- •Парадигма информационных рисков доц. Завгородний в.И., Финакадемия
- •Введение
- •Сущность понятия «риск»
- •Понятие информационного риска
- •Место информационных рисков в таксономии экономических рисков
- •Заключение
- •Литература
- •It-риски можно разделить на две категории:
- •Глава 2. Основы защиты информации
- •2.1. Информационная безопасность и её составляющие
- •2.2. Угрозы безопасности информации в компьютерных системах
- •2.3. Методы защиты информации
- •2.3.1. Профилактика заражения вирусами компьютерных систем
- •2.3.2. Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы
- •2.3.3. Особенности защиты информации в базах данных
- •2.4. Законодательные акты рф, регулирующие правовые отношения в сфере информационной безопасности и защиты государственной тайны
- •Вопросы для самоконтроля
- •2.3. Методы защиты информации
- •2.3.1. Профилактика заражения вирусами компьютерных систем
- •2.3.2. Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы
- •2.3.3. Особенности защиты информации в базах данных
- •Компьютерная безопасность. Как выбрать средство защиты информации?
- •4. Вди аналізу ризиків проектів Анализ рисков при реализации проектов
- •Типы рисков в информационном проекте
- •Идентификация рисков
- •Оформление таблицы рисков проекта
- •Расчет уровня рисков и их влияния
- •Снижение потерь
- •Оформление плана противодействия рискам
- •5. Основні перспективні напрями розвитку інформаційних технологій.
- •Ахиллесова пята
- •Востребованные технологии защиты
- •Заключение
- •Что нас ждёт в будущем: процветание или прозябание?
- •Internet 2
- •6. Оцінка ризиків
- •7. Технічні, прикладні, системні програмні засоби підтримки та захисту інфомацї
- •Компьютерная безопасность. Прикладной уровень защиты информации. Постановка и решение задачи в общем виде
- •Средства защиты информации
- •[Править] Программные средства защиты информации
- •[Править] Аппаратные средства защиты информации
- •[Править] Технические средства защиты информации
- •1.Основні та допоміжні активи
- •Информационная безопасность
- •[Править] Сущность понятия «информационная безопасность» [править] Содержание понятия
- •[Править] Стандартизированныеопределения(для дцтд4-1)
- •[Править] Существенные признаки понятия
- •[Править] Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •[Править] Объём (реализация) понятия «информационная безопасность»
- •[Править] Нормативные документы в области информационной безопасности
- •[Править] Органы (подразделения), обеспечивающие информационнуюбезопасность
- •[Править] Организационно-технические и режимные меры и методы
- •[Править] Программно-технические способы и средства обеспечения информационной безопасности
- •[Править] Организационная защита объектов информатизации
- •[Править] Гражданско-правовая ответственность за нарушения информационной безопасности сайтов сети Интернет
- •[Править] Исторические аспекты возникновения и развития информационной безопасности
- •[Править] Примечания
- •[Править] См. Также
- •[Править] Ссылки
- •[Править] Профильные периодические издания
- •[Править] Специализированные порталы
- •[Править] Литература
- •Средства защиты информации
- •[Править] Программные средства защиты информации
- •[Править] Аппаратные средства защиты информации
- •[Править] Технические средства защиты информации
- •[Править] См. Также
1.Основні та допоміжні активи
2.Існуючі підходи до управління ризиками
3.Оцінка ризиків
а) Кількісна оцінка ризиків
б) Якісна оцінка ризиків
в) Порівняння двох підходів
4.Визначення рівня зрілості використовуваної в організації системи управління ризиками
5.Самостійна оцінка рівня зрілості системи управління ризиками в організації
6. Процесна модель управління ризиками
7. Реактивний підхід
8. Проактивних підхід
9. Інструментарій для управління ризиками
10. Розвиток стандарту
Основні та допоміжні активи
Говорячи про ризики для бізнесу ми маємо на увазі можливість з певною вірогідністю зазнати певних збитків. Це може бути як прямий матеріальний збиток, так і непрямий збиток, що виражається, наприклад, в упущеної вигоди, аж до виходу з бізнесу, адже, якщо ризиком не управляти, то бізнес можна втратити.
Власне, суть питання полягає в тому, що організація має в своєму розпорядженні та використовує для досягнення результатів своєї діяльності (своїх бізнес цілей) кілька основних категорій ресурсів (далі будемо використовувати безпосередньо пов'язане з бізнесом поняття активу). Актив - це все що має цінність для організації і генерує її дохід (іншими словами це те, що створює позитивний фінансовий потік, або зберігає кошти). Розрізняють матеріальні, фінансові, людські та інформаційні активи. Сучасні міжнародні стандарти також визначають ще одну категорію активів - це процеси. Процес - це агрегований актив, який оперує всіма іншими активами компанії для досягнення бізнес цілей. Як один з найважливіших активів також розглядаються імідж і репутація компанії. Ці ключові активи для будь-якої організації, є ні чим іншим як особливим різновидом інформаційних активів, оскільки імідж і репутація компанії - це не що інше як вміст відкритої і широко поширеною інформацією про неї. Інформаційна безпека займається іміджевими питаннями остільки, оскільки проблеми з безпекою організації, а також витік конфіденційної інформації вкрай негативно впливають на імідж.
