Учебники 80358
.pdf
прекращению атаки, прежде чем она приведет к определенному уровню ущерба.
Следует заметить, что может быть возможным перенести ответственность за менеджмент риска, но, как правило, невозможно перенести ответственность за ущерб.
Форма представления руководству организации информации для принятия решения по рискам определяется стандартным алгоритмом делового общения и может включать в себя следующие основные пункты:
Сообщение о проблеме: в чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
Степень серьезности проблемы: чем это грозит организации, ее сотрудникам, руководству, акционерам?
Предлагаемое решение: что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства? (Используя оценки ROI для обоснования предлагаемого решения).
Альтернативные решения: какие еще способы решения проблемы существуют (альтернативы есть всегда, и у руководства должна быть возможность выбора). Для сравнения альтернативных решений, помимо экономического обоснования (оценок ROI), могут также использоваться соображения о времени реализации решения, учитываться моральноэтические аспекты и любые другие факторы, которые целесообразно принимать во внимание.
Каков остаточный риск? Не превышает ли он приемлемого уровня? Если уровень остаточного риска не устраивает руководство, то потребуется дополнительная обработка риска.
После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия
61
по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.
Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков» (табл. 1.14). Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.
62
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 1.14 |
|
|
|
|
|
|
План обработки рисков (фрагмент) |
|
|
||||||
№ |
|
Угрозы |
|
Уязвимости |
Макси- |
Меры по обработке |
|
Оста- |
Дата |
Комментарии, |
||||
|
|
|
|
|
|
|
мальный |
риска |
|
точный |
|
ресурсы, |
||
|
|
|
|
|
|
|
уровень |
|
|
|
|
уровень |
|
ответственные |
|
|
|
|
|
|
|
риска |
|
|
|
|
риска |
|
|
|
|
|
|
|
|
Обработка рисков офисной сети |
|
|
|
|||||
|
|
|
|
|
|
|
Физические риски |
|
|
|
|
|
|
|
1 |
Кража |
|
Не |
производится |
5 |
Разработать |
систему |
4 |
|
|
|
|||
|
компьютерного |
|
регистрация |
|
|
мер, |
|
|
|
|
|
|
||
|
оборудования |
и |
оборудования |
и |
|
ограничивающих |
|
|
|
|
||||
|
носителей |
|
информационных |
|
неконтролируемое |
|
|
|
|
|||||
|
информации |
|
носителей, |
|
|
использование |
|
|
|
|
||||
|
инсайдерами |
|
выносимых |
за |
|
внешних |
носителей |
|
|
|
|
|||
|
|
|
|
пределы территории |
|
и |
мобильных |
|
|
|
|
|||
|
Физический НСД в |
организации. |
|
|
устройств вне офиса. |
|
|
|
|
|||||
|
помещении |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
организации, |
а |
Отсутствуют правила |
|
Реализовать меры по |
|
|
|
|
|||||
|
кабинеты |
и |
работы |
в |
зонах |
|
проверке |
кредитной |
|
|
|
|
||
|
серверные комнаты, |
безопасности. |
|
|
истории |
кандидатов |
|
|
|
|
||||
|
к |
оборудованию, |
|
|
|
|
для |
критичных |
|
|
|
|
||
|
бумажным докумен- |
При |
приеме |
на |
|
должностей. |
|
|
|
|
|
|||
|
там, запоминающим |
работу не произ- |
|
|
|
|
|
|
|
|
||||
|
устройствам, |
|
водится |
проверка |
|
Разработать |
правила |
|
|
|
|
|||
|
носителям |
|
истории кандидатов |
|
работы |
в |
зонах |
|
|
|
|
|||
|
информации и т. п. |
|
|
|
|
|
безопасности. |
|
|
|
|
|||
63
Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнеспроцессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.
Разработка и реализация плана обработки рисков включает в себя следующие меры:
определение последовательности мероприятий по реализации принятых решений по обработке рисков;
детализацию и приоритетизацию мероприятий по обработке рисков;
распределение ответственности между исполнителями;
выделение необходимых ресурсов;
определение вех и контрольных точек; 
определение критериев достижения целей; мониторинг продвижения.
1.3.4. Принятие риска
На данном этапе должно быть принято решение о принятии рисков и установлена ответственность за это решение, что должно быть официально зарегистрировано.
Критерии принятия риска устанавливаются на этапе анализа контекста. Критерии принятия риска могут быть более многогранными, чем только определение того, находится ли остаточный риск выше или ниже единого порогового значения.
В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующих обстоятельств. Например, может быть доказано, что необходимо принимать риски по причине привлекательности выгод или по причине значительных расходов, связанных со снижением риска. Такие обстоятельства показывают, что
64
критерии принятия риска неадекватны и должны быть по возможности пересмотрены. Однако не всегда бывает возможным пересмотреть критерии принятия риска своевременно. В таких случаях руководители, принимающие решения, могут быть обязаны принять риски, которые не соответствуют стандартным критериям принятия рисков. Если это необходимо, руководитель, принимающий решение, должен дать комментарий, касающийся рисков, с обоснованием решения, выходящего за рамки стандартного критерия принятия рисков.
1.3.5. Коммуникация риска
Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент риска путем обмена и/или совместного использования информации о риске лицами, принимающими решения, и другими причастными сторонами. Информация включает в себя наличие, характер, форму, вероятность, серьезность, обработку и приемлемость рисков, но этими факторами не ограничивается.
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. С помощью коммуникации сотрудники, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, достигают понимания основы, на которой принимаются решения, и причины необходимости выполнения определенных действий. Коммуникация является двунаправленным процессом.
Осознание риска может быть разным из-за различий в предположениях, понятиях, потребностях, проблемах и беспокойствах причастных сторон, связанных с риском или обсуждаемыми проблемами. Причастные стороны, как правило, выносят суждения о приемлемости риска на основе своего осознания риска. Поэтому очень важно обеспечить,
65
чтобы осознание риска причастными сторонами, а также осознание ими выгод могло быть определено и документировано, а лежащие в основе причины были четко поняты и учтены.
В целом, коммуникация риска должна осуществляться с целью достижения следующего:
обеспечения доверия к результатам менеджмента риска организации;
сбора информации о риске;
совместного использования результатов оценки риска и представления плана обработки риска;
предотвращения или снижения возможности возникновения и последствий нарушений ИБ изза отсутствия взаимопонимания между принимающими решения лицами и причастными сторонами;
поддержки принятия решений;
получения новых знаний об ИБ;
координации с другими сторонами и планирования реагирования с целью уменьшения последствий какого-либо инцидента;
выработки чувства ответственности по отношению к рискам у лиц, принимающих решения, и причастных сторон; повышения осведомленности.
Организация должна разрабатывать планы коммуникации риска, как для повседневной работы, так и для чрезвычайных ситуаций. Следовательно, деятельность, связанная с коммуникацией риска, должна выполняться непрерывно.
1.3.6. Мониторинг и переоценка риска
Риски не являются статичными. Угрозы, уязвимости, вероятность или последствия могут изменяться неожиданно,
66
без каких-либо признаков изменений. Поэтому необходим непрерывный мониторинг и переоценка рисков и их факторов (т. е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска.
Организации должны обеспечивать проведение непрерывного мониторинга следующих факторов:
новых активов, которые были включены в область действия менеджмента риска;
необходимой модификации ценности активов, например, вследствие изменившихся бизнестребований;
новых угроз, которые могут действовать вне и внутри организации и которые еще не были оценены;
вероятности того, что новые или возросшие уязвимости могут сделать возможным использование их угрозами;
выявленных уязвимостей для определения тех из них, которые становятся подверженными новым или повторно возникающим угрозам;
возросшего влияния или последствий оцененных угроз, уязвимостей и рисков, объединенное действие которых имеет результатом неприемлемый уровень риска; инцидентов ИБ.
Новые угрозы, уязвимости или изменения вероятности или последствий могут увеличивать риски, ранее оцененные как низкие. Процесс переоценки низких и принятых рисков должен рассматривать каждый риск отдельно, а также все риски как единое целое, чтобы оценивать их возможное суммарное влияние. Если риски не попадают в категорию низких или приемлемых рисков, они должны обрабатываться с
67
использованием одного или нескольких вариантов, рассмотренных ранее.
Факторы, влияющие на вероятность и последствия возникающих угроз, могут изменяться, как могут изменяться факторы, влияющие на применимость или стоимость различных вариантов обработки. Основные изменения, влияющие на организацию, должны служить основанием для более детальной переоценки. Следовательно, деятельность по мониторингу риска должна регулярно повторяться, и выбранные варианты обработки риска должны периодически переоцениваться.
1.4.Стандарты в области управления информационными рисками
Основы современных международных стандартов по управлению информационными рисками были заложены в британском стандарте BS 7799, который включает в себя три составные части:
1)BS 7799-1:2005 «Information security management. Code of practice for information security management»
(Практические правила управления информационной безопасностью) (1995 г.) - является руководством по управлению информационной безопасностью в организации; описывает 10 областей и 127 механизмов контроля, необходимых для построения СМИБ, определенных на основе лучших примеров из мировой практики;
2)BS 7799-2:2005 «Information security management. Specification for information security management systems»
(Требования к системам управления информационной безопасностью) (1998 г.) - определяет общую модель построения СМИБ и набор обязательных требований для сертификации;
3)BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management»
(Руководство по управлению рисками информационной
68
безопасности) (2006 г.) - содержит вводную часть, разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков.
Стандарт BS 7799 получил международное признание. Специализированную систему всемирной
стандартизации образуют две международные организации: ИСО (ISO) - Международная организация по стандартизации
(International Organization for Standardization) и МЭК (IEC) -
Международная электротехническая комиссия (International Electrotechnical Commission). Национальные организации,
являющиеся членами ИСО или МЭК, участвуют в разработке международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для того, чтобы обсуждать определенные области технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях взаимного интереса. Другие международные организации, правительственные и неправительственные, контактирующие с ИСО и МЭК, также принимают участие в работе. В области информационных технологий, ИСО и МЭК учредили Совместный технический комитет, ИСО/МЭК СТК 1. Проекты международных стандартов составляются в соответствии с правилами, определенными в Директивах ИСО/МЭК. Основная задача совместного технического комитета состоит в подготовке международных стандартов. Проекты международных стандартов, принятые объединенным техническим комитетом, рассылаются национальным организациям на голосование. Для опубликования документа в качестве международного стандарта необходимо как минимум 75% голосов членоворганизаций, принимающих участие в голосовании.
В 2005 году первая часть стандарта BS 7799-1:2005
была гармонизирован с международным стандартом ISO/IEC 17799 «Information technology - Security techniques - Code of practice for information security management»
(«Информационные технологии - Технологии безопасности -
69
Практические правила менеджмента информационной безопасности»), который затем был принят и в качестве российского стандарта ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
В 2007 году стандарт ISO/IEC 17799 был переиздан в виде ISO/IEC 27002:2005 «Information technology - Security techniques - Code of practice for information security management».
Документ ISO/IEC 27002 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1, «Информационные технологии», Подкомитет SC 27, «Методики защиты информационных технологий».
Семейство международных стандартов Системы Управления Защитой Информации (СУЗИ) разрабатывается в подкомитете ИСО/МЭК СТК 1/ПК 27. В семейство входят международные стандарты по требованиям к системам управления защитой информации, по управлению рисками, по метрикам и измерениям, а также руководящие принципы по реализации. Этому семейству была назначена схема нумерации, использующую серию номеров 27000 и следующие
[13-22].
Международный стандарт ISO/IEC 27002 содержит перечень общепринятых целей управления и лучшие методы реализации средств управления для использования в качестве руководства при выборе и внедрении средств управления для достижения информационной безопасности.
Этот стандарт содержит 11 разделов по средствам управления защитой информации, вместе содержащих в общей сложности 39 основных категорий защиты и один вступительный раздел, вводящий в оценку и обработку рисков.
Каждый раздел содержит некоторое количество основных категорий защиты. Одиннадцать разделов (вслед за названием указано количество основных категорий защиты, включенных в каждый раздел) таковы:
1) Политика безопасности (1);
70