Перевод BS ISO/IEC 27005:2008 Information technology- Security techniques — Information security risk managment. Параграфы с 8 по 8.2.2.4.

Перевод разделов 8-8.2.2.4. Cтандарта ISO 27008:2005. Informational security risk management.

В этих пунктах рассмотрены:

Способы и методики описания степени риска, анализ степени, идентификация риска, идентификация активов, идентификация угроз, идентификация средств управления, идентификация уязвимости, последствий, оценка последствий, оценка вероятности,

Warning:  перевод предназначает исключительно для ознакомления. Помните, что пользоваться в работе, переведенными регламентами и стандартами признак непрофессионализма, так как даже самый точный перевод может содержать ошибки.

8. Оценка степени риска информационной безопасности

8.1 Общее описание оценки степени риска информационной безопасности

ВНИМАНИЕ Оценка степени рисков упоминается, как процесс в стандарте ISO/IEC 27001

Исходные данные: Основные критерии, сфера и границы, и организация управление процессом рисков информационной безопасности.

Средство управления: Риски должны быть идентифицированы, определенны количественно или качественно описаны, и расположены по приоритетам в отношении критериев оценки риска и целей, относящихся к организации.

Руководство по реализации:

Риск это комбинация последствий, которые следовали бы из возникновения нежелательного события и вероятности наступления страхового случая. Оценка степени риска позволяет количественно или качественно описать риск, и позволяет менеджерам расположить по приоритетам риски согласно своей воспринятой серьезности и другим установленным критериям.

Оценка риска состоит из следующих операций:

  • Анализ степени риска (Пункт 8.2), который включает в себя
    • Идентификацию риска (Пункт 8.2.1)
    • Определение риска (Пункт 8.2.2)
    • Оценка риска (Пункт 8.3)

Оценка степени риска определяет стоимость информационных активов, идентифицирует применимые угрозы и слабые места, которые существуют или могут существовать, идентифицирует существующие средства управления и их, эффект на идентифицируемый риск, определяет потенциальные последствия и наконец, располагает по приоритетам полученные риски и оценивает их против набора критериев оценки риска в определенном контексте.

Оценка степени риска часто проводится в два (или больше) раза. Сначала, выполняется оценка рисков высокого уровня, чтобы идентифицировать потенциально высокие риски, которые заслуживают дальнейшей оценки. В следующий раз можно продолжить дальнейшее всестороннее рассмотрение потенциально опасных рисков, выявленных  при первичной оценке. В случае недостаточной информации для оценки риска, дальнейшие подробные анализы проводятся в большем объеме и возможно использование различных методов анализа.

Это зависит от организации, и от выбора ее собственных подходов к оценке степени риска, основанной на целях организации и цели оценки степени риска.

Обсуждение подходов к оценке степени риска информационной безопасности может быть найдено в приложении Е.

Результат: Список оценённых рисков, расположенных по приоритетам согласно критериям оценки степени риска.

8.2 Анализ степени риска

 

8.2.1 Идентификация риска

 

8.2.1.1 Введение в идентификацию рисков

 

Цель идентификации рисков состоит в том, чтобы определить то, что, что могло и может вызвать потенциальные потери, чтобы получить представление о том как, где, и почему могла бы произойти потеря. Шаги, описанные в следующих подпунктах в 8.2.1, предназначаются для сбора входных данных, для последующего процесса оценки риска.

ВНИМАНИЕ Действия, изложенные в последующих пунктах, могут быть проведены в ином порядке в зависимости от применяемой методологии.

8.2.1.2 Идентификация активов

Исходные данные: Сфера и границы для предстоящей оценки степеней риска, список элементов с их владельцами, местоположением, функцией и так далее.

Средство управления: Активы в пределах установленной сферы деятельности должны быть идентифицированы (относится к ISO/IEC 27001, Пункт 4.2.1 д)1 )).

Руководство по реализации:

Актив – что-либо имеющее стоимость по отношению к организации, и которое по этому требует защиты. При идентификации активов, должно быть принято во внимание, что информационная система состоит не только из аппаратного и программного обеспечения.

Идентификация актива должна быть выполнена на подходящем уровне подробности, который представляет достаточную информацию для оценки степени риска. Уровень подробности описания риска, используемой для идентификации актива, будет влиять на общий объем информации, собранной во время оценки степени риска. Уровень оценки может быть усовершенствован в дальнейших повторениях оценки степени риска.

