Please enable JavaScript.

Coggle requires JavaScript to display documents.

МІЖНАРОДНИЙ СТАНДАРТ BS ISO/IEC 27005: 2011 …

- - - - • Вхідні дані: Встановлені основні критерії, сфера дії і межі, структура для процесу менеджменту ризику інформаційної безпеки.
      - • Дія: Ризики повинні бути ідентифіковані, кількісно визначені або якісно описані і розставлені відповідно до пріоритетів згідно критеріям оцінювання ризику і доречним для організації цілям.
      - • Керівництво з реалізації: Ризик являє собою комбінацію наслідків, що випливають з небажаної події, і ймовірності виникнення події.
      - Оцінка ризику складається з наступних заходів:
        
        ідентифікацію ризику
        
        аналіз ступеня ризику
        
        оцінювання ризику
      - Оцінка ризику часто проводиться, використовуючи дві (або більше) ітерації.
      - Вихідні дані: Перелік оцінених ризиків, розставлених відповідно до пріоритетів і відповідно до критеріїв оцінювання ризику.
  - - - Введення в ідентифікацію ризиків
        
        Метою ідентифікації ризику є визначення того, що могло б статися, якщо нанести потенційну шкоду, для того щоб отримати уявлення про те, як, де і чому могла мати місце ця шкода.
      - Ідентифікація активів
        
        Вхідні дані: Область застосування і межі які підлягають проведенню оцінці ризику, перелік складових частин, що включає власників, місце розташування, функцію і т.д.
        
        Дія: Повинні бути ідентифіковані активи, що входять у встановлену область застосування.
        
        Керівництво по реалізації:
        
        • Активом є щось, що має цінність для організації і, отже, що потребує захисту.
        
        • Ідентифікацію активів слід здійснювати на відповідному рівні деталізації, що забезпечує достатню інформацію для оцінки ризику.
        
        • Для кожного активу повинен бути визначений власник, щоб забезпечити облік і відповідальність за кожен актив.
        
        • Межею перегляду є периметр активів організації, визначений як такий, що підлягає менеджменту за допомогою процесу ризик-менеджменту інформаційної безпеки.
      - Ідентифікація загроз
        
        Вхідні дані: Інформація про погрози, отримана в результаті аналізу інциденту, від власників активів, користувачів, а також з інших джерел, включаючи реєстри зовнішніх загроз.
        
        Дія: Загрози і їх джерела повинні бути ідентифіковані.
        
        Керівництво по реалізації:
        
        • Загроза має потенціал заподіяння шкоди активів, таким як інформація, процеси і системи.
        
        • Загрози можуть бути природного походження або від дій людей, вони можуть бути випадковими або навмисними.
        
        • Повинні бути ідентифіковані і випадкові, і навмисні джерела загроз.
        
        • Деякі загрози можуть впливати більш ніж на один актив.
        
        • Внутрішній досвід, отриманий в результаті інцидентів, і минулі оцінки загроз повинні бути враховані в поточній оцінці.
        
        Вихідні дані: Перелік загроз з ідентифікацією виду і джерела.
      - Ідентифікація існуючих засобів контролю
        
        Вхідні дані: Документування засобів контролю, планів реалізації обробки ризику.
        
        Дія:
        
        • Існуючі та заплановані засоби контролю слід ідентифікувати.
        
        • Під час ідентифікації існуючих засобів контролю слід провести перевірку.
        
        • Якщо засоби контролю не працюють, як очікувалося, це може стати причиною вразливості.
        
        • Одним із способів кількісно оцінити дію засобів контролю - подивитися, як вони зменшують ймовірність загрози і простоту використання уразливості або вплив інциденту.
        
        Для ідентифікації існуючих або планованих засобів контролю можуть бути корисні наступні заходи:
        
        • перегляд документів, що містять інформацію про засоби контролю
        
        • перевірка разом з людьми, які відповідають за інформаційну безпеку і користувачами, які засоби контролю дійсно реалізовані для розглянутого інформаційного процесу або інформаційної системи
        
        • обхід будівлі з проведенням огляду фізичних засобів контролю, порівняння реалізованих засобів контролю з переліком тих, які повинні бути, і перевірка реалізованих засобів контролю на предмет правильної і ефективної роботи або;
        
        • розгляд результатів внутрішніх аудитів.
        
        Вихідні дані: Перелік всіх існуючих і планованих засобів контролю, їх знаходження і стан використання.
      - Ідентифікація уразливості
        
        Дія: Необхідно ідентифікувати уразливості, які можуть бути використані загрозами, щоб завдати шкоди активам або організації.
        
        Керівництво по реалізації:
        
        Уразливості можуть бути ідентифіковані в наступних областях:
        
        • організація робіт;
        
        • процеси і процедури;
        
        • сталі норми управління;
        
        • персонал;
        
        • фізичне середовище;
        
        • конфігурація інформаційної системи;
        
        • апаратні засоби, програмне забезпечення та апаратура зв'язку;
        
        • залежність від зовнішніх сторін.
        
        Наявність уразливості не завдає шкоди, оскільки необхідна наявність загрози, щоб скористатися нею.
        
        Слід зазначити, що невірно реалізований або неправильно функціонуючий засіб контролю або засіб контролю, який неправильно використовується, можуть бути вразливістю.
        
        Уразливості, що виникають з різних джерел, підлягають розгляду, наприклад, ті які є зовнішніми або внутрішніми по відношенню до активу.
        
        Вхідні дані: Переліки відомих загроз, переліки активів і існуючих засобів контролю.
        
        Вихідні дані: Перелік вразливостей, пов'язаних з активами, погрозами і засобами контролю; перелік вразливостей, які не пов'язані з ідентифікованою загрозою, яка підлягає розгляду.
      - Ідентифікація наслідків
        
        Дія:
        
        Повинні бути ідентифіковані наслідки для активів, які можуть бути результатом втрати конфіденційності, цілісності та доступності.
        
        Ця діяльність ідентифікує шкоду для організації або наслідки для організації, які можуть бути обумовлені сценарієм інциденту, який надається загрозою, що використовує певну вразливість в інциденті ІБ.
        
        Організації повинні визначати операційні наслідки сценаріїв інцидентів на основі (але не обмежуючись):
        
        • часу на розслідування і відновлення;
        
        • втрат (робочого) часу;
        
        • втрачену можливість;
        
        • охорони праці та безпеки;
        
        • фінансових витрат на специфічні навички, необхідні для усунення несправності;
        
        • репутації і іншого "невловимого капіталу".
        
        Вихідні дані: Перелік сценаріїв інцидентів з їх наслідками, пов'язаними з активами і бізнес-процесами.
        
        Вхідні дані: Перелік активів, перелік бізнес-процесів, перелік загроз і вразливостей, де це доречно, пов'язаних з активами, і їхня соціальна значимість.
    - - Методологія вимірювання ризику
        
        Методологія вимірювання може бути якісною або кількісною, або їх комбінацією.
        
        Форма аналізу повинна узгоджуватися з критеріями оцінювання ризику, розробленими як частина встановлення контексту.
        
        Аналіз ризику може бути здійснений з різним ступенем деталізації в залежності від критичності активів, поширеності відомих вразливостей і колишніх інцидентів, які стосувалися організації.
        
        Деталі методології оцінки:
        
        a. Якісна оцінка
        
        Якісна оцінка може використовуватися:
        
        • як початкова діяльність по ретельній перевірці для ідентифікації ризиків, які потребують більш детального аналізу;
        
        • там, де цей вид аналізу є відповідним для прийняття рішення;
        
        • там, де числові дані або ресурси є неадекватними для кількісної оцінки
        
        b. Кількісна оцінка
        
        • Кількісна оцінка використовує шкалу з числовими значеннями наслідків і ймовірностей.
        
        • Якість аналізу залежить від точності і повноти числових значень і від обґрунтованості використовуваних моделей.
        
        • В більшості випадків кількісна оцінка використовує фактичні дані за минулий період.
      - Оцінка наслідків
        
        Вхідні дані: Перелік ідентифікованих сценарієм значущих інцидентів, включаючи ідентифікацію загроз, вразливостей і порушених активів, наслідків для активів і бізнес-процесів.
        
        Дія:
        
        Вплив бізнесу на організацію, яка може бути результатом можливих або фактичних інцидентів ІБ, має бути оцінений з урахуванням наслідків порушення інформаційної безпеки, таких як втрата конфіденційності, цілісності або доступності активів.
        
        Керівництво по реалізації:
        
        • Після ідентифікації всіх активів, які переглядаються, цінність, привласнена цим активам, повинна враховуватися при оцінці наслідків.
        
        • Це значення впливу бізнесу може бути виражено в якісній або кількісної формах, однак, будь-який метод присвоєння грошового значення може, загалом, дати більше інформації для прийняття рішень і, отже, зробить можливим більш ефективний процес прийняття рішень.
        
        • Визначення цінності активів починається з класифікації активів у відповідності до їх критичності, з точки зору важливості активів для здійснення бізнес-цілей організації.
        
        Потім визначається цінність з використанням двох заходів відновної вартості активу:
        
        • вартості очищення з метою відновлення і заміни інформації (якщо це можливо);
        • наслідки для бізнесу від втрати або компрометації активу.
        
        Визначення цінності активів є ключовим фактором оцінки впливу сценарію інциденту, оскільки інцидент може торкатися більш ніж одного активу, або тільки частини активу.
        
        Наслідки або вплив бізнесу можуть визначатися шляхом моделювання результатів події або сукупності подій, або екстраполяції експериментальних досліджень або даних за минулий час.
      - Оцінка ймовірності інциденту
        
        Дія: Повинна бути оцінена ймовірність дії сценаріїв інцидентів
        
        Керівництво по реалізації:
        
        Після ідентифікації сценаріїв інцидентів необхідно оцінити ймовірність кожного сценарію і виникаючий вплив, використовуючи якісні або кількісні методи оцінки.
        
        Тут потрібно враховувати той факт, як часто виникають загрози і наскільки легко можуть бути використані уразливості, розглядаючи:
        
        • досвід і застосовну статистику ймовірності загроз;
        
        • для джерел умисних загроз: мотивацію і можливості, які будуть змінюватися з плином часу, і доступні для можливих порушників ресурсів, а також сприйняття привабливості і уразливості активів можливим порушником;
        
        • для джерел випадкових загроз: географічні чинники, наприклад, близькість до хімічного або нафтопереробному заводу, можливість екстремальних погодних умов і фактори, які можуть впливати на помилки персоналу і збої обладнання;
        
        • уразливості, в індивідуальному плані і в сукупності;
        
        • існуючі засоби контролю і те, наскільки ефективно вони знижують уразливості.
        
        Залежно від потреби в точності активи можуть бути згруповані або може виникати необхідність розбиття активів на елементи і зв'язування сценаріїв з елементами.
        
        Вхідні дані: Перелік ідентифікованих доречних сценаріїв інцидентів, включаючи ідентифікацію загроз, активи, які зачіпаються, використовувані уразливості і наслідки для активів і бізнес-процесів. Крім того, список всіх існуючих і планованих засобів контролю, їх ефективності і стану реалізації та використання.
        
        Вихідні дані: Імовірність дії сценаріїв інцидентів (кількісна або якісна).
        
        Вхідні дані: Перелік сценаріїв інцидентів з їх наслідками, які стосуються активів, бізнес-процесів і їх ймовірності (кількісних або якісних).
        
        Дія: Повинно бути здійснено вимір рівня ризиків для всіх значущих сценаріїв інцидентів.
        
        Вихідні дані: Перелік ризиків з присвоєними рівнями значень.
      - Вимірювання рівня ризику
        
        Вхідні дані: Перелік сценаріїв інцидентів з їх наслідками, стосуються активів, і бізнес-процесів і їх ймовірності (кількісних або якісних).
        
        Дія: Повинно бути здійснено вимір рівня ризиків для всіх значущих сценаріїв інцидентів.
        
        Вихідні дані: Перелік ризиків з присвоєними рівнями значень.
    - - Дія: Рівні ризиків повинні порівнюватися з критеріями оцінювання ризику і критеріями прийняття ризику.
      - Керівництво по реалізації:
        
        • Характер рішень, що відносяться до оцінювання ризику, і критерії оцінювання ризику, які будуть використані для прийняття цих рішень, повинні були бути визначені при встановленні контексту.
        
        • Рішення, пов'язані з оцінюванням ризику, зазвичай ґрунтуються на прийнятному рівні ризику.
        
        • Сукупність безлічі ризиків низького і середнього рівня може дати в результаті загальний ризик більш високого рівня.
        
        • властивості інформаційної безпеки
        
        • значимість бізнес-процесу або діяльності, які підтримуються конкретним активом або сукупністю активів
        
        Оцінювання ризику ґрунтується на розумінні суті ризику, отриманому на етапі аналізу ризику, для прийняття рішень про майбутні дії. Рішення повинні включати в себе наступне:
        
        • чи повинна бути зроблена якась діяльність;
        
        • пріоритети при обробці ризику, що враховують виміряні рівні ризиків
      - Вхідні дані: Перелік ризиків з присвоєними рівнями значень і критерії оцінювання ризику.
      - Вихідні дані: Перелік ризиків, з призначеними пріоритетами в відповідності до критеріїв оцінювання ризику щодо сценаріїв інцидентів, які призводять до цих ризиків.