OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
OCTAVE
- Определение критериев измерения рисков (Establish Risk Measurement Criteria).
- Разработка профилей информационных активов (Develop an Information Asset Profile).
- Идентификация мест хранения / обработки / передачи информационных активов (Identify Information Asset Containers).
- Выделение групп высокоуровневых угроз информационной безопасности (Identify Areas of Concern)
- Идентификация угроз информационной безопасности (Identify Threat Scenarios)
- Идентификация рисков информационной безопасности (Identify Risks)
- Анализ рисков информационной безопасности (Analyze Risks)
- Выбор мер обработки рисков информационной безопасности (Select Mitigation Approach)
Что такое стандарт информационной безопасности?
Вообще говоря, стандарт, будь то стандарт подотчетности, технический стандарт или стандарт информационной безопасности, представляет собой набор требований, которые должен выполнить продукт или система. Предположение о соответствии продукта или системы определенному стандарту свидетельствует о том, что они удовлетворяют всем требованиям стандарта. В настоящее время существует несколько основных стандартов, регулирующих информационную безопасность. Первый из них-это стандарты серии ISO/IEC 27000. Это самый узнаваемый стандарт, поскольку он носит всемирно престижное название международной организации по стандартизации и Международной электротехнической комиссии. Она была инициирована Британским институтом стандартов в 1995 году через BS7799 (Information Security Management System), а позже была принята ИСО (International Organization for Standardization) и выпущена под названием ISO/IEC 27000 series (ISMS Family of Standards) и ISO/IEC 17799:2005 “Information Technology – Code of practice for information security management”. Во-вторых, существует группа стандартов NIST SP800, опубликованная Национальным институтом стандартов и технологий (NIST) из США. Еще одним стандартом информационной безопасности является стандарт надлежащей практики информационной безопасности форума по информационной безопасности. Этот документ также включает описание стандартов COBIT и BSI серии 100. Из-за нехватки места другие международные стандарты безопасности, такие как ITIL, не могли быть представлены.
Подходы к управлению рисками ИБ
На данный момент наиболее распространенными являются три ключевых подхода, которые отличаются уровнем глубины и формализации. Выбор одного из них определяется тем, насколько компания обеспокоена угрозой своей информационной безопасности. В том случае, если информационные активы являются вспомогательными, а не основными (а так обычно и бывает в большинстве российских организаций), то потребность в оценке рисков нельзя назвать такой уж высокой. Речь, скорее, идет о поддержании базового уровня ИБ, который должен быть определен действующими стандартами и нормативами, а также полученным опытом – как своим, так и других представителей бизнеса. Стоит отметить, что стандарты, описывающие главные требования и механизмы обеспечения безопасности, предусматривают и проведение оценки рисков и необходимости применения инструментов контроля: это помогает выбрать наиболее подходящие для предприятия нормы и инструменты.
Там, где информационные активы хотя и не являются основными, но есть высокая информатизация процессов, оценка рисков жизненно необходима
Однако в этом случае удобнее всего пользоваться неформальным качественным подходом, при котором пристальное внимание уделять нужно наиболее слабым местам системы. Если же бизнес базируется непосредственно на информационных активах, данные риски должны считаться основными
Из-за этого для их оценки придется применять формальный подход и количественный метод.
Во многих организациях одинаково ценными могут быть не один, а несколько групп активов. Если, допустим, фирма занимается созданием информационных продуктов, то для нее будут одинаково важными и трудовые, и информационные ресурсы. Поэтому самым оправданным в такой ситуации окажется применение рационального подхода, когда будет осуществляться многоуровневая оценка рисков. Это позволит узнать, какие компоненты ИТ инфраструктуры более всего подвержены риску и какие являются критическими для ведения бизнеса, и провести впоследствии комплексную оценку остальных рисков. Для не настолько критичных систем принято пользоваться базовым подходом, осуществляя управление рисками ИТ с использованием накопленного опыта и выводов экспертов.
Управление рисками
Управление рисками — деятельность, направленная на определение уровня защиты, который требуется для той или иной информации, а затем — на реализацию и поддержание этой защиты. Здесь поможет специальная риск-ориентированная программа — или план действий — по обеспечению ИБ.
Расставьте приоритеты
Для начала составьте список всех типов информации, которую хранит и использует компания. «Тип информации» можно определить любым способом, главное, чтобы было удобно классифицировать (см. пример в Таблице 1).
Определите ценность информации
После составления списка типов информации, ответьте на 3 вопроса:
- Как повлияет на бизнес обнародование этой информации?
- Как повлияет на бизнес ошибочность этой информации?
- Как повлияет на бизнес отсутствие доступа к этой информации — у вас и у клиентов?
Ответы помогут определить степень потенциального воздействия того или иного события.
В качестве образца для оценки можно использовать Таблицу 1:
Параметр | Пример типа информации: Контактные данные клиента | Тип информации 1 | Тип информации 2 |
---|---|---|---|
Стоимость раскрытия (Конфиденциальность) | Средняя | — | — |
Стоимость сохранности информации (Целостность) | Высокая | — | — |
Стоимость потери доступа (Доступность) | Высокая | — | — |
Стоимость потери данных (результатов работы) | Высокая | — | — |
Штрафы, пени, уведомления для клиентов | Средняя | — | — |
Другие правовые издержки | Низкая | — | — |
Стоимость репутации / связи с общественностью | Высокая | — | — |
Стоимость определения и решения проблемы | Высокая | — | — |
Общая оценка | Высокая | — | — |
Составьте перечень устройств и ПО
Теперь нужно определить, какими средствами обрабатывается информация, перечисленная в Таблице 1. В перечень могут входить стационарные и мобильные устройства (ПК, ноутбук, смартфон, планшет), приложения (почта, мессенджеры, CRM) и технологии («облако», VPN, межсетевой экран).
Пример — Таблица 2:
Номер | Описание | Местонахождение | Тип информации, с которой работает продукт | Итого потенциальное воздействие |
---|
№1
Ноутбук Петра Иванова
Модель: Lenovo E450
ID: 1234567
Интернет-подключение:
Wi-Fi, VPN
Офис, улица, дом
Электронная почта, календарь, контактная информация клиента, мессенджер, корпоративный чат, ERP-программа
Критическое (Высокое)
№2
Программа для работы с клиентами: 1С Аппаратные средства: ноутбуки сотрудников
Офис, улица, дом
Контактная и другая персональная информация клиентов
Критическое (Высокое)
№3
—
—
—
—
Изучайте свои угрозы и уязвимости
У некоторых угроз и уязвимостей своя специфика — в зависимости от отрасли, региона или вида бизнеса. Необходимо регулярно пересматривать список угроз и уязвимостей, с которыми вы можете столкнуться, и оценивать вероятность ущерба от них.
В Таблице 3 показан пример того, как определить вероятность инцидента с учетом информации из Таблиц 1 и 2.
Параметр | Пример: Контактные данные клиента в мобильном телефоне Петра Иванова; | Тип информации / Технология | Тип информации / Технология |
---|---|---|---|
Конфиденциальность | — | — | — |
Кража | Средняя (шифрование, защита паролем) | — | — |
Случайное раскрытие | Средняя (в прошлом дважды терял телефон) | — | — |
Целостность | — | — | — |
Случайное повреждение пользователем/сотрудником | Средняя | — | — |
Преднамеренное повреждение преступником/хакером | Низкая | — | — |
Доступность | — | — | — |
Случайное повреждение | Средняя (Регулярное резервное копирование) | — | — |
Преднамеренное повреждение | Низкая | — | — |
Общая оценка | Средняя | — | — |
В Таблице 4 показан пример того, как на основе данных из Таблиц 1, 2 и 3 определить приоритеты по обеспечению информационной безопасности:
Воздействие | — | Низкая вероятность | Высокая вероятность |
Воздействие | Высокая вероятность | Приоритет 3: плановые действия. Фокус на ответные и восстановительные меры | Приоритет 1: назмедлительные действия. Фокус на меры по выявлению и защите |
Воздействие | Низкая вероятность | Действия не требуются | Приоритет 2: плановые действия. Фокус на меры по выявлению и защите |
Если взять предыдущий пример, мобильный телефон Петра Иванова с контактной информацией клиентов, то его можно оценивать как устройство с приоритетом 3 — из-за высокого показателя воздействия, но низкой вероятности.
риск информационной безопасности
На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.
1 ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
74
Образовательные ресурсы и технологии 2015’1(9)
ISO/IEC 27005:2018
«Information technology — Security techniques — Information security risk management»Рискуровнем рискаОстаточный рискоценкой рискаОбработка рисков
- избегание риска путем отказа от действий, которые могут привести к рискам;
- принятие или увеличение риска в целях достижения бизнес-целей;
- устранение источников риска;
- изменение вероятности реализации риска;
- изменение ожидаемых последствий от реализации риска;
- перенос (разделение) риска;
- сохранение риска.
- Оценка рисков ведется с учетом последствий рисков для бизнеса и вероятности возникновения рисков. Осуществляются идентификация рисков, их анализ и сравнение (с учетом выбранного уровня риск-толерантности).
- Вероятность и последствия рисков доводятся до заинтересованных сторон и принимаются ими.
- Устанавливается приоритет обработки рисков и конкретных действий по снижению рисков.
- В процесс принятия решений по управлению рисками вовлекаются стейкхолдеры, которые затем также информируются о статусе управления рисками.
- Оценивается эффективность проведенной обработки рисков.
- Контролируются и регулярно пересматриваются риски и сам процесс управления ими.
- На основе получаемой новой информации процесс управления рисками непрерывно улучшается.
- Проводится обучение сотрудников и руководителей относительно рисков и предпринимаемых действий для их снижения.
- Определение контекста.
- Оценка рисков.
- Разработка плана обработки рисков.
- Принятие рисков.
- Внедрение разработанного плана обработки рисков.
- Непрерывный мониторинг и пересмотр рисков.
- Поддержка и улучшение процесса управления рисками ИБ.
Критерии оценки рисковКритерии оценки негативного влиянияКритерии принятия рисков
2.1. Идентификация рисков
- идентификацию (инвентаризацию) активов, получив в итоге список ИТ-активов и бизнес-процессов;
- идентификацию угроз, при этом следует учитывать преднамеренные и случайные угрозы, внешние и внутренние источники угроз, а информацию о возможных угрозах можно получать как у внутренних источников в организации (юристы, HR, IT и т.д.), так и у внешних (страховые компании, внешние консультанты, статистическая информация и т.д.);
- идентификацию имеющихся и запланированных к внедрению мер защиты для исключения их дублирования;
- идентификацию уязвимостей, которые могут быть проэксплуатированы актуальными угрозами и нанести ущерб активам; при этом следует учитывать уязвимости не только в программном или аппаратном обеспечении, но и в структуре организации, её бизнес-процессах, персонале, физической инфраструктуре, отношениях с контрагентами;
- идентификацию последствий реализации угроз нарушения конфиденциальности, целостности, доступности ИТ-активов.
качественного анализаколичественного анализа
Общая концепция управления рисками ИБ
ВеличинаРиска=ВероятностьСобытия*РазмерУщербаВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
- Идентифицировать активы и оценить их ценность.
- Идентифицировать угрозы активам и уязвимости в системе защиты.
- Просчитать вероятность реализации угроз и их влияние на бизнес (англ. business impact).
- Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
прямымнепрямымПрямойНепрямойкачественныекосвенныеКачественнымиКосвенныетотальный рискостаточный рискколичественнымкачественнымколичественногоSLE=AssetValue*EFALE=SLE*ARO(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) — (ALE после внедрения мер защиты) — (Ежегодные затраты на реализацию мер защиты)качественногосписок различных методологий риск-менеджмента
NIST SP 800-137
«Information Security Continuous Monitoring for Federal information Systems and Organizations»
- определения стратегии непрерывного мониторинга ИБ (включает в себя выстраивание стратегии на уровне организации, бизнес-процессов и информационных систем; назначение ролей и ответственных; выбор тестового набора систем для сбора данных);
- разработки программы непрерывного мониторинга ИБ (включает в себя определение метрик для оценки и контроля; выбор частоты проведения мониторинга и оценки; разработку архитектуры системы мониторинга);
- внедрения программы непрерывного мониторинга ИБ;
- анализа найденных недочетов и отчета о них (включает в себя анализ данных; отчетность по оценке мер защиты; отчетность по мониторингу статуса защиты);
- реагирования на выявленные недочеты;
- пересмотра и обновления стратегии и программы непрерывного мониторинга ИБ.
- поддержка ими большого количества источников данных;
- использование открытых и общедоступных спецификаций (например, SCAP — Security Content Automation Protocol);
- интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты;
- поддержка процесса анализа соответствия применимым законодательным нормам;
- гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных;
- поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.
тут
Методические рекомендации ФСБ России по моделированию угроз безопасности персональных данных
- «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утв. ФСБ России 31.03.2015 N 149/7/2/6-432).
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
N | Обобщенные возможности источников атак |
---|---|
1 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны |
2 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам (далее — АС), на которых реализованы СКЗИ и среда их функционирования |
3 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования |
4 | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) |
5 | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) |
6 | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) |
NIST SP 800-39
«Managing Information Security Risk: Organization, Mission, and Information System View»
- предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
- ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
- риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
- приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
- угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
- внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
- ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
- вероятность возникновения ущерба.
- инструменты, техники и методологии, используемые для оценки риска;
- допущения относительно оценки рисков;
- ограничения, которые могут повлиять на оценки рисков;
- роли и ответственность;
- способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
- способы проведения оценки рисков в организации;
- частоту проведения оценки рисков;
- способы получения информации об угрозах (источники и методы).
