- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.3.6. Мониторинг и переоценка риска
Риски не являются статичными. Угрозы, уязвимости, вероятность или последствия могут изменяться неожиданно, без каких-либо признаков изменений. Поэтому необходим непрерывный мониторинг и переоценка рисков и их факторов (т. е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска.
Организации должны обеспечивать проведение непрерывного мониторинга следующих факторов:
новых активов, которые были включены в область действия менеджмента риска;
необходимой модификации ценности активов, например, вследствие изменившихся бизнес-требований;
новых угроз, которые могут действовать вне и внутри организации и которые еще не были оценены;
вероятности того, что новые или возросшие уязвимости могут сделать возможным использование их угрозами;
выявленных уязвимостей для определения тех из них, которые становятся подверженными новым или повторно возникающим угрозам;
возросшего влияния или последствий оцененных угроз, уязвимостей и рисков, объединенное действие которых имеет результатом неприемлемый уровень риска;
инцидентов ИБ.
Новые угрозы, уязвимости или изменения вероятности или последствий могут увеличивать риски, ранее оцененные как низкие. Процесс переоценки низких и принятых рисков должен рассматривать каждый риск отдельно, а также все риски как единое целое, чтобы оценивать их возможное суммарное влияние. Если риски не попадают в категорию низких или приемлемых рисков, они должны обрабатываться с использованием одного или нескольких вариантов, рассмотренных ранее.
Факторы, влияющие на вероятность и последствия возникающих угроз, могут изменяться, как могут изменяться факторы, влияющие на применимость или стоимость различных вариантов обработки. Основные изменения, влияющие на организацию, должны служить основанием для более детальной переоценки. Следовательно, деятельность по мониторингу риска должна регулярно повторяться, и выбранные варианты обработки риска должны периодически переоцениваться.
1.4. Стандарты в области управления информационными рисками
Основы современных международных стандартов по управлению информационными рисками были заложены в британском стандарте BS 7799, который включает в себя три составные части:
BS 7799-1:2005 «Information security management. Code of practice for information security management» (Практические правила управления информационной безопасностью) (1995 г.) - является руководством по управлению информационной безопасностью в организации; описывает 10 областей и 127 механизмов контроля, необходимых для построения СМИБ, определенных на основе лучших примеров из мировой практики;
BS 7799-2:2005 «Information security management. Specification for information security management systems» (Требования к системам управления информационной безопасностью) (1998 г.) - определяет общую модель построения СМИБ и набор обязательных требований для сертификации;
BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management» (Руководство по управлению рисками информационной безопасности) (2006 г.) - содержит вводную часть, разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков.
Стандарт BS 7799 получил международное признание.
Специализированную систему всемирной стандартизации образуют две международные организации: ИСО (ISO) - Международная организация по стандартизации (International Organization for Standardization) и МЭК (IEC) - Международная электротехническая комиссия (International Electrotechnical Commission). Национальные организации, являющиеся членами ИСО или МЭК, участвуют в разработке международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для того, чтобы обсуждать определенные области технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях взаимного интереса. Другие международные организации, правительственные и неправительственные, контактирующие с ИСО и МЭК, также принимают участие в работе. В области информационных технологий, ИСО и МЭК учредили Совместный технический комитет, ИСО/МЭК СТК 1. Проекты международных стандартов составляются в соответствии с правилами, определенными в Директивах ИСО/МЭК. Основная задача совместного технического комитета состоит в подготовке международных стандартов. Проекты международных стандартов, принятые объединенным техническим комитетом, рассылаются национальным организациям на голосование. Для опубликования документа в качестве международного стандарта необходимо как минимум 75% голосов членов-организаций, принимающих участие в голосовании.
В 2005 году первая часть стандарта BS 7799-1:2005 была гармонизирован с международным стандартом ISO/IEC 17799 «Information technology - Security techniques - Code of practice for information security management» («Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности»), который затем был принят и в качестве российского стандарта ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
В 2007 году стандарт ISO/IEC 17799 был переиздан в виде ISO/IEC 27002:2005 «Information technology - Security techniques - Code of practice for information security management».
