Methode voor het beoordelen van informatiebeveiligingsrisico's. Beheer van risico's. Veiligheidsmodel met volledige overlap

Dit onderdeel behandelt de volgende zaken:

• Veiligheidsmanagement
• Toewijzing van verantwoordelijkheden voor veiligheidsbeheer
• Top-down benadering
• Beveiligingsadministratie en beschermende maatregelen
• Fundamentele veiligheidsprincipes (AIC Triad)
• Beschikbaarheid
• Integriteit
• Vertrouwelijkheid
• Beveiligingsdefinities (kwetsbaarheid, dreiging, risico, impact, tegenmaatregelen)
• Beveiliging door het onbekende

Bijgewerkt: 21.02.2010

Beveiligingsbeheer omvat risicobeheer, informatiebeveiligingsbeleid, procedures, normen, richtlijnen, kaders, informatieclassificatie, beveiligingsorganisatie en beveiligingstraining. Deze belangrijke aspecten vormen de ruggengraat van een bedrijfsbeveiligingsprogramma. Het doel van het beveiligings- en beveiligingsprogramma is om het bedrijf en zijn activa te beschermen. Risicoanalyse maakt het mogelijk deze activa te identificeren, bedreigingen te identificeren die risico's voor hen veroorzaken, de mogelijke verliezen en potentiële verliezen te beoordelen die het bedrijf kan oplopen als een van deze bedreigingen wordt gerealiseerd. De resultaten van de risicoanalyse helpen het management bij het opstellen van een kosteneffectief budget om geïdentificeerde activa te beschermen tegen geïdentificeerde bedreigingen en om praktisch beveiligingsbeleid te ontwikkelen dat de beveiligingsactiviteiten begeleidt. Beveiligingstrainingen en bewustmaking stellen u in staat om de juiste hoeveelheid informatie onder de aandacht te brengen van elke medewerker in het bedrijf, wat hun werk vereenvoudigt en helpt bij het bereiken van beveiligingsdoelen.

Het veiligheidsmanagementproces is continu. Het begint met een risicobeoordeling en identificatie van behoeften, gevolgd door monitoring en evaluatie van systemen en werkwijzen. Dit wordt gevolgd door bewustwording bij de medewerkers van het bedrijf, wat inzicht geeft in de problemen waarmee rekening moet worden gehouden. De laatste stap is het implementeren van beleid en waarborgen om de risico's te beperken en te voldoen aan de behoeften die in de eerste stap zijn geïdentificeerd. Dan begint de cyclus opnieuw. Dit proces analyseert en bewaakt dus voortdurend de veiligheid van het bedrijf, stelt het in staat zich aan te passen en te ontwikkelen, rekening houdend met de beveiligingsbehoeften en de omstandigheden waarin het bedrijf bestaat en opereert.

Beveiligingsbeheer verandert in de loop van de tijd, omdat de netwerkomgeving, computers en applicaties die informatie verwerken veranderen. Internet, extranetten (netwerken van zakenpartners), intranetten maken de beveiliging niet alleen complexer, maar ook kritischer. De kern van de netwerkarchitectuur is veranderd van een gelokaliseerde autonome computeromgeving naar een gedistribueerde computeromgeving, waardoor de complexiteit ervan is toegenomen. Hoewel intranettoegang tot internet gebruikers een aantal belangrijke mogelijkheden en gemakken biedt, vergroot het de blootstelling van een bedrijf aan internet, wat extra veiligheidsrisico's kan opleveren.

De meeste organisaties kunnen tegenwoordig niet meer zonder computers en hun rekenkracht. Veel grote bedrijven hebben zich al gerealiseerd dat hun gegevens een kritiek bezit zijn dat moet worden beschermd, samen met gebouwen, apparatuur en andere fysieke activa. Beveiliging moet veranderen als netwerken en omgevingen veranderen. Beveiliging is meer dan alleen een firewall en een ACL-router. Deze systemen zijn ongetwijfeld belangrijk, maar veel belangrijker voor de veiligheid is het beheer van gebruikersacties en de procedures die ze volgen. Dit leidt ons naar een praktijk voor beveiligingsbeheer die zich richt op de voortdurende bescherming van de activa van een bedrijf.

In de wereld van beveiliging is het de rol van een leider om doelen, grenzen, beleid, prioriteiten en strategieën te definiëren. Het management moet duidelijke grenzen en relevante doelen definiëren die naar verwachting zullen worden bereikt als resultaat van het veiligheidsprogramma. Het management moet ook bedrijfsdoelen, beveiligingsrisico's, gebruikersproductiviteit, functionele vereisten en doelen beoordelen. Ten slotte moet het management stappen identificeren om ervoor te zorgen dat deze taken correct worden toegewezen en aangepakt.

Veel bedrijven zien business als een onderdeel van de vergelijking en gaan ervan uit dat IT en IT-beveiliging de verantwoordelijkheid zijn van de IT-beheerder. Het management van dergelijke bedrijven neemt informatie- en computerbeveiliging niet serieus, waardoor de beveiliging in dergelijke bedrijven onderontwikkeld, slecht onderhouden, ondergefinancierd en onsuccesvol lijkt. Veiligheid moet op het hoogste managementniveau worden overwogen. Een IT-beheerder (of beveiligingsbeheerder) kan het management adviseren over beveiligingskwesties, maar bedrijfsbeveiliging mag niet volledig worden gedelegeerd aan de IT-beheerder (beveiligingsbeheerder).

Beveiligingsbeheer is gebaseerd op duidelijk geïdentificeerde en gewaardeerde bedrijfsmiddelen. Zodra activa zijn geïdentificeerd en beoordeeld, worden beveiligingsbeleid, procedures, normen en richtlijnen geïmplementeerd om de integriteit, vertrouwelijkheid en beschikbaarheid van die activa te waarborgen. Er worden verschillende tools gebruikt om gegevens te classificeren, analyses uit te voeren en risico's in te schatten. Deze tools helpen bij het identificeren van kwetsbaarheden en het tonen van hun ernst, waardoor u effectieve tegenmaatregelen kunt implementeren om risico's op de meest optimale manier te verminderen. Het is de verantwoordelijkheid van het management om ervoor te zorgen dat de middelen van het bedrijf als geheel worden beschermd. Deze middelen zijn mensen, kapitaal, apparatuur en informatie. Het management moet hierbij worden betrokken om ervoor te zorgen dat er een beveiligingsprogramma is ingesteld, dat bedreigingen die van invloed zijn op de bedrijfsmiddelen worden aangepakt en dat de nodige controles worden uitgevoerd.

De beschikbaarheid van de nodige middelen en financiering moet worden gegarandeerd, en de verantwoordelijken moeten bereid zijn om deel te nemen aan het veiligheidsprogramma. Het management moet verantwoordelijkheden toewijzen en de rollen definiëren die nodig zijn om de implementatie van het beveiligingsprogramma te starten, de succesvolle ontwikkeling ervan te verzekeren en te evolueren naarmate de omgeving verandert. Het management moet het beveiligingsprogramma ook integreren in de bestaande bedrijfsomgeving en de prestaties ervan bewaken. Managementondersteuning is een van de belangrijkste onderdelen van een veiligheidsprogramma.

Tijdens de planning en uitvoering van een beveiligingsprogramma moet de beveiligingsprofessional de uit te voeren functie en het verwachte eindresultaat bepalen. Vaak beginnen bedrijven gewoon computers te blokkeren en firewalls te installeren zonder de beveiligingsvereisten in het algemeen te begrijpen, de doelen en het vertrouwensniveau dat ze zouden willen krijgen van beveiliging in de hele omgeving. De groep die bij dit proces betrokken is, moet van bovenaf beginnen, met zeer brede ideeën en termen, en verder gaan met gedetailleerde configuraties en systeemparameters. In elke fase moeten teamleden de belangrijkste veiligheidsdoelen in gedachten houden, zodat elk nieuw onderdeel meer details toevoegt aan het bijbehorende doel.

Het beveiligingsbeleid is een soort basis voor het beveiligingsprogramma van het bedrijf. Dit beleid moet vanaf het begin serieus worden genomen en moet ideeën bevatten voor voortdurende updates om ervoor te zorgen dat alle beveiligingscomponenten blijven functioneren en werken aan het behalen van zakelijke doelstellingen.

De volgende stap is het ontwikkelen en implementeren van procedures, standaarden en richtlijnen die het beveiligingsbeleid ondersteunen en het definiëren van de tegenmaatregelen en methoden die moeten worden toegepast om de beveiliging te waarborgen. Zodra deze elementen zijn ontwikkeld, moet het beveiligingsprogramma worden uitgewerkt door kaders en configuraties te ontwikkelen voor de geselecteerde beveiligingscontroles en -methoden.

Als veiligheid is gebouwd op een solide basis en ontworpen is met doelen en doelstellingen in gedachten, hoeft het bedrijf er geen significante wijzigingen in aan te brengen. In dit geval kan het proces meer methodisch zijn, minder tijd, geld en middelen vergen, terwijl de juiste balans tussen functionaliteit en beveiliging wordt gegarandeerd. Dit is geen vereiste, maar als u dit begrijpt, kunt u de beveiligingsbenadering van uw bedrijf beter beheersbaar maken. Je kunt het bedrijf uitleggen hoe je beveiliging plant, implementeert en onderhoudt op een georganiseerde manier die een gigantische stapel beveiligingsfuncties, gefragmenteerde en complete fouten vermijdt.

Gebruik voor een beveiligingsprogramma top-down benadering , wat inhoudt dat initiatief, ondersteuning en richting afkomstig is van het topmanagement en via middenmanagers naar medewerkers gaat. Tegenover bottom-up benadering verwijst naar een situatie waarin de IT-afdeling zelf een beveiligingsprogramma probeert te ontwikkelen, zonder de juiste begeleiding en managementondersteuning. De bottom-up benadering is over het algemeen minder effectief, smal genoeg en zelfvernietigend. Een top-down benadering zorgt ervoor dat de mensen (senior management) die echt verantwoordelijk zijn voor de bescherming van de bedrijfsmiddelen de drijvende kracht achter het programma zijn.

Als er geen rol Beveiligingsbeheerder is, moet het management er een maken. De rol van beveiligingsbeheerder is direct verantwoordelijk voor het toezicht op de belangrijkste aspecten van het beveiligingsprogramma. Afhankelijk van de organisatie, de omvang en de beveiligingsbehoeften, kan het beveiligingsbeheer worden uitgevoerd door één persoon of door een groep mensen die gecentraliseerd of gedecentraliseerd werken. Ongeacht de omvang, beveiligingsbeheer vereist een duidelijke rapportagestructuur, een goed begrip van verantwoordelijkheden en audit- en monitoringmogelijkheden om ervoor te zorgen dat er geen beveiligingsinbreuken zijn die worden veroorzaakt door communicatie- of begripslacunes.

Informatie-eigenaren moeten aangeven welke gebruikers toegang hebben tot hun bronnen en wat ze met die bronnen kunnen doen. Het is de taak van de beveiligingsbeheerder om ervoor te zorgen dat dit proces wordt uitgevoerd. Om te voldoen aan de veiligheidsinstructies van de handleiding moeten de volgende beschermende maatregelen worden genomen:

• Administratieve maatregelen omvat de ontwikkeling en publicatie van beleid, normen, procedures en richtlijnen, risicobeheer, werving, training over beveiligingskwesties, implementatie van procedures voor wijzigingsbeheer.
• ttechnische (logische) maatregelen omvatten het implementeren en onderhouden van toegangscontrolemechanismen, wachtwoord- en resourcebeheer, identificatie- en authenticatiemethoden, beveiligingsapparatuur en infrastructuurinstellingen.
• Ffysieke maatregelen Dit omvat het controleren van de toegang van mensen tot het gebouw en verschillende kamers, het gebruik van sloten en het verwijderen van ongebruikte stations en cd-rom-stations, het beveiligen van de omtrek van het gebouw, het detecteren van inbraken, het bewaken van de omgeving.

Afbeelding 1-1 illustreert hoe administratieve, technische en fysieke beveiligingsmaatregelen samenwerken om het vereiste beschermingsniveau te bieden.

Afbeelding 1-1 Administratieve, technische en fysieke beveiligingslagen moeten samenwerken om bedrijfsmiddelen te beschermen

Informatie eigenaar meestal is er een verantwoordelijke medewerker die deel uitmaakt van de bedrijfsleiding of het hoofd van de betreffende afdeling. De eigenaar van de informatie is verplicht om te zorgen voor adequate gegevensbescherming, hij is als enige verantwoordelijk voor eventuele nalatigheid met betrekking tot de bescherming van de informatieactiva van het bedrijf. De medewerker die deze rol vervult is verantwoordelijk voor de classificatie van informatie, hij geeft aan hoe deze informatie moet worden beschermd. Als gegevensbescherming niet is gebaseerd op de vereisten van de eigenaar van de informatie, als hij geen controle heeft over de vervulling van zijn vereisten, kan het concept worden geschonden zorgvuldigheid(zorgvuldigheid).

Er moet doorlopende communicatie zijn tussen het beveiligingsbeheerteam en het senior management om ervoor te zorgen dat het beveiligingsprogramma adequaat wordt ondersteund en dat het management de nodige implementatiebeslissingen neemt. Vaak sluit het senior management hun betrokkenheid bij beveiligingsaangelegenheden volledig uit, zonder te bedenken dat bij ernstige beveiligingsincidenten het topmanagement de redenen daarvoor zal uitleggen aan zakenpartners, aandeelhouders en het publiek. Na zo'n incident verandert de houding radicaal, het management wordt maximaal betrokken bij veiligheidsvraagstukken. Er moet een continu communicatieproces zijn tussen het beveiligingsbeheerteam en het senior management om een ​​wederzijdse relatie te garanderen.

Inadequaat leiderschap kan de beveiligingsinspanningen van een bedrijf ondermijnen. Mogelijke redenen voor ontoereikend leiderschap zijn onder meer een gebrek aan begrip door het management van de beveiligingsbehoeften van het bedrijf, concurrentie tussen beveiliging en andere managementdoelen, de mening van het management dat beveiliging een dure en onnodige onderneming is, en de steun van het management voor beveiliging via mond-tot-mondreclame. Krachtige en nuttige technologieën, apparaten, software, procedures en methodologie bieden een zeker beveiligingsniveau, maar zonder volledig beveiligingsbeheer en -beheer zijn ze van geen waarde.

Er zijn verschillende kleine en grote taken van een beveiligingsprogramma, maar er zijn 3 basisprincipes in alle programma's: beschikbaarheid, integriteit en vertrouwelijkheid. Het heet AIC triade (Beschikbaarheid, Integriteit, Vertrouwelijkheid). Het beveiligingsniveau dat nodig is om deze principes te implementeren, verschilt van bedrijf tot bedrijf, aangezien elk bedrijf zijn eigen unieke mix van zakelijke en beveiligingsdoelen en -behoeften heeft. Alle waarborgen en beveiligingsmechanismen worden geïmplementeerd om een ​​(of meer) van deze principes te implementeren, en alle risico's, bedreigingen en kwetsbaarheden worden gemeten aan de hand van hun potentieel om een ​​of alle AIC-principes te schenden. De AIC-triade wordt getoond in figuur 1-2.

Afbeelding 1-2 AIC triade

Beschikbaarheid

Systemen en netwerken moeten een adequaat niveau van voorspelbaarheid bieden in combinatie met een acceptabel prestatieniveau. Ze moeten snel en veilig kunnen herstellen van verstoringen, zodat ze de productiviteit van het bedrijf niet negatief beïnvloeden. U dient "single points of failure" te vermijden, indien nodig back-ups te maken, een zekere mate van redundantie te voorzien, negatieve invloeden van de externe omgeving te voorkomen. Het is noodzakelijk om mechanismen te implementeren ter bescherming tegen interne en externe bedreigingen die de beschikbaarheid en prestaties van het netwerk, de systemen en de informatie kunnen beïnvloeden. Beschikbaarheid geeft bevoegde personen betrouwbare en tijdige toegang tot gegevens en middelen.

De beschikbaarheid van het systeem kan worden beïnvloed door hardware- of softwarestoringen. Er moet redundante apparatuur worden gebruikt om de hete vervanging van kritieke systemen mogelijk te maken. Het onderhoudspersoneel moet alle benodigde kennis hebben en beschikbaar zijn om tijdig over te schakelen naar back-upsystemen en de nodige aanpassingen te doen. Externe factoren zoals temperatuur, vochtigheid, statische elektriciteit, stof kunnen ook de toegankelijkheid van het systeem beïnvloeden. Deze problemen worden in detail besproken in Domein 04.

DoS-aanvallen zijn een populaire hackertechniek die bedrijfsactiviteiten verstoort. Dergelijke aanvallen verminderen het vermogen van gebruikers om toegang te krijgen tot systeem- en informatiebronnen. Om u hiertegen te beschermen, moet u het aantal beschikbare poorten beperken, IDS-systemen gebruiken, het netwerkverkeer en de computerwerking in de gaten houden. Een juiste configuratie van firewalls en routers kan ook de dreiging van DoS-aanvallen verminderen.

Integriteit

Integriteit biedt garanties voor de nauwkeurigheid en betrouwbaarheid van informatie en informatiesystemen, door deze te verstrekken, wordt de mogelijkheid van ongeoorloofde wijzigingen voorkomen. Hardware, software en communicatieapparatuur moeten samenwerken om gegevens op de juiste manier op te slaan en te verwerken en deze ongewijzigd naar hun bestemming te verplaatsen. Systemen en netwerken moeten worden beschermd tegen interferentie van buitenaf.

Systeemaanvallen of gebruikersfouten mogen de integriteit van systemen en gegevens niet aantasten. Als een aanvaller een virus, logische bom of verborgen ingang (achterdeur) installeert, wordt de integriteit van het systeem aangetast. Dit kan de integriteit van de in het systeem opgeslagen informatie negatief beïnvloeden en leiden tot fraude, ongeoorloofde wijzigingen aan software en gegevens. Om deze bedreigingen te bestrijden, zijn strikte toegangscontrole- en inbraakdetectiesystemen vereist.

Gebruikers hebben de neiging de integriteit van systemen of gegevens aan te tasten door fouten (hoewel interne gebruikers zich ook kunnen inlaten met frauduleuze of kwaadaardige activiteiten). Bijvoorbeeld het per ongeluk verwijderen van configuratiebestanden, het invoeren van een foutief transactiebedrag, enz.

Beveiligingsmaatregelen moeten de mogelijkheden van gebruikers beperken tot alleen de minimaal noodzakelijke set functies, waardoor de kans op en de gevolgen van hun fouten worden verminderd. Toegang tot kritieke systeembestanden moet worden beperkt tot gebruikers. Toepassingen moeten mechanismen bieden voor het controleren van binnenkomende informatie om de juistheid en toereikendheid ervan te verifiëren. Het recht om gegevens in databases te wijzigen mag alleen worden verleend aan bevoegde personen, gegevens die via communicatiekanalen worden verzonden, moeten worden beschermd met behulp van versleuteling of andere mechanismen.

Vertrouwelijkheid

Vertrouwelijkheid biedt het noodzakelijke niveau van geheimhouding op elk punt van gegevensverwerking en voorkomt ongeoorloofde openbaarmaking ervan. Zowel tijdens de opslag van informatie als tijdens de overdracht ervan moet de vertrouwelijkheid worden gewaarborgd.

Aanvallers kunnen de privacy schenden door netwerkverkeer te onderscheppen, het werk van werknemers te bespioneren, wachtwoordbestanden te stelen en social engineering-technieken te gebruiken. Gebruikers kunnen opzettelijk of per ongeluk vertrouwelijke informatie vrijgeven, vergeten deze te coderen voordat ze naar een andere persoon worden verzonden, het slachtoffer worden van een social engineering-aanval, toegang verlenen tot gevoelige bedrijfsinformatie zonder de nodige bescherming te bieden bij het verwerken van vertrouwelijke informatie.

Vertrouwelijkheid kan worden gewaarborgd door gegevens tijdens opslag en verzending te versleutelen, een strikt toegangscontrolesysteem toe te passen, gegevens te classificeren en personeel te trainen in de juiste methoden om met vertrouwelijke informatie om te gaan.

Het is belangrijk om de betekenis van de woorden kwetsbaarheid, bedreiging, risico, impact en de relatie daartussen te begrijpen.

Kwetsbaarheid is een fout in software, hardware of procedure die een aanvaller de mogelijkheid kan geven om toegang te krijgen tot een computer of netwerk en ongeautoriseerde toegang te krijgen tot de informatiebronnen van een bedrijf. Kwetsbaarheid is de afwezigheid of zwakte van beschermende maatregelen. Kwetsbaarheden kunnen een service zijn die op een server draait, een "niet-gepatchte" applicatie of besturingssysteem, onbeperkte toegang via een modempool, een open poort op een firewall, zwakke fysieke beveiliging waardoor iedereen een serverruimte kan betreden, gebrek aan wachtwoordbeheer op servers en werkstations.

Bedreiging is een potentieel gevaar voor informatie of een systeem. Er is sprake van een dreiging als iets of iemand de aanwezigheid van een bepaalde kwetsbaarheid onthult en deze tegen een bedrijf of persoon gebruikt. Iets dat misbruik van een kwetsbaarheid mogelijk maakt, heet bron van bedreiging (bedreigingsagent). De bron van de dreiging kan een hacker zijn die toegang heeft gekregen tot het netwerk via een open poort op de firewall; een proces dat toegang heeft tot gegevens op een manier die in strijd is met het beveiligingsbeleid; een tornado die het gebouw verwoestte; een medewerker die een fout heeft gemaakt die kan leiden tot het uitlekken van vertrouwelijke informatie of schending van de integriteit van bestanden.

