Файл: Учебнометодическое пособие к практическим работам основная профессиональная образовательная программа.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.11.2023
Просмотров: 279
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
следующие виды активов:
– информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, техническая документация, обучающие материалы и пр.);
– программное обеспечение;
– материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
– сервисы (поддерживающая инфраструктура);
– сотрудники организации, их квалификация и опыт;
– нематериальные ресурсы (репутация и имидж организации).
Информационные ресурсы. Различаются следующие категории информационных ресурсов, подлежащих защите:
– информация, составляющая государственную тайну;
– конфиденциальная информация ограниченного доступа (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне;
– данные, критичные для функционирования ИС и работы бизнес подразделений.
Для первых двух категорий информационных ресурсов в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.
К последней категории относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес-подразделений.
Информационные активы (или виды информации) оцениваются с точки зрения нанесения организации ущерба от их раскрытия, модификации или недоступности в течение определенного времени.
Программное обеспечение, материальные ресурсы и сервисы. Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности, т. е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов организации к ним будет нарушен доступ и вследствие этого компания понесет убытки.
Сотрудники организации. Сотрудники организации с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение
определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
Репутация организации. Репутация организации оценивается в связи с информационными ресурсами: какой ущерб репутации организации будет нанесен в случае нарушения безопасности информации организации.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам организации. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом, так как инцидент – событие, указывающее на действительную, мнимую или вероятную реализацию угрозы, возникает в случае появления комплементарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, или, другими словами, определить вероятность реализации угрозы через уязвимость. Под уровнем угрозы понимается вероятность ее осуществления. Оценка угроз включает в себя:
–определение уязвимых мест системы;
–анализ вероятности угроз, направленных на использование
этих уязвимых мест;
–оценка последствий успешной реализации каждой угрозы;
–оценка стоимости возможных мер противодействия;
–выбор оправданных механизмов защиты (возможно, с использованием стоимостного анализа).
Оценка уязвимостей активов ИС, обусловленных слабостями их защиты, предполагает определение вероятности успешного осуществления угроз безопасности.
Угрозы и уязвимости, а также их вероятность определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Величина риска определяется на основе стоимости актива, уровня угрозы и величины уязвимости. С их увеличением возрастает и величина риска. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину, т. е. дать им количественную и/или качественную оценку [10,13,15-20,22,31].
Разработка методики оценки риска – достаточно трудоемкая задача. Во-первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, угрозы и уязвимости. Задача заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе. На сегодняшний день существует два основных метода оценки рисков информационной безопасности, основанных на построении: модели угроз и уязвимостей и модели информационных потоков.
Наибольшую известность приобрели международные и национальные стандарты, а также инструментарий в области оценки и управления информационными рисками – ISO 17799, ISO 15408, ISO 27001, ISO 13335, BS 7799, NIST, BSI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION (CLUSIF, Франция), RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и др.
Например, в ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационные технологии. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» [25], расчет количественной оценки риска информационной безопасности дается следующей классической формулой:
R=Р(V) D,
где R – информационный риск; D – величина возможного ущерба; Р(V) – вероятность реализации определенной угрозы через некоторые уязвимости.
В стандарте РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [31], оценка степени возможности реализации угрозы информационной безопасности производится по следующей качественно-количественной шкале: нереализуемая угроза – 0%, средняя – от 21% до 50% и т. д. Определение степени тяжести последствий для разных типов информационных активов предлагается оценивать с использованием качественно-количественной шкалы, т. е. минимальное – 0,5% от величины капитала банка, высокое – от 1,5% до 3% от величины капитала банка.
Для выполнения качественной оценки рисков информационной безопасности используется таблица соответствия степени тяжести последствий и вероятности реализации угрозы. Расчет количественной оценки риска информационной безопасности дается по формуле, приведенной выше.
Выбор критериев принятия рисков лежит в основе этапа обработки информационных рисков, в процессе которого определяется какие действия по отношению к рискам требуется выполнить в организации. Основные критерии обработки рисков:
– принятие рисков;
– уклонение от рисков;
– передача рисков;
– снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, т. е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков — полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую компанию) без устранения источника риска.
Снижение рисков — выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Как правило, это решается с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке.
Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят руководители и главные финансисты организации. Например, если руководство организации декларирует, что низкий уровень риска считается приемлемым, то дальнейшие действия по обработке рисков определяются только для средних и высоких уровней риска, причем средний и высокий уровни риска требуется снизить до низкого (приемлемого) уровня.
В случае, когда в организации наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
По результатам этапа «Выбор критериев принятия рисков» составляется «Отчет об обработке информационных рисков организации», который подробно описывает методы обработки рисков. Кроме этого, составляется «План снижения рисков», где четко описываются конкретные меры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
– лиц, ответственных за реализацию данных мероприятий и средств;
– сроков реализации мероприятий и приоритетов их выполнения;
– ресурсов для реализации таких мероприятий;
– уровней остаточных рисков после внедрения мероприятий и средств управления.
