Метод за оценка на риска за сигурността на информацията. Управление на рисковете. Модел за безопасност при пълно припокриване

Оставете коментар 6,950

Тази част обхваща следните въпроси:

  • Управление на сигурността
  • Разпределение на отговорностите за управление на безопасността
  • Подход отгоре надолу
  • Администриране на сигурността и защитни мерки
  • Основни принципи за безопасност (AIC Triad)
  • Наличност
  • Интегритет
  • Поверителност
  • Дефиниции за сигурност (уязвимост, заплаха, риск, въздействие, контрамерки)
  • Сигурност през неизвестното

Актуализирано: 21.02.2010


Управлението на сигурността включва управление на риска, политики за информационна сигурност, процедури, стандарти, насоки, рамки, класификация на информацията, организация по сигурността и обучение по сигурността. Тези ключови аспекти служат като гръбнака на програма за корпоративна сигурност. Целта на програмата за сигурност и сигурност е да защити компанията и нейните активи. Анализът на риска позволява идентифициране на тези активи, идентифициране на заплахи, които пораждат рискове за тях, оценка на възможните загуби и потенциалните загуби, които компанията може да понесе, ако някоя от тези заплахи бъде реализирана. Резултатите от анализа на риска помагат на ръководството да подготви рентабилен бюджет за защита на идентифицираните активи от идентифицирани заплахи и да разработи практически политики за сигурност, които ръководят дейностите по сигурността. Обучението по сигурността и повишаването на осведомеността ви позволява да донесете точното количество информация на вниманието на всеки един служител в компанията, което опростява тяхната работа и помага за постигане на целите за сигурност.

Процесът на управление на безопасността е непрекъснат. Започва с оценка на риска и идентифициране на нуждите, последвано от наблюдение и оценка на системите и работните методи. Това е последвано от повишаване на осведомеността сред служителите на компанията, което дава разбиране на въпросите, които трябва да бъдат разгледани. Последната стъпка е прилагането на политики и предпазни мерки за смекчаване на рисковете и посрещане на нуждите, идентифицирани в първата стъпка. След това цикълът започва отначало. По този начин този процес непрекъснато анализира и следи сигурността на компанията, позволява й да се адаптира и развива, отчитайки нуждите от сигурност и условията, в които компанията съществува и работи.

Управлението на сигурността се променя с течение на времето, тъй като мрежовата среда, компютрите и приложенията, които обработват информацията се променят. Интернет, екстранет (мрежи на бизнес партньори), интранет правят сигурността не само по-сложна, но и по-критична. Ядрото на мрежовата архитектура се промени от локализирана автономна изчислителна среда към разпределена изчислителна среда, което умножи нейната сложност. Докато интранет достъпът до Интернет предоставя на потребителите редица важни възможности и удобства, той увеличава излагането на компанията в Интернет, което може да създаде допълнителни рискове за сигурността.

Повечето организации днес не могат да работят без компютри и тяхната изчислителна мощност. Много големи корпорации вече осъзнаха, че техните данни са критичен актив, който трябва да бъде защитен заедно със сгради, оборудване и други физически активи. Сигурността трябва да се промени с промяната на мрежите и средата. Сигурността е нещо повече от защитна стена и ACL рутер. Тези системи несъмнено са важни, но много по-важно за сигурността е управлението на действията на потребителите и процедурите, които те следват. Това ни води до практика за управление на сигурността, която се фокусира върху текущата защита на активите на компанията.

В света на сигурността ролята на лидера е да дефинира цели, граници, политики, приоритети и стратегии. Ръководството трябва да определи ясни граници и съответните цели, които се очаква да бъдат постигнати в резултат на програмата за безопасност. Ръководството също трябва да оцени бизнес целите, рисковете за сигурността, производителността на потребителите, функционалните изисквания и целите. И накрая, ръководството трябва да определи стъпки, за да гарантира, че тези задачи са правилно разпределени и адресирани.

Много компании разглеждат бизнеса като част от уравнението и приемат, че ИТ и ИТ сигурността са отговорност на ИТ администратора. Ръководството на такива компании не приема сериозно информационната и компютърната сигурност, което прави сигурността в такива компании да изглежда недостатъчно развита, лошо поддържана, недостатъчно финансирана и неуспешна. Безопасността трябва да се разглежда на ниво висше ръководство. ИТ администратор (или администратор по сигурността) може да съветва ръководството по въпроси, свързани със сигурността, но сигурността на компанията не трябва да се делегира изцяло на ИТ администратора (администратора на сигурността).

Управлението на сигурността се основава на ясно идентифицирани и оценени активи на компанията. След като активите бъдат идентифицирани и оценени, се прилагат политики, процедури, стандарти и насоки за сигурност, за да се гарантира целостта, поверителността и наличността на тези активи. Използват се различни инструменти за класифициране на данни, извършване на анализ и оценка на рисковете. Тези инструменти помагат да се идентифицират уязвимостите и да се покаже тяхното ниво на сериозност, което ви позволява да прилагате ефективни контрамерки за намаляване на рисковете по най-оптималния начин. Отговорност на ръководството е да гарантира, че ресурсите на компанията като цяло са защитени. Тези ресурси са хора, капитал, оборудване и информация. Ръководството трябва да участва в това, за да гарантира, че е налице програма за сигурност, че заплахите, които засягат ресурсите на компанията, са адресирани и че са налице необходимите контроли.

Трябва да се осигури наличието на необходимите ресурси и финансиране, а отговорните да бъдат подготвени за участие в програмата за безопасност. Ръководството трябва да възложи отговорности и да определи ролите, необходими за иницииране на прилагането на програмата за сигурност, да гарантира успешното й развитие и да се развива с промяна на средата. Ръководството трябва също да интегрира програмата за сигурност в съществуващата бизнес среда и да следи тяхното представяне. Подкрепата за управление е една от най-важните части на програмата за безопасност.

По време на планирането и изпълнението на програма за сигурност специалистът по сигурността трябва да определи функцията, която да бъде изпълнена, и очаквания краен резултат. Често пъти компаниите просто започват да блокират компютрите и да инсталират защитни стени, без да разбират изискванията за сигурност като цяло, целите и нивата на доверие, които биха искали да спечелят от сигурността в цялата среда. Групата, участваща в този процес, трябва да започне отгоре, с много широки идеи и термини, и да премине надолу към подробни конфигурации и системни параметри. На всеки етап членовете на екипа трябва да имат предвид основните цели за безопасност, така че всеки нов компонент да добавя повече подробности към съответната цел.

Политиката за сигурност е своеобразна основа на програмата за сигурност на компанията. Тази политика трябва да се приема сериозно от самото начало и да включва идеи за непрекъснато актуализиране, за да се гарантира, че всички компоненти за сигурност работят по всяко време и работят за постигане на бизнес целите.

Следващата стъпка е разработването и прилагането на процедури, стандарти и насоки, които подкрепят политиката за сигурност и дефинират контрамерките и методите, които да се прилагат за гарантиране на сигурността. След като тези елементи са разработени, програмата за сигурност трябва да бъде детайлизирана чрез разработване на рамки и конфигурации за избраните контроли и методи за сигурност.

Ако безопасността е изградена върху солидна основа и проектирана с целите и задачите, компанията няма да трябва да прави значителни промени в нея. В този случай процесът може да бъде по-методичен, да изисква по-малко време, пари и ресурси, като същевременно се гарантира правилният баланс между функционалност и сигурност. Това не е изискване, но разбирането му може да направи подхода на вашата компания към сигурността по-управляем. Можете да обясните на компанията как да планира, прилага и поддържа сигурността по организиран начин, който избягва огромна купчина защитни функции, фрагментирани и пълни недостатъци.

За програма за сигурност използвайте подход отгоре надолу , което означава, че инициативата, подкрепата и насоките идват от висшето ръководство и преминават през мениджърите на средно ниво до служителите. Обратно подход отдолу нагоре се отнася до ситуация, в която ИТ отделът се опитва самостоятелно да разработи програма за сигурност, без подходящо ръководство и поддръжка. Подходът отдолу нагоре като цяло е по-малко ефективен, достатъчно тесен и самоунищожен. Подходът отгоре надолу гарантира, че хората (висшето ръководство), които наистина са отговорни за защитата на активите на компанията, са движещата сила зад програмата.



Ако няма роля администратор на сигурността, ръководството трябва да създаде такава. Ролята на администратор по сигурността е пряко отговорна за надзора на ключови аспекти на програмата за сигурност. В зависимост от организацията, нейния размер и нуждите от сигурност, администрирането на сигурността може да се извършва от едно лице или група хора, работещи централизирано или децентрализирано. Независимо от размера, администрацията на сигурността изисква ясна структура за докладване, разбиране на отговорностите и способности за одит и наблюдение, за да се гарантира, че няма пробиви в сигурността, причинени от пропуски в комуникацията или разбирането.