Risico is de waarschijnlijkheid dat de bron van de dreiging misbruik zal maken van de kwetsbaarheid, met een negatieve impact op het bedrijf tot gevolg. Als de firewall meerdere open poorten heeft, is de kans groot dat een aanvaller een van deze poorten gebruikt om ongeautoriseerde toegang tot het netwerk te krijgen. Als gebruikers niet zijn getraind in de juiste processen en procedures, is de kans groot dat er opzettelijke en onopzettelijke fouten worden gemaakt die kunnen leiden tot gegevensvernietiging. Als het netwerk geen IDS-systeem heeft, is de kans groot dat de aanval onopgemerkt blijft totdat het te laat is.

Invloed (blootstelling) is iets dat resulteert in verliezen als gevolg van de acties van de bron van de dreiging. Kwetsbaarheden zijn van invloed op het bedrijf, wat kan leiden tot schade aan het bedrijf. Als wachtwoordbeheer zwak is en wachtwoordvereisten niet worden afgedwongen, wordt het bedrijf blootgesteld aan mogelijke blootstelling aan gecompromitteerde gebruikerswachtwoorden en het gebruik ervan voor ongeautoriseerde toegang. Als een bedrijf zijn elektrische bedrading niet bewaakt en geen stappen onderneemt om brand te voorkomen, wordt het blootgesteld aan de mogelijke brandeffecten.

tegenmaatregelen (of beschermende maatregelen ) - dit zijn maatregelen waarvan de uitvoering u in staat stelt het niveau van het potentiële risico te verminderen. Tegenmaatregelen kunnen bestaan ​​uit het aanpassen van software, hardware of procedures om het beveiligingslek te corrigeren of om de kans te verkleinen dat een bedreigingsbron het beveiligingslek kan misbruiken. Voorbeelden van tegenmaatregelen zijn onder meer sterk wachtwoordbeheer, bewakers, toegangscontrolemechanismen voor het besturingssysteem, het instellen van BIOS-wachtwoorden en het geven van gebruikerstraining over beveiligingskwesties.

Als een bedrijf antivirussoftware gebruikt maar de databases met viruskenmerken niet bijwerkt, is er sprake van een kwetsbaarheid. Het bedrijf is kwetsbaar voor virusaanvallen. De dreiging is dat een virus het netwerk van het bedrijf binnendringt en zijn werk lamlegt. Het risico is in dit geval de kans dat een virus het netwerk van het bedrijf binnendringt en schade aanricht. Als een virus het netwerk van een bedrijf binnendringt, wordt de kwetsbaarheid uitgebuit en wordt het bedrijf blootgesteld aan de schade die het heeft toegebracht. Tegenmaatregelen in deze situatie zouden zijn om antivirussoftware op alle computers in het bedrijf te installeren en hun databases met viruskenmerken up-to-date te houden. De relatie tussen risico's, kwetsbaarheden, dreigingen en tegenmaatregelen is weergegeven in figuur 1-3.

Figuur 1-3 Relatie tussen verschillende beveiligingscomponenten

Links

Hoe informatiebeveiligingsrisico's correct in te schatten - ons recept

De taak van het beoordelen van informatiebeveiligingsrisico's wordt tegenwoordig door de deskundigengemeenschap dubbelzinnig ervaren, en daar zijn verschillende redenen voor. Ten eerste is er geen gouden standaard of geaccepteerde aanpak. Talloze standaarden en methodologieën, hoewel ze in algemene termen vergelijkbaar zijn, verschillen aanzienlijk in details. De toepassing van een bepaalde methodiek hangt af van het gebied en het object van de beoordeling. Het kiezen van de juiste methode kan echter een probleem worden als de deelnemers aan het beoordelingsproces verschillende percepties hebben van de methode en de resultaten ervan.

Ten tweede is het inschatten van informatiebeveiligingsrisico's een puur deskundige taak. Analyse van risicofactoren (zoals schade, dreiging, kwetsbaarheid, etc.) uitgevoerd door verschillende experts geeft vaak verschillende resultaten. Onvoldoende reproduceerbaarheid van de beoordelingsresultaten roept de vraag op naar de betrouwbaarheid en bruikbaarheid van de verkregen gegevens. De menselijke natuur is zodanig dat abstracte beoordelingen, vooral die met betrekking tot probabilistische meeteenheden, door mensen op verschillende manieren worden waargenomen. Bestaande toegepaste theorieën die zijn ontworpen om rekening te houden met de mate van subjectieve perceptie van een persoon (bijvoorbeeld prospecttheorie), compliceren de toch al gecompliceerde methodologie van risicoanalyse en dragen niet bij aan de popularisering ervan.

Ten derde is de procedure van risicobeoordeling in zijn klassieke zin, met ontleding en inventarisatie van activa, een zeer arbeidsintensieve taak. Pogingen om handmatige analyses uit te voeren met behulp van gewone kantoortools (zoals spreadsheets) verdrinken onvermijdelijk in een zee van informatie. Gespecialiseerde softwaretools die zijn ontworpen om individuele stadia van risicoanalyse te vereenvoudigen, vergemakkelijken tot op zekere hoogte modellering, maar ze vereenvoudigen het verzamelen en systematiseren van gegevens helemaal niet.

Ten slotte is de definitie van risico in de context van het informatiebeveiligingsprobleem nog niet vastgesteld. Kijk maar naar de wijzigingen in ISO Guide 73: 2009 terminologie in vergelijking met de 2002-versie. Waar vroeger risico werd gedefinieerd als het potentieel voor schade als gevolg van misbruik van kwetsbaarheid door een bedreiging, is dit nu het effect van afwijking van de verwachte resultaten. Soortgelijke conceptuele wijzigingen hebben plaatsgevonden in de nieuwe editie van ISO / IEC 27001: 2013.

Om deze, en om een ​​aantal andere redenen, wordt de beoordeling van informatiebeveiligingsrisico's in het gunstigste geval met voorzichtigheid en in het slechtste geval met groot wantrouwen behandeld. Dit brengt het idee van risicobeheer in diskrediet, wat als gevolg daarvan leidt tot sabotage van dit proces door het management, en als gevolg daarvan het optreden van talloze incidenten die vol staan ​​met jaarlijkse analytische rapporten.

Aan welke kant kan, gelet op het bovenstaande, het beoordelen van informatiebeveiligingsrisico's het beste worden aangepakt?

Een frisse blik

Informatiebeveiliging is tegenwoordig steeds meer gericht op bedrijfsdoelen en is ingebed in bedrijfsprocessen. Een soortgelijke metamorfose voltrekt zich bij de risicobeoordeling: het krijgt de nodige zakelijke context. Aan welke criteria moet een moderne IS-risicobeoordelingsmethode voldoen? Het moet duidelijk zo eenvoudig en universeel zijn dat de resultaten van de toepassing vertrouwen wekken en nuttig zijn voor alle deelnemers aan het proces. Laten we een aantal principes benadrukken waarop een dergelijke techniek gebaseerd zou moeten zijn:

1. vermijd onnodige details;
2. vertrouwen op de mening van het bedrijf;
3. gebruik voorbeelden;
4. Houd rekening met externe informatiebronnen.

De essentie van de voorgestelde methodiek wordt het best geïllustreerd aan de hand van een praktijkvoorbeeld. Overweeg het probleem van het beoordelen van informatiebeveiligingsrisico's in een handels- en productiebedrijf. Hoe begint het meestal? Met de definitie van de grenzen van de beoordeling. Als een risicobeoordeling voor de eerste keer wordt uitgevoerd, moeten de grenzen ervan de belangrijkste bedrijfsprocessen omvatten die inkomsten genereren, evenals de processen die ze bedienen.

Als bedrijfsprocessen niet zijn gedocumenteerd, kan een algemeen beeld ervan worden verkregen door de organisatiestructuur en regelgeving op afdelingen te onderzoeken, met daarin een beschrijving van doelen en doelstellingen.

Nadat we de waarderingsgrenzen hebben gedefinieerd, gaan we verder met het identificeren van activa. In overeenstemming met het bovenstaande zullen we de belangrijkste bedrijfsprocessen beschouwen als geconsolideerde activa, en de inventarisatie van informatiebronnen uitstellen naar de volgende fasen (regel 1). Dit komt doordat de methodologie uitgaat van een geleidelijke overgang van het algemene naar het bijzondere, en op dit detailniveau zijn deze gegevens eenvoudigweg niet nodig.

Risicofactoren

We gaan ervan uit dat we een besluit hebben genomen over de samenstelling van het te waarderen vermogen. Vervolgens moet u de bijbehorende bedreigingen en kwetsbaarheden identificeren. Deze benadering is echter alleen van toepassing bij het uitvoeren van een gedetailleerde risicoanalyse, waarbij de objecten van de informatie-assetomgeving het object van beoordeling zijn. In de nieuwe versie van ISO/IEC 27001:2013 is de focus van risicobeoordeling verschoven van traditionele IT-middelen naar informatie en de verwerking ervan. Aangezien we bij het huidige detailniveau rekening houden met de uitgebreide bedrijfsprocessen van het bedrijf, is het voldoende om alleen de risicofactoren op hoog niveau te identificeren die daaraan inherent zijn.

Een risicofactor is een specifiek kenmerk van een object, technologie of proces dat in de toekomst een bron van problemen vormt. Tegelijkertijd kunnen we alleen praten over de aanwezigheid van risico als zodanig als de problemen de prestaties van het bedrijf negatief beïnvloeden. Er wordt een logische keten opgebouwd:

Zo wordt de taak van het identificeren van risicofactoren beperkt tot het identificeren van niet-succesvolle eigenschappen en kenmerken van processen die de waarschijnlijke scenario's bepalen voor de implementatie van risico's die een negatieve impact hebben op het bedrijf. Laten we, om de oplossing te vereenvoudigen, het ISACA-bedrijfsmodel voor informatiebeveiliging gebruiken (zie afbeelding 1):

Rijst. 1. Bedrijfsmodel van informatiebeveiliging

De knooppunten van het model geven de fundamentele drijfveren van elke organisatie aan: strategie, processen, mensen en technologieën, en de randen vertegenwoordigen de functionele verbindingen daartussen. In deze ribben zijn in principe de belangrijkste risicofactoren geconcentreerd. Het is gemakkelijk in te zien dat de risico's niet alleen verband houden met informatietechnologie.

Hoe risicofactoren identificeren op basis van het gegeven model? Het is noodzakelijk om het bedrijfsleven hierbij te betrekken (regel 2). Business units zijn zich doorgaans goed bewust van de uitdagingen waarmee ze op het werk worden geconfronteerd. Ook de ervaring van collega's in de branche wordt vaak in herinnering gebracht. Deze informatie krijg je door de juiste vragen te stellen. Het is raadzaam om personeelsgerelateerde problemen te richten aan de HR-afdeling, technologische problemen aan de automatiseringsdienst (IT) en bedrijfsgerelateerde problemen aan de juiste businessunits.

Bij het identificeren van risicofactoren is het handiger om uit te gaan van problemen. Na het identificeren van een probleem, is het noodzakelijk om de oorzaak ervan vast te stellen. Als gevolg hiervan kan een nieuwe risicofactor worden geïdentificeerd. De grootste moeilijkheid hier is om niet in het bijzonder uit te glijden. Als er zich bijvoorbeeld een incident heeft voorgedaan als gevolg van illegale acties van een werknemer, is de risicofactor niet dat de werknemer de bepalingen van een regelgeving heeft overtreden, maar het feit dat de actie zelf mogelijk is geworden. Een risicofactor is altijd een voorwaarde voor een probleem.

