Управление рисками информационной безопасности реферат
Обновлено: 05.07.2024
Риск информационной безопасности – это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации.
ВеличинаРиска=ВероятностьСобытия*РазмерУщерба, где
ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
Цели процесса анализа рисков ИБ:
1. Идентифицировать активы и оценить их ценность
2. Идентифицировать угрозы активам и уязвимости в системе защиты
3. Просчитать вероятность реализации угроз и их влияние на бизнес
4. Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
Этапы 1-3: оценка риска (risk assessment), т.е. сбор имеющейся информации.
Этап 4: анализ рисков (risk analysis), т.е. изучение собранных данных, предоставление указаний для дальнейших действий (выбор способа обработки для каждого из оцененных и актуальных киберрисков, выбор финансово приемлемого уровня рисков).
Способы обработки киберриска:
игнорировать, принять, избежать, передать, минимизировать.
Пример количественного анализа рисков:
EF - exposure factor, фактор открытости перед угрозой, т.е. какой процент актива разрушит угроза при её успешной реализации.
ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными.
Значение SLE вычисляется как произведение расчётной стоимости актива и значения EF:
SLE=AssetValue*EF
Значение ALE вычисляется как произведение SLE и ARO:
ALE=SLE*ARO
Ценность мер защиты:
(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) - (ALE после внедрения мер защиты) - (Ежегодные затраты на реализацию мер защиты)
Пример качественного анализа рисков:
Положение ЦБ РФ от 08.04.2020 №716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе“
Содержит требование о включении рисков ИБ и рисков отказов информационных систем в список операционных рисков, от величины которых зависит требуемый размер достаточности капитала банка.
Процедуры управления операционным риском:
1. Идентификация риска:
анализ базы событий
анализ динамики количественных показателей (ключевых индикаторов риска)
анализ результатов регуляторных проверок
анализ результатов внешнего аудита
анализ поступающих сигналов от сотрудников.
2. Сбор и регистрация информации о событиях операционного риска:
автоматизированное (из информационных систем), неавтоматизированное (экспертным методом), алгоритмизированное выявление информации о рисках
классификация рисковых событий
оценка потерь, стоимости возмещения потерь
регистрация рисковых событий в базе событий
обновление информации, актуализация источников информации.
3. Количественная и качественная оценка уровней операционного риска.
Организации сами разрабатывают способы оценки.
4. Выбор и применение способов реагирования на риск.
Перечень мер для минимизации рисков приведен в приложении №3 к Положению.
5. Мониторинг рисков:
анализ индикаторов риска и статистики
контроль выполнения мероприятий
Методологии риск-менеджмента:
1. Фреймворк "NIST Risk Management Framework" на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США) включает в себя набор взаимосвязанных т.н. "специальных публикаций" (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):
1.1. Стандарт NIST SP 800-39 "Managing Information Security Risk" ("Управление рисками информационной безопасности") предлагает трехуровневый подход к управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.
1.2. Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управления рисками для информационных систем и организаций") предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.
1.3. Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Руководство по проведению оценки рисков") сфокусирован на ИТ, ИБ и операционных рисках, описывает подход к процессам подготовки и проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.
1.4. Стандарт NIST SP 800-137 "Information Security Continuous Monitoring" ("Непрерывный мониторинг информационной безопасности") описывает подход к процессу мониторинга информационных систем и ИТ-сред в целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.
2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):
3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки.
4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и бизнес-процессов компании.
5. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.
6. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.
7. Методология FAIR (Factor Analysis of Information Risk) - проприетарный фреймворк для проведения количественного анализа рисков, предлагающий модель построения системы управления рисками на основе экономически эффективного подхода, принятия информированных решений, сравнения мер управления рисками, финансовых показателей и точных риск-моделей.
8. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управление рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление и культура, а также информация, коммуникация и отчетность.
1. На этапе определения рисков организации следует выявить:
предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков
ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
риск-толерантность, т.е. терпимость к рискам - приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками
приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
2. На этапе оценки рисков организации следует выявить:
угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации
внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.
ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами
вероятность возникновения ущерба.
В итоге организация получает детерминанты риска, т.е. уровень ущерба и вероятность возникновения ущерба для каждого риска.
Для обеспечения процесса оценки рисков организация предварительно определяет:
инструменты, техники и методологии, используемые для оценки риска
допущения относительно оценки рисков
ограничения, которые могут повлиять на оценки рисков
роли и ответственность
способы сбора, обработки и передачи информации об оценке рисков в пределах организации
способы проведения оценки рисков в организации
частота проведения оценки рисков
способы получения информации об угрозах (источники и методы).
3. На этапе реагирования на риск организация выполняет следующие работы:
разработка возможных планов реагирования на риск
оценка возможных планов реагирования на риск
определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации
реализация принятых планов реагирования на риск.
Для обеспечения возможности реагирования на риски организация определяет типы возможной обработки рисков (принятие, избегание, минимизация, разделение или передача риска), а также инструменты, технологии и методологии для разработки планов реагирования, способы оценки планов реагирования и методы оповещения о предпринятых мерах реагирования в рамках организации и/или внешних контрагентов.
4. На этапе мониторинга рисков решаются следующие задачи:
проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ
определение текущей эффективности мер реагирования на риски
определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
Организации описывают методы оценки нормативного соответствия и эффективности мер реагирования на риски, а также то, как контролируются изменения, способные повлиять на эффективность реагирования на риски.
Управление рисками ведется на уровнях организации, бизнес-процессов и информационных систем, при этом следует обеспечивать взаимосвязь и обмен информацией между данными уровнями в целях непрерывного повышения эффективности осуществляемых действий и коммуникации рисков всем стейкхолдерам.
Уровень организации: принятие решений, финансирование, назначение ответственных.
Уровень бизнес-процессов: архитектура рабочих процессов, в т.ч. процессов ИБ.
Уровень информационных систем: реализация мер управления рисками.
Основные парадигмы:
обеспечение безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла
Читайте также: