- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
требованиям законодательства, в том числе правовым нормам, регулирующим защиту авторских прав и использования криптографии;
различным техническим требованиям по защищенности систем;
требованиям, определяющим меры безопасности при проведении аудита сторонними организациями.
Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
Государственный стандарт ГОСТ Р ИСО/МЭК 27001-2005 носит название «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования». Данный документ введен в действие совместно с ГОСТ Р ИСО/МЭК 17799-2005 и дополняет его в вопросах управления системой защиты информавции организации. Этот документ абстрагирован от конкретных мероприятий по защите, определяя общую стратегию управления защитой информации организации.
Этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы менеджмента защиты информации (СМЗИ). Рекомендуется, чтобы принятие СМЗИ было стратегическим решением для организации [34,110].
Рассмотрим некоторые принципы организации защиты информации организации, которые обозначены во введении этого документа.
Согласно документу необходимо применять процессный подход к управлению защитой информации.
Этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации.
Организации нужно идентифицировать много видов деятельности и управлять ими для того, чтобы функционировать результативно. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса.
Применение системы процессов в рамках организации, вместе с идентификацией и взаимодействием этих процессов, а также их управлением, может называться «процессный подход».
Процессный подход к менеджменту защиты информации, представленный в данном международном стандарте, помогает пользователям подчеркнуть важность следующего:
понимание требований защиты информации и потребности установить политику и цели для защиты информации организации;
средства реализации и управления для менеджмента рисками организации, связанными с защитой информации, в контексте общих деловых рисков организации;
постоянный контроль и анализ качества исполнения и результативности СМЗИ;
непрерывное улучшение, основанное на объективном измерении.
Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), которая применяется для структуризации всех процессов СМЗИ [34,110].
Рассмотрим основные понятия, применяемые в контексте мониторинга и управления рисками информационных систем, отраженных в разделе описания терминологии документа.
Система менеджмента защиты информации [information security management system] – часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. (Примечание: система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы).
Целостность [integrity] – свойство оберегания точности и полноты активов.
Остаточный риск [residual risk] – риск, остающийся после обработки риска.
Принятие риска [risk acceptance] – решение взять на себя риск.
Анализ риска [risk analysis] – систематическое использование информации для выявления источников и для оценки степени риска.
Оценка риска [risk assessment] – целостный процесс анализа риска и оценки значительности риска
Оценка значительности риска [risk evaluation] – процесс сравнения расчетного риска с заданными критериями риска, с целью определить значительность риска.
Менеджмент рисков [risk management] – согласованные виды деятельности по руководству и управлению организацией в отношении рисков.
Обработка риска [risk treatment] – процесс выбора и реализации мер по изменению риска [34,110].
Часть, описывающая создание и управление СМЗИ содержит четкие рекомендации в области оценки и управления информационными рисками. Приведем методы управления системой менеджмента защитой информации, содержащиеся в документе.
Организация должна осуществить следующее:
определить область приложения и границы СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, также включая подробности и обоснования любых исключений из области применения;
определить политику в отношении СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий. Данная политика должна определять цели управления защитой информации, учитывать законодательные, нормативные требования, определять стратегии управления информационными рисками, а также определять способ оценки рисков организации;
определить подход к оценке риска в организации;
1) определить методологию оценки риска, которая подходит для СМЗИ, а также соответствует установленным деловым требованиям защиты информации, законодательным и нормативным требованиям;
2) разработать критерии принятия рисков и определить приемлемые уровни риска.
Выбранная методология оценки риска должна гарантировать, что оценки риска дают сравнимые и воспроизводимые результаты.
Выявить риски.
1) выявить активы в рамках области приложения СМЗИ, а также владельцев этих активов;
2) выявить угрозы для этих активов;
3) выявить уязвимые места, которые могут быть использованы угрозами;
4) выявить негативные влияния, которые потери конфиденциальности, целостности и доступности могут оказать на активы.
Проанализировать риск и оценить значительность риска.
1) оценить деловые негативные влияния на организацию, которые могут быть результатом сбоев в защите, принимая во внимание последствия потери конфиденциальности, целостности или доступности активов;
2) оценить реалистичную вероятность случаев нарушения защиты, происходящих в свете преобладающих угроз и уязвимых мест, и негативные влияния, связанные с этими активами, а также реализуемые на текущий момент средства управления;
3) оценить уровни риска;
4) определить, являются ли риски приемлемыми или требуют обработки с использованием критериев принятия риска.
Выявить и оценить возможности для обработки рисков.
Возможные действия включают следующее:
1) применение подходящих средств управления;
2) сознательное и объективное принятие рисков, при условии, что они четко соответствуют политике организации и удовлетворяют критериям для принятия рисков;
3) избегание риска;
4) передача связанных деловых рисков другим сторонам, например, страховщикам, поставщикам.
выбрать цели управления и средства управления для обработки риска.
Цели управления и средства управления должны быть выбраны и реализованы, с целью удовлетворить требованиям, выявленным процессом оценки рисков и обработки рисков. Этот выбор должен учитывать критерии для принятия рисков, а также законодательные, нормативные и договорные требования [34,110].
получить утверждение руководства предлагаемого остаточного риска;
получить разрешение руководства на реализацию и работу СМЗИ;
подготовить Заявление о применимости.
При реализации и эксплуатации СМЗИ в соответствии с документом необходимо сделать следующее:
Сформулировать план обработки рисков, в котором были бы определены подходящие действия по менеджменту, ресурсы, ответственность и приоритеты для менеджмента рисками защиты безопасности
Реализовать план обработки рисков для того, чтобы достичь определенных целей управления, что включает в себя учет финансирования и распределения ролей и ответственности.
Реализовать выбранные средства управления, с целью достичь целей управления.
Определить, как измерять результативность выбранных средств управления или группы средств управления, а также определить, как эти измерения предстоит использовать для оценки результативности управления так, чтобы выдать сравнимые и воспроизводимые результаты [34,110].
Стандарт рекомендует проводить постоянный контроль результативности СМЗИ, анализ целей управления, принимая во внимание результаты аудита и статистику возникновения нарушений, а также анализировать оценки риска через запланированные интервалы и анализировать остаточные риски и определенные приемлемые уровни риска, принимая во внимание изменения в следующих факторах [34,110]:
организация;
технология;
деловые цели и процессы;
выявленные угрозы;
результативность реализованных средств управления;
внешние события, такие как изменения в законодательной или нормативно-правовой среде, измененные договорные обязательства, а также изменения в социальном климате.
В соответствии со стандартом документация, определяющая управление информационными рисками организации должна включать в себя [34,110]:
документированное заявление о политике и целях СМЗИ;
область приложения СМЗИ;
процедуры и средства управления в поддержку СМЗИ;
описание методологии оценки рисков;
отчет об оценке рисков;
план обработки рисков.
Далее в документе описывается ответственность руководства в организации в сфере управления ее информационными рисками. В разделе рассматриваются виды обязательств руководства, некоторые принципы менеджмента ресурсов и обеспечение необходимого уровня компетентности персонала.
Следующие две части рассматривают основные цели и принципы проведения аудита защищенности организации от угроз в информационной сфере, а также анализ СМЗИ с точки зрения руководства. Внутренние аудиты позволяют понять, насколько четко выполняются требования по защите информации, и насколько они соответствуют целям организации и приемлемому уровню риска. В стандарте указаны основные входные и выходные данные для внутреннего аудита. В качестве важных результатов аудита можно выделить обновление оценки рисков для организации и соответственное изменение методов управления ими.
Заключительная часть стандарта посвящена принципу постоянного улучшения в СМЗИ.
Организация должна постоянно улучшать результативности СМЗИ посредством использования политики защиты информации, целей защиты информации, результатов аудита, анализа наблюдаемых событий, корректирующих и предупреждающих действий и анализа со стороны руководства [34,110].
Документ определяет корректирующие и предупреждающие действия в сфере обеспечения защищенности организации. Приведем рекомендации, касающиеся анализа рисками как предупреждающего действия.
Организация должна выявить изменившиеся риски и определить требования к предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках. Приоритет предупреждающих действий должен быть определен на основе результатов оценки риска.
Действие по предотвращению несоответствий часто является экономически более выгодным, чем корректирующее действие [34,110].
Стандарт ГОСТ Р ИСО/МЭК 27001-2005 содержит также несколько приложений. А именно:
Приложение A: Определяет цели управления и средства управления в СМЗИ. Выбор целей и средств управления является частью процесса управления информационными рисками;
Приложение B: Описывает принципы OECD, затрагивающие стандарт;
Приложение C: Определяет связь рассматриваемого стандарта с другими международными стандартами.
Стандарт ГОСТ Р ИСО/МЭК 27001-2005 и соответственно международный стандарт ISO IEC 27001:2005 устанавливает общие принципы ведения защиты организаций в информационной сфере. Вообще говоря, стандарт отходит от конкретных практических реализаций, рассматривая общие организационные моменты управления информационной безопасностью систем. Важно отметить, что управление защищенностью организации в стандарте, который планируется как основа для серии стандартов в области информационной безопасности, стержневым подходом является анализ и управление рисками. Документ определяет порядок проведения данного анализа, общий характер работы по обеспечению информационной безопасности организации.
Существенно и то, что рассмотренный ранее стандарт ГОСТ Р ИСО/МЭК 17799-2005 является дополнением этого стандарта в плане конкретизации мероприятий по управлению информационными рисками для определенных случаев. Таким образом, стандарты являются во многом связанными документами, и обеспечение информационной безопасности организации – это процесс планомерного совместного применения этих стандартов.