На результати бізнесу впливають різні зовнішні і внутрішні фактори, що відносяться до категорії ризику. Вплив це виражається у негативному впливі на одну або одночасно кілька груп активів організації. Наприклад, збій сервера впливає на доступність що зберігається на ньому інформації та програм, а його ремонт відволікає людські ресурси, створюючи їх дефіцит на певній ділянці робіт і викликаючи дезорганізацію бізнес процесів, при цьому тимчасова недоступність клієнтських сервісів може негативно вплинути на імідж компанії.
За визначенням, для організації важливі всі види активів. Однак у кожної організації є основні життєво важливі активи та активи допоміжні. Визначити які активи є основними дуже просто, тому що це ті активи, навколо яких побудований бізнес організації. Так, бізнес організації може бути заснований на володіння та використання матеріальних активів (наприклад, землі, нерухомості, обладнання, корисних копалин), бізнес також може бути побудований на управлінні фінансовими активами (кредитна діяльність, страхування, інвестування), бізнес може бути заснований на компетенції і авторитет конкретних фахівців (консалтинг, аудит, навчання, високотехнологічні та наукомісткі галузі) або бізнес може обертатися навколо інформаційних активів (розробка ПЗ, інформаційних продуктів, електронна комерція, бізнес в Інтернет). Ризики основних активів загрожують втратою бізнесу і непоправними втратами для організації, тому на цих ризики в першу чергу зосереджено увагу власників бізнесу і ними керівництво організації займається особисто. Ризики допоміжних активів зазвичай призводять до надолужуваних збитку і не є основним пріоритетом в системі управління організації. Зазвичай управлінням такими ризиками займаються спеціально призначені люди, або ці ризики передаються сторонньої організації, наприклад, аутсорсеру або страхової компанії. Для організації це швидше питання ефективності управління, аніж виживання.
Існуючі підходи до управління ризиками
Оскільки ризики інформаційної безпеки є основними далеко не для всіх організацій, що практикуються три основні підходи до управління цими ризиками, що розрізняються глибиною і рівнем формалізму.
Для некритичних систем, коли інформаційні активи є допоміжними, а рівень інформатизації не високий, що характерно для більшості сучасних російських компаній, що існує мінімальна необхідність в оцінці ризиків. У таких організаціях слід вести мову про деяке базовому рівні ІБ, що визначається існуючими нормативами та стандартами, кращими практиками, досвідом, а також тим, як це робиться в більшості інших організацій. Однак, існуючі стандарти, описуючи деякий базовий набір вимог і механізмів безпеки, завжди обумовлюють необхідність оцінки ризиків та економічної доцільності застосування тих чи інших механізмів контролю для того, щоб вибрати з загального набору вимоги і механізмів ті з них, що застосовуються в конкретній організації.
Для критичних систем, в яких інформаційні активи не є основними, проте рівень інформатизації бізнес процесів дуже високий та інформаційні ризики можуть суттєво вплинути на основні бізнес-процеси, оцінку ризиків застосовувати необхідно, однак у цьому випадку доцільно обмежитися неформальними якісними підходами до вирішення цього завдання, приділяючи особливу увагу найбільш критичних систем.
Коли ж бізнес організації побудований навколо інформаційних активів і ризики інформаційної безпеки є основними, для оцінки цих ризиків необхідно застосовувати формальний підхід і кількісні методи.
У багатьох компаніях одночасно кілька видів активів можуть бути життєво важливими, наприклад, коли бізнес диверсифікований або компанія займається створенням інформаційних продуктів і для неї можуть бути однаково важливі і людські та інформаційні ресурси. У цьому випадку, раціональний підхід полягає в проведенні високорівневої оцінки ризиків, з метою визначення того, які системи схильні до ризиків у високому ступені і які мають критичне значення для ведення ділових операцій, з подальшим проведенням детальної оцінки ризиків для виділених систем. Для всіх інших некритичних систем доцільно обмежитися застосуванням базового підходу, приймаючи рішення з управління ризиками на основі існуючого досвіду, експертних висновків та кращої практики.
Оцінка ризиків
Оцінка ризиків (risk assessment) - перший етап в управлінні системи інформаційної безпеки, призначений для ідентифікації джерел ризиків і визначення його рівня значущості. Оцінку розбивають на аналіз ризиків та оцінювання ризиків.
У рамках аналізу проводиться інвентаризація і категоризація захищаються ресурсів, з'ясовуються нормативні, технічні, договірні вимоги до ресурсів у сфері ІБ, а потім з урахуванням цих вимог визначається вартість ресурсів. У вартість входять всі потенційні витрати, пов'язані з можливою компрометацією захищаються ресурсів. Наступним етапом аналізу ризиків є складання переліку значущих загроз і вразливостей для кожного ресурсу, а потім обчислюється ймовірність їх реалізації. Стандарт допускає двояке тлумачення поняття загрози ІБ: як умова реалізації вразливості ресурсу (в цьому випадку уразливості і загрози ідентифікуються окремо) і як загальне потенційне подія, здатне привести до компрометації ресурсу (коли наявність можливості реалізації вразливості і є загроза). Не забороняється поділ загроз ІБ на загрози цілісності, доступності та конфіденційності.
Оцінювання ризику проводиться шляхом його обчислення і зіставлення із заданою шкалою. Обчислення ризику полягає в збільшенні ймовірності компрометації ресурсу на значення величини збитку, пов'язаного з його компрометацією. Зіставлення ризику виконується з метою спрощення процесу використання на практиці точкових значень ризику.
BS 7799-3 допускає використання як кількісних, так і якісних методів оцінки ризиків, але, на жаль, у документі немає обгрунтування та рекомендацій з вибору математичного і методичного апарату оцінки ризиків ІБ. Додаток до стандарту містить єдиний приклад, який умовно можна віднести до якісного методу оцінки. Даний приклад використовує три-і п'ятибальні оцінні шкали:
Оцінюються рівні вартості ідентифікованого ресурсу за п'ятибальною шкалою: «незначний», «низький», «середній», «високий», «дуже високий».
Оцінюються рівні ймовірності загрози по трьохбальной шкалою: «низький», «середній», «високий».
Оцінюються рівні ймовірності уразливості: «низький», «середній», «високий».
Кількісна оцінка ризиків
Метою кількісної оцінки ризиків є обчислення об'єктивних числових значень кожного компонента, виявленого в ході оцінки ризиків і аналізу вигод і витрат. Наприклад, організація може оцінити реальну вартість кожного бізнес-активу з точки зору витрат на його заміну, збитку в показниках зниження продуктивності, збитку в показниках зниження ділової репутації і інших прямих і непрямих бізнес-цінностей. Цей же підхід слід застосовувати при визначенні схильності активу дії, вартості елементів контролю і інших величин, виявлених в ході управління ризиками.
Даний підхід містить декілька вад, які нелегко здолати. По-перше, не існує ефективного формалізованого методу, що дозволяє точно визначити вартості активів і елементів контролю. Іншими словами, не дивлячись на точність отриманих характеристик, що здається, фінансові показники фактично ґрунтуються на оцінках. Як, наприклад, точно визначити вплив проблеми з безпекою, що отримала широкий розголос, на імідж фірми? В деяких випадках цього можна добитися, проаналізувавши статистичні дані, проте частенько це неможливо.
По-друге, організації, що намагалися скрупульозно реалізувати всі аспекти кількісного підходу до управління ризиками, виявили, що це вимагає дуже великих витрат. Як правило, завершення першого повного циклу подібних проектів вимагає довгого часу, а в самі проекти залучено велике число співробітників, які не можуть погоджувати принципи обчислення конкретних фінансових показників. По-третє, організації, в яких схильність дії дорогих бізнес-активів може наводити до дуже великих збитків, можуть порахувати доцільним виділити значні додаткові кошти на зниження всіх ризиків, які можуть виникнути (хоча дана ситуація маловірогідна - організація не витрачатиме весь бюджет на захист одного активу або навіть п'яти основних активів).
Детальний розгляд кількісного підходу
На даному етапі слід скласти загальне уявлення про переваги і недоліки кількісного підходу до оцінки ризиків. У частині даного розділу, що залишилася, розглядаються деякі чинники і значення, які зазвичай визначаються при використанні кількісного підходу: вартості активів, витрати на елементи контролю і рівень повернення інвестицій в безпеку (УВІБ), а також розраховані значення очікуваного разового збитку (КРИЧУ), щорічної частоти виникнення (ЕЧВ) і очікуваного річного збитку (ОГУ). Приведений матеріал не містить повного опису всіх аспектів кількісної оцінки ризиків, а включає лише загальні відомості про цей підхід і демонструє, що числові показники, лежачі в основі всіх розрахунків, є суб'єктивними характеристиками.
Якісна оцінка ризиків
Якісний підхід до оцінки ризиків відрізняється від кількісного тим, що при використанні якісного підходу не потрібно визначати точні фінансові показники вартості активів, очікуваного збитку і вартості елементів контролю. Замість цього розраховуються відносні вартості. Як правило, аналіз ризиків виконується шляхом заповнення опитних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти по інформаційній безпеці, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів і старші менеджери. Якщо використовуються опитні листи, то вони поширюються в строк від декількох днів до декількох тижнів до початку першого обговорення. Опитні листи покликані допомогти скласти перелік вже розгорнутих активів і елементів контролю. Зібрані відомості можуть виявитися дуже корисними при проведенні подальших обговорень. В ході обговорень учасники формують перелік активів і визначають їх відносні вартості. Після цього їм необхідно з'ясувати, з якими погрозами може зіткнутися кожен актив і які типи вразливих місць можуть бути використані цими погрозами в майбутньому. Як правило, ІТ-спеціалісти системні адміністратори пропонують групі управління ризиками безпеки перелік елементів контролю для зниження ризиків і вказують орієнтовну вартість кожного елементу контролю. Після закінчення результати надаються Стандарту компанії в ході аналізу вигод і витрат.
Як видно, основний процес оцінки якісних характеристик дуже схожий на процес, використовуваний в кількісному підході. Відмінності полягають в деталях. При порівнянні вартостей різних активів використовуються відносні значення, і учасникам не доводиться витрачати багато часу на спроби точно обчислити фінансові вартості активів. Аналогічна ситуація спостерігається при визначенні можливого впливу ризиків і витрат на реалізацію елементів контролю.