Определение набора адекватных контрмер осуществляется в ходе построения подсистемы ИБ ИС и управления рисками. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами:
– информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, техническая документация, обучающие материалы и пр.);
– программное обеспечение;
– материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
– сервисы (поддерживающая инфраструктура);
– сотрудники организации, их квалификация и опыт;
– нематериальные ресурсы (репутация и имидж организации).
Информационные ресурсы. Различаются следующие категории информационных ресурсов, подлежащих защите:
– информация, составляющая государственную тайну;
– конфиденциальная информация ограниченного доступа (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне;
– данные, критичные для функционирования ИС и работы бизнес подразделений.
Для первых двух категорий информационных ресурсов в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.
К последней категории относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес-подразделений.
Информационные активы (или виды информации) оцениваются с точки зрения нанесения организации ущерба от их раскрытия, модификации или недоступности в течение определенного времени.
Программное обеспечение, материальные ресурсы и сервисы. Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности, т. е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов организации к ним будет нарушен доступ и вследствие этого компания понесет убытки.
Сотрудники организации. Сотрудники организации с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение
определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
Репутация организации. Репутация организации оценивается в связи с информационными ресурсами: какой ущерб репутации организации будет нанесен в случае нарушения безопасности информации организации.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам организации. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
-
Определение угроз и уязвимостей для идентифицированных активов
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом, так как инцидент – событие, указывающее на действительную, мнимую или вероятную реализацию угрозы, возникает в случае появления комплементарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, или, другими словами, определить вероятность реализации угрозы через уязвимость. Под уровнем угрозы понимается вероятность ее осуществления. Оценка угроз включает в себя:
–определение уязвимых мест системы;
–анализ вероятности угроз, направленных на использование
этих уязвимых мест;
–оценка последствий успешной реализации каждой угрозы;
–оценка стоимости возможных мер противодействия;
–выбор оправданных механизмов защиты (возможно, с использованием стоимостного анализа).
Оценка уязвимостей активов ИС, обусловленных слабостями их защиты, предполагает определение вероятности успешного осуществления угроз безопасности.
Угрозы и уязвимости, а также их вероятность определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
-
Оценка рисков для возможных случаев успешной реализации угроз информационной безопасности
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Величина риска определяется на основе стоимости актива, уровня угрозы и величины уязвимости. С их увеличением возрастает и величина риска. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину, т. е. дать им количественную и/или качественную оценку [10,13,15-20,22,31].
Разработка методики оценки риска – достаточно трудоемкая задача. Во-первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, угрозы и уязвимости. Задача заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе. На сегодняшний день существует два основных метода оценки рисков информационной безопасности, основанных на построении: модели угроз и уязвимостей и модели информационных потоков.
Наибольшую известность приобрели международные и национальные стандарты, а также инструментарий в области оценки и управления информационными рисками – ISO 17799, ISO 15408, ISO 27001, ISO 13335, BS 7799, NIST, BSI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION (CLUSIF, Франция), RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и др.
Например, в ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационные технологии. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» [25], расчет количественной оценки риска информационной безопасности дается следующей классической формулой:
R=Р(V) D,
где R – информационный риск; D – величина возможного ущерба; Р(V) – вероятность реализации определенной угрозы через некоторые уязвимости.
В стандарте РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [31], оценка степени возможности реализации угрозы информационной безопасности производится по следующей качественно-количественной шкале: нереализуемая угроза – 0%, средняя – от 21% до 50% и т. д. Определение степени тяжести последствий для разных типов информационных активов предлагается оценивать с использованием качественно-количественной шкалы, т. е. минимальное – 0,5% от величины капитала банка, высокое – от 1,5% до 3% от величины капитала банка.
Для выполнения качественной оценки рисков информационной безопасности используется таблица соответствия степени тяжести последствий и вероятности реализации угрозы. Расчет количественной оценки риска информационной безопасности дается по формуле, приведенной выше.
-
Выбор критерия принятия рисков
Выбор критериев принятия рисков лежит в основе этапа обработки информационных рисков, в процессе которого определяется какие действия по отношению к рискам требуется выполнить в организации. Основные критерии обработки рисков:
– принятие рисков;
– уклонение от рисков;
– передача рисков;
– снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, т. е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков — полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую компанию) без устранения источника риска.
Снижение рисков — выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Как правило, это решается с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке.
Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят руководители и главные финансисты организации. Например, если руководство организации декларирует, что низкий уровень риска считается приемлемым, то дальнейшие действия по обработке рисков определяются только для средних и высоких уровней риска, причем средний и высокий уровни риска требуется снизить до низкого (приемлемого) уровня.
В случае, когда в организации наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
-
Подготовка плана обработки рисков
По результатам этапа «Выбор критериев принятия рисков» составляется «Отчет об обработке информационных рисков организации», который подробно описывает методы обработки рисков. Кроме этого, составляется «План снижения рисков», где четко описываются конкретные меры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
– лиц, ответственных за реализацию данных мероприятий и средств;
– сроков реализации мероприятий и приоритетов их выполнения;
– ресурсов для реализации таких мероприятий;
– уровней остаточных рисков после внедрения мероприятий и средств управления.
Определение набора адекватных контрмер осуществляется в ходе построения подсистемы ИБ ИС и управления рисками. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами: