Установление контекста управления рисками ИБ
Поможем в ✍️ написании учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

 

Входными данными для первой из составляющих общего процесса управления рисками ИБ является вся информация об организации, которая важна для установления контекста – внешнего и внутреннего – управления рисками ИБ.

Внешний контекст может включать следующее:

- культурную, социальную, политическую, правовую, законодательную, финансовую, технологическую, экономическую, природную и рыночную среды на международном, региональном, национальном или локальном уровнях;

- основные факторы и тенденции, влияющие на цели организации;

- взаимосвязи с заинтересованными сторонами, их восприятие и ценности.

Внутренний контекст подразумевает следующее:

- руководство, организационную структуру, функции и обязательства;

- политику, цели и стратегии для их достижения;

- возможности, рассматриваемые в отношении ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии);

- информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);

- взаимосвязи с внутренними заинтересованными сторонами, их восприятие и ценности;

- культуру организации;

- стандарты, руководящие указания и модели, принятые организацией;

- форму и объем контрактных взаимоотношений.

В сам процесс входит определение базовых критериев принятия решений, области действия, границ и соответствующей деятельности организации по процессу управления рисками ИБ. Важно определить цели управления рисками ИБ, поскольку они влияют на весь процесс в целом и контекст в частности. Такими целями могут быть:

- поддержка функционирования СУИБ;

- соблюдение соответствия законодательным нормам и получение доказательств должного выполнения;

- подготовка плана ОНБ;

- подготовка плана реагирования на инциденты ИБ;

- описание требований по ОИБ к продуктам, сервисам или механизмам реализации элементов процесса установления контекста управления ИБ, необходимым для поддержки функционирования СУИБ.

Выходными данными процесса являются базовые критерии принятия решений, область действия, границы и соответствующая деятельность организации по процессу управления рисками ИБ с описанием его структуры.

2.5.1. БАЗОВЫЕ КРИТЕРИИ ПРИНЯТИЯ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ

 

В зависимости от области действия и задач управления рисками ИБ, для определения базовых критериев принятия решений по управлению рисками ИБ могут быть применены различные подходы, выбранные из имеющихся и описанных в лучших практиках в области управления рисками ИБ, а также разработанные самой организацией. Причем на каждой итерации подход может быть отличным от предыдущего.

К базовым относятся следующие критерии:

1) оценивание рисков ИБ (для сравнения количественно оцененного риска с данными критериями риска для определения значимости риска ИБ);

2) оценки последствий (влияния);

3) принятия рисков ИБ.

Также организация должна оценить, хватит ли ей ресурсов, чтобы выполнять следующие действия:

- оценивать риски и разрабатывать план обработки рисков ИБ;

- определять и внедрять политики и процедуры, включая реализацию выбранных средств управления;

- осуществлять мониторинг средств управления рисками ИБ;

- проводить мониторинг процесса управления рисками ИБ.

При определении критериев оценивания рисков ИБ учитывается следующее:

- стратегическая роль для бизнеса информационных процессов;

- критичность затронутых (вовлеченных) информационных активов;

- требования законодательства и регулирующих органов и договорных обязательств;

- важность для функционирования организации и значения для бизнеса доступности, конфиденциальности и целостности;

- ожидания и реакция причастных сторон и негативные последствия для нематериальных активов и репутации.

Кроме этого критерии оценивания рисков ИБ могут быть использованы для спецификации приоритетов при обработке рисков ИБ.

Критерии оценки последствий определяются в терминах степени ущерба или расходов организации, вызванных событиями ИБ, с учетом следующих факторов:

- класс затрагиваемых информационных активов;

- нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

- нарушение оперативной деятельности (собственной или третьих сторон);

- потеря бизнеса или финансовой ценности;

- нарушение планов и конечных сроков;

- ущерб для репутации;

- нарушения законодательных, нормативных или договорных требований.

Критерии принятии рисков ИБ определяются в зависимости от политик, целей, задач организации и интересов всех заинтересованных сторон. Организация должна установить свою собственную шкалу уровней принятия рисков ИБ с учетом следующего:

- могут рассматриваться несколько порогов с указанием желаемого целевого уровня рисков ИБ, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, выше принятых значений;

- критерии могут выражаться как отношение количественно оцененной прибыли (или другой выгоды для бизнеса) к количественно оцененному риску ИБ;

- к разным классам рисков могут применяться разные критерии, например, может быть не принят риск несоблюдения требования регуляторов или законодательства, тогда как приняты более высокие риски, определенные в договорных обязательствах;

- критерии могут включать требования последующей дополнительной обработки, например, риск ИБ может быть принят, если есть одобрение и обязательства по принятию мер по его снижению до приемлемого уровня в течение определенного периода времени.

Критерии принятии рисков ИБ могут различаться в зависимости от ожидаемых сроков их существования, например, риск ИБ может быть связан с временными или краткосрочными действиями.

Критерии принятия рисков обязательно согласуются с бизнес-крите-риями, законодательством и регуляторами, всеми бизнес-процессами и технологиями, финансами, а также социальными и человеческими факторами.

 

2.5.2. ОБЛАСТЬ ДЕЙСТВИЯ И ГРАНИЦЫ УПРАВЛЕНИЯ РИСКАМИ ИБ

 

Как отмечено в ГОСТ Р ИСО/МЭК 27005–2010, организация должна установить область действия и границы управления рисками ИБ, что гарантирует охват всех относящихся к рискам ИБ активов при оценке рисков ИБ в рамках определенных границ в условиях ведения бизнеса. При этом учитываются следующие факторы:

- стратегические бизнес-задачи, стратегия и политики организации;

- бизнес-процессы;

- функции и структура организации;

- законодательные, регулирующие и договорные требования, применимые к организации;

- ПолИБ организации;

- общий подход организации к управлению всеми рисками;

- информационные активы;

- местоположение и географические особенности организации;

- потребности заинтересованных лиц;

- социо-культурная среда;

- граница – линия раздела (например, для информационного обмена с внешней средой).

При наличии любых исключений из области действия они обосновываются.

Областью действия управления рисками ИБ может быть примененная ИТ, информационная инфраструктура, бизнес-процесс или определенная часть организации.

Граница определяет те части области действия управления рисками ИБ, которые будут рассматриваться.

Должны быть определены, утверждены соответствующими уполномоченными лицами и соблюдаться организация самого процесса управления рисками ИБ как важной части процессов СУИБ и ответственность в рамках этого процесса, включающие:

- разработку процесса управления рисками ИБ, подходящего для организации;

- определение и анализ заинтересованных сторон;

- определение ролей и обязанностей всех сторон – внешних и внутренних;

- установление требуемых взаимосвязей между организацией и заинтересованными сторонами и границ раздела функций организации по управлению рисками высшего уровня (например, управление операционными рисками) и других проектов и видов деятельности;

- определение путей эскалации (передачи на более высокие руководящие уровни) решений;

- спецификацию записей, которые должны быть сохранены.

 

2.5.3. УЧЕТ ТРЕБОВАНИЙ ПО ОИБ ПРИ УПРАВЛЕНИИ РИСКАМИ ИБ

 

Требования по ОИБ в любой организации, независимо от ее размера, вырабатываются с учетом трех основных факторов и обязательно документируются в СУИБ. Эти источники таковы:

- уникальная совокупность угроз ИБ и уязвимостей, реализация которых может привести к значительным потерям для бизнеса;

- законодательные и нормативные требования и договорные обязательства, которые должны выполняться организацией, ее партнерами, подрядчиками и поставщиками услуг;

- уникальный набор принципов, целей и требований по обработке информации, разработанный организацией для поддержки бизнес-процессов и применяемый к ИС организации.

Примеры требований бизнеса – соблюдение политик и процедур, операционного регламента, требований внутреннего аудита, договорных обязательств. Конкретный пример – требования по шифрованию конфиденциальной информации на ноутбуках и использование специальных карт доступа для удаленного доступа в интранет организации.

 

Примеры требований законодательства – необходимость классификации активов, представляющих коммерческую тайну («Закон о коммерческой тайне » от 29 июля 2004 г. № 98-ФЗ), использование сертифицированных средств криптографической защиты, лицензионного ПО, наличие ПолИБ организации.

В СУИБ документируются требования по ОИБ, связанные с совокупностью законодательных требований и договорных обязательств, которые должны выполняться организацией, ее партнерами, подрядчиками и поставщиками услуг. Поддержка СУИБ этих требований имеет большое значение, например, для осуществления контроля копирования лицензионного ПО, защиты документов и данных организации. Очень важно, чтобы наличие или отсутствие защитных мер для каждого актива (например, каждой ИС) не нарушало ни одно из правовых, уголовных или гражданских обязательств, а также ни один коммерческий договор.

Кроме этого в СУИБ документируются требования по ОИБ, связанные с принципами, целями и требованиями, применяемыми во всей организации для обработки информации с целью поддержки ее бизнес-процессов. Выполнение СУИБ этих требований необходимо, например, для повышения конкурентоспособности, денежных потоков и/или рентабельности. Наличие или отсутствие защитных мер для каждого актива не должно препятствовать эффективному выполнению бизнес-процессов и операций в рамках этих бизнес-процессов. Поэтому для каждого актива идентифицируются связанные с ним бизнес-цели и бизнес-требования.

Таким образом, в результате идентификации требований по ОИБ для каждого актива организации составляется список требований/договорных обязательств и бизнес-требований, которые полезно сформулировать в терминах обеспечения конфиденциальности, целостности и доступности.

После этого проводится анализ и оценка всех требований с учетом следующего:

- насколько серьезным будет воздействие на бизнес в случае невыполнения данного требования/договорного обязательства;

- какие последствия это может иметь для защищаемых активов, для всей СУИБ и/или для всей организации в целом;

- какова вероятность того, что это произойдет.



Лекция 3.

 ОЦЕНКА РИСКОВ ИБ

 

Оценка рисков ИБ рассматривается в ISO/IEC 27001:2005. Входными данными этого процесса являются область действия и границы и установленная организация (структура) процесса управления рисками ИБ.

Суть процесса оценки рисков ИБ заключается в их идентификации, количественном или качественном описании и приоритезации согласно критериям и задачам оценивания рисков ИБ, применимым к организации.

Поскольку риски ИБ являются комбинацией последствий, проявляющихся в результате реализации нежелательных событий и вероятности их возникновения, количественная или качественная оценка рисков ИБ описывает эти риски и позволяет руководству установить приоритеты рисков ИБ согласно их ожидаемой значимости (серьезности) или другим установленным критериям.

Согласно ГОСТ Р ИСО/МЭК 27005–2010 деятельность пооценке рисков ИБ включает следующие составляющие:

1) анализ рисков ИБ, в свою очередь подразделяемый на идентификацию и количественную оценку рисков ИБ;

2) оценивание рисков ИБ.

По шагам процесс оценки рисков ИБ выглядит таким образом:

Этап 1 – анализ рисков ИБ.

Подэтап 1 – идентификация рисков ИБ.

Шаг 1 – идентификация активов.

Шаг 2 – идентификация угроз ИБ.

Шаг 3 – идентификация существующих средств управления рисками ИБ.

 

Шаг 4 – идентификация уязвимостей.

Шаг 5 – идентификация последствий.

Подэтап 2 – количественная оценка рисков ИБ.

Шаг 1 – оценка последствий.

Шаг 2 – оценка вероятностей.

Шаг 3 – определение уровня (величины) рисков ИБ.

Этап 2 – оценивание рисков ИБ.

В процессе оценки рисков ИБ определяются ценность информационных активов, возможные угрозы ИБ, существующие уязвимости, средства управления и их влияние на выявленные риски ИБ и потенциальные последствия, а также устанавливаются окончательные приоритеты рисков ИБ и они ранжируются согласно критериям оценивания рисков в контексте управления рисками ИБ.

Оценка рисков ИБ обычно осуществляется за две или более итераций: первая – высокоуровневая оценка для выявления наивысших рисков, которая служит основой для дальнейшей оценки; вторая – более глубокое рассмотрение потенциально высоких рисков, обнаруженных ранее. После этого если собрано недостаточно информации, проводится более детальный анализ рисков ИБ, возможно для отдельных частей области действия и с использованием различных методов.

В стандартах, описывающих вопросы управления рисками ИБ, отмечается, что каждая организация вправе выбирать свой подход к оценке рисков ИБ, исходя из ее целей и задач.

Эксперт, участвующий в оценке рисков ИБ, должен быть профессионалом в области ИТ и ИБ, человеком бизнеса или внешним консультантом организации по ИТ. Он должен обладать следующими характеристикам:

- базовое понимание того, как функционирует бизнес, и подверженность этого бизнеса рискам ИБ;

- понимание основных концепций риска ИБ, например, каким образом комбинируются оценки угрозы ИБ, уязвимостей и ущерба для получения величины риска ИБ;

- понимание ИТ на уровне, достаточном для понимания угроз ИБ и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, ОС, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют;

- понимание различных типов защитных мер (например, межсетевой экран (МЭ), система обнаружения вторжений (СОВ), механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также системы регистрации событий и мониторинга), как они работают и любые свойственные им ограничения;

- понимание подходящего метода оценки рисков ИБ и практическое владение любыми, связанными с ним, инструментами, ПО или формами;

- аналитические способности, то есть способность выделять относящиеся к делу факты;

- способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;

- уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков ИБ в форме, понятной руководству, принимающему решения.

На выходе процесса оценки рисков ИБ получается список оцененных рисков ИБ с их приоритетами, присвоенными в соответствии с критериями оценивания рисков ИБ.

Оценка рисков ИБ может проводиться на уровне организации, в рамках взаимосвязанной совокупности систем, для отдельной системы или приложений, а также для конкретных критических функций внутри системы. Важно помнить, что оценка рисков ИБ на уровне организации не является простой комбинацией рисков для всех ее критических функций, поскольку совместное проявление нескольких рисков может существенно повысить общий риск ИБ.

Общими методологическими недостатками большинства современных подходов к оценке рисков ИБ являются, во-первых, субъективный выбор экспертами уровней рисков, которые в идеале должны были бы оцениваться на основе математического моделирования и представлять собой основу эффективного управления, и, во-вторых, использование исторических данных (набранной статистики) для получения и объяснения оценок рисков постфактум, без научно-методического прогнозирования в развитии различных сценариев угроз ИБ для разных условий функционирования систем. Как следствие – большие погрешности в предсказания рисков ИБ и поведении систем. Поэтому многие инструментальные средства, автоматизирующие процесс оценки рисков на основе традиционных экспертных подходов, всего лишь проверяют выполнение некоторых условий, признаваемых обязательными. Далее из выполнения этих условий делаются соответствующие выводы: «выполнено» – риск меньше, «не выполнено» – риск возрастает. Поэтому в настоящее время существенно возрастает роль моделирования, в первую очередь математического, как наиболее объективного гаранта всесторонней оценки и прогнозирования рисков ИБ и разрабатываемых систем с учетом возможных последствий от их проявлений. Инновационные модели, предложенные российскими учеными, базируются на использовании методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов, сетей Петри-Маркова, имитационном моделировании и т. п. Их применение в зависимости от количественных системных характеристик процессов позволяет заказчикам, разработчикам и пользователям систем оперативно вычислять вероятности успеха, риски неудач и связанные с этим потери, в том числе в денежном выражении, или количестве успешно реализованных атак (правда, тогда опять потребуется статистика по атакам). Такое моделирование обеспечивает аргументированное решение задач анализа и снижения рисков при управлении проектами, исследования вопросов защищенности систем от потенциальных угроз ИБ, выявления уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и многих других.

Этап 1 – анализ рисков ИБ

 

Анализ рисков ИБ позволяет эффективно управлять ИБ организации. Для этого в самом начале работ по анализу рисков ИБ необходимо определить, какие именно активы организации подлежат защите, какие угрозы ИБ могут воздействовать на эти активы, а также через какие уязвимости активов и с какой вероятностью эти угрозы ИБ могут быть реализованы. На основе полученной информации по результатам анализа рисков ИБ формируется план обработки рисков ИБ, рассчитанный на определенный период времени, за который выявленные риски ИБ должны быть минимизированы за счет использования конкретных защитных мер.

Лучшие практики в области управления рисками ИБ показывают, что анализ рисков ИБ проводится в следующих случаях:

- изменения в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);

- обновления информационной инфраструктуры организации или существенных изменений в ней;

- переход на новые ИТ;

- организация новых подключений к сети организации (например, подключения сети филиала к сети головного офиса);

- подключение к глобальным сетям (в первую очередь к Интернету);

- проверка эффективности ОИБ в организации или ее подразделениях.

