книги / Управление информационной безопасностью
..pdfВ настоящее время существует достаточно большое количество разработанных и внедренных в практику методов оценки рисков ИБ, как правило учитывающих рассмотренные ранее этапы и предполагающих различные особенности.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – методика оценки рисков, разработанная университетом Карнеги-Мелом (США). Данная методика включает следующие этапы:
1.Разработку моделей угроз ИБ, инвентаризацию и оценку активов, идентификацию применимых требований законодательства и нормативной базы, оценку вероятности угроз ИБ, а также определение системы организационных мер по обеспечению ИБ.
2.Технический анализ уязвимостей информационной системы организации относительно рассматриваемых угроз ИБ c последующей оценкой их величины.
3.Оценку и обработку рисков ИБ, а также расчет величины возможного ущерба, выбор стратегии обеспечения ИБ и последующее принятие решений по обработке рисков ИБ. При этом величина риска ИБ может рассматриваться как усредненная величина годовых потерь в результате реализации угроз ИБ.
5.3. Обработка рисков информационной безопасности
Под обработкой рисков ИБ понимается уменьшение рисков до приемлемого уровня путем снижения вероятности реализации угрозы ИБ и (или) минимизации возможного ущерба (последствий) от реализации данной угрозы.
Для обработки рисков разрабатываются и реализуются стратегии управления рисками.
Как правило, право выбора риск-стратегии предоставляется собственнику информации, а предприятие (организация), подверженное рискам ИБ, само устанавливает порядок применения средств защиты информации и средств управления рисками ИБ по реализуемым и экономически оправданным вариантам [5].
51
Если требуемый уровень риска ИБ может быть достигнут меньшими затратами, то такой вариант считается приоритетным. Основные варианты обработки рисков представлены на рис. 14.
Рис. 14. Процесс обработки рисков ИБ
Снижение риска ИБ. Стратегия снижения риска применяется в случае, когда величина риска является неприемлемой. Снижение риска возможно осуществить посредством применения средств защиты информации или иных средств управления рисками ИБ. Как правило, защитные меры выбираются на основе методов и средств, предусмотренных ISO/IEC 27001 и 27002. При этом базовый уровень ИБ обеспечивается за счет базовых защитных мер, а более высокий уровень ИБ за счет дополнительных и компенсирующих мер по защите информации. Кроме того, уровень риска может быть снижен за счет уменьшения величины ущерба активу от конкретной угрозы ИБ. Снижение величины риска осуществляется до уровня, приемлемого для данного актива или конкретной ИС.
52
Сохранение риска ИБ. Данная стратегия предполагает объективное и сознательное принятие рисков при условии, что они соответствуют приемлемому уровню вероятности угроз и степени возможного ущерба, т.е. величина оцененного риска ИБ удовлетворяет критерию принятия риска. При этом применение дополнительных средств управления рисками или средств защиты информации считается нецелесообразным, ауровеньриска сохраняется прежним.
Избежание риска ИБ. Данная стратегия предполагает осуществление таких действий, при которых подверженные угрозам ИБ активы исключаются из областей риска. Например, могут быть прекращены отдельные бизнес-операции, информационные взаимодействия, отключены средства обработки информации и т.п. Применение стратегии избежания риска часто является крайней мерой, поскольку предполагает сознательное прекращение отдельных процессов, возможно негативно влияющих на функционирование биз- нес-процессов организации. Тем не менее данная стратегия считается оправданной в случае невозможности применения других мер или наступления более значимых негативныхпоследствий.
Передача риска ИБ. Эта стратегия заключается в разделении рисков с внешними сторонами, поставщиками дополнительных сервисов. Основными вариантами передачи рисков ИБ являются страхование последствий, аутсорсинг отдельных бизнес-процессов и т.п. При этом необходимо учитывать, что подобная практика может привести к другим рискам, например связанным с утратой конфиденциальнойинформации. Кроме того, не все рискиможно передать (например, рискухудшения репутациии т.п.).
5.4. Обеспечение деятельности по управлению рисками информационной безопасности
Независимо от результатов оценки рисков, а также выбранной стратегии их обработки, с целью качественной реализации процесса управления рисками ИБ необходимо проводить ряд работ по обеспечению управления рисками ИБ. К данным работам относятся: коммуникация рисков, мониторинг и периодический
53
пересмотр рисков ИБ, документальное обеспечение управления рисками ИБ, а также применение инструментальных средств и программного обеспечения для управления рисками ИБ.