Владелец актива должен быть идентифицирован для каждого актива, чтобы обеспечить ответственность и учет актива. Владелец актива может не иметь прав собственности к активу, но несет ответственность за его производство, развитие, обслуживание, использование и безопасность в соответствующих случаях. Владелец актива – самое подходящее лицо для оценки стоимости актива к организации ( смотри пункт 8.2.2.2 для оценки актива)

Обзор границы периметра активов организации определяется, как управляемый процесс информационного управления рисками безопасности.

Более подробную информацию о выявлении и оценке активов, связанных с информационной безопасностью можно найти в «Приложение В».

Результат: Перечень активов, подлежащих управлению рисками и перечень бизнес-процессов, связанных между собой активов, и их актуальность.

8.1.2.3 Идентификация угроз

Исходные данные: Информация об угрозах, полученных из рассмотрения инцидента, владельцев актива, пользователей и других источников, включая внешние каталоги угрозы.

Средство управления: Угрозы и их источники должны быть идентифицированы (относится к ISO/IEC 27001, Пункт 4.2.1 д) 2­)).

Руководство по реализации:

Угроза имеет вредоносный потенциал, для нанесения вреда таким активам, как: информация, процессы и системы,  и в результате – организации. Угрозы могут иметь естественное или человеческое происхождение, и могут быть случайными или преднамеренными. Должны быть идентифицированы, как случайные, так и преднамеренные источники угрозы. Угроза может возникнуть изнутри или извне организации. Угрозы должны быть идентифицированы, в общем, и по типу (например, несанкционированные действия, физическое повреждение, технические отказы), и затем соответствующие отдельные угрозы, идентифицируются в пределах идентифицируемого типа угроз. Это означает, что никакие угрозы  не упускаются из виду, включая неожиданные, но объем требуемой работы ограничен.

Некоторые угрозы могут затронуть больше, чем один актив. В таких случаях они могут вызвать различные воздействия, в зависимости от затронутых активов.

Вклад в выявление угроз и оценки вероятности возникновения (смотри 8.2.2.3) может быть получен от владельцев актива или пользователей,  от штата человеческих ресурсов, от организации производства и специалистов по информационной безопасности, юридического отдела и других организаций, включая правоохранительные органы, отношения властей, и национального правительства. Обращаясь к угрозам, нужно рассматривать аспекты внешней среды предприятия и культуру.

Внутренний опыт от инцидентов и прошлых оценок угрозы нужно рассматривать в текущей оценке. Для этого может быть целесообразным, обращение к другим каталогам угрозы (определенным для организации и бизнеса), чтобы завершить список соответствующих угроз. Каталоги угроз, и статистика доступны для отраслевых организаций, национальных правительств, правоохранительных органов, страховых компаний и так далее.

При использовании каталогов угрозы, или результатов более ранней оценки угрозы, следует знать, что происходит непрерывное изменение соответствующих угроз, особенно если это изменяющаяся деловая среда или информационные  системы.

Больше информации о типах угроз может быть найдено в «Приложение С».

Результат: Список угроз с идентификацией угрозы и ее источника.

8.1.2.4. Идентификация существующих средств управления

Исходные данные: Документация средств управления, выполнение планов обработки рисков.

Средство управления: Должны быть идентифицированы существующие и запланированные средства управления.

Руководство по реализации:

 

Идентификация существующих средств управления должна быть выполнена во избежание  ненужной работы, или дублирования средств управления. Кроме того, при идентификации существующих средств управления, должна быть осуществлена проверка, чтобы гарантировать, что средства управления работают правильно – указание на уже существующие отчеты о результатах аудита системы управления информационной безопасности, должно сэкономить затраченное время на эту задачу. Если контроль средств управления не работает, как ожидалось, это может привести к уязвимости. Внимание должно быть уделено ситуации, где выбранные меры контроля (или стратегия) работают не эффективно, и поэтому дополнительные средства управления обязаны эффективно устранять идентифицированный риск. В системе управления информационной безопасностью, согласно ISO/IEC 27001, это поддерживается измерением эффективности мер контроля. Способ оценить эффективность контроля состоит в том, чтобы увидеть, как он сокращает вероятность угрозы и непринужденность использования уязвимости или воздействия инцидента. Управленческие обзоры и отчеты о результатах аудита также предоставляют информацию об эффективности существующих мер управления.

Элементы управления, которые планируется осуществить в соответствии с планами реализации обработки рисков, следует рассматривать так же, как и тех, которые уже реализованы.