Выделим основные этапы процесса анализа рисков ИБ в организации:

- идентификация (инвентаризация), категоризация и определение ценности подлежащих защите активов с их подробным документированием, причем особое внимание необходимо уделять критически важным для бизнеса активам и степени зависимости организации от их штатного функционирования, ИБ хранимых и обрабатываемых данных;

- идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и уязвимости, законодательные и бизнес-требования; при этом необходимо учитывать, что появляются новые угрозы ИБ и уязвимости по отношению к старым активам, а также сами новые активы и ассоциированные с ними угрозы ИБ и уязвимости;

- оценка вероятности проявления угроз ИБ и уязвимостей, важности правовых и бизнес-требований и ожидаемых размеров потерь;

- расчет рисков ИБ, возникающих в результате сочетания указанных факторов.

При выполнении оценки рисков ИБ может использоваться широко распространенная методология оценки критичных угроз ИБ, активов и уязвимостей для организаций разного размера и сферы деятельности OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) [www.cert.org/octave], разработанная в университете Карнеги-Мелон (США). Сущность метода заключается в том, что для оценки рисков ИБ соответствующим образом в три этапа проводятся внутренние семинары (англ. workshops). Оценке рисков ИБ предшествуют подготовительные мероприятия: согласование графика семинаров, назначение ролей, планирование, координация действий участников проектной группы. На первом этапе осуществляется разработка профилей (моделей) угроз ИБ, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз ИБ и оценку их вероятности, а также определение системы организационных мер по ОИБ. На втором этапе производится технический анализ уязвимостей ИС организации в отношении рассматриваемых угроз ИБ с оценкой их величины. На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления ранее идентифицированных угроз ИБ с использованием уязвимостей, определение стратегии ОИБ, а также выбор вариантов и принятие решений по обработке рисков ИБ. Величина риска ИБ рассчитывается как усредненная величина годовых потерь организации в результате реализации угроз ИБ.

В зависимости от используемого метода оценки рисков ИБ, угрозы ИБ и уязвимости могут идентифицироваться и, следовательно, оцениваться вместе или отдельно. Возможно использование обоих вариантов. Решение о выборе конкретного подхода следует принимать при выборе общего подхода к оценке рисков ИБ.

Рассмотрим указанные шаги анализа рисков ИБ более подробно.

 

3.1.1. ПОДЭТАП 1 АНАЛИЗА РИСКОВ ИБ – ИДЕНТИФИКАЦИЯ

РИСКОВ ИБ

 

Целью идентификации рисков ИБ является определение того, что может случиться и повлечь за собой потенциальные потери, и попытка разобраться, как, где, когда и почему может возникнуть ущерб [35]. На этой стадии проводится выявление рисков ИБ, их идентификация и сравнение новых идентифицированных рисков ИБ с ранее выявленными. Новый риск ИБ может повторять или расширять один из ранее выявленных. В таком случае следует не включать его в список рисков ИБ, а уточнить описание и оценки выявленного раньше риска ИБ.

Для идентификации рисков ИБ обычно используются четыре метода. Исторический анализ – сравнение ситуации в области ОИБ в организации с аналогичным анализом, выполненным ранее, поскольку часто прошлые проблемы остаются рисками ИБ и в новых условиях ведения бизнеса.

Аналитический метод, который включает моделирование, анализ по схеме «причина-результат», анализ таблиц истинности и т. д.

Совещания, посвященные выявлению и оценке рисков ИБ. Индивидуальные интервью, которые проводятся как с руководством, так и с рядовыми сотрудниками и всеми заинтересованными лицами и каждый выявленный риск ИБ необходимо документировать, описав суть риска ИБ, причины, которые могут его вызвать, и последствия его реализации.

Так, например, влияющие в конечном счете на ИБ риски, с которыми приходится иметь дело в проектах разработки ПО, можно условно разбить на несколько типов:

1) технические риски, связанные с разработкой новых решений или изменением старых, направленных на повышение производительности или достижение принципиально новой функциональности;

2) программные риски, связанные с приобретением или использованием ПО третьих фирм (если это приобретение не находится под должным контролем разработчиков и руководителей проекта);

3) риски на этапе сопровождения системы, в том числе связанные с размещением ПО у заказчика, поддержкой, обучением и т. п.;

4) стоимостные риски, связанные с превышением затрат или проблемами финансирования проекта;

5) риски сроков, связанные с необходимостью ускорить разработку из-за внешних причин;

6) риски неудовлетворенности заказчика.

Далее рассмотрим шаги, которые позволят собрать всю необходимую информацию для количественной оценки рисков ИБ. В зависимости от выбранной в организации методологии эти шаги могут выполняться в различной последовательности.

 

3.1.2. ШАГ 1 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ АКТИВОВ

 

Согласно ГОСТ Р ИСО/МЭК 27005 -2010 и ISO/IEC 27005:2011 входными данными являются область действия и границы оценки рисков ИБ, список всех попадающих в эту область активов с их владельцами, расположением, функциями, вовлечением в конкретные бизнес-процессы и т. д.

Суть процесса идентификации активов сводится к выявлению (инвентаризации) всех активов в установленной области действия оценки рисков ИБ. Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других бизнес-целей, таких как техника безопасности и охрана труда, страхование или финансовые причины . Это область действия деятельности, относящейся к так называемому управлению активами.

Основными активами любой организации являются:

- бизнес-процессы (подпроцессы) и бизнес-деятельность;

- информация.

К вспомогательным активам относятся аппаратные средства, носители данных, ПО, бизнес-приложения, сети, персонал.

Обобщая многочисленные источники информации по активам, определим, что к активам организации можно отнести следующее:

- физические объекты: оборудование (в том числе контроля доступа, периферийные устройства, клиентские компьютеры, серверы) и аппаратура связи (в том числе маршрутизаторы, коммутаторы, концентраторы, автоответчики, факсы), носители информации (бумага, магнитные ленты, компакт-диски и т. п.), другое техническое оборудование (источники питания, кондиционеры), мебель, помещения, используемые для поддержки обработки информации;

- программные ресурсы: прикладное ПО, системное ПО, приложения операционной системы (ОС), сами ОС, процессы, порождаемые ОС, средства разработки, сервис DNS-имен, служба поддержки точного времени, почтовые клиенты, веб-браузеры, удаленные терминалы и т. д.;

- различные виды информационных ресурсов – информация служебная, финансово-аналитическая, управляющая и пр. в бумажной, электронной и если необходимо и устной формах – в виде БД и файлов, архивированной информации, системной документации, аналитической информации внутреннего пользования, планов ОНБ, процедур эксплуатации и поддержки, контрактов, документов с важными бизнес-результатами, информация о бизнес-контактах, деловая переписка, руководства пользователей, учебные материалы и т. д.;

- процессы, включая технологические (служебно-информационные, тестовые сообщения, результаты работы приложений и т. п.) и бизнес-процессы (бизнес-планы, финансовые сметы, прогнозы, аналитическая информация, системная документация, руководства пользователя, обучающий материал, эксплуатационные или поддерживающие процедуры, планы ОНБ, меры по нейтрализации рисков ИБ и т. д.);

- продукты и услуги, предоставляемые клиентам организации: вычислительные и коммуникационные сервисы, другие технические службы (отопление, освещение, электропитание, кондиционирование), как внутренние (например, предоставляемые бизнес-подразделениям подразделениями, ответственными за поддержание ИТ в рамках организации), так и внешние – предоставляемые внешними поставщиками услуг (например, Интернет, поддержка производителей ПО и оборудования);

- финансовые (денежные) средства;

- людские ресурсы, их квалификация, способности и опыт: персонал, клиенты, подписчики и любые другие люди, находящиеся в области действия СУИБ, которые участвуют в процессах хранения или обработки информации;

- нематериальные активы – имидж и репутация организации.

Для каждого актива или группы активов обязательно определяется их владелец, что обеспечивает ответственность за активы и их ученость. Владелец актива не обязательно имеет права собственности на актив, но он ответственен за его производство, разработку, сопровождение, использование и защиту. Он чаще всего является тем лицом, кото-рое может определить ценность актива для организации. Владелец актива должен нести ответственность за определение его классификации с точки зрения ИБ и прав доступа к нему, согласование и документирование этих решений, а также поддержание соответствующих средств управления. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности . Кроме того, может быть полезным определение, документирование и внедрение правил допустимого использования активов, описывающих разрешенные и запрещенные действия при повседневном использовании актива. Лица, использующие активы, должны быть осведомлены об этих правилах, поскольку корректное использование активов входит в их обязанности. Ответственность за реализацию средств управления ИБ актива может быть делегирована, в то время как учет активов должен оставаться обязанностью назначенного владельца актива.

Идентификация активов выполняется с соответствующей степенью детализации, необходимой для получения информации для правильной оценки рисков ИБ. Степень детализации влияет на общий объем информации, собранной во время оценки рисков ИБ. Степень детализации может быть пересмотрена при последующих итерациях оценки рисков ИБ.

Границами рассмотрения актива является его периметр, определенный для управления активами в рамках всего процесса управления рисками ИБ. Надлежащее управление активами и их учет имеют важнейшее значение для поддержания ИБ активов организации. Необходимо чтобы эти действия выполнялись и поддерживались на разных уровнях управления организацией.

Идентификация активов может осуществляться посредством, например, интервьюирования или анкетирования их владельцев. Тогда для каждого из активов составляются анкеты, включающие сведения, характеризующие данный актив. Например, если говорить об оборудовании, то желательно фиксировать в анкетах его месторасположение, так как от этого в значительной степени могут варьироваться угрозы ИБ, которые могут быть реализованы против актива, а также может изменяться вероятность реализации угроз ИБ.

При идентификации важно учесть все основные активы. Для уверенности в том, что нет пропущенных или забытых активов, необходимо иметь четко очерченные границы области действия СУИБ. Часто полезно сгруппировать активы по типам, например, информация, ПО, физические активы и услуги. Группа однотипных активов может рассматриваться при последующей оценке рисков ИБ в качестве единого актива. Каждый актив в границах области действия СУИБ явным образом идентифицируется и соответствующим образом оценивается, а его владелец и категория согласуются и документируются.

Также обязательно выявляются виды зависимостей одних активов от других, поскольку их наличие может оказать влияние на оценку активов. Например, конфиденциальность данных должна быть обеспеченна на протяжении всего процесса их обработки, то есть необходимость ОИБ программ обработки данных следует напрямую соотнести с уровнем ценности и конфиденциальности обрабатываемых данных. Кроме того, если важна целостность вырабатываемых программой данных, то входные данные для этой программы должны иметь соответствующую степень надежности. Целостность информации также будет определяться качеством аппаратных средств и ПО, используемых для ее хранения и обработки. Функционирование аппаратных средств будет зависеть от качества энергоснабжения и, возможно, от работы систем кондиционирования воздуха. Таким образом, данные о зависимостях, существующих между отдельными активами, будут способствовать идентификации некоторых видов угроз ИБ и определению конкретных уязвимостей, а использование данных о зависимостях даст уверенность в том, что активы оценены в соответствии с их реальной ценностью (с учетом существующих взаимозависимостей) и уровень ИБ для них выбран обоснованно.

Уровни ценности активов, от которых зависят другие активы, могут быть изменены в следующих случаях:

-  если уровни ценности зависимых активов (например, данных) ниже или равны уровню ценности рассматриваемого актива (например, ПО), то этот уровень останется прежним;

-  если уровни ценности зависимых активов (например, данных) выше, то уровень ценности рассматриваемого актива (например, ПО) необходимо повысить с учетом:

- уровня соответствующей зависимости,

- уровней ценности других активов.

Организация может иметь в своем распоряжении некоторые многократно используемые активы, например копии ПО, что необходимо учитывать при проведении оценки активов. С одной стороны, копии программ и т. д. в ходе оценки легко упустить из виду, и поэтому следует позаботиться о том, чтобы учесть их все; с другой стороны, их наличие может снизить остроту проблемы доступности информации.

В соответствии с ГОСТ Р ИСО/МЭК 17799–2005 и ISO IEC 27002:2005 после идентификации информация классифицируется с точки зрения ее значимости, требований закона, конфиденциальности и критичности для организации. Классификация должна учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями. Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом. Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне.

Результатом процесса идентификации активов являются два обоснованных списка – активов, подверженных рискам ИБ и относящиеся к рассматриваемой области действия СУИБ, с их местонахождением и владельцами и бизнес-процессов, связанных с этими активами.

 

3.1.3. ШАГ 2 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ УГРОЗ ИБ

 

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 исходными данными для процесса является информация об угрозах ИБ, полученная из отчетов по инцидентам ИБ, от владельцев активов, пользователей и из других источников, включая внешние каталоги угроз ИБ. Основным видом действий на данном шаге является идентификация угроз ИБ и их источников.

Напомним, что источник угрозы ИБ – это субъект (физическое лицо, материальный объект или физическое явление), активизирующий угрозу ИБ и переводящий ее из разряда потенциальной опасности нарушения свойств ИБ (конфиденциальности, доступности, целостности и т. д.) активов организации в реально происходящее нарушение этих свойств. Источники угроз ИБ можно разделить на три класса.

Антропогенные: внешние: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телепатических услуг; представители надзорных организаций и аварийных служб; представители силовых структур и внутренние: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации (администраторы); вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация);

Техногенные: внешние: средства связи; сети инженерных коммуникаций (водоснабжение , канализация); транспорт и внутренние: некачественные технические средства обработки информации (СОИ); некачественные программные СОИ ; вспомогательные средства (охрана, сигнализация, телефония); другие технические средства, применяемые в учреждении;

Стихийные (чаще всего внешние): пожары; землетрясения; наводнения; ураганы; магнитные бури; радиоактивное излучение; различные

непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.

Согласно ставшему уже классическим подходу для информации вообще выделяются различные угрозы ИБ, связанные с ее основными свойствами: конфиденциальности – хищение (копирование) информации и средств ее обработки и т. п.; целостности – модификация (искажение) информации , отрицание ее подлинности, навязывание ложной информации и т. п.; доступности – блокирование информации; уничтожение информации и средств ее обработки и т. п.; неотказуемости – отказ пользователя от факта выполнения им транзакции и т. п.; аутентичности – отказ от авторства в отношении электронного документа и т. п.; учетности – отсутствие места на жестком диске для записи всех событий, собранных агентами СОВ и т. п. и функциональности – когда нет соответствия преднамеренному поведению пользователя и результатам работы приложений.

Существуют и другие виды классификаций. Так, угрозы ИБ бывают случайными и намеренными, внешними и внутренними, вызывающими несанкционированные действия, физический ущерб или отказы оборудования. Они могут причинить вред информации, процессам, системам организации в целом. Некоторые угрозы ИБ могут относиться сразу к нескольким активам и наоборот – для одного актива могут существовать несколько угроз разных классов.

При проведении оценки рисков ИБ все типы угроз ИБ для активов организации и их источники идентифицируются и относятся к определенным классам.

Для определения вероятности реализации угрозы ИБ исходные данные можно получить от владельцев активов и пользователей, сотрудников департамента персонала, руководителей объектов, специалистов по ИБ, экспертов по физической защите, правового департамента и других организаций, включая юридических лиц, метеорологических организаций, страховых компаний и национальных органов власти. При рассмотрении угроз ИБ также нужно учитывать все аспекты окружающей среды, включая культурные особенности страны, в которой работает организация.

Важно применять в новых условиях и собственный опыт произошедших ранее инцидентов ИБ и прошлых оценок угроз ИБ, но помня, что в среде ведения бизнеса и в ИС и в ИТ происходят постоянные изменения. Также стоит обратиться к другим каталогам и статистикам угроз ИБ (возможно, специфичным для организации или ее бизнеса), что поможет создать наиболее полный список угроз ИБ, применимых к организации.

На выходе данного процесса получается список угроз ИБ с их типами и источниками.

 

3.1.4. ШАГ 3 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ СУЩЕСТВУЮЩИХ СРЕДСТВ УПРАВЛЕНИЯ РИСКАМИ ИБ

 

Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными третьего шага анализа рисков ИБ являются документация по существующим средствам управления рисками ИБ и планы обработки рисков ИБ, реализующие конкретные действия. В данном контексте под средствами управления рисками ИБ (англ. controls) понимаются существующие процессы, политики, устройства, практики и другие действия, включая защитные меры, которые минимизируют негативные риски или повышают позитивные возможности для обеспечения достаточной уверенности в отношении достижения поставленных целей в области ОИБ, а также любая мера или действие, модифицирующие риск ИБ.

