Аудит безопасности и методы его проведения » История » Редакция 6
Редакция 5 (R. Admin, 03.12.2023 18:11) → Редакция 6/7 (С. Антошкин, 06.12.2023 08:51)
h1. Аудит безопасности и методы его проведения
!clipboard-202311281318-0z3yx.png!
{{TOC}}
h2. Понятие аудита безопасности
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит.
*Внешний аудит* - это, как правило разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций это является обязательным требованием со стороны регуляторов или рынка.
*Внутренний аудит* - это, как правило регулярная деятельность, которая осуществляется на основании "Положения о внутренним аудите" и в соответствии с планом, подготовка которого осуществляется подразделением ИБ и утверждается руководством организации.
Цели аудита:
* Анализ рисков связанных с возможностью осуществления угроз
* Оценка текущего уровня защищенности
* Локализация узких мет в системе защиты информации
* Оценка соответствия ИС существующим стандартам в области ИБ
* Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности
Аудит безопасности должен рассматриваться как инструмент управления, детальные результаты аудита не должны предаваться третьим лицам, т.к. они содержат полное описание слабых сторон организации и возможные способы реализации угроз.
Для проведения аудита рекомендуется следующая последовательность действий:
# Подготовка к проведению аудита
** Выбор объекта аудита
** Составление команды аудиторов
** Определение объёма
** Определение критериев
** Определение сроков
# Проведение аудита
** Анализ документации
** Общий анализ состояние безопасности
** Регистрация, сбор и проверка свидетельств аудита
** Оценка результатов
** Составление отчета о результатах проверки
# Завершение аудита
** Составление итогового отчета
** Разработка мероприятий по устранению узких мест и недостатков
Для успешного аудита необходимо:
* Активное участие руководства
* Объективность и независимость аудиторов
* Компетентность в и профессионализм команды аудита
* Четкая структура процедуры аудита
* Активная реализация предложенных мер обеспечения ИБ
Аудит безопасности является инструментов оценки безопасности и управления рисками. Предотвращение угроз ИБ означает в том числе и защиту экономических, социальных и информационных интересов организации.
Важно отметить что аудит проводится по инициативе самой организации и ее руководства с целью выявления узких мест и недостатков, что делает заказчика аудита заинтересованным в получении объективных результатов и является обязательным условием для полонения таковых.
> @Это значит, что аудит будет объективном только тогда когда организация сама хочет получить объективные результаты @
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказывается задействованы представители большого количества структурных подразделений заказчика. Действия всех участников должно быть скоординировано, по этому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
* Права и обязанности аудиторов должны быть четко определены
* Аудитором совместно с заказчиком должен быть подготовлен и согласован план проведения аудита
* До всех заинтересованных лиц должно быть донесено, что они обязаны содействовать аудитору и предоставлять всю необходимую информацию
На этапе подготовки, должны быть четко определены границы аудита:
# Список обследуемых ИС
# Площадки попадающие в границы обследования
# Организационные, физические, программно-технические и прочие аспекты обеспечения ИБ, которые необходимо учесть в ходе проведения аудита
# Критерии оценки
План, границы и критерии аудита обсуждаются на рабочем собрании аудитора и заказчика аудита. Для понимания аудита может быть использована концептуальная модель
!clipboard-202311281458-0i4t2.png!
Основные составляющие процесса аудита:
* Объект аудита
* Исполнители
* Масштаб
* Порядок проведения
* Методы аудита
* Требования
* Цели аудита
С точки зрения организации работы при проведении аудита ИБ выделяют 3 принципиальных этапа:
# Сбор информации
# Анализ данных
# Выработка рекомендаций и подготовка отчетных документов
h2. Методы анализа данных при аудите ИБ
В настоящий момент используются три основных подхода к проведению аудита, которые несколько различаются между собой:
*Первый метод* - самый сложный, базируется на анализе рисков. Опираясь на методы анализов рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемкими и требует наивысшей квалификации аудитора. На качество аудита, в этом случае сильно влияет используемая методология анализа и управления рисками и ее применимости к данному типу ИС.
*Второй метод* - самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщений мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от уровня защищенности ИС, которой требуется обеспечить, ее принадлежности, а также назначения. От аудиторов в данном случае требуется правильно определить набор требований стандартов, соответствие которому требуется обеспечить это соответствие. Необходима также методика, позволяющая оценить это соответствие Из-за своей простоты и надежности, описанный подход наиболее распространен на практике. Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о соответствии ИС.
*Третий метод* - наиболее эффективный, предполагает комбинирование первых двух.
Если для проведения аудита выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:
# Анализ ресурсов ИС
# Анализ задач, решаемых системой и бизнес процессов.
# Построение моделей ресурсов ИС определяющих взаимосвязи между информационными, программными, техническими и людскими ресурсами
# Оценка критичности информационных ресурсов
# Определение наиболее вероятных угроз безопасности
# Оценка вероятности осуществления угроз
# Определение величины рисков
Оценка рисков может проводится с использованием различных качественных и количественных шкал, главное что бы риски были правильно идентифицированы и проранжированы, в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.
При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт и методические рекомендации от составителя стандарта, оценивает применимость требований к обследуемой ИС и ее соответствие этим требованиям. данные о соответствии различных областей обычно представляются в табличной форме, из которой какие требования безопасности в системе не реализованы. Исходя из этого делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности позволяющих обеспечить такое соответствие.
ХХ Вставить фото ЪЪ
h2. Анализ информационных рисков
В настоящее время используются три основных метода (подхода) к проведению аудита, которые существенно различаются между собой.
*Первый метод*, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.
*Второй метод*, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт – есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.
*Третий метод*, наиболее эффективный, предполагает комбинирование первых двух.
Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:
# Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.
# Анализ групп задач, решаемых системой, и бизнес процессов.
# Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными,
техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.
# Оценка критичности информационных ресурсов, а также программных и технических средств.
# Определение критичности ресурсов с учетом их взаимозависимостей.
# Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.
# Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.
# Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость.
Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не
меняется
Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.
При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие
---
h2. Анализ информационных рисков предприятия
*Анализ рисков* – - это то, с чего должно начинаться построение любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ. Он он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а также так же в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью вероятность причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем (ИС), систем, в случае осуществления угрозы безопасности.
Анализ рисков состоит в том, чтобы что бы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). **качественную** или **количественную** оценку)
Процесс анализа рисков предусматривает решение следующих задач:
# Идентификация ключевых ресурсов ИС.
# Определение важности тех или иных ресурсов для организации. организации
# Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.
уязвимостей
# Вычисление рисков, связанных с осуществлением угроз безопасности.
Ресурсы ИС
**Ресурсы** можно разделить на следующие категории:
* информационные ресурсы;
Информационные ресурсы
* программное обеспечение;
Программное обеспечение
* технические Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
* людские ресурсы.
Человеческие ресурсы
В каждой категории ресурсы делятся можно разделить на классы и подклассы. Необходимо подклассы, необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.
Важность (или стоимость) ресурса или стоимость ресурсов определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. случай реализации риска. Обычно рассматриваются рассматривают следующие виды ущерба:
* данные были Данные раскрыты, изменены, удалены или стали недоступны;
недоступны легитимные пользователям
* аппаратура была повреждена Аппаратные средства были повреждены или разрушена; разрушены
* нарушена Нарушена целостность программного обеспечения.
обеспечения
Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:
угроз:
* локальные Локальные и удаленные атаки на ресурсы ИС;
ИС
* стихийные бедствия;
Стихийные бедствия
* ошибки, либо Ошибки или умышленные действия персонала ИС;
* сбои Сбои в работе ИС, работе, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.
неисправности в аппаратуре
Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле
!clipboard-202312032018-ms9su.png!
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. приемлемого. Стоимость реализации контрмер должна быть меньше ниже величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба
Подход на основе анализа информационных рисков предприятия
является наиболее значимым для практики обеспечения
информационной безопасности. Это объясняется тем, что анализ риска рисок позволяет эффективно управлять ИБ предприятия. ИБ. Для этого в начале работ по анализу риска рисков необходимо определить, что именно подлежит защите на предприятии, защите, воздействию каких угроз это подвержено, повержено, и выработать рекомендации по практике практики защиты.
Анализ риска рисков производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера
Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:
* сбоев оборудования, ведущих к потере или искажению информации;
* физических воздействии, в том числе в результате стихийных бедствий;
* ошибок в программном обеспечении (в том числе недокументированных возможностей). ресурса.
Поэтому под термином «атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия
При проведении анализа риска рисков разрабатываются:
* общая Общая стратегия и тактика проведения потенциальным нарушителем «наступательных операций и боевых действий»;
* возможные Возможные способы проведения атак на систему обработки и защиты информации;
* сценарий Сценарии их осуществления противоправных действий;
* характеристики Характеристики каналов утечки информации и НСД;
* вероятности установления информационного контакта (реализации угроз);
Вероятность реализации угрозы
* перечень возможных информационных инфекций;
Модель нарушителя
* модель нарушителя;
* методика Методика оценки информационной безопасности
активов
Кроме того, для построения надежной системы защиты информации предприятия необходимо:
* выявить Выявить все возможные угрозы безопасности информации;
* оценить Оценить их последствия их проявления;
* определить необходимые Определить меры и средства защиты с учетом требований нормативных документов, экономической целесообразности, совместимости и бесконфликтности с используемым программным обеспечением;
* оценить Определить их эффективность выбранных мер и средств защиты
!clipboard-202312061129-jzg5p.png!
Здесь представлены все 6 этапов анализа риска.
На _первом_ первом этапе и _втором_ втором этапах определяются сведения, - определяем сведения которые составляют являются для предприятия коммерческую тайну нас значимыми и которые предстоит нам просит защищать. Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по каналам связи. При этом определяющим фактором в технологии обращения с информацией является архитектура ИС, которая во многом определяет защищенность информационных ресурсов предприятия
_Третий_ третий этап анализа риска – построение - построения каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый ресурсы. Понятно что каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
_Четвертый_ отдельных "точек" доступа.
четвёртый этап анализа способов - анализ методов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств. атак. Тут мы пытаемся понять как именно сейчас при неблагоприятных стечениях обстоятельств мы можем потерять информацию
На _пятом_ этапе исходя из известных пятом - считаем на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак сколько такие обстоятельства вероятны
На заключительном, _шестом_, этапе оценивается ущерб организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений по коррекции существующей системы защиты информации. При этом каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
на последнем - Оцениваем ущерб.
Величина информационного риска по каждому ресурсу определяется как произведение вероятности нападения на ресурс, вероятности реализации считаемся по формуле выше. Сложения риска по всем ресурсам дает нам суммарный риск по текущей архитектуре и угрозы внедренных СЗИ
> Стоит отметить что такой подход к анализу рисков - многие мои коллеги считают очень кривым и не точным, но что бы написать вам хорошую методику придется переписывать книжку и не одну.
h3. Подходы к управлению рисками
Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от информационного вторжения. В этом произведении могут использоваться различные способы взвешивания составляющих.
Сложение рисков по всем ресурсам дает величину суммарного используемой методики оценки и управления рисками:
Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при принятой архитектуре ИС решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и внедренной исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в нее системы защиты информации план реагирования на риски.
Таким образом, варьируя варианты построения системы защиты информации Идентификация, анализ и архитектуры ИС, становится возможным представить оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и рассмотреть различные значения суммарного оценены с точки зрения ущерба от реализации риска за счет изменения и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в соответствии с отобранным критерием принятия решения. Таким критерием зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть допустимая величина использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или отношение затрат на обеспечение информационной безопасности социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к остаточному риску.
При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на предприятии.
На сегодня известно несколько подходов к управлению рисками.
Один из наиболее распространенных проведение оценки рисков, ограничениями – _уменьшение риска_ путем недостаточная наглядность и сложность использования соответствующих способов результатов анализа рисков для экономического обоснования и средств защиты. Близким по сути оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является подход, связанный точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с _уклонением объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.
Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от риска_. Известно, что используемой методики, могут применяться такие критерии определения критичности, как ущерб от некоторых классов реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.
Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков можно уклониться: например, вынесение Webсервера организации с целью принятия относительно каждого их них одного из следующих решений:
* Избегание риска;
* Принятие риска;
* Передача риска;
* Снижение риска.
Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:
Ответственный за пределы локальной сети позволяет избежать риска несанкционированного доступа реагирование;
Описание мер реагирования;
Оценка необходимых инвестиций в локальную сеть со стороны Webклиентов меры реагирования;
Наконец, Сроки реализации этих мер.
Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в некоторых случаях допустимо _принятие риска_. Здесь важно определиться со следующей дилеммой: плане реагирования на риск действия в необходимые сроки.
Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для предприятия выгоднее – бороться с рисками или же с их последствиями. В этом случае приходится решать оптимизационную задачу
После того как определена стратегия управления рисками, организации, производится окончательная оценка мероприятий по обеспечению эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.
h4. Обзор методики CRAMM
Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение включаются все материалы помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа рисков ценности ИТ-актива для бизнеса, уязвимостей, угроз и рекомендации по вероятности их снижению. реализации.
!clipboard-202312032103-acnf4.png!
--- Процесс управления рисками по методике CRAMM состоит из следующих этапов:
h2. Методы оценивания информационных Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков предприятия
На практике используются различные методы оценки информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и управления информационными рисками на предприятиях. При этом *оценка информационных рисков* предусматривает выполнение использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.
следующих этапов
* идентификация Идентификация и количественная оценка информационных ресурсов предприятий, значимых для бизнеса;
ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:
* оценивание возможных угроз; Данные;
* оценивание существующих уязвимостей; Программное обеспечение;
* оценивание эффективности средств Физические активы.
Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.
Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании предприятия подвергаются риску, если Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.
Вычисление риска (Risk Calculation). Вычисление риска производится по отношению к ним существуют какие-либо угрозы. Другими
словами, риски характеризуют опасность, которой могут подвергаться компоненты корпоративной системы Internet/Intranet. формуле: Риск = Р (реализации) * Ущерб. При этом информационные риски компании зависят
вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от показателей ценности информационных ресурсов; «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.
Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.
С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:
* вероятности Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;
* Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации угроз для ресурсов; процессов анализа и управления рисками;
* эффективности существующих или планируемых Наличие средств обеспечения ИБ.
*Цель оценивания рисков* состоит в определении характеристик автоматизации анализа рисков корпоративной информационной системы позволяет минимизировать трудозатраты и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень ИБ предприятия. При оценивании рисков учитываются ценность ресурсов, значимость угроз время выполнения мероприятий по анализу и управлению рисками;
* Каталоги угроз, уязвимостей, эффективность существующих последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и планируемых средств защиты. Сами показатели ресурсов, значимости угроз компетентности непосредственных исполнителей мероприятий по анализу и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например при определении стоимостных характеристик, так и, качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.
Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса предприятия. управлению рисками.
При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:
методике CRAMM присущи следующие недостатки:
* привлекательностью ресурса – используется при рассмотрении угрозы от умышленного воздействия со стороны человека; Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;
* возможностью использования ресурса для получения дохода – при рассмотрении угрозы от умышленного воздействия со стороны человека; Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;
* техническими возможностями реализации угрозы – применяется при умышленном воздействии со стороны человека; Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;
* степенью легкости, с которой уязвимость может быть использована
В настоящее время известно множество табличных методов Невозможность оценить риски в деньгах затрудняет использование результатов оценки информационных рисков компании. Важно, чтобы работники службы безопасности выбрали ИБ при технико-экономическом обосновании инвестиций, необходимых для себя подходящий метод, который обеспечивал бы корректные внедрения средств и достоверные воспроизводимые результаты.
Количественные показатели информационных ресурсов рекомендуется оценивать методов защиты информации.
CRAMM широко применяется как в правительственных, так и в коммерческих организациях по результатам опросов сотрудников предприятия – владельцев информации, то есть должностных лиц, которые могут определить ценность информации, ее характеристики всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и степень критичности, исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и степени критичности информационных ресурсов времени для наихудшего варианта развития событий вплоть до рассмотрения потенциальных воздействий применения CRAMM
h4. Обзор методологии COBIT for Risk
Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на бизнес-деятельность предприятия при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, недоступности на различные сроки, вызванных отказами лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в обслуживании систем обработки данных организации и даже физическом уничтожении. к процессам качественного анализа рисков информационной безопасности и управления ими.
!clipboard-202312032106-nmm8w.png!
При этом реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс получения количественных показателей может дополняться соответствующими методиками оценивания других критически важных ресурсов предприятия, учитывающих управления ими:
* безопасность персонала; Принципы, политики, процедуры организации;
* разглашение частной информации; Процессы;
* требования по соблюдению законодательных Организационная структура;
* Корпоративная культура, этика и нормативных положений; правила поведения;
* ограничения, вытекающие из законодательства; Информация;
* коммерческие ИТ-сервисы, ИТ-инфраструктура и экономические интересы; приложения;
* финансовые потери Люди, их опыт и нарушения в производственной деятельности; компетенции.
!clipboard-202312032106-ukhcc.png!
В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:
* общественные отношения; Необходимый процесс;
* коммерческую политику и коммерческие операции; Информационные потоки;
* потерю репутации компании.
Далее количественные показатели используются там, где это допустимо Организационная структура;
* Люди и оправдано, а качественные – где количественные оценки по ряду причин затруднены. При этом наибольшее распространение получило оценивание качественных показателей при помощи специально разработанных для этих целей балльных шкал, например, с четырехбальной шкалой. компетенции.
Следующей операцией является заполнение пар опросных листов, Основным элементом анализа и управления рисками информационной безопасности в которых по каждому из типов угроз и связанной соответствии с ним группе ресурсов оцениваются уровни угроз как вероятность реализации угроз и уровни уязвимостей как степень легкости, с которой реализованная угроза способна методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к негативному воздействию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий». Необходимую информацию собирают, опрашивая ТОР-менеджеров компании, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая неопределенному (позитивному или негативному) воздействию на места достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:
* Создание и анализируя документацию компании.
Наряду с табличными методами оценки информационных рисков, могут быть использованы современные математические методы, например метод типа Дельфи, а также специальные автоматизированные системы, отдельные из которых будут рассмотрены ниже.
Общий *алгоритм процесса оценивания рисков* обслуживание портфелей ИТ-проектов;
* Управление жизненным циклом программы / проекта;
* Инвестиции в этих системах включает следующие этапы ИТ;
* описание объекта Экспертиза и мер защиты; навыки персонала ИТ;
* идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес); Операции с персоналом;
* анализ угроз информационной безопасности; Информация;
* оценивание уязвимостей; Архитектура;
* оценивание существующих ИТ-инфраструктура;
* Программное обеспечение;
* Неэффективное использование ИТ;
* Выбор и предполагаемых средств обеспечения информационной безопасности; управление поставщиками ИТ;
* оценивание рисков.
---
h2. Управление информационными рисками Соответствие нормативным требованиям;
* Геополитика;
* Кража элементов инфраструктуры;
* Вредоносное программное обеспечение;
* Логические атаки;
* Техногенное воздействие;
* Окружающая среда;
* Природные явления;
* Инновации.
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента Для каждого рискового сценария в области защиты информации. Его основная задача методологии определена степень его принадлежности к каждому типу рисков:
* Стратегические риски – объективно идентифицировать риски, связанные с упущенными возможностями использования ИТ для развития и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения повышения эффективности и рентабельности экономической основной деятельности предприятия. Поэтому под термином *«управление информационными рисками»* обычно понимается системный процесс идентификации, контроля организации;
* Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;
* Риски управления ИТ и уменьшения информационных рисков компаний в соответствии предоставления ИТ-сервисов – риски, связанные с определенными ограничениями российской нормативно-правовой базы в области защиты информации обеспечением доступности, стабильности и собственной корпоративной политики безопасности. предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.
Каждый рисковый сценарий содержит следующую информацию:
!clipboard-202312061142-jr22x.png! * Тип источника угрозы - внутренний/внешний.
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо экономически оправданные меры защиты. Периодическая (пере)оценка * Тип угрозы - злонамеренное действия, природное явление, ошибка и др.
* Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.
* Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.
* Время события.
В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков необходима для контроля эффективности деятельности информационной безопасности в области безопасности и соответствии с методологией COBIT for Risk, производится выявление актуальных для учета изменений обстановки.
Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные организации рисковых сценариев и экономичные меры мер снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:
# (пере)оценка (измерение) рисков;
# выбор эффективных и экономичных защитных средств (нейтрализация рисков)
По отношению к выявленным рискам возможны следующие действия:
* ликвидация риска (например, за счет устранения причины); Избегание риска;
* уменьшение риска (например, за счет использования дополнительных защитных средств); Принятие риска;
* принятие риска (путем выработки плана действия в соответствующих условиях): Передача риска;
* переадресация риска (например, Снижение риска.
Дальнейшее управление рисками осуществляется путем заключения страхового соглашения). анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.
!clipboard-202312032108-jy9uo.png!
*Процесс управления рисками* С точки зрения практического применения можно разделить на выделить следующие этапы:
# Выбор анализируемых объектов достоинства методологии СOBIT for Risk:
* Связь с общей библиотекой COBIT и уровня детализации возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их рассмотрения. снижению применительно к воздействию рисков на бизнес-процессы организации;
# Выбор * Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;
* Наличие понятного формализованного описания методологии оценки рисков. позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;
# Идентификация активов. * Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;
# Анализ угроз * Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и их последствий, выявление уязвимых мест в защите. необходимое время для интерпретации результатов внешних и внутренних аудитов.
# Оценка рисков. При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:
# Выбор защитных мер. * Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;
# Реализация * Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и проверка выбранных мер. согласование результатов со всеми заинтересованными лицами;
# Оценка остаточного риска. * Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.
Этапы 6 ----
h2. Методологии риск-менеджмента:
1. Фреймворк "NIST Risk Management Framework" на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национальный институт стандартов и 7 относятся технологий США) включает в себя набор взаимосвязанных т.н. "специальных публикаций" (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):
1.1. Стандарт NIST SP 800-39 "Managing Information Security Risk" ("Управление рисками информационной безопасности") предлагает трехуровневый подход к выбору защитных средств (нейтрализации рисков), остальные – к оценке управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.
Уже перечисление этапов показывает, что управление
1.2. Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управления рисками – процесс циклический. По существу, последний этап – это оператор конца цикла, предписывающий вернуться для информационных систем и организаций") предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.
1.3. Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Руководство по проведению оценки рисков") сфокусирован на ИТ, ИБ и операционных рисках, описывает подход к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Следует отметить, что выполненная процессам подготовки и тщательно документированная оценка может существенно упростить последующую деятельность. проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.
Управление рисками, как 1.4. Стандарт NIST SP 800-137 "Information Security Continuous Monitoring" ("Непрерывный мониторинг информационной безопасности") описывает подход к процессу мониторинга информационных систем и любую другую деятельность ИТ-сред в области целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.
2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):
2.1. Стандарт ISO/IEC 27005:2018 "Information technology - Security techniques - Information security risk management" («Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности, необходимо интегрировать безопасности») входит в жизненный цикл ИС. Тогда эффект оказывается наибольшим, серию стандартов ISO 27000 и является логически взаимосвязанным с другими стандартами по ИБ из этой серии. Данный стандарт отличается фокусом на ИБ при рассмотрении процессов управления рисками.
2.2. Стандарт ISO/IEC 27102:2019 "Information security management - Guidelines for cyber-insurance" («Управление информационной безопасностью. Руководство по киберстрахованию») предлагает подходы к оценке необходимости приобретения киберстраховки как меры обработки рисков, а затраты – минимальными. также к оценке и взаимодействию со страховщиком.
Управление рисками необходимо проводить 2.3. Серия стандартов ISO/IEC 31000:2018 описывает подход к риск-менеджменту без привязки к ИТ/ИБ. В этой серии стоит отметить стандарт ISO/IEC 31010:2019 "Risk management - Risk assessment techniques" - на всех этапах жизненного цикла информационной системы: *инициация* – *разработка* – *установка* – *эксплуатация* – *утилизация* (вывод из эксплуатации).
На этапе инициации известные риски следует учесть при выработке требований данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к системе вообще порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и средствам безопасности в частности.
На этапе разработки знание методикам анализа рисков помогает выбирать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности. платежной системе, включая профили рисков».
3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки.
На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании 4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и проверке ранее сформулированных требований, а полный цикл бизнес-процессов компании.
5. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.
6. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.
7. Методология FAIR (Factor Analysis of Information Risk) - проприетарный фреймворк для проведения количественного анализа рисков, предлагающий модель построения системы управления рисками должен предшествовать внедрению системы в эксплуатацию на основе экономически эффективного подхода, принятия информированных решений, сравнения мер управления рисками, финансовых показателей и точных риск-моделей.
На этапе эксплуатации 8. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управление рисками должно сопровождать все существенные изменения в системе.
При выведении системы из эксплуатации рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом. и культура, а также информация, коммуникация и отчетность.