- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1. Арсенал риск-анализа (на примере информационных систем)
1.2.Современные стандарты в области управления рисками информационных систем
В настоящее время стандарты в области управления информационной безопасностью находятся в стадии развития. Это касается как международной, так и российской практики. В 2000 г. был принят международный стандарт ISO IEC 17799, содержащий практические правила управления информационной безопасностью для произвольных систем. В 2005 г. разработан международный стандарт ISO IEC 27001, который определяет требования к построению систем менеджмента информационной безопасности и определяет методы защиты информации. Этот стандарт дополняет и расширяет существующий стандарт ISO IEC 17799.
В России данный стандарт ISO IEC 17799 введен в действие с 1 января 2007 г. в виде национального стандарта ГОСТ Р ИСО/МЭК 17799-2005, а стандарт ISO IEC 27001 соответственно как ГОСТ Р ИСО/МЭК 27001-2005. Таким образом, налицо небольшое отставание в области внедрения стандартов управления информационной безопасностью в нашей стране. Оно усугубляется быстрым развитием информационных технологий. Однако это проблема актуальна и в мировых масштабах, поскольку стандарты за счет высокой динамики развития сектора быстро устаревают.
В данный момент времени в разработке находятся несколько международных стандартов серии ISO IEC 27000. В частности разрабатываются следующие стандарты:
ISO IEC 27003. Руководство по внедрению системы управления информационной безопасностью.
ISO IEC 27004. Измерение эффективности системы управления информационной безопасностью.
ISO IEC 27005. Управление рисками информационной безопасности.
Разработка этих стандартов чрезвычайно важна для внедрения методов мониторинга и управления рисками информационных систем, поскольку они должны отражать методы оценки рисков и принятие решений на основе этих оценок. Особенно значимая роль документа ISO IEC 27005, который разрабатывается на основе британского стандарта BS 7793-3, как связывающего документа, определяющего способ управления информационными рисками.
Также с точки зрения оценки и управления рисками информационных систем стоит отметить руководящий документ ФСТЭК России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий».
Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
Стандарт ГОСТ Р ИСО/МЭК 17799-2005 введен в действие с 1 января 2007 г. и определяет практические правила управления информационной безопасностью. Данный стандарт фактически идентичен международному стандарту ISO IEC 17999:2000.
Во введении этого документа представлены основные цели, которые преследуются при управлении процессом управления безопасностью организации. Рассмотрим ключевые моменты данного документа.
Информационная безопасность — механизм защиты, обеспечивающий:
конфиденциальность: доступ к информации только авторизованных пользователей;
целостность: достоверность и полноту информации и методов ее обработки;
доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.
Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации [32,108,109].
Для создания эффективного механизма обеспечения информационной безопасности необходимо определить требования к этому механизму. Во введении в ГОСТ Р ИСО/МЭК 17799-2005 указан следующий порядок определения требований:
Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации [32,108,109].
Как видно из приведенной части документа в обеспечении информационной безопасности организации на первый план выходит управление информационными рисками. Управление процессом обеспечения безопасности основывается на результатах оценки рисков. Требования к оценке информационных рисков организации определяются в соответствие со стандартом следующим образом.
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности.
Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.
Оценка риска — это систематический анализ:
вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.
Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
изменения требований и приоритетов бизнеса;
появление новых угроз и уязвимостей;
снижение эффективности существующих мероприятий по управлению информационной безопасностью.
Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски [32,108,109].
По результатам оценки рисков во введении ГОСТ Р ИСО/МЭК 17799-2005 происходит внедрение мероприятий по управлению информационной безопасностью.
После того, как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации.
Имеется множество различных подходов к управлению рисками; в настоящем стандарте приводятся примеры наиболее распространенных методов. Однако следует отметить, что некоторые из мероприятий по управлению информационной безопасностью неприменимы к отдельным информационным системам и средам и могут оказаться неприемлемыми для конкретных организаций.
Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.
Некоторые мероприятия по управлению информационной безопасностью, приведенные в настоящем стандарте, могут рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций [32,108,109].
