- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
Стандарт Великобритании BS 7799 посвящен управлению информационной безопасностью организации. Этот стандарт является одним из наиболее авторитетных в мире. На его базе разработаны международные стандарты ISO IEC 17799, позже эволюционировавший в ISO IEC 27002. Третья часть данного стандарта представляет собой особый интерес, поскольку целиком посвящена вопросам управления информационными рисками. На базе BS 7799-3 в настоящее время ведется разработка международного стандарта управления информационными рисками ISO IEC 27005. Документ должен стать связкой между общими рекомендациями по защите систем, приведенных в ISO IEC 27001 и конкретными рекомендациями управления рисками ISO IEC 17799. Разрабатываемый на базе рассматриваемого документа международный стандарт ISO IEC 2005, проектируется как основа для единого подхода к управлению информационной безопасностью систем на базе анализа и управления рисками. К сожалению, в российской нормативной базе отсутствует соответствующий стандарт, что обуславливает нормативно-правовой вакуум в этой сфере.
Стандарт BS 7799-3:2006 гармонизирован с ISO IEC 17799:2005 (ныне ISO IEC 27002:2007) относительно примеров по компонентам системы защиты и с ISO серии 9000 по требованиям к документам. Стандарт допускает использование любых стратегий организации оценки рисков, в частности изложенных в ISO 13335-3 (Методы менеджмента безопасности информационных технологий). Сравнительный анализ BS 7799-3 с популярным американским стандартом NIST SP 800-30:2002 (Руководство по управлению рисками в системах информационных технологий) показал идентичность по сути изложенных в них подходов к анализу, оценке и управлению рисками [94,113].
Недостаток отечественной нормативной базы в области информационной безопасности состоит в отсутствии российского ГОСТа по управлению информационными рисками. Иначе говоря, отечественные организации по стандартизации перевели только две части BS 7799 из трех — это ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001. Таким образом, имеется ГОСТ Р ИСО/МЭК 27001, в котором заданы требования к системе менеджмента информационной безопасности, и ГОСТ Р ИСО/МЭК 17799, где имеются примеры по среде и системам информационной безопасности, но нет руководства по оценке и управлению рисками.
Стандарт BS 7799-3 содержит вводную часть, разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков. Стандарт придерживается самого общего понятия риска, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском (risk management) сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации.
В соответствии с подходом, принятым в серии 27000, непрерывный процесс управления спроецирован на четыре фазы менеджмента: «планирование — реализация — проверка — совершенствование». В контексте стандарта эти четыре фазы выглядят следующим образом:
оценка рисков, включающая анализ и вычисление рисков;
обработка риска — выбор и реализация мер и средств безопасности;
контроль рисков путем мониторинга, тестирования, анализа механизмов безопасности, а также аудита системы;
оптимизация рисков путем модификации и обновления правил, мер и средств безопасности.
Оценка рисков (risk assessment) — первый этап в управлении системы информационной безопасности, предназначенный для идентификации источников рисков и определения его уровня значимости. Оценку разбивают на анализ рисков и оценивание рисков.
В рамках анализа проводится инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договорные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. В стоимость входят все потенциальные затраты, связанные с возможной компрометацией защищаемых ресурсов. Следующим этапом анализа рисков является составление перечня значимых угроз и уязвимостей для каждого ресурса, а затем вычисляется вероятность их реализации. Стандарт допускает двоякое толкование понятия угрозы ИБ: как условие реализации уязвимости ресурса (в этом случае уязвимости и угрозы идентифицируются отдельно) и как общее потенциальное событие, способное привести к компрометации ресурса (когда наличие возможности реализации уязвимости и есть угроза). Не возбраняется разделение угроз ИБ на угрозы целостности, доступности и конфиденциальности.
Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой. Вычисление риска состоит в умножении вероятности компрометации ресурса на значение величины ущерба, связанного с его компрометацией. Сопоставление риска выполняется с целью упрощения процесса использования на практике точечных значений риска.
BS 7799-3 допускает использование как количественных, так и качественных методов оценки рисков, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ. Приложение к стандарту содержит единственный пример, который условно можно отнести к качественному методу оценки. Данный пример использует трех- и пятибалльные оценочные шкалы:
оцениваются уровни стоимости идентифицированного ресурса по пятибалльной шкале: «незначительный», «низкий», «средний», «высокий», «очень высокий»;
оцениваются уровни вероятности угрозы по трехбалльной шкале: «низкий», «средний», «высокий»;
оцениваются уровни вероятности уязвимости: «низкий», «средний», «высокий»;
по заданной таблице рассчитываются уровни риска;
проводится ранжирование инцидентов по уровню риска.
После того, как риск оценен, должно быть принято решение относительно его обработки (risk treatment) — точнее, выбора и реализации мер и средств по минимизации риска. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровождение механизмов безопасности, политика руководства, простота реализации, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:
уменьшение риска (минимизация риска). Риск считается неприемлемым, и для его уменьшения выбираются и реализуются соответствующие меры и средства безопасности;
передача риска (перераспределение риска). Риск считается неприемлемым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) передается сторонней организации;
принятие риска (игнорирование риска). Риск в конкретном случае считается осознанно допустимым — организация должна смириться с возможными последствиями. Обычно это означает, что стоимость контрмер значительно превосходит финансовые потери в случае реализации угрозы либо организация не может найти подходящие меры и средства безопасности;
отказ от риска (исключение риска). Отказ от бизнес-процессов организации, являющихся причиной риска. Например, отказ от электронных платежей по сети.
В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа отработки риска. Печально, но в стандарте BS 7799-3 ничего не сказано об эффективности мер, средств и сервисов, которые могут быть использованы при обработке риска.