможность появления риска ИБ, находится на пересечении активов, уязвимостей, угроз ИБ и нарушителей как одного из видов источников угроз ( рис. 2.2). Причем из-за наличия в активе одной уязвимости может при стечении соответствующих обстоятельств реализоваться одна, две и более угроз ИБ. Аналогично – одна угроза ИБ может стать атакой, если в активах есть необходимая для этого совокупность уязвимостей. Одна угроза ИБ может затронуть сразу несколько активов. И, наконец, в реализации угрозы может участвовать ни один, а несколько нарушителей, действующих в сговоре.
Итак, риск нарушения ИБ(риск ИБ) –потенциальная возможность использования уязвимостей активов организации угрозами ИБ для причинения ущерба организации, измеряемая с учетом вероятности реализации угроз ИБ и величины ущерба от реализации угроз ИБ.
Таким образом , в представленном определении риск ИБ есть функция как минимум двух переменных: величины потенциального (негативного) воздействия – ущерба для бизнеса организации и вероятности реализации угрозы ИБ. Вторая величина является комплексным показателем и для ее адекватного определения требуется учесть, например, вероятности существования в определенных активах организации уязвимостей (незащищённости), вероятности использования злоумышленниками именно этих уязвимостей, а также вероятности активации соответствующих конкретным угрозам ИБ источников.
Рис. 2.2. Зона возможного риска ИБ
Любая организация практически всегда подвергается ряду рисков ИБ. Они могут рассматриваться в качестве одной из основных категорий бизнес-рисков или быть отнесены к другим категориям, таким как стратегические и операционные риски [6]. В любом случае риски ИБ всегда должны рассматриваться в контексте бизнеса организации. Чтобы получить целостную и завершенную картину этих рисков, должны быть идентифицированы взаимосвязи с другими бизнес-функциями, такими как кадровые ресурсы, исследование–разработка –производство– эксплуатация основной продукции, администрирование, ИТ, финансы и клиенты. Такой подход учитывает все риски организации и применение концепций и идей в области общего управления ею. Все это, наряду с бизнесом организации, соображениями эффективности, а также законодательной и нормативной базой служит в качестве мотивирующих и усиливающих факторов для успешного процесса управления рисками ИБ.
Управление рисками ИБ
Управление рисками или риск-менеджмент (англ. risk management) – особый вид деятельности (процесс) по принятию и выполнению управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Более кратко это скоординированная деятельность по руководству и управлению организацией в отношении риска. В другой интерпретации управление рисками это бизнес-процессы (или упрощенно совокупность методов) по идентификации, анализу и принятию решений, которые минимизируют отрицательные или максимизируют положительные последствия наступления рисковых событий (в общем случае нейтрализуют факторы риска) и объединены в систему планирования, мониторинга и корректирующих воздействий.
В классическом управлении рисками принято выделять пять ключевых этапов:
1) выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально-возможного убытка;
2) выбор методов и инструментов управления выявленным риском (это ключевой этап);
3) разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4) реализация риск-стратегии;
5) оценка достигнутых результатов и корректировка риск-стратегии.
В широком смысле управление рисками направлено, с одной стороны, на смягчение нежелательных или неблагоприятных внешних и внутренних факторов на результаты бизнеса, а с другой стороны – на использование благоприятного влияния этих факторов, обеспечивающего организациям дополнительные полезные результаты или иные преимущества по сравнению с конкурентами. Оно включает идентификацию, анализ, оценку, отслеживание и устранение рисков; превентивную разработку программы мероприятий по ликвидации последствий кризисных ситуаций; разработку механизмов выживания; создание системы страхования; прогнозирование развития организации с учетом возможного изменения конъюнктуры и другие мероприятия. Риски желательно выявить как можно раньше и еще до того, как они превратились в проблему (обычно в этом случае принятие мер требует меньших ресурсов). После выявления риска необходимо принять решение об ответных действиях, позволяющих снизить вероятность неблагоприятного события или уменьшить его последствия в случае реализации риска. При этом желательно, чтобы расход ресурсов был минимальным.
В узком смысле управление рисками сводится только к обеспечению безопасности бизнеса на основе учета неблагоприятных факторов и снижения или ликвидации их самих или последствий их влияния. Также это особый вид услуг, оказываемых брокерскими, страховыми и перестраховочными компаниями своим клиентам.
Применительно к области ИБ определения управления рисками ИБ (англ. information security risk management или IS risk management) в разных стандартах достаточно близки по смыслу и хорошо дополняют друг друга:
- согласованные виды деятельности по руководству и управлению организацией в отношении рисков ИБ;
- скоординированные непрерывные действия по управлению и контролю рисков ИБ в организации;
- скоординированные действия по руководству и управлению организацией в отношении рисков ИБ, обычно включающие в себя оценку, обработку, принятие и коммуникацию риска ИБ;
- процесс выявления, контроля и минимизации или устранения рисков ИБ, оказывающих влияние на ИС, в рамках допустимых затрат;
- полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы ИТТ;
- непрерывный процесс, устанавливающий контекст управления рисками ИБ, оценку и обработку рисков ИБ на основе плана обработки рисков для реализации рекомендаций и принятых решений.
Управление рисками ИБ определим как скоординированную непрерывную деятельность по руководству и управлению организацией в отношении рисков ИБ на основе политики управления рисками ИБ и плана обработки рисков ИБ, обычно включающую в себя установление контекста управления рисками ИБ, оценку, обработку, принятие, мониторинг, пересмотр и коммуникацию рисков ИБ.
На рис. 2.3 приведены основные элементы, входящие в управление рисками ИБ.
Рис. 2.3. Основные элементы управления рисками ИБ применительно к понятиям ИБ
Прежде чем приступить к любым действиям , связанным с управлением рисками ИБ, организация должна иметь стратегию проведения такого управления, причем составные части этой стратегии (методы, способы и т. д .) должны быть отражены в ее ПолИБ. Эти методы и критерии выбора вариантов стратегии управления должны отвечать потребностям организации и обеспечивать соответствие выбранного варианта стратегии условиям осуществления бизнес-операций и приложения усилий по ОИБ в тех областях, где это действительно необходимо.
Выделим основные задачи управления рисками ИБ, соответствующие стандартной методике организации работ по управлению рисками ИБ:
1) планирование управления рисками ИБ – отражается в политике управления рисками ИБ и плане обработки рисков ИБ, описывающих общий контекст управления рисками ИБ в организации, подходы управлению ими, основные действия, которые требуется выполнять для реализации политики и плана, методологии и средства, с помощью которых будет производиться оценка рисков ИБ. Также назначаются ответственные лица, которые будут заниматься управлением рисками ИБ и определяется бюджет на эту деятельность;
2) выявление, идентификация и документирование рисков ИБ, включающие определение тех ситуаций или событий, которые могут вызвать отрицательные последствия для бизнеса организации, на основе лучших практик и собственного опыта;
3) детальная оценка рисков ИБ и их приоритетности с целью выявления их потенциального влияния на бизнес, выражаемого величиной ожидаемого ущерба, и вероятности реализации (с учетом вероятности нахождения в системах неустраненных уязвимостей), а также установка критериев приемлемости рисков ИБ на основе принятой методики;
4) планирование ответных действий для каждого риска ИБ (обработка рисков ИБ), определяющее шаги, необходимые для снижения вероятности реализации каждого риска ИБ и его последствий, и соответствующих резервов (финансовых, людских, временных);
5) мониторинг рисков ИБ, по результатам которого возможно изменение приоритетов и планов обработки ранее выявленных рисков ИБ, а также своевременное выявление новых рисков ИБ, которые проявились в настоящий момент;
6) мониторинг всех работ по управлению рисками ИБ в организации с целью внесения необходимых корректив в этот процесс.
Поскольку риски ИБ не во всех организациях рассматриваются как одни из основных, можно условно выделить три подхода к управлению рисками ИБ:
1) для некритичных (вспомогательных для бизнеса) систем организации, когда применяются стандартные требования по ОИБ, определяемые законодательством, стандартами, лучшими практиками, опытом;
2) для критичных систем, когда особое внимание уделяется системам с наибольшими рисками ИБ (для них требуется проведение высокоуровневой оценки рисков ИБ с неформальными качественными подходами);
3) для особо критичных систем, для которых необходима детальная оценка рисков ИБ для всех активов.
Дата: 2018-12-28, просмотров: 985.
