3342
.pdf
взаимодействия с другими значимыми проектами и видами деятельности; определение путей передачи принятия решений на
более высокий уровень и/или другим специалистам; определение подлежащих ведению документов.
Эта организационная структура должна одобряться соответствующим руководством организации.
Более подробную информацию об определении области применения и границ процесса менеджмента риска информационной безопасности можно найти в приложении А ГОСТ Р ИСО/МЭК 27005-2010 [18].
1.3.2. Оценка риска нарушения информационной безопасности
Риски должны быть идентифицированы, количественно или качественно охарактеризованы, для них должны быть назначены приоритеты в соответствии с критериями оценки риска и целями организации.
Процесс оценки риска состоит из:
анализа риска, включающего идентификацию риска и установление значения риска; оценивания риска.
В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.
Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для
21
идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода.
1.3.2.1.Анализ риска
1.3.2.1.1.Идентификация риска
Идентификация риска (risk identification) – процесс нахождения, составления перечня и описания элементов риска
[18].
Цель идентификации риска - определить, что могло бы произойти при нанесении возможного ущерба, и получить представление о том, как, где и почему мог иметь место этот ущерб.
Этапы идентификации риска.
1.Определение (идентификация) активов
2.Определение угроз
3.Определение существующих мер и средств контроля и управления
4.Выявление уязвимостей
5.Определение последствий
1. Определение (идентификация) активов
Активом является что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите. При определении активов следует иметь в виду, что информационная система состоит не только из аппаратных и программных средств. Должны быть определены активы, входящие в установленную сферу действия.
Идентификация активов включает в себя [3]:
22
формирование модели бизнес-процессов;
инвентаризацию активов;
формирование реестра активов;
определение взаимосвязей между реестрами активов;
построение модели активов;
определение владельцев активов и их обязанностей;
делегирование обязанностей по обеспечению безопасности активов;
классификацию и категорирование активов; 
определение правил допустимого использования активов.
Идентификацию активов необходимо начинать сверху вниз, то есть с идентификации и описания бизнес-процессов. Бизнес-процессы сами по себе рассматриваются в качестве основных активов организации, которые представляют собой комбинацию разнородных активов, таких как информация, технические и программные средства, кадровые ресурсы, юридические и контрактные обязательства и т.п. Все эти активы представляют ценность для организации только в контексте ее бизнес-процессов, в рамках которых они используются для достижения целей бизнеса. Поэтому, прежде чем начинать заниматься активами, необходимо разобраться с целями организации и процессами, реализуемыми для достижения этих целей.
Бизнес-процессы идентифицируются в ходе интервьюирования сотрудников организации, результаты фиксируются в таблице (табл. 1.2).
Определение активов следует проводить с соответствующей степенью детализации, обеспечивающей информацию, достаточную для оценки риска.
Степень детализации, используемая при определении активов, влияет на общий объем информации, собранной во время оценки риска. Эта информация может быть более детализирована при последующих итерациях оценки риска.
23
|
|
|
|
|
Таблица 1.2 |
|
Описание бизнес-процессов и классификация |
|
|||
|
|
информационных ресурсов |
|
|
|
Название |
Назначение |
Размещение |
Приложения |
Пользователи |
Критичность |
(информацион- |
(краткое |
(помещения, |
и сервисы |
и владельцы |
(конфиден- |
ного ресурса |
описание |
оборудование, |
|
|
циальность, |
или группы |
для чего |
носители |
|
|
целостность, |
ресурсов) |
используется) |
информации) |
|
|
доступность) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
24
Для установления учетности и ответственности в отношении каждого актива должен быть определен владелец. Владелец актива может не обладать правами собственности на актив, но он несет ответственность за его получение, разработку, поддержку, использование и безопасность. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Границей анализа является периметр активов организации, управляемый в рамках процесса менеджмента риска ИБ.
Более подробную информацию об определении и установлении ценности активов и оценке влияния можно найти в приложении В ГОСТ Р ИСО/МЭК 27005-2010 [18].
Различается два вида активов:
основные активы, включающие бизнес-процессы, бизнесдеятельность и информацию; 
вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации, структуру организации.
Основные активы бывают двух типов.
1. Бизнес-процессы (или подпроцессы) и бизнесдеятельность, например:
процессы, утрата или ухудшение которых делает невозможным реализацию целей и задач организации;
процессы, содержащие засекреченные процессы или процессы, созданные с использованием патентованной технологии;
процессы, модификация которых может значительно повлиять на реализацию целей и задач организации;
25
процессы, которые необходимы организации для выполнения договорных, законодательных или нормативных требований.
2. Информация. В общем основная информация включает в себя:
информацию, необходимую для реализации назначения или бизнеса организации;
информацию личного характера, которая определена особым образом, соответствующим национальным законам о неприкосновенности частной жизни;
стратегическую информацию, необходимую для достижения целей, определяемых направлением стратегии организации;
ценную информацию, сбор, хранение, обработка и передача которой требуют продолжительного времени и/или связаны с большими затратами на ее приобретение.
Конечной целью этапа идентификации активов является формирование реестра информационных активов. В реестре активов вводится определенная классификация активов по своему назначению, месторасположению, принадлежности к бизнес-процессам. Пример реестра информационных активов приведен в табл. 3 [3].
После идентификации активов должны быть определены требования безопасности для этих активов. Идентифицируются:
законодательные и нормативные требования;
контрактные обязательства; требования бизнеса.
Применимые к организации требования оформляются в виде реестра требований безопасности (табл. 1.4–1.6) [3].
26
Таблица 1.3
Пример реестра информационных активов компании
Реестр информационных ресурсов Компании
Конфиденциально Дата последнего изменения 06.02.2014 г. Ценность ресурса: ОН - очень низкая, Н - низкая, С - средняя, В - высокая, ОВ - очень высокая
Категория |
Название |
Описание |
Размещение |
Использование (бизнес- |
Формат |
Конфиден- |
Целост- |
Доступ- |
Максимальны |
Сервисы, |
Владелец |
|
|
|
|
процессы) |
|
циальность |
ность |
ность |
е период недос- |
приложения |
|
|
|
|
|
|
|
|
|
|
тупности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Корпоративн |
|
Офисная |
Представительство компа- |
|
|
|
|
|
|
|
|
ый сайт Ком- |
http:/ компания.ru |
|
- |
Н |
Н |
1 день |
|
ИТ |
||
|
сеть |
нии в сети Интернет |
|
|
|||||||
|
пании |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Представительство проекта |
|
|
|
|
|
|
|
|
Сайт проекта |
http:/ проект 1.ru |
ЦОД |
в сети Интернет, |
|
- |
С |
С |
1 час |
|
ИТ |
Веб-сайты |
X |
коммуникации с клиентами |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
и партнерами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Представительство проекта |
|
|
|
|
|
|
|
|
Сайт проекта |
http:/ проект2.т |
ЦОД |
в сети Интернет, |
|
- |
Н |
С |
1 час |
|
ИТ |
|
Y |
коммуникации с клиентами |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
и партнерами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Коммерчески |
|
Файловый |
|
|
|
|
|
|
|
Департа- |
|
е |
|
Работа с клиентами |
doc |
Н |
- |
- |
1 неделя |
|
мент про- |
|
|
|
сервер |
|
||||||||
|
предложения |
|
|
|
|
|
|
|
|
даж |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Данные |
|
Входящая и исхо- |
|
|
|
|
|
|
|
|
|
|
дящая электрон- |
|
|
|
|
|
|
|
|
|
|
по клиен- |
Электронные |
Файловый |
Внутренние и внешние |
|
|
|
|
|
|
|
|
ная |
|
В |
- |
С |
3 часа |
|
Все |
||||
там и |
сообщения |
сервер |
коммуникации |
|
|
||||||
почта сотрудни- |
|
|
|
|
|
|
|
||||
партнерам |
|
|
|
|
|
|
|
|
|
|
|
|
ков |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Презентации для |
Файловый |
