Please enable JavaScript.
Coggle requires JavaScript to display documents.
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005 - Coggle Diagram
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005
Процес аналізу ризиків включає:
оцінку можливих втрат через використання або залежності від технології АІС;
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат;
Проблеми, які повинні бути вирішені при оцінці захищеності ІС, включають:
– з питань впливів - Які будуть безпосередні руйнування після реалізації загрози (наприклад, розкриття інформації, модифікація даних)?
– з питань наслідків - Які будуть довгострокові результати реалізації загрози (збиток репутації організації, втрата бізнесу)?
– з питань загроз - Від чого необхідно захищати цінності і наскільки ймовірним є реалізації загрози?
– з питань заходів захисту - Які ефективні заходи захисту (служби безпеки і механізми) потрібні для захисту цінностей?
– з питань цінностей - Що має бути захищене?
– з питань ризиків - Після реалізації заходів захисту є прийнятним залишковий ризик?
Міжнародні керівництва та національні стандарти з управління ризиками:
BSI PD 3002 "Guide to BS 7799 risk assessment" - послужила основою для стандарту 27005 (фактично увійшла більша його частина).
NIST SP 800-30 "Risk Management Guide for Information Technology Systems" - один з найкорисніших в цій галузі. Він докладно описує сам процес аналізу ризиків і надає основні рекомендації з управління ризиками.
ISO Guide 73:2002 "Risk management" на його основі ГОСТ Р 51897- 2002 - це всього лише «терміни та визначення».
Австралійсько-Новозеландський AS/NZS 4360:2004 ($ 99.94 NZD) і супутній документ HB 436, "Risk Management Guidelines - Companion to AS/NZS 4360:2004" ($ 99.94 NZD).
ISO/IEC 27005:20011 визначає як повинен функціонувати процес управління ризиками ІБ, але він не визначає методології. Стандарт 27005 присвячений проблема управління інформаційними ризиками підприємства і необхідний для реалізація вимог стандарту ISO 27001.
Цілі аналізу ризиків:
Причетні сторони (Stakeholder) залучаються при прийнятті рішень з управління ризиками. Вони завжди інформуються про статус управління ризиками.
Ефективність обробки (зниження) ризиків відстежується.
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Процес управління ризиками так само моніториться і регулярно переглядається.
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті.
Менеджери та інші співробітники навчені необхідним діям щодо зниження ризиків і розуміють свою роль в цьому.
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи.
Збирається інформація для поліпшення управління ризиками.
Ризики ІБ ідентифіковані.
У прикладних методах аналізу ризиків зазвичай розглядатися наступні класи активів:
інформаційні ресурси (бази даних, файли, всі види документації);
системні інтерфейси (зовнішні і внутрішні можливі сполуки);
програмне забезпечення (системне, прикладне, утиліти, інші допоміжні програми);
люди, які користуються і підтримують IT систему (в штаті/контракт);
обладнання (фізичні ресурси);
сервіс і підтримуюча інфраструктура (обслуговування засобів ОТ, енергопостачання, забезпечення кліматичних параметрів і т.п.)
місія IT системи (system mission) - процес, що виконується IT системою;
Термінологія
Загроза безпеки (Threat) - в широкому сенсі - потенційне порушення безпеки. В системах обробки даних - потенційна дія чи подія, яка може призвести до порушення одного або більше аспектів безпеки інформаційної системи. Примітка, Властивістю загрози є перелік вразливостей, за допомогою яких може бути реалізована загроза. Часто поділяють загрози на класи: Human Threat, Natural Threat, Environment Threat.
Уразливість (Vulnerability) - слабкість в системі захисту , вона робить можливою реалізацію загрози. Вона пов'язана з «природою активів» або оточуючими умовами ( в т.ч. з використовуваними контролями).
Актив/Ресурс (Asset) у широкому сенсі це все, що представляє цінність з точки зору організації, і тому є об'єктом захисту.
Інформаційна безпека - захист конфіденційності, цілісності та доступності інформації (ГОСТ Р ІСО/МЕК 17799-2005).
Ризики ІБ - можливість, що дана загроза експлуатує уразливість активу або групи активів і таким чином заподіє шкоди організації. Це виміряна в термінах комбінації ймовірності випадку та його наслідки.
Контролі (контрзаходи, controls) - сервіси ІБ або спеціальні механізми, розроблені для протистояння певну загрозу/уразливості.
Вплив (Impact) - несприятлива зміна рівня досягнутих бізнес цілей.
Управління ризиками - це процес ідентифікації вразливостей і погроз щодо активів і вироблення контрзаходів для зниження ризиків до прийнятного рівня, ґрунтуючись на цінності активів для організації.
Терміни оцінки ризиків
Estimation - приблизна оцінка, прикидка; приблизний підрахунок, розрахунок судження; думку; погляд;
Evaluation - оцінка, визначення, співвіднесення об'єкта з прийнятим критерієм;
Assessment – оцінка;
Treatment - обробка (лікування);
Analysis – аналіз;
Risk Treatment - обробка ризиків;
Context Establishment - установка контексту;
Risk Acceptance - прийняття ризиків
Що можна зробити з ризиками (погрозами):
зменшити (що зазвичай і робиться - за гроші Компанії);
надіслати комусь іншому (страхування/outsourcing);
уникнути зовсім (ліквідувати першопричину);
прийняти (неможливо досягти тотальної безпеки).
Процеси СУІБ можна віднести з процесами управління ризиками,як :
Впровадження/Do
Реалізація Плану обробки ризиків (відповідні процеси та
контролі)
Перевірка/Check
Постійний Risk Monitoring and Review (менеджери
визначають, що потрібно змінити у даному процесі)
Планування/Plan
Risk Assessment
планування Risk Treatment,
Context Establishment
Risk Acceptance
Модернізація/Act
Підтримка та покращення даного процесу Управління
ризиками ІБ