- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
5.2 Германский стандарт bsi
В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности». Оно представляет собой гипертекстовый справочник объемом около 4 Мб (в формате HTML). Общая структура документа приведена на рис. 5.1.
Можно выделить следующие блоки этого документа:
-
методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);
-
компоненты информационных технологий:
-
основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);
-
инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);
-
клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);
-
сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);
-
элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);
-
телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);
-
стандартное ПО;
-
базы данных;
-
каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).
При этом все каталоги структурированы следующим образом.
Угрозы по классам:
-
форс-мажорные обстоятельства;
-
недостатки организационных мер;
-
ошибки человека;
-
технические неисправности;
-
преднамеренные действия.
Контрмеры по классам:
-
улучшение инфраструктуры;
-
административные контрмеры;
-
процедурные контрмеры;
-
программно-технические контрмеры;
-
уменьшение уязвимости коммуникаций;
-
планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках имеются на сайте BSI.
Этот информационный ресурс, безусловно, заслуживает внимания. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Обзор каталогов (названия позиций) приводится в приложении 4.
5.3 Стандарт сша nist 800-30
Данный стандарт подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.
Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 5.2).
Таблица 5.2. Управление рисками на различных стадиях жизненного цикла информационной технологии
Фаза жизненного цикла информационной технологии |
Соответствие фазе управления рисками |
1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование) |
Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ |
2. Проектирование ИС |
Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС) |
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование |
До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков |
4. Функционирование ИС |
Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС |
5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) |
Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам |
Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 5.2.