- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
Стандарт Национального института стандартов и технологии США NIST 800-30 был опубликован в июле 2002 года. В своем введении документ определяет важную роль управления рисками (risk management) в обеспечении безопасности информационных технологий. Основной задачей менеджмента информационных рисков в соответствии с документом является обеспечения защищенности интересов организации, причем не только в информационной сфере. Стандарт определяет роль менеджмента информационных рисков как важной части управления организацией. Под управлением информационными рисками предполагается, прежде всего, организационная деятельность, а затем уже технические аспекты обеспечения информационной безопасности.
Понятие риска в документе достаточно близко к тем, которые были рассмотрены в рамках анализа других стандартов. Риском в соответствии с рассматриваемым стандартом является комбинация вероятности события и уровня негативного воздействия на систему. Документ направлен на создание эффективной программы управления информационными рисками имеющие следующие цели:
повышение эффективности работы организации, путем снижения негативных воздействий в сфере информационных технологий;
построение системы выбора оптимальных решений управления информационной безопасностью.
Во второй части стандарт определяет ключевые роли в системе управления информационными рисками, а также о роли системы на каждом этапе жизненного цикла IT-системы (инициализация, разработка, установка, функционирование, ликвидация).
В третьей части стандарта определяется порядок оценки рисков.
Оценка рисков – первый шаг в методологии процесса оценки и нейтрализации рисков. В ходе его определяются уровни рисков для информационной системы (ИС) на всех этапах ее жизненного цикла. В результате выполнения этого процесса можно предварительно определить соответствующие мероприятия защиты по снижению или устранению рисков.
Риск в соответствии со стандартом – это функция вероятности использования данным источником угрозы определенной потенциальной уязвимости с целью выполнения неблагоприятного воздействия на ИС и организацию.
Чтобы определить вероятность будущего неблагоприятного события, должны быть проанализированы угрозы, потенциальные уязвимости и мероприятия защиты в ИС.
Воздействие соотносится с величиной ущерба (уровнем воздействия), который мог бы быть вызван реализацией угрозы через уязвимость.
Уровень воздействия определяется потенциальным воздействием на информационную систему и, в свою очередь, имеет значение, соответствующее уровню ущерба ресурсам ИС, которые оно затрагивает (например, важность компонент или данных ИС).
В стандарте приводится методология оценки рисков, которая состоит из девяти основных шагов:
Характеристика системы. На этом этапе анализируются аппаратные средства, программное обеспечение, системные интерфейсы, данные и информация, работа персонала, предназначение системы. Выходными данными на этом этапе являются: границы и функции системы, важность системы и данных.
Идентификация угроз. Анализируются нарушения безопасности, которые имели места и их последствия. Цель этого шага состоит в том, чтобы идентифицировать потенциальные источники угрозы и выработать их перечень, который соответствовал бы оцениваемой ИС. Результатом шага является список угроз.
Идентификация уязвимостей. На этом шаге анализируются отчеты проводимых аудитов, технических мероприятий, связанных с поиском уязвимостей. Цель этого шага состоит в том, чтобы разработать перечень системных уязвимостей, которые могут использоваться потенциальными источниками угрозы. Под уязвимостью ИС понимается недостаток или слабость в системных процедурах защиты ИС, проектировании, применении или контроле, который может быть использован (случайно или преднамеренно) источником угрозы и привести к нарушению требований политики безопасности. В качестве результата приводится список уязвимостей ИС.
Анализ мероприятий защиты. Проводится оценка текущих и планируемых мероприятий по защите. Цель этого шага состоит в том, чтобы проанализировать мероприятия защиты, которые осуществляются в ИС, с целью оценки вероятности реализации угроз через уязвимости. Чтобы получить полную оценку вероятности, что потенциальная уязвимость может быть использована в ИС источником угрозы, необходимо рассмотреть текущие мероприятия защиты. Выходной информацией на этом шаге является перечень мероприятий по защите.
Определение вероятностей использования уязвимостей. При оценке необходимо учитывать следующие факторы: мотивация источника угрозы, возможность реализации угрозы, чтобы определить может ли потенциальная уязвимость может быть использована источником угрозы. Вероятность может быть оценена как «высокая», «средняя» или «низкая».
Анализ воздействия. На этом шаге оценивается величина ущерба для ИС, при реализации некоторой угрозы. Оценка ущерба от воздействия может быть осуществлена количественно – за счет потерь в прибыли, стоимости восстановления системы и т.д. – или качественно – потеря доверия к организации. В этом случае уровень воздействия может быть представлен как «высокий», «средний» и «низкий»
Определение рисков. Цель этого шага состоит в том, чтобы оценить уровень рисков в ИС. Определение риска для пары угрозы/уязвимости может быть выражено как функция от: вероятности того, что данный источник угрозы использует данную уязвимость; величины воздействия; достаточности мероприятий защиты. Определение уровней рисков производится с помощью матриц рисков на основе компиляции полученных раннее оценок. В качестве результатов получаем оценки уровней рисков «высокий», «средний» и «низкий». Значения уровней рисков являются субъективными.
