- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
5.3.3 Организация защиты информации
Формирование списка управляющих воздействий организации
Составляется список управляющих воздействий, структурированный по уровням или областям ответственности, в соответствии с принятой моделью комплексного обеспечения режима информационной безопасности (см. табл. 5.5).
Таблица 5.5. Управление ИБ
Уровень |
Классы управляющих воздействий и критерии безопасности |
Организационный уровень |
- разграничение ответственности; - периодический пересмотр системы управления в области ИБ; - протоколирование и разбор инцидентов в области ИБ; - оценка рисков; - обучение в области ИБ; - процедура авторизации в ИС и удаления учетных записей; - поддержание в актуальном состоянии плана обеспечения ИБ |
Процедурный уровень |
Обеспечение правил поддержания режима ИБ, в частности: - доступ к носителям информации; - контроль за работой сотрудников в ИС; - обеспечение должного качества работы силовой сети, климатических установок; - контроль за поступающими в ИС данными |
Программно-технический уровень |
Комплекс мер защиты программно-технического уровня: - активный аудит и система реагирования; - идентификация и аутентификация; - криптографическая защита; - реализация ролевой модели доступа; - контроль за режимом работы сетевого оборудования |
Подробно эти и некоторые другие средства управления описываются в различных руководствах, например в NIST SP 800-26.
Анализ системы управления ИС
Параметры угроз, определяемых на следующем шаге, зависят от организации системы управления ИС. На данном шаге анализируется система управления с позиции возможного воздействия на выявленные угрозы и уязвимости.
Обычно рассматриваются две категории методов управления: технического и нетехнического уровня.
Методы технического уровня, в свою очередь, подразделяются на:
-
обеспечение требований базового уровня (идентификация, управление системой распределения ключей, администрирование, способы защиты элементов системы и ПО);
-
упреждающие меры (аутентификация, авторизация, обеспечение безотказности, контроль доступа, сохранение конфиденциальности транзакций);
-
обнаружение нарушений в области ИБ и процедуры восстановления (аудит, выявление вторжений, антивирусная защита, проверка целостности ПО и данных).
Методы нетехнического уровня - множество методов управления организационного и процедурного характера.
Выбор шкалы для оценки параметров рисков
Под оценкой параметров рисков понимается определение вероятности реализации потенциальной уязвимости, которая приведет к инциденту.
Типичной (наиболее распространенной) шкалой является качественная (балльная) шкала с несколькими градациями, например: низкий средний и высокий уровень. Оценка производится экспертом с учетом ряда объективных факторов. Уровни рисков устанавливаются, например, как в табл. 5.6.
Таблица 5.6. Пример качественной шкалы для оценки риска
Уровень риска |
Определение |
Высокий |
Источник угрозы (нарушитель) имеет очень высокий уровень мотивации, существующие методы уменьшения уязвимости малоэффективны |
Средний |
Источник угрозы (нарушитель) имеет высокий уровень мотивации, однако используются эффективные методы уменьшения уязвимости |
Низкий |
Источник угрозы (нарушитель) имеет низкий уровень мотивации, либо существуют чрезвычайно эффективные методы уменьшения уязвимости |
Анализ возможных последствий нарушения режима ИБ
Определяется цена нарушения режима ИБ. Последствия нарушения режима ИБ могут быть разноплановыми, например: прямые финансовые убытки, потеря репутации, неприятности со стороны официальных структур и т.д.
На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий.
Пример шкалы приводится в табл. 5.7.
Оценка рисков
На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.
Таблица 5.7. Оценка тяжести последствий нарушения режима ИБ
Уровень тяжести последствий нарушения режима ИБ |
Определение |
Высокий |
Происшествие оказывает сильное (катастрофичное) воздействие на деятельность организации, что выражается в одном или нескольких проявлениях: - большая сумма (должна быть конкретизирована) прямых финансовых потерь; - существенный ущерб здоровью персонала (гибель, инвалидность или необходимость длительного лечения сотрудника); - потеря репутации, приведшая к существенному снижению деловой активности организации; - дезорганизация деятельности на длительный (конкретизируется) период времени |
Средний |
Происшествие приводит к заметным негативным результатам, выражающимся в одном или нескольких проявлениях: - заметная сумма (должна быть конкретизирована) прямых финансовых потерь; - потеря репутации, которая может вызвать уменьшение потока заказов и негативную реакцию деловых партнеров; - неприятности со стороны государственных органов, в результате чего снизилась деловая активность компании |
Низкий |
Происшествие сопровождается небольшими негативными последствиями, выражающимися в одном или нескольких проявлениях: - небольшая сумма (должна быть конкретизирована) прямых финансовых потерь; - задержки в работе некоторых служб либо дезорганизация деятельности на непродолжительный период времени; - необходимость восстановления информационных ресурсов |
Если применяются качественные методы, возможные риски нарушения ИБ должны быть ранжированы по степени их опасности с учетом таких факторов, как цена возможных потерь, уровень угрозы и уязвимости.
Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.
Выработка рекомендаций по управлению рисками
Рекомендации по уменьшению рисков до допустимого уровня являются необходимыми. Они должны быть комплексными и учитывать возможные меры различных уровней, например:
-
внесение изменений в политику ИБ;
-
изменения в регламентах обслуживания и должностных инструкциях;
-
дополнительные программно-технические средства.
Разработка итоговых отчетных документов
Существуют определенные требования к содержанию отчетных документов. Обязательно наличие следующих разделов:
-
цели работы;
-
принятая методология;
-
описание ИС с позиции ИБ;
-
угрозы;
-
уязвимости;
-
риски;
-
предлагаемые контрмеры.