Переваги якісного підходу полягають в тому, що даний підхід висуває менше вимог до співробітників і дозволяє відмовитися від складних процедур визначення точної вартості активу, витрат на елемент контролю і тому подібне Проекти, засновані на якісному підході до управління ризиками, дозволяють добитися помітних результатів вже через декілька тижнів, тоді як організації, що використовують кількісний підхід, можуть не отримати скільки-небудь значних результатів, витрачаючи зусилля протягом місяців або навіть років. Недолік якісного підходу полягає в тому, що отримані результати не мають однозначної інтерпретації, а відносні величини, визначені в ході якісної оцінки ризиків, можуть не задовольняти деяких співробітників, відповідальних за ухвалення ділових рішень (особливо співробітників, що працюють у сфері обліку або фінансів).
Порівняння двох підходів
Як кількісний, так і якісний підхід до управління ризиками безпеки має свої переваги і недоліки. В деяких випадках організаціям вигідно використовувати кількісний підхід, а якісний підхід може краще підійти організаціям невеликого розміру або що володіє обмеженими ресурсами. Достоїнства і недоліки обох підходів перераховані в таблиці 1.
Таблиця 1. Достоїнства і недоліки підходів до управління ризиками
|
|
Количественный |
Качественный |
|
Достоинства |
|
|
|
Недостатки |
|
|
Хоча останніми роками при управлінні ризиками в основному використовувався кількісний підхід, в даний час положення справ стало мінятися, оскільки організації все частіше стикаються з тим, що скрупульозне дотримання принципам кількісного управління ризиками, як правило, наводить до появи довгострокових проектів, що майже не приносять істотних вигод. Як буде показано в наступних главах, процес управління ризиками безпеки, пропонований корпорацією майкрософт, об'єднує достоїнства обох підходів.
Визначення рівня зрілості використовуваної в організації системи управління ризиками
Перед впровадженням в організації процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, необхідно перевірити рівень зрілості організації з точки зору управління ризиками безпеки. Організаціям, в яких відсутні формальні політики або процеси, що відносяться до управління ризиками безпеки, буде дуже важко відразу упровадити всі аспекти даного процесу. Даний процес може виявитися надмірно трудомістким навіть для організацій, що застосовують деякі формальні політики і рекомендації, яким слідують більшість користувачів. Тому необхідно оцінити рівень зрілості організації. Якщо виявиться, що рівень зрілості є досить низьким, даний процес можна упроваджувати послідовними етапами впродовж декількох місяців (наприклад, шляхом експлуатації пілотного проекту в окремому підрозділі впродовж декількох повних циклів даного процесу). Продемонструвавши ефективність процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, на прикладі цього пілотного проекту, група управління ризиками безпеки може перейти до впровадження даного процесу в інших підрозділах, поступово охоплюючи всю організацію.
Як визначити рівень зрілості організації? Модель управління ІТ (IT Governance Maturity Model) описана в документі COBIT (Control Objectives for Information and Related Technology) інституту управління ІТ (ITGI). Аби ознайомитися з детальною методикою визначення рівня зрілості організації, придбайте і вивчите даний документ. Процес управління ризиками безпеки, пропонований корпорацією майкрософт, узагальнює вживані в COBIT елементи і представляє спрощений підхід, заснований на моделях, які також розроблені службами корпорації майкрософту. Представлені тут визначення рівня зрілості засновані на стандарті Міжнародної організації по стандартах (ISO) Information technology - Code of practice for information security management («Інформаційні технології - практичні правила управління інформаційною безпекою»), званому також ISO 17799.
Для оцінки рівня зрілості організації можна скористатися таблицею 2.
Таблиця 2. Рівні зрілості управління ризиками безпеки
|
Уровень |
Состояние |
Определение |
|
0 |
Отсутствует |
Политика или процесс не документированы. Ранее организация не знала о деловых рисках, связанных с управлением рисками, и не рассматривала данный вопрос |
|
1 |
Узкоспециализированный |
Некоторые члены организации признают значимость управления рисками, однако операции по управлению рисками являются узкоспециализированными. Политики и процессы в организации не документированы, процессы не являются полностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и некоординируемыми, а получаемые результаты не измеряются и не подвергаются аудиту |
|
2 |
Повторяемый |
Организации известно об управлении рисками. Процесс управления рисками является повторяемым, но развит слабо. Процесс документирован не полностью, однако соответствующие операции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится формальное обучение и информирование по управлению рисками; ответственность за выполнение соответствующих мероприятий возложена на отдельных сотрудников |
|
3 |
Наличие определенного процесса |
Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информации. В организации разработан базовый процесс с четко определенными целями и задокументированными процессами достижения и оценки результатов. Проводится обучение всего персонала основам управления рисками. Организация активно внедряет задокументированные процессы управления рисками |
|
4 |
Управляемый |
На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распространена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффективности. Программе управления рисками выделен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений организации, а группа управления рисками безопасности может постоянно совершенствовать свои процессы и средства. В организации используются некоторые технологические средства, помогающие в управлении рисками, однако большая часть (если не подавляющее большинство) процедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную |
|
5 |
Оптимизированный |
Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудники пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет и каким образом их нужно будет решать. Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная причина возникшей проблемы и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники организации могут проходить обучение, обеспечивающее различные уровни подготовки |
Самостійна оцінка рівня зрілості системи управління ризиками в організації
Використання приведеного нижче переліку оцінок забезпечує точніший спосіб визначення рівня зрілості організації. Хоча отримані оцінки будуть суб'єктивними, проте, ретельно аналізуючи кожну оцінку, можна визначити рівень підготовки організації до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту. Оціните полягання справ в організації за шкалою від 0 до 5, використовуючи приведені раніше визначення рівня зрілості.
Політики і процедури забезпечення захисту інформації є повними, лаконічними, зрозумілими і ретельно задокументованими.
· Для всіх посад, що вимагають виконання завдань по забезпеченню інформаційної безпеки, розроблені чітко певні і зрозумілі ролі і обов'язки.
· Політики і процедури забезпечення захисту при доступі сторонніх осіб до ділових даних ретельно задокументовані. Наприклад, компанії, що виконують видалену розробку додатків для внутрішніх бізнес-засобів, мають права доступу до мережевих ресурсів, що дозволяють ефективно організувати спільну роботу і завершити виконання поставлених завдань, проте при цьому їм надаються лише мінімально необхідні права.
· Інвентаризація ІТ-активів(таких як устаткування, програмне забезпечення і сховища даних) виконується акуратно і своєчасно.
· Організація використовує елементи контролю, що забезпечують захист бізнес-даних від несанкціонованого доступу як зсередини організації, так і зовні.
· У організації працює ефективна система сповіщення користувачів про політиків і рекомендації в області інформаційної безпеки (наприклад, шляхом проведення тренінгів або розсилки новин).
· У організації використовуються ефективні елементи контролю фізичного доступу до комп'ютерної мережі і інших ІТ-активам.
· Нові комп'ютерні системи вводяться в експлуатацію з дотриманням стандартів безпеки організації і з використанням стандартних методик, заснованих на вживанні образів дисків, сценаріїв і інших автоматизованих засобів.
· Оновлення програмного забезпечення основних виробників на більшій частині комп'ютерів організації здійснюється автоматично, за допомогою ефективної системи управління виправленнями.
У організації створена група реагування на інциденти, яка розробила і задокументувала ефективні процеси відстежування порушень системи безпеки і реагування на ці порушення. Всі інциденти ретельно аналізуються, поки не буде виявлена основна причина інциденту, а всі проблеми не будуть усунені.
· У організації використовується всеосяжна антивірусна система, що включає багаторівневий захист, навчання користувачів і ефективні методики реагування на вірусні атаки.
· Процеси підтримки роботи користувачів ретельно задокументовані і хоч би частково автоматизовані, внаслідок чого нові співробітники, постачальники і партнери своєчасно отримують необхідний рівень доступу до ІТ-системам організації. Крім того, ці процеси повинні підтримувати тимчасове відключення і видалення облікових записів користувачів, в яких більше немає необхідності.
· Доступ до комп'ютерів і мережі контролюється за допомогою системи авторизації і перевірки достовірності користувачів, списків управління доступом до даних і про активного моніторингу порушень політики.
· Розробники додатків прослухують учбові курси і забезпечуються детальною інформацією про стандарти безпеки, вживані при створенні і перевірці якості програмного забезпечення.
· У організації розроблені і ретельно задокументовані методи і системи забезпечення безперервної роботи, які регулярно перевіряються шляхом моделювання і проведення тренувань.
· У організації упроваджені і ефективно працюють програми, що дозволяють переконатися, що всі співробітники виконують свої посадові обов'язки відповідно до вимог законодавства.
Для перевірки відповідності стандартним рекомендаціям по захисту бізнес-активів регулярно здійснюються аудит і контроль силами сторонніх організацій.
Обчислите число балів для організації, підсумувавши бали, отримані при оцінці кожного приведеного вище твердження. Теоретично організація може набрати від 0 до 85 балів, проте на практиці лише небагато організацій отримають найвищу або найнижчу оцінку.
Якщо організація набрала 51 бал або більш, це означає, що, видно, організація добре підготовлена до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, і використанню всіх його можливостей. Якщо організація набрала від 34 до 50 балів, це показує, що організація зробила значні зусилля по управлінню ризиками безпеки і готова до поступового впровадження даного процесу. Подібним організаціям рекомендується розглянути можливість використання цього процесу в декількох підрозділах протягом декількох місяців, а лише потім переходити до впровадження в рамках всієї організації. Організаціям, що набрали менше 34 балів, рекомендується упроваджувати цей процес поступово, почавши впровадження із створення групи управління ризиками безпеки і використання процесу в одному з підрозділів протягом декількох місяців. Коли організація переконається в корисності даного процесу, використовуючи його для зниження ризиків у вибраному підрозділі, цей процес слід упровадити ще в двох або трьох підрозділах. Подальше впровадження процесу може супроводитися внесенням значних змін і повинно відбуватися поступово, аби уникнути негативного впливу на здатність організації до виконання основних бізнес-цілей. Тому при впровадженні даного процесу слід керуватися здоровим глуздом - кожна залишена без захисту система підвищує ризик безпеки і ризик настання правової відповідальності, і кращим методом запобігання цим наслідкам є використання власних знань про систему. Якщо організація не згодна з пропозицією упроваджувати даний процес поступово і вважає, що впровадження повинне виконуватися невідкладно, вона повинна діяти на власний розсуд.
Організація повинна ретельно вибрати підрозділ для реалізації пілотних програм. При виборі слід враховувати, наскільки важливі питання безпеки для даного підрозділу і яким чином визначається безпека з точки зору доступності, цілісності і конфіденційності послуг і даних. Нижче наводяться приклади питань, використовуваних при виборі підрозділів для пілотної програми.
Чи перевищує рівень зрілості системи управління ризиками у вибраному підрозділі середній рівень для організації?
· Чи будуть керівники вибраного підрозділу активно підтримувати програму?
· Чи забезпечує вибраний підрозділ високий рівень наочності в рамках організації?
· В разі успішного завершення пілотної програми процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, чи буде корисний досвід даної програми переданий останнім підрозділам організації?
Цими ж критеріями необхідно керуватися при виборі підрозділу для подальшого розширення програми.
Процесна модель управління ризиками
У березні цього року був прийнятий новий британський стандарт BS 7799 Частина 3 - Системи управління інформаційною безпекою - Практичні правила управління ризиками інформаційної безпеки. Чекає, що до кінця 2007 року ISO затвердить цей документ у якості міжнародного стандарту. BS 7799-3 визначає процеси оцінки та управління ризиками як складовий елемент системи управління організації, використовуючи ту ж процесну модель, що й інші стандарти управління, яка включає в себе чотири групи процесів: планування, реалізація, перевірка, дії (ПРПД), що відображає стандартний цикл будь-яких процесів управління. У той час як ISO 27005 описує загальний безперервний цикл управління безпекою, в BS 7799-3 міститься його проекція на процеси управління ризиками ІБ.
У системі управління ризиками ІБ на етапі Планування визначаються політика та методологія управління ризиками, а також існує оцінка ризиків, що включає в себе інвентаризацію активів, складання профілів погроз і вразливостей, оцінку ефективність контрзаходів і потенційного збитку, визначення допустимого рівня залишкових ризиків.
На етапі Реалізації проводиться обробка ризиків та впровадження механізмів контролю, призначених для їх мінімізації. Керівництвом організації приймається одне з чотирьох рішень по кожному ідентифікованої ризику: проігнорувати, уникнути, передати зовнішній стороні, або мінімізувати. Після цього розробляється і впроваджується план обробки ризиків.
На етапі Перевірки відстежується функціонування механізмів контролю, контролюються зміни факторів ризику (активів, погроз, вразливостей), проводяться аудити і виконуються різні контролюючі процедури.
На етапі Дії за результатами безперервного моніторингу й проведених перевірок, виконуються необхідні коригуючі дії, які можуть включати в себе, зокрема, переоцінку величини ризиків, корегування політики та методології управління ризиками, а також плану обробки ризиків.
Реактивний підхід
В даний час багато ІТ-спеціалісти випробовують колосальний тиск з боку користувачів, що вимагають щонайшвидше виконувати всі завдання і при цьому заподіювати якомога менше незручностей. В результаті багато ІТ-спеціалістів важають, що при виникненні проблем з безпекою вони повинні лише забезпечити контроль над ситуацією, з'ясувати, що сталося, і щонайшвидше відновити працездатність систем, зачеплених проблемою. Деякі з них можуть спробувати визначити основну причину проблеми, проте в умовах крайній обмежених ресурсів навіть це може виявитися недозволеною розкішшю. Хоча реактивний підхід може стати тактично ефективною відповіддю на ризики безпеки, які були використані зловмисниками і привели до порушення безпеки, накладення деяких обмежень на реактивний підхід може допомогти організаціям всіх типів краще використовувати свої ресурси.
Колишні проблеми з безпекою можуть допомогти організаціям спрогнозувати появу проблем в майбутньому і підготуватися до їх виникнення. Це означає, що організація, яка реагує на інциденти з використанням зважених і раціональних методик, визначаючи причини, які привели до виникнення інциденту, буде краще захищена від виникнення подібних проблем в майбутньому і зможе швидше реагувати на інші виникаючі проблеми.
Детальний розгляд реагування на інциденти виходить за межі даного стандарту, проте наступні шість кроків допоможуть підвищити швидкість і ефективність реагування.
Оберігайте життя людей і піклуйтеся про їх безпеку. Це завдання завжди має бути першочерговим. Наприклад, якщо схильні до проблеми комп'ютери є частиною системи життєзабезпечення, замість їх відключення рекомендується логічно ізолювати ці системи в мережі шляхом зміни конфігурації маршрутизаторів і комутаторів, не порушуючи працездатності систем допомоги пацієнтам.
Обмежте пошкодження. Обмеження заподіяних атакою пошкоджень допомагає зменшити додатковий збиток. Швидко забезпечуйте захист важливих даних, програмних продуктів і устаткування. Украй поважно зменшити збиток, заподіяний обчислювальним ресурсам, проте підтримка працездатності систем під час атаки може привести, врешті-решт, до ширшого поширення проблеми. Наприклад, виявивши в середовищі програму-черв'як, можна спробувати зменшити заподіюваний нею збиток, відключивши сервери від мережі. Проте в деяких випадках відключення серверів принесе більше шкоди, чим користі. Аби зробити правильний вибір, використовуйте здоровий глузд і знання про використовувані системи і мережі. Якщо при порушенні системи безпеки відключення від мережі уражених систем не надасть несприятливої дії або несприятливий ефект буде менший, ніж отримувані вигоди, слід щонайшвидше зробити відповідні заходи. Якщо ізоляція серверів не дозволяє зменшити збитку, що завдається, забезпечте активний моніторинг дій зловмисника, аби щонайшвидше усунути наслідки атаки. Перед завершенням роботи будь-якого сервера збережете всі файли журналів. Інформація, що міститься в цих файлах, надалі може використовуватися співробітниками і юристами організації як докази.
Оціните збиток. При атаці сервера негайно зробіть копію інформації, що зберігається на жорстких дисках сервера, і збережете цю копію для подальшого судового розгляду. Оціните заподіяний збиток. Розмір заподіяного атакою збитку необхідно визначити щонайшвидше (відразу після узяття ситуації під контроль і створення копій даних, що зберігаються на жорстких дисках), оскільки це дозволить прискорити відновлення працездатності організації, а копії жорстких дисків слід зберегти для подальшого аналізу. Якщо оцінити збиток в стислі терміни не представляється можливим, необхідно ввести в дію план робіт в аварійній ситуації, який дозволить відновити нормальну роботу і ефективність бізнесу. На цьому етапі організація може визнати доцільним почати судове розслідування інциденту. Тому необхідно завчасно (до виникнення інцидентів) налагодити співпрацю з відповідними правовими органами, аби при виникненні серйозних проблем знати, до кому слід звертатися і що необхідно робити. Крім того, необхідно негайно звернутися в юридичну службу організації, аби вона визначила, чи може бути збуджене переслідування в цивільному порядку за фактом нанесення виявленого збитку.
Визначення причини збитку. Аби виявити джерело атаки, необхідно виявити що піддалися атаці ресурси і знайти уразливості, які були використані для діставання доступу або порушення роботи служб. Для цього слід вивчити конфігурацію систем, перелік встановлених оновлень, системні журнали і журнали аудиту як в системах, що безпосередньо піддалися атаці, так і на мережевих пристроях, що передавали трафік цим системам. Частенько це допомагає виявити як джерело атаки, так і ресурси, що постраждали в результаті атаки. Ці дії повинні виконуватися на комп'ютерних системах, що знаходяться в експлуатації, а не на копіях дисків, створених на кроці 3. Ці копії необхідно зберегти без змін для можливого судового розгляду, що дозволить правоохоронним органам або юридичній службі організації використовувати їх для виявлення зловмисників і притягування до відповідальності. При необхідності створення резервних копій для тестування і визначення причин збитку створіть ще одну копію даних вихідної системи, але не використовуйте копії, створені на кроці 3.
Виправлення пошкоджень. В більшості випадків необхідно щонайшвидше усунути нанесені пошкодження і відновити нормальну роботу організації і дані, втрачені в результаті атаки. План і процедури забезпечення безперервної роботи організації повинні включати стратегію відновлення. Крім того, група реагування на інциденти має бути в змозі виконати операції по відновленню працездатності або надати відповідальному підрозділу необхідні рекомендації. В процесі відновлення працездатності виконуються заходи, що дозволяють обмежити поширення проблеми і ізолювати її. Перед введенням відновлених систем в експлуатацію необхідно поклопотатися, аби вони не піддалися повторному зараженню. Для цього необхідно усунути уразливості, використані в ході інциденту.
Аналіз результатів і зміна політик. Після документування і відновлення необхідно ретельно проаналізувати процес. Разом з робочою групою визначите правильно виконані операції і допущені помилки. В більшості випадків виявиться, що для підвищення ефективності дій при виникненні інцидентів в майбутньому необхідно змінити існуючі процеси. Крім того, в плані реагування на інциденти неминуче виявляться вади. На цьому етапі необхідно виявити можливості удосконалення. Всі виявлені недоліки мають бути усунені в ході чергового етапу процесу планерування дій при інцидентах, що дозволить підвищити ефективність реагування на інциденти в майбутньому.
Проактивних підхід
Проактивних підхід до управління ризиками безпеки володіє багатьма перевагами в порівнянні з реактивним. Замість того аби починати щось робити лише після виникнення проблем, організація зменшує вірогідність їх появи (у тому числі вірогідність появи проблем, що не виникали раніше). Для цього розробляються плани забезпечення безпеки важливих активів організації шляхом вживання елементів контролю, що зменшують ризик використання вразливих місць шкідливими програмами і зловмисниками або випадкового зловживання. Аби краще зрозуміти цю ідею, приведемо наступну аналогію. Грип - це смертельно небезпечне респіраторне захворювання, яким в США щорік захворюють мільйони людей. Більше 100 000 з них потребують госпіталізації, а близько 36 000 вмирають. Аби впоратися з цією загрозою, людина може або нічого не робити, поки не захворіє, а потім звертатися до лікарів і лікуватися, або ж пройти попередню вакцинацію до початку епідемії.
Зрозуміло, організації не повинні повністю відмовлятися від реагування на інциденти. Ефективність про активного підходу допоможе організаціям зменшити число порушень системи безпеки, які можуть виникнути, проте не забезпечить їх повного усунення. Тому організаціям необхідно продовжити розвиток процесів реагування на порушення системи безпеки разом з розробкою довгострокових про активних заходів.
У останньому розділі цієї глави і в главах даного стандарту, що залишилися, про активних підхід до управління ризиками безпеки буде розглянутий детальніше. Всі методики управління ризиками безпеки використовують ряд загальних високорівневих процедур.
Виявлення бізнес-активів.
Визначення збитку, який може понести організація в результаті атаки на актив.
Виявлення вразливих місць в системі безпеки, які можуть бути використані при атаці.
Пошук методів мінімізації ризиків атаки шляхом реалізації відповідних елементів контролю.
Підходи до пріорітизації ризиків
У даному стандарту часто використовуються терміни управління ризиками і оцінка ризиків, які зв'язані один з одним, але не є взаємозамінними. В процесі управління ризиками безпеки, пропонованому корпорацією майкрософті, під управлінням ризиками розуміються загальні зусилля по зниженню ризиків до прийнятного для бізнесу рівня. Під оцінкою ризиків розуміється процес виявлення і пріорітизації ризиків для бізнесу.
Не дивлячись на те що існує велике число методик оцінки і пріорітизації ризиків, велика частина цих методик заснована на якісному або кількісному підході до управління ризиками або використовує поєднання цих підходів.
Інструментарій для управління ризиками
У процесі оцінки ризиків ми проходимо ряд послідовних етапів, періодично відкочуючись на попередні етапи, наприклад, переоцінюючи, певний ризик після вибору конкретної контрзаходи для його мінімізації. На кожному етапі необхідно мати під рукою опитування, переліки загроз і вразливостей, реєстри ресурсів та ризиків, документація, протоколи нарад, стандарти і керівництва. У зв'язку з цим потрібен певний запрограмований алгоритм, база даних і інтерфейс для роботи з цими різноманітними даними.
Для управління ризиками ІБ можна застосовувати інструментарій, наприклад, як у методі CRAMM, або RA2 ,проте це не є обов'язковим. Приблизно також про це сказано і в стандарті BS 7799-3. Корисність застосування інструментарію може полягати в тому, що він містить запрограмований алгоритм робочого процесу оцінки та управління ризиками, що спрощує роботу недосвідченому спеціалістові.
Використання інструментарію дозволяє уніфікувати методологію і спростити використання результатів для переоцінки ризиків, навіть якщо вона виконується іншими фахівцями. Завдяки використанню інструментарію є можливість порядок зберігання даних і роботу з моделлю ресурсів, профілями загроз, переліками вразливостей і ризиками.
Крім власне засобів оцінки та управління ризиками програмний інструментарій може також містити додаткові кошти для документування СУІБ, аналізу розбіжностей до вимог стандартів, розробки реєстру ресурсів, а також інші кошти, необхідні для впровадження та експлуатації СУІБ.
Розвиток стандарту
Концепція проекту ISO 27005, по суті, відповідає концепції BS 7799-3, а також NIST SP 800-30:2002. У цілому, і BS 7799-3 і проект 27005 мають описовий характер і не містять конкретних вимог до способів управління ризиками. Стандарти дозволяють самостійно врахувати різні аспекти СУІБ, ідентифікувати рівні ризику, визначити критерії для прийняття ризику, ідентифікувати прийнятні рівні ризику і т.д. Стандарти дотримуються безперервного 4-процесного підходу до менеджменту систем якості, включають аналогічні етапи аналізу, оцінки та управління, правила і рекомендації, носять ітеративний характер, не висувають конкретних вимог до методів, містять вимоги щодо інформативності кожного етапу. Можна відзначити деяку тенденцію до деталізації етапів і додаванні прикладів у чергових версіях проекту 27005.
Всі сучасні стандарти в області безпеки - NIST SP 800-30, BS 7799-3 і проект ISO 27005 відображають що склався в міжнародній практиці загальний процесний підхід до організації управління ризиками. При цьому управління ризиками представляється як базова частина системи менеджменту якості організації. Стандарти носять відверто концептуальний характер, що дозволяє експертам по ІБ реалізувати будь-які методи, засоби і технології оцінки, відпрацювання та управління ризиками. З іншого боку, стандарти не містять рекомендацій з вибору будь-якого апарату оцінки ризику, а також з синтезу заходів, засобів і сервісів безпеки, які використовуються для мінімізації ризиків, що знижує корисність стандартів як технологічних документів.
Потреба у відповідному національному стандарті з управління ризиками визначається не тільки популяризацією економічно виправданих підходів до ІБ, але і вимог та рекомендацій, заданими ГОСТ 27001:2005 і ГОСТ 17799:2005, а також витікає з вимог до організації бізнес-процесів, визначених в актуальних стандартах серії 9000. Недоліки ISO 27005 або BS 7799-3 (відсутність конкретних методик)
З огляду на окремі некоректності переказів стандартів серії 27000 та досвід міжнародного визнання ГОСТ ІСО 15408, хочеться сподіватися, що розвиток нормативної бази в нашій країні буде рухатися шляхом прийняття ГОСТ, автентичного ISO 27005 або BS 7799-3.
Реальними стимулами для розвитку нормативного напрямку, пов'язаного з управлінням ризиками може бути становлення системи національної сертифікації СУІБ або розвиток принципів сертіфікаціі систем менеджменту якості в напрямку виконання вимог з ІБ.
Висновки
Вибір якісного або кількісного підходів до оцінки ризиків, визначається характером бізнесу організації та рівнем його інформатизації, тобто важливістю для нього інформаційних активів, а також рівнем зрілості організації.
====================================================================
=========================================================================================================================================================================================================================================================================================================================================================