Рекомендации по мероприятиям защиты. На этом шаге определяются мероприятия защиты, которые могут снизить или устранить идентифицированные риски. Цель рекомендованных мероприятий защиты – уменьшение уровней риска до приемлемого уровня. Для выработки мероприятий защиты по минимизации или устранению идентифицированных рисков необходимо учитывать следующее: эффективность рекомендованных вариантов защиты (например, совместимость их с ИС); требования нормативных документов; требования документов, регулирующих деятельность организации (политик); влияние на функционирование ИС; безопасность и надежность. Выходными данными шага являются рекомендации по защите для снижения рисков.
Итоговые документы. По завершению процесса оценки рисков (определены источники угрозы и уязвимости, оценены риски и рекомендованы мероприятия защиты), результаты должны быть документированы в официальном отчете. Выходом шага 9 является отчет по оценке рисков, в котором описываются угрозы и уязвимости, подсчитывается риск и рекомендуются мероприятия защиты.
Следующая часть стандарта NIST 800-30 посвящена снижению уровня рисков. Уменьшение риска в соответствии с документом это – процесс в оценке и нейтрализации рисков, который включает: расположение по приоритетам, оценку и осуществление рекомендованных в процессе оценки рисков мероприятий защиты.
Поскольку устранить полностью риск практически невозможно, должностным лицам ИС, участвующим в процессе оценки и нейтрализации рисков, на основе подхода «наибольшая эффективность - наименьшая стоимость», необходимо определить мероприятия защиты для снижения риска до приемлемого уровня.
Стандарт предполагает следующие методы снижения рисков [94]:
учет рисков. Использование ИС продолжается, но при этом учитываются потенциальные риски и выполняются мероприятия защиты с целью снижения рисков до приемлемого уровня;
устранение рисков. Устранение рисков осуществляется ликвидацией причин, вызвавших риск, или/и возможных последствий (например, исключение использования некоторых функций системы, остановка подсистем или системы в целом);
ограничение рисков. Ограничение рисков осуществляется выполнением мероприятий защиты, которые минимизирует неблагоприятные воздействия от реализации угроз при использовании имеющихся уязвимостей (например, поддержки превентивного и оперативного контроля);
планирование снижения рисков. Осуществляется на основе разработанного плана снижения рисков, который включает расстановку по приоритетам, осуществление и выполнение мероприятий защиты;
ликвидация уязвимостей. Снижения потерь от рисков осуществляется рассмотрением уязвимостей и выработкой мероприятий защиты по их устранению;
трансформация рисков. Осуществляется использованием других возможностей для компенсации потерь, например страхование ИС.
При организации выполнения мероприятий защиты, рекомендуется применять следующее правило: рассматривать риски по приоритетам, принимать меры для уменьшения риска по самой низкой стоимости, с минимальным воздействием на функциональные возможности ИС и организации.
Предполагается выполнение следующих шагов при выборе мероприятий по защите информации:
распределение приоритетов по мероприятиям защиты;
оценка рекомендованных мероприятий защиты;
анализ стоимостной эффективности выбранных мероприятий защиты;
выбор мероприятий защиты;
назначение ответственных за выполнение мероприятий защиты;
разработка плана выполнения мероприятий защиты;
выполнение выбранных мероприятий защиты.
После выполнения этих шагов закономерным будет снижение уровня риска системы до какого-то уровня, называемого остаточным риском.
В разделе, посвященном снижению информационных рисков, далее приводятся конкретные мероприятия, направленные на реализацию целей защиты системы. Кроме этого приведены основные рекомендации по проведению стоимостного анализ управления рисками системы.
Стоимостный анализ проводится путем реализации следующих действий:
определение результатов от осуществления предложенных мероприятий защиты;
определение результатов от не осуществления предложенных мероприятий защиты;
оценка затрат на выполнение мероприятий защиты;
оценка стоимости применения по отношению к важности ИС и данных;
Оценка стоимостных характеристик мероприятий дает возможность рассмотреть их с позиции соотношения затрат на них и полученного результата, то есть с позиций их эффективности.
В завершении рассматриваемой части стандарта рассмотрено понятие остаточного риска. Риск, остающийся после выполнения предложенных мероприятий защиты, называется остаточным риском.
Практически не существует ИС, которые не подвергались бы риску. Осуществляемые мероприятия защиты не могут устранить риск полностью, они предназначаются для снижения уровня риска.
Организации могут определить степень снижения риска при выполнении мероприятий защиты, оценив уменьшение вероятности угрозы или уровня воздействия [94,113].
Заключение вышестоящей организации должно включать решение о возможности использования ИС при имеющемся уровне остаточного риска. Если уровень остаточного риска неприемлем, цикл исследований по оценке и нейтрализации рисков должен быть повторен для определения способов его снижения до приемлемого уровня [94,113].
Заключительная часть стандарта посвящена рекомендациям по организации проведения оценки и нейтрализации рисков в организации. В приложениях к документу можно найти примеры документации, применяемых при управлении информационными рисками в организации.
Анализ документа показывает, что подходы к менеджменту в области информационной безопасности в американском стандарте NIST 800-30 и британском стандарте BS 7799-3 (проекте ISO IEC 27005) достаточно близки друг к другу. Стандарты не противоречат между собой, и при этом налицо определенное сходство между подходами к управлению информационными рисками. Следует отметить, что оба стандарта используют схожие качественные методы оценки риска. В них, по сути, отсутствует количественная методология оценки рисков. Это дает основание говорить об актуальности проблемы ее построения на международном уровне.