Оценка и обработка рисков информационной безопасности

Термины и определения в области управления информационными рисками

Актив (ресурс) – все, что имеет ценность для организации [ISO/IEC 13335-1:2004].

Конфиденциальность – свойство, заключающееся в недоступности информации или нераскрытии ее содержания для неавторизованных лиц, субъектов или процессов [ISO/IEC 13335-1:2004].

Целостность – свойство, заключающееся в обеспечении точности и полноты ресурсов [ISO/IEC 13335-1:2004].

Доступность – свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется [ISO/IEC 13335-1:2004].

Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации; дополнительно также могут подразумеваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность [ISO/IEC 17799:2005].

Событие информационной безопасности – идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности [ISO/IEC TR 18044:2004].

Инцидент информационной безопасности – одно или серия нежелательных или неожиданных событий информационной безопасности, имеющих значительную вероятность нарушения бизнес-операций или представляющих угрозу для информационной безопасности [ISO/IEC TR 18044:2004].

Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации [ISO/IEC 13335-1:2004].

Уязвимость – слабость ресурса или группы ресурсов, которая может использоваться при реализации одной или более угроз [ISO/IEC 13335-1:2004].

Воздействие – неблагоприятное изменение уровня достижения целей бизнеса.

Риск – комбинация вероятности события и его последствий [ISO Guide 73:2002].

Риск информационной безопасности – потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.

ПРИМЕЧАНИЕ. Определяется в терминах комбинации вероятности события и его последствий.

Остаточный риск – риск, остающийся после обработки риска [ISO Guide 73:2002].

Идентификация риска – процесс, направленный на нахождение, перечисление и описание элементов риска [ISO/IEC Guide 73:2002].

Анализ риска – систематическое использование информации для идентификации источников и оценки величины риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков.

ПРИМЕЧАНИЕ 2. Информация может включать в себя исторические данные, теоретический анализ, компетентные мнения и интересы владельцев бизнеса.

Расчет риска – процесс присвоения значений вероятности и последствиям риска [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihood» вместо математического термина «probability».

Оценивание риска – процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска [ISO Guide 73:2002].

Оценка риска – общий процесс анализа и оценивания риска [ISO Guide 73:2002].

Обработка риска – процесс выбора и реализации мер по модификации риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Термин «обработка риска» иногда используется для обозначения самих мер.

ПРИМЕЧАНИЕ 2. Меры по обработке риска могут включать в себя избежание, уменьшение, передачу или сохранение риска.

ПРИМЕЧАНИЕ 3. В BS 7799-3 термин «механизм контроля» используется в качестве синонима для  термина «мера».

Избежание риска – решение не принимать участия в ситуации, сопряженной с риском, или действие, направленное на выход из нее [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Решение может быть принято на основании результатов оценивания риска.

Уменьшение риска – меры, принимаемые для снижения вероятности или негативных последствий, связанных с риском, или того и другого [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ. В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihoo»” вместо математического термина «probability».

Сохранение (принятие) риска – принятие бремени убытка или извлекаемой выгоды от конкретного риска [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ. В контексте рисков информационной безопасности при описании сохранения риска учитываются только негативные последствия (убытки).

Передача риска – разделение с другой стороной бремени убытка или извлекаемой выгоды, связанной с риском [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ 1. В контексте рисков информационной безопасности при описании передачи риска учитываются только негативные последствия (убытки).

ПРИМЕЧАНИЕ 2. Требования законодательства или нормативной базы могут ограничивать, запрещать или предписывать передачу определенного риска.

ПРИМЕЧАНИЕ 3. Передача риска может осуществляться путем заключения договоров страхования или других договоров.

ПРИМЕЧАНИЕ 4. Передача риска может порождать другие риски или модифицировать существующий риск.

ПРИМЕЧАНИЕ 5. Перемещение источника не является передачей риска.

Контроль риска – действия, реализующие решения по управлению риском [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Контроль риска может включать в себя мониторинг, повторное оценивание и исполнение принятых решений.

Критерии риска – показатели, при помощи которых оценивается значимость риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Критерии риска могут включать в себя связанные с ним расходы и извлекаемые выгоды, требования законодательства и нормативной базы, социально-экономические аспекты и аспекты, связанные с окружающей средой, интересы владельцев бизнеса, приоритеты и другие входные данные для оценки.

Управление риском – скоординированные действия по управлению и контролю организации в отношении риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Управление риском обычно включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Система управления рисками – набор элементов системы управления организацией, предназначенных для управления рисками [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Элементы системы управления могут включать в себя стратегическое планирование, принятие решений и другие процессы, имеющие дело с рисками.

ПРИМЕЧАНИЕ 2. Культура организации отражается в ее системе управления рисками.

Коммуникация риска – обмен или совместное использование информации о риске между лицом, принимающим решения, и другими заинтересованными сторонами [ISO/IEC Guide 73:2002].

ПРИМЕЧАНИЕ: Информация может относиться к существованию, природе, форме, вероятности, опасности, приемлемости, обработке или другим аспектам риска.

Система управления информационной безопасностью (СУИБ) – та часть общей системы управления, основанной на оценке бизнес рисков, которая  предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.

ПРИМЕЧАНИЕ: Система управления включает в себя организационную структуру, политики, действия по планированию, распределение ответственности, практики, процедуры, процессы и ресурсы.

Декларация о применимости – документированное заявление, описывающее цели и механизмы контроля, которые имеют отношение и применимы к СУИБ организации.

ПРИМЕЧАНИЕ: Цели и механизмы контроля базируются на результатах и выводах, полученных в процессе оценки рисков и обработки рисков, законодательных требованиях и требованиях нормативной базы, договорных обязательствах и бизнес-требованиях организации к информационной безопасности.

Оценка и обработка рисков (BS ISO/IEC 27002:2005 RU, раздел 4)

Оценка рисков безопасности

Оценки рисков должны идентифицировать, измерять и приоритезировать риски в соответствии с критериями принятия рисков и целями организации. Результаты должны определять и направлять необходимые действия руководства, а также приоритеты для управления рисками информационной безопасности и внедрения механизмов контроля, выбранных для защиты от этих рисков. Для охвата различных частей организации или отдельных информационных систем, может потребоваться выполнять процесс оценки рисков и выбора механизмов контроля несколько раз.

Оценка рисков должна включать в себя систематический подход к вычислению величины рисков (анализ рисков) и процесс сравнения величины рисков с установленными критериями для определения значимости рисков (оценивание рисков).

Оценки рисков также должны проводиться периодически с целью учета изменений в требованиях безопасности и в ситуации с рисками, например, в ресурсах,  угрозах, уязвимостях, последствиях, оценивании рисков, а также когда происходят другие существенные изменения. Эти оценки рисков должны проводиться на методологической основе, позволяющей получать сравнимые и воспроизводимые результаты.

Оценка рисков информационной безопасности, чтобы быть эффективной, должна иметь четко определенную область действия и должна включать в себя, если необходимо, взаимосвязи с оценками рисков в других областях.

Областью оценки рисков может являться вся организация, части организации, отдельная информационная система, компоненты системы или сервисы, там, где это оправдано, практично и полезно. Примеры методологии оценки рисков обсуждаются в ISO/IEC TR 13335-3 (Руководство по управлению безопасностью ИТ: Методы управления безопасностью ИТ).

Обработка рисков безопасности

Прежде, чем переходить к обработке рисков, организация должна принять решение о критериях для определения того, может ли риск быть принят или нет. Риски могут быть приняты, если, например, уровень риска оценивается как низкий или стоимость его обработки для организации является экономически неоправданной. Эти решения должны быть документированы.

Для всех рисков, идентифицированных в ходе оценки рисков, должны быть приняты решения по обработке рисков. Возможные способы обработки рисков включают в себя:

• применение подходящих механизмов контроля для уменьшения рисков;
• сознательное и объективное принятие рисков, если они полностью удовлетворяют политике организации и критериям принятия рисков;
• избежание рисков, путем недопущения действий, которые могут привести к возникновению рисков;
• передача рисков другой стороне, например, страховщикам или поставщикам.

Для тех рисков, в отношении которых было принято решение по обработке рисков путем применения соответствующих механизмов контроля, эти механизмы контроля должны быть выбраны и внедрены для выполнения требований, идентифицированных в ходе оценки рисков. Механизмы контроля должны гарантировать, что риски будут уменьшены до приемлемого уровня, принимая во внимание:

• требования и ограничения национального и международного законодательства и нормативной базы;
• цели организации;
• эксплуатационные требования и ограничения;
• стоимость внедрения и эксплуатации по отношению к уменьшаемым и остающимся рискам, пропорционально требованиям и ограничениям организации;
• необходимость балансировать инвестиции во внедрение и эксплуатацию механизмов контроля с величиной ущерба, к которому могут привести нарушения безопасности.

Механизмы контроля могут быть выбраны из этого стандарта или из других наборов механизмов контроля. Также могут быть разработаны новые механизмы контроля для удовлетворения специфическим потребностям организации. Необходимо осознавать, что некоторые механизмы контроля могут быть неприменимы для каждой информационной системы или окружения и могут быть практически невыполнимы для некоторых организаций. Например, 10.1.3 описывает, как могут быть разграничены обязанности для предотвращения мошенничества или ошибки. У небольших организаций может не быть возможности разграничить все обязанности, и для достижения той же цели контроля может потребоваться применение других методов. В качестве другого примера, 10.10 описывает, как может осуществляться мониторинг системы и сбор свидетельств. Описанные механизмы контроля, например, регистрация событий, могут вступать в противоречие с действующим законодательством, таким как защита персональных данных клиентов или сотрудников.

Механизмы контроля информационной безопасности должны рассматриваться на стадии разработки системных и проектных требований, а также на стадии проектирования. Невыполнение этого условия, может привести к дополнительным расходам и менее эффективным решениям и, возможно, в худшем случае, невозможности достигнуть адекватного уровня безопасности.

Необходимо понимать, что любой набор механизмов контроля не позволяет достичь абсолютной безопасности, и что со стороны руководства должны выполняться дополнительные действия для мониторинга, оценки и совершенствования продуктивности и эффективности механизмов контроля безопасности для достижения целей организации.

Анализ рисков

Анализ рисков – это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов АС;
• Определение важности тех или иных ресурсов;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

• Данные были раскрыты, изменены, удалены или стали недоступны;
• Аппаратура была повреждена или разрушена;
• Нарушена целостность ПО.

Идентификации и определение уровня угроз безопасности

Типичные угрозы безопасности включают в себя:

• локальные и удаленные атаки на ресурсы АС;
• стихийные бедствия;
• ошибки персонала;
• сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.

Под уровнем угрозы понимается вероятность ее осуществления.

Идентификация и оценка уязвимостей

Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.

Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

• уменьшая вероятность осуществления угроз безопасности;
• ликвидируя уязвимости или уменьшая их величину;
• уменьшая величину возможного ущерба;
• выявление атак и других нарушений безопасности;
• способствуя восстановлению ресурсов АС, которым был нанесен ущерб.

Программные продукты для анализа рисков

Обзор наиболее известных и популярных в прошлом программных продуктов, предназначенных для оценки и управления рисками информационной безопасности.