МИБ_1

1.

Менеджмент
информационной
безопасности

2.

1 Понятие менеджмента
информационной безопасности.
Стандарты в области управления
рисками информационной
безопасности

3.

Информационная
безопасность
–
состояние
защищенности
сбалансированных интересов личности,
общества и государства от внешних и
внутренних угроз в информационной сфере
КОНЦЕПЦИЯ информационной безопасности
Республики Беларусь

4.

1.1 Риск
• Риск – комбинация вероятности события и
его последствий.
(BS 7799-3)
• Риск информационной безопасности – это
потенциальная возможность
использования уязвимостей актива или
группы активов конкретной угрозой для
причинения ущерба организации.
(ISO/IEC 27005)

5.

продолжение
• Риск – потенциальная проблема.
• Риск – вероятные потери организации в
результате инцидентов.
• Риск – неопределенность, предполагающая
возможность потерь (ущерба).

6.

Оценка риска
Оценка риска заключается в определении
его
уровня
(качественной
либо
количественной величины) и сравнении этого
уровня
с
максимально
допустимым
(приемлемым) уровнем, а также с уровнем
других рисков.
Уровень
риска
определяется
путем
комбинирования двух величин: вероятности
события и размеров его последствий.

7.

Событие заключается в реализации угрозы,
использующей уязвимости актива для
воздействия на этот актив и нарушения его
безопасности
(конфиденциальности,
целостности, доступности).
Нарушение безопасности актива наносит
ущерб организации. Величина этого ущерба
определяет
ценность
актива
для
организации.

8.

продолжение
Оценка риска включает идентификацию и
оценку ценности активов, последствий для
бизнеса, идентификацию и оценку угроз и
уязвимостей, а также комбинирование этих
факторов для определения уровня риска в
количественных и качественных величинах.

9.

Количественное определение
величины риска
[Величина риска] =
= [Вероятность события] × [Размер ущерба],
где [Вероятность события] =
= [Вероятность угрозы] × [Величина уязвимости].

10.

продолжение
• вероятность события – вероятность успешной
реализации угрозы в отношении актива с
использованием уязвимости и причинения
ущерба организации;
• вероятность
угрозы
–
вероятность
(ожидаемое количество попыток реализации
угрозы за определенный период времени)
того, что угроза в отношении актива будет
реализовываться
(успешность
либо
неуспешность
реализации
угрозы
определяется величиной уязвимости);

11.

продолжение
• величина уязвимости – вероятность того,
что в случае реализации угрозы в
отношении актива эта угроза будет
реализована успешно с использованием
данной уязвимости, то есть безопасность
актива в результате будет нарушена и
организация понесет определенный ущерб.

12.

продолжение
Величина
риска
соответствует
прогнозируемым среднегодовым потерям
организации в результате осуществления
угрозы в отношении актива с использованием
уязвимости (Annual Loss Expectancy – ALE –
ожидаемые годовые потери, т.е. «стоимость»
всех инцидентов за год).

13.

Качественное определение
величины риска
Таблица 1 – Определение величины риска (с учетом
влияния на бизнес)

14.

Таблица 2 – Определение значения вероятности
инцидента
Таблица 3 – Ранжирование инцидентов по величине
риска

15.

1.2 Активы организации как ключевые
факторы риска
Виды активов организации:
материальные;
финансовые;
имущественные и неимущественные права;
интеллектуальная собственность;
кадровые;
информационные;
процессы и сервисы.

16.

продолжение
Во многих видах бизнес-рисков есть
информационная
составляющая,
обусловленная тем, что все активы
организации и соответствующие риски в
отношении этих активов связаны между
собой.

17.

Процесс оценки рисков (assessment)
1 этап – анализ рисков (analysis)
• Что является активом компании?
• Какова реальная ценность данного актива?
• Какие существуют угрозы в отношении данного
актива?
• Каковы последствия этих угроз и ущерб для
бизнеса?
• Насколько вероятны эти угрозы?
• Насколько уязвим бизнес в отношении этих угроз?
• Каков ожидаемый размер среднегодовых потерь?

18.

продолжение
2 этап – оценивание рисков (evaluation)
• Какой уровень риска (размер
среднегодовых потерь) является
приемлемым для организации и какие
риски превышают этот уровень?
1+2
Реестр информационных рисков

19.

продолжение
Обработка рисков: передача (например,
путем страхования), избегание (например,
отказ от внедрения той или иной технологии
или сервиса), принятие (сознательная
готовность понести ущерб в случае
реализации
риска),
минимизация
(применение мер для снижения вероятности
негативного
события,
приводящего
к
реализации риска).

20.

• Какой вариант обработки риска выбираем?
• Если принимается решение об уменьшении
риска, то какие механизмы контроля
необходимо использовать?
• Насколько эффективны эти механизмы
контроля и какой возврат инвестиций они
обеспечат?
Документ: план обработки рисков,
определяющий способы обработки рисков,
стоимость контрмер, а также сроки и
ответственных за их реализацию.

21.

1.3 Стандарты в области управления
рисками информационной безопасности
1995 г.
BS 7799-1 «Практические правила управления
информационной безопасностью»
2000 г.
BS 7799-1 ISO 17799 ISO 27002

22.

продолжение
1998 г.
BS
7799-2
«Системы
управления
информационной безопасностью. Спецификация
и руководство по применению»
2005 г.
BS
7799-2
ISO/IEC
27001:2005
«Информационные
технологии.
Методы
обеспечения безопасности. Системы управления
информационной безопасностью. Требования»

23.

продолжение
BS 7799-3:2006 и ISO/IEC 27005:2008
Сходство:
основные элементы процесса управления рисками;
процессная модель;
общий подход к управлению рисками;
процессы анализа и оценивания рисков;
способы качественного определения величины
рисков;
способы обработки рисков;
примеры рисков, угроз, уязвимостей, активов,
ущербов, требований законодательства и
нормативной базы.

24.

Различия

25.

РБ: СТБ 34.101.1–3
Разработаны на основе ИСО/МЭК 15408:
• часть 1. Введение и общая модель;
• часть 2. Функциональные требования
безопасности;
• часть
3.
Требования
доверия
к
безопасности.

26.

СТБ 34.101.1-2014 Информационные
технологии и безопасность. Критерии
оценки безопасности информационных
технологий. Часть 1. Введение и общая
модель
Устанавливает основные понятия (объект
оценки, контекст оценки, профили защиты,
пакеты
требований
безопасности)
и
принципы
оценки
безопасности
информационных технологий, а также
определяет общую модель оценки.

27.

СТБ 34.101.2-2014 Информационные
технологии и безопасность. Критерии
оценки безопасности информационных
технологий. Часть 2. Функциональные
требования безопасности
Определяет требуемую структуру и содержание
функциональных компонентов безопасности с
целью оценки безопасности. Содержит каталог
функциональных компонентов, который будет
соответствовать
общим
требованиям
функциональных возможностей безопасности
множества
продуктов
информационных
технологий.

28.

СТБ 34.101.3-2014 Информационные технологии
и безопасность. Критерии оценки безопасности
информационных технологий. Часть 3.
Гарантийные требования безопасности
Стандарт включает: уровни гарантии оценки,
которые определяют шкалу оценки гарантии
простого (однокомпонентного) ОО; составные
пакеты гарантии, которые определяют шкалу
оценки гарантии для составного ОО; отдельные
компоненты гарантии, из которых формируются
УГО и пакеты гарантии; критерии оценки
профилей защиты и заданий по безопасности.