Собствениците на информация трябва да посочат кои потребители имат достъп до техните ресурси и какво могат да правят с тези ресурси. Работата на администратора по сигурността е да се увери, че този процес е налице. Следните предпазни мерки трябва да се използват за спазване на инструкциите за безопасност в ръководството:

  • Административни меркивключва разработване и публикуване на политики, стандарти, процедури и насоки, управление на риска, набиране на персонал, обучение по въпроси на сигурността, прилагане на процедури за управление на промените.
  • Tтехнически (логически) меркивключват внедряване и поддържане на механизми за контрол на достъпа, управление на пароли и ресурси, методи за идентификация и удостоверяване, устройства за сигурност и инфраструктурни настройки.
  • Ффизически меркиТова включва контрол на достъпа на хора до сградата и различни помещения, използване на ключалки и премахване на неизползвани устройства и CD-ROM устройства, обезопасяване на периметъра на сградата, откриване на прониквания, наблюдение на околната среда.
Фигура 1-1 илюстрира как административните, техническите и физическите контроли за сигурност работят заедно, за да осигурят необходимото ниво на защита.


Фигура 1-1Административните, техническите и физическите нива на предпазни мерки трябва да работят заедно, за да защитят активите на компанията


Собственик на информация обикновено има отговорен служител, който е част от ръководството на компанията или ръководител на съответния отдел. Собственикът на информацията е длъжен да осигури адекватна защита на данните, той е единственият отговорен за всяка небрежност във връзка със защитата на информационните активи на компанията. Служителят, който изпълнява тази роля, отговаря за класифицирането на информацията, той уточнява как тази информация трябва да бъде защитена. Ако защитата на данните не се основава на изискванията на собственика на информацията, ако той не контролира изпълнението на своите изисквания, концепцията може да бъде нарушена дължимата грижа(надлежна грижа).

Трябва да има постоянна комуникация между административния екип по сигурността и висшето ръководство, за да се гарантира, че програмата за сигурност е адекватно поддържана и ръководството взема необходимите решения за прилагане. Често висшето ръководство напълно изключва участието си в въпросите на сигурността, без да се съобразява, че в случай на сериозни инциденти със сигурността висшето ръководство е това, което ще обясни причините за тях на бизнес партньори, акционери и обществеността. След подобен инцидент отношението се променя коренно, ръководството е максимално ангажирано с въпросите на безопасността. Трябва да има непрекъснат процес на комуникация между административния екип по сигурността и висшето ръководство, за да се гарантира двупосочна връзка.

Неадекватното лидерство може да подкопае усилията за сигурност на компанията. Потенциалните причини за неадекватно лидерство включват липсата на разбиране от страна на ръководството за нуждите от сигурност на компанията, конкуренция между сигурността и други управленски цели, виждането на ръководството за сигурността като скъпо и ненужно начинание и подкрепата на ръководството за сигурността от уста на уста. Мощните и полезни технологии, устройства, софтуер, процедури и методология осигуряват известно ниво на сигурност, но без пълна поддръжка за управление и управление на сигурността, те нямат стойност.

Има няколко малки и големи задачи на една програма за сигурност, но има 3 основни принципа във всички програми: наличност, целостта и поверителността. Нарича се AIC триада (Наличност, почтеност, конфиденциалност). Нивото на сигурност, необходимо за прилагане на тези принципи, се различава от компания до компания, тъй като всяка компания има свой собствен уникален микс от бизнес цели и цели и нужди за сигурност. Всички предпазни мерки и механизми за сигурност се прилагат за прилагане на един (или повече) от тези принципи и всички рискове, заплахи и уязвимости се измерват според техния потенциал да нарушат един или всички принципи на AIC. Триадата AIC е показана на Фигура 1-2.


Фигура 1-2 AIC триада


Наличност

Системите и мрежите трябва да осигуряват адекватно ниво на предвидимост, съчетано с приемливо ниво на производителност. Те трябва да могат да се възстановят бързо и безопасно от прекъсвания, така че да не влияят негативно върху производителността на компанията. Трябва да избягвате „единични точки на повреда“, да правите резервни копия, ако е необходимо, да осигурите определено ниво на излишък, да предотвратите отрицателно въздействие от външната среда. Необходимо е да се внедрят механизми за защита срещу вътрешни и външни заплахи, които могат да повлияят на наличността и производителността на мрежата, системите и информацията. Наличност предоставя на упълномощени лица надежден и навременен достъп до данни и ресурси.


Наличността на системата може да бъде повлияна от хардуерна или софтуерна повреда. Трябва да се използва резервно оборудване, за да се даде възможност за гореща подмяна на критични системи. Персоналът по поддръжката трябва да притежава всички необходими познания и да е на разположение, за да премине навреме към резервни системи и да извърши съответните корекции. Външни фактори като температура, влажност, статично електричество, прах също могат да повлияят на достъпността на системата. Тези въпроси са разгледани подробно в домейн 04.

DoS атаките са популярна хакерска техника, която нарушава дейността на компанията. Такива атаки намаляват възможността на потребителите за достъп до системни и информационни ресурси. За да се предпазите от тях, трябва да ограничите броя на наличните портове, да използвате IDS системи, да наблюдавате мрежовия трафик и работата на компютъра. Правилната конфигурация на защитни стени и рутери също може да намали заплахата от DoS атаки.

Интегритет

Интегритет осигурява гаранции за точност и надеждност на информацията и предоставящите я информационни системи, предотвратява възможността за неоторизирани промени. Хардуер, софтуер и комуникационно оборудване трябва да работят заедно, за да съхраняват и обработват правилно данните и да ги преместват до местоназначението им непроменени. Системите и мрежите трябва да бъдат защитени от външна намеса.


Системните атаки или потребителски грешки не трябва да засягат целостта на системите и данните. Ако нападателят инсталира вирус, логическа бомба или скрит вход (задна врата), целостта на системата ще бъде компрометирана. Това може да повлияе негативно на целостта на информацията, съхранявана в системата и да доведе до измами, неоторизирани промени в софтуера и данните. За борба с тези заплахи са необходими строг контрол на достъпа и системи за откриване на проникване.

Потребителите са склонни да засягат целостта на системите или данните чрез грешки (въпреки че вътрешните потребители също могат да участват в измамна или злонамерена дейност). Например случайно изтриване на конфигурационни файлове, въвеждане на грешна сума на транзакцията и т.н.

Мерките за сигурност трябва да ограничат възможностите на потребителите само до минимално необходимия набор от функции, което ще намали вероятността и последствията от техните грешки. Достъпът до критични системни файлове трябва да бъде ограничен до потребители. Приложенията трябва да предоставят механизми за контрол на входящата информация за проверка на нейната коректност и адекватност. Правата за промяна на данни в базите данни трябва да се предоставят само на упълномощени лица, данните, предавани по комуникационни канали, трябва да бъдат защитени чрез криптиране или други механизми.



Поверителност

Поверителност осигурява необходимото ниво на секретност във всяка точка на обработка на данни и предотвратява тяхното неразрешено разкриване. Поверителността трябва да се гарантира както по време на съхранението на информацията, така и в процеса на нейното предаване.


Нападателите могат да нарушат поверителността, като прихващат мрежовия трафик, шпионират работата на служителите, крадат файлове с пароли и използват техники за социално инженерство. Потребителите могат умишлено или случайно да разкрият поверителна информация, да забравят да я криптират, преди да я изпратят на друго лице, да станат жертва на атака на социално инженерство, да предоставят достъп до чувствителна фирмена информация, без да предоставят необходимата защита при обработката на поверителна информация.

Поверителността може да бъде гарантирана чрез криптиране на данни по време на съхранение и предаване, прилагане на строга система за контрол на достъпа, класифициране на данни и обучение на персонала в правилните методи за работа с поверителна информация.




Важно е да се разбере значението на думите уязвимост, заплаха, риск, въздействие и връзката между тях.

Уязвимост е грешка в софтуера, хардуера или процедурата, която може да предостави на нападателя възможност за достъп до компютър или мрежа и да получи неоторизиран достъп до информационните ресурси на компанията. Уязвимостта е липсата или слабостта на защитни мерки. Уязвимостите могат да бъдат услуга, работеща на сървър, „неизправено“ приложение или операционна система, неограничен достъп през модем пул, отворен порт на защитна стена, слаба физическа сигурност, която позволява на всеки да влезе в сървърна стая, липса на управление на пароли на сървъри и работни станции.

Заплаха представлява потенциална опасност за информацията или системата. Заплаха е, ако някой или нещо разкрие наличието на определена уязвимост и я използва срещу компания или лице. Нещо, което позволява експлоатация на уязвимост, се нарича източник на заплаха (заплашителен агент). Източникът на заплахата може да бъде хакер, който е получил достъп до мрежата през порт, отворен на защитната стена; процес, който осъществява достъп до данни по начин, който нарушава политиката за сигурност; торнадо, което разруши сградата; служител, допуснал грешка, която може да доведе до изтичане на поверителна информация или нарушаване на целостта на файловете.

Риск е вероятността източникът на заплахата да използва уязвимостта, което ще доведе до отрицателно въздействие върху бизнеса. Ако защитната стена има множество отворени портове, има голяма вероятност нападателят да използва един от тях, за да получи неоторизиран достъп до мрежата. Ако потребителите не са обучени в правилните процеси и процедури, има голяма вероятност от умишлени и неволни грешки, които могат да доведат до унищожаване на данните. Ако мрежата не разполага с IDS система, има голяма вероятност атаката да остане незабелязана, докато не стане твърде късно.

Въздействие (излагане) е нещо, което води до загуби поради действията на източника на заплахата. Уязвимостите засягат компанията, което води до възможността да я навреди. Ако управлението на пароли е слабо и изискванията за пароли не се прилагат, компанията е изложена на възможно излагане на компрометирани потребителски пароли и използването им за неоторизиран достъп. Ако една компания не следи електрическото си окабеляване и не предприема стъпки за предотвратяване на пожар, тя е изложена на потенциални пожарни ефекти.

Контрамерки (или защитни мерки ) - това са мерки, чието прилагане ви позволява да намалите нивото на потенциалния риск. Контрамерките могат да бъдат настройване на софтуер, хардуер или процедури за коригиране на уязвимостта или намаляване на вероятността източник на заплаха да използва уязвимостта. Примерите за контрамерки включват силно управление на пароли, охрана, механизми за контрол на достъпа до операционната система, задаване на пароли за BIOS и предоставяне на обучение на потребителите по въпроси, свързани със сигурността.

Ако една компания използва антивирусен софтуер, но не актуализира базите данни за вирусни сигнатури, това е уязвимост. Компанията е уязвима към вирусни атаки. Заплахата е, че вирус ще проникне в мрежата на компанията и ще парализира нейната работа. Рискът в този случай е вероятността вирус да влезе в мрежата на компанията и да й причини щети. Ако вирус проникне в мрежата на компанията, уязвимостта ще бъде използвана и компанията ще бъде изложена на щетите, които е нанесла. Контрамерките в тази ситуация биха били инсталирането на антивирусен софтуер на всички компютри в компанията и поддържането на техните бази данни с вирусни сигнатури актуални. Връзката между рискове, уязвимости, заплахи и контрамерки е показана на Фигура 1-3.

Фигура 1-3Връзка между различните компоненти за сигурност


Връзки

Как правилно да оценим рисковете за информационната сигурност - нашата рецепта

Задачата за оценка на рисковете за информационната сигурност се възприема днес от експертната общност нееднозначно и има няколко причини за това. Първо, няма златен стандарт или приет подход. Множество стандарти и методологии, макар и сходни в общи линии, се различават значително в детайли. Прилагането на определена методология зависи от областта и обекта на оценката. Изборът на подходящия метод обаче може да се превърне в проблем, ако участниците в процеса на оценяване имат различни възприятия за него и неговите резултати.

Второ, оценката на рисковете за информационната сигурност е чисто експертна задача. Анализът на рисковите фактори (като щети, заплаха, уязвимост и др.), извършен от различни експерти, често дава различни резултати. Недостатъчната възпроизводимост на резултатите от оценката поставя въпроса за надеждността и полезността на получените данни. Човешката природа е такава, че абстрактните оценки, особено тези, свързани с вероятностни мерни единици, се възприемат от хората по различни начини. Съществуващите приложни теории, предназначени да отчитат мярката на субективното възприятие на човек (например теория на перспективата), усложняват и без това сложната методология за анализ на риска и не допринасят за нейното популяризиране.

На трето място, самата процедура по оценка на риска в класическия му смисъл, с декомпозиция и инвентаризация на активите, е много трудоемка задача. Опитът за извършване на ръчен анализ с помощта на обикновени офис инструменти (като електронни таблици) неизбежно се удавя в море от информация. Специализираните софтуерни инструменти, предназначени да опростят отделните етапи на анализа на риска, до известна степен улесняват моделирането, но изобщо не опростяват събирането и систематизирането на данни.

И накрая, самото определение за риск в контекста на проблема със сигурността на информацията все още не е установено. Просто погледнете промените в терминологията на ISO Guide 73: 2009 в сравнение с версията от 2002 г. Докато по-рано рискът се определяше като потенциал за щети, дължащи се на използване на уязвимостта от всяка заплаха, сега това е ефектът от отклонението от очакваните резултати. Подобни концептуални промени са настъпили в новото издание на ISO / IEC 27001: 2013.

Поради тези, както и поради редица други причини, оценката на рисковете за информационната сигурност се третира в най-добрия случай с повишено внимание, а в най-лошия – с голямо недоверие. Това дискредитира самата идея за управление на риска, което в резултат води до саботаж на този процес от страна на ръководството и в резултат на това възникването на множество инциденти, които са пълни с годишни аналитични доклади.

Като се има предвид горното, коя страна е най-добре да се подходи към задачата за оценка на рисковете за информационната сигурност?

Свеж вид

Информационната сигурност днес все повече се фокусира върху бизнес целите и е вградена в бизнес процесите. Подобна метаморфоза се случва и с оценката на риска – тя придобива необходимия бизнес контекст. На какви критерии трябва да отговаря съвременната методология за оценка на риска от ИС? Очевидно той трябва да бъде достатъчно прост и универсален, така че резултатите от прилагането му да вдъхват увереност и да бъдат полезни за всички участници в процеса. Нека подчертаем редица принципи, на които трябва да се основава подобна техника:

  1. избягвайте ненужните детайли;
  2. разчитайте на мнението на бизнеса;
  3. използвайте примери;
  4. разгледайте външни източници на информация.

Същността на предложената методология е най-добре илюстрирана с практически пример. Помислете за проблема с оценката на рисковете за информационната сигурност в търговско и производствено дружество. Как обикновено започва? С определянето на границите на оценката. Ако оценката на риска се извършва за първи път, нейните граници трябва да включват основните бизнес процеси, които генерират приходи, както и процеси, които ги обслужват.

Ако бизнес процесите не са документирани, обща представа за тях може да се получи чрез разглеждане на организационната структура и наредбите за отделите, съдържащи описание на целите и задачите.

След като определихме границите на оценката, нека да преминем към идентифициране на активи. В съответствие с гореизложеното ще разглеждаме основните бизнес процеси като консолидирани активи, отлагайки инвентаризацията на информационните ресурси за следващите етапи (правило 1). Това се дължи на факта, че методологията предполага постепенен преход от общото към частното и при това ниво на детайлност тези данни просто не са необходими.

Рискови фактори

Ще приемем, че сме взели решение за състава на оценяваните активи. След това трябва да идентифицирате заплахите и уязвимостите, свързани с тях. Този подход обаче е приложим само при извършване на подробен анализ на риска, когато обектите на средата на информационните активи са обекти на оценка. В новата версия на ISO / IEC 27001: 2013 фокусът на оценката на риска се измести от традиционните ИТ активи към информацията и нейната обработка. Тъй като при сегашното ниво на детайлност разглеждаме разширените бизнес процеси на компанията, е достатъчно да се идентифицират само рисковите фактори на високо ниво, присъщи на тях.

Рисков фактор е специфична характеристика на обект, технология или процес, която е източник на проблеми в бъдеще. В същото време можем да говорим за наличието на риск като такъв, само ако проблемите се отразяват негативно върху работата на компанията. Изгражда се логическа верига:

По този начин задачата за идентифициране на рисковите фактори се свежда до идентифициране на неуспешни свойства и характеристики на процеси, които определят вероятните сценарии за реализиране на риск, които имат отрицателно въздействие върху бизнеса. За да опростим решението, нека използваме бизнес модела ISACA за информационна сигурност (виж фигура 1):

Ориз. 1. Бизнес модел на информационна сигурност

Възлите на модела показват основните движещи сили на всяка организация: стратегия, процеси, хора и технологии, а ръбовете му представляват функционалните връзки между тях. В тези ребра основно са концентрирани основните рискови фактори. Лесно е да се види, че рисковете са свързани не само с информационните технологии.

Как да идентифицираме рисковите фактори въз основа на дадения модел? В това е необходимо да се включи бизнес (правило 2). Бизнес звената обикновено са добре запознати с предизвикателствата, пред които са изправени по време на работа. Често се припомня и опитът на колегите от бранша. Можете да получите тази информация, като зададете правилните въпроси. Препоръчително е въпросите, свързани с персонала, да се обръщат към отдела за човешки ресурси, технологичните проблеми към услугата за автоматизация (ИТ), а свързаните с бизнеса въпроси към съответните бизнес звена.

В задачата за идентифициране на рисковите фактори е по-удобно да се започне от проблемите. След като идентифицирате проблем, е необходимо да се определи неговата причина. В резултат на това може да бъде идентифициран нов рисков фактор. Основната трудност тук е да не се подхлъзнеш особено. Например, ако е възникнал инцидент в резултат на незаконни действия на служител, рисковият фактор ще бъде не това, че служителят е нарушил разпоредбите на някаква наредба, а фактът, че самото действие е станало възможно. Рисковият фактор винаги е предпоставка за проблем.

За да може персоналът да разбере по-добре за какво точно се пита, е препоръчително въпросите да бъдат придружени с примери (правило 3). Следват примери за няколко рискови фактора на високо ниво, които могат да бъдат намерени в много бизнес процеси:

Персонал:

  • Недостатъчна квалификация (ръбът на човешкия фактор на фиг. 1)
  • Липса на служители (Emergence rebro)
  • Ниска мотивация (култура на ребра)

процеси:

  • Честа промяна във външните изисквания (Governing edge)
  • Слабо развита автоматизация на процесите (Разрешаване и поддръжка на Edge)
  • Комбиниране на роли от изпълнители (Emergence rib)

Технологии:

  • Остарял софтуер (активиране и поддръжка на ръба)
  • Ниска отговорност на потребителите (предимство на човешкия фактор)
  • Хетерогенен IT пейзаж (архитектурно ребро)

Важно предимство на предложения метод за оценка е възможността за кръстосан анализ, при който два различни отдела разглеждат един и същ проблем от различни ъгли. Имайки това предвид, е много полезно да задавате на интервюираните въпроси като: „Какво мислите за проблемите, които са идентифицирали вашите колеги?“ Това е чудесен начин да получите допълнителни оценки, както и да коригирате съществуващите. Могат да се извършат няколко кръга на тази оценка, за да се прецизира резултатът.

Въздействие върху бизнеса

Както следва от определението за риск, той се характеризира със степента на въздействие върху бизнес резултатите на организацията. Системата Balanced Scorecards е удобен инструмент за определяне на естеството на въздействието на сценариите за реализация на риска върху бизнеса. Без да навлизаме в подробности, отбелязваме, че Balanced Scorecards идентифицира 4 бизнес перспективи за всяка компания, свързани по йерархичен начин (виж Фиг. 2).

Ориз. 2. Четири бизнес гледни точки на балансираната карта с резултати

Във връзка с разглежданата методология рискът може да се счита за значителен, ако влияе негативно на поне една от следните три бизнес перспективи: финанси, клиенти и/или процеси (виж Фиг. 3).

Ориз. 3. Ключови бизнес показатели

Например, рисков фактор „Ниска отговорност на потребителите“ може да доведе до сценарий „Изтичане на информация за клиента“. От своя страна това ще се отрази на бизнес показателя за брой клиенти.

Ако компанията е разработила бизнес показатели, това значително опростява ситуацията. Винаги, когато е възможно да се проследи въздействието на конкретен рисков сценарий върху един или повече бизнес индикатори, съответният рисков фактор може да се счита за значителен и резултатите от неговата оценка трябва да бъдат записани във въпросници. Колкото по-високо в йерархията на бизнес показателите се проследява влиянието на даден сценарий, толкова по-значими са потенциалните последици за бизнеса.

Задачата за анализ на тези последици е експертна, поради което трябва да се решава с участието на специализирани бизнес звена (правило 2). За допълнителен контрол на получените оценки е полезно да се използват външни източници на информация, съдържащи статистически данни за размера на загубите в резултат на инциденти (правило 4), например годишният доклад „Проучване на разходите за нарушение на данните“.

Оценка на вероятността

На последния етап от анализа за всеки идентифициран рисков фактор, чието въздействие върху бизнеса е определено, е необходимо да се оцени вероятността от свързаните сценарии. От какво зависи тази оценка? До голяма степен това зависи от адекватността на прилаганите в компанията защитни мерки.

Тук има едно малко предположение. Логично е да се предположи, че след като проблемът е идентифициран, това означава, че той все още е актуален. В същото време предприетите мерки най-вероятно не са достатъчни за изравняване на предпоставките за възникването му. Достатъчността на противодействието се определя от резултатите от оценката на ефективността на тяхното прилагане, например чрез използване на система от показатели.

За оценка може да се използва проста 3-степенна скала, където:

3 - приложените мерки за противодействие обикновено са достатъчни;

2 - противодействието се прилага недостатъчно;

1 - няма противодействие.

Специфични за отрасъла стандарти и насоки като CobiT 5, ISO/IEC 27002 и други могат да се използват като препратки, описващи мерки за противодействие.Всяка контрамярка трябва да бъде свързана със специфичен рисков фактор.

Важно е да запомните, че ние анализираме рисковете, свързани не само с използването на ИТ, но и с организацията на вътрешните информационни процеси в компанията. Следователно, мерките за противодействие трябва да се разглеждат по-широко. Не е за нищо, че новата версия на ISO / IEC 27001: 2013 има предупреждение, че при избора на противодействие е необходимо да се използват всякакви външни източници (правило 4), а не само приложение A, което присъства в стандарта за референтни цели.

Величината на риска

За да определите общата стойност на риска, можете да използвате най-простата таблица (виж таблица. 1).

Раздел. 1. Матрица за оценка на риска

В случай, че рисков фактор засяга няколко бизнес перспективи, например „Клиенти“ и „Финанси“, техните показатели се сумират. Размерът на скалата, както и приемливите нива на рискове за информационната сигурност, могат да бъдат определени по всеки удобен начин. В този пример рисковете се считат за високи, ако имат нива 2 и 3.

На този етап първият етап на оценка на риска може да се счита за завършен. Общата стойност на риска, свързан с оценявания бизнес процес, се определя като сбор от комбинираните стойности за всички идентифицирани фактори. Собственик на риска може да се счита за лицето, отговорно във фирмата за оценявания обект.

Получената цифра не ни казва колко пари има риск да загуби организацията. Вместо това, той посочва областта на концентрация на рисковете и естеството на тяхното въздействие върху представянето на бизнеса. Тази информация е необходима, за да се фокусира допълнително върху най-важните детайли.

Подробна оценка

Основното предимство на разглеждания метод е, че ви позволява да извършвате анализ на риска за сигурността на информацията с желаното ниво на детайлност. Ако е необходимо, можете да „попаднете” в елементите на модела IS (фиг. 1) и да ги разгледате по-подробно. Например, чрез идентифициране на най-високата концентрация на риск в периферията, свързани с ИТ, можете да увеличите нивото на детайлност в възела Technology. Ако по-рано обект на оценка на риска беше отделен бизнес процес, сега фокусът ще се измести към конкретна информационна система и процесите на нейното използване. За да се осигури необходимото ниво на детайлност, може да се наложи да се направи инвентаризация на информационните ресурси.

Всичко това важи и за други области на оценка. Когато детайлността на възела People се промени, целите за оценка могат да бъдат роли на персонала или дори отделни служители. За процесен възел това могат да бъдат специфични работни политики и процедури.

Промяната на нивото на детайлност автоматично променя не само рисковите фактори, но и приложимите контрамерки. И двете ще станат по-специфични за предмета на оценка. В същото време общият подход за оценка на рисковите фактори няма да се промени. За всеки идентифициран фактор ще е необходимо да се оцени:

  • степента, до която рискът влияе върху бизнес перспективите;
  • достатъчно противодействие.

руски синдром

Излизането на стандарта ISO / IEC 27001: 2013 постави много руски компании в трудна позиция. От една страна, те вече са разработили определен подход за оценка на рисковете за информационната сигурност, базиран на класификацията на информационните активи, оценка на заплахите и уязвимостите. Националните регулатори успяха да издадат редица разпоредби, подкрепящи този подход, например стандарт на Банката на Русия, заповеди на FSTEC. От друга страна, има отдавна назряла необходимост от промени в задачата за оценка на риска и сега е необходимо установената процедура да се модифицира, така че да отговаря както на стари, така и на нови изисквания. Да, днес все още е възможно да бъдете сертифицирани според стандарта GOST R ISO / IEC 27001: 2006, който е идентичен с предишната версия на ISO / IEC 27001, но това не е за дълго.

Обсъдената по-горе техника за анализ на риска решава този проблем. Чрез контролиране на нивото на детайлност в оценката можете да разгледате активи и рискове във всякакъв мащаб, от бизнес процеси до отделни информационни потоци. Този подход също е удобен, защото ви позволява да покриете всички рискове от високо ниво, без да пропускате нищо. В същото време компанията значително ще намали разходите за труд за по-нататъшен анализ и няма да губи време за подробна оценка на незначителни рискове.

Трябва да се отбележи, че колкото по-високо е нивото на детайлност в областта на оценката, толкова по-голяма е отговорността на експертите и е необходима по-голяма компетентност, тъй като при промяна на дълбочината на анализа се променят не само рисковите фактори, но и ландшафта. на приложимите контрамерки.

Въпреки всички опити за опростяване, анализирането на рисковете за информационната сигурност все още отнема време и е сложно. Ръководителят на този процес носи специална отговорност. Много неща ще зависят от това колко компетентно ще изгради подход и ще се справи с поставената задача - от разпределението на бюджет за информационна сигурност до устойчивостта на бизнеса.

През януари 2018 г. Докладът за глобалните рискове за човечеството 2018 беше представен на Световния икономически форум в Давос. От доклада следва, че значимостта на рисковете за информационната сигурност нараства както поради нарастването на броя на реализираните атаки, така и отчитайки техния разрушителен потенциал.

Някои от най-разпространените техники за управление на риска за информационната сигурност в света са CRAMM, COBIT for Risk, FRAP, Octave и Microsoft. Наред с определени предимства, те имат и своите ограничения. По-специално, изброените чуждестранни методи могат ефективно да се използват от търговски компании, докато държавните организации, когато оценяват и управляват рисковете за информационната сигурност, трябва да се ръководят от разпоредбите на разпоредбите на FSTEC на Русия. Например, за автоматизирани системи за управление на производствени и технологични процеси в критични съоръжения, трябва да се ръководи от заповедта на FSTEC на Русия от 14 март 2014 г. № 31. В същото време този документ може да се използва като допълнителен материал от федералните изпълнителни органи.

Рискове за информационната сигурност в съвременното общество

През последните години броят на атаките срещу организации се е удвоил. Атаките, водещи до извънредни щети, стават нещо обичайно. Финансовите щети от атаки се увеличават, а една от най-големите загуби е свързана с атаките на ransomware. Ярък пример за това са атаките на ransomware WannaCry и NotPetya, които засегнаха повече от 300 хиляди компютри в 150 страни по света и доведоха до финансови загуби от над 300 милиона долара.

Друга тенденция е увеличаване на броя на атаките срещу критична инфраструктура и стратегически промишлени съоръжения, което може да доведе до извеждане от строя на системите, поддържащи живота на човечеството, и до появата на глобални техногенни бедствия.

По този начин рисковете за информационната сигурност са включени в първите три най-вероятни риска (заедно с рисковете от природни бедствия и екстремни метеорологични условия) и в списъка на шестте най-критични риска за възможни щети (заедно с рисковете от използване на масови оръжия). разрушения, природни бедствия, метеорологични аномалии и недостиг на питейна вода). Следователно управлението на риска за информационната сигурност е една от приоритетните области за развитието на организациите по света и е абсолютно необходимо за тяхното по-нататъшно функциониране.

Цели и подходи за управление на риска за информационната сигурност

Целта на всяка организация е да постигне определени показатели, които характеризират резултатите от нейната дейност. Например за търговските компании това е печалба, увеличаване на капитализацията, пазарния дял или оборота, а за държавните организации - предоставяне на обществени услуги на населението и решаване на управленски проблеми. Във всеки случай, независимо от целта на дейността на организацията, постигането на тази цел може да бъде възпрепятствано от реализирането на рискове за информационната сигурност. В същото време всяка организация по свой начин оценява рисковете и възможността за инвестиране в тяхното намаляване.

По този начин целта на управлението на риска за информационната сигурност е да ги поддържа на приемливо ниво за организацията. За да решат този проблем, организациите създават интегрирани системи за информационна сигурност (ISS).

При създаването на такива системи възниква въпросът за избор на средства за защита, които осигуряват намаляване на рисковете за информационната сигурност, идентифицирани в процеса на анализ, без прекомерни разходи за внедряване и поддръжка на тези инструменти. Анализът на рисковете за информационната сигурност ви позволява да определите необходимия и достатъчен набор от инструменти за защита на информацията, както и организационни мерки, насочени към намаляване на рисковете за информационната сигурност, и да разработите архитектура на ISS на организацията, която е най-ефективна за нейните специфични дейности и е насочена към намаляване на неговите рискове за информационната сигурност.

Всички рискове, включително рисковете за информационната сигурност, се характеризират с два параметъра: потенциални щети за организацията и вероятност за внедряване. Използването на комбинацията от тези две характеристики за анализ на риска позволява сравняване на рискове с различни нива на щета и вероятност, което ги води до общ израз, разбираем за тези, които вземат решения за минимизиране на рисковете в една организация. В същото време процесът на управление на риска се състои от следните логически етапи, чийто състав и съдържание зависи от използваната методология за оценка и управление на риска:

  1. Определяне на приемливо ниво на риск за организацията (апетит за риск) – критерий, използван при вземането на решение дали да се приеме риск или да се третира. Въз основа на този критерий се определя кои рискове, идентифицирани в бъдеще, ще бъдат безусловно приети и изключени от по-нататъшно разглеждане, а кои ще бъдат подложени на допълнителен анализ и включени в плана за реакция на риска.
  2. Идентифициране, анализ и оценка на рисковете. За да се вземе решение относно рисковете, те трябва да бъдат еднозначно идентифицирани и оценени от гледна точка на щетите от реализацията на риска и вероятността от неговата реализация. Оценката на щетите определя степента на въздействие на риска върху ИТ активите на организацията и бизнес процесите, които те поддържат. При оценка на вероятността се извършва анализ на вероятността рискът да бъде реализиран. Оценката на тези параметри може да се основава на идентифициране и анализ на уязвимости, присъщи на ИТ активите, които могат да бъдат засегнати от риск, и заплахи, чието изпълнение е възможно чрез експлоатацията на тези уязвимости. Също така, в зависимост от използваната методология за оценка на риска, моделът на нападателя, информацията за бизнес процесите на организацията и други фактори, свързани с прилагането на риска, като политическа, икономическа, пазарна или социална ситуация в средата на организацията, могат да бъдат използвани като изходните данни за тяхната оценка. При оценка на рисковете може да се използва качествен, количествен или смесен подход за оценката им. Предимството на качествения подход е неговата простота, минимизиране на разходите за време и труд за извършване на оценка на риска, ограничения - недостатъчна видимост и сложност на използването на резултатите от анализа на риска за икономическа обосновка и оценка на осъществимостта на инвестиране в мерки за отговор на риска. Предимството на количествения подход е точността на оценката на риска, яснотата на резултатите и възможността да се сравни стойността на риска, изразен в пари, с размера на инвестициите, необходими за отговор на този риск, недостатъците са сложността, висока интензивност на труда и продължителност на изпълнение.
  3. Класиране на риска. За да се даде приоритет на отговора на рисковете и последващото разработване на план за реакция, всички рискове трябва да бъдат класирани. При класиране на рисковете, в зависимост от използваната методология, такива критерии за определяне на критичност като щети от реализацията на рискове, вероятност за реализация, ИТ активи и бизнес процеси, засегнати от риска, обществен резонанс и репутационни щети от реализацията на риска и др. ., може да се приложи.
  4. Вземете решение за рисковете и разработете план за реакция на риска. За да се определи наборът от мерки за реагиране на рискове, е необходимо да се анализират идентифицираните и оценени рискове, за да се вземе едно от следните решения за всеки от тях:
    • Избягване на риска;
    • Поемане на риск;
    • Прехвърляне на риск;
    • Намаляване на риска.
    Взетото решение за всеки риск трябва да бъде записано в план за реакция на риска. Освен това този план може да съдържа, в зависимост от използваната методология, следната информация, необходима за реагиране на рискове:
    • Отговаря за отговора;
    • Описание на мерките за реагиране;
    • Оценка на инвестициите, необходими за отговора;
    • Срок за изпълнение на тези мерки.
  5. Изпълнение на мерки за реагиране на рискове. За изпълнение на мерките за реагиране на риска отговорните лица ще организират изпълнението на действията, описани в плана за реагиране на риска, в рамките на необходимия срок.
  6. Оценка на ефективността на прилаганите мерки. За да се гарантира, че мерките, прилагани в съответствие с плана за реагиране, са ефективни и нивото на рисковете е подходящо за организацията, се оценява ефективността на всяка внедрена мярка за отговор на риска, както и рисковете на организацията се идентифицират, анализират и оценяват редовно.
Нека разгледаме най-известните техники за управление на риска за информационна сигурност: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Преглед на методологията на CRAMM

CRAMM (CCTA Risk Analysis and Management Method), разработен от Службата за сигурност на Обединеното кралство през 1985 г., се основава на серията стандарти за управление на информационната сигурност BS7799 (понастоящем преработени до ISO 27000) и описва подход към качествена оценка на риска. В този случай преходът към скала от стойности на качествените показатели става с помощта на специални таблици, които определят съответствието между качествените и количествените показатели. Оценката на риска се основава на анализ на бизнес стойността на ИТ актив, уязвимости, заплахи и вероятността от тяхното възникване.