Om de medewerkers beter te laten begrijpen waar ze precies naar worden gevraagd, is het raadzaam om de vragen te voorzien van voorbeelden (regel 3). Hieronder volgen voorbeelden van verschillende risicofactoren op hoog niveau die in veel bedrijfsprocessen te vinden zijn:

Personeel:

• Onvoldoende kwalificaties (het voordeel van Human Factors in Fig. 1)
• Gebrek aan medewerkers (Emergence rib)
• Lage motivatie (ribcultuur)

Processen:

• Frequente verandering in externe vereisten (Governing edge)
• Onderontwikkelde procesautomatisering (edge ​​Enabling & Support)
• Combineren van rollen door performers (Emergence rib)

Technologieën:

• Verouderde software (edge ​​Enabling & Support)
• Lage gebruikersverantwoordelijkheid (voordeel van Human Factors)
• Heterogeen IT-landschap (Architectuurrib)

Een belangrijk voordeel van de voorgestelde beoordelingsmethode is de mogelijkheid tot kruisanalyse, waarbij twee verschillende afdelingen hetzelfde probleem vanuit verschillende invalshoeken bekijken. Met dit in gedachten is het erg nuttig om de geïnterviewden vragen te stellen als: "Wat vindt u van de problemen die uw collega's hebben geïdentificeerd?" Dit is een geweldige manier om extra cijfers te krijgen en bestaande cijfers aan te passen. Verschillende rondes van deze beoordeling kunnen worden uitgevoerd om het resultaat te verfijnen.

Impact op het bedrijfsleven

Zoals uit de definitie van risico volgt, wordt het gekenmerkt door de mate van impact op de bedrijfsprestaties van de organisatie. Het Balanced Scorecards-systeem is een handig hulpmiddel om de aard van de impact van risicorealisatiescenario's op het bedrijf te bepalen. Zonder in details te treden, merken we op dat Balanced Scorecards 4 zakelijke perspectieven voor elk bedrijf identificeert, op een hiërarchische manier verbonden (zie Fig. 2).

Rijst. 2. Vier zakelijke perspectieven van de Balanced Scorecard

Met betrekking tot de overwogen methodologie kan een risico als significant worden beschouwd als het ten minste een van de volgende drie zakelijke vooruitzichten negatief beïnvloedt: financiën, klanten en/of processen (zie figuur 3).

Rijst. 3. Belangrijkste bedrijfsindicatoren

Een risicofactor "Lage gebruikersverantwoordelijkheid" kan bijvoorbeeld resulteren in een scenario "Klantinformatielek". Dit heeft op zijn beurt invloed op de bedrijfsstatistiek Klantaantallen.

Als het bedrijf bedrijfsstatistieken heeft ontwikkeld, vereenvoudigt dit de situatie aanzienlijk. Wanneer het mogelijk is om de impact van een bepaald risicoscenario op een of meer bedrijfsindicatoren te volgen, kan de bijbehorende risicofactor als significant worden beschouwd en moeten de resultaten van de beoordeling in vragenlijsten worden vastgelegd. Hoe hoger in de hiërarchie van bedrijfsstatistieken de invloed van een scenario wordt getraceerd, hoe groter de mogelijke gevolgen voor het bedrijf.

Het analyseren van deze gevolgen is een deskundige taak en moet daarom worden opgelost met de betrokkenheid van gespecialiseerde business units (regel 2). Voor extra beheersing van de verkregen schattingen is het nuttig gebruik te maken van externe informatiebronnen met statistieken over de omvang van de schade als gevolg van incidenten (regel 4), bijvoorbeeld het jaarverslag "Cost of Data Breach Study".

Waarschijnlijkheidsscore

In de laatste fase van de analyse moet voor elke geïdentificeerde risicofactor waarvan de impact op het bedrijf werd bepaald, de waarschijnlijkheid van de bijbehorende scenario's worden beoordeeld. Waar hangt deze beoordeling van af? Het hangt voor een groot deel af van de adequaatheid van de beschermende maatregelen die in het bedrijf zijn genomen.

Er is hier een kleine veronderstelling. Het is logisch om aan te nemen dat, aangezien het probleem is geïdentificeerd, dit betekent dat het nog steeds relevant is. Tegelijkertijd zijn de geïmplementeerde maatregelen hoogstwaarschijnlijk niet voldoende om de voorwaarden voor de opkomst ervan te effenen. De toereikendheid van tegenmaatregelen wordt bepaald door de resultaten van de beoordeling van de effectiviteit van hun toepassing, bijvoorbeeld met behulp van een meetsysteem.

Voor de beoordeling kan een eenvoudige schaal met drie niveaus worden gebruikt, waarbij:

3 - uitgevoerde tegenmaatregelen zijn over het algemeen voldoende;

2 - tegenmaatregelen worden onvoldoende uitgevoerd;

1 - er zijn geen tegenmaatregelen.

Industriespecifieke normen en richtlijnen zoals CobiT 5, ISO / IEC 27002, enz. kunnen worden gebruikt als referenties die tegenmaatregelen beschrijven. Elke tegenmaatregel moet worden geassocieerd met een specifieke risicofactor.

Het is belangrijk om te onthouden dat we de risico's analyseren die niet alleen verbonden zijn aan het gebruik van IT, maar ook aan de organisatie van interne informatieprocessen in het bedrijf. Daarom moeten tegenmaatregelen breder worden overwogen. Niet voor niets heeft de nieuwe versie van ISO/IEC 27001:2013 een voorbehoud dat bij het kiezen van tegenmaatregelen gebruik moet worden gemaakt van eventuele externe bronnen (regel 4), en niet alleen bijlage A, die aanwezig is in de norm voor referentie doeleinden.

Risicogrootte

Voor het bepalen van de totale risicowaarde kunt u de eenvoudigste tabel gebruiken (zie tabel 1).

Tabblad. 1. Risicobeoordelingsmatrix

In het geval dat een risicofactor meerdere zakelijke vooruitzichten beïnvloedt, bijvoorbeeld 'Klanten' en 'Financiën', worden hun statistieken bij elkaar opgeteld. De omvang van de schaal, evenals de acceptabele niveaus van informatiebeveiligingsrisico's, kunnen op elke gemakkelijke manier worden bepaald. In dit voorbeeld worden risico's als hoog beschouwd als ze niveaus 2 en 3 hebben.

Op dit punt kan de eerste fase van de risicobeoordeling als voltooid worden beschouwd. De totale waarde van het risico verbonden aan het beoordeelde bedrijfsproces wordt bepaald als de som van de samengestelde waarden voor alle geïdentificeerde factoren. De eigenaar van het risico kan worden beschouwd als de persoon die in het bedrijf verantwoordelijk is voor het beoordeelde object.

Het resulterende cijfer vertelt ons niet hoeveel geld de organisatie dreigt te verliezen. In plaats daarvan geeft het het concentratiegebied van risico's aan en de aard van hun impact op de bedrijfsprestaties. Deze informatie is nodig om ons verder te kunnen focussen op de belangrijkste details.

Gedetailleerde evaluatie

Het belangrijkste voordeel van de beschouwde methode is dat u hiermee infomet het gewenste detailniveau kunt uitvoeren. Indien nodig kunt u "vallen" in de elementen van het IS-model (Fig. 1) en deze in meer detail bekijken. Door bijvoorbeeld de hoogste risicoconcentratie in IT-gerelateerde randen te identificeren, kunt u het detailniveau in de Technology-node verhogen. Was eerder een afzonderlijk bedrijfsproces het onderwerp van risicobeoordeling, nu zal de focus verschuiven naar een specifiek informatiesysteem en de processen van het gebruik ervan. Om het vereiste detailniveau te bieden, kan het nodig zijn om een ​​inventarisatie van informatiebronnen te maken.

Dit alles geldt ook voor andere beoordelingsgebieden. Wanneer de granulariteit van het People-knooppunt verandert, kunnen de doelen voor beoordeling personeelsrollen of zelfs individuele werknemers zijn. Voor een procesknooppunt kunnen dit specifieke werkbeleidsregels en -procedures zijn.

Het wijzigen van het detailniveau verandert automatisch niet alleen de risicofactoren, maar ook de toepasselijke tegenmaatregelen. Beide zullen specifieker worden voor het onderwerp van beoordeling. Tegelijkertijd zal de algemene benadering van het beoordelen van risicofactoren niet veranderen. Voor elke geïdentificeerde factor moet worden beoordeeld:

• de mate waarin risico de zakelijke vooruitzichten beïnvloedt;
• voldoende tegenmaatregelen.

Russisch syndroom

De release van de ISO/IEC 27001:2013 norm heeft veel Russische bedrijven in een moeilijke positie gebracht. Enerzijds hebben ze al een bepaalde aanpak ontwikkeld voor het beoordelen van informatiebeveiligingsrisico's, gebaseerd op de classificatie van informatie-assets, het beoordelen van bedreigingen en kwetsbaarheden. Nationale regelgevende instanties zijn erin geslaagd een aantal voorschriften uit te vaardigen die deze aanpak ondersteunen, bijvoorbeeld de Bank of Russia-standaard, FSTEC-orders. Aan de andere kant is er een langverwachte behoefte aan veranderingen in de taak van risicobeoordeling, en nu is het noodzakelijk om de vastgestelde procedure aan te passen zodat deze voldoet aan zowel oude als nieuwe eisen. Ja, vandaag is het nog steeds mogelijk om gecertificeerd te worden volgens de GOST R ISO / IEC 27001: 2006-norm, die identiek is aan de vorige versie van ISO / IEC 27001, maar dit duurt niet lang.

De hierboven besproken techniek voor risicoanalyse lost dit probleem op. Door het detailniveau in een beoordeling te beheersen, kunt u activa en risico's op elke schaal beschouwen, van bedrijfsprocessen tot individuele informatiestromen. Deze aanpak is ook handig omdat u hiermee alle risico's op hoog niveau kunt afdekken zonder iets te missen. Tegelijkertijd zal het bedrijf de arbeidskosten voor verdere analyse aanzienlijk verlagen en geen tijd verspillen aan een gedetailleerde beoordeling van onbeduidende risico's.

Opgemerkt moet worden dat hoe hoger het detailniveau in het beoordelingsgebied, hoe groter de verantwoordelijkheid van de experts en hoe meer competentie nodig is, want wanneer de diepte van de analyse verandert, veranderen niet alleen risicofactoren, maar ook het landschap van toepasselijke tegenmaatregelen.

Ondanks alle pogingen tot vereenvoudiging, is het analyseren van informatiebeveiligingsrisico's nog steeds tijdrovend en complex. De leider van dit proces heeft een bijzondere verantwoordelijkheid. Veel zal afhangen van hoe competent hij een aanpak opbouwt en de taak aankan - van de toewijzing van een budget voor informatiebeveiliging tot de duurzaamheid van het bedrijf.

