книги / Управление информационной безопасностью
..pdfваниям стандартных правил. Результатом этих работ должен стать отчетпо результатам обследованияиотчето расхождениях.
Наэтомжеэтапепредприятиевыбираеторганпосертификации.
4.Подготовка программы совершенствования СУИБ. Осу-
ществляется разработка программы совершенствования СУИБ и устранения недостатков. На основе программы разрабатывается детальный план мероприятий по реализации программы и подготовке к сертификации, а также выделяются ресурсы для внедрения недостающих механизмов контроля.
5.Внедрение механизмов контроля. Осуществляется раз-
работка политики ИБ, процедур, инструкций, регламентов, документирование организационной структуры, обучение персонала, внедрение механизмов контроля.
По каждому механизму контроля организационного и про- граммно-технического уровня разрабатывается стратегия и план внедрения. Основные работы включают в себя: разработку необходимой эксплуатационной документации СУИБ, обучение сотрудников действиям по управлению ИБ, подготовку свидетельств функционирования СУИБ (протоколы, акты, записи журналов регистрации событий и т.п.).
6.Подготовка к завершающему аудиту. Производится ана-
лиз состояния СУИБ, оценка готовности к сертификации, уточнение области и границы сертификации.
Для проведения сертификационного аудита необходим минимальный период функционирования системы 3–6 месяцев. По результатам аудита орган по сертификации составляет отчет, включающий положительные стороны СУИБ, выявленные недостатки СУИБ и рекомендации по их устранению.
В результате работ по сертификации на соответствие требованиям ISO 27001 организация получает:
1) сертификат соответствия;
2) разрешение на применение знака соответствия;
3) сертификат аудиторов по внутренним проверкам. Сертификат выдается сроком на 3 года, действие его подтвер-
ждается прохождением ежегодного инспекционногоконтроля.
41
Рис. 10. Основные этапы и документация для создания СУИБ
Основные этапы и документы, сопровождающие деятельность по созданию СУИБ, представлены на рис. 10.
К преимуществам сертификации СУИБ по требованиям ISO/IEC относятся:
−возможность выхода на международные рынки за счет наличия международного сертификата, который подтверждает соответствие СУИБ требованиям стандарта ISO/IEC 27001;
−улучшение управляемости организации;
−соответствие законодательным, нормативным, правовым
идоговорным требованиям;
−формирование имиджа предприятия (организации);
−удержание существующих и завоевание новых рынков за счет повышения уровня их доверия.
Политика системы управления ИБ рассматривается как надмножество (расширенное множество) политики ИБ предприятия (организации). При этом данные политики могут быть описаны в одном документе.
42
Цель СУИБ – обеспечить направление управления защитой информации и поддержку защиты информации в соответствии с требованиями законодательства РФ, а также корпоративными требованиями и нормами по защите информации.
Содержание политики СУИБ должно:
−включатьвсебяобщуюструктурудляопределенияцелейИБ;
−определять общие задачи руководства и принципы деятельности с учетом ИБ;
−учитывать производственные и правовые или нормативные требования, а также договорные обязательства;
−определять контекст управления стратегическими рисками организации, в котором будут осуществляться разработка и сопровождение СУИБ;
−устанавливать критерии, по которым будет определяться уровень рисков ИБ.
Вопросы для контроля знаний
1.Сформулируйте понятие «управление ИБ».
2.Поясните назначение SLA, цели процесса управления в соответствии с SLA.
3.Перечислите уровни процесса управления ИБ и категории лиц, на которых возлагаются задачи по управлению ИБ.
4.Сформулируйте понятие системы управления информационной безопасностью (СУИБ) и цель ее разработки.
5.Перечислите компоненты СУИБ.
6.Перечислите этапы создания СУИБ и раскройте их логическую взаимосвязь.
7.Что понимается под областью действия СУИБ?
8.Перечислите основные документы, сопровождающие создание СУИБ.
9.Определите преимущества сертификации СУИБ.
10.Сформулируйте понятие политики СУИБ.
43
5. УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1.Общая характеристика управления рисками ИБ
Внастоящее время сформировалось достаточно большое количество определений понятия риска, как правило связывающих вероятность наступления угрозы безопасности с последствиями
еенаступления.
Риск – событие, которое может произойти, и воздействие, которое оно может оказать на достижение целей, а также вероятность причинения вреда с учетом его тяжести.
Риск ИБ (Information Security Risk) – потенциальная воз-
можность эксплуатации уязвимости актива или группы активов со стороны конкретной угрозы ИБ для причинения ущерба организации [5].
Риск – мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
На основе понятия риска сформировалось понятие информационного риска как вероятной возможности наступления случайного события в информационной системе, приводящего к нарушению ее функционирования, а также нанесению ущерба, связанного с прекращением бизнес-процессов.
Зона возможного информационного риска является областью пересечения множеств информационных активов организации (предприятия), уязвимостей, вероятного нарушителя и вероятных угроз ИБ (рис. 11).
Управление рисками, или риск-менеджмент (risk-mana- gement), – особый вид деятельности (процесс) по принятию и выполнению управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.
Если рассматривать управление рисками на основе циклической модели PDCA, то данный процесс будет включать следующие этапы:
44
1.Планирование управления рисками как установление контекста управления рисками ИБ, а также разработку плана оценки
иобработки рисков.
2.Осуществление, реализацию плана обработки рисков.
3.Проверку как установление качества оценки рисков, мониторинг и пересмотр рисков.
4.Действие, подразумевающее поддержку и улучшение процесса управления рисками.
Рис. 11. Зона возможного риска ИБ
Модель управления рисками ИБ включает участников про-
цесса управления рисками ИБ, а также основные направления рисковой деятельности этих участников (рис. 12).
Процесс управления рисками включает в себя следующие этапы:
1.Выявление рисков, оценка их вероятности, масштабов и последствий.
2.Выбор подхода к управлению рисками.
3.Выбор технологии.
45
4.Разработка и реализация стратегии управления рисками.
5.Оценка достигнутых результатов и, при необходимости, корректировка выбранной стратегии управления рисками.
Рис. 12. Модель управления рисками ИБ
Основными задачами управления рисками ИБ являются:
1)планирование деятельности по управлению рисками;
2)выявление, идентификация идокументированиерисков ИБ;
3)оценка рисков ИБ;
4)обработка рисков ИБ;
5)мониторинг рисков ИБ и деятельность по управлению рисками ИБ (рис. 13).
46
Рис. 13. Процесс управления рисками ИБ
Подходы к управлению рисками ИБ могут быть различными в зависимости от того, какие системы и процессы оцениваются. Для некритичных систем и процессов организации, как правило, достаточно применять требования законодательства, стандартные подходы и опыт организации (предприятия). Для критичных систем требуется высокоуровневая, неформальная оценка рисков ИБ. Для осо-
47
бо важных и особенно критичных систем должна проводиться детальная оценка рисков ИБ всех активов. В каждом конкретном случае процесс управления рисками включает в себя последовательность анализа, оценки иобработки рисков ИБ(см. рис. 13).
5.2. Оценка рисков ИБ
Процесс оценки рисков представляет собой их идентификацию, количественное или качественное описание и приоритизацию согласно критериям и задачам оценивания рисков ИБ. Он осуществляется в два этапа.
Этап 1. Анализ рисков. Анализ рисков ИБ подразумевает их идентификацию и последующую количественную оценку.
Анализ рисков ИБ предприятия (организации) проводится в следующих случаях:
1.Появление новых бизнес-процессов.
2.Изменение информационной инфраструктуры.
3.Переход на новые технологии управления и производства.
4.Появление новых структурных подразделений, филиалов, контрагентов.
5.Подключение к информационным сетям.
6.Проведение аудита ИБ.
Сначала осуществляется идентификация рисков ИБ. Для этого могут применяться необходимые методы идентификации рисков с учетом исторического анализа или аналитический подход, предполагающий сравнение ситуации в области обеспечения ИБ c аналогичной ситуацией, анализ которой был выполнен ранее. Кроме того, может выполняться моделирование, анализ по схеме «причина-результaт», анализ таблиц истинности и т.д.
Работы по оценке рисков проводятся коллегиально с учетом всех имеющихся источников информации. При этом необходимо учитывать, что риск рассматривается по отношению к основным и вспомогательным активам предприятия (организации), потенциально подверженным угрозам ИБ.
48
К основным активам предприятия (организации), как правило, относятся: бизнес-процессы (подпроцессы), основные средства производства, финансовые ресурсы, информация. К вспомогательным активам относятся: аппаратные средства, носители данных, программное обеспечение, бизнес-прило- жения, сети связи, персонал.
Далее определяются источники угроз ИБ. К антропогенным источникам угроз ИБ могут быть отнесены:
–внешние источники: криминальные структуры, недобросовестные партнеры, технический персонал поставщиков услуг, представители надзорных организаций и т.п.;
–внутренние источники угроз (персонал организации): пользователи информационных систем, программисты, разработчики ПО, администраторы информационных систем, а также вспомогательный и технический персонал.
К техногенным источникам угроз могут быть отнесены средства энергообеспечения, сети телекоммуникаций и связи, транспорт, а также средства обработки информации.
Затем необходимо провести идентификацию существую-
щих средств управления рисками ИБ. Средства управления рисками ИБ – это существующие процессы, политики, устройства
идействия, которые минимизируют негативные риски. Подразумевается, что на этапе оценки рисков должны быть идентифицированы уже существующие и функционирующие подобные средства. Наличие и эффективность подобных средств должны быть определены и рассмотрены с точки зрения возможности противодействия угрозам ИБ.
Идентификация уязвимостей осуществляется по степени опасности уязвимости и потенциальной возможности ее использования злоумышленником для реализации угрозы ИБ. Как правило, уязвимости классифицируются по уровню риска, который может быть реализован на их основе.
Должна быть проведена оценка негативных последствий от воздействия рисков ИБ, например: мгновенные (отказ оборудова-
49
ния) или накапливающиеся (отказ оборудования в результате исчерпания его ресурса) последствия.
Для количественной оценки рисков ИБ должна быть проведена вероятностная оценка последствий наступления нега-
тивного события. Данная оценка должна включать информацию о том, как риск оперативно влияет на основные цели и бизнеспроцессы организации, и учитывать негативное влияние риска в долгосрочной перспективе. Оценка вероятностей реализации рисков может быть осуществлена на основе исторических данных, экспертной оценки и других методов.
Определение уровня риска ИБ основано на оценке послед-
ствий и вероятностей. Величина уровня риска, включающая вероятность реализации угрозы и степень ее опасности, может рассчитываться различными способами.
Этап 2. Оценивание рисков ИБ. Оно заключается в сопос-
тавлении рисков с заранее разработанной шкалой рисков ИБ. Данный подход базируется на уровне приемлемого риска ИБ. При этом должны учитываться требования законодательных актов регулирующих органов.
В традиционном подходе к оценке рисков ИБ рассматриваются основные типы оценки рисков ИБ и их комбинации, напри-
мер высокоуровневая оценка (high-level IS risk assessment) и детальная оценка (detailed IS risk assessment).
Высокоуровневая оценка рисков ИБ позволяет обойтись минимальным количеством ресурсов и экономически более выгодна. Однако данная оценка имеет недостатки: возможное завышение или занижение уровня ИБ, а также трудности при внесении изменений, затрагивающих вопросы обеспечения ИБ.
Детальная оценка рисков ИБ может дать более точное и детальное представление о рисках ИБ и средствах защиты информации. В то же время недостатком подобной оценки будет являться значительное количество затрачиваемого ресурса и длительность процесса оценки.
50