Коммуникация рисков ИБ предполагает деятельность, направленную на достижение соглашения в области управления рисками ИБ путем обмена информацией о рисках между стороной, принимающей решения, и другими причастными сторонами или совместного ее использования .
Основными целями деятельности по коммуникации рисков ИБ являются:
−своевременный сбор информации о рисках ИБ;
−совместное использование результатов оценки рисков ИБ;
−обеспечение поддержки процесса принятия решений;
−избежание или снижение степени последствий от инцидентов ИБ;
−координация действий всех заинтересованных сторон по ликвидации инцидентов ИБ;
−повышение осведомленности о рисках ИБ.
Мониторинг и периодический пересмотр рисков ИБ пред-
полагают процесс регулярного получения свидетельств риска ИБ, отслеживания и анализа их, а также возможный пересмотр показателей риска ИБ. Мониторинг и пересмотр показателей риска ИБ возможны при появлении новых активов, подверженных рискам ИБ, а также изменении их ценности. Кроме того, пересмотр показателей необходим при появлении новых угроз ИБ, а также использовании угрозами ИБ новых уязвимостей ИС или при возникновении инцидентов ИБ.
Документальное обеспечение управления рисками ИБ пред-
полагает разработку и внедрение на административном уровне соответствующей Политики управления рисками ИБ, включающей методику оценки иобработкирисков ИБ.
На более низком, операционном уровне рекомендуется разработка и внедрение необходимых планов, инструкций, положений, регламентирующих различные аспекты рисковой деятельно-
54
сти. Например, моделей угроз ИБ, критериев оценки уровней угроз ИБ и уязвимостей, критериев оценки ущерба ИБ, ролей и обязанностей участников процесса управления рисками ИБ и т.п.
Немаловажное значение для качественного управления рис-
ками ИБ имеют инструментальные средства управления рисками ИБ, а также программные средства управления рисками ИБ. Наличие данных средств не является обязательным, но позволяет уменьшить трудоемкость процессов оценки рисков ИБ и выбора защитных мер. Основные варианты инструментальных средств данной деятельности представляют собой анкеты, таблицы, учетные формы, метрики и т.п.
К средствам программной поддержки управления рисками относятся различные специализированные программы, позволяющие осуществлять оперативную оценку и обработку рисков. При этом процесс оценки и обработки рисков ИБ приобретает ряд неоспоримых преимуществ, например: возможность оперативной оценки и обработки значительного количества параметров, унификации методов оценки рисков ИБ, что обеспечивает воспроизводимость результатов, интеграцию с другими системами управления, а также со средствами контроля и ЗИ; ведения реестров активов, уязвимостей, угроз ИБ и требований ИБ; автоматического формирования планов обработки рисков ИБ и документирования иных процессов и жизненного цикла СУИБ.
Вопросы для контроля знаний
1.Сформулируйте понятие риска ИБ.
2.Раскройте содержание нормативного обеспечения управления рисками ИБ.
3.Сформулируйте понятие управления рисками (рискменеджмента).
4.Поясните работу модели управления рисками ИБ.
5.Что включает первый этап оценки рисков ИБ?
6.Сформулируйте понятие величины риска ИБ.
55
7.В чем заключается второй этап оценки рисков ИБ?
8.Поясните суть технологии OCTAVE оценки рисков ИБ.
9.Перечислите варианты обработки рисков.
10.В чем заключается использование стратегии снижения рисков ИБ?
11.Раскройте следующие понятия: принятие, коммуникация, мониторинг и пересмотр рисков ИБ.
12.Что включает в себя документальное обеспечение управления рисками ИБ?
56
6. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Подготовка специалиста по защите информации к деятельности по управлению инцидентами ИБ имеет особое значение. Изначально предполагается, что качество обеспечения информационной безопасности определяется отсутствием реализации угроз безопасности информации. Но практика показывает, что избежать ситуаций, когда угрозы воплощаются в действительность, а риски ИБ становятся реальностью, невозможно. Поэтому готовность специалиста сохранить управляемость системы, найти способ локализации компьютерной атаки, восстановить работоспособность ИС в кратчайшие сроки даже в условиях развития критических ситуаций является необходимой.
К нормативным источникам информации по управлению инцидентамиИБ, помиморассмотренныхв разделе2, можно отнести:
−ГОСТ Р ИСО/МЭК 18044-2007, описывающий инфраструктуру управления инцидентами ИБ в рамках циклической модели PDCA;
−технические рекомендации CMU/SEI-2004-TR-015, содержащие методику планирования, внедрения, оценки и улучшения процессов управления инцидентами ИБ;
−ISO/IEC 27031:2011, содержащий концепции и принципы, реализуемые посредством информационно-телекоммуникацион- ных технологий как части критической инфраструктуры организации по обеспечению ИБ;
−BS 25999, ГОСТ Р 53647, содержащие общие рекомендации по УИБ;
−NIST SP 800-61 (НД США) – сборник «лучших практик» по построению процессов управления инцидентами ИБ и реагирования на них.
Для практики управления инцидентами ИБ серия стандартов NIST имеет особое значение. К ней относятся следующие стандарты:
57
−NISTSP 800-61 Rev. 2 Computer Security Incident Handling Guide (Ред. 2 Руководство по обработке инцидентов компьютерной безопасности);
−NISTSP 800-86 Guide to Integrating Forensic Techniques into Incident Response (Руководство по интеграции методов судебной экспертизы в реагирование на инциденты);
−NISTSP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations (Security control: IR – Incident Response) (Ред. 4 Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций (Контрольбезопасности: IR – реагирование наинциденты)).
Кроме того, основы деятельности по управлению инцидентами ИБ излагаются в следующих стандартах:
−ISO/IEC 27035-1:2016 (вместо ISO/IEC TR 18044:2004). «Information technology. Security techniques. Information security incident management». Информационные технологии. Методы безопасности. Управление инцидентами информационной безопасности. – Часть 1: Принципы управления инцидентами.
−ISO/IEC 27035-2:2016. Информационные технологии. Методы безопасности. Управление инцидентами информационной безопасности. – Часть 2: Инструкции, чтобы запланировать и подготовиться к реагированию на инциденты.
– ГОСТ Р ИСО/МЭК 27037-2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме.
В практике управления инцидентами ИБ особое значение имеет понятие «событие ИБ», которое во многом соотносится с понятием «инцидент ИБ».
Событие ИБ – идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ, нарушения в работе средств защиты, возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.
58
Событие предполагает наступление такого состояния системы, при котором весьма вероятно негативное развитие ситуации, сохраняется возможность негативного развития ситуации, связанной с нарушением критериев безопасности информации.
Инцидент ИБ – появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-процессов и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации. Наиболее частыми примерами инцидентов ИБ являются: отказ в обслуживании, несанкционированная модификация информации, подмена легального пользователя и т.п.
Можно утверждать, что событие ИБ является таким пограничным состоянием системы, при котором в последующем высока вероятность наступления инцидента ИБ.
Основными целями управления инцидентами ИБ являют-
ся [6]:
−сохранение и восстановление бизнес-процессов, данных;
−сбор информации о признаках событий и инцидентов ИБ;
−определение обстоятельств, способствовавших инцидентам ИБ;
−выяснениеистинныхпричинвозникновенияинцидентовИБ;
−принятиемерпонедопущениюаналогичныхинцидентовИБ;
−предотвращение утечки информации об инцидентах ИБ;
−восстановление убытков, связанных с инцидентами ИБ. Действия, выполняемые в процессе управления инцидента-
ми ИБ:
1.Идентификация инцидента ИБ.
2.Реагирование на инцидент ИБ.
3.Восстановление после инцидента ИБ.
4.Последующие действия по инциденту ИБ.
Как правило, возможность регулирования самих инцидентов ИБ не рассматривается, а управление процессом заключается в сохранении контроля над состоянием системы и принятии эф-
59
фективных мер по выходу из сложившейся ситуации. Общая последовательность этапов управления инцидентами ИБ представлена на рис. 15.
Рис. 15. Управление инцидентами ИБ
Управление инцидентами ИБ является сложным, многоуровневым и разносторонним видом деятельности, включающим как заблаговременную подготовку к возможным инцидентам ИБ, так и систему мероприятий, направленных на ликвидацию событий и инцидентов ИБ. В целом, управление инцидентами ИБ включает в себя следующие подпроцессы:
−обнаружение уязвимостей, событий ