3342
.pdfАнализ требований для защиты информационных активов и применение соответствующих средств управления, чтобы обеспечить необходимую защиту этих информационных активов, способствует успешной реализации СМИБ.
ВГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» [14] при структурировании всех процессов СМИБ рекомендуется использовать процессный подход для СМИБ, представленный в виде модели «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA). Связи между представленными процессами представлены на рис. 1.1.
Врамках процесса «Планирование» (разработка СМИБ) осуществляется разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации.
Процесс «Осуществление» (внедрение и обеспечение функционирования СМИБ) подразумевает внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ.
Процесс «Проверка» (проведение мониторинга и анализа СМИБ) - оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа.
Процесс «Действие» (поддержка и улучшение СМИБ) – проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ.
11
Рис. 1.1. Связи между процессами модели PDCA
12
В качестве части СМИБ организации должны быть определены риски, связанные с информационными активами организации. Достижение информационной безопасности требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.
Организация должна предпринимать следующие шаги по внедрению, контролю, поддержке и улучшению её СМИБ:
а) определение информационных активов и связанных с ними требований безопасности;
б) оценка рисков информационной безопасности; в) выбор и реализация соответствующих средств
управления для управления недопустимыми рисками; г) контроль, поддержка и повышение эффективности
средств управления безопасностью, связанных с информационными активами организации.
Для гарантии эффективной непрерывной защиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги (а) - (г), чтобы выявлять изменения рисков, стратегии организации или деловых целей.
Таким образом, управление (менеджмент) рисками является одной из основных составляющих СМИБ.
1.3. Менеджмент риска информационной безопасности
Требования по управлению информационными рисками содержатся во многих международных и отечественных регламентирующих документах и обоснованы существующей практикой развития информационных технологий. Поэтому изучение проблем управления рисками и методов их решения является актуальным и востребованным в современном информационном обществе.
Для создания эффективной СМИБ и идентификации потребности организации, касающиеся требований ИБ, необхо-
13
дим систематический подход к менеджменту риска ИБ. Этот подход должен соответствовать условиям деятельности организации и, в частности, должен быть согласован с общим менеджментом рисков в масштабе организации. Усилия по обеспечению безопасности должны обеспечивать эффективное и своевременное реагирование на риски там и тогда, где и когда это необходимо. Менеджмент риска ИБ должен быть неотъемлемой частью всех видов деятельности, связанных с менеджментом ИБ, и должен применяться как на этапе внедрения, так и в процессе повседневного использования СМИБ организации.
Задачи менеджмента риска ИБ [18]:
идентификация рисков;
оценка рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
осознание и информирование о вероятности и последствиях рисков;
установление приоритетов в рамках обработки рисков;
установление приоритетов мероприятий по снижению имеющих место рисков;
привлечение причастных сторон к принятию решений о менеджменте риска и поддержание их информированности о состоянии менеджмента риска; 
обеспечение эффективности проводимого
мониторинга обработки рисков; 
проведение регулярного мониторинга и пересмотра
процесса менеджмента риска; 
сбор информации для совершенствования
менеджмента риска; 
подготовка менеджеров и персонала по вопросам
рисков и необходимых действий, предпринимаемых для их уменьшения.
Процесс менеджмента риска ИБ состоит из установления контекста, оценки риска, обработки риска, принятия риска, коммуникаций риска, а также мониторинга и переоценки риска
14
информационной безопасности (рис. 1.2) [18].
Конец первой и последующих итераций
Рис. 1.2. Процесс менеджмента риска информационной безопасности
15
Впроцессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно.
Сначала устанавливается контекст, а затем проводится оценка риска. Если при этом удается получить достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача выполнена, после чего следует обработка риска. Если информация является недостаточной, то проводится очередная итерация оценки риска в условиях пересмотренного контекста (например, критериев оценки рисков, критериев принятия рисков или критериев влияния), возможно в ограниченной части полной предметной области (первая точка принятия решения).
Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста (например, критериев оценки риска, принятия риска и влияния), за которой последует очередная процедура обработки риска (вторая точка принятия решения).
Процедура принятия риска должна обеспечивать однозначное принятие остаточных рисков руководством организации. Детализированные результаты каждого вида деятельности, входящего в процесс менеджмента риска ИБ, а также результаты, полученные из двух точек принятия решений о рисках, должны быть документированы.
Втабл. 1.1 показана взаимосвязь процедур менеджмента риска с четырьмя фазами процесса СМИБ.
16
Таблица 1.1 Соотношение системы менеджмента информационной
безопасности и процесса менеджмента риска информационной безопасности
Процесс СМИБ |
Процесс менеджмента риска ИБ |
|
|
Планирование |
Установление контекста |
|
Оценка риска |
|
Планирование обработки риска |
|
Принятие риска |
|
|
Осуществление |
Реализация плана обработки риска |
|
|
Проверка |
Проведение непрерывного мониторинга и |
|
переоценки рисков |
|
|
Действие |
Поддержка и усовершенствование процесса |
|
менеджмента риска ИБ |
|
|
1.3.1. Установление контекста
Установление контекста включает определение основных критериев, необходимых для менеджмента риска ИБ, определение области применения и границ, а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ.
Основные критерии представляют собой правила, по которым оценивается значимость риска. Выделяют критерии оценки риска, критерии влияния, критерии принятия риска.
Критериями оценки рисков информационной безопасности обычно являются финансовые и иные последствия, связанные с событиями нарушения ИБ. Данные критериями разрабатываются для того, чтобы оценить риски информационной безопасности с учетом:
стратегической ценности обработки бизнесинформации; критичности затронутых информационных активов;
17
законодательно-нормативных требований и договорных обязательств; оперативного значения и значения для бизнеса
доступности, конфиденциальности и целостности; ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.
Критерии влияния разрабатываются и определяются исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с ИБ, с учетом:
уровня классификации информационного актива, на который оказывается влияние;
нарушения ИБ (например, утрата конфиденциальности, целостности и доступности);
нарушения оперативной деятельности (как собственной, так и третьих сторон);
потери ценности бизнеса и финансовой ценности;
нарушения планов и конечных сроков;
ущерба для репутации; нарушения законодательных, нормативных или договорных требований.
Критерии принятия риска зависят от политик,
намерений, целей организации и интересов причастных сторон. Организация должна определять собственные шкалы для уровней принятия риска, при этом необходимо учитывать
следующее:
критерии принятия риска могут включать ряд пороговых значений, когда указывается желаемый целевой уровень риска, но при условии, что при определенных обстоятельствах высшее руководство
18
будет принимать риски, находящиеся выше этого уровня; критерии принятия риска могут выражаться как
соотношение количественно оцененной прибыли (или иной выгоды бизнеса) к количественно оцененному риску; различные критерии принятия риска могут
применяться к различным классам риска, например, могут не приниматься риски, связанные с неисполнением законодательно-нормативных требований, в то время как принятие рисков высокого уровня может быть допустимо, если это определено договорным обязательством; критерии принятия риска могут включать требования
о проведении в будущем дополнительной обработки риска, например, риск может быть принят, если принято решение и взяты обязательства предпринять меры по его снижению до приемлемого уровня в течение определенного периода времени.
Область применения процесса менеджмента ИБ необходимо определять для того, чтобы все значимые активы принимались в расчет при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.
Должна быть собрана информация об организации для определения параметров среды, в которой функционирует организация, и их влияния на процесс менеджмента риска ИБ.
При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
стратегические цели бизнеса организации, стратегии и политики;
бизнес-процессы; функции и структура организации;
19
правовые, нормативные и договорные требования, применимые к организации; политика ИБ организации;
общий подход организации к менеджменту риска; информационные активы; местоположение организации, ее подразделений и
филиалов, а также их географические характеристики; ограничения, влияющие на организацию; ожидания причастных сторон; социокультурная среда;
интерфейсы (т.е. обмен информацией с внешней средой).
Примерами области применения менеджмента риска могут быть ИТ-приложение, ИТ-инфраструктура, бизнеспроцесс или определенная часть организации.
Организационная структура менеджмента риска информационной безопасности
Для процесса менеджмента риска ИБ необходимо устанавливать и поддерживать организационную структуру и распределение обязанностей. В организационной структуре выделяют следующие основные роли и области ответственности:
разработка процесса менеджмента риска ИБ, подходящего для данной организации;
выявление и изучение причастных сторон;
определение ролей и обязанностей всех сторон, как внутренних, так и внешних по отношению к организации; установление требуемых взаимосвязей между
организацией и причастными сторонами, а также взаимодействия с высокоуровневыми функциями менеджмента риска организации (например, менеджмента операционного риска), а также
20