Учебники 80358
.pdf
2)Организация информационной безопасности (2);
3)Менеджмент активов (2);
4)Защита человеческих ресурсов (3);
5)Физическая и экологическая безопасность (2);
6)Управление средствами связи и операциями (10);
7)Управление доступом (7);
8)Приобретение, разработка и поддержание в рабочем состоянии информационных систем (6);
9)Управление инцидентами информационной безопасности (2);
10)Менеджмент непрерывности бизнеса (1);
11)Соответствие нормативным требованиям (3).
Каждая основная категория защиты содержит следующее:
цель управления, формулирующая, чего надо достичь; и одно или более средств управления, которые
могут быть применены для достижения цели управления.
В 2012 году ISO/IEC 27002 был издан в виде российского стандарта ГОСТ Р ИСО/МЭК 27002-2012
«Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
Как и первая часть, вторая часть стандарта BS 7799- 2:2005 в 2005 году была принята в качестве международного стандарта ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems - Requirements».
Этот международный стандарт определяет требования для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения документированной СМИБ в контексте общих деловых рисков
71
организации. Он определяет требования для реализации средств управления защитой, приспособленных к потребностям отдельных организаций или их подразделений. Этот международный стандарт применим ко всем типам организаций (например, коммерческие, государственные, некоммерческие организации).
ISO/IEC 27001 содержит нормативные требования для развёртывания и функционирования СМИБ, включая набор средств управления для управления и уменьшения рисков, относящихся к информационным активам, которые организация стремится защитить. Организации, использующие СМИБ, могут проводить её аудиторскую проверку и сертификацию соответствия. Цели управления и средства управления из приложения А стандарта ISO/IEC 27001 должны быть выбраны как часть этого СМИБпроцесса для того, чтобы удовлетворять определённые требования. Цели управления и средства управления, перечисленные в таблице А.1 стандарта ISO/IEC 27001, получены непосредственно из перечня целей управления и средств управления, перечисленных в разделах 5- 15 ISO/IEC 17799:2005 (ныне ISO/IEC 27002:2005), и
согласованы с ними.
В 2006 году международный стандарт ISO/IEC 27001:2005 был издан в виде ГОСТ Р ИСО/МЭК 27001-2006
«Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Третья часть британского стандарта BS 7799-3:2006 легла в основу международного стандарта ISO/IEC 27005:2008
«Information technology - Security techniques - Information security risk management». Однако, в отличие от стандартов, рассмотренных ранее, стандарт ISO/IEC 27005:2008 не является международной версией BS 7799-3:2006. Помимо BS 7799- 3:2006, в него были заложены также стандарты ISO/IEC TR 13335-3:1998 «Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology
72
security» и ISO/IEC TR 13335-4:2000 «Information technology - Guidelines for the management of information technology security -
Part 3: Selection of safeguards», потерявшие свою актуальность в
2008 году в связи с выходом стандарта ISO/IEC 27005:2008. Следует отметить американский стандарт в области
управления рисками NIST 800-30:2002 «Risk Management
Guide for Information Technology Systems; Recommendations of the National Institute of Standards and Technology» (Руководство по управлению рисками для систем информационных технологий. Рекомендации Национального института Стандартов и технологий), разработанный Лабораторией информационной технологии (ITL), основные положения которого также были учтены при разработке стандарта ISO/IEC 27005:2008.
В стандарте NIST 800-30:2002 рассматриваются вопросы интеграции управления риском в жизненный цикл развития системы. Предложена методология оценки риска, состоящая из 9-ти шагов:
1 – Характеристика системы;
2 – Идентификация угрозы;
3– Идентификация уязвимости;
4– Анализ контроля (управления);
5– Определение вероятности (возможности);
6– Анализ воздействия (влияния);
7– Определение риска;
8– Рекомендации по контролю (управлению);
9– Документальное оформление результатов.
Для уменьшения рисков предложено использование следующих опций:
принятие риска (Risk Assumption) - принимать потенциальный риск и продолжать использовать ИТсистемы, либо реализовать средства управления, позволяющее снизить риск до приемлемого уровня;
предотвращение риска (Risk Avoidance) - избегать рисков, устраняя причину риска и/или его
73
последствия (например, воздержаться от использования некоторых функций системы, или закрыть систему, когда риски полностью идентифицированы);
ограничение риска (Risk Limitation) - ограничивать имеющийся риск, реализовав и применив средства управления, которые минимизируют неблагоприятное воздействие осуществления угрозы для уязвимости (например, использование поддерживающего, профилактического или детективного (тайного) контроля;
планирование риска (Risk Planning) - управлять риском, путем разработки плана действий по уменьшению риска, который может предусматривать введение определенных приоритетов, реализацию и проведение контроля;
исследование и уведомление (Research and Acknowledgment) - понизить риск возможных потерь, путем уведомления о наличии уязвимости или недостатков в системе и исследования средств контроля для исправления уязвимости;
перенос риска (Risk Transference) - переместить риск, используя другие опции, чтобы получить компенсации за возможные потери, например, путем страхования.
Описана методология действий по уменьшению рисков, включающая следующие шаги:
1)определение приоритетов действий;
2)оценка рекомендованных опций контроля;
3)проведение анализа на рентабельность;
4)выбор средств контроля;
5)определение ответственности;
6)разработка плана реализации, включающего риски и соответствующие уровни рисков, распределенные по приоритетам действия, рекомендованные средства контроля,
74
запланированные средства контроля, ответственность должностных лиц, исходные данные, требования по сопровождению;
7) реализация выбранной системы контроля
Описана также процедура анализа рентабельности и остаточного риска, выделены ключевые факторы успешного управления рисками.
Модель управления рисками, предложенная в стандарте ISO/IEC 27005:2008, по сути, почти соответствует концепции BS 7799-3, а также NIST SP 800-30:2002. Все современные стандарты в области управления рисками - NIST SP 800-30, BS 7799-3 и ISO/IEC 27005:2008 отражают сложившийся в международной практике общий процессный подход к организации управления рисками. При этом управление рисками представляется как базовая часть системы менеджмента качества организации. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также по синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков.
BS 7799-3 и ISO/IEC 27005:2008 определяют:
основные элементы процесса управления рисками;
процессную модель;
общий подход к управлению рисками;
процессы анализа и оценивания рисков;
способы качественного определения величины рисков;
способы обработки рисков;
процесс коммуникации рисков; примеры рисков, угроз, уязвимостей, активов,
ущербов, требований законодательства и нормативной базы.
75
В 2011 году был введен в действие ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». С введением данного ГОСТа стали недействительными ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».
Содержание стандарта ГОСТ Р ИСО/МЭК 27005-2010 было заложено в основу раздела 1.3. («Менеджмент риска информационной безопасности») настоящего пособия.
1.5.Инструментальные средства для управления рисками
Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Стандарт BS-7799 определяет критерии выбора программного продукта для оценки риска, согласно которым программный продукт должен:
охватывать все компоненты риска и взаимосвязь между компонентами;
включать модули для сбора данных, анализа и вывода результатов;
отражать политику и подход организации к оценке рисков;
формировать понятные и точные отчеты;
сохранять историю сбора и анализа данных;
содержать полную и понятную документацию; быть совместимым с программным и аппаратным
обеспечением, сопровождаться обучением и поддержкой.
76
Недостатки, свойственные многим программным продуктам, предназначенным для управления рисками, ограничивают их практическое применение. К числу наиболее распространенных недостатков следует отнести:
неполную совместимость с международными стандартами – например, очень мало продуктов было разработано специально для ISO 27001;
неполный охват активов – большинство продуктов сосредоточиваются только на ИТ активах, игнорируя остальные виды активов, которые, однако, не менее важны для информационной безопасности;
сложность использования – многие продукты слишком сложны в использовании;
затруднение процесса осознания рисков, так как расчет рисков выполняется автоматически и скрыт от пользователя;
те или иные проблемы с отображением русского языка, характерные для большинства импортных программных продуктов.
Рассмотрим далее наиболее популярные методы и соответствующие программные продукты для оценки и управления рисками информационной безопасности.
1.5.1. OCTAVE
Метод OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – Оценка критичных угроз, активов и уязвимостей – разработан в университете Карнеги-Мелон для внутреннего применения в организации.
В настоящее время представлено три модификации метода OCTAVE:
Методология оценки рисков OCTAVE Method, подходящая для достаточно крупных организаций (от 300 человек и более).
Упрощенная методология оценки рисков OCTAVE-S, ориентированная на организации небольшого размера
77
(не более 100 человек).
Методология оценки рисков OCTAVE Allegro, которая может применяться консультантами на индивидуальной основе, без широкого вовлечения в процесс оценки рисков сотрудников организации.
В основе всех модификаций метода OCTAVE лежит набор четко определенных критериев, определяющих основные принципы, подходы, процессы, атрибуты и выходные данные оценки рисков.
Сущность универсальной методологии OCTAVE Method заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка и обработка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование и координацию действий участников
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся технических уязвимостей и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение
78
стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Применение метода OCTAVE, как, впрочем, и любой другой методологии оценки рисков, не требует обязательного использования программного инструментария.
1.5.2. CRAMM
Метод CRАММ (CCTA Risk Analysis & Management Method – метод ССТА анализа и контроля рисков) был разработан в 1985 году Центральным агентством по компьютерам и телекоммуникациям (ССТА - Central Computer and Telecommunications Agency) Великобритании по заказу британского правительства и взят на вооружение в качестве государственного стандарта.
Вметоде CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробные опросные листы.
Метод CRAMM используется в сотнях организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, разрабатываемого британской компанией Insight Consulting, приобретенной в начале 2000-х годов концерном SIEMENS. Инструментарий CRAMM содержит базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализует алгоритмы для вычисления величины рисков.
Вотличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала выявляется сама целесообразность детальной оценки рисков. Если информационная система организации недостаточно критична, то
кней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащихся в
79
базе знаний CRAMM, которая в основном базируется на британском стандарте BS 7799.
На первом этапе в методе CRAMM строится модель активов информационной системы, описывающая взаимосвязи межlу информационными, программными и техническими активами, а также оценивается ценность активов исходя из возможного ущерба, который организация может понести в результате их компрометации.
На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: актив – угроза – уязвимость. В CRAMM оцениваются так называемые «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются.
На заключительном этапе определяется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.
Возможности программного инструментария CRAMM значительно превышают возможности, необходимые лишь для оценки рисков и включают в себя следующее:
база данных, содержащая 3000 контрмер, охватывающих все аспекты информационной безопасности, совместимая с BS 7799 и другими стандартами;
400 типов ресурсов ИС, более 25 различных видов ущерба, более 10 способов оценки ущерба, 38 типов угроз, более 150 возможных комбинаций ущерба, угрозы и уязвимости, 7 уровней риска;
набор инструментальных средств для прохождения процедуры аудита и сертификации на соответствие
BS 7799;
набор типовых политик безопасности и других
80