Риск ИБ. Лекция 1

1.

ЛЕКЦИЯ 1

2.

ОСНОВА МЕТОДОЛОГИИ
• СУИБ - это часть общей системы управления, основанная на оценке
рисков ИБ.
• Риск-ориентированный подход содействует адекватному ОИБ.
• Деятельность по ОИБ обеспечивает своевременное и эффективное
реагирование на риски ИБ там и тогда, где и когда это наиболее
необходимо.

3.

СОВРЕМЕННЫЕ МЕТОДИКИ УПРАВЛЕНИЯ РИСКАМИ ИБ ДАЮТ
ВОЗМОЖНОСТЬ ОРГАНИЗАЦИИ СДЕЛАТЬ СЛЕДУЮЩЕЕ:
• количественно оценить текущий уровень ИБ;
• рассчитать и экономически обосновать размер необходимых вложений в
СОИБ;
• выявить и провести первоочередные мероприятия для уменьшения наиболее
опасных уязвимостей до осуществления атак на уязвимые ресурсы;
• определить функциональные отношения и зоны ответственности при
взаимодействии подразделений и лиц, ответственных за ИБ организации;
• разработать и согласовать со службами организации и надзорными органами
проект внедрения необходимых комплексов защиты;
• организовать поддержание внедренного комплекса защиты в соответствии с
изменяющимися условиями работы организации.

4.

НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
• Международный стандарт ISO/IEC 27005:2011 «Информационная
технология. Методы и средства обеспечения безопасности. Управление
рисками ИБ» и ГОСТ Р ИСО/МЭК 27005–2010 «Информационная
технология. Методы и средства обеспечения безопасности. Менеджмент
риска информационной безопасности».
• Британский стандарт BS 7799–3:2006 «Системы менеджмента ИБ.
Руководство по управлению рисками ИБ».

5.

ISO/IEC 27005:2011 И ГОСТ Р ИСО/МЭК 27005–2010 – УПРАВЛЕНИЕ
РИСКАМИ ИБ
• Содержит общее руководство по управлению рисками ИБ, которое может
быть использовано в различных типах организаций.
• В целом ГОСТ Р ИСО/МЭК 27005–2010 носит описательный характер и
не содержит какой-либо конкретной методологии и даже не называет
конкретные методы управления рисками ИБ, хотя и устанавливает
структурированный, систематический и строгий метод анализа рисков ИБ
посредством создания плана их обработки.

6.

ГОСТ Р ИСО/МЭК 27005–2010 СОСТОИТ ИЗ СЛЕДУЮЩИХ ОСНОВНЫХ
РАЗДЕЛОВ:
1) обзор процесса управления рисками ИБ как непрерывного процесса;
2) установление контекста управления рисками ИБ;
3) оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков
ИБ, включая идентификацию, оценивание значительности и вычисление
рисков ИБ);
4) обработка рисков ИБ (общее описание обработки рисков, снижение,
сохранение, избежание и передача рисков);
5) принятие рисков ИБ;
6) коммуникация (обмен информацией) рисков ИБ;
7) мониторинг и пересмотр рисков ИБ.

7.

ГОСТ Р ИСО/МЭК 27005–2010
• Риск ИБ определяется как потенциальная возможность того, что
установленная угроза воспользуется уязвимостью актива или группы
активов и тем самым нанесет ущерб организации.
• Измеряется риск ИБ как сочетание последствий, вытекающих из
возникновения нежелательного события, и вероятности возникновения
этих событий.
• Процесс анализа рисков ИБ требует выполнения следующих действий:
определения информационных активов, которые подвержены рискам,
потенциальных угроз ИБ и их источников, потенциальных уязвимостей и
потенциальных последствий при реализации рисков ИБ.

8.

BS 7799–3:2006 – РУКОВОДСТВО ПО УПРАВЛЕНИЮ РИСКАМИ ИБ
• Включает разделы по оценке рисков ИБ, их обработке, непрерывным действиям по
управлению рисками ИБ и приложения с примерами активов, угроз ИБ, уязвимостей, методов
оценки рисков ИБ.
• Риск ИБ - комбинация вероятности события и его последствий (стоимости
компрометируемого ресурса).
• Управление риском ИБ сформулировано как скоординированные непрерывные действия по
управлению и контролю рисков в организации.
Непрерывный процесс управления делится на четыре фазы:
• оценка рисков ИБ;
• обработка риска ИБ;
• контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и
аудита ИБ системы;
• оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.

9.

BS 7799–3:2006 – РУКОВОДСТВО ПО УПРАВЛЕНИЮ РИСКАМИ ИБ
• В документе нет обоснования и рекомендаций по выбору математического и
методического аппарата оценки рисков ИБ.
• Отличительной чертой стандарта является использование принципа
осведомленности о процессах оценки, обработки, контроля и оптимизации
рисков ИБ в организации.
• Стандарт перечисляет обязанности и задает требования к категории лиц,
непосредственно участвующих в управлении рисками ИБ, а именно: экспертам
по оценке рисков ИБ, менеджерам по безопасности, менеджерам рисков ИБ,
владельцам ресурсов; руководству организации.
• Стандарт не содержит рекомендаций по выбору какого-либо аппарата оценки
риска ИБ, а также по разработке мер, средств и сервисов защиты,
используемых для минимизации рисков ИБ.

10.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ. РИСК ИБ
• Риск – это возможность опасности, неудачи или действие наудачу в надежде на счастливый исход.
• Риск – это вероятность причинения вреда с учетом его тяжести.
• Риск - опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных
средств в связи со случайным изменением условий экономической деятельности, неблагоприятными
обстоятельствами.
• Риск ИБ - риск нарушения состояния защищенности информации.
• Согласно ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» риск представляет собой сочетание
вероятности события и его последствий.
• В ГОСТ Р 51898–2002 «Аспекты безопасности. Правила включения в стандарты»: риск – это сочетание
вероятности нанесения ущерба и тяжести этого ущерба.
• В стандарте США NIST 800–30 риск является функций вероятности использования данным источником угроз ИБ
отдельной потенциальной уязвимости и результата воздействия этого неблагоприятного события на
организацию.
• Стандарт ГОСТ Р ИСО/МЭК 27005–2010 определяет риск ИБ как потенциальную возможность использования
уязвимостей актива или группы активов конкретной угрозой ИБ для причинения ущерба организации.
• Стандарт ISO/IEC 27005:2011 определяет риск ИБ как влияние неопределенности на цели.
• В СТО БР ИББС 1.0–2010 риск нарушения ИБ – риск, связанный с угрозой ИБ. Под риском понимается мера,
учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.

11.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ
• Термин «риск» используют только тогда, когда существует возможность негативных
последствий, само же понятие риска ИБ является комбинированным, сочетающим в себе ряд
других ключевых терминов – активы, уязвимости, угрозы, ущерб.
• Актив (англ. asset) – все, что имеет ценность для организации и находится в ее
распоряжении или то, что обладает ценностью или полезностью для организации, ее бизнесопераций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить
корректное выполнение бизнес-операций и непрерывность бизнеса.
• Ресурс – актив организации, который используется или потребляется в процессе выполнения
некоторой деятельности.
• Уязвимость (англ. vulnerability) – любая характеристика или свойство ИС, обуславливающее
возможность реализации угроз ИБ обрабатываемой в ней информации или слабое место в
инфраструктуре организации, включая СОИБ, которое может быть использовано для
реализации или способствовать реализации угрозы ИБ.
• Угроза ИБ (англ. information security threat) – совокупность условий и факторов, создающих
потенциальную или реально существующую опасность нарушения свойств ИБ –
конфиденциальности, доступности и/или целостности информации/информационных активов
организации.

12.

ВЗАИМОСВЯЗЬ ОСНОВНЫХ ПОНЯТИЙ ИБ

13.

ЗОНА ВОЗМОЖНОГО РИСКА ИБ

14.

РИСК ИБ
• Риск нарушения ИБ (риск ИБ) – потенциальная возможность
использования уязвимостей активов организации угрозами ИБ для
причинения ущерба организации, измеряемая с учетом вероятности
реализации угроз ИБ и величины ущерба от реализации угроз ИБ.
• Таким образом, в представленном определении риск ИБ есть функция
как минимум двух переменных: величины потенциального (негативного)
воздействия – ущерба для бизнеса организации и вероятности
реализации угрозы ИБ.
• Риски ИБ всегда должны рассматриваться в контексте бизнеса
организации.