Процесът на управление на риска по метода CRAMM се състои от следните етапи:

  1. Посвещение На този етап се провеждат поредица от интервюта с лица, които се интересуват от процеса на анализ на риска за информационната сигурност, включително отговорните за експлоатацията, администрирането, сигурността и използването на ИТ активите, за които се извършва анализът на риска. В резултат се дава формализирано описание на зоната за по-нататъшно проучване, нейните граници и се определя съставът на лицата, участващи в анализа на риска.
  2. Идентификация и оценка на активи. Определя се списък на ИТ активите, използвани от организацията в предварително определена изследователска област. Според методологията CRAMM ИТ активите могат да бъдат от един от следните видове:
    • Данни;
    • Софтуер;
    • Физически активи.
    За всеки актив се определя неговата критичност за дейността на организацията и съвместно с представители на отдели, използващи ИТ актива за решаване на приложни проблеми, се оценяват последствията за дейността на организацията от нарушаване на неговата конфиденциалност, цялост и достъпност.
  3. Оценка на заплахите и уязвимостта. В допълнение към оценката на критичността на ИТ активите, важна част от методологията на CRAMM е оценката на вероятността от заплахи и уязвимости на ИТ активите. Методологията CRAMM съдържа таблици, описващи съответствието между уязвимостите на ИТ активите и заплахите, които могат да засегнат ИТ активите чрез тези уязвимости. Има и таблици, описващи щетите върху ИТ активите в случай на тези заплахи. Този етап се извършва само за най-критичните ИТ активи, за които не е достатъчно прилагането на основен набор от мерки за информационна сигурност. Идентифицирането на текущите уязвимости и заплахи се извършва чрез интервюиране на лица, отговорни за администрирането и експлоатацията на ИТ активи. За останалите ИТ активи методологията CRAMM съдържа набор от необходими основни мерки за информационна сигурност.
  4. Изчисляване на риска. Изчисляването на риска се извършва по формулата: Риск = P (реализация) * Щета. В този случай вероятността за реализиране на риска се изчислява по формулата: P (реализация) = P (заплаха) * P (уязвимост). На етапа на изчисляване на рисковете за всеки ИТ актив се определят изискванията за набор от мерки за осигуряване на неговата информационна сигурност по скала от "1" до "7", където стойността "1" съответства на минимално необходимия набор на мерки за осигуряване на информационната сигурност, а стойността "7" - максимална.
  5. Управление на риска. Въз основа на резултатите от изчисляването на риска методологията CRAMM определя необходимия набор от мерки за осигуряване на информационната сигурност. За това се използва специален каталог, който включва около 4 хиляди мерки. Наборът от мерки, препоръчани от методологията CRAMM, се сравнява с вече предприетите от организацията мерки. В резултат на това се идентифицират области, изискващи допълнително внимание по отношение на прилагането на предпазни мерки, и области с излишни предпазни мерки. Тази информация се използва за формиране на план за действие за промяна на състава на прилаганите защитни мерки в организацията - за привеждане на нивото на рисковете до необходимото ниво.
От гледна точка на практическото приложение могат да се разграничат следните предимства на техниката CRAMM:
  • Многократно изпитан метод, чрез който са натрупани значителен опит и професионална компетентност; резултатите от приложението CRAMM са признати от международни институции;
  • Наличието на разбираемо формализирано описание на методологията минимизира възможността от грешки при изпълнението на процесите на анализ и управление на риска;
  • Наличието на инструменти за автоматизация за анализ на риска ви позволява да минимизирате разходите за труд и времето, необходимо за извършване на дейности за анализ и управление на риска;
  • Каталози на заплахи, уязвимости, последствия, мерки за информационна сигурност опростяват изискванията за специални познания и компетентност на преките изпълнители на мерките за анализ и управление на риска.
Тази CRAMM техника има следните недостатъци:
  • Висока сложност и трудоемкост при събирането на изходни данни, изискващи включване на значителни ресурси в организацията или отвън;
  • Големи разходи на ресурси и време за внедряване на процеси за анализ и управление на рисковете за информационната сигурност;
  • Включването на голям брой заинтересовани страни изисква значителни разходи за организиране на съвместна работа, комуникации в екипа на проекта и съгласуване на резултатите;
  • Невъзможността за оценка на рисковете в парите затруднява използването на резултатите от оценката на риска за информационната сигурност в проучването за осъществимост на инвестициите, необходими за прилагане на инструменти и методи за информационна сигурност.
CRAMM се използва широко както в правителствени, така и в търговски организации по целия свят и е де факто стандартът за управление на риска за информационната сигурност в Обединеното кралство. Техниката може успешно да се прилага в големи организации, фокусирани върху международното взаимодействие и спазването на международните стандарти за управление, извършвайки първоначалното внедряване на процеси за управление на риска за информационната сигурност, за да обхване цялата организация наведнъж. В същото време организациите трябва да могат да отделят значителни ресурси и време за внедряването на CRAMM.

Преглед на COBIT за методологията на риска

Методологията COBIT за риск е разработена от ISACA (Асоциация за одит и контрол на информационните системи) през 2013 г. и се основава на най-добрите практики за управление на риска (COSO ERM, ISO 31000, ISO \ IEC 27xxx и др.). Методологията разглежда рисковете за информационната сигурност във връзка с рисковете от основната дейност на организацията, описва подходите за изпълнение на функцията за управление на риска на информационната сигурност в организацията и към процесите на качествен анализ на рисковете за информационната сигурност и тяхното управление.

    При внедряване на функцията и процеса на управление на риска в една организация, методологията идентифицира следните компоненти, които влияят както на рисковете за информационната сигурност, така и на процеса на управлението им:
    • Организационни принципи, политики, процедури;
    • процеси;
    • Организационна структура;
    • Корпоративна култура, етика и правила за поведение;
    • Информация;
    • ИТ услуги, ИТ инфраструктура и приложения;
    • Хората, техният опит и компетенции.

    По отношение на организацията на функцията за управление на риска за информационната сигурност, методологията дефинира и описва изискванията за следните компоненти:
    • Необходим процес;
    • Информационни потоци;
    • Организационна структура;
    • Хора и компетенции.
    Основен елемент от анализа и управлението на рисковете за информационната сигурност в съответствие с методологията са рисковите сценарии. Всеки сценарий е „описание на събитие, което, ако се случи, може да доведе до несигурно (положително или отрицателно) въздействие върху постигането на целите на организацията“. Методологията съдържа над 100 рискови сценария, обхващащи следните категории въздействие:
    • Създаване и поддържане на портфолио от ИТ проекти;
    • Управление на жизнения цикъл на програмата/проекта;
    • Инвестиции в ИТ;
    • Експертиза и умения на ИТ персонала;
    • Операции с персонал;
    • Информация;
    • Архитектура;
    • ИТ инфраструктура;
    • Софтуер;
    • Неефективно използване на ИТ;
    • Избор и управление на ИТ доставчици;
    • Съответствие с нормативните изисквания;
    • Геополитика;
    • Кражба на инфраструктурни елементи;
    • Зловреден софтуер;
    • Логически атаки;
    • Техногенно въздействие;
    • Заобикаляща среда;
    • Природен феномен;
    • Иновация.
    За всеки рисков сценарий методологията определя степента на неговата принадлежност към всеки вид риск:
    • Стратегически рискове - рискове, свързани с пропуснати възможности за използване на ИТ за развитие и подобряване на ефективността на основните дейности на организацията;
    • Проектни рискове – рискове, свързани с въздействието на ИТ върху създаването или развитието на съществуващи процеси на организацията;
    • Рискове при управлението на ИТ и предоставянето на ИТ услуги - рискове, свързани с осигуряването на достъпност, стабилност и предоставяне на ИТ услуги на потребителите с необходимото ниво на качество, проблеми с които могат да доведат до увреждане на основните дейности на организацията.
    Всеки рисков сценарий съдържа следната информация:
    • Тип източник на заплаха - вътрешен / външен.
    • Тип заплаха - злонамерено действие, природен феномен, грешка и др.
    • Описание на събитието – достъп до информация, унищожаване, модификация, разкриване на информация, кражба и др.
    • Видовете активи (компоненти) на организацията, които са засегнати от събитието – хора, процеси, ИТ инфраструктура и др.
    • Време на събитието.
    В случай на изпълнение на рисковия сценарий на дейността на организацията се причиняват щети. По този начин, когато се анализират рисковете за информационната сигурност в съответствие с методологията на COBIT за риск, се идентифицират съответните рискови сценарии и мерки за намаляване на риска, за да се намали вероятността от възникване на тези сценарии. За всеки от идентифицираните рискове се извършва анализ на съответствието му с апетита за риск на организацията с последващо приемане на едно от следните решения:
    • Избягване на риска;
    • Поемане на риск;
    • Прехвърляне на риск;
    • Намаляване на риска.
    По-нататъшното управление на риска се осъществява чрез анализ на остатъчното ниво на рискове и вземане на решение за необходимостта от прилагане на допълнителни мерки за намаляване на риска. Методологията предоставя насоки как да се прилагат мерки за намаляване на риска за всеки тип организационен компонент.

    От гледна точка на практическото приложение могат да се разграничат следните предимства на методологията COBIT за риск:
    • Връзка към общата библиотека COBIT и възможност за използване на подходи и „ИТ контроли“ (мерки за намаляване на риска) от свързани области, което ви позволява да разгледате рисковете за информационната сигурност и мерките за смекчаване във връзка с въздействието на рисковете върху бизнес процесите на организацията;
    • Добре доказан метод, чрез който са натрупани значителен опит и професионална компетентност и резултатите от които са признати от международни институции;
    • Наличието на разбираемо формализирано описание на методологията ви позволява да сведете до минимум грешките при изпълнението на процесите на анализ и управление на риска;
    • Каталозите на рисковите сценарии и „ИТ контроли“ позволяват да се опрости изискванията за специални познания и компетентност на преките изпълнители на мерки за анализ и управление на рисковете;
    • Възможността за използване на методологията при провеждане на одити ви позволява да намалите разходите за труд и времето, необходимо за интерпретиране на резултатите от външни и вътрешни одити.
    В същото време методологията COBIT за риск има следните недостатъци и ограничения:
    • Високата сложност и трудоемкост на събирането на изходни данни изисква включване на значителни ресурси или в рамките на организацията, или отвън;
    • Включването на голям брой заинтересовани страни изисква значителни разходи за организиране на съвместна работа, отделяне на време за комуникация на ангажираните лица в рамките на екипа на проекта и съгласуване на резултатите с всички заинтересовани страни;
    • Липсата на способност за оценка на рисковете в парите затруднява използването на резултатите от оценката на рисковете за информационната сигурност при обосноваване на инвестициите, необходими за прилагане на средствата и методите за защита на информацията.
    Този метод се използва както в правителствени, така и в търговски организации по целия свят. Методът е най-подходящ за големи технологични организации или организации с висока степен на зависимост на основните си дейности от информационните технологии, за тези, които вече използват (или планират да използват) COBIT стандарти и методологии за управление на информационните технологии и разполагат с необходимите ресурси и компетенции. В този случай е възможно ефективно интегриране на процесите за управление на риска за информационната сигурност и общите процеси за управление на ИТ и постигане на синергичен ефект, който ще оптимизира разходите за внедряване на процесите за анализ и управление на риска за информационната сигурност.

Една от най-важните задачи за управление на информационната сигурност на една организация и нейната KISS е управлението на риска, или управление на риска -координирани дейности за управление на организацията по отношение на риска. В контекста на рисковете за информационната сигурност се разглеждат само негативните последици (загуби).

По отношение на постигането на бизнес целите на една организация, управлението на риска е процес на създаване и динамично развитие на икономически жизнеспособна система за информационна сигурност и ефективна система за управление на информационната сигурност. Следователно управлението на риска е една от основните задачи и отговорности на ръководството на организацията.

Управлението на риска използва собствена концептуална рамка, която в момента е стандартизирана и е дадена в стандартите GOST R ISO / IEC 13335-1-2006, GOST R ISO / IEC 27001-2006. ISO / IEC 27005: 2008 „Информационни технологии. Методи и средства за осигуряване на безопасност. Управление на риска за информационна сигурност ”предоставя концептуални насоки за управление на риска за информационната сигурност и подкрепя общите концепции и модела ISMS, определени в GOST R ISO / IEC 27001-2006. Той е изграден на базата на британския стандарт BS 7799-3: 2006 и до известна степен отразява американския стандарт NIST SP 800-30: 2002, който също така предоставя насоки за управление на риска за системи за информационни технологии и е предназначен да улесни адекватното информационната сигурност на организацията и нейната KISS на базата на подход за управление на риска. Изготвен е проект на руски национален стандарт GOST R ISO / IEC 27005-2008, хармонизиран с ISO / IEC 27005: 2008.

В тези стандарти рискът се дефинира като потенциална заплаха от увреждане на организацията в резултат на изпълнението на заплаха, използваща уязвимостите на актив или група активи. Риск за информационната сигурност -възможността тази заплаха да използва уязвимостите на информационен актив (група активи) и по този начин да навреди на организацията. Измерва се чрез комбинация от вероятността от нежелано събитие и последствията от него (възможни щети).

Управлението на риска по сигурността на информацията обхваща няколко процеса, най-важните от които са оценка на риска, която включва анализ и оценка на риска, и третиране на риска - избор и прилагане на мерки за модификация на риска с помощта на резултатите от оценката. Управлението на риска за информационната сигурност е итеративен процес, който изисква наблюдение и периодичен преглед.

В зависимост от обхвата, обекта и целите на управлението на риска могат да се прилагат различни подходи за управление и оценка на риска за сигурността на информацията - високо ниво и детайлна оценка на риска. Подходът също може да бъде различен за всяка итерация.

Анализът на риска (идентификация и измерване) може да се извърши с различна степен на детайлност, в зависимост от критичността на активите, разпространението на известни уязвимости и минали инциденти, засягащи организацията. Формата на анализа трябва да е в съответствие с избраните критерии за оценка на риска. Методологията на измерване може да бъде качествена или количествена, или комбинация от двете, според случая. На практика качествената оценка често се използва първо за получаване на обща информация за нивото на риска и за идентифициране на основните стойности на рисковете. По-късно може да се наложи да се извърши по-специфичен или количествен анализ на основните рискови стойности, тъй като обикновено е по-малко трудно и по-евтино да се извърши качествен анализ в сравнение с количествения.

При избора на подход за управление и оценка на риска се вземат предвид три групи основни критерии – критерии за оценка на риска, критерии за влияние и критерии за приемане на риска. Те трябва да бъдат разработени и дефинирани.

Критериите за оценка на рисковете за информационната сигурност на организацията трябва да бъдат разработени, като се вземе предвид следното:

  • - стратегическата стойност на обработката на бизнес информация;
  • - критичността на засегнатите информационни активи;
  • - законови и нормативни изисквания и договорни задължения;
  • - оперативната и бизнес значимостта на наличността, поверителността и целостта на информацията;
  • - очаквания за възприемане на участващите страни, както и негативни последици за „нематериалния капитал” и репутацията.

Освен това критериите за оценка на риска могат да се използват за приоритизиране на третирането на риска.

Критериите за въздействие са идентифицирани с критерии за потенциална загуба на поверителността, целостта и наличността на активи и отразяват неблагоприятните промени в нивото на постигнатите бизнес цели.

Критериите за въздействие трябва да бъдат проектирани и определени въз основа на степента на щетите или разходите за организацията, причинени от събитие за информационна сигурност, като се вземат предвид следното:

  • - нивото на класификация на информационния актив, върху който се влияе;
  • - нарушения на информационната сигурност (например загуба на поверителността, целостта и наличността);
  • - увредени операции (вътрешни или трети страни);
  • - загуба на бизнес стойност и финансова стойност;
  • - нарушаване на планове и срокове;
  • - увреждане на репутацията;
  • - нарушение на законови, регулаторни или договорни изисквания.

Критериите за приемливост на риска съответстват на „критериите за приемане на риска и идентифициране на приемливо ниво на риск“, определени в GOST R ISO / IEC 27001-2006. Те трябва да бъдат разработени и дефинирани. Критериите за поемане на риск често зависят от политиките, намеренията, целите на организацията и интересите на заинтересованите страни.

Организацията трябва да определи свои собствени скали за нивата на приемане на риска. Имайте предвид следното, когато разработвате:

  • - критериите за приемане на риск могат да включват много прагове, с желано целево ниво на риск, но при условие, че при определени обстоятелства висшето ръководство ще приеме рискове, които са над определеното ниво;
  • - критериите за приемане на риска могат да бъдат изразени като съотношението на количествената изгода (или друга бизнес изгода) към количествено определения риск;
  • - различни критерии за приемане на риск могат да се прилагат за различни класове риск, например не могат да се приемат рискове от неспазване на директиви и закони, докато приемането на рискове от високо ниво може да бъде разрешено, ако е посочено в договорното изискване;
  • - критериите за приемане на риска могат да включват изисквания за бъдеща допълнителна обработка, например рискът може да бъде приет, ако има одобрение и съгласие за предприемане на действия за намаляването му до приемливо ниво в рамките на определен период от време.

Критериите за приемане на риска могат да се различават в зависимост от това колко дълго се очаква да съществува рискът, например рискът може да бъде свързан с временни или краткосрочни дейности. Критериите за поемане на риск следва да бъдат установени, като се вземат предвид критериите на бизнеса; правни и регулаторни аспекти; операции; технологии; финанси; социални и хуманитарни фактори.

В съответствие с ISO/IEC 27005:2008, управлението на риска за информационната сигурност обхваща следните процеси: определяне на контекст, оценка на риска, третиране на риска, приемане на риска, комуникация на риска и наблюдение и преглед на риска.

Както се вижда от фиг. 3.5, процесът за управление на риска за информационната сигурност може да бъде итеративен за дейности като оценка на риска и/или третиране на риска. Итеративният подход за извършване на оценка на риска може да увеличи дълбочината и детайлността на оценката с всяка итерация. Итеративният подход постига добър баланс между времето и усилията, изразходвани за дефиниране на контроли (гаранти и контроли за сигурност), като същевременно гарантира, че рисковете от високо ниво са правилно адресирани.

В четирифазния модел BC&S и RAPA определянето на контекста, оценката на риска, разработването на план за третиране на риска и приемането на риска са част от фазата на „плана“. Във фазата „направи“ на действие

Ориз. 3.5.

