Please enable JavaScript.

Coggle requires JavaScript to display documents.

BS ISO/IEC 27005: 2011_2 - Coggle Diagram

- - - - • ідентифікацію ризику (відповідно до 8.2);
      - • аналіз ступеня ризику (відповідно до 8.3)
      - • оцінювання ризику (відповідно до 8.4).
  - - - 8.2.1.1 Введення в ідентифікацію ризиків
        Метою ідентифікації ризику є визначення того, що могло б статися, якщо нанести потенційну шкоду, для того щоб отримати уявлення про те, як, де і чому могла мати місце ця шкода. Етапи, описані нижче, повинні збирати вхідні дані для діяльності по кількісній оцінці ризику.
      - 8.2.1.2 Ідентифікація активів
        
        Вхідні дані: Область застосування і межі які підлягають проведенню оцінці ризику, перелік складових частин, що включає власників, місце розташування, функцію і т.д.
        Дія: Повинні бути ідентифіковані активи, що входять у встановлену область застосування [пов'язане з ISO/IEC 27001, 4.2.1 перерахування d) 1)].
        Керівництво по реалізації: Активом є щось, що має цінність для організації і, отже, що потребує захисту. При ідентифікації активів слід мати на увазі, що інформаційна система складається не тільки з апаратних і програмних засобів.
        Ідентифікацію активів слід здійснювати на відповідному рівні деталізації, що забезпечує достатню інформацію для оцінки ризику. Рівень деталізації, який використовується при ідентифікації активів, впливає на загальний обсяг інформації, зібраної під час оцінки ризику. Цей рівень може бути більш деталізований при подальших ітераціях оцінки ризику.
      - 8.2.1.3 Ідентифікація загроз
        
        Вхідні дані: Інформація про погрози, отримана в результаті аналізу інциденту, від власників активів, користувачів, а також з інших джерел, включаючи реєстри зовнішніх загроз.
        Дія: Загрози і їх джерела повинні бути ідентифіковані [пов'язано з ISO/IEC 27001, 4.2.1 перерахування d) 2)].
        Керівництво по реалізації:
        Загроза має потенціал заподіяння шкоди активів, таким як інформація, процеси і системи. Загрози можуть бути природного походження або від дій людей, вони можуть бути випадковими або навмисними. Повинні бути ідентифіковані і випадкові, і навмисні джерела загроз. Загроза може виникати як з самої організації, так і поза її межами. загрози повинні ідентифікуватися як в загальному вигляді, так і по виду (наприклад, неавторизовані дії, фізичний збиток, технічні збої), а потім, де це доречно, окремі загрози ідентифікуються всередині родового класу. Це означає, що жодна загроза, включаючи несподівані загрози, будуть враховані, але обсяг необхідної роботи, незважаючи на це, обмежений.
        Вихідні дані: Перелік загроз з ідентифікацією виду і джерела
      - 8.2.1.4 Ідентифікація існуючих засобів контролю
        
        Вхідні дані: Документування засобів контролю, планів реалізації обробки ризику.
        Дія: Існуючі та заплановані засоби контролю слід ідентифікувати.
        Ідентифікація існуючих засобів контролю повинна бути зроблена, щоб уникнути непотрібної роботи або витрат, наприклад, при дублюванні засобів контролю. Крім того, під час ідентифікації існуючих засобів контролю слід провести перевірку, щоб упевнитися, що засоби контролю функціонують правильно - посилання на вже існуючі звіти по аудиту СМІБ повинні обмежувати час, витрачається на цю задачу. Якщо засоби контролю не працюють, як очікувалося, це може стати причиною вразливості. Слід приділити увагу ситуації, коли обрані засоби контролю (або стратегія) відмовляються працювати і тому потрібні додаткові засоби контролю для ефективного розгляду ідентифікованого ризику.
        Вихідні дані: Перелік всіх існуючих і планованих засобів контролю, їх знаходження і стан використання.
        
        Для ідентифікації існуючих або планованих засобів контролю можуть бути корисні наступні заходи:
        
        • перегляд документів, що містять інформацію про засоби контролю . Якщо процеси менеджменту ІБ задокументовано належним чином, то всі існуючі або плановані засоби контролю і стан їх реалізації повинні бути там доступні;
        
        • перевірка разом з людьми, які відповідають за інформаційну безпеку і користувачами, які засоби контролю дійсно реалізовані для розглянутого інформаційного процесу або інформаційної системи;
        
        • обхід будівлі з проведенням огляду фізичних засобів контролю, порівняння реалізованих засобів контролю з переліком тих, які повинні бути, і перевірка реалізованих засобів контролю на предмет правильної і ефективної роботи або;
        
        • розгляд результатів внутрішніх аудитів.
      - 8.2.1.5 Ідентифікація уразливості
        
        Вхідні дані: Переліки відомих загроз, переліки активів і існуючих засобів контролю.
        Дія: Необхідно ідентифікувати уразливості, які можуть бути використані загрозами, щоб завдати шкоди активам або організації [пов'язано з ISO/IEC 27001, 4.2.1 перерахування d) 3)].
        Вихідні дані: Перелік вразливостей, пов'язаних з активами, погрозами і засобами контролю; перелік вразливостей, які не пов'язані з ідентифікованою загрозою, яка підлягає розгляду.
        
        Уразливості можуть бути ідентифіковані в наступних областях:
        
        • організація робіт;
        
        • процеси і процедури;
        
        • сталі норми управління;
        
        • персонал;
        
        • фізичне середовище;
        
        • конфігурація інформаційної системи;
        
        • апаратні засоби, програмне забезпечення та апаратура зв'язку;
        
        • залежність від зовнішніх сторін.
      - 8.2.1.6 Ідентифікація наслідків
        
        Вхідні дані: Перелік активів, перелік бізнес-процесів, перелік загроз і вразливостей, де це доречно, пов'язаних з активами, і їхня соціальна значимість.
        Дія: Повинні бути ідентифіковані наслідки для активів, які можуть бути результатом втрати конфіденційності, цілісності та доступності [див. ISO/IEC 27001, 4.2.1 перерахування d) 4)]. Наслідком може бути втрата ефективності, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації і т.д.
        
        Ця діяльність ідентифікує шкоду для організації або наслідки для організації, які можуть бути обумовлені сценарієм інциденту, який надається загрозою, що використовує певну вразливість в інциденті ІБ (див. ISO/IEC 27002, розділ 13). Вплив сценаріїв інцидентів слід визначати, використовуючи критерії впливу, визначені протягом діяльності, пов'язаної з встановленням контексту. Вона може торкнутися одного або більшої кількості активів; або частини активу. Тому активам може призначатися цінність в залежності від їх фінансової вартості і по причині наслідків для бізнесу в разі їх псування або компрометації. Наслідки можуть бути тимчасовими або постійними, як у випадку руйнування активів.
        
        Організації повинні визначати операційні наслідки сценаріїв інцидентів на основі (але не обмежуючись):
        
        • часу на розслідування і відновлення;
        
        • втрат (робочого) часу;
        
        • втрачену можливість;
        
        • охорони праці та безпеки;
        
        • фінансових витрат на специфічні навички, необхідні для усунення несправності;
        
        • репутації і іншого "невловимого капіталу".
    - - 8.2.2.1 Методологія вимірювання ризику
        
        Аналіз ризику може бути здійснений з різним ступенем деталізації в залежності від критичності активів, поширеності відомих вразливостей і колишніх інцидентів, які стосувалися організації. Методологія вимірювання може бути якісною або кількісною, або їх комбінацією, в залежності від обставин. На практиці якісна оцінка часто використовується першою для отримання загальних відомостей про рівень ризику і виявлення основних значень ризиків. Пізніше може виникнути необхідність в здійсненні більш специфічного або кількісного аналізу основних значень ризиків, оскільки зазвичай виконання якісного аналізу в порівнянні з кількісним є менш складним і менш витратним.
        
        Далі більш докладно описуються деталі методології оцінки:
        
        a. Якісна оцінка.
        Якісна оцінка використовує шкалу кваліфікації атрибутів для опису величини можливих наслідків (наприклад, низький, середній і високий) і ймовірності виникнення цих наслідків. Перевага якісної оцінки полягає в простоті її розуміння всім відповідним персоналом, а недоліком є залежність від суб'єктивного вибору шкали.
        
