Главная » Бухгалтерия и финансы

Анализ международных документов по управлению рисками информационной безопасности. часть 1

На чтение: 17 мин Бухгалтерия и финансы

💀 Методики анализа и оценки рисков ИБ

ТЕХНОЛОГИИ

Базовый (baseline) анализ рисков – анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ. Полный (full) анализ рисков – анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:  снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих ве- роятность реализации угрозы или коэффициент разрушительности;  устранен за счет отказа от использования подверженного угрозе ресурса;  перенесен , например, застрахован, в результате чего в случае реализации угрозы без- опасности, потери будет нести страховая компания, а не владелец ресурса;  принят . Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска 1 .

На рисунке 1 схематично изображен процесс оценки рисков информационной безопасности.

Рисунок 1 − Процесс оценки рисков информационной безопасности Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей. Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации. Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

Что входит в понятие «физические угрозы информационной безопасности»?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Проведите экспертную оценку рисков информационной безопасности

Часто лица, ответственные за информационную защиту, осуществляют выбор приоритетных мероприятий на свое усмотрение. Более эффективным является риск-ориентированный подход, который подразумевает выявление и оценку рисков информационной безопасности, которые присущи компании. Результатом этой процедуры должен стать список всех потенциальных рисков. Правильным и более полным считается анализ рисков через описание бизнес-процессов, но если на это нет времени, то можно ограничиться экспертными оценками.

В качестве экспертов следует привлекать сотрудников разных подразделений, относящихся к различным уровням управленческой иерархии. Такой подход позволит обеспечить максимально возможную в данном случае полноту анализа рисков. В связи с тем, что последствия различных угроз неравноценны, недостаточно только идентифицировать риск. Необходимо также оценить величину угрозы и вероятность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении. Поэтому после выявления рисков необходимо провести их оценку.

И для этой цели также следует привлекать внутренних экспертов. После анализа и суммирования оценок нужно определить точку отсечения, иначе говоря, выделить ту группу рисков, которые являются наиболее приоритетными, а остальные риски достаточно просто принять к сведению. И пусть приоритетных рисков окажется немного – главное, чтобы меры по их минимизации были обеспечены бюджетом и необходимыми ресурсами.

NIST SP 800-39

«Managing Information Security Risk: Organization, Mission, and Information System View»

  • предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
  • ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
  • риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
  • приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
  • угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
  • внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
  • ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
  • вероятность возникновения ущерба.
  • инструменты, техники и методологии, используемые для оценки риска;
  • допущения относительно оценки рисков;
  • ограничения, которые могут повлиять на оценки рисков;
  • роли и ответственность;
  • способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
  • способы проведения оценки рисков в организации;
  • частоту проведения оценки рисков;
  • способы получения информации об угрозах (источники и методы).
  • разработку возможных планов реагирования на риск;
  • оценку возможных планов реагирования на риск;
  • определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
  • реализацию принятых планов реагирования на риск.
  • проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
  • определение текущей эффективности мер реагирования на риски;
  • определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.

На уровне организацииНа уровне бизнес-процессовНа уровне информационных систем

  • принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
  • избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
  • разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
  • минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя — добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

  • веб-сайт и внешние хосты;
  • беспроводная сеть предприятия;
  • резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Составьте план мероприятий по повышению уровня защищенности

Планирование мероприятий по информационной безопасности необходимо для того, чтобы были определены сроки и составлен перечень работ, которые необходимы для предотвращения или минимизации ущерба в случае реализации риска. Это процедура позволяет определить, кто, где, когда, какими ресурсами и какие угрозы будет минимизировать. План мероприятий основывается на списке тех рисков, которые были признаны приоритетными, причем каждому риску должно соответствовать мероприятие по его минимизации.

Предпочтительно, чтобы одно мероприятие предназначалось для минимизации сразу нескольких рисков. Затем назначаются ответственные, определяются сроки, бюджеты, контрольные точки и т. д. Результатом процедуры планирования должен стать план-график работ по исключению или минимизации ущерба от реализованного риска

Однако недостаточно составить план – важно выполнить все предусмотренные мероприятия «точно в срок». Иначе вся предыдущая работа будет сведена к нулю.

Целью процесса управления информационной безопасностью является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения

Составной частью основного плана может быть план внедрения контрольных процедур в существующие бизнес-процессы компании. Эта мера повышает эффективность превентивной защиты, а в итоге – и уровень информационной безопасности в целом.

Слайд 7Снова термины и определенияАктивы – топор, пила, рубанок, мастерская, навыки Урфина

Джюса по обработке древесины, волшебный порошок, средства обеспечения связи с покупателями, процесс производства дуболомов, сами дуболомы и т.д.Априорные защитные меры – несгораемый шкаф (сейф).Апостериорные защитные меры – огнетушитель.Допустимый риск нарушения ИБ – 1 сгоревший дуболом в 6 месяцев.Информационный актив – информация о количестве и себестоимости дуболомов, прибыли Урфина Джюса, стоимости топора, пилы, рубанка, наличии волшебного порошка, средств обеспечения связи с покупателями, сведения о навыках Урфина Джюса по обработке древесины, контракты на производство дуболомов и т.п.Источник угрозы ИБ – Элли и ее друзья, факелы, свечи и др. огнеопасные предметы.Модель угроз ИБ – описание того, как, с помощью каких предметов и в каком количестве Элли и ее друзья могут уничтожать дуболомов.Обработка риска нарушения ИБ – обращение Урфина Джюса к Гудвину и Страшиле, а затем процесс выбора и осуществления защитных мер.Объект среды информационного актива – конторская книга, чеки, векселя, записки, пьяная болтовня и т.п.Остаточный риск нарушения ИБ – 1 сгоревший дуболом в год.Оценка риска нарушения ИБ – работа Страшилы.Риск – количество сгоревших дуболомов.Риск нарушения ИБ – количество сгоревших дуболомов.Угроза ИБ – угроза нарушения свойств ИБ — доступности, целостности или конфиденциальности информационных активов организации.Ущерб – утрата или порча дуболомов, мастерской, депрессия или пьянство Урфина Джюса и т.п. в результате действий бандитов.

Слайд 6Постановка задачиГудвин предложил Урфину Джюсу на выбор с целью защиты дуболомов:приобрести

несгораемый шкаф (сейф) за 100000 руб.;приобрести огнетушитель за 5000 руб.;в обмен на корм стоимостью 35000 руб. поручить вороне Кагги-Карр следить за тем, что собираются делать бандиты, и своевременно предупреждать Урфина Джюса об опасности.

Проблема! Что из предложенных средств должен предпочесть Урфин Джюс? Сейф надежно защитит дуболома, но только одного, да и стоит сейф дорого.Огнетушитель сравнительно дешев, но может быть использован только после того, как дуболома уже подожгут.Работа Кагги-Карр обойдется дешевле, чем сейф, но сама по себе также не способна на 100% защитить дуболома.Не в силах разобраться в свалившихся на его голову проблемах Урфин Джюс обращается к Страшиле Мудрому, известному эксперту в подобных вопросах, роль которого предстоит сыграть Вам.

Оцените эффективность системы управления информационной защитой

Если процесс управления информационной безопасностью налажен, осуществляется устойчиво и на регулярной основе, то можно приступить к анализу эффективности созданной системы. Сделать это можно простым способом – с помощью регулярной экспертной оценки ущерба от рисков и затрат на информационную безопасность. Как уже отмечалось, рекомендуется создать табличку, в которой отмечаются все инциденты, или даже базу убытков, в которую заносятся сведения обо всех случаях нарушения информационной безопасности.

На основании полученных данных можно корректировать экспертные оценки опасности рисков, что позволит повысить точность системы оценки рисков. Результаты работы сотрудников, отвечающих за информационную безопасность, следует оценивать по следующим показателям: ·

  • число зарегистрированных случаев нарушения информационной безопасности
  • оценка фактического ущерба, нанесенного нарушениями информационной безопасности
  • среднее время выполнения процедур, связанных с защитой информации
  • процент выполнения утвержденного плана мероприятий по информационной защите
  • соотношение экспертных оценок ущерба от рисков информационной безопасности и затрат на обеспечение информационной защиты

 Внедрение процесса информационной безопасности сегодня стало насущной необходимостью для большинства российских компаний. Причем эта задача особенно актуальна для предприятий среднего и малого бизнеса, которым все это еще в новинку. Наибольшую сложность представляет обеспечение регулярного управления информационной безопасностью: мероприятия по защите информации должны носить превентивный, а не реактивный характер. Если же заниматься информационной защитой в ответ на реализацию рисков, то результативность такой системы будет невысока.

Андрей КОПТЕЛОВ,

директор Департамента развития и внедрения информационных технологий Блока развития компании IDS Scheer (Россия и страны СНГ)

Слайд 8Процедуры оценки рисков нарушения ИБВ первую очередь Страшила проводит идентификацию активов,

в ходе которой выясняется, что производство дуболомов и получаемая прибыль в немалой степени зависят от наличия надежных и достоверных сведений о стоимости топора, пилы, рубанка, наличии волшебного порошка, о количестве и себестоимости дуболомов, прибыли Урфина Джюса, средств обеспечения связи с покупателями, о навыках Урфина Джюса по обработке древесины, о наличии контрактов на производство дуболомов … т.е. всего того, что ранее было названо информационными активами. Для дальнейших рассуждений обозначим их как а1, а2, а3, … аn.

Второй этап — оценка активов. Если один из перечисленных активов теряется или утрачивает свои свойства (например, конфиденциальность), то процесс производства дуболомов может утратить свою эффективность либо даже вовсе приостановиться. Это означает, что Урфин Джюс будет терять деньги до тех пор, пока актив не будет восстановлен. Поэтому, чтобы оценить активы необходимо определить ряд показателей:

Свежие новости и статьи


Статьи
10 ноября 2022

Как мы на Яндекс Почту мигрировали: кейс ALP ITSM
ALP ITSM обеспечивает IT-поддержку компаниям разного масштаба — от небольших офисов с 20 сотрудниками до международных фастфуд-гигантов. Мы помогаем нашим клиентам находить выгодные IT-решения, подбираем и устанавливаем оптимальные сервисы. Но недавно мы сами оказались в ситуации, когда нужно было отказываться от привычных решений и искать новые варианты. Рассказываем, как наша компания численностью 120 сотрудников переходила на отечественный почтовый продукт и что из этого вышло.

Статьи

5 сентября 2022

Импортозамещение и локализация ИТ-инфраструктуры. Что общего? И в чем отличия?
В чем разница между импортозамещением и локализацией ИТ? Для каких компаний подходят эти две стратегии? Значит ли их реализация, что от иностранного софта и оборудования нужно будет отказаться полностью? Разобраться в теме помог Сергей Идиятов, руководитель направления консалтинга ALP ITSM.


Статьи

22 августа 2022

Топ-5 рекомендаций для CEO: как локализовать IT-инфраструктуру?
Для компаний с центральным офисом в зарубежных странах санкционный кризис стал серьезным испытанием. При сохранении бизнеса в России нужно выделить IT-инфраструктуру локального офиса и сделать ее независимой и автономной от глобальной компании, объявившей об уходе из РФ. Этот «развод по-итальянски» требует четкого плана, ресурсов и крепких нервов. Как минимизировать риски, рассказывает Сергей Идиятов, руководитель направления консалтинга ALP ITSM, сервисной IT-компании холдинга ALP Group.


Статьи

11 мая 2022

Не можно, а нужно: рассказываем, как безболезненно перенести IT-инфраструктуру компании в российское облако. Кейс ALP ITSM

За последние два месяца российские компании столкнулись с различными сложностями, в том числе по части IT. Среди них — остановка продажи нового ПО, невозможность оплаты услуг западных сервисов, повышение цен на оборудование и всевозможные блокировки. ALP ITSM помогает клиентам найти решения, чтобы обезопасить IT-инфраструктуру в нынешних условиях. Делимся опытом миграции из зарубежных облаков в российские.

Статьи

1 апреля 2022

Автоматизируй это! Четыре бизнес-процесса, где нельзя обойтись без Service Desk.
Когда компания растет, увеличивается и количество запросов от пользователей. Однажды это превращается в «снежный ком»: техподдержка не справляется с потоком, заявки теряются, время обработки обращений все дольше, пользователи недовольны. Знакомая ситуация? Тогда нужно срочно внедрять ServiceDesk. Разбираемся, чем может помочь эта система, и какие направления стоит автоматизировать в первую очередь.

Обсуждайте вопросы информационной безопасности на совещаниях совета директоров

В соответствии со стандартами следует создать специальный комитет по информационной безопасности. Тем не менее на первом этапе достаточно регулярно включать вопросы информационной безопасности в повестку совещания совета директоров. На практике, однако, это правило очень часто не соблюдается, а обеспечение информационной защиты отдают на откуп IТ-специалистам. Делать этого не следует, так как только руководитель функционального подразделения знает все нюансы бизнес-процессов и особенности своих сотрудников.

Именно от действий руководителей подразделений в большинстве случаев зависит – реализуются или нет риски информационной безопасности. Дело в том, что сегодня основную опасность для организации представляют как раз собственные сотрудники, а не внешние хакеры. Поэтому в управлении информационной безопасностью должны участвовать все менеджеры компании, а регулярные обсуждения на совете директоров позволят обеспечить непрерывность этого процесса, а также обеспечат выделение требуемого бюджета.

Подходы к оценке ущерба и их характеристика

Категории ущерба. Выделение «материального», «нематериального» ущерба. (имиджу, репутации).

Степень ущерба Описание ущерба
Ничтожный Ущербом (угрозой) можно пренебречь
Незначительный Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно.
Умеренный Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов
Серьезный Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий со значительными финансовыми инвестициями
Критический Невозможность решения критически важных задач. Организация прекращает существование

Частоту реализации угрозы за определенный период времени также можно определить семантически .

Частота реализации угрозы Значение вероятности Вероятность реализации угрозы
Около нуля Угроза практически никогда не реализуется
1 раз за несколько лет Очень низкая Угроза реализуется редко
1 раз за год Низкая Скорее всего, угроза не реализуется
1 раз в месяц Средняя Скорее всего, угроза реализуется
1 раз в неделю Выше средней Угроза почти обязательно реализуется
1 раз за день Высокая Шансов на положительный исход нет

Управление рисками включает в себя 2 вида деятельности:

  • оценку (измерение) рисков;
  • выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы

1. Определение среды, границ и идентификация активов АС, фиксируются:

  • границы контролируемой зоны объекта эксплуатации, ИТ;
  • меры и средства физической защиты;
  • организационные меры обеспечения безопасности;
  • пользователи ИТ;
  • внешние интерфейсы ИТ, потоки информации;
  • внешняя среда ИТ.

В состав активов ИТ включаются:

  • аппаратные средства;
  • ПО;
  • информация;
  • средства обеспечения безопасности.

2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей:

  • результаты анализа соответствующих используемых мер и средств обеспечения без–ти установленным треб. ИТ;
  • печатные и электронные источники, содержащие известные уязвимости ИТ;
  • результаты работы средств выявления уязвимостей;
  • результаты тестирования средств безопасности ИТ.

3. Идентификация угроз безопасности: угрозы безопасности ИТ следующих категорий:

  • объективные/субъективные;
  • внутренние/внешние;
  • случайные/преднамеренные.

Описание угрозы безопасности должно содержать:

  • источник;
  • способ реализации;
  • уязвимость;
  • вид защищаемых активов;
  • вид воздействия;
  • нарушенное свойство безопасности.

Описание источника угрозы должно содержать:

  • тип
  • мотивацию;
  • компетентность;
  • используемые ресурсы.

4. Определение вероятности реализации угрозы: должны быть учтены:

  • мотивация, компетентность источника угрозы и используемые им ресурсы;
  • имеющиеся уязвимости;
  • наличие и эффективность мер и средств обеспечения безопасности ИТ.

6. Оценка риска

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
ПрофиСлайд
Вам также может быть интересно
.
Нарушение требований пожарной безопасности в 2021 году. штрафы выросли до 400 000 рублей
Бухгалтерия и финансы 0
Ответственность за нарушение правил пожарной безопасности
Ответственность за нарушение требований пожарной безопасности. Какие региональные нормативные акты, разъяснения МЧС, ГОСТы и
ПрофиСлайд
Дисциплинарная ответственность за нарушение требований пожарной безопасности
Бухгалтерия и финансы 0
Нарушение требований пожарной безопасности
Нарушение требований пожарной безопасности
ПрофиСлайд
25.05.2022 разъяснения мчс россии по обучению работников мерам пожарной безопасности :: разъяснения государственных органов
Бухгалтерия и финансы 0
Как организовать обучение пожарной безопасности в 2022 по новому порядку от мчс
ПрофиСлайд
Пример анализа банкротства предприятия
Бухгалтерия и финансы 0
Анализ финансового состояния должника
Методика расчета основных показателей арбитражным управляющим, используемых для анализа финансового состояния должника
ПрофиСлайд
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.