Полная версия

Главная arrow Информатика arrow Актуальные вопросы защиты информации

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ПРОЦЕДУРА ПРИМЕНЕНИЯ МЕТОДОЛОГИИ АНАЛИЗА РИСКОВ OCTAVE В СООТВЕТСТВИИ СО СТАНДАРТОМ ГОСТ Р ИСО/МЭК 27005-2010

Анализу информационных рисков в нашей стране традиционно не уделяли должного внимания до принятия Доктрины информационной безопасности в 2000 году (в настоящее время действующим является новый вариант, утвержденный 5 декабря 2016 г.[1]), однако, в последние годы эта тема активно изучается и внедряется в практику специалистами в области информационной безопасности. При этом особое внимание уделяется практическому применению существующих методологий анализа рисков и их совершенствованию.

Также в последние годы ведётся работа по разработке и внедрению в систему ИБ организаций международных стандартов серии 27000, определяющих требования к системе менеджмента информационной безопасности (СМИБ). Большой популярностью в последнее время пользуется методология анализа рисков информационной безопасности OCTAVE, разработанная институтом Software Engineering Institute (SEI) при университете Карнеги Меллона (Carnegie Mellon University).

Метод OCTAVE[2] - это метод оперативной оценки критических угроз, активов и уязвимостей. Методика предполагает создание группы анализа рисков ИБ. Группа анализа включает сотрудников бизнес- подразделений, эксплуатирующих систему, и сотрудников информационного отдела.

При этом данная методика не лишена некоторых недостатков. Так методология не предусматривает интеграции анализа риска в СМИБ организации, имеются проблемы с организацией мониторинга рисков и проведением повторных оценок рисков, не предполагает механизмов управления остаточными рисками, не позволяет исключить риски.

Для анализа рисков в методике OCTAVE предлагается подход из восьми шагов, объединённых в четыре фазы (рис. 4).

Рабочие листы и опросные анкеты, применяемые в процессе анализа рисков, содержатся в англоязычном описании методики «Introducing OCTAVE Allegro: Improving the Information Risk Assessment Process», представленном на сайте: www.cert.org.

Рассмотрим общий алгоритм действий группы анализа рисков, основанный на методике OCTAVE, а также рекомендации по внедрению в СМИБ организации оценки рисков на постоянной основе и мониторингу рисков ИБ.

На шаге 1 необходимо определить критерии оценки рисков ИБ, т.е. совокупность качественных показателей, которая позволит установить значения оценки риска и последствия реализации риска. Без введения таких критериев невозможно оценить зависимость организации от тех или иных рисков.

Этапы анализа рисков по методике OCTAVE

Рис. 4. Этапы анализа рисков по методике OCTAVE

В качестве таких критериев могут быть использованы требования безопасности, применяемые на предприятии, уровень инвестиций и затрат на ИБ, стратегическая ценность и критичность затронутых информационных активов и т.п. На первом шаге необходимо установить те воздействия на ИБ, которые наиболее приоритетны и критичны для организации (например, утечка конфиденциальной информации, подрыв авторитета на рынке, дискредитация репутации среди партнёров и клиентов, здоровье и физическая безопасность сотрудников). Критерии оценки рисков должны отражать осознание информационных рисков, существующих в сфере деятельности организации. Критерии устанавливают диапазон последствий реализации риска: «низкие», «средние» и «высокие».

Шаг 2 начинается с составления перечня информационных активов и определения их профиля. Профиль - это информация, описывающая актив его уникальными особенностями, качествами, характеристиками, стоимостью. Профилирование позволяет чётко определить «границы» актива и требования безопасности к нему. Профиль создаётся для каждого актива и описывается на отдельном листе. Профиль актива представляет собой входные данные для следующих шагов и основой для выявления угроз и рисков.

Далее выполняется шаг 3. Информационные активы могут храниться не только в самой организации, но и вне её пределов. Например, организация может допускать к обслуживанию своей инфраструктуры другие организации-поставщики услуг. Если такой поставщик услуг не выполняет требования безопасности активов, к обслуживанию которых он допущен, то это само по себе несёт риск. Риск может содержаться в самом факте хранения, передачи или обработке актива в постороннем месте. Это нарушает защиту информационного актива. Ещё большую угрозу несёт привлечение таким поставщиком услуг субподрядчиков, о которых владелец актива может и не знать.

Таким образом, для получения адекватного профиля актива важно определить все места хранения, передачи и обработки актива - контейнеры, а также находится ли он в зоне прямого управления организацией.

На шаге 3 группа анализа составляет карту актива, где указываются все места его хранения, передачи и обработки, которые могут стать точками уязвимости или, наоборот, точками, которые можно полностью контролировать, гарантируя защищённость актива.

Местом хранения актива может являться техническое средство, программное обеспечение, бумажный носитель или сотрудник организации. Причём, люди здесь особенно важны, так как при получении защищаемой информации они становятся «контейнерами» актива. Такие риски необходимо своевременно выявлять.

На шаге 4 выявляются проблемные области в ИБ организации. Целью шага 4 является не составление полного перечня всех возможных угроз, а оперативное определение тех угроз, которые сразу очевидны для аналитика.

На шаге 5, на основе выявленных проблемных областей, составляются сценарии угроз, которые визуально эффективно представлять в виде дерева, где, с целью более надёжного рассмотрения угроз, каждая ветвь рассматривается для каждого информационного актива.

Для облегчения определения сценария угроз по каждой ветви необходимо использовать опросные анкеты. Этот шаг также позволяет учесть вероятности реализации угроз, что помогает на более поздних шагах разработать мероприятия по снижению риска.

Как правило, в этом случае используется качественная шкала и вводятся три уровня вероятности реализации угрозы: высокая, средняя и низкая.

На шаге 6 после определения угроз и выявления последствий их реализации, определяют риски ИБ. Необходимо определить, как именно риск будет воздействовать на организацию или актив, при этом риск определяется для каждого актива, чтобы оценить его критичность для организации или самого актива.

На шаге 7 определяется количественная мера ущерба, который будет нанесён организации при реализации угрозы. Это относительная оценка, которая позволяет расставить риски по их приоритету. Например, если для компании наиболее важна её репутация на рынке, то в первую очередь надо смягчать риски именно этой проблемной области.

На заключительном шаге выбираются меры обработки определённых рисков с учётом их приоритета для организации.

Решение о принятии, уменьшении или отложении риска основывается на ряде факторов, основными из которых являются величина воздействия риска и вероятность его реализации. Если риск может серьёзно воздействовать на организацию, но при этом маловероятен, то, возможно, его не нужно смягчать. Решение о том, какие риски смягчать, а какие нет, должны принимать аналитики и/или руководство организации.

Выбор стратегии смягчения риска - сложная задача и ее решение может потребовать взаимодействия с другими специалистами организации. Выбранная стратегия должна гарантировать защиту активов в соответствии с критериями безопасности. Необходимо учитывать затраты на смягчение риска, так как они, как минимум, не должны превышать стоимость актива.

Кроме того, не все риски могут быть устранены полностью. Выбранная стратегия может привести к остаточному риску, который необходимо либо принять, либо смягчить.

Оценку рисков ИБ необходимо проводить на постоянной основе, при этом проводить её рекомендуется не менее, чем раз в год. Это связано с быстрым развитием информационных технологий и, как следствие, с возникновением новых рисков ИБ, возможным устареванием и исключением некоторых ранее принятых рисков или потерей эффективности мер, принятых ранее. Риски ИБ необходимо регулярно отслеживать, для чего необходимо внедрять систему мониторинга рисков. Для этого, помимо ежегодного повторного анализа рисков, необходимы следующие мероприятия.

  • 1. На постоянной основе проводить с работниками разъяснительную работу по угрозам ИБ, которые могут нести те или иные уязвимости, привлекать их к процессу ежегодной оценки рисков, анализировать информацию, полученную от них.
  • 2. Установить единые правила поведения сотрудников на рабочих местах, требовать их выполнения, прививать работникам культуру ИБ. К данному вопросу следует подойти с особым вниманием, чтобы при внедрении таких правил не нарушить права работников.
  • 3. Сравнивать результаты работы, фигурирующие в отчётах и докладах, с текущим положением дел, а также с информацией, поступающей от других источников, проводить дополнительные поверки в случае несоответствия.
  • 4. Обмениваться информацией с регулирующими государственными органами по вопросам соблюдения законодательства и прочим вопросам, которые отражают функционирование процесса управления рисками.
  • 5. Обмениваться информацией с заказчиками и клиентами по вопросам защиты конфиденциальных данных.
  • 6. К процессу оценки рисков привлекать сотрудников организации.
  • 7. При ежегодном анализе рисков частично менять состав группы анализа из числа работников организации, что позволит взглянуть на риски «свежим взглядом», а также усилит культуру ИБ среди сотрудников.
  • 8. Тщательно документировать каждый процесс анализа рисков. Предлагаемые меры позволят своевременно реагировать на вновь

возникающие угрозы, а также отсеивать из рассмотрения те угрозы, которые по тем или иным причинам потеряли свою актуальность.

Далее рассмотрим, насколько предлагаемая процедура анализа рисков соответствует требованиям линейки международных стандартов ИСО/МЭК серии 27000.

Таблица 2

Соответствие стандартам серии ИСО/МЭК 27000-27005

Требование

Ссылка на стандарт

Соответствие в процедуре

стандарт

пункт

Определение критериев приемлемости или неприемлемости рисков

27001

4.2.1

Шаг 1

27002

4.1

27003

8.1

27005

7.2

Определение активов

27001

4.2.1

Шаги 2 и 3

27005

8.2.1.2

Определение угроз и их источников

27001

4.2.1

Шаг 4

27003

8.1

27005

8.2.1.3

Определение уязвимостей

27001

4.2.1

Шаг 5

27003

8.1

27005

8.2.1.5

Оценка вероятности сценариев

27001

4.2.1

Шаг 5

27003

8.1

27005

8.2.2.3

Определение последствий

27001

4.2.1

Шаг 5

27003

8.1

27005

8.2.1.6

Оценка влияния инцидентов ИБ

27001

4.2.1

Шаг 6

27003

8.1

Оценка уровня риска

27001

4.2.1

Шаг 7

27005

8.2.2.5

Обработка риска

27001

4.2.1

Шаг 8

27002

4.2

27003

8.1

27005

8.2.2

Мониторинг рисков ИБ

27001

4.2.3

Мониторинг

27005

12

В общем виде соответствие предлагаемой процедуры применения методологии OCTAVE стандартам серии ИСО/МЭК 27000-27005 отображено в табл.2[3].

Стандарты серии ИСО/МЭК 27000-27005 устанавливают четкие требования к оценке рисков как к процессу в целом, так и к его этапам по отдельности. Предложенные процедуры методологии OCTAVE позволяют соблюсти данные требования.

  • [1] Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
  • [2] Introducing OCTAVE Allegro: Improving the Information Risk Assessment Process -Software Engineering Institute. - 2007, 154 c.
  • [3] Баранова Е.К., Забродоцкий А.С. Процедура применения методологии анализарисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы итехнологии. -2015. -№ 3(11). - С. 73-77.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>