Термины и определения в области управления информационными рисками

Актив (ресурс) – все, что имеет ценность для организации [ISO/IEC 13335-1:2004].

Конфиденциальность – свойство, заключающееся в недоступности информации или нераскрытии ее содержания для неавторизованных лиц, субъектов или процессов [ISO/IEC 13335-1:2004].

Целостность – свойство, заключающееся в обеспечении точности и полноты ресурсов [ISO/IEC 13335-1:2004].

Доступность – свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется [ISO/IEC 13335-1:2004].

Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации; дополнительно также могут подразумеваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность [ISO/IEC 17799:2005].

Событие информационной безопасности – идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности [ISO/IEC TR 18044:2004].

Инцидент информационной безопасности – одно или серия нежелательных или неожиданных событий информационной безопасности, имеющих значительную вероятность нарушения бизнес-операций или представляющих угрозу для информационной безопасности [ISO/IEC TR 18044:2004].

Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации [ISO/IEC 13335-1:2004].

Уязвимость – слабость ресурса или группы ресурсов, которая может использоваться при реализации одной или более угроз [ISO/IEC 13335-1:2004].

Воздействие – неблагоприятное изменение уровня достижения целей бизнеса.

Риск – комбинация вероятности события и его последствий [ISO Guide 73:2002].

Риск информационной безопасности – потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.

ПРИМЕЧАНИЕ. Определяется в терминах комбинации вероятности события и его последствий.

Остаточный риск – риск, остающийся после обработки риска [ISO Guide 73:2002].

Идентификация риска – процесс, направленный на нахождение, перечисление и описание элементов риска [ISO/IEC Guide 73:2002].

Анализ риска – систематическое использование информации для идентификации источников и оценки величины риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков.

ПРИМЕЧАНИЕ 2. Информация может включать в себя исторические данные, теоретический анализ, компетентные мнения и интересы владельцев бизнеса.

Расчет риска – процесс присвоения значений вероятности и последствиям риска [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihood» вместо математического термина «probability».

Оценивание риска – процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска [ISO Guide 73:2002].

Оценка риска – общий процесс анализа и оценивания риска [ISO Guide 73:2002].

Обработка риска – процесс выбора и реализации мер по модификации риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Термин «обработка риска» иногда используется для обозначения самих мер.

ПРИМЕЧАНИЕ 2. Меры по обработке риска могут включать в себя избежание, уменьшение, передачу или сохранение риска.

ПРИМЕЧАНИЕ 3. В BS 7799-3 термин «механизм контроля» используется в качестве синонима для  термина «мера».

Избежание риска – решение не принимать участия в ситуации, сопряженной с риском, или действие, направленное на выход из нее [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Решение может быть принято на основании результатов оценивания риска.

Уменьшение риска – меры, принимаемые для снижения вероятности или негативных последствий, связанных с риском, или того и другого [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ. В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihoo»” вместо математического термина «probability».

Сохранение (принятие) риска – принятие бремени убытка или извлекаемой выгоды от конкретного риска [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ. В контексте рисков информационной безопасности при описании сохранения риска учитываются только негативные последствия (убытки).

Передача риска – разделение с другой стороной бремени убытка или извлекаемой выгоды, связанной с риском [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ 1. В контексте рисков информационной безопасности при описании передачи риска учитываются только негативные последствия (убытки).

ПРИМЕЧАНИЕ 2. Требования законодательства или нормативной базы могут ограничивать, запрещать или предписывать передачу определенного риска.

ПРИМЕЧАНИЕ 3. Передача риска может осуществляться путем заключения договоров страхования или других договоров.

ПРИМЕЧАНИЕ 4. Передача риска может порождать другие риски или модифицировать существующий риск.

ПРИМЕЧАНИЕ 5. Перемещение источника не является передачей риска.

Контроль риска – действия, реализующие решения по управлению риском [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Контроль риска может включать в себя мониторинг, повторное оценивание и исполнение принятых решений.

Критерии риска – показатели, при помощи которых оценивается значимость риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Критерии риска могут включать в себя связанные с ним расходы и извлекаемые выгоды, требования законодательства и нормативной базы, социально-экономические аспекты и аспекты, связанные с окружающей средой, интересы владельцев бизнеса, приоритеты и другие входные данные для оценки.

Управление риском – скоординированные действия по управлению и контролю организации в отношении риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Управление риском обычно включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Система управления рисками – набор элементов системы управления организацией, предназначенных для управления рисками [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Элементы системы управления могут включать в себя стратегическое планирование, принятие решений и другие процессы, имеющие дело с рисками.

ПРИМЕЧАНИЕ 2. Культура организации отражается в ее системе управления рисками.

Коммуникация риска – обмен или совместное использование информации о риске между лицом, принимающим решения, и другими заинтересованными сторонами [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ: Информация может относиться к существованию, природе, форме, вероятности, опасности, приемлемости, обработке или другим аспектам риска.

Система управления информационной безопасностью (СУИБ) – та часть общей системы управления, основанной на оценке бизнес рисков, которая  предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.

ПРИМЕЧАНИЕ: Система управления включает в себя организационную структуру, политики, действия по планированию, распределение ответственности, практики, процедуры, процессы и ресурсы.

Декларация о применимости – документированное заявление, описывающее цели и механизмы контроля, которые имеют отношение и применимы к СУИБ организации.

ПРИМЕЧАНИЕ: Цели и механизмы контроля базируются на результатах и выводах, полученных в процессе оценки рисков и обработки рисков, законодательных требованиях и требованиях нормативной базы, договорных обязательствах и бизнес-требованиях организации к информационной безопасности.

Оценка и обработка рисков (BS ISO/IEC 27002:2005 RU, раздел 4)

Оценка рисков безопасности

Оценки рисков должны идентифицировать, измерять и приоритезировать риски в соответствии с критериями принятия рисков и целями организации. Результаты должны определять и направлять необходимые действия руководства, а также приоритеты для управления рисками информационной безопасности и внедрения механизмов контроля, выбранных для защиты от этих рисков. Для охвата различных частей организации или отдельных информационных систем, может потребоваться выполнять процесс оценки рисков и выбора механизмов контроля несколько раз.

Оценка рисков должна включать в себя систематический подход к вычислению величины рисков (анализ рисков) и процесс сравнения величины рисков с установленными критериями для определения значимости рисков (оценивание рисков).

Оценки рисков также должны проводиться периодически с целью учета изменений в требованиях безопасности и в ситуации с рисками, например, в ресурсах,  угрозах, уязвимостях, последствиях, оценивании рисков, а также когда происходят другие существенные изменения. Эти оценки рисков должны проводиться на методологической основе, позволяющей получать сравнимые и воспроизводимые результаты.

Оценка рисков информационной безопасности, чтобы быть эффективной, должна иметь четко определенную область действия и должна включать в себя, если необходимо, взаимосвязи с оценками рисков в других областях.

Областью оценки рисков может являться вся организация, части организации, отдельная информационная система, компоненты системы или сервисы, там, где это оправдано, практично и полезно. Примеры методологии оценки рисков обсуждаются в ISO/IEC TR 13335-3 (Руководство по управлению безопасностью ИТ: Методы управления безопасностью ИТ).

Обработка рисков безопасности

Прежде, чем переходить к обработке рисков, организация должна принять решение о критериях для определения того, может ли риск быть принят или нет. Риски могут быть приняты, если, например, уровень риска оценивается как низкий или стоимость его обработки для организации является экономически неоправданной. Эти решения должны быть документированы.

Для всех рисков, идентифицированных в ходе оценки рисков, должны быть приняты решения по обработке рисков. Возможные способы обработки рисков включают в себя:

  • применение подходящих механизмов контроля для уменьшения рисков;
  • сознательное и объективное принятие рисков, если они полностью удовлетворяют политике организации и критериям принятия рисков;
  • избежание рисков, путем недопущения действий, которые могут привести к возникновению рисков;
  • передача рисков другой стороне, например, страховщикам или поставщикам.

Для тех рисков, в отношении которых было принято решение по обработке рисков путем применения соответствующих механизмов контроля, эти механизмы контроля должны быть выбраны и внедрены для выполнения требований, идентифицированных в ходе оценки рисков. Механизмы контроля должны гарантировать, что риски будут уменьшены до приемлемого уровня, принимая во внимание:

  • требования и ограничения национального и международного законодательства и нормативной базы;
  • цели организации;
  • эксплуатационные требования и ограничения;
  • стоимость внедрения и эксплуатации по отношению к уменьшаемым и остающимся рискам, пропорционально требованиям и ограничениям организации;
  • необходимость балансировать инвестиции во внедрение и эксплуатацию механизмов контроля с величиной ущерба, к которому могут привести нарушения безопасности.

Механизмы контроля могут быть выбраны из этого стандарта или из других наборов механизмов контроля. Также могут быть разработаны новые механизмы контроля для удовлетворения специфическим потребностям организации. Необходимо осознавать, что некоторые механизмы контроля могут быть неприменимы для каждой информационной системы или окружения и могут быть практически невыполнимы для некоторых организаций. Например, 10.1.3 описывает, как могут быть разграничены обязанности для предотвращения мошенничества или ошибки. У небольших организаций может не быть возможности разграничить все обязанности, и для достижения той же цели контроля может потребоваться применение других методов. В качестве другого примера, 10.10 описывает, как может осуществляться мониторинг системы и сбор свидетельств. Описанные механизмы контроля, например, регистрация событий, могут вступать в противоречие с действующим законодательством, таким как защита персональных данных клиентов или сотрудников.

Механизмы контроля информационной безопасности должны рассматриваться на стадии разработки системных и проектных требований, а также на стадии проектирования. Невыполнение этого условия, может привести к дополнительным расходам и менее эффективным решениям и, возможно, в худшем случае, невозможности достигнуть адекватного уровня безопасности.

Необходимо понимать, что любой набор механизмов контроля не позволяет достичь абсолютной безопасности, и что со стороны руководства должны выполняться дополнительные действия для мониторинга, оценки и совершенствования продуктивности и эффективности механизмов контроля безопасности для достижения целей организации.

Анализ рисков

Анализ рисков – это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

  • Идентификация ключевых ресурсов АС;
  • Определение важности тех или иных ресурсов;
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
  • Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

  • Информационные ресурсы;
  • Программное обеспечение;
  • Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

  • Данные были раскрыты, изменены, удалены или стали недоступны;
  • Аппаратура была повреждена или разрушена;
  • Нарушена целостность ПО.

Идентификации и определение уровня угроз безопасности

Типичные угрозы безопасности включают в себя:

  • локальные и удаленные атаки на ресурсы АС;
  • стихийные бедствия;
  • ошибки персонала;
  • сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.

Под уровнем угрозы понимается вероятность ее осуществления.

Идентификация и оценка уязвимостей

Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.

Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

  • уменьшая вероятность осуществления угроз безопасности;
  • ликвидируя уязвимости или уменьшая их величину;
  • уменьшая величину возможного ущерба;
  • выявление атак и других нарушений безопасности;
  • способствуя восстановлению ресурсов АС, которым был нанесен ущерб.

Программные продукты для анализа рисков

Обзор наиболее известных и популярных в прошлом программных продуктов, предназначенных для оценки и управления рисками информационной безопасности.

ПродуктОписание
RA2 art of risk

AEXIS Security Consultants

XiSEC Consultants Ltd
В RA2 art of risk реализован простой для понимания процессный подход. Процесс управления рисками может настраиваться под потребности конкретной организации. Для успешной оценки и управления рисками необходимо собирать информацию из различных источников в организации. RA2 art of risk включает специальный модуль – RA2 Information Collection Device, который может быть установлен в любом месте в организации для сбора информации для процесса оценки рисков. Когда процесс проектирования и внедрения СУИБ завершается RA2 art of risk позволяет создать архив для хранения результатов этого процесса. Эти результаты могут быть взяты за основу для проведения следующей оценки рисков. RA2 является эффективной системой поддержки принятия решений по управлению информационными рисками для современного бизнеса.
 vsRiskIT GovernanceVigilant SoftwareПрограммное обеспечение для оценки рисков информационной безопасности в соответствии с требованиями стандартов ISO 27001 и BS 7799-3. vsRisk Risk Assessment Tool – это совершенно новый и уникальный в своем роде инструмент для оценки рисков:
Разработан в четком соответствии с ISO/IEC 27001Позволяет оценивать риски нарушения конфиденциальности, целостности, и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательствПоддерживает ISO 27001Поддерживает ISO/IEC 17799Соответствует BS7799-3:2006Поддерживает ISO/IEC TR 13335-3:1998Соответствует NIST SP 800-30Для упрощения процедуры оценки риски используются визардыСодержит интегрированную, регулярно обновляемую базу данных угроз и уязвимостей, соответствующую требованиям BS7799-3Интергируется с инструментальным комплектом: ISMS Documentation Toolkit
Callio Secura 17799

Callio Technologies
Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки продуктов анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS7799/ISO17799. Callio Secura 17799 представляет собой инструмент для разработки, внедрения, управления и сертификации Системы Управления Информационной Безопасностью (СУИБ) на основе международного стандарта ISO 17799 / BS 7799. Callio Toolkit Pro 17799 предназначен для освоения требований стандарта BS7799/ISO 17799 и получения вводной информации о его внедрении предлагается использовать Callio Toolkit Pro 17799. Этот инструмент представляет собой серию документов и утилит объединенных с целью помочь понять стандарт и привести систему управления информационной безопасности в соответствие с его базовыми требованиями.
CRAMM

Insight Consulting LimitedCRAMM User Group
Метод анализа и управления рисками CRAMM и соответствующий программный инструментарий, является правительственным стандартом Великобритании и широко распространен во всем мире. CRAMM реализует комплексный подход к оценке рисков, сочетая количественные и качественные методы оценки. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций – Правительственный профиль (Government profile).
RiskWatch

RiskWatch Inc.
RiskWatch фактически является американским стандартом в области анализа и управления рисками. Аналогично методу CRAMM, RiskWatch использует в качестве критериев для оценки и управления рисками предсказания годовых потерь (Annual Loss Expectancy – ALE) и оценку возврата от инвестиций (Return on Investment – ROI).
COBRA

Risk Associates
COBRA –  Consultative Objective and Bi-Functional Risk Analysis является средством анализа рисков и оценки соответствия стандарту BS7799, реализующим методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем и oбширная база знаний по угрозам и уязвимостям и большое количество вопросников. В семейство программных продуктов COBRA входят также COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.
Buddy System

Countermeasures Corp.
Buddy System является программным продуктом, позволяющим осуществлять как количественный, так и качественный анализ рисков. Содержит развитые средства генерации отчетов. Основной акцент делается на информационные риски, связанные с нарушением физической безопасности и управление проектами.
MethodWareMethodWare Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799; ПО управления жизненным цик­лом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками; ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder. Risk Advisor позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях.
Proteus InfoGovProteus – мощная система для поддержки процессов СУИБ, включающая в себя средства контроля соответствия и гэп анализа, оценки влияния на бизнес, оценки рисков, управления непрерывностью бизнеса, управления инцидентами, управления активами и организационными ролями, а также репозитарий политик и средства планирования. Движок Контроля соответствия (Compliance engine) поддерживает любые стандарты (международные, отраслевые и корпоративные) и поставляется вместе с набором шаблонов опросников. Система масштабируется от однопользовательской версии до многопользовательской, позволяющей управлять информационной безопасностью в крупнейших международных корпорациях. Все действия, производимые в системе, регистрируются в журнале аудита. Система позволяет проводить онлайн аудиты во внутренних подразделениях и у внешних поставщиков. Обеспечана полная поддержка стандартов BS ISO/IEC 27001, BS ISO/IEC 17799, PCI, ISF SOGP, NIST Combined Code, Sarbanes Oxley, GLB, Data Protection Act, Freedom of Information Act, Caldicott, Basel II, BS25999, Civil Contingency Bill. Реализовано совместное использование данных между процессами Анализа влияния на бизнес и Оценки рисков. Proteus RiskView представляет информацию о Корпоративном управлении, Соответствии требованиям и Рисках для руководства в реальном времени в графической форме. Мощные средства создания отчетов на основе Business Objects и т.д. 
РискМенеджерИнститут системного анализа РАНРискМенеджер – система автоматизации управления рисками, аудита, контроля, мониторинга безопасности банковских и других критических систем, инфраструктур и бизнес-процессов. Система «РискМенеджер-Анализ» автоматизирует: Построение моделей угроз, моделей событий рисков, оценки рискообразующих потенциалов угроз, объектов, организационных структур, бизнес-процесов; Построение моделей защиты, моделей влияния средств защиты на изменение безопасности системы, расчета рископонижающих потенциалов мер защиты, выбора наиболее эффективных комплексов мер защиты по критерию эффективность-стоимость; Расчет рисков нарушения безопасности, расчет остаточных рисков после применения возможных вариантов комплексов мер защиты; Контроль качества требований к безопасности системы на актуальность, полноту, непротиворечивость; отсутствие дублирования, влияния на  конкурентоспособность организации и обоснование внесения  изменений в системы требований к безопасности. 
Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *