Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст)
- Приложение Е (справочное). Подходы к оценке риска информационной безопасности
Приложение Е (справочное). Подходы к оценке риска информационной безопасности
Приложение Е
(справочное)
Подходы к оценке риска информационной безопасности
Е.1 Высокоуровневая оценка риска информационной безопасности
Высокоуровневая оценка дает возможность определять приоритеты и хронологию действий. По разным причинам, например, бюджетным, одновременная реализация всех мер и средств контроля и управления не всегда возможна, и с помощью процесса обработки риска могут рассматриваться только наиболее критичные риски. Также может быть преждевременным начинать детальный менеджмент риска, если реализация предусматривается только через год или два. Для достижения этой цели высокоуровневая оценка может начаться с высокоуровневой оценки последствий, а не с систематического анализа угроз, уязвимостей, активов и последствий.
Причиной начать с высокоуровневой оценки является синхронизация с другими планами, связанными с управлением изменениями (или обеспечением непрерывности бизнеса). Например не имеет смысла обеспечивать полную защиту системы или приложения, если в ближайшем будущем планируется привлечь для работы с ними внешние ресурсы, хотя, возможно, стоит выполнить оценку риска, чтобы определить целесообразность заключения договора о привлечении внешних ресурсов.
Особенности итерации высокоуровневой оценки риска могут включать следующее.
Высокоуровневая оценка риска может быть связана с более глобальным рассмотрением организации и ее информационных систем, когда технологические аспекты рассматриваются как независимые от проблем бизнеса. В результате этого анализ контекста больше сосредотачивается на бизнес- и эксплуатационной среде, чем на технологических компонентах.
Высокоуровневая оценка риска может быть связана с более ограниченным перечнем угроз и уязвимостей, сгруппированных в определенных сферах, или для ускорения процесса она может сосредотачиваться на сценариях риска или нападений вместо их компонентов.
Риски, представленные в высокоуровневой оценке риска, часто носят более общий характер, чем конкретно идентифицированные риски. Когда сценарии или угрозы группируются в сферы, обработка риска предлагает перечни мер и средств контроля и управления для конкретной сферы. Деятельность по обработке риска затем стремится, прежде всего, предложить и выбрать общие меры и средства контроля и управления, являющиеся действенными во всей системе.
Вследствие того, что при использовании высокоуровневой оценки риска редко рассматриваются технологические детали, она более уместна для обеспечения организационных и нетехнических средств контроля, а также аспектов менеджмента технических средств контроля или ключевых и общих технических защитных мер, таких, как резервное копирование и антивирусные программы.
Преимущества высокоуровневой оценки риска таковы:
- включение первоначального простого подхода, вероятно, необходимо для одобрения программы оценки риска;
- должно быть возможным создание стратегической картины программы обеспечения безопасности организации, т.е. она будет действовать как хорошая помощь в планировании;
- ресурсы и денежные средства могут быть применены там, где они наиболее полезны, и системы, вероятно, больше всего нуждающиеся в защите, будут рассмотрены первыми.
Поскольку первоначальные анализы риска выполняются на высоком уровне и потенциально могут быть менее точными, единственный возможный недостаток состоит в том, что некоторые бизнес-процессы или системы не могут быть определены как нуждающиеся во вторичной, более детальной оценке риска. Этого можно избежать, если существует адекватная информация обо всех аспектах организации, ее информации и системах, включая информацию, полученную в результате оценка инцидентов ИБ.
При использовании высокоуровневой оценки риска рассматривается ценность для бизнеса информационных активов и риски с точки зрения бизнеса организации. В первой точке принятия решения (см. рисунок 1) несколько факторов помогают в определении того, является ли высокоуровневая оценка адекватной для обработки риска; этими факторами могут быть:
- бизнес-цели, которые должны быть достигнуты посредством использования различных информационных активов;
- степень зависимости бизнеса организации от каждого информационного актива, т.е., являются ли функции, которые организация считает критичными для своего выживания или эффективного ведения бизнеса, зависящими от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, учетности, подлинности и надежности информации, хранящейся и обрабатываемой в данном активе;
- уровень инвестиций в каждый информационный актив с точки зрения разработки, поддержки или замены актива;
- информационные активы, которым организация напрямую присваивает ценность.
После того как эти факторы оценены, решение становится проще. Если цели актива крайне важны для ведения бизнеса организации или если активы имеют высокий уровень риска, то для конкретного информационного актива (или его части) должна быть проведена вторая итерация, детальная оценка риска.
Здесь применяется следующее общее правило: если отсутствие ИБ может привести к значительным неблагоприятным последствиям для организации, ее бизнес-процессов или ее активов, то необходима вторая итерация оценки риска на более детальном уровне для идентификации потенциальных рисков.
Е.2 Детальная оценка риска информационной безопасности
Детальный процесс оценки риска ИБ включает тщательное определение и установление ценности активов, оценку угроз этим активам и оценку уязвимостей. Результаты этой деятельности используются для оценки рисков, а затем для определения способа обработки риска.
Детальная последовательность действий обычно требует продолжительного времени, значительных усилий и компетентности и поэтому может быть наиболее пригодной для информационных систем с высоким уровнем риска.
Окончательным этапом детальной оценки риска ИБ является оценка общих рисков, находящаяся в фокусе данного приложения.
Последствия могут оцениваться несколькими методами, включая количественные, например денежные, и качественные меры (с использованием таких определений, как "умеренные" или "серьезные") или их комбинации. Для оценки вероятности возникновения угрозы должны быть установлены временные рамки, в которых актив будет обладать ценностью или нуждаться в защите. На вероятность возникновения конкретной угрозы оказывают влияние следующие факторы:
- привлекательность актива или возможное воздействие - применимо при рассмотрении умышленной угрозы со стороны персонала;
- простота преобразования актива, использующего уязвимость за вознаграждение, - применимо при рассмотрении умышленной угрозы со стороны персонала;
- технические возможности действующего фактора угрозы - применимо при рассмотрении умышленной угрозы со стороны персонала;
- чувствительность уязвимости к использованию - применимо к техническим и нетехническим уязвимостям.
Во многих методах используются таблицы и объединяются субъективные и эмпирические меры. Важно, чтобы организация использовала метод, который является для нее наиболее удобным, в котором организация уверена и который будет обеспечивать повторяемость результатов. Несколько примеров, основанных на таблицах методов, приведено ниже.
Е.2.1 Пример 1 - Таблица с заранее определенными значениями
В методах оценки риска данного вида фактические или предполагаемые физические активы оцениваются с точки зрения стоимости замены или восстановления (т.е. количественные меры). Эта стоимость затем переводится в ту же качественную шкалу, которая используется для информации (см. ниже). Фактические или предполагаемые программные активы оцениваются таким же образом, как и физические активы, - определяется стоимость приобретения или восстановления, а затем переводится в ту же качественную шкалу, которая используется для информации. Кроме того, если считается, что любая прикладная программа имеет собственные присущие ей требования в отношении конфиденциальности или целостности (например, если исходный текст программы сам по себе является коммерчески критичным), она оценивается таким же образом, как и информация.
Ценность информации определяется из опросов отдельных представителей бизнес-менеджмента (владельцев информации), которые могут авторитетно судить о данных с целью определения ценности и критичности фактически используемых данных или данных, которые должны храниться, обрабатываться или оцениваться. Опросы облегчают оценку значимости и критичности информации с точки зрения сценариев наихудших вариантов, возникновение которых можно предполагать исходя из неблагоприятных последствий для бизнеса, обусловленных несанкционированным раскрытием, несанкционированной модификацией, недоступностью в течение различных периодов времени и разрушением.
Ценность определяется использованием принципов определения ценности информации, которые охватывают следующие проблемы:
- личная безопасность;
- личная информация;
- юридические и нормативные обязательства;
- соблюдение законов;
- коммерческие и экономические интересы;
- финансовые потери/нарушение деятельности;
- общественный порядок;
- политика и операции бизнеса;
- потеря "неосязаемого капитала";
- договор или соглашение с клиентом.
Принципы облегчают определение значений ценности по числовой шкале, как, например, на шкале от 0 до 4, показанной в приведенном ниже примере (см. таблицу Е.1а), осуществляя таким образом присвоение количественных значений, если это возможно и обоснованно, и качественных значений там, где количественные значения невозможны, например в случае создания опасности для человеческой жизни.
Следующим важным этапом деятельности является заполнение ряда опросных листов для каждого вида угрозы, каждой группы активов, с которой связан данный вид угрозы, чтобы сделать возможной оценку уровней угроз (вероятности возникновения) и уровней уязвимостей (простоты использования угроз для создания неблагоприятных последствий). Каждый ответ на вопрос дает баллы. Эти баллы складываются с использованием базы знаний и сравниваются с диапазонами. Это идентифицирует уровни угроз, например, по шкале от высокого до низкого и, аналогично, уровни уязвимостей, как показано в таблице Е.1а, с проведением различий между видами последствий. Информация для заполнения опросных листов должна собираться из опросов технического персонала, представителей отдела кадров, из данных обследований фактического месторасположения и проверки документации.
Ценность активов, уровни угроз и уязвимостей, относящиеся к каждому виду последствий, приводятся в табличной форме (матрице), представленной в таблице Е.1а, чтобы для каждой комбинации идентифицировать соответствующую меру риска на основе шкалы от 0 до 8. Значения заносятся в матрицу структурированным образом.
Таблица Е.1а - Ценность активов, уровни угроз и уязвимостей
|
Степень вероятности возникновения угрозы |
Низкая |
Средняя |
Высокая |
|||||||
|
Простота использования |
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
|
Ценность активов |
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
|
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
|
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
|
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
|
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
|
Для каждого актива рассматриваются уместные уязвимости и соответствующие им угрозы. Если существует уязвимость без соответствующей угрозы или угроза без соответствующей уязвимости, то в настоящее время риск отсутствует (но следует принимать меры в случае изменения этой ситуации). Соответствующая строка в таблице устанавливается по значению ценности актива, а соответствующая колонка устанавливается по степени вероятности возникновения угрозы и простоте использования. Например если актив имеет ценность 3, угроза является "высокой", а уязвимость "низкой", то мера риска будет равна 5. Предположим, что актив имеет ценность 2 и, например для модификации уровень угрозы является "низким", а простота использования "высокой", тогда мера риска будет равна 4. Размер таблицы с точки зрения числа категорий вероятности угроз, категорий простоты использования и числа категорий определения ценности активов может быть адаптирован к потребностям организации. Для дополнительных мер риска потребуются дополнительные колонки и строки. Ценность данного подхода заключается в ранжировании рисков, требующих рассмотрения.
Аналогичная матрица, как показано в таблице Е.1а, является результатом рассмотрения степени вероятности сценария инцидента, отображенного на количественно оцененное влияние бизнеса. Вероятность сценария инцидента дана посредством угрозы, использующей уязвимость с определенной вероятностью. Таблица отображает эту вероятность влияния на бизнес, связанную со сценарием инцидента. Получаемый в результате риск измеряется по шкале от 0 до 8, может быть оценен относительно критериев принятия риска. Данная шкала рисков может также отображаться на простой общий рейтинг рисков, например следующим образом:
- низкий риск: 0 - 2;
- средний риск: 3 - 5;
- высокий риск: 6 - 8.
Таблица Е.1b - Степень вероятности сценария инцидента
|
|
Степень вероятности сценария инцидента |
Очень низкая (очень маловероятная) |
Низкая (маловероятная) |
Средняя (возможная) |
Высокая (вероятная) |
Очень высокая (частая) |
|
Влияние на бизнес |
Очень низкое |
0 |
1 |
2 |
3 |
4 |
|
Низкое |
1 |
2 |
3 |
4 |
5 |
|
|
Среднее |
2 |
3 |
4 |
5 |
6 |
|
|
Высокое |
3 |
4 |
5 |
6 |
7 |
|
|
Очень высокое |
4 |
5 |
6 |
7 |
8 |
Е.2.2 Пример 2 - Ранжирование угроз посредством мер риска
Матрица или таблица может быть использована, чтобы связать факторы последствий (ценность активов) с вероятностью возникновения угрозы (принимая в расчет аспекты уязвимости). Первый шаг состоит в оценке последствий (ценности активов) по заранее определенной шкале, например от 1 до 5, для каждого находящегося под угрозой актива (колонка "b" в таблице Е.2). Второй шаг состоит в оценке степени вероятности возникновения угрозы по заранее определенной шкале, например от 1 до 5, для каждой угрозы (колонка "с" в таблице Е.2). Третий шаг состоит в вычислении меры риска путем умножения (b х с). Наконец, угрозы могут быть ранжированы в порядке соответствующей меры риска. Отметим, что в этом примере "1" соответствует наименьшим последствиям и самой низкой степени вероятности возникновения.
Таблица Е.2 - Ранжирование угроз посредством мер риска
Как показано выше, это является процедурой, позволяющей сопоставлять и ранжировать в порядке назначенных приоритетов различные угрозы с разными последствиями и вероятностью возникновения. В некоторых случаях будет необходимо результаты, полученные здесь по эмпирическим шкалам, представлять в денежном выражении.
Е.2.3 Пример 3 - Оценка ценности для вероятности рисков и их возможных последствий
В этом примере особое внимание уделяется последствиям инцидентов ИБ (сценариям инцидентов) и определению того, каким системам следует отдавать предпочтение. Это выполняется путем оценки двух значений - для каждого актива и риска, комбинация которых будет определять баллы для каждого актива. Когда суммируются все баллы активов системы, определяется мера риска для этой системы.
Сначала каждому активу присваивается ценность. Это значение связано с возможными неблагоприятными последствиями, которые могут возникать, если актив находится под угрозой. Эта ценность присваивается активу для каждого случая возникновения соответствующей активу угрозы. Потом оценивается значение вероятности. Оно оценивается исходя из комбинации степени вероятности возникновения угрозы и простоты использования уязвимости (см. таблицу Е.3, выражающую вероятность осуществления сценария инцидентов).
Таблица Е.3 - Оценка ценности для степени вероятности и возможных последствий рисков
|
Уровни угрозы |
Низкая |
Средняя |
Высокая |
||||||
|
Уровни уязвимости |
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
Значение степени вероятности |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Затем, находя пересечение линий значения ценности актива и значения степени вероятности в таблице Е.4, присваиваются баллы активу/угрозе. Баллы актива/угрозы подсчитываются, чтобы получить итоговые баллы для актива. Эта цифра может использоваться для проведения различий между активами, составляющими часть системы.
Таблица Е.4 - Ценности актива и значения степени вероятности
|
Значение степени вероятности |
Ценность актива |
||||
|
0 |
0 |
1 |
2 |
3 |
4 |
|
1 |
1 |
2 |
3 |
4 |
5 |
|
2 |
2 |
3 |
4 |
5 |
6 |
|
3 |
3 |
4 |
5 |
6 |
7 |
|
4 |
4 |
5 |
6 |
7 |
8 |
Окончательный шаг заключается в подсчете всех итоговых баллов активов системы, чтобы получить баллы системы. Эта цифра может использоваться для проведения различий между системами и определения того, защите какой системы следует отдавать предпочтение.
В последующих примерах все значения выбраны случайно.
Предположим, что система С имеет три актива: А1, А2 и A3. Также предположим, что существуют две угрозы У1 и У2, применимые к системе С. Пусть ценность актива А1 будет 3, допустим также, что ценность актива А2 равна 2, а ценность актива A3 равна 4.
Если для А1 и У1 степень вероятности угрозы низкая, а простота использования уязвимости средняя, то значение степени вероятности равно 1 (см. таблицу Е.3).
Баллы для актива/угрозы А1/У1 могут быть выведены из таблицы Е.4 на пересечении линий ценности актива 3 и значения степени вероятности 1, т.е. равные 4. Аналогичным образом, пусть для А1/У2 степень вероятности угрозы будет средней, а простота использования уязвимости будет высокой, что даст для А1/У2 значение 6.
Теперь могут быть вычислены итоговые баллы актива А1У, т.е. равные 10. Итоговые баллы актива вычисляются для каждого актива и применимой угрозы. Итоговые баллы системы вычисляются путем суммирования А1У + А2У + А3У, что дает СУ.
Различные системы могут сравниваться для установления приоритетов, а также различных активов в пределах одной системы.
Приведенные выше примеры показаны с точки зрения информационных систем, однако аналогичный подход может быть применен и к бизнес-процессам.