Документ ISO/IEC 27002 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1, «Информационные технологии», Подкомитет SC 27, «Методики защиты информационных технологий».
Семейство международных стандартов Системы Управления Защитой Информации (СУЗИ) разрабатывается в подкомитете ИСО/МЭК СТК 1/ПК 27. В семейство входят международные стандарты по требованиям к системам управления защитой информации, по управлению рисками, по метрикам и измерениям, а также руководящие принципы по реализации. Этому семейству была назначена схема нумерации, использующую серию номеров 27000 и следующие [13-22].
Международный стандарт ISO/IEC 27002 содержит перечень общепринятых целей управления и лучшие методы реализации средств управления для использования в качестве руководства при выборе и внедрении средств управления для достижения информационной безопасности.
Этот стандарт содержит 11 разделов по средствам управления защитой информации, вместе содержащих в общей сложности 39 основных категорий защиты и один вступительный раздел, вводящий в оценку и обработку рисков.
Каждый раздел содержит некоторое количество основных категорий защиты. Одиннадцать разделов (вслед за названием указано количество основных категорий защиты, включенных в каждый раздел) таковы:
Политика безопасности (1);
Организация информационной безопасности (2);
Менеджмент активов (2);
Защита человеческих ресурсов (3);
Физическая и экологическая безопасность (2);
Управление средствами связи и операциями (10);
Управление доступом (7);
Приобретение, разработка и поддержание в рабочем состоянии информационных систем (6);
Управление инцидентами информационной безопасности (2);
Менеджмент непрерывности бизнеса (1);
Соответствие нормативным требованиям (3).
Каждая основная категория защиты содержит следующее:
цель управления, формулирующая, чего надо достичь; и
одно или более средств управления, которые могут быть применены для достижения цели управления.
В 2012 году ISO/IEC 27002 был издан в виде российского стандарта ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
Как и первая часть, вторая часть стандарта BS 7799-2:2005 в 2005 году была принята в качестве международного стандарта ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems - Requirements».
Этот международный стандарт определяет требования для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения документированной СМИБ в контексте общих деловых рисков организации. Он определяет требования для реализации средств управления защитой, приспособленных к потребностям отдельных организаций или их подразделений. Этот международный стандарт применим ко всем типам организаций (например, коммерческие, государственные, некоммерческие организации).
ISO/IEC 27001 содержит нормативные требования для развёртывания и функционирования СМИБ, включая набор средств управления для управления и уменьшения рисков, относящихся к информационным активам, которые организация стремится защитить. Организации, использующие СМИБ, могут проводить её аудиторскую проверку и сертификацию соответствия. Цели управления и средства управления из приложения А стандарта ISO/IEC 27001 должны быть выбраны как часть этого СМИБ- процесса для того, чтобы удовлетворять определённые требования. Цели управления и средства управления, перечисленные в таблице А.1 стандарта ISO/IEC 27001, получены непосредственно из перечня целей управления и средств управления, перечисленных в разделах 5-15 ISO/IEC 17799:2005 (ныне ISO/IEC 27002:2005), и согласованы с ними.
В 2006 году международный стандарт ISO/IEC 27001:2005 был издан в виде ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Третья часть британского стандарта BS 7799-3:2006 легла в основу международного стандарта ISO/IEC 27005:2008 «Information technology - Security techniques - Information security risk management». Однако, в отличие от стандартов, рассмотренных ранее, стандарт ISO/IEC 27005:2008 не является международной версией BS 7799-3:2006. Помимо BS 7799-3:2006, в него были заложены также стандарты ISO/IEC TR 13335-3:1998 «Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security» и ISO/IEC TR 13335-4:2000 «Information technology - Guidelines for the management of information technology security - Part 3: Selection of safeguards», потерявшие свою актуальность в 2008 году в связи с выходом стандарта ISO/IEC 27005:2008.
