Этапы управления рисками информационной безопасности

Большинство технологий управления рисками ИБ организаций включают в себя следующие этапы:

1. Идентификацию рисков.

2. Оценивание (измерение) рисков.

3. Анализ рисков (с выбором допустимого уровня рисков).

4. Управление рисками, направленное на их снижение.

Технология управления рисками – это непрерывный циклический процесс (непрерывно повторяются этапы 1-4-1).

Оценка рисков иб

В методике оценке рисков NIST SP 800-30 «Risk Management Guide for Information Technology Systems» методология оценки рисков ИБ разложена на девять основных шагов:

Шаг 1 – Определение характеристик системы (сбор информации о системе).

Шаг 2 – Определение уязвимостей.

Шаг 3 – Определение угроз.

Шаг 4 – Анализ мер безопасности.

Шаг 5 – Определение вероятности.

Шаг 6 – Анализ влияния.

Шаг 7 – Определение риска.

Шаг 8 – Выработка рекомендаций.

Шаг 9 – Документирование результатов.

Шаги 2,3,4 и 6 могут выполняться параллельно, по выполнению действий Шага 1.

3.2. Определение характеристик системы

В анализе рисков информационной безопасности первоочередным шагом является определение масштабов обследования. На этом шаге определяются границы информационной системы, включающие в себя ресурсы и информацию.

Лицо или лица, которые выполняют оценку рисков, сначала должны произвести сбор информации о системе, которая обычно классифицируется следующим образом (такая же информация собирается и на предварительной стадии перед проведением аудита ИБ).

-       Аппаратное обеспечение;

-       Программное обеспечение;

-       Взаимодействие системы (например, внешние и внутренние связи);

-       Данные и информация;

-       Лица, которые поддерживают и используют ИС;

-       Назначение системы (например, бизнес-процессы, которые выполняются ИС);

-       Критичность информационных ресурсов (конфиденциальность, целостность, доступность, ценность или важность системы для организации); Например, одно дело – информация КТ, другое дело – не КТ или наоборот, гостайна.

-       Функциональные требования ИС;

Оценка рисков иб

-       Пользовательские роли (например, пользователи системы, которые обеспечивают техническую поддержку информационной системы; пользователи приложений, которые используют информационную систему для выполнения своих служебных функций);

-       Политики безопасности системы, которые управляют (регулируют) ИС (организационные политики, федеральные требования, законы, практики отрасли);

-       Архитектура безопасности системы;

-       Текущая сетевая топология (например, сетевая диаграмма);

-       Безопасность механизмов, которые обеспечивают доступность, целостность и конфиденциальности данных и системы;

-       Информационные потоки, принадлежащие ИС (например, связи системы, входные и выходные данные системы);

-       Технические механизмы, которые используются в ИС (например, встроенные или дополнительные продукты защиты, которые поддерживают идентификацию и аутентификацию, дискреционный и мандатный контроль доступа, аудит, защиту остаточной информации, методы шифрования);

-       Механизмы управления, используемые в ИС (например, правила управления, планирование безопасности);

-       Операционные механизмы, используемые в ИС (например, безопасность персонала, восстановительные операции - резервирование, отработка непрерывности функционирования и восстановление; поддержка системы; внешнее хранилище; процедуры создания и удаления учетных записей пользователей; механизмы разделения пользовательских функций таких как, привилегированный пользовательский доступ против обычного пользовательского доступа);

-       Среда физической безопасности ИС (например, средства физической безопасности, политики безопасности центра данных);