На основе имеющихся входных данных необходимо идентифицировать существующие и планируемые к использованию средства управления, реализующие ОИБ для каждого из активов. Это поможет избежать ненужной работы или затрат, например, при дублировании функций управления, выборе дополнительных защитных мер, которые хорошо взаимодействуют с уже существующими, а для существующих средств убедиться в корректности их функционирования (обращения к уже имеющимся отчетам по аудитам СУИБ уменьшат время на выполнение данной задачи).

Если средства управления не работают, как это ожидалось, то могут возникнуть уязвимости.

Следует особо рассмотреть ситуации, когда выбранное средство управления (или стратегия) не выполняет свои функции и, следовательно, требуются дополнительные средства для эффективного устранения выявленных рисков ИБ. В ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 для СУИБ это поддерживается измерением эффективности средств управления. Способом оценить действенность средства является выяснение того, как это средство снижает вероятность реализации угрозы ИБ, усложняет использование уязвимостей или смягчает последствия инцидента ИБ.

Анализ со стороны руководства и аудиторские отчеты дают информацию об эффективности существующих средств управления.

Планируемые к использованию в соответствии с планами обработки рисков ИБ средства управления рассматриваются аналогично уже существующим средствам.

Существующие и планируемые средства управления могут быть идентифицированы как неэффективные, недостаточные или неоправданные. В двух последних случаях эти средства необходимо проверить

для определения того, стоит ли их удалить, заменить другими более подходящими, или оставить, например, из соображений стоимости.

Кроме того, необходимо провести дополнительную проверку для определения совместимости выбранных новых средств управления с действующими и другими планируемыми к использованию, поскольку планируемые и действующие средства управления не должны входить в противоречие друг с другом.

Для идентификации существующих и запланированных средств управления могут быть полезны следующие действия:

- просмотр документов, содержащих информацию по средствам управления (например, планов обработки рисков ИБ). Если процессы управления ИБ хорошо документированы, из них будет понятен статус внедрения этих средств;

- проверка, проводимая совместно с ответственными за ОИБ (например, сотрудниками подразделений ИБ и ОИБ ИС) и пользователями информационных процессов в ИС, для которых реально реализованы рассматриваемые средства управления;

- анализ на месте физических средств управления, сравнение реально реализованного и того, что должно быть, и проверка корректности и эффективности реализации;

- рассмотрение результатов внутренних аудитов ИБ.

Выходными данными процесса являются список существующих и запланированных средств управления рисками ИБ и информация о состоянии их внедрения и использования.

 

3.1.5. ШАГ 4 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ УЯЗВИМОСТЕЙ

 

Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными являются списки известных угроз ИБ, защищаемых активов и существующих средств управления. На этом шаге идентифицируются уязвимости, которые могут быть использованы угрозами ИБ (точнее источниками угроз ИБ) для причинения ущерба активам или всей организации в целом.

Существует несколько разных классификаций уязвимостей: по причинам возникновения, по месту нахождения, по степени критичности последствий от ее использования угрозами ИБ, а также по вероятности реализации.

По причинам возникновения уязвимости подразделяются на три класса:

- проектирования, использующие анализ алгоритма ПО и АО;

- реализации, использующие анализ исходного текста (его синтаксиса, семантики, конструкций и т. п.) или исполняемого файла (его атрибутов, процесса выполнения – операции с памятью, работа с указателями, вызов функций), внешними воздействиями, когда на вход подаются разные граничные и маловероятные значения переменных, а также дизассемблированием и анализом полученного кода);

- эксплуатации, включая слабости системной политики, ошибки настройки ПО и АО и пр.

По месту нахождения уязвимости могут быть идентифицированы в следующих областях:

- организация в целом;

- ее процессы и процедуры (организация работ);

- установившаяся практика (порядок) управления и администрирования;

- персонал;

- физическая среда;

- конфигурации ИС;

- аппаратное, программное и телекоммуникационное оборудование;

- зависимость от внешних сторон.

Уязвимость может присутствовать в активе, а может находиться и в средстве обеспечения его ИБ. Также выделяют уязвимости на уровне сети, отдельного хоста (устройства с уникальным адресом) или приложения.

По степени критичности (уровню риска) уязвимости делятся следующим образом(при этом уровень риска (англ. level of risk) – это величина риска или комбинации рисков, выраженная как сочетание последствий и возможности их возникновения:

- высокий уровень риска – уязвимости, позволяющие атакующему получить доступ к хосту с правами суперпользователя, а также уязвимости, делающие возможным обход средств защиты для попадания в интранет организации;

- средний уровень риска – уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к отдельному хосту и уязвимости, приводящие к повышенному расходу ресурсов системы (за счет атак «отказ в обслуживании»);

- низкий уровень риска – уязвимости, позволяющие осуществлять сбор критической информации о системе (например, неиспользуемые службы, текущее время на компьютере для последующих атак на криптоалгоритмы и т. д.).

Уязвимости можно оценить по вероятности реализации на ее основе угрозы ИБ:

- высоковероятная или вероятная – данную уязвимость легко использовать, защита отсутствует или очень слаба;

- возможная – уязвимость может быть использована, но имеется защита;

- маловероятная или невозможная – данную уязвимость использовать трудно, имеется хорошая защита. Сама по себе уязвимость ( просто ее наличие) не причиняет вреда – для этого нужны угроза ИБ и ее источник, которые ею воспользуются. Уязвимость лишь создает потенциальные условия для реализации угрозы ИБ.

Уязвимость, для которой не выявлено соответствующей угрозы ИБ, может и не требовать реализации средств управления, но она все равно должна быть осознана и должен осуществляться мониторинг ее изменений. И наоборот, угроза ИБ, для реализации которой в системе нет уяз - вымости, не актуальна для этой системы и не влечет за собой риска ИБ.

Следует отметить, что некорректная реализация или использование и неправильное функционирование средств управления и, следовательно, защитных мер (например, при некорректной конфигурации) может также создать уязвимость. Средство управления может быть эффективным или неэффективным в зависимости от среды его функционирования.

Уязвимости могут быть связаны со свойствами актива. Способ и цели использования актива могут отличаться от планируемых при его приобретении или создании. Необходимо учитывать уязвимости различного происхождения, например, внутренние или внешние по отношению к данному активу.

Выходными данными процесса являются два списка – уязвимости по отношению к активам, угрозам ИБ и средствам управления и уязвимости, не связанные ни с какими обнаруженными угрозами ИБ.

 

3.1.6. ШАГ 5 ПОДЭТАПА 1 – ИДЕНТИФИКАЦИЯ ПОСЛЕДСТВИЙ

 

Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными процесса являются списки активов, бизнес-процессов , угроз ИБ и уязвимостей (при возможности с указанием активов) и их значимость. Должны быть определены прямые и косвенные последствия возможной потери активами конфиденциальности, целостности и доступности, вызванной инцидентами ИБ. Такими последствиями могут быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб для репутации и т. д. Возможные развития (сценарии) инцидентов ИБ описываются как реализации угроз ИБ на основе использования одной или нескольких существующих уязвимостей.

Воздействия инцидента ИБ определяются с учетом критериев оценки последствий , выделенных в процессе установления контекста управления рисками ИБ. Последствия могут затронуть один или несколько активов или часть актива, могут носить временный и постоянный характер (как в случае разрушения актива). Активам при их повреждении или компрометации могут быть сопоставлены как значения финансовых потерь, так и последствия для всего бизнеса организации.

Негативные последствия от воздействия рисков ИБ могут быть двух типов:

- мгновенные последствия, например, отказ оборудования;

- накапливающиеся последствия, например, отказ оборудования в результате исчерпания его ресурса.

Последствия идентифицируются, например, в следующих терминах:

- время исследования возникших проблем и время восстановления;

- потеря рабочего времени;

- упущенные возможности;

- охрана труда и безопасность;

- финансовые затраты на приобретение навыков по устранению неисправностей и возмещению ущерба;

- имидж и репутация и т. д.

Выходные данные процесса представляются в виде списка сценариев инцидентов ИБ с их последствиями для конкретных активов и бизнес-процессов.

 

 

3.1.7. ПОДЭТАП 2 АНАЛИЗА РИСКОВ ИБ – КОЛИЧЕСТВЕННАЯ

 

ОЦЕНКА РИСКОВ ИБ

 

Анализ рисков ИБ может проводиться с разной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и произошедших в организации инцидентов ИБ. Может быть произведена количественная, качественная и комбинированная оценка (в смысле установления значений) рисков ИБ. На практике сначала обычно применяется качественная оценка, показывающая уровень риска и выявляющая наиболее важные риски ИБ. Далее может потребоваться провести более конкретный количественных анализ основных рисков ИБ, который является более сложным и дорогим в реализации. Форма анализа должны соответствовать критериям оценивания рисков ИБ, разработанных в рамках установления контекста управления рисками ИБ.

Для количественной оценки, или установления значения, формализации, рисков ИБ не существует естественной шкалы – их можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия – оценка владельцем актива риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков ИБ, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку оценка должна отражать субъективную точку зрения владельца актива, и следует учитывать различные аспекты – не только технические, но и организационные, психологические и т. д.

Как было отмечено выше, различают качественный, количественный и полуколичественный подходы к установлению значений рисков ИБ.

Качественный подход к количественной оценке рисков ИБ использует словесную шкалу квалификационных атрибутов, описывающих величину потенциальных последствий (например, как «низкую», «среднюю» и «высокую») и вероятность возникновения данных последствий. Преимущество такой оценки – ее понятность всему персоналу, недостаток – субъективный выбор шкалы численных значений. Шкалы могут быть адаптированы или откорректированы согласно обстоятельствам и для различных рисков могут использоваться разные описания.

Качественный подход к количественной оценке рисков ИБ может применяться:

- как начальный при идентификации рисков ИБ, которые позже будет проанализированы более детально;

- когда этого типа анализа достаточно для принятия решений;

- когда имеющихся числовых данных или ресурсов недостаточно для количественной оценки.

Качественный анализ использует по возможности фактическую информацию и данные.

Количественный подход к количественной оценке рисков ИБ использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников. Качество такого анализа зависит от точности и полноты числовых значений и правильности применяемых моделей. Количественный подход к количественной оценке рисков ИБ во многих случаях использует исторические данные (фактические данные за прошедший период) об инцидентах ИБ, что обеспечивает его основное преимущество – непосредственную связь с задачами и потребностями организации в ОИБ. Недостаток – отсутствие таких данных по новым рискам ИБ и уязвимостям, а также возможная недоступность фактических данных или данных аудитов, которая порождает иллюзию правильно проведенной оценки рисков ИБ.

При комбинированном полуколичественном подходе к количественной оценке рисков ИБ для выше описанных качественных шкал задаются значения. Цель – создание шкалы более широких рейтингов, чем при качественном анализе, но это не означает присвоение реалистичных значений риска ИБ, как при количественном анализе. Однако, поскольку присваиваемое каждому описанию значение не может точно соответствовать фактической величине последствий или вероятности, значения должны быть объединены с помощью формулы, учитывающей ограничения типов используемых шкал. Следует соблюдать осторожность при использовании полуколичественного анализа, поскольку выбранные значения не могут правильно отражать относительность и это может привести к несогласованности, аномальным или несоответствующим результатам. Полуколичественный анализ не может правильно дифференцировать риски ИБ, особенно когда последствия или вероятности являются экстремальными.

Способ представления последствий и вероятностей и их комбинирования для обеспечения допустимого уровня риска ИБ будет варьироваться в зависимости от типа риска и цели, для которой выходные данные оценки рисков ИБ будут использоваться. Важно учитывать неопределенность и изменяемость этих последствий и вероятностей.

 

3.1.8. ШАГ 1 ПОДЭТАПА 2 – ОЦЕНКА ПОСЛЕДСТВИЙ

 

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и ISO/IEC 27005:2011 входными данными процесса является список идентифицированных возможных сценариев инцидентов ИБ, включая угрозы ИБ, уязвимости, затрагиваемые активы, последствия для активов и бизнес-процессов.

В рамках данного процесса оценивается воздействие на организацию возможных или фактических инцидентов ИБ, принимая во внимание последствия нарушения ИБ, например, потери активами конфиденциальности, целостности или доступности. Воздействие может оцениваться в краткосрочном плане и долгосрочной перспективе.

Значение последствий для бизнеса может быть выражено в качественной или количественной форме. Наиболее нагляден и больше дает информации для принятия решений метод, в котором последствиям присваивается денежное выражение.

Оценка последствий может включать в себя:

- учет существующих средств управления рисками ИБ для обработки последствий, вместе со всеми соответствующими факторами, которые оказывают влияние на них;

- влияние последствий рисков ИБ на первоначальные цели организации;

- учет как непосредственных последствий, так и тех, которые могут возникнуть через определенный период времени, если это согласуется с областью оценки;

- учет вторичных последствий, таких, которые влияют на соответствующие системы, деятельность, оборудование или организации.

После идентификации всех входящих в область действия активов для оценки последствий должна учитываться ценность активов организации. Это важный этап в общем процессе анализа рисков ИБ и фактор оценки последствий инцидентов ИБ, поскольку инцидент может затрагивать более одного актива или только часть актива. Входные данные для оценки ценности активов должны быть предоставлены владельцами (иногда пользователями) активов – людьми, которые обладают наиболее полными знаниями об активе и способны оценить его важность для организации и ее бизнеса.

Чтобы правильно спланировать защитные меры для активов, необходимо определить их ценность на основе стоимости их восстановления (или замены) и важности для бизнеса и значимости в определенных обстоятельствах. Оценка активов начинается с их инвентаризации и классификации в соответствии со значимостью, которая обычно определятся в терминах потенциальных воздействий на бизнес, которые могут быть оказаны в результате нежелательных инцидентов ИБ, приводящих к финансовым потерям, уменьшению прибыли, доли на рынке или ущербу репутации организации.

Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и организации, ведущей бизнес. Важно учесть все потенциальные затраты, связанные с возможной компрометацией защищаемых активов.

Чтобы единообразно определить ценность активов и надлежащим образом связать эти оценки, необходимо применять шкалу оценок активов. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех-пяти (например, шкалы «низкая– средняя–высокая» или «пренебрежимо малая–низкая–средняя–высокая– очень высокая–критичная») до десяти при условии, что это совместимо с подходом организации к общему процессу оценки рисков ИБ. Так можно определить шкалу для получения оценки актива, например, имеющую три значения:

- малоценный актив: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;

- актив средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления – высокая;

- ценный актив: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.

При другом подходе каждому качественному значению шкалы возможно поставить в соответствие количественные значения (например, интервалы, выраженные в денежных единицах).

Часто для оценки активов используются следующие показатели:

1. Первоначальная стоимость актива (стоимость приобретения).

2. Стоимость поддержания актива в процессе решения бизнес-задач до его компрометации.

3. Стоимость замены/восстановления/воссоздания/обновления актива (восстанавливающая очистка или замена информации, если это вообще возможно).

4. Последствия для бизнеса от потери или компрометации актива (например, потенциальных неблагоприятных бизнес-последствий и/или правовых или нормативных последствий раскрытия, изменения, недоступности и/или уничтожение информации и других информационных ресурсов). Такая оценка может быть получена на основе анализа бизнес-последствий.

Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки. Например, бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга.

Ценность актива может также носить нематериальный характер, например, цена репутации организации или цена личной безопасности.

Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей.

В любом случае организация должна определить свои собственные границы для шкалы оценок активов: что следует считать «низкой» или «высокой» ценностью, поскольку ущерб, катастрофический для небольшой организации, может быть низким или даже пренебрежимым для очень крупной организации. Правильное и понятное объяснение этих оценок в терминах бизнеса очень важно при интервьюировании/анкетировании владельцев активов, которое должно проводиться с целью получения входных данных для оценки активов.

Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива.

В конечном счете все оценки активов должны проводиться на основе общего подхода с использованием единых критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:

- нарушение законов и/или подзаконных актов;

- снижение эффективности бизнеса;

- потеря престижа/негативное воздействие на репутацию;

- нарушение конфиденциальности личных данных;

- необеспеченность личной безопасности;

- негативный эффект с точки зрения обеспечения правопорядка;

- нарушение конфиденциальности коммерческой информации;

- нарушение общественного порядка;

- финансовые потери;

- нарушение деловых операций;

- угроза безопасности окружающей среды.

 

Другой подход к оценке последствий для бизнеса может учитывать следующее:

- прерывание предоставления сервиса;

- утрата доверия клиентов и их потеря;

- нарушение внутреннего функционирования;

- нарушение законов/норм;

- нарушение договорных обязательств;

- опасность для персонала (пользователей);

- финансовые потери;

- судебные дела и штрафы;

- увольнения;

- промышленный кризис (забастовки) и т. д.

Как правило, процессы идентификации активов и оценки их ценности проходят параллельно. Так, при формировании анкет для проведения инвентаризации активов можно включить соответствующие графы, в которых будет указываться ценность того или иного актива.

Обычно величина последствий существенно выше, чем просто стоимость замены, что зависит от ценности актива при решении задач бизнеса организации.

Разные угрозы ИБ и уязвимости приводят к разным последствиям для активов – раскрытию, модификации, недоступности и/или уничтожению и т. д. – в терминах конфиденциальности, целостности и доступности. Но иногда только этих критериев недостаточно, например, при рассмотрении информации, для которой требуется защита права на интеллектуальную собственность. Таким образом, оценка последствий связана с оценкой активов на основе анализа их воздействия на бизнес. Последствия или влияние на бизнес можно определить посредством моделирования результатов события или нескольких событий или экстраполяцией экспериментов или прошлых данных. Последствия могут быть выражены в денежном эквиваленте, с технической точки зрения или с точки зрения человеческого фактора или иным подходящим для организации способом. В некоторых случаях требуется не одно, а несколько числовых значений, определяющих последствия для разного времени, места, групп или ситуаций. Последствия с точки зрения времени и финансов могут быть измерены на основе тех же подходов, которые используются для вероятностей и уязвимостей. При количественном и качественном подходах должна сохраняться последовательность.

 

Оценка влияния на бизнес может быть выражена как качественно, так и количественно, но любой способ получения некоторого денежного эквивалента предоставит более подробную информацию для принятия решений и, следовательно, будет способствовать принятию самого эффективного решения.

Оценку возможного ущерба может сделать только собственник или владелец актива. Часто бывает удобнее и проще это сделать с использованием качественного описания (табл. 3.1).

 

Таблица 3.1. Шестибалльная оценка последствий от реализации сценариев инцидентов ИБ

 

Значение шкалы (балл) Название Качественное описание
0 Нулевой Ущерб отсутствует
1 Очень низкий Может привести к незначительному материальному ущербу
2 Низкий Информация может быть интересна конкурентам, но не имеет коммерческой ценности. Может привести к осуществлению неэффективной деятельности одного подразделения организации и/или невозможности оперативно выполнять распоряжения руководства организации
3 Средний Может привести к нарушению обязательств организации, в том числе к нарушению надлежащих обязательств сохранять конфиденциальность информации, принадлежащей третьей стороне, в результате чего возможно предъявление гражданского или уголовно- го иска против организации в результате причинения ущерба и/или может привести к потере конкурентно- го преимущества или содействию несанкционированным целям и преимуществу других лиц или организаций и/или информация имеет ценность для конкурентов ввиду того, что имеет коммерческую ценность и/или может привести к нарушению надлежащего управления организацией или ее деятельностью (например, может быть затронута деятельность ряда подразделений организации) и/или возможно искажение оперативной отчетности
4 Высокий Может привести к частичной остановке или иному нарушению основных операций в организации
5 Очень высокий Может привести к остановке или иному существен- ному нарушению основных операций в организации

 

Выходными данными процесса является список оцененных последствий для применимых сценариев инцидентов ИТ, связанных с активами с учетом критериев оценки последствий. В результате данного этапа в список активов должна быть добавлена оценка для каждого идентифицированного актива по каждому критерию, например, по конфиденциальности, целостности и доступности, а также по любым другими критериям, если они используются.

 

3.1.9. ШАГ 2 ПОДЭТАПА 2 – ОЦЕНКА ВЕРОЯТНОСТЕЙ

 

Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входные данные процесса – список возможных идентифицированных сценариев ИБ, включая идентифицированные угрозы ИБ, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес-процессов, а также списки всех существующих и запланированных элементов управления рисками ИБ, их эффективность, статус внедрения и использования.

Должны быть оценены вероятности реализации конкретных сценариев инцидентов ИБ. При этом чаще всего применяются три подхода – исторические данные, предсказание вероятностей (например, с использованием дерева отказов или дерева событий) и экспертные оценки.

Термин «вероятность» имеет несколько различных значений, например «объективная» и «субъективная». Под объективной (математической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа имевших место в прошлом наблюдений, а также наблюдений, полученных из моделей, описывающих некоторые процессы. Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие произойдет в действительности. Эта мера может быть формально представлена вероятностным распределением на множестве событий, не полностью заданным вероятностным распределением, бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.

После идентификации сценариев инцидентов ИБ необходимо оценить вероятность реализации каждого сценария и проявления последствий инцидента ИБ, используя качественные и количественные подходы. При этом учитывается следующее:

- насколько часто реализуются угрозы ИБ и насколько просто использовать уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ;

- уязвимости, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации;

- многократно увеличить потери организации;

- вероятность реализации некоторой комбинации угроз ИБ и уязвимостей;

- для умышленных (преднамеренных) источников угроз ИБ – мотивация и возможности, которые меняются со временем, а также ресурсы, доступные потенциальным злоумышленникам, и осознание ими привлекательности и уязвимости активов;

- для случайных (непреднамеренных) источников угроз ИБ насколько часто они могут возникать, в соответствии с опытом, статистикой и т. д.; географические факторы (близость к химическим и нефтеперерабатывающим заводам, нахождение в районах, где велика вероятность экстремальных погодных условий, и факторы, которые могут вызвать совершаемые человеком ошибки и сбои в работе оборудования);

- существующие средства управления и насколько эффективно они снижают уязвимости.

Например, ИС уязвимы для угроз «маскарада» пользователей и злоупотребления ресурсами. Угроза маскарада может быть высока из-за недостаточной аутентификации пользователей и наоборот – угроза злоупотребления ресурсами может быть мала, несмотря на отсутствие аутентификации пользователей, поскольку способов злоупотребления немного.

В зависимости от требуемой точности, активы могут быть сгруппированы или наоборот один актив может быть разделен на элементы, что, в конечном счете, должно быть соотнесено со сценариями инцидентов ИБ. Кроме этого в рамках одного географического местоположения для одних и тех же типов активов может меняться характер угроз ИБ или эффективность средств управления.

Информация, используемая для оценки угроз ИБ и уязвимостей, может быть получена от тех, кто имеет отношение к рассматриваемой СУИБ и соответствующим бизнес-процессам. Это могут быть, например, сотрудники отдела кадров, специалисты по поддержанию жизнеспособности здания и ИТ-специалисты, а также те, кто отвечает в организации за безопасность.

Иногда удобно использовать качественное описание при определении балльной оценки вероятностей реализации сценариев инцидентов ИБ. Самая полная девятибалльная оценка вероятности реализации сценариев инцидентов ИБ приведена в табл. 3.2.

Таблица 3.2. Девятибалльная оценка вероятностей реализации сценариев инцидентов ИБ

Значение

шкалы

(балл)

Название

Качественное описание.

Частота реализации инцидента ИБ

в среднем 1 раз

0 Пренебрежимо малая В 1000 лет или реже
1 Крайне маловероятная 200 лет
2 Очень маловероятная 50 лет
3 Маловероятная 20 лет
4 Возможная 5 лет
5 Вероятная Год
6 Очень вероятная Квартал
7 Ожидаемая Месяц
8 Ожидаемая с уверенностью Неделю

 

Удобнее использовать несколько сокращенную балльную оценку вероятностей реализации сценариев инцидентов ИБ (табл. 3.3).

Таблица 3.3. Пятибалльная оценка вероятностей реализации сценариев инцидентов ИБ

Значение

шкалы

(балл)

Название

Качественное описание. Частота реализа ции инцидента ИБ в среднем 1 раз

0 Очень низкая В 3 года (вероятность реализации 0,2–0,4)
1 Низкая Год (вероятность реализации 0,4–0,6)
2 Средняя 4 месяца (вероятность реализации 0,6–0,8)
3 Высокая Месяц (вероятность реализации более 0,8)
4 Очень высокая Неделю (вероятность реализации более 0,9)

 

В случае если применение двух предыдущих шкал вызывает затруднения, может использоваться сокращенная трехбалльная шкала (табл. 3.4).

Таблица 3.4. Трехбалльная оценка вероятностей реализации сценариев инцидентов ИБ

Значение

шкалы

(балл)

Название

Качественное описание

1 Низкая Маловероятно, что осуществится. Нет статистики, мотивов и т. п., которые указывали на то, что это может произойти
2 Низкая Возможно осуществится. В прошлом происходили инциденты, или существует статистика, или другая информация указывает на то, что такие или подобные инциденты иногда осуществлялись прежде или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий
3 Средняя Скорее всего, осуществится. Существует статистика или другая информация, указывающая на то, что инцидент, скорее всего, осуществится или могут существовать серьезные причины или мотивы для атакующего для осуществления таких действий

 

Выходными данными процесса является вероятность реализации сценариев инцидентов ИБ – в количественном или качественном выражении.

 

3.1.10. ШАГ 3 ПОДЭТАПА 2 – ОПРЕДЕЛЕНИЕ УРОВНЯ (ВЕЛИЧИНЫ) РИСКОВ ИБ

 

Согласно ГОСТ Р ИСО /МЭК 27005-2010 и ISO/IEC 27005:2011 входные данные процесса – список сценариев инцидентов ИБ с их последствиями, связанными с активами и бизнес-процессами и вероятность их реализации – количественная или качественная.

Процесс основан на оценке последствий и вероятностей. При количественной оценке рисков ИБ вероятностям и последствиям рисков присваиваются определенные значения – количественные или качественные.

В процессе оценивается величина уровня рисков реализации сценариев инцидентов ИБ, которая определяется путем комбинирования вероятности события и его последствий (цена потери или размер ущерба). Событие заключается в реализации угрозы ИБ, использующей уязвимости актива для воздействия на этот актив и нарушения его ИБ.

Вычисление уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочными вероятностями осуществления связанных с ними угроз ИБ и простоты использования уязвимостей, которые при объединении становятся причиной возможной реализации инцидента ИБ.

По аналогии с уровнем рисков ИБ для введения некоторого единообразия и краткости часто используются два понятия:

- уровень угрозы ИБ, под которым понимается вероятность осуществления угрозы ИБ;

- уровень уязвимости, под которым понимается простота использования уязвимости угрозой ИБ.

Далее, все же, будут использоваться более верные по смыслу понятия – вероятности реализации угроз ИБ и простота использования уязвимостей (поскольку объяснить, что такое уровень совокупности условий и факторов или уровень свойства информационной системы, с точки зрения авторов не представляется возможным). Можно привести два примера:

- делаются различия между рисками для конфиденциальности, целостности и доступности, при этом используются соответствующие значения стоимости актива в качестве величины ущерба и, вследствие этого, для каждого актива рассматриваются три различных риска ИБ;

- комбинирование трех значений стоимости актива, которые были оценены, в одно, например, путем использования максимального значения или суммы этих трех величин.

Вероятностный фактор риска ИБ базируется на угрозах ИБ и уязвимостях и их оценочных величинах. Вероятности реализации угроз ИБ и простота использования уязвимостей могут комбинироваться различными способами, например:

- сложение или умножение вероятностей реализации угрозы ИБ и простоты использования уязвимости для получения комбинированной величины;

- вероятности реализации угроз ИБ и простоты использования уязвимостей не комбинируются, а применяются по отдельности.

Каким образом комбинировать оба фактора риска ИБ (величину ущерба и вероятности) для вычисления риска ИБ, определяется самой организацией и ее выбором конкретного метода оценки рисков ИБ. Единственное, что должно быть гарантировано, это увеличение риска ИБ в случае увеличения любого из этих факторов.

В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий – уровень риска ИБ тем больше, чем больше эти величины. Общая идея может быть выражена формулой:

[уровень риска ИБ] = [вероятность происшествия]х[цена потери].

Если переменные являются количественными величинами, то уровень риска ИБ – это оценка математического ожидания потерь. Если переменные – качественные величины, то метрическая операция умножения не определена и в явном виде формулу применять не следует. Тогда определяются шкалы для вероятности происшествия, его серьезности и рисков ИБ и строится таблица. На пересечении строк (вероятностей происшествий) и столбцов (серьезности происшествий) будут получения значения рисков ИБ.

Приведем пример субъективной шкалы вероятностей событий и серьезности последствий:

А – событие практически никогда не происходит; В – событие случается редко; С – вероятность события за рассматриваемый промежуток времени – 0,5; D – скорее всего событие произойдет; Е – событие почти обязательно произойдет.

«Пренебрежимо малое» – воздействием можно пренебречь; «незначительное» – незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно; «среднее» – происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое и не затрагивает критически важные задачи; «серьезное» – происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач; «критическое» – происшествие приводит к невозможности решения критически важных задач.

Для оценки уровня рисков ИБ устанавливается шкала из трех значений: «низкий», «средний» и «высокий» (табл. 3.5).

Таблица 3.5. Определение риска ИБ в зависимости от двух факторов

  Пренебрежимо малое Незначительное Среднее Серьезное Критичное
A Низкий Низкий Низкий Средний Средний
B Низкий Низкий Средний Средний Высокий
C Низкие Средний Средний Средний Высокий
D Средний Средний Средний Средний Высокий
E Средний Высокий Высокий Высокий Высокий

 

Другой подход определяет, что величина риска ИБ вычисляется по формуле

[уровень риска ИБ] = [вероятность события]х[размер ущерба],

 

где [вероятность события] = [вероятность реализации угрозы ИБ] х

× [простота использования уязвимости].

 

На практике для вычисления уровня риска ИБ используется не математическая вероятность угрозы ИБ, а ожидаемое количество попыток или частота реализации угрозы ИБ за определенный период времени (в международных стандартах для этого используется термин «likeli-hood», который является общим описанием вероятности (англ. probabil-ity) и частоты (англ. frequency) и на русский язык переводится как «вероятность»).

Дополнительно могут быть рассмотрены прибыль от затрат, потребности заинтересованных сторон и другие переменные, применимые для количественной оценки рисков ИБ.

Оцененный риск является комбинацией вероятности реализации сценария инцидента ИБ и его последствий.

Для определения уровня риска ИБ используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования и на основании статистических данных . Размер ущерба выражается, как правило, в денежном эквиваленте. Простота использования уязвимости как вероятность ее использования принимает значения от 0 до 1. Оценка вероятности реализации (или возможность) угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы ИБ за определенный период времени, обычно принимаемый за один год. В этом случае уровень риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов ИБ ALE ( англ. Annual Loss Expectancy). Эту вели-чину удобно использовать для соотнесения расходов на обеспечение и управление ИБ с уровнем рисков ИБ и для оценки возврата инвестиций, достигаемого за счет уменьшения уровня рисков ИБ и соответствующему сокращению среднегодовых потерь организации.

Тогда [уровень риска ИБ] = ALE.

На практике оценивание рисков ИБ проводится с определенной степенью детализации. Все составляющие могут быть разложены на более мелкие элементы и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок. В этом случае

[уровень группы рисков ИБ] = [ожидаемое количество попыток реализации группы угроз ИБ в течение года] х [суммарная простота использования группы уязвимостей] х [размер суммарного ущерба].

Точно предсказать вероятность реализации угрозы ИБ, величину использования уязвимостей и размер ущерба обычно не представляется возможным, поэтому часто используют числовые оценки в некотором диапазоне величин. Каждому количественному диапазону можно сопоставить определенный качественный уровень риска ИБ. В результате получается качественная шкала оценки рисков ИБ, которой сопоставляются некоторые количественные оценки.

Важно отметить, что не существует «правильных » или «неправильных» способов вычисления рисков ИБ, при условии, что понятия, описанные в предыдущих пунктах, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод количественной оценки рисков ИБ подходит к ее бизнес-требованиям и требованиям по ОИБ.

Выходные данные процесса количественной оценки рисков ИБ – список рисков ИБ с приписанными им уровнями. Оцененные уровни рисков ИБ позволяют ранжировать риски и идентифицировать те из них, которые являются наиболее критичными (проблематичными) для организации.

 

Дата: 2018-12-28, просмотров: 934.