Нормативная база по управлению рисками информационной безопасности. Лекция 6

Содержание

Слайд 2

П Р О Б Л Е М А

Извечный вопрос: сколько тратить

П Р О Б Л Е М А Извечный вопрос: сколько тратить
на безопасность?
Теория ИБ → абстрактные методы анализа, оценки и управление рисками
Принципы и рекомендации общего плана:
BS 7799-3:2006 “Information security management systems – Part 3: Guidelines for information security risk management” от 17 марта 2006 г.

Слайд 3

НОРМАТИВНАЯ БАЗА УПРАВЛЕНИЯ РИСКАМИ

I. Потребность в национальном стандарте
II. Содержание британского стандарта
Оценка

НОРМАТИВНАЯ БАЗА УПРАВЛЕНИЯ РИСКАМИ I. Потребность в национальном стандарте II. Содержание британского
риска
Обработка риска
Непрерывная деятельность по управлению
III. Международные стандарты
IV. Развитие

Слайд 4

I. ПОТРЕБНОСТЬ В СТАНДАРТЕ

1. Апробация организационных стандартов по ИБ (ГОСТ 17799, ГОСТ

I. ПОТРЕБНОСТЬ В СТАНДАРТЕ 1. Апробация организационных стандартов по ИБ (ГОСТ 17799,
27001, СТО БР ИББС-1.0) в России
Работа секции ПК 27 СТК 1 ИСО/МЭК (ЕВРААС)
Работа ТК 362 «Защита информации»

Слайд 5

Организационные стандарты по ИБ в РФ

Организационные стандарты по ИБ в РФ

Слайд 6

Три источника, три составных части: историческая справка

BS 7799-1: 2005. Information security

Три источника, три составных части: историческая справка BS 7799-1: 2005. Information security
management. Code of practice for information security management (Практические правила управления информационной безопасностью)
- BS 7799-2: 2005. Information security management. Specification for information security management systems (Требования к системам управления информационной безопасности)
- BS 7799-3: 2006. Information security management systems. Guidelines for information security risk management (Руководство по управлению рисками ИБ)

Слайд 7

Взаимосвязь организационных стандартов

Взаимосвязь организационных стандартов

Слайд 8

Потребность в национальном стандарте

Требования ГОСТ 27001 к СУИБ
Требования к документации

Потребность в национальном стандарте Требования ГОСТ 27001 к СУИБ Требования к документации
при аудите и сертификации
- Потребности в методической и нормативной базах ИБ

Слайд 9

СУИБ - часть общей системы управления, основанной на оценке бизнес рисков, которая

СУИБ - часть общей системы управления, основанной на оценке бизнес рисков, которая
предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ

Нормативные требования к СУИБ в соответствии с ГОСТ 27001

Слайд 10

Нормативные требования к СУИБ в соответствии с ГОСТ 27001 (продолжение)

Нормативные требования к СУИБ в соответствии с ГОСТ 27001 (продолжение)

Слайд 11

Гармонизация российских стандартов

Требования ГОСТ 27001:2005 к СУИБ в части управления рисками

BS 7799-3:2006:

Гармонизация российских стандартов Требования ГОСТ 27001:2005 к СУИБ в части управления рисками
принципы и рекомендации по реализации требований, относящихся к процессам управления рисками и связанным с ними мероприятиям

ГОСТ 17799:2005: примеры по политике ИБ, активам, угрозам, уязвимостям, целям и механизмам контроля
ГОСТ 9001:2001: требования к документам

ГОСТ 13335-3:2007: примеры стратегий оценки рисков

Слайд 12

Международные стандарты 27000-серии

Международные стандарты 27000-серии

Слайд 13

Международные стандарты 27000-серии

Международные стандарты 27000-серии

Слайд 14

II. СОДЕРЖАНИЕ BS 7799-3

0-4. Вводная часть
5. Оценка рисков
6. Обработка риска и принятие

II. СОДЕРЖАНИЕ BS 7799-3 0-4. Вводная часть 5. Оценка рисков 6. Обработка
решения руководством
7. Непрерывные действия по управлению рисками
Приложения. Примеры активов, угроз, уязвимостей, методов оценки рисков

Слайд 15

Термины и определения

Риск - комбинация вероятности события и его последствий
Управление риском (Risk

Термины и определения Риск - комбинация вероятности события и его последствий Управление
Management) - скоординированные действия по управлению и контролю организации в отношении риска. Обычно включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске
Оценка риска (Risk Assessment) - общий процесс анализа и оценивания риска
Анализ риска (Risk Analysis) - систематическое использование информации для идентификации источников и оценки величины риска
Оценивание риска (Risk Evaluation) - процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска
Обработка риска (Risk Treatment) - процесс выбора и реализации мер по модификации риска. Меры по обработке риска могут включать в себя избежание, оптимизацию, передачу или сохранение риска

Слайд 16

Процессный подход (ISO 27001)

Процессная 4-х фазная модель менеджмента систем (Plan-Do-Check-Act) применительно к

Процессный подход (ISO 27001) Процессная 4-х фазная модель менеджмента систем (Plan-Do-Check-Act) применительно к СУИБ
СУИБ

Слайд 17

Фазы управления рисками

1) Оценка рисков, включающая анализ и оценивание рисков
2) Обработка риска – выбор

Фазы управления рисками 1) Оценка рисков, включающая анализ и оценивание рисков 2)
и реализация мер и средств безопасности
3) Контроль рисков путем мониторинга, тестирования, анализа механизмов безопасности, а также аудита системы
4) Оптимизация рисков путем модификации и обновления правил, мер и средств безопасности

Слайд 18

Процессный подход (BS 7799-3)

Процессная модель применительно к управлению рисками

Процессный подход (BS 7799-3) Процессная модель применительно к управлению рисками

Слайд 19

Методики оценки и анализа рисков

Не содержит требований к использованию конкретных методик!
Общие

Методики оценки и анализа рисков Не содержит требований к использованию конкретных методик!
требования к методике:
Возможность определения критериев для принятия риска
Возможность идентификации приемлемых уровней риска
Возможность проведения и идентификации и оценки рисков
Покрытие всех аспектов СУИБ

Слайд 20

2.1. ОЦЕНКА РИСКА

• Инвентаризация и категорирование ресурсов
• Идентификация требований (нормативных, договорных, технических)

2.1. ОЦЕНКА РИСКА • Инвентаризация и категорирование ресурсов • Идентификация требований (нормативных,
к ресурсам
• Оценивание идентифицированных ресурсов с учетом идентифицированных требований законодательства и бизнеса, а также последствий нарушения конфиденциальности, целостности и доступности
• Идентификация значимых угроз и уязвимостей для идентифицированных ресурсов
• Вычисление вероятности реализации угроз и уязвимостей
• Вычисление рисков
• Сопоставление рисков с заранее определенной шкалой риска

АНАЛИЗ РИСКА

ОЦЕНИВАНИЕ РИСКА

Слайд 21

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы
и величины уязвимости по следующей формуле :

где уязвимость – слабость в средствах защиты, вызванная ошибками или слабостями в процедурах, проекте, реализации, внутреннем контроле системы, которая может быть использована для проникновения в систему.

Слайд 22

Пример метода оценки рисков
(приложение С.5). Шкала оценивания

Шкала оценивания уровня стоимости ресурсов:
{

Пример метода оценки рисков (приложение С.5). Шкала оценивания Шкала оценивания уровня стоимости
«незначительный», «низкий», «средний», «высокий», «очень высокий»}
Шкала оценивания уровня вероятности угроз:
{«низкий», «средний», «высокий»}
Шкала оценивания уровня вероятности уязвимостей:
{«низкий», «средний», «высокий»}

Слайд 23

Примеры методов оценки рисков
(приложение С.5). Таблица расчета уровня риска

Таблица, использующая стоимость ресурсов

Примеры методов оценки рисков (приложение С.5). Таблица расчета уровня риска Таблица, использующая
и величины угроз и уязвимостей (R=F(A,T,V))

Слайд 24

Примеры методов оценки рисков
(приложение С.5). Ранжирование инцидентов по величине риска

Таблица категорирования инцидентов

Примеры методов оценки рисков (приложение С.5). Ранжирование инцидентов по величине риска Таблица
по величине уровня риска

Слайд 25

План управления рисками

1. Ограничения и зависимости между механизмами контроля
2. Приоритеты
3. Сроки и

План управления рисками 1. Ограничения и зависимости между механизмами контроля 2. Приоритеты
ключевые промежуточные этапы реализации
4. Требуемые ресурсы
5. Ссылки на разрешения использования требуемых ресурсов
6. Критические маршруты выполнения плана

Слайд 26

2.2. ОБРАБОТКА РИСКА

1. Уменьшение риска
2. Осознанное и обоснованное принятие риска
3. Передача

2.2. ОБРАБОТКА РИСКА 1. Уменьшение риска 2. Осознанное и обоснованное принятие риска
риска
4. Избежание (отказ) риска

Слайд 27

2.3. НЕПРЕРЫВНЫЕ ДЕЙСТВИЯ ПО УПРАВЛЕНИЮ РИСКАМИ

Сопровождение и мониторинг
Анализ со стороны

2.3. НЕПРЕРЫВНЫЕ ДЕЙСТВИЯ ПО УПРАВЛЕНИЮ РИСКАМИ Сопровождение и мониторинг Анализ со стороны
руководства
Пересмотр и переоценка риска
Аудиты
Механизмы контроля документации
Корректирующие и превентивные меры
Отчеты и коммуникации
Менеджер рисков безопасности

Слайд 28

Сопровождение и мониторинг: примеры

Анализ файлов системных журналов
Модификация параметров, связанных с

Сопровождение и мониторинг: примеры Анализ файлов системных журналов Модификация параметров, связанных с
произошедшими в системе изменениями
Повторный анализ корректности использования механизмов контроля
Обновление механизмов контроля, политик и процедур

Слайд 29

Пересмотр и переоценка риска

Результаты первоначальной оценки рисков должны регулярно пересматриваться
Результаты

Пересмотр и переоценка риска Результаты первоначальной оценки рисков должны регулярно пересматриваться Результаты
повторного анализа рисков, проводимого с учётом возникших изменений, должны накапливаться в специальной базе данных, позволяющей отследить динамику происходящих изменений

Слайд 30

Факторы возникновения изменений

Изменения в бизнес-модели организации
Появление новых данных относительно корректности

Факторы возникновения изменений Изменения в бизнес-модели организации Появление новых данных относительно корректности
и эффективности используемых сервисов безопасности
Изменения, связанные с политической обстановкой, социальными факторами или окружающей средой
Возникновение новых, ранее неизвестных угроз и уязвимостей

Слайд 31

2.4. ПРИНЦИП ОСВЕДОМЛЕННОСТИ

Информирование на каждом этапе
Документирование событий
Обязанности персонала

2.4. ПРИНЦИП ОСВЕДОМЛЕННОСТИ Информирование на каждом этапе Документирование событий Обязанности персонала

Слайд 32

Требования к документам

план обеспечения непрерывности бизнеса
описание методологии оценки рисков
отчет

Требования к документам план обеспечения непрерывности бизнеса описание методологии оценки рисков отчет
об оценке рисков
план обработки рисков
план управления рисками
рабочая документация: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и др.

Слайд 33

Требования и обязанности персонала

эксперты по оценке рисков
менеджеры безопасности
менеджеры рисков

Требования и обязанности персонала эксперты по оценке рисков менеджеры безопасности менеджеры рисков
безопасности
владельцы ресурсов
руководство организации

Слайд 34

III. СООТНОШЕНИЕ С МЕЖДУНАРОДНЫМИ СТАНДАРТАМИ

1. Гармонизация BS 7799-3 с ISO 27001:2005

III. СООТНОШЕНИЕ С МЕЖДУНАРОДНЫМИ СТАНДАРТАМИ 1. Гармонизация BS 7799-3 с ISO 27001:2005
(ГОСТ 27001) и ISO 27002:2007 (ГОСТ 17799)
2. Преемственность с рекомендациями NIST SP 800-30:2002 Risk Management Guide for Information Technology Systems (Руководство по управлению рисками в системах информационных технологий)
3. Рекомендации ISO 13335-3 Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT security (Руководство по управлению информационной безопасностью – Часть 3: Технологии управления информационной безопасностью)
4. Проект ISO 27005

Слайд 35

Гармонизация российских стандартов

Требования ГОСТ 27001:2005 к СУИБ в части управления рисками

BS 7799-3:2006:

Гармонизация российских стандартов Требования ГОСТ 27001:2005 к СУИБ в части управления рисками
принципы и рекомендации по реализации требований, относящихся к процессам управления рисками и связанным с ними мероприятиям

ГОСТ 17799:2005: примеры по политике ИБ, активам, угрозам, уязвимостям, целям и механизмам контроля
ГОСТ 9001:2001: требования к документам

ГОСТ 13335-3:2007: примеры стратегий оценки рисков

Слайд 36

Рекомендации NIST SP 800-30:2002

Рекомендации NIST SP 800-30:2002

Слайд 37

Подход к анализу рисков ISO 13335-3

Подход к анализу рисков ISO 13335-3

Слайд 38

Проект ISO 27005

Сходство с BS 7799-3
Процессная 4-фазная модель риск-менеджмента
Доминирует логико-вероятностный подход

Проект ISO 27005 Сходство с BS 7799-3 Процессная 4-фазная модель риск-менеджмента Доминирует
к анализу и оцениванию уровня риска, допускаются качественные и количественные методики, конкретные методы и методики не навязываются
Этапы носят итерационный характер, правила и рекомендации – общего плана
Все процессы управления связаны с информированием о рисках
Развитие
Порядок каждого этапа детально описан
Большую половину стандарта составляют примеры и рекомендации

Слайд 39

Порядок управления рисками по ISO 27005

Порядок управления рисками по ISO 27005

Слайд 40

ВЫВОДЫ (1)

BS 7799-3 и ISO 27005 отражают один и тот же сложившийся

ВЫВОДЫ (1) BS 7799-3 и ISO 27005 отражают один и тот же
в международной практике процессный подход к организации системы управления рисками.
Управление рисками представляется как базовая часть системы менеджмента качества организации

Слайд 41

ВЫВОДЫ (2)

II. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать

ВЫВОДЫ (2) II. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по
любые средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, что снижает полезность стандартов как технологических документов.

Слайд 42

ВЫВОДЫ (3)

III. Потребность в национальном стандарте по управлению рисками определяется не только популяризацией

ВЫВОДЫ (3) III. Потребность в национальном стандарте по управлению рисками определяется не
экономически оправданных подходов к ИБ, но и требованиями и рекомендациями, заданными ГОСТ 27001:2005 и ГОСТ 17799:2005, а также вытекает из требований к организации бизнес-процессов, определенных в актуальных стандартах серии 9000.

Слайд 43

ВЫВОДЫ (4,5)

IV. Можно предположить, развитие нормативной базы в стране пойдет по пути принятия

ВЫВОДЫ (4,5) IV. Можно предположить, развитие нормативной базы в стране пойдет по
ГОСТ, аутентичного ISO 27005 или BS 7799-3.
V. Недостатки стандарта (отсутствие конкретных методик) возможно исправить путем выпуска руководящего документа ФСТЭК России.

Слайд 44

ВЫВОДЫ (6)

Реальные стимулы в развитии данного нормативного направления, как и всех организационных

ВЫВОДЫ (6) Реальные стимулы в развитии данного нормативного направления, как и всех
стандартов ИБ:
- становление национальной сертификации СУИБ;
- развитие системы сертификации систем менеджмента качества в направлении выполнения требований по ИБ;
- широкое внедрение практики аудита систем ИБ
Имя файла: Нормативная-база-по-управлению-рисками-информационной-безопасности.-Лекция-6.pptx
Количество просмотров: 37
Количество скачиваний: 0