- разработку возможных планов реагирования на риск;
- оценку возможных планов реагирования на риск;
- определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
- реализацию принятых планов реагирования на риск.
- проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
- определение текущей эффективности мер реагирования на риски;
- определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
На уровне организацииНа уровне бизнес-процессовНа уровне информационных систем
- принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
- избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
- разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
- минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.
Национальные стандарты Российской Федерации (ГОСТы)
- ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
- ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности
- ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
- ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
- ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
- ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
- ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положенияГОСТ Р 50922-2006 Защита информации. Основные термины и определенияГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасностиГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостейГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных системГОСТ Р 50922-2006 Защита информации. Основные термины и определения
- по области происхождения;
- по типам недостатков ИС;
- по месту возникновения (проявления).
- Наименование уязвимости.
- Идентификатор уязвимости.
- Идентификаторы других систем описаний уязвимостей.
- Краткое описание уязвимости.
- Класс уязвимости.
- Наименование ПО и его версия.
- Служба (порт), которая (который) используется для функционирования ПО.
- Язык программирования ПО.
- Тип недостатка.
- Место возникновения (проявления) уязвимости.
- Идентификатор типа недостатка.
- Наименование операционной системы и тип аппаратной платформы.
- Дата выявления уязвимости.
- Автор, опубликовавший информацию о выявленной уязвимости.
- Способ (правило) обнаружения уязвимости.
OVALГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положенияГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положенияГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положенияГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасностиISO 27K
Методика идентификации угроз – «дерево угроз»
ГОСТ Р 51901.13-2005 (МЭК 61025:1990) Менеджмент риска. Анализ дерева неисправностей
- нарушение конфиденциальности защищаемых данных;
- нарушение целостности защищаемых данных;
- нарушение доступности защищаемых данных.
- разглашение защищаемых данных со стороны лиц, допущенных к их обработке;
- осуществление несанкционированного доступа к защищаемым данным со стороны не допущенных лиц;
- утечка защищаемых данных по техническим каналам.
- повреждение защищаемых данных вследствие действий лиц, допущенных к их обработке;
- повреждение защищаемых данных вследствие действия вредоносного кода;
- повреждение защищаемых данных вследствие отказов и сбоев компьютера, на котором они обрабатываются.
- уничтожение защищаемых данных вследствие воздействия вредоносного кода (криптолокеры);
- уничтожение защищаемых данных вследствие выхода из строя жесткого диска компьютера, на котором они хранятся;
- нарушение условий эксплуатации объекта информатизации, делающее невозможным работу с ним персонала.
Документы ФСТЭК России по моделированию угроз персональным данным 2008 года.
- Базовая модель угроз ПДн ФСТЭК, 2008 г.
- Методика определения актуальных угроз ПДн 2008 г.
Базовая модель угроз ПДн ФСТЭК, 2008 г.
- с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
- с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
- угроза утечки по техническим каналам := <источник угрозы>, < среда распространения ПДн и воздействий / приемник информативного сигнала / передатчик воздействующего сигнала>, <носитель ПДн>
- угроза НСД := <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>, <несанкционированный доступ>.
- угроза НСД в ИСПДн: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
- угроза «Отказа в обслуживании»: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, «зацикливание» обработки и т.п.)>;
- угроза ПМВ в ИСПДн: = <класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.
ИСПДн НСД ПМВ Методика определения актуальных угроз ПДн 2008 г.
NIST SP 800-39
«Managing Information Security Risk: Organization, Mission, and Information System View»
- предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
- ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
- риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
- приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
- угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
- внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
- ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
- вероятность возникновения ущерба.
- инструменты, техники и методологии, используемые для оценки риска;
- допущения относительно оценки рисков;
- ограничения, которые могут повлиять на оценки рисков;
- роли и ответственность;
- способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
- способы проведения оценки рисков в организации;
- частоту проведения оценки рисков;
- способы получения информации об угрозах (источники и методы).
- разработку возможных планов реагирования на риск;
- оценку возможных планов реагирования на риск;
- определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
- реализацию принятых планов реагирования на риск.
- проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
- определение текущей эффективности мер реагирования на риски;
- определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
На уровне организацииНа уровне бизнес-процессовНа уровне информационных систем
- принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
- избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
- разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
- минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.
Заключение
Система управления рисками как часть корпоративного управления уже показывает свою эффективность в тех компаниях, в которых она начинает внедряться или уже внедрена. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки. Принципиальным моментом является тот факт, что, помимо «общих» документов, существуют отраслевые стандарты управления рисками, в частности управления рисками IТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый административный ресурс, недостаточно уделяя внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.