Нормативная база по управлению рисками информационной безопасности. Лекция 6

П Р О Б Л Е М А

Извечный вопрос: сколько тратить

НОРМАТИВНАЯ БАЗА УПРАВЛЕНИЯ РИСКАМИ

I. Потребность в национальном стандарте
II. Содержание британского стандарта
Оценка

I. ПОТРЕБНОСТЬ В СТАНДАРТЕ

1. Апробация организационных стандартов по ИБ (ГОСТ 17799, ГОСТ

Организационные стандарты по ИБ в РФ

Три источника, три составных части: историческая справка

BS 7799-1: 2005. Information security

Взаимосвязь организационных стандартов

Потребность в национальном стандарте

Требования ГОСТ 27001 к СУИБ
Требования к документации

СУИБ - часть общей системы управления, основанной на оценке бизнес рисков, которая

Нормативные требования к СУИБ в соответствии с ГОСТ 27001 (продолжение)

Гармонизация российских стандартов

Требования ГОСТ 27001:2005 к СУИБ в части управления рисками

BS 7799-3:2006:

Международные стандарты 27000-серии

Международные стандарты 27000-серии

II. СОДЕРЖАНИЕ BS 7799-3

0-4. Вводная часть
5. Оценка рисков
6. Обработка риска и принятие

Термины и определения

Риск - комбинация вероятности события и его последствий
Управление риском (Risk

Процессный подход (ISO 27001)

Процессная 4-х фазная модель менеджмента систем (Plan-Do-Check-Act) применительно к

Фазы управления рисками

1) Оценка рисков, включающая анализ и оценивание рисков
2) Обработка риска – выбор

Процессный подход (BS 7799-3)

Процессная модель применительно к управлению рисками

Методики оценки и анализа рисков

Не содержит требований к использованию конкретных методик!
Общие

2.1. ОЦЕНКА РИСКА

• Инвентаризация и категорирование ресурсов
• Идентификация требований (нормативных, договорных, технических)

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы

Пример метода оценки рисков
(приложение С.5). Шкала оценивания

Шкала оценивания уровня стоимости ресурсов:
{

Примеры методов оценки рисков
(приложение С.5). Таблица расчета уровня риска

Таблица, использующая стоимость ресурсов

Примеры методов оценки рисков
(приложение С.5). Ранжирование инцидентов по величине риска

Таблица категорирования инцидентов

План управления рисками

1. Ограничения и зависимости между механизмами контроля
2. Приоритеты
3. Сроки и

2.2. ОБРАБОТКА РИСКА

1. Уменьшение риска
2. Осознанное и обоснованное принятие риска
3. Передача

2.3. НЕПРЕРЫВНЫЕ ДЕЙСТВИЯ ПО УПРАВЛЕНИЮ РИСКАМИ

Сопровождение и мониторинг
Анализ со стороны

Сопровождение и мониторинг: примеры

Анализ файлов системных журналов
Модификация параметров, связанных с

Пересмотр и переоценка риска

Результаты первоначальной оценки рисков должны регулярно пересматриваться
Результаты

Факторы возникновения изменений

Изменения в бизнес-модели организации
Появление новых данных относительно корректности

2.4. ПРИНЦИП ОСВЕДОМЛЕННОСТИ

Информирование на каждом этапе
Документирование событий
Обязанности персонала

Требования к документам

план обеспечения непрерывности бизнеса
описание методологии оценки рисков
отчет

Требования и обязанности персонала

эксперты по оценке рисков
менеджеры безопасности
менеджеры рисков

III. СООТНОШЕНИЕ С МЕЖДУНАРОДНЫМИ СТАНДАРТАМИ

1. Гармонизация BS 7799-3 с ISO 27001:2005

Гармонизация российских стандартов

Требования ГОСТ 27001:2005 к СУИБ в части управления рисками

BS 7799-3:2006:

Рекомендации NIST SP 800-30:2002

Подход к анализу рисков ISO 13335-3

Проект ISO 27005

Сходство с BS 7799-3
Процессная 4-фазная модель риск-менеджмента
Доминирует логико-вероятностный подход

Порядок управления рисками по ISO 27005

ВЫВОДЫ (1)

BS 7799-3 и ISO 27005 отражают один и тот же сложившийся

ВЫВОДЫ (2)

II. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать

ВЫВОДЫ (3)

III. Потребность в национальном стандарте по управлению рисками определяется не только популяризацией

ВЫВОДЫ (4,5)

IV. Можно предположить, развитие нормативной базы в стране пойдет по пути принятия

ВЫВОДЫ (6)

Реальные стимулы в развитии данного нормативного направления, как и всех организационных