Таким образом, документ определяет себе место в нормативной базе по управлению информационными рисками как определяющий набор средств, используя которые можно воздействовать на общий уровень риска для системы. Это отражено в первой части документа, определяющей область его применения.
Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями [32,108,109].
Из основных терминах документа необходимо отметить следующие:
оценка рисков: Оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.
управление рисками: Процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.
В четвертой части ГОСТ Р ИСО/МЭК 17799-2005 рассматриваются организационные вопросы безопасности. Рассмотрены определенные требования, определяющие организационную структуру управления информационной безопасности организации, координацию действий по защите, а также некоторые вопросы, определяющие работу специалистов по защите информации, а также сторонних организаций-аудиторов. С точки зрения анализа рисков в этой главе интерес представляет раздел связанный с определением рисков, связанных с наличием доступа сторонних лиц и организаций к информационным системам.
Определение типа доступа, предоставленного третьей стороне, имеет особое значение. Например, риски доступа через сетевое соединение отличаются от рисков, связанных с физическим доступом.
Информация организации может быть подвержена риску нарушения безопасности при доступе третьих сторон с неадекватным управлением безопасностью. Доступ к средствам обработки информации организации третьих сторон должен контролироваться. Там, где есть потребность бизнеса в таком доступе третьей стороны, следует производить оценку риска, определять последствия для безопасности и устанавливать требования к мероприятиям по управлению информационной безопасностью. Такие мероприятия следует согласовывать и определять в контракте с третьей стороной.
Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков, мероприятия по управлению информационной безопасностью и процедуры в отношении информационных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте [32,108,109].
Пятая часть стандарта определяет весьма важную часть с точки зрения управления информационными рисками, а именно классификацию и управление информационными активами.
Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов — важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой.
Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы [32,108,109].
Выполнение стандарта предполагает проведение классификации информационных ресурсов.
Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты.
Информация имеет различные степени чувствительности и критичности. Некоторые виды информации могут требовать дополнительного уровня защиты или специальных методов обработки. Систему классификации информации следует использовать для определения соответствующего множества уровней защиты и потребности в специальных методах обработки [32,108,109].
Основными принципами классификации в документе являются:
При классификации информации и связанных с ней мероприятий по управлению информационной безопасностью следует учитывать требования бизнеса в совместном использовании или ограничении доступа к информации, а также последствия для бизнеса, связанные с такими требованиями, например, неавторизованный доступ или повреждение информации. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена.
Информация обычно перестает быть чувствительной или критичной к компрометации по истечении некоторого периода времени, например, когда она становится общедоступной. Эти аспекты следует принимать во внимание.
Чрезмерно сложные схемы категорирования информации могут стать обременительными и неэкономичными для использования или оказываются неосуществимыми [32,108,109].
В шестой части ГОСТ Р ИСО/МЭК 17799-2005 рассматриваются вопросы безопасности, связанные с персоналом. Целью данного раздела является минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи или неправильного использования средств обработки информации [32,108,109].
Раздел включает в себя следующие основные вопросы [32,108,109]:
включение вопросов информационной безопасности в должностные обязанности;
проверка персонала при найме и соответствующая политика безопасности;
информирование о проблемах безопасности и сбоях программного обеспечения;
процесс установления дисциплинарной ответственности за нарушения в области безопасности.
В седьмом разделе рассматривается минимизация рисков угроз непосредственного воздействия окружающей среды на систему. Рассмотрены различные вопросы противодействия неавторизованному физическому доступу к системе, смягчения последствий действия внешних факторов техногенного характера. Следует отметить, что в разделе сделан акцент на то, что оценка рисков для активов непосредственно влияет на выбор средств защиты для нейтрализации той или иной угрозы.
Восьмая часть стандарта определяет порядок обеспечения безопасности передачи, хранения и обработки данных в информационных системах. В частности рассматриваются следующие вопросы:
документирование процедур передачи, обработки и хранения информации;
контроль изменения конфигурации информационных систем;
процедуры реагирования на инциденты нарушения безопасности систем;
обеспечение принципа разграничения привилегий.
Разграничение обязанностей — это способ минимизации риска нештатного использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей ответственности как способ уменьшения неавторизованной модификации или неправильного использования информации или сервисов [32,108,109].
Планирование производительности систем
Производительности системы напрямую влияет на уровень риска связанного с нарушением доступности информации, поэтому стандарт определяет;
защита от вредоносного программного обеспечения;
управление сетевыми ресурсами;
безопасность носителей информации;
обмен информацией и установка ПО.
Часть девятая ГОСТ Р ИСО/МЭК 17799-2005 посвящена контролю доступа к ресурсам информационной системы. Она включает следующие принципиальные моменты:
управление логическим доступом;
контроль доступа пользователей. В том числе – регистрация нового пользователя, управление привилегиями, политика использовании паролей в системе;
контроль сетевого доступа как отдельный класс, порождающий обширное множество различных рисков;
мониторинг использования системы. В том числе регистрация и анализ происходящих событий в системе.
Десятая часть стандарта посвящена внедрению требований безопасности на этапе разработки систем. На стадии разработки системы очень важным является достижение внедрения требований по безопасности в начальной стадии проекта системы. В противном случае качество реализации системы, обеспечивающей информационную безопасность, значительно снижается.
Рассматриваемый документ в части, посвященной требованиям, к разработке систем детализирует следующие аспекты реализации механизмов обеспечения защиты информации:
учет требований безопасности на этапе анализа и спецификации требований безопасности;
Необходимо, чтобы в формулировках требований бизнеса в отношении новых систем или усовершенствования существующих систем были учтены требования информационной безопасности. При этом следует учитывать как возможности встроенных в систему автоматизированных средств обеспечения информационной безопасности [32,108,109]:
минимизация рисков использования прикладных систем, а именно контроль входных данных в системе, аутентификация сообщений, контроль корректности выходных данных;
использование мер защиты информации, связанных с использованием криптографии, в том числе шифрования, цифровой подписи, сервисов неоспоримости.
Решения относительно применения криптографических мер защиты следует рассматривать в рамках более общего процесса оценки рисков и выбора мероприятий по обеспечению информационной безопасности. Для определения необходимого уровня защиты информации следует проводить оценку рисков, которая должна использоваться для определения того, является ли криптографическое средство подходящим, какой тип средств необходим, с какой целью и в отношении каких бизнес-процессов его следует применять.
В организации следует разработать политику использования криптографических средств защиты информации. Такая политика необходима, чтобы максимизировать преимущества и минимизировать риски, связанные с использованием криптографических средств, а также избежать неадекватного или неправильного их использования [32,108,109].
Заключительная одиннадцатая часть документа определяет управление непрерывностью бизнеса. Этот процесс по своей сути близок к управлению информационными рисками для организации в целом, поскольку направлен на минимизацию общего уровня риска. Перечислим ключевые моменты управления непрерывности бизнеса:
необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности (которые могут быть результатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренных действий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных мероприятий по управлению информационной безопасностью;
необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлению информационной безопасностью для идентификации и уменьшения рисков, ограничения последствий разрушительных инцидентов и обеспечения своевременного возобновления наиболее существенных бизнес-операций;
необходимо, чтобы планирование непрерывности бизнеса начиналось с идентификации событий, которые могут быть причиной прерывания бизнес-процессов, например отказ оборудования, наводнение или пожар. Планирование должно сопровождаться оценкой рисков с целью определения последствий этих прерываний (как с точки зрения масштаба повреждения, так и периода восстановления).
Оценку рисков необходимо осуществлять при непосредственном участии владельцев бизнес-ресурсов и участников бизнес-процессов. Оценка риска должна распространяться на все бизнес-процессы и не ограничиваться только средствами обработки информации. В зависимости от результатов оценки рисков необходимо разработать стратегию для определения общего подхода к обеспечению непрерывности бизнеса. Разработанный план должен быть утвержден руководством организации [32,108,109].