Привлечение новых клиен- |
|
|
|
|
|
|
Департа- |
|
Презентации |
клиентов и парт- |
ppt |
L |
- |
- |
2 недели |
|
мент про- |
||
|
|
неров |
сервер |
тов и партнеров |
|
|
|
|
|
|
даж |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
27
|
|
|
|
Таблица 1.4 |
|
Законодательные и нормативные требования |
|
|
|
Краткая |
|
|
Отметка |
|
формулировка |
Полная формулировка требования |
|
Примечание |
|
|
о выполнении |
|||
требования |
|
|
|
|
|
|
|
|
|
|
Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» |
|
||
1. Обеспечение |
Статья 6. Условия обработки персональных данных |
|
|
|
конфиденциальн |
4. В случае, если оператор на основании договора поручает |
|
|
|
ости |
обработку персональных данных другому лицу, существенным |
|
|
|
персональных |
условием договора является обязанность обеспечения указанным |
|
|
|
данных всеми |
лицом конфиденциальности персональных данных и |
|
|
|
участниками |
безопасности персональных данных при их иобработке |
|
V |
|
процесса их |
|
|
|
|
|
|
|
|
|
обработки |
Статья 7. Конфиденциальность персональных данных |
|
|
|
|
1. Операторами и третьими лицами, получабщими доступ к |
|
|
|
|
персональным данным, должна обеспечиваться |
|
|
|
|
конфиденциальность таких данных |
|
|
|
|
|
|
|
|
2. Получение |
Статья 6. Условия обработки персональных данных |
|
|
|
письменного |
1. Обработка персональных данных может осуществляться |
|
|
|
согласия на |
оператором с согласия субъектов персональных данных |
|
|
|
обработку |
|
|
|
|
персональных |
Статья 7. Конфиденциальность персональных данных |
|
V |
|
данных |
4. В случаях, предусмотренных настоящим Федеральным |
|
|
|
|
законом, обработка персональных данных осуществляется |
|
|
|
|
только с согласия в письменной форме субъекта персональных |
|
|
|
|
данных |
|
|
|
28
|
|
|
Таблица 1.5 |
|
|
Контрактные обязательства |
|
|
|
Договор, |
|
|
|
|
соглашение |
Требования информационной безопасности |
Отметка |
Примечание |
|
и другие |
о выполнении |
|||
|
|
|||
обязательства |
|
|
|
|
Лицензионные |
Соблюдение условий лицензионного договора по использованию |
|
|
|
соглашения с |
ПО и предотвращению несанкционированного распространения |
V |
|
|
производителями |
программных кодов, серийных номеров и лицензионных ключей |
|
||
|
|
|||
ПО |
|
|
|
|
Договоры с |
|
|
|
|
поставщиками, |
Обеспечение конфиденциальности информации, содержащейся в |
|
|
|
партнерами, |
|
|
||
договорах |
V |
|
||
клиентами, |
|
|||
|
|
|
||
провайдерами |
|
|
|
|
услуг |
|
|
|
|
|
Обеспечение конфиденциальности и сохранности ключей |
|
|
|
Договоры бан- |
шифрования и электронной подписи. |
|
|
|
ковского об- |
Контроль правильности платежной информации |
V |
|
|
служивания |
Контроль физического доступа к рабочей станции и |
|
||
|
|
|||
|
коммуникационному оборудованию, используемым для |
|
|
|
|
осуществления платежей и взаимодействия с банком |
|
|
|
Договоры с |
Соблюдения авторского права разработчиков ПО. обеспечение |
|
|
|
разработчиками |
|
|
||
конфиденциальности программных кодов и исходных текстов |
? |
|
||
программного |
|
|||
программ, предотвращение НСД к программным кодам |
|
|
||
обеспечения |
|
|
||
|
|
|
29
|
|
|
|
Таблица 1.6 |
|
Требования бизнеса |
|
|
|
|
|
Требования |
Отметка о |
|
Бизнес-процессы |
|
информационной |
Примечание |
|
|
выполнении |
|||
|
|
безопасности |
|
|
Взаимодействие с партнерами |
|
|
|
|
Маркетинг продукции |
|
|
|
|
Проектная деятельность |
|
|
|
|
Техническая поддержка клиентов |
|
|
|
|
Производственная деятельность |
|
|
|
|
Поддержка web-сайта |
|
|
|
|
Разработка продуктов |
|
|
|
|
Лабораторные исследования |
|
|
|
|
Управление поставками и закупками |
|
|
|
|
Общее административное управление |
|
|
|
|
30