In januari 2018 werd het Global Risks to Humanity Report 2018 gepresenteerd op het World Economic Forum in Davos. Uit het rapport volgt dat het belang van informatiebeveiligingsrisico's toeneemt, zowel door de toename van het aantal uitgevoerde aanvallen als rekening houdend met het destructieve potentieel ervan.

Enkele van de meest voorkomende risicobeheertechnieken voor informatiebeveiliging ter wereld zijn CRAMM, COBIT for Risk, FRAP, Octave en Microsoft. Naast bepaalde voordelen hebben ze ook hun beperkingen. In het bijzonder kunnen de vermelde buitenlandse methoden effectief worden gebruikt door commerciële bedrijven, terwijl staatsorganisaties zich bij het beoordelen en beheren van informatiebeveiligingsrisico's moeten laten leiden door de bepalingen van de voorschriften van de FSTEC van Rusland. Voor geautomatiseerde controlesystemen voor productie- en technologische processen in kritieke faciliteiten moet men zich bijvoorbeeld laten leiden door de order van de FSTEC van Rusland van 14 maart 2014 nr. 31. Tegelijkertijd kan dit document worden gebruikt als aanvullend materiaal door de federale uitvoerende autoriteiten.

Informatiebeveiligingsrisico's in de moderne samenleving

De afgelopen jaren is het aantal aanvallen op organisaties verdubbeld. Aanvallen die tot buitengewone schade leiden, worden gemeengoed. De financiële schade door aanvallen neemt toe, en een van de grootste verliezen houdt verband met ransomware-aanvallen. Een treffend voorbeeld hiervan zijn de aanvallen van de ransomware WannaCry en NotPetya, die meer dan 300 duizend computers in 150 landen over de hele wereld troffen en resulteerden in financiële verliezen van meer dan $ 300 miljoen.

Een andere trend is een toename van het aantal aanvallen op kritieke infrastructuur en strategische industriële faciliteiten, wat kan leiden tot het uitschakelen van de systemen die de levensondersteuning van de mensheid ondersteunen en het ontstaan ​​van wereldwijde door de mens veroorzaakte rampen.

Zo zijn informatiebeveiligingsrisico's opgenomen in de top drie van meest waarschijnlijke risico's (samen met de risico's van natuurrampen en extreme weersomstandigheden) en in de lijst van de zes meest kritische risico's voor mogelijke schade (samen met de risico's van het gebruik van massawapens vernietiging, natuurrampen, weersafwijkingen en tekorten aan drinkwater). Daarom is ineen van de prioriteitsgebieden voor de ontwikkeling van organisaties over de hele wereld en absoluut essentieel voor hun verdere functioneren.

Doelstellingen en benaderingen vaner

Het doel van elke organisatie is om bepaalde indicatoren te bereiken die de resultaten van haar activiteiten kenmerken. Voor commerciële bedrijven is dat bijvoorbeeld winst maken, kapitalisatie, marktaandeel of omzet vergroten, en voor overheidsorganisaties - openbare diensten verlenen aan de bevolking en managementproblemen oplossen. In ieder geval kan het bereiken van dit doel, ongeacht het doel van de activiteiten van de organisatie, worden belemmerd door het realiseren van informatiebeveiligingsrisico's. Tegelijkertijd beoordeelt elke organisatie op haar eigen manier de risico's en de mogelijkheid om te investeren in de reductie ervan.

Het doel van inis dus om ze op een acceptabel niveau voor de organisatie te houden. Om dit probleem op te lossen, creëren organisaties geïntegreerde informatiebeveiligingssystemen (ISS).

Bij het maken van dergelijke systemen rijst de vraag om beveiligingstools te kiezen die ervoor zorgen dat de in het analyseproces geïdentificeerde informatiebeveiligingsrisico's worden verminderd zonder buitensporige kosten voor de implementatie en ondersteuning van deze tools. Analyse van informatiebeveiligingsrisico's stelt u in staat om de noodzakelijke en voldoende set instrumenten voor informatiebeveiliging te bepalen, evenals organisatorische maatregelen die zijn gericht op het verminderen van informatiebeveiligingsrisico's, en om de ISS-architectuur van een organisatie te ontwikkelen die het meest effectief is voor haar specifieke activiteiten en gericht is op het verminderen van zijn informatiebeveiligingsrisico's.

Alle risico's, inclusief informatiebeveiligingsrisico's, worden gekenmerkt door twee parameters: potentiële schade aan de organisatie en de kans op implementatie. Door de combinatie van deze twee kenmerken voor risicoanalyse te gebruiken, kunnen risico's worden vergeleken met verschillende niveaus van schade en waarschijnlijkheid, waardoor ze tot een algemene uitdrukking leiden die begrijpelijk is voor degenen die beslissingen nemen over het minimaliseren van risico's in een organisatie. Tegelijkertijd bestaat het risicomanagementproces uit de volgende logische stappen, waarvan de samenstelling en inhoud afhankelijk is van de gehanteerde risicobeoordelings- en managementmethodiek:

1. Bepaling van een aanvaardbaar risiconiveau voor de organisatie (risicobereidheid) - een criterium dat wordt gebruikt bij de beslissing om een ​​risico te accepteren of te behandelen. Op basis van dit criterium wordt bepaald welke in de toekomst gesignaleerde risico's onvoorwaardelijk worden geaccepteerd en buiten beschouwing worden gelaten en welke nader worden geanalyseerd en in het risicoresponsplan worden opgenomen.
2. Identificatie, analyse en beoordeling van risico's. Om een ​​beslissing te kunnen nemen over risico's, moeten ze uniek worden geïdentificeerd en beoordeeld in termen van schade als gevolg van de realisatie van het risico en de waarschijnlijkheid van de realisatie ervan. Schadebeoordeling bepaalt de mate van risico-impact op de IT-middelen van de organisatie en de bedrijfsprocessen die ze ondersteunen. Bij de inschatting van de kans wordt een analyse gemaakt van de kans dat het risico wordt gerealiseerd. De beoordeling van deze parameters kan worden gebaseerd op de identificatie en analyse van kwetsbaarheden die inherent zijn aan IT-middelen die kunnen worden beïnvloed door risico's en bedreigingen, waarvan de implementatie mogelijk is door gebruik te maken van deze kwetsbaarheden. Afhankelijk van de gebruikte risicobeoordelingsmethode kunnen ook het model van de aanvaller, informatie over de bedrijfsprocessen van de organisatie en andere factoren die verband houden met de implementatie van risico, zoals de politieke, economische, markt- of sociale situatie in de omgeving van de organisatie, worden gebruikt als de eerste gegevens voor hun beoordeling. Bij het beoordelen van risico's kan een kwalitatieve, kwantitatieve of gemengde benadering van de beoordeling worden gebruikt. Het voordeel van een kwalitatieve benadering is de eenvoud, minimalisering van de tijd en arbeidskosten voor het uitvoeren van risicobeoordeling, beperkingen - onvoldoende zichtbaarheid en complexiteit van het gebruik van de resultaten van risicoanalyse voor economische rechtvaardiging en beoordeling van de haalbaarheid van investeringen in risicoresponsmaatregelen. Het voordeel van de kwantitatieve benadering is de nauwkeurigheid van de risicobeoordeling, de duidelijkheid van de resultaten en het vermogen om de waarde van het risico, uitgedrukt in geld, te vergelijken met het investeringsbedrag dat nodig is om op dit risico in te spelen. De nadelen zijn de complexiteit, hoge arbeidsintensiteit en duur van uitvoering.
3. Risico rangschikking. Om prioriteit te geven aan de respons op risico's en de daaropvolgende ontwikkeling van een responsplan, moeten alle risico's worden gerangschikt. Bij het rangschikken van risico's, afhankelijk van de gebruikte methodologie, criteria voor het bepalen van de kriticiteit als schade door de realisatie van risico's, de waarschijnlijkheid van realisatie, IT-middelen en bedrijfsprocessen die worden beïnvloed door het risico, publieke weerklank en reputatieschade door de realisatie van risico's, enz. ., kan worden toegepast.
4. Beslis over risico's en ontwikkel een risicoresponsplan. Om de reeks maatregelen te bepalen om op risico's te reageren, is het noodzakelijk om de geïdentificeerde en beoordeelde risico's te analyseren om voor elk van hen een van de volgende beslissingen te nemen:
   • Risicovermijding;
   • Risico nemen;
   • Risico-overdracht;
   • Risico beperking.
   De beslissing die voor elk risico wordt genomen, moet worden vastgelegd in een risicoresponsplan. Dit plan kan, afhankelijk van de gebruikte methodologie, ook de volgende informatie bevatten die nodig is om op risico's te reageren:
   • Verantwoordelijk voor respons;
   • Beschrijving van responsmaatregelen;
   • Het inschatten van de investering die nodig is voor de respons;
   • Tijdschema voor de uitvoering van deze maatregelen.
5. Implementatie van maatregelen om te reageren op risico's. Voor het implementeren van risicoresponsmaatregelen zullen de verantwoordelijken de uitvoering van de actie beschreven in het risicoresponsplan binnen de vereiste termijn organiseren.
6. Evaluatie van de effectiviteit van de uitgevoerde maatregelen. Om ervoor te zorgen dat de maatregelen die zijn toegepast in overeenstemming met het responsplan effectief zijn en het risiconiveau geschikt is voor de organisatie, wordt de effectiviteit van elke geïmplementeerde risicorespons beoordeeld en worden de risico's van de organisatie regelmatig geïdentificeerd, geanalyseerd en beoordeeld.

Laten we eens kijken naar de meest bekende technieken voor risicobeheer voor informatiebeveiliging: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

CRAMM-methodologiebeoordeling

De CRAMM (CCTA Risk Analysis and Management Method), ontwikkeld door de UK Security Service in 1985, is gebaseerd op de BS7799-reeks van in(momenteel herzien naar ISO 27000) en beschrijft een benadering van kwaliteitsrisicobeoordeling. In dit geval vindt de overgang naar een schaal van waarden van kwalitatieve indicatoren plaats met behulp van speciale tabellen die de overeenkomst tussen kwalitatieve en kwantitatieve indicatoren bepalen. Risicobeoordeling is gebaseerd op een analyse van de bedrijfswaarde van een IT-asset, kwetsbaarheden, bedreigingen en de waarschijnlijkheid dat deze zich voordoen.

Het risicomanagementproces volgens de CRAMM-methode bestaat uit de volgende fasen:

1. initiatie In dit stadium wordt een reeks interviews afgenomen met personen die geïnteresseerd zijn in het risicoanalyseproces voor informatiebeveiliging, inclusief degenen die verantwoordelijk zijn voor de werking, het beheer, de beveiliging en het gebruik van IT-middelen waarvoor de risicoanalyse wordt uitgevoerd. Hierdoor wordt een geformaliseerde beschrijving van het gebied voor nader onderzoek gegeven, de grenzen ervan gegeven en de samenstelling van de bij de risicoanalyse betrokken personen bepaald.
2. Identificatie en waardering van activa. Er wordt een lijst opgesteld van IT-middelen die door de organisatie worden gebruikt in een vooraf gedefinieerd onderzoeksgebied. Volgens de CRAMM-methodologie kunnen IT-middelen van een van de volgende typen zijn:
   • Gegevens;
   • Software;
   • Fysieke activa.
   Voor elk bedrijfsmiddel wordt de kriticiteit ervan voor de activiteiten van de organisatie bepaald en samen met vertegenwoordigers van afdelingen die het IT-middel gebruiken voor het oplossen van toegepaste problemen, worden de gevolgen beoordeeld voor de activiteiten van de organisatie van schending van de vertrouwelijkheid, integriteit en beschikbaarheid ervan.
3. Dreigings- en kwetsbaarheidsbeoordeling. Naast het beoordelen van de kriticiteit van IT-middelen, is een belangrijk onderdeel van de CRAMM-methodologie het beoordelen van de waarschijnlijkheid van bedreigingen en kwetsbaarheden van IT-middelen. De CRAMM-methodologie bevat tabellen die de overeenkomst beschrijven tussen de kwetsbaarheden van IT-middelen en de bedreigingen die via deze kwetsbaarheden van invloed kunnen zijn op IT-middelen. Ook zijn er tabellen die de schade aan IT-middelen beschrijven bij deze dreigingen. Deze fase wordt alleen uitgevoerd voor de meest kritieke IT-assets, waarvoor het niet voldoende is om een ​​basisset van ite implementeren. Identificatie van huidige kwetsbaarheden en bedreigingen wordt gedaan door het interviewen van personen die verantwoordelijk zijn voor het beheer en de exploitatie van IT-middelen. Voor de rest van de IT-middelen bevat de CRAMM-methodologie een reeks noodzakelijke basismaatregelen voor informatiebeveiliging.
4. Risicoberekening. De berekening van het risico gebeurt volgens de formule: Risico = P (realisatie) * Schade. In dit geval wordt de kans op risicorealisatie berekend met de formule: P (realisatie) = P (dreiging) * P (kwetsbaarheid). In de fase van het berekenen van de risico's voor elk IT-activum, worden vereisten bepaald voor een reeks maatregelen om de informatiebeveiliging te waarborgen op een schaal van "1" tot "7", waarbij de waarde "1" overeenkomt met de minimaal vereiste set van maatregelen om de informatiebeveiliging te waarborgen, en de waarde "7" - maximum.
5. Risicomanagement. Op basis van de resultaten van de risicoberekening bepaalt de CRAMM-methodiek het benodigde pakket aan maatregelen om de informatiebeveiliging te waarborgen. Hiervoor wordt een speciale catalogus gebruikt, die ongeveer 4.000 maatregelen bevat. Het pakket maatregelen dat door de CRAMM-methodiek wordt aanbevolen, wordt vergeleken met de maatregelen die de organisatie al heeft genomen. Hierdoor worden gebieden geïdentificeerd die extra aandacht behoeven op het gebied van de toepassing van waarborgen en gebieden met overtollige waarborgen. Deze informatie wordt gebruikt om een ​​plan van aanpak te vormen om de samenstelling van de in de organisatie toegepaste beschermingsmaatregelen te wijzigen - om het risiconiveau op het vereiste niveau te brengen.

Vanuit het oogpunt van praktische toepassing zijn de volgende voordelen van de CRAMM-techniek te onderscheiden:

• Een meermaals beproefde methode waarmee veel ervaring en vakbekwaamheid is opgebouwd; de resultaten van de CRAMM-aanvraag worden erkend door internationale instellingen;
• De aanwezigheid van een begrijpelijke geformaliseerde beschrijving van de methodologie minimaliseert de kans op fouten bij de implementatie van de analyse- en risicobeheerprocessen;
• De beschikbaarheid van automatiseringstools voor risicoanalyse stelt u in staat de arbeidskosten en de tijd die nodig is om activiteiten voor analyse en risicobeheer uit te voeren, te minimaliseren;
• Catalogi van bedreigingen, kwetsbaarheden, gevolgen, ivereenvoudigen de vereisten voor speciale kennis en competentie van de directe uitvoerders van risicoanalyse- en beheersmaatregelen.

Deze CRAMM-techniek heeft de volgende nadelen:

• Hoge complexiteit en omslachtigheid bij het verzamelen van initiële gegevens, waarvoor aanzienlijke middelen binnen de organisatie of van buitenaf nodig zijn;
• Grote uitgaven aan middelen en tijd voor de implementatie van processen voor analyse en beheer van informatiebeveiligingsrisico's;
• De betrokkenheid van een groot aantal belanghebbenden vereist aanzienlijke kosten voor het organiseren van gezamenlijk werk, communicatie binnen het projectteam en het bereiken van overeenstemming over de resultaten;
• Het onvermogen om de risico's in geld te beoordelen, maakt het moeilijk om de resultaten van de informate gebruiken in de haalbaarheidsstudie van investeringen die nodig zijn om informatiebeveiligingstools en -methoden te implementeren.

CRAMM wordt veel gebruikt in zowel overheids- als commerciële organisaties over de hele wereld en is de de facto standaard voor inin het VK. De techniek kan met succes worden toegepast in grote organisaties die gericht zijn op internationale interactie en naleving van internationale managementnormen, waarbij de initiële implementatie van risicobeheerprocessen voor informatiebeveiliging wordt uitgevoerd om de hele organisatie in één keer te dekken. Tegelijkertijd moeten organisaties aanzienlijke middelen en tijd kunnen vrijmaken voor de implementatie van CRAMM.

Overzicht van de COBIT voor Risicomethodologie

De COBIT for Risk-methodologie werd in 2013 ontwikkeld door de ISACA (Information Systems Audit and Control Association) en is gebaseerd op de beste risicobeheerpraktijken (COSO ERM, ISO 31000, ISO\IEC 27xxx, enz.). De methodologie beschouwt informatiebeveiligingsrisico's in relatie tot de risico's van de kernactiviteiten van de organisatie, beschrijft de benaderingen voor de implementatie van de informatiin de organisatie en voor de processen van kwalitatieve analyse van informatiebeveiligingsrisico's en het beheer ervan.

Bij het implementeren van de functie en het proces van risicobeheer in een organisatie, identificeert de methodologie de volgende componenten die van invloed zijn op zowel informatiebeveiligingsrisico's als het proces om deze te beheersen:
• Organisatieprincipes, beleid, procedures;
• Processen;
• Organisatiestructuur;
• Bedrijfscultuur, ethiek en gedragsregels;
• Informatie;
• IT-diensten, IT-infrastructuur en applicaties;
• Mensen, hun ervaring en competenties.

Wat betreft het organiseren van de risicobeheerfunctie voor informatiebeveiliging, definieert en beschrijft de methodologie de vereisten voor de volgende componenten:
• Vereiste proces;
• Informatiestromen;
• Organisatiestructuur;
• Mensen en competenties.
Het belangrijkste onderdeel van de analyse en beheersing van informatiebeveiligingsrisico's volgens de methodiek zijn risicoscenario's. Elk scenario is "een beschrijving van een gebeurtenis die, als deze zich voordoet, kan resulteren in een onzekere (positieve of negatieve) impact op het behalen van de doelstellingen van de organisatie." De methodologie bevat meer dan 100 risicoscenario's voor de volgende impactcategorieën:
• Creëren en onderhouden van portfolio's van IT-projecten;
• Beheer van de levenscyclus van programma's / projecten;
• Investering in IT;
• Expertise en vaardigheden van IT-personeel;
• Operaties met personeel;
• Informatie;
• Architectuur;
• IT-infrastructuur;
• Software;
• Inefficiënt gebruik van IT;
• Selectie en aansturing van ICT-aanbieders;
• Naleving van wettelijke vereisten;
• Geopolitiek;
• Diefstal van infrastructuurelementen;
• Kwaadaardige software;
• Logische aanvallen;
• Technogene impact;
• Omgeving;
• Natuurlijk fenomeen;
• Innovatie.
Voor elk risicoscenario definieert de methodologie de mate waarin het tot elk type risico behoort:
• Strategische risico's - risico's die samenhangen met gemiste kansen om IT in te zetten voor de ontwikkeling en verbetering van de efficiëntie van de hoofdactiviteiten van de organisatie;
• Projectrisico's - risico's die samenhangen met de impact van IT op de totstandkoming of ontwikkeling van bestaande processen van de organisatie;
• Risico's van IT-beheer en levering van IT-diensten - risico's die samenhangen met het waarborgen van de beschikbaarheid, stabiliteit en levering van IT-diensten aan gebruikers met het vereiste kwaliteitsniveau, waarbij problemen kunnen leiden tot schade aan de hoofdactiviteiten van de organisatie.
Elk risicoscenario bevat de volgende informatie:
• Type bedreigingsbron - intern/extern.
• Type bedreiging - kwaadwillige daad, natuurverschijnsel, fout, enz.
• Beschrijving van het evenement - toegang tot informatie, vernietiging, wijziging, openbaarmaking van informatie, diefstal, enz.
• De soorten activa (componenten) van de organisatie die worden beïnvloed door de gebeurtenis - mensen, processen, IT-infrastructuur, enz.
• Evenement tijd.
Bij uitvoering van het risicoscenario van de activiteiten van de organisatie ontstaat schade. Dus bij het analyseren van informatiebeveiligingsrisico's in overeenstemming met de COBIT for Risk-methodologie, worden relevante risicoscenario's en risicobeperkende maatregelen geïdentificeerd om de kans dat deze scenario's zich voordoen te verkleinen. Voor elk van de geïdentificeerde risico's wordt een analyse gemaakt van de naleving van de risicobereidheid van de organisatie met de daaropvolgende goedkeuring van een van de volgende beslissingen:
• Risicovermijding;
• Risico nemen;
• Risico-overdracht;
• Risico beperking.
Verder risicobeheer wordt uitgevoerd door het resterende risiconiveau te analyseren en een beslissing te nemen over de noodzaak om aanvullende risicobeperkende maatregelen te implementeren. De methodologie biedt richtlijnen voor het implementeren van risicobeperkende maatregelen voor elk type organisatieonderdeel.

Praktisch gezien zijn de volgende voordelen van de COBIT for Risk-methodiek te onderscheiden:
• Link naar de gemeenschappelijke COBIT-bibliotheek en de mogelijkheid om benaderingen en "IT-controles" (risicobeperkende maatregelen) uit gerelateerde gebieden te gebruiken, zodat u informatiebeveiligingsrisico's en -beperkende maatregelen kunt overwegen in relatie tot de impact van risico's op de bedrijfsprocessen van de organisatie;
• Een beproefde methode waarmee aanzienlijke ervaring en vakbekwaamheid is opgebouwd, en waarvan de resultaten worden erkend door internationale instellingen;
• De aanwezigheid van een begrijpelijke geformaliseerde beschrijving van de methodologie stelt u in staat fouten bij de implementatie van de analyse- en risicobeheerprocessen te minimaliseren;
• De catalogi van risicoscenario's en "IT-controles" maken het mogelijk om de vereisten voor speciale kennis en competentie van de directe uitvoerders van maatregelen voor de analyse en het beheer van risico's te vereenvoudigen;
• De mogelijkheid om de methodologie te gebruiken bij het uitvoeren van audits stelt u in staat de arbeidskosten en de tijd die nodig is om de resultaten van externe en interne audits te interpreteren, te verminderen.
Tegelijkertijd heeft de COBIT for Risk-methodiek de volgende nadelen en beperkingen:
• De hoge complexiteit en bewerkelijkheid van het verzamelen van initiële gegevens vereist de betrokkenheid van aanzienlijke middelen, hetzij binnen de organisatie, hetzij van buitenaf;
• De betrokkenheid van een groot aantal belanghebbenden vereist aanzienlijke kosten voor het organiseren van gezamenlijk werk, het vrijmaken van tijd voor de betrokken personen om binnen het projectteam te communiceren en het overeenkomen van de resultaten met alle belanghebbenden;
• Het gebrek aan het vermogen om risico's in geld te beoordelen, maakt het moeilijk om de resultaten van het beoordelen van informatiebeveiligingsrisico's te gebruiken bij het rechtvaardigen van de investeringen die nodig zijn om de middelen en methoden voor informatiebescherming te implementeren.
Deze methode wordt gebruikt door zowel de overheid als commerciële organisaties over de hele wereld. De methode is het meest geschikt voor grote technologieorganisaties of organisaties met een hoge mate van afhankelijkheid van hun hoofdactiviteiten op het gebied van informatietechnologie, voor degenen die al COBIT-standaarden en -methodologieën voor informatietechnologiebeheer gebruiken (of van plan zijn te gebruiken) en over de nodige middelen en competenties hiervoor. In dit geval is het mogelijk om informatieben algemene IT-beheerprocessen effectief te integreren en een synergetisch effect te bereiken dat de kosten van het implementeren van infen beheerprocessen optimaliseert.

Een van de belangrijkste taken van het beheren van de informatiebeveiliging van een organisatie en haar KISS is risicobeheer, of risicomanagement - gecoördineerde activiteiten om de organisatie te managen in relatie tot risico. In het kader van informatiebeveiligingsrisico's wordt alleen gekeken naar negatieve gevolgen (verliezen).

In termen van het bereiken van de bedrijfsdoelen van een organisatie, is risicobeheer het proces van het creëren en dynamisch ontwikkelen van een economisch levensvatbaar informatiebeveiligingssysteem en een effectiefeem. Risicomanagement is dan ook een van de belangrijkste taken en verantwoordelijkheden van het management van de organisatie.

Risicomanagement gebruikt een eigen conceptueel raamwerk, dat momenteel gestandaardiseerd is, en wordt gegeven in de normen GOST R ISO / IEC 13335-1-2006, GOST R ISO / IEC 27001-2006. ISO / IEC 27005: 2008 “Informatietechnologie. Methoden en middelen om de veiligheid te waarborgen. In"biedt conceptuele richtlijnen voor inen ondersteunt de algemene concepten en het ISMS-model gedefinieerd in GOST R ISO / IEC 27001-2006. Het is gebouwd op basis van de Britse norm BS 7799-3:2006 en weerspiegelt tot op zekere hoogte de Amerikaanse norm NIST SP 800-30:2002, die ook richtlijnen geeft over risicobeheer voor informatietechnologiesystemen, en is ontworpen om adequate informatiebeveiliging van een organisatie en haar KISS op basis van een risicomanagementbenadering. Een concept Russische nationale norm GOST R ISO / IEC 27005-2008, geharmoniseerd met ISO / IEC 27005: 2008 is opgesteld.

In deze standaarden wordt risico gedefinieerd als de potentiële dreiging van schade aan een organisatie als gevolg van de implementatie van een dreiging met gebruikmaking van de kwetsbaarheden van een asset of groep assets. Informatiebeveiligingsrisico - de mogelijkheid dat deze dreiging misbruik maakt van de kwetsbaarheden van een informatiemiddel (groep van middelen) en daardoor de organisatie schade toebrengt. Het wordt gemeten door een combinatie van de kans op een ongewenste gebeurtenis en de gevolgen ervan (mogelijke schade).

Risicobeheer voor informatiebeveiliging omvat verschillende processen, waarvan de belangrijkste risicobeoordeling zijn, waaronder risicoanalyse en -beoordeling, en risicobehandeling - de selectie en implementatie van maatregelen voor het wijzigen van risico's met behulp van de beoordelingsresultaten. Inis een iteratief proces dat monitoring en periodieke beoordeling vereist.

Afhankelijk van de reikwijdte, het doel en de doelstellingen van risicobeheer, kunnen verschillende benaderingen voor het beheer en de beoordeling van informatiebeveiligingsrisico's worden toegepast - een hoogwaardige en gedetailleerde risicobeoordeling. De aanpak kan ook per iteratie anders zijn.

Risicoanalyse (identificatie en meting) kan worden uitgevoerd met verschillende mate van granulariteit, afhankelijk van de kriticiteit van de activa, de prevalentie van bekende kwetsbaarheden en eerdere incidenten die de organisatie hebben getroffen. De vorm van de analyse moet consistent zijn met de geselecteerde risicobeoordelingscriteria. De meetmethode kan kwalitatief of kwantitatief zijn, of een combinatie van beide, naargelang het geval. In de praktijk wordt kwalitatieve beoordeling vaak eerst gebruikt om algemene informatie te verkrijgen over het risiconiveau en om de belangrijkste waarden van risico's te identificeren. Later kan het nodig zijn om een ​​meer specifieke of kwantitatieve analyse van de belangrijkste risicowaarden uit te voeren, aangezien het meestal minder moeilijk en goedkoper is om een ​​kwalitatieve analyse uit te voeren dan een kwantitatieve.

Bij het kiezen van een benadering van risicobeheer en -beoordeling wordt rekening gehouden met drie groepen hoofdcriteria: risicobeoordelingscriteria, invloedscriteria en risicoacceptatiecriteria. Ze moeten worden ontwikkeld en gedefinieerd.

De criteria voor het beoordelen van de informatiebeveiligingsrisico's van de organisatie moeten worden ontwikkeld, rekening houdend met het volgende:

• - de strategische waarde van bedrijfsinformatieverwerking;
• - de kriticiteit van de getroffen informatiemiddelen;
• - wettelijke en reglementaire vereisten en contractuele verplichtingen;
• - het operationele en zakelijke belang van de beschikbaarheid, vertrouwelijkheid en integriteit van informatie;
• - verwachtingen van perceptie van betrokken partijen, evenals negatieve gevolgen voor “immaterieel kapitaal” en reputatie.

Daarnaast kunnen risicobeoordelingscriteria worden gebruikt om prioriteit te geven aan risicobehandeling.

Impactcriteria worden geïdentificeerd met criteria voor mogelijk verlies van vertrouwelijkheid, integriteit en beschikbaarheid van activa en weerspiegelen ongunstige veranderingen in het niveau van behaalde bedrijfsdoelstellingen.

Impactcriteria moeten worden ontworpen en bepaald op basis van de mate van schade of kosten voor de organisatie veroorzaakt door eens, rekening houdend met het volgende:

• - het classificatieniveau van het informatiemiddel dat wordt beïnvloed;
• - inbreuken op de informatiebeveiliging (bijvoorbeeld verlies van vertrouwelijkheid, integriteit en beschikbaarheid);
• - gestoorde bedrijfsvoering (intern of derden);
• - verlies van bedrijfswaarde en financiële waarde;
• - overtreding van plannen en deadlines;
• - reputatieschade;
• - schending van wettelijke, regelgevende of contractuele vereisten.

Risicoacceptatiecriteria komen overeen met de "risicoacceptatiecriteria en identificatie van een acceptabel risiconiveau" gedefinieerd in GOST R ISO / IEC 27001-2006. Ze moeten worden ontwikkeld en gedefinieerd. De criteria voor het accepteren van risico zijn vaak afhankelijk van het beleid, de intenties, doelen van de organisatie en de belangen van de stakeholders.

De organisatie moet haar eigen schalen definiëren voor de niveaus van risicoacceptatie. Houd bij het ontwikkelen rekening met het volgende:

• - de criteria voor het accepteren van risico kunnen vele drempels omvatten, met een gewenst risiconiveau, maar op voorwaarde dat het topmanagement onder bepaalde omstandigheden risico's accepteert die boven het gespecificeerde niveau liggen;
• - de criteria voor het aanvaarden van risico kunnen worden uitgedrukt als de verhouding van het gekwantificeerde voordeel (of ander zakelijk voordeel) tot het gekwantificeerde risico;
• - voor verschillende risicoklassen kunnen verschillende criteria gelden voor het aanvaarden van risico's, bijvoorbeeld risico's van niet-naleving van richtlijnen en wetten kunnen niet worden aanvaard, terwijl aanvaarding van risico's van hoog niveau kan worden toegestaan ​​indien gespecificeerd in de contractuele vereiste;
• - de criteria voor het accepteren van het risico kunnen eisen bevatten voor toekomstige aanvullende verwerkingen, het risico kan bijvoorbeeld worden geaccepteerd als er goedkeuring en overeenstemming is om actie te ondernemen om het binnen een bepaalde periode tot een acceptabel niveau terug te brengen.

De criteria voor het accepteren van risico kunnen verschillen, afhankelijk van hoe lang het risico naar verwachting zal bestaan, het risico kan bijvoorbeeld verband houden met tijdelijke of kortdurende activiteiten. De criteria voor het aanvaarden van risico moeten worden vastgesteld rekening houdend met de criteria van het bedrijf; juridische en regelgevende aspecten; activiteiten; technologieën; financiën; sociale en humanitaire factoren.

In overeenstemming met ISO / IEC 27005: 2008 omvat inde volgende processen: contextbepaling, risicobeoordeling, risicobehandeling, risicoacceptatie, risicocommunicatie en risicobewaking en -beoordeling.

Zoals blijkt uit afb. 3.5 kan het informatiteratief zijn voor activiteiten zoals risicobeoordeling en/of risicobehandeling. Een iteratieve benadering voor het uitvoeren van een risicobeoordeling kan bij elke iteratie de diepte en granulariteit van de beoordeling vergroten. Een iteratieve aanpak zorgt voor een goede balans tussen de tijd en moeite die wordt besteed aan het definiëren van controles (beveiligingen en beveiligingscontroles), terwijl er toch voor wordt gezorgd dat risico's op hoog niveau naar behoren worden aangepakt.

In de BC&S en het RAPA vierfasenmodel maken het vaststellen van de context, het beoordelen van het risico, het ontwikkelen van een risicobehandelingsplan en het accepteren van het risico deel uit van de "plan" -fase. In de actiefase "doen"

Rijst. 3.5.

en de controles die nodig zijn om het risico terug te brengen tot een aanvaardbaar niveau, worden geïmplementeerd in overeenstemming met het risicobehandelingsplan. In de “check”-fase bepalen managers de noodzaak om de risicobehandeling te herzien in het licht van incidenten en gewijzigde omstandigheden. In de fase "act" worden alle noodzakelijke werkzaamheden uitgevoerd, waaronder het opnieuw opstarten van het proces van risicobeheer voor informatiebeveiliging.

Tafel 3.3 somt op basis van het PDAP-model de activiteiten (processen) op die samenhangen met risicobeheersing die relevant zijn voor de vier fasen van het ISMS-proces.

Tabel 3.3

Relatie tussen de fasen van het ISMS-proces en de processen en subprocessen vaner

Het vaststellen van de context van inomvat het vaststellen van de belangrijkste criteria (risico's inschatten, beïnvloeden of accepteren van risico's), het definiëren van de reikwijdte en grenzen, en het opzetten van een passende organisatiestructuur voor risicobeheer.

De context wordt voor het eerst vastgesteld wanneer een risicobeoordeling op hoog niveau wordt uitgevoerd. Evaluatie op hoog niveau biedt de mogelijkheid om prioriteiten te stellen en acties te timen. Als het voldoende informatie geeft om effectief te bepalen welke acties nodig zijn om het risico terug te brengen tot een acceptabel niveau, dan is de taak voltooid en volgt risicobehandeling. Als de informatie niet voldoende is, wordt een nieuwe iteratie van de risicobeoordeling uitgevoerd met behulp van de herziene context (bijvoorbeeld met behulp van risicobeoordelingscriteria, risicoacceptatie of impactcriteria), mogelijk in beperkte delen van de volledige scope (zie figuur 3.5, risicobesluit punt nr. 1).

In de praktijk worden kwantitatieve en kwalitatieve benaderingen gebruikt om informatiebeveiligingsrisico's te beoordelen. Wat is het verschil tussen hen?

Kwantitatieve methode

Kwantitatieve risicobeoordeling wordt gebruikt in situaties waarin de onderzochte bedreigingen en de bijbehorende risico's kunnen worden vergeleken met de definitieve kwantitatieve waarden uitgedrukt in geld, percentage, tijd, human resources, enz. Met de methode kunt u specifieke waarden van objecten van risicobeoordeling verkrijgen bij de implementatie van bedreigingen voor informatiebeveiliging.

Bij een kwantitatieve benadering worden aan alle elementen van de risicobeoordeling specifieke en reële kwantitatieve waarden toegekend. Het algoritme voor het verkrijgen van deze waarden moet duidelijk en begrijpelijk zijn. Het object van beoordeling kan de waarde van een actief in geld zijn, de waarschijnlijkheid dat een dreiging wordt gerealiseerd, schade door een dreiging, de kosten van beschermende maatregelen, enzovoort.

Hoe risico's kwantificeren?

1. Bepaal de waarde van informatie-assets in geld.

2. Beoordeel in kwantitatieve termen de potentiële schade van de implementatie van elke bedreiging met betrekking tot elk informatiemiddel.

U zou antwoord moeten krijgen op de vragen "Welk deel van de waarde van de activa zal de schade zijn door de implementatie van elke bedreiging?"

3. Bepaal de waarschijnlijkheid van implementatie van elk van de IS-bedreigingen.

Hiervoor kunt u gebruik maken van statistieken, enquêtes onder medewerkers en stakeholders. Bereken bij het bepalen van de waarschijnlijkheid de frequentie van incidenten die verband houden met de implementatie van de overwogen IS-dreiging over een controleperiode (bijvoorbeeld een jaar).

4. Bepaal de totale potentiële schade van elke dreiging in relatie tot elk activum voor de controleperiode (gedurende één jaar).

De waarde wordt berekend door de eenmalige schade door de dreigingsrealisatie te vermenigvuldigen met de dreigingsrealisatiefrequentie.

5. Analyseer de ontvangen schadegegevens per dreiging.

Voor elke dreiging moet een beslissing worden genomen: het risico accepteren, het risico verkleinen of het risico overdragen.

Een risico accepteren betekent het zich realiseren, de mogelijkheid ervan accepteren en doorgaan zoals voorheen. Toepasbaar voor dreigingen met weinig schade en een lage waarschijnlijkheid.

Het risico verminderen betekent het invoeren van aanvullende maatregelen en beschermingsmiddelen, het geven van training van personeel, enz. Dat wil zeggen, het uitvoeren van opzettelijke werkzaamheden om het risico te verminderen. Tegelijkertijd is het noodzakelijk om een ​​kwantitatieve inschatting te maken van de effectiviteit van aanvullende maatregelen en beschermingsmiddelen. Alle kosten die door de organisatie worden gemaakt, van de aankoop van beschermingsmiddelen tot de inbedrijfstelling (inclusief installatie, configuratie, training, onderhoud, enz.), mogen het bedrag van de schade als gevolg van de implementatie van de dreiging niet overschrijden.

Het overdragen van risico is het verschuiven van de gevolgen van de realisatie van het risico naar een derde partij, bijvoorbeeld met behulp van verzekeringen.

Als resultaat van een kwantitatieve risicobeoordeling moet het volgende worden bepaald:

• monetaire waarde van activa;
• een volledige lijst van alle IS-dreigingen met schade als gevolg van één incident voor elke dreiging;
• de frequentie van implementatie van elke bedreiging;
• potentiële schade door elke bedreiging;
• Aanbevolen beveiligingsmaatregelen, tegenmaatregelen en acties voor elke bedreiging.

Kwantitatieve analyse van informatiebeveiligingsrisico's (voorbeeld)

Laten we de techniek eens bekijken aan de hand van het voorbeeld van de webserver van een organisatie, die wordt gebruikt om een ​​specifiek product te verkopen. Kwantitatief eenmalig De schade door een serverstoring kan worden geschat als het product van de gemiddelde aankoopbon door het gemiddelde aantal hits over een bepaald tijdsinterval, gelijk aan de serverdowntime. Laten we zeggen dat de kosten van eenmalige schade door een directe serverstoring 100 duizend roebel zijn.

Nu is het noodzakelijk om door een deskundige te evalueren hoe vaak een dergelijke situatie zich kan voordoen (rekening houdend met de intensiteit van de werking, de kwaliteit van de stroomvoorziening, enz.). Zo begrijpen we, rekening houdend met de mening van experts en statistische informatie, dat de server tot 2 keer per jaar kan uitvallen.

We vermenigvuldigen deze twee grootheden, we krijgen dat gemiddeld jaarlijks de schade door de implementatie van de dreiging van een directe serverstoring is 200 duizend roebel per jaar.

Deze berekeningen kunnen worden gebruikt om de keuze voor beschermende maatregelen te rechtvaardigen. De introductie van een ononderbroken stroomvoorzieningssysteem en een back-upsysteem met een totale kostprijs van 100 duizend roebel per jaar zal bijvoorbeeld het risico op serverstoringen minimaliseren en zal een volledig effectieve oplossing zijn.

Kwalitatieve methode

Door de grote onzekerheid is het helaas niet altijd mogelijk om een ​​specifieke uitdrukking van het te beoordelen object te krijgen. Hoe de reputatieschade van een bedrijf nauwkeurig inschatten wanneer informatie verschijnt over een informatiebeveiligingsincident ermee? In dit geval wordt de kwalitatieve methode toegepast.

De kwalitatieve benadering gebruikt geen kwantitatieve of monetaire termen voor het onderwerp. In plaats daarvan krijgt het object van beoordeling een indicator toegewezen, gerangschikt op een driepunts (laag, gemiddeld, hoog), vijfpunts of tienpuntsschaal (0 ... 10). Voor het verzamelen van gegevens voor een kwalitatieve risicobeoordeling wordt gebruik gemaakt van doelgroeponderzoeken, interviews, vragenlijsten en persoonlijke ontmoetingen.

Een kwalitatieve analyse van informatiebeveiligingsrisico's dient te worden uitgevoerd met de betrokkenheid van medewerkers met ervaring en competentie op het gebied waar dreigingen worden overwogen.

Zo voert u een kwalitatieve risicobeoordeling uit:

1. Bepaal de waarde van informatie-assets.

De waarde van een asset kan worden bepaald door de mate van kriticiteit (gevolgen) in geval van schending van de beveiligingskenmerken (vertrouwelijkheid, integriteit, beschikbaarheid) van een informatie asset.

2. Bepaal de kans dat de dreiging wordt gerealiseerd in relatie tot het informatiemiddel.

Een kwalitatieve schaal met drie niveaus (laag, gemiddeld, hoog) kan worden gebruikt om de kans te beoordelen dat een dreiging wordt gerealiseerd.

3. Bepaal de mate van kans op succesvolle implementatie van de dreiging, rekening houdend met de huidige staat van informatiebeveiliging, geïmplementeerde maatregelen en beschermingsmiddelen.

Een kwalitatieve schaal met drie niveaus (laag, gemiddeld, hoog) kan ook worden gebruikt om de mate van dreigingsrealisatie te beoordelen. De waarde van de mogelijkheid van dreigingsrealisatie laat zien hoe haalbaar het is om de dreiging succesvol te implementeren.

4. Maak een conclusie over het risiconiveau op basis van de waarde van het informatiemiddel, de waarschijnlijkheid van de dreiging, de mogelijkheid van de dreiging.

Om het risiconiveau te bepalen, kunt u een vijfpunts- of tienpuntsschaal gebruiken. Bij het bepalen van het risiconiveau kan gebruik worden gemaakt van referentietabellen die inzicht geven in welke combinaties van indicatoren (waarde, kans, kans) tot welk risiconiveau leiden.

5. Voer een analyse uit van de verkregen gegevens voor elke dreiging en het daarvoor verkregen risiconiveau.

Vaak werkt de risicoanalysegroep met het concept van "aanvaardbaar risiconiveau". Dit is het risiconiveau dat het bedrijf bereid is te accepteren (als een dreiging een risiconiveau heeft dat lager is dan of gelijk is aan acceptabel, wordt het niet als relevant beschouwd). De globale opgave voor een kwalitatieve beoordeling is het terugbrengen van risico's tot een acceptabel niveau.

6. Ontwikkel beveiligingsmaatregelen, tegenmaatregelen en acties voor elke daadwerkelijke dreiging om het risiconiveau te verminderen.

Welke methode moet je kiezen?

Het doel van beide methoden is om de echte risico's van de informatiebeveiliging van het bedrijf te begrijpen, om de lijst met huidige bedreigingen te bepalen en om effectieve tegenmaatregelen en beschermingsmiddelen te selecteren. Elke methode voor risicobeoordeling heeft zijn eigen voor- en nadelen.

De kwantitatieve methode geeft een visuele weergave in geld door de te beoordelen objecten (schade, kosten), maar is omslachtiger en in sommige gevallen niet toepasbaar.

De kwalitatieve methode maakt het mogelijk om sneller risico's in te schatten, maar de beoordelingen en resultaten zijn subjectiever en geven geen duidelijk inzicht in de schade, kosten en baten van de implementatie van informatiebeveiligingssystemen.

De keuze van de methode moet worden gemaakt op basis van de specifieke kenmerken van een bepaald bedrijf en de taken die aan de specialist zijn toegewezen.

Stanislav Shilyaev, Projectmanager Informatiebeveiliging bij SKB Kontur