Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.

Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:

1. Установление контекста (сферы применения)

Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.

Действие: Для установления контекста организации необходимо определить:

— основные критерии управления рисками;

— сферы действия и границы;

— организационную структуру управления рисками.

Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:

— поддержка СУИБ;

— правовое соответствие и свидетельство должного внимания;

— подготовка плана обеспечения непрерывности бизнеса;

— подготовка плана реагирования на инциденты;

— описание требований ИБ для продукта, услуги или механизма.

Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:

— оценки риска;

— воздействия риска;

— принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:

— выполнения оценки риска и установления плана обработки риска;

— определения и осуществления политики и процедуры, включая реализацию управления рисками;

— контроля мониторинга;

— мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:

— стратегическая ценность обработки бизнес-информации;

— критичность затрагиваемых информационных активов;

— нормативно-правовые требования и договорные обязательства;

— важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:

— уровень классификации информационного актива, на который оказывается влияние;

— нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

— ухудшение бизнес-операции;

— потеря ценности бизнеса и финансовой ценности;

— нарушение планов и конечных сроков;

— ущерб для репутации;

— нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

— включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

— выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

— включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии принятия риска должны устанавливаться с учётом:

— критериев бизнеса;

— правовых и регулирующих аспектов;

— операций;

— технологий;

— финансов;

— социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

— стратегические цели бизнеса организации, стратегии и политики;

— процессы бизнеса;

— функции и структура организации;

— нормативно-правовые и договорные требования;

— политика ИБ;

— общий подход к управлению рисками;

— информационные активы;

— местоположение организации и географические характеристики;

— ограничения, влияющие на организацию;

— социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ— инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются:

— разработка процесса управления рисками ИБ в организации;

— идентификация и анализ заинтересованных сторон;

— определение ролей и обязанностей всех сторон, как внутренних, так и внешних;

— установление требуемых взаимосвязей между заинтересованными сторонами;

— определение путей принятия решений;

— определение документов, которые необходимо вести.

2. Оценка рисков ИБ

Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.

Действие: Оценку риска обеспечивают следующие меры:

— идентификация рисков;

— измерение рисков;

— оценивание рисков.

Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.

Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.

Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.

Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.

2.1. Идентификация рисков

Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.

Для идентификация рисков необходимо идентифицировать следующие объекты:

— активы;

— угрозы;

— средства защиты;

— уязвимости;

— последствия.

2.1.1. Идентификация активов

Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.

Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.

Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.

Можно выделить два вида активов:

— первичные активы: бизнес-процессы и информация;

— активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.

Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.

Они включают в себя:

— нарушение законодательства и/или предписаний;

— ухудшение функционирования бизнеса;

— потеря «неосязаемого капитала»/негативное влияние на репутацию;

— нарушения, связанные с личной информацией;

— создание угрозы личной безопасности;

— неблагоприятное влияние на обеспечение правопорядка;

— нарушение конфиденциальности;

— нарушение общественного порядка;

— финансовые потери;

— нарушение бизнес-деятельности;

— создание угрозы для безопасности окружающей среды.

Другим подходом к оценке последствий может быть:

— прерывание сервиса;

— потеря репутации и доверия клиента;

— нарушение внутреннего функционирования;

— нарушение функционирования третьей стороны;

— нарушение законов/предписаний;

— нарушение договора;

— опасность для персонала / безопасность пользователей;

— вторжение в частную жизнь пользователей;

— финансовые потери;

— финансовые потери, связанные с непредвиденными случаями или ремонтом:

— потеря товаров / денежных средств / активов;

— потеря клиентов, поставщиков;

— судебные дела и штрафы;

— потеря конкурентного преимущества;

— потеря технологического/технического лидерства;

— потеря эффективности/надёжности;

— потеря технической репутации;

— снижение способности к