15.

УПРАВЛЕНИЕ РИСКАМИ ИБ
• Управление рисками или риск-менеджмент (англ. risk management) – особый вид
деятельности (процесс) по принятию и выполнению управленческих решений,
направленных на снижение вероятности возникновения неблагоприятного
результата и минимизацию возможных потерь, вызванных его реализацией.
• В классическом управлении рисками принято выделять пять ключевых этапов:
1) выявление риска и оценка вероятности его реализации и масштаба последствий,
определение максимально-возможного убытка;
2) выбор методов и инструментов управления выявленным риском (это ключевой
этап);
3) разработка риск-стратегии с целью снижения вероятности реализации риска и
минимизации возможных негативных последствий;
4) реализация риск-стратегии;
5) оценка достигнутых результатов и корректировка риск-стратегии.

16.

УПРАВЛЕНИЕ РИСКАМИ ИБ ВКЛЮЧАЕТ:
• идентификацию, анализ, оценку, отслеживание и устранение рисков;
• превентивную разработку программы мероприятий по ликвидации
последствий кризисных ситуаций;
• разработку механизмов выживания; создание системы страхования;
• прогнозирование развития организации с учетом возможного изменения
конъюнктуры и другие мероприятия.

17.

УПРАВЛЕНИЕ РИСКАМИ ИБ
Применительно к области ИБ определения управления рисками ИБ (англ. information security risk
management или IS risk management) в разных стандартах достаточно близки по смыслу и хорошо
дополняют друг друга:
• согласованные виды деятельности по руководству и управлению организацией в отношении
рисков ИБ;
• скоординированные непрерывные действия по управлению и контролю рисков ИБ в организации;
• скоординированные действия по руководству и управлению организацией в отношении рисков
ИБ, обычно включающие в себя оценку, обработку, принятие и коммуникацию риска ИБ;
• процесс выявления, контроля и минимизации или устранения рисков ИБ, оказывающих влияние
на ИС, в рамках допустимых затрат;
• полный процесс идентификации, контроля, устранения или уменьшения последствий опасных
событий, которые могут оказать влияние на ресурсы ИТ;
• непрерывный процесс, устанавливающий контекст управления рисками ИБ, оценку и обработку
рисков ИБ на основе плана обработки рисков для реализации рекомендаций и принятых
решений.

18.

УПРАВЛЕНИЕ РИСКАМИ ИБ
• Управление рисками ИБ определим как скоординированную
непрерывную деятельность по руководству и управлению организацией
в отношении рисков ИБ на основе политики управления рисками ИБ и
плана обработки рисков ИБ, обычно включающую в себя установление
контекста управления рисками ИБ, оценку, обработку, принятие,
мониторинг, пересмотр и коммуникацию рисков ИБ.

19.

ОСНОВНЫЕ ЭЛЕМЕНТЫ УПРАВЛЕНИЯ РИСКАМИ ИБ
ПРИМЕНИТЕЛЬНО К ПОНЯТИЯМ ИБ

20.

ОСНОВНЫЕ ЗАДАЧИ УПРАВЛЕНИЯ РИСКАМИ ИБ:
1) планирование управления рисками ИБ;
2) выявление, идентификация и документирование рисков ИБ;
3) детальная оценка рисков ИБ и их приоритетности с целью выявления их
потенциального влияния на бизнес;
4) планирование ответных действий для каждого риска ИБ (обработка
рисков ИБ);
5) мониторинг рисков ИБ, по результатам которого возможно изменение
приоритетов и планов обработки ранее выявленных рисков ИБ;
6) мониторинг всех работ по управлению рисками ИБ в организации с
целью внесения необходимых корректив в этот процесс.

21.

ТРИ ПОДХОДА К УПРАВЛЕНИЮ РИСКАМИ ИБ:
1) для некритичных (вспомогательных для бизнеса) систем организации;
2) для критичных систем, когда особое внимание уделяется системам с
наибольшими рисками ИБ;
3) для особо критичных систем, для которых необходима детальная
оценка рисков ИБ для всех активов.