        Якісна оцінка може використовуватися:
        
        • як початкова діяльність по ретельній перевірці для ідентифікації ризиків, які потребують більш детального аналізу;
        
        • там, де цей вид аналізу є відповідним для прийняття рішення;
        
        • там, де числові дані або ресурси є неадекватними для кількісної оцінки.
        
        b. Кількісна оцінка.
        Кількісна оцінка використовує шкалу з числовими значеннями (а не описові шкали, які використовуються в якісній оцінці) наслідків і ймовірностей, застосовуючи дані з різних джерел. Якість аналізу залежить від точності і повноти числових значень і від обґрунтованості використовуваних моделей. В більшості випадків кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому, що вона може бути безпосередньо пов'язана з цілями ІБ та проблемами організації. недоліки кількісного підходу можуть мати місце тоді, коли фактичні дані, що перевіряються, недоступні, тому створюється ілюзія цінності і точності оцінки ризику.
      - 8.2.2.2 Оцінка наслідків
        
        Вхідні дані: Перелік ідентифікованих сценарієм значущих інцидентів, включаючи ідентифікацію загроз, вразливостей і порушених активів, наслідків для активів і бізнес-процесів.
        Дія: Вплив бізнесу на організацію, яка може бути результатом можливих або фактичних інцидентів ІБ, має бути оцінений з урахуванням наслідків порушення ІБ, таких як втрата конфіденційності, цілісності або доступності активів [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 1)].
        Керівництво по реалізації:
        Після ідентифікації всіх активів, які переглядаються, цінність, привласнена цим активам, повинна враховуватися при оцінці наслідків.
        Це значення впливу бізнесу може бути виражено в якісній або кількісної формах, однак, будь-який метод присвоєння грошового значення може, загалом, дати більше інформації для прийняття рішень і, отже, зробить можливим більш ефективний процес прийняття рішень.
        Вихідні дані: Перелік оцінених наслідків сценарію інцидентів, виражених по відношенню до активів і критеріям впливу.
        
        Потім визначається цінність з використанням двох заходів відновної вартості активу:
        
        • вартості очищення з метою відновлення і заміни інформації (якщо це можливо);
        
        • наслідки для бізнесу від втрати або компрометації активу, наприклад, можливі несприятливі ділові та/або законодавчі наслідки розкриття, модифікації, недоступності і/або руйнування інформації та інших інформаційних активів.
        
        8.2.2.3 Оцінка ймовірності інциденту
        
        Вхідні дані: Перелік ідентифікованих доречних сценаріїв інцидентів, включаючи ідентифікацію загроз, активи, які зачіпаються, використовувані уразливості і наслідки для активів і бізнес-процесів. Крім того, список всіх існуючих і планованих засобів контролю, їх ефективності і стану реалізації та використання.
        
        Дія: Повинна бути оцінена ймовірність дії сценаріїв інцидентів
        
        [Пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 2)].
        
        Керівництво по реалізації:
        Після ідентифікації сценаріїв інцидентів необхідно оцінити ймовірність кожного сценарію і виникаючий вплив, використовуючи якісні або кількісні методи оцінки. Тут потрібно враховувати той факт, як часто виникають загрози і наскільки легко можуть бути використані уразливості, розглядаючи:
        
        • досвід і застосовну статистику ймовірності загроз;
        
        • для джерел умисних загроз: мотивацію і можливості, які будуть змінюватися з плином часу, і доступні для можливих порушників ресурсів, а також сприйняття привабливості і уразливості активів можливим порушником;
        
        • для джерел випадкових загроз: географічні чинники, наприклад, близькість до хімічного або нафтопереробному заводу, можливість екстремальних погодних умов і фактори, які можуть впливати на помилки персоналу і збої обладнання;
        
        • уразливості, в індивідуальному плані і в сукупності;
        
        • існуючі засоби контролю і те, наскільки ефективно вони знижують уразливості.
        
        8.2.2.4 Вимірювання рівня ризику
        
        Вхідні дані: Перелік сценаріїв інцидентів з їх наслідками, стосуються активів, і бізнес-процесів і їх ймовірності (кількісних або якісних).
        
        Дія: Повинно бути здійснено вимір рівня ризиків для всіх значущих сценаріїв інцидентів [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 4)].
        
        При вимірюванні ризику присвоюються значення ймовірності і наслідків ризику.
  - - - • властивості ІБ: якщо один критерій не актуальний для організації (наприклад, втрата конфіденційності), то всі ризики, що впливають на цей критерій, можуть бути теж не актуальними;
      - • значимість бізнес-процесу або діяльності, які підтримуються конкретним активом або сукупністю активів: якщо процес визначений як такий, що має низьку значимість, пов'язані з ним ризики повинні розглядатися в меншій мірі, ніж ризики, що впливають на більш важливі процеси або діяльність.