Следует отметить американский стандарт в области управления рисками NIST 800-30:2002 «Risk Management Guide for Information Technology Systems; Recommendations of the National Institute of Standards and Technology» (Руководство по управлению рисками для систем информационных технологий. Рекомендации Национального института Стандартов и технологий), разработанный Лабораторией информационной технологии (ITL), основные положения которого также были учтены при разработке стандарта ISO/IEC 27005:2008.
В стандарте NIST 800-30:2002 рассматриваются вопросы интеграции управления риском в жизненный цикл развития системы. Предложена методология оценки риска, состоящая из 9-ти шагов:
1 – Характеристика системы;
2 – Идентификация угрозы;
3 – Идентификация уязвимости;
4 – Анализ контроля (управления);
5 – Определение вероятности (возможности);
6 – Анализ воздействия (влияния);
7 – Определение риска;
8 – Рекомендации по контролю (управлению);
9 – Документальное оформление результатов.
Для уменьшения рисков предложено использование следующих опций:
принятие риска (Risk Assumption) - принимать потенциальный риск и продолжать использовать ИТ-системы, либо реализовать средства управления, позволяющее снизить риск до приемлемого уровня;
предотвращение риска (Risk Avoidance) - избегать рисков, устраняя причину риска и/или его последствия (например, воздержаться от использования некоторых функций системы, или закрыть систему, когда риски полностью идентифицированы);
ограничение риска (Risk Limitation) - ограничивать имеющийся риск, реализовав и применив средства управления, которые минимизируют неблагоприятное воздействие осуществления угрозы для уязвимости (например, использование поддерживающего, профилактического или детективного (тайного) контроля;
планирование риска (Risk Planning) - управлять риском, путем разработки плана действий по уменьшению риска, который может предусматривать введение определенных приоритетов, реализацию и проведение контроля;
исследование и уведомление (Research and Acknowledgment) - понизить риск возможных потерь, путем уведомления о наличии уязвимости или недостатков в системе и исследования средств контроля для исправления уязвимости;
перенос риска (Risk Transference) - переместить риск, используя другие опции, чтобы получить компенсации за возможные потери, например, путем страхования.
Описана методология действий по уменьшению рисков, включающая следующие шаги:
1) определение приоритетов действий;
2) оценка рекомендованных опций контроля;
3) проведение анализа на рентабельность;
4) выбор средств контроля;
5) определение ответственности;
6) разработка плана реализации, включающего риски и соответствующие уровни рисков, распределенные по приоритетам действия, рекомендованные средства контроля, запланированные средства контроля, ответственность должностных лиц, исходные данные, требования по сопровождению;
7) реализация выбранной системы контроля
Описана также процедура анализа рентабельности и остаточного риска, выделены ключевые факторы успешного управления рисками.
Модель управления рисками, предложенная в стандарте ISO/IEC 27005:2008, по сути, почти соответствует концепции BS 7799-3, а также NIST SP 800-30:2002. Все современные стандарты в области управления рисками - NIST SP 800-30, BS 7799-3 и ISO/IEC 27005:2008 отражают сложившийся в международной практике общий процессный подход к организации управления рисками. При этом управление рисками представляется как базовая часть системы менеджмента качества организации. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также по синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков.
BS 7799-3 и ISO/IEC 27005:2008 определяют:
основные элементы процесса управления рисками;
процессную модель;
общий подход к управлению рисками;
процессы анализа и оценивания рисков;
способы качественного определения величины рисков;
способы обработки рисков;
процесс коммуникации рисков;
примеры рисков, угроз, уязвимостей, активов, ущербов, требований законодательства и нормативной базы.
В 2011 году был введен в действие ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». С введением данного ГОСТа стали недействительными ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».
Содержание стандарта ГОСТ Р ИСО/МЭК 27005-2010 было заложено в основу раздела 1.3. («Менеджмент риска информационной безопасности») настоящего пособия.