Существующий или запланированный контроль может быть идентифицирован, как неэффективный, или недостаточный или неоправданный. Недостаточный или неоправданный контроль должен быть проверен, чтобы определить должен ли он быть удален, заменен другим, более подходящем контролем или должен ли он остаться на месте, например, по причинам стоимости.

Для идентификации существующих или запланированных средств управления могут быть полезными следующие операции:

Рассмотрение документов, содержащих информацию о средствах управления (например осуществление планов обработки рисков). Если процессы управления информационной безопасностью хорошо задокументированы, все существующие или запланированные средства управления и их статус должны быть доступными;

  • Проверки с лицами ответственными за информационную безопасность (например директор по информационной безопасности и офицер охраны информационной системы, комендант или операционный менеджер) и пользователи относительно, которых действительно осуществлены средства управления для информационного процесса или информационной системы;
  • Проведение локального обзора физических средств управления, сравнение проверяющим со списком действующих средств управления,  относительно того работают они правильно и эффективно или;
  • Рассмотрение результатов внутренних аудитов;

Результат: Список всех существующих и запланированных средств управления, их статус выполнения и использования.

8.1.2.5 Идентификация уязвимостей

Исходные данные: Список известных угроз, списки активов и существующих средств управления.

Средство управления: Уязвимости, которые могут быть использованы угрозами для нанесения ущерба активам или организации, должны быть идентифицированы ( относится к ISO/IEC 27001, Пункт 4.2.1 д) 3)).

Руководство по реализации:

Уязвимости могут быть идентифицированы в следующих областях:

Организация

  • Процессы и процедуры
  • Управленческие практики
  • Персонал
  • Физическая среда
  • Конфигурация информационной системы
  • Аппаратные средства, программное обеспечение, или средства связи
  • Зависимость от внешних сторон

Присутствие уязвимости не наносит ущерб само по себе, поскольку настоящая угроза это эксплуатация уязвимости. Уязвимость, которая не содержит никакой угрозы, может не потребовать выполнения контроля, но должна быть признана и проверена на изменения. Нужно отметить, что неправильно осуществленный контроль или контроль работающий со сбоями или контроль, используемый неправильно, могут сами стать уязвимостью. Контроль, в зависимости от среды, в которой он работает, может быть эффективным или неэффективным. Наоборот, угроза, у которой нет существующей уязвимости, не может привести к риску.

Уязвимости могут быть связаны со свойствами активов, которые могут быть использованы по назначению или в иных целях, чем когда актив был куплен или произведен. Уязвимости, являющиеся результатом различных источников, нужно считать свойственными или внешними к активу.

Примеры уязвимостей и методов для оценки уязвимости могут быть найдены в «Приложение D».

Результат: Список уязвимостей относительно активов, угроз и средств управления; список уязвимостей, которые относятся  к выявленным угрозам для рассмотрения.

8.1.2.6 Идентификация последствий

Исходные данные: Список активов, список бизнес-процессов, и список угроз и уязвимостей, где это уместно в соответствующих случаях, связанных с активами и их актуальность.

Средство управления: Должны быть идентифицированы последствия потери целостности, конфиденциальности,  и доступности в отношении активов (смотри ISO/IEC 27001 Пункт 4.2.1 д) 4)).

Руководство по реализации:

Последствие может быть потерей эффективности, неблагоприятных эксплуатационных режимов, потери для бизнеса, репутации, ущерба и так далее.

Эта деятельность идентифицирует ущерб или последствия для организации, которые могли быть вызваны сценарием инцидента. Сценарий инцидента – описание угрозы, использующей определенную уязвимость или набор уязвимостей в инциденте информационной безопасности (смотри ISO/IEC 27002,  Пункт 13). Воздействие сценария инцидента должно быть определенно, учитывая влияние критериев, определенных в контексте процесса деятельности. Это может затронуть один или более активов, или часть актива. Таким образом, активы могут изменить финансовую стоимость или иметь деловые последствия, если они повреждены или скомпрометированы. Последствия могут иметь временный характер или могут быть постоянными, как в случае разрешения актива.

ВНИМАНИЕ Стандарт ISO/IEC 27001 описывает сценарии инцидента, как «ошибки безопасности».

Организациям следует определить оперативные последствия аварий сценариев с точки зрения (но не ограничиваясь ими):

  • Расследования и время ремонта
  • Потерянное время, рабочее время
  • Потеря возможности
  • Здоровье и безопасность
  • Финансовые затраты на конкретные навыки для возмещения ущерба
  • Изменение репутации и доброжелательности

Подробные данные об оценке технических уязвимостей могут быть найдены в B.3 Оценка воздействия.

Результат: Список сценариев инцидента с их последствиями по отношению к активам и бизнес-процессам.

8.2.2. Оценка риска

 

8.2.2.1 Методология оценки риска

Анализ степени риска может быть предпринят в различных степенях подробности в зависимости от критичности активов, степени известных уязвимостей, и количество инцидентов в которые была вовлечена организация. Методология оценки риска может быть качественной или количественной, или их взаимная комбинация в зависимости от обстоятельств. Практически же, часто сначала используется  качественная оценка, чтобы получить общее указание  относительно уровня риска и показать главные риски. Позже может быть необходимо, принять более определенный или количественный анализ главных рисков, поэтому качественный анализ менее дорог и сложен, чем количественный анализ.

Форма анализа должна быть совместимой с критериями оценки риска, развитыми, как часть установлений контекста.

Более подробная информация описана ниже:

(а) Качественная оценка:

Качественная оценка использует шкалу квалификационных признаков, для описания масштабов возможных последствий (самый низкий уровень, средний уровень, и наивысший уровень), и вероятность того что эти последствия произойдут. Преимущество качественной оценки – простота понимания всем соответствующим персоналом, в то время как недостатком является зависимость от субъективного выбора масштаба последствия.

Эти весы могут быть адаптированы или скорректированы в соответствии с обстоятельствами и могут быть использованы различные описания для различных рисков. Качественная оценка может быть использована:

  • Как процедура начального отбора, чтобы идентифицировать риски, которые требуют более тщательного анализа
  • Там, где этот вид анализа, является наиболее подходящим для принятия решений
  • Где численных данных или ресурсов не хватает для количественной оценки

Выполняя качественный анализ, следует использовать фактическую информацию и данные, если такие имеются.

(б) Количественная оценка

Количественная оценка использует шкалу с численными значениями (а не описательные шкалы используемые в качественной оценке), для последствий и вероятности, используя данные из множества источников. Качество анализа зависит от точности и полноты численных значений и действия моделей. Количественная оценка в большинстве случаев использует исторические  данные об инциденте, обеспечивая преимущество, непосредственно в обеспечении целей информационной безопасности или решении проблем организации. Недостатком является отсутствие таких данных в отношении новых рисков или слабые стороны информационной безопасности. Недостатком  количественного метода является недоступность проверки фактов достоверности данных, тем самым может создаться иллюзия значимости и точности оценки риска.

Таким образом, последствия и вероятность  выражаются в способе, которым они будут объединены, чтобы обеспечить варьируемый уровень риска в зависимости от типа риска и цели, для которых будет использоваться конечный вывод оценки риска. Неопределенность и изменчивость, как последствие и вероятность следует рассматривать в анализе и эффективно обобщать.

8.2.2.2 Оценка последствий

Исходные данные: Список идентифицированных соответствующих сценариев инцидента, включая идентификацию угроз, уязвимостей, затрагиваемых активов, последствия для активов и бизнес-процессов.

Средство управления: Изменение делового влияния организации, с учетом оценки инцидента по потере конфиденциальности, целостности и доступности (относится к ISO/IEC 27001, Пункт 4.2.1 е) 1)).

Руководство по реализации:

После идентификации ценности всех рассматриваемых активов эти активы должны быть приняты во внимание при оценке последствий

Значение воздействия на бизнес организации должно быть выражено в качественной и количественной форме, но любые методы в денежном выражении могут предоставить более подробную информацию для принятия решений, и следовательно способствовать более эффективному процессу принятия решений.

Оценка активов компании начинается с классификации активов согласно их критичности, с точки зрения важности активов для выполнения бизнес целей организации. Оценка активов выполняется с помощью двух мер:

  • Восстановительной стоимости активов: стоимость восстановления и замены информации (если такое вообще возможно) и
  • Последствия утраты актива для бизнеса организации или компрометации актива, такие как потенциальное неблагоприятное ведение бизнеса, и/или юридические и нормативные последствия от раскрытия, изменения, отсутствия и/или уничтожения информации, а также других информационных ресурсов.

Эта оценка может быть определена из анализа влияния на бизнес. Стоимость определенная для последствий для бизнеса, обычно стоимость выше просто восстановительной стоимости, в зависимости от важности активов организации в выполнении ее задач.

Оценка активов является ключевым фактором в оценке воздействия сценария инцидента, потому что инцидент может затронуть больше, чем один актив (например зависимые активы), или только часть актива. У различных угроз и уязвимостей будет различное воздействие на активы, такие как потеря конфиденциальности, целостности и доступности.  Оценка последствий, таким образом, связана с оценкой актива, основанной на анализе делового взаимодействия.

Последствия могут быть выражены с точки зрения денежных, технических, и человеческих критериев воздействия, или других критериев, относящихся к организации. В некоторых случаях, больше чем одно численное значение обязано указывать на последствия для различных мест, групп или ситуаций.

Последствия во времени и финансов должны быть измерены с тем же самым подходом, используемым для вероятной угрозы и уязвимости. Последовательность должна быть поддержана на количественном или качественном подходе.

Больше информации по оценке стоимости актива и оценки воздействия можно найти в «Приложение В».

Результат: Список обязательных последствий сценария инцидента, выраженного относительно активов и критериев воздействия.

8.2.2.3 Оценка вероятности инцидента

Исходные данные: Список идентифицированных соответствующих сценариев инцидента, включая идентификацию угроз, затрагиваемые активы, эксплуатацию уязвимостей и последствий для активов и бизнес-процессов.  Кроме того, списки всех существующих и запланированных средств управления, их эффективности, выполнения и статуса использования.

Средство управления: Оценка вероятности инцидента сценария (относится к ISO/IEC 27001, Пункт 4.2.1 е) 2)).

Руководство по реализации:

 

После идентификации сценариев инцидента необходимо оценить вероятность каждого сценария, проявления последствий, с использованием качественных или количественных методов оценки. Следует принять во внимание, как часто возникают угрозы и как легко уязвимости могут быть использованы, учитывая:

  • Опыт и применимая статистика для вероятности угрозы
    • Для преднамеренных источников угрозы: мотивация и способности, которые изменятся в течение долгого времени, доступные ресурсы вероятным нападающим, также привлекательность и уязвимость активов для возможного нападающего
    • Для случайных источников угрозы: географические факторы, например близость к химическим и нефтяным производственным предприятиям, возможность экстремальной погоды и факторы которые могут влиять на человеческие ошибки и сбои в работе оборудования
    • Уязвимости, как по отдельности, так и в группе
    • Существующие элементы управления и насколько эффективно они снижают уязвимость

Например, у информационной системы, может существовать уязвимость к угрозам, связанных с маскировкой личности пользователя и нецелевое использование ресурсов. Уязвимость под видом личности пользователя может быть опасной из-за отсутствия механизма аутентификации пользователей. С другой стороны, вероятность неправильного использования ресурсов может быть низкой, несмотря на отсутствие механизма аутентификации пользователей, так как количество способов злоупотреблений ресурсами ограниченно.

В зависимости от потребности в точности, активы могут быть сгруппированы или может потребоваться необходимость разделить активы на их элементы и связать сценарии с элементами. Например, в различных географических местах, характер угроз по тем же самым типам активов может измениться или эффективность существующих средств управления может измениться.

Результат: Вероятность инцидента сценариев (количественная или качественная).

8.2.2.4 Уровень оценки риска

Исходные данные: Список сценариев инцидента с их последствиями, связанные с активами и бизнес-процессами и их вероятностями (количественными или качественными)

Средство управления: Оценка степени риска для всех существующих сценариев инцидента (относится к ISO/IEC 27001, Пункт 4.2.1 е) 4)).

Руководство по реализации:

Количественная оценка присваивает значения вероятности и последствиям риска. Эти значения могут быть количественными и качественными. Оценка риска основывается на основе оценки последствий  и вероятности. Дополнительно можно рассмотреть затраты и стоимость, озабоченность заинтересованных сторон, и другие переменные в соответствующих случаях для оценки риска. Оцененный риск – комбинация вероятности сценария инцидента и его последствий.

Примеры различных методов оценки риска информационной безопасности или подходов могут быть найдены в «Приложение Е».

Результат: Перечень рисков с назначенными уровнями стоимости.

——————————————————————————————————————————————————————————————————————————————————————-

Copyright (steppa, CIT, SPbIFMO, 2011). При перепосте просьба указывать источник.

Реклама
Перевод BS ISO/IEC 27005:2008 Information technology- Security techniques — Information security risk managment. Параграфы с 8 по 8.2.2.4.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s