Процесс управления рисками ИБ можно определить как систематическое применение политик, процедур и практик управления рисками ИБ к задачам коммуникации, установления контекста, идентификации, анализа, оценивания, обработки, мониторинга и пересмотра (переоценки) риска ИБ.
Хорошая иллюстрация всех составляющих процесса управления рисками ИБ – установления контекста управления рисками ИБ, оценки, обработки, принятия, коммуникации и мониторинга и пересмотра (переоценки) рисков ИБ – приведена в ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005–2010 (рис. 2.4) .
Рис. 2.4. Составляющие процесс управления рисками ИБ
Как видно из рисунка, анализ рисков ИБ складывается из идентификации и количественной оценки рисков ИБ, а оценка рисков ИБ объединяет анализ и оценивание рисков ИБ.
В первую очередь устанавливается контекст управления рисками ИБ. Далее проводится оценка рисков ИБ. Если на выходе получается обоснованная информация для определения действий, требуемых для модификации рисков до приемлемого уровня, тогда задача выполнена, и наступает этап обработки рисков. Если полученной информации недостаточно, тогда проводится следующая итерация оценки рисков при пересмотренном контексте – например, критериях оценки или принятия рисков, критериях оценки последствий, но, возможно, только для части области действия рисков ИБ. На рис. 2.4 это соответствует точке 1 принятия решения по рискам.
Эффективность обработки рисков ИБ существенно зависит от оценки рисков. Возможно, что обработка рисков ИБ не сразу даст результат в виде приемлемого уровня остаточного риска ИБ. В этой ситуации, возможно, потребуется следующая итерация оценки рисков ИБ с пересмотренными параметрами контекста – например, критериями оценки или принятия рисков, критериями оценки последствий. После этого опять будет произведена обработка рисков ИБ. На рис. 2.4 это соответствует точке 2 принятия решения по рискам.
Принятие рисков ИБ должно гарантировать, что остаточные риски ИБ точно поняты и приняты руководством организации. Это особенно важно в ситуации, когда осуществление контроля не проводилось или отложено, например, из-за стоимости.
В процессе управления рисками ИБ также важно, чтобы информация о рисках ИБ своевременно доводилась до всех причастных и заинтересованных сторон. Так еще до обработки рисков ИБ информация о выявленных рисках может быть очень ценна при управлении инцидентами ИБ и может помочь уменьшить потенциальный ущерб.
Детальные результаты всех названных действий должны быть обязательно документированы.
Таким образом, процесс управления рисками ИБ включает в себя два основных вида деятельности, которые чередуются циклически (итерационно): (пере)оценку рисков ИБ и выбор эффективных защитных средств для требуемой обработки рисков (в идеале для полного устранения или нейтрализации рисков ИБ). Эта итерационность процесса особенно прослеживается в оценке и обработке рисков ИБ – с каждой итерацией увеличивается глубина и детальность оценки рисков ИБ. Такой подход позволяет добиться хорошего баланса между минимизацией времени и трудозатрат на определение соответствующих средств управления, при этом гарантируя, что наибольшие риски оценены должным образом.
Приведем толкования всех выше упомянутых терминов применительно к области ИБ согласно следующим документам – ISO/IEC 27005:2011 [3], ГОСТ Р ИСО/МЭК 27005–2010 [4], ISO/IEC 27001:2005 [2], ГОСТ Р ИСО/МЭК 27001–2006 [1], ISO/IEC 27002:2005 [16], ГОСТ Р ИСО/МЭК 17799–2005 [15], ГОСТ Р 51897–2002 [9] и СТО БО ИББС-1.0–2010.
Оценка риска ИБ (англ. IS risk assessment):
- общий процесс идентификации, анализа и оценивания риска ИБ;
- оценка угроз ИБ, их последствий, уязвимостей информации и средств ее обработки, а также вероятности их возникновения;
- целостный процесс анализа и оценки значимости риска ИБ;
- целостный процесс анализа и оценивания риска ИБ;
- систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков ИБ, связанных с использованием информационных активов организации на всех стадиях их жизненного цикла.
Анализ рисков ИБ (англ. IS risk analysis) – систематическое использование информации (исторических данных, результатов теоретического анализа, информированного мнения) для определения источников и количественной оценки рисков ИБ. Это процесс понимания происхождения риска и определения уровня риска. Анализ рисков ИБ обеспечивает базу для оценивания рисков ИБ, мероприятий по снижению рисков ИБ и принятия рисков ИБ.
Идентификация рисков ИБ (англ. IS risk identification) – деятельность, процесс по нахождению (выявлению), составлению перечня, исследованию и описанию элементов рисков ИБ (источников или опасности, событий, последствий и вероятностей). Она включает идентификацию источников риска, событий , их причин и возможных последствий. Идентификация риска может включать статистические данные, теоретический анализ, обоснованную точку зрения и заключение специалиста, а также потребности заинтересованной стороны.
Количественная оценка или установление значения рисков ИБ (англ. IS risk estimation) – деятельность, или процесс (как деятельность) по присвоению значений вероятности и последствий рисков ИБ. Количественная оценка рисков ИБ может учитывать стоимость, прибыль, интересы причастных сторон и другие переменные, рассматриваемые при оценивании рисков ИБ.
Оценивание риска ИБ (англ. IS risk evaluation) – процесс сравнения количественно оцененного риска с данными критериями риска для определения значимости риска ИБ. Этот же процесс в называется оценка значимости риска ИБ. Или это процесс сравнения результатов анализа риска с установленными критериями риска для определения, является ли риск и/или его величина приемлемыми или допустимыми
Такое определение может быть использовано для содействия решениям по принятию или обработке риска ИБ. Правила, по которым оценивают значимость риска ИБ, называются критериями риска ИБ. Это аспекты, которые основываются на целях организации и внешнем и внутреннем контексте и могут быть установлены на основании стандартов, законов, политик и других требований. Они могут включать в себя соответствующие стоимость и прибыль, требования законодательства и договорных обязательств, социально-экономические и экологические аспекты, озабоченность причастных и заинтересованных сторон, приоритеты и другие затраты на оценку риска ИБ.
Обработка рисков ИБ (англ. IS risk treatment):
- процесс изменения риска ИБ;
- процесс выбора и реализации мер по изменению риска ИБ;
- процесс выбора и осуществления защитных мер, снижающих риски ИБ, или мер по переносу, принятию или уходу от рисков ИБ
- процесс выбора и осуществления мер по модификации (изменению) рисков ИБ. Меры по обработке рисков ИБ могут включать в себя их избежание, оптимизацию, перенос или сохранение.
Принятие рисков ИБ (англ. IS risk acceptance) – решение принять (взять на себя) риски ИБ, зависящее от критериев рисков ИБ.
Коммуникация рисков ИБ (англ. IS risk communication) – обмен информацией о рисках ИБ или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
Снижение/уменьшение риска ИБ (англ. IS risk reduction ) – действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском ИБ. Этот термин перекрывается обработкой риска.
Перенос риска ИБ (англ. IS risk transfer) – разделение с другой стороной бремени потерь от риска ИБ. Перенос риска ИБ может быть осуществлен страхованием или другими соглашениями. Этот термин перекрывается обработкой риска.
Избежание риска ИБ/уход от риска ИБ ( англ. IS risk avoidance) – решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе результатов оценивания риска ИБ.
Оптимизация риска ИБ (англ. risk optimization) – процесс, связанный с риском ИБ, направленный на минимизацию негативных последствий и, соответственно, их вероятности. Оптимизация риска ИБ зависит от критериев риска ИБ с учетом стоимости и законодательных требований.
Сохранение/удержание риска ИБ (англ. IS risk retention) – принятие бремени потерь от конкретного риска ИБ. Сохранение риска ИБ не включает в себя обработку риска ИБ в результате страхования или пе-ренос риска ИБ другими средствами. Этот термин перекрывается обработкой риска.
Осознание риска ИБ (англ. IS risk perception) – набор ценностей и озабоченностей, в соответствии с которыми причастная сторона рассматривает конкретный риск ИБ. Осознание риска ИБ зависит от потребностей, результатов и знаний причастных сторон.
Контроль риска ИБ (англ. IS risk control) – действия, осуществляемые для выполнения решений в рамках управления рисками ИБ, включая мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям.
Финансирование риска ИБ (англ. IS risk financing) – предусмотре-
ние финансовых средств на расходы по обработке риска ИБ и сопутствующие затраты.
Остаточный риск ИБ (англ. IS residual risk) – риск ИБ, остающийся после обработки риска ИБ.
Допустимый риск ИБ – риск ИБ, предполагаемый ущерб от которого организация в данное время и в данной ситуации готова принять.
Стадии одного из ключевых этапов управления рисками ИБ – оценки рисков ИБ – подробно рассмотрены и в стандарте NIST SP 800–30. Они должны минимизировать возможные негативные последствия использования ИТ и обеспечить выполнение основных бизнес-целей организации. Для этого процесс оценки рисков ИБ должен сопровождать все стадии жизненного цикла информационной системы (ИС) (рис. 2.5).
Рис. 2.5. Стадии оценки рисков ИБ для ИС
Сначала осуществляется описание системы: границы, функции, элементы (архитектура, сетевая топология, программное обеспечение (ПО), аппаратное обеспечение (АО), интерфейсы, данные и информация, обслуживающий персонал, функциональные требования к ИС, пользователи и т. д.), требования по ОИБ и выделяются классы данных с позиции обеспечения их ИБ. При этом основными технологиями описания являются опросники, интервьюирование, анализ документации и использование специальных программных средств (сканеров). После этого идентифицируются угрозы ИБ (включая их источники, под которыми здесь понимаются намерения и методы, направленные на умышленное использование уязвимости, или ситуации и методы, которые могут случайно создать уязвимость) и уязвимости технического и нетехнического характера (под ними подразумеваются недостатки или слабости в процедурах, разработке, внедрении системы защиты или внутреннем контроле, которые могут быть случайно или намеренно использованы и проявляющиеся как взломы защиты или нарушения ПолИБ системы) ИТ. Далее анализируется имеющаяся и планируемая система управления для ИТ (технического, организационного и процедурного уровней), минимизирующая и устраняющая возможность (вероятность) реализации угроз из-за имеющихся уязвимостей. Потом определяются вероятности реализации и по ним ранжируются угрозы ИБ. Аналогично по степени тяжести ранжируются последствия инцидентов ИБ.
На заключительной стадии определяются риски ИБ, для измерения которых разрабатывается шкала рисков ИБ и матрица уровня рисков ИБ. На этой основе составляется ранжированный список рисков ИБ, вырабатываются рекомендации по управлению выявленными рисками ИБ и составляются отчетные документы.
Согласно NIST SP 800–30 деятельность по снижению рисков ИБ также в свою очередь состоит из нескольких основных стадий (рис. 2.6): составляется список ранжированных действий по снижению рисков ИБ, производится оценка рекомендованных элементов управления рисками ИБ (технических, управленческих и операционных) с точки зрения их осуществимости и эффективности, проводится анализ затрат и прибыли (с учетом реализации или нереализации элементов управления и всех ассоциированных затрат), выбираются реализуемые элементы управления, в отношении них распределяется ответственность, разрабатывается план реализации мер по снижению рисков ИБ и осуществляется непосредственное внедрение выбранных элементов управления рисками ИБ.
Таким образом, управленческий персонал организации, занимающийся рисками ИБ, анализирует, что может произойти и каковы возможные последствия, прежде чем решить, что и когда должно быть сделано для снижения рисков ИБ до приемлемого уровня или, в идеале, до их полного устранения. Причем процесс управления рисками ИБ может быть применен как к организации в целом, так и любому ее подразделению (например, департаменту, территориальному учреждению, сервису), любой существующей или планируемой ИС или отдельному аспекту контроля (например, планированию обеспечения непрерывности бизнеса (ОНБ)).
Рис. 2.6. Стадии снижения рисков ИБ для ИС
Как отмечалось ранее, ISO/IEC 27001:2005 определяет, что средства управления СУИБ, используемые в рамках ее области действия, границ контекста, должны быть основаны на рисках ИБ. Процесс управления рисками ИБ, реализованный в разных организациях по-разному в зависимости от его конкретного применения, как раз удовлетворяет этому требованию.
В стандартах, посвященных управлению рисками ИБ, в частности в BS 7799–3:2006, особо отмечается, что деятельность по управлению рисками ИБ является непрерывной и затрагивает следующие две фазы: контроль рисков и их оптимизация [6]. Для контроля рисков ИБ рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации рисков ИБ содержит переоценку риска и, соответственно, пересмотр политик, планов по управлению рисками ИБ, корректировку и обновление защитных мер и всех элементов управления рисками ИБ.
Дата: 2018-12-28, просмотров: 602.