и необходимите контроли за намаляване на риска до приемливо ниво се прилагат в съответствие с плана за третиране на риска. Във фазата на „проверка“ мениджърите определят необходимостта от преразглеждане на третирането на риска в светлината на инциденти и промени в обстоятелствата. Във фазата „акт“ се извършва всяка необходима работа, включително повторно стартиране на процеса на управление на риска за информационната сигурност.

Таблица 3.3 изброява дейностите (процесите), свързани с управлението на риска, които са от значение за четирите фази на процеса на СУИБ въз основа на модела PDAP.

Таблица 3.3

Връзка между фазите на процеса на СУИБ и процесите и подпроцесите на управление на риска за информационната сигурност

Установяването на контекста на управлението на риска за информационната сигурност включва установяване на основните критерии (оценка на рисковете, влияние или приемане на рискове), определяне на обхвата и границите и установяване на подходяща организационна структура за управление на риска.

Контекстът се установява първо, когато се извършва оценка на риска на високо ниво. Оценката на високо ниво предоставя възможност за приоритизиране и определяне на графика на действията. Ако предоставя достатъчно информация за ефективно определяне на действията, необходими за намаляване на риска до приемливо ниво, тогава задачата е завършена и следва обработка на риска. Ако информацията е недостатъчна, тогава се извършва друга итерация на оценката на риска, като се използва ревизираният контекст (например, като се използват критерии за оценка на риска, приемливост на риска или критерии за въздействие), вероятно в ограничени части от пълния обхват (вижте фигура 3.5, риск решение точка № 1).

На практика се използват количествени и качествени подходи за оценка на рисковете за информационната сигурност. Каква е разликата между тях?

Количествен метод

Количествената оценка на риска се използва в ситуации, при които разследваните заплахи и свързаните с тях рискове могат да бъдат сравнени с крайните количествени стойности, изразени в пари, процент, време, човешки ресурси и др. Методът позволява да се получат конкретни стойности на обектите за оценка на риска при реализация на заплахи за информационната сигурност.

При количествения подход на всички елементи на оценката на риска се приписват конкретни и реални количествени стойности. Алгоритъмът за получаване на тези стойности трябва да е ясен и разбираем. Обект на оценка може да бъде стойността на даден актив в парично изражение, вероятността за реализиране на заплаха, щети от заплаха, разходите за защитни мерки и т.н.

Как да определим количествено рисковете?

1. Определете стойността на информационните активи в парично изражение.

2. Оценете в количествено отношение потенциалните щети от изпълнението на всяка заплаха по отношение на всеки информационен актив.

Трябва да получите отговори на въпросите "Каква част от стойността на актива ще бъде вредата от изпълнението на всяка заплаха?"

3. Определете вероятността за изпълнение на всяка от заплахите от ИС.

За да направите това, можете да използвате статистика, анкети на служители и заинтересовани страни. В процеса на определяне на вероятността изчислете честотата на инцидентите, свързани с изпълнението на разглежданата заплаха за IS за контролен период (например една година).

4. Определете общата потенциална щета от всяка заплаха по отношение на всеки актив за контролния период (за една година).

Стойността се изчислява като се умножи еднократната щета от реализацията на заплахата по честотата на реализиране на заплахата.

5. Направете анализ на получените данни за щети за всяка заплаха.

За всяка заплаха трябва да се вземе решение: приемете риска, намалете риска или прехвърлете риска.

Да приемеш риск означава да го осъзнаеш, да приемеш възможността му и да продължиш да действаш както преди. Приложимо за заплахи с ниска степен на щети и ниска вероятност.

Намаляването на риска означава въвеждане на допълнителни мерки и средства за защита, провеждане на обучение на персонала и т. н. Тоест да се извършва целенасочена работа за намаляване на риска. В същото време е необходимо да се направи количествена оценка на ефективността на допълнителните мерки и средства за защита. Всички разходи, направени от организацията, от закупуването на защитно оборудване до пускането в експлоатация (включително инсталация, конфигурация, обучение, поддръжка и т.н.), не трябва да надвишават размера на щетите от изпълнението на заплахата.

Прехвърлянето на риск означава прехвърляне на последствията от реализацията на риска към трето лице, например с помощта на застраховка.

В резултат на количествена оценка на риска трябва да се определи следното:

  • парична стойност на активите;
  • пълен списък на всички IS заплахи с щети от един инцидент за всяка заплаха;
  • честотата на изпълнение на всяка заплаха;
  • потенциални щети от всяка заплаха;
  • Препоръчителни мерки за сигурност, контрамерки и действия за всяка заплаха.

Количествен анализ на рисковете за информационната сигурност (пример)

Нека разгледаме техниката, използвайки примера на уеб сървър на организация, който се използва за продажба на конкретен продукт. Количествено еднократнаЩетите от повреда на сървъра могат да бъдат оценени като произведението на средната разписка за покупка от средния брой посещения за определен интервал от време, равен на времето за престой на сървъра. Да кажем, че цената на еднократна повреда от директна повреда на сървъра е 100 хиляди рубли.

Сега е необходимо да се оцени от експерт колко често може да възникне такава ситуация (като се вземе предвид интензивността на работа, качеството на захранването и т.н.). Например, като вземем предвид мнението на експертите и статистическата информация, разбираме, че сървърът може да се повреди до 2 пъти годишно.

Умножаваме тези две количества, получаваме това средногодишнощетите от прилагането на заплахата от директен отказ на сървъра са 200 хиляди рубли годишно.

Тези изчисления могат да се използват за обосноваване на избора на защитни мерки. Например, въвеждането на система за непрекъсваемо захранване и резервна система с обща цена от 100 хиляди рубли на година ще сведе до минимум риска от повреда на сървъра и ще бъде напълно ефективно решение.

Качествен метод

За съжаление не винаги е възможно да се получи специфичен израз на обекта на оценка поради голямата несигурност. Как точно да оценим щетите върху репутацията на една компания, когато се появи информация за инцидент в информационната сигурност с нея? В този случай се прилага качественият метод.

Качественият подход не използва количествени или парични изрази за предмета. Вместо това на обекта на оценка се присвоява индикатор, класиран по тристепенна (ниска, средна, висока), петобална или десетобална скала (0...10). За събиране на данни за качествена оценка на риска се използват проучвания на целеви групи, интервюта, въпросници и лични срещи.

Трябва да се извърши качествен анализ на рисковете за информационната сигурност с участието на служители с опит и компетентност в областта, в която се разглеждат заплахите.

Как да извършим качествена оценка на риска:

1. Определете стойността на информационните активи.

Стойността на даден актив може да се определи от нивото на критичност (последствия) в случай на нарушаване на характеристиките на сигурността (поверителност, цялост, наличност) на информационен актив.

2. Определете вероятността за реализиране на заплахата по отношение на информационния актив.

За оценка на вероятността за реализиране на заплаха може да се използва тристепенна качествена скала (ниско, средно, високо).

3. Определете нивото на възможността за успешно изпълнение на заплахата, като вземете предвид текущото състояние на информационната сигурност, приложените мерки и средства за защита.

За оценка на нивото на възможността за реализация на заплахата може да се използва и тристепенна качествена скала (ниско, средно, високо). Стойността на възможността за реализация на заплахата показва колко е осъществимо успешното прилагане на заплахата.

4. Направете заключение за нивото на риска въз основа на стойността на информационния актив, вероятността от заплахата, възможността за заплахата.

За да определите нивото на риска, можете да използвате скала от пет или десет точки. При определяне на нивото на риска могат да се използват референтни таблици, даващи разбиране кои комбинации от показатели (стойност, вероятност, възможност) водят до кое ниво на риск.

5. Извършете анализ на получените данни за всяка заплаха и нивото на получен риск за нея.

Често групата за анализ на риска работи с концепцията за "приемливо ниво на риск". Това е нивото на риск, което компанията е готова да приеме (ако заплахата има ниво на риск, по-малко или равно на приемливо, тогава тя не се счита за релевантна). Глобалната задача на качествената оценка е да намали рисковете до приемливо ниво.

6. Разработване на мерки за сигурност, контрамерки и действия за всяка действителна заплаха за намаляване нивото на риска.

Кой метод да изберете?

Целта и на двата метода е да се разберат реалните рискове за информационната сигурност на компанията, да се определи списъкът с актуални заплахи, както и да се подберат ефективни контрамерки и средства за защита. Всеки метод за оценка на риска има своите предимства и недостатъци.

Количественият метод дава нагледно представяне в пари по обектите на оценка (щета, разходи), но е по-трудоемък и в някои случаи неприложим.

Качественият метод дава възможност за по-бърза оценка на рисковете, но оценките и резултатите са по-субективни и не дават ясно разбиране за щетите, разходите и ползите от внедряването на системи за информационна сигурност.

Изборът на метод трябва да се извършва въз основа на спецификата на конкретна компания и задачите, възложени на специалиста.

Станислав Шиляев, ръководител на проекти за информационна сигурност в СКБ Контур



© Авторско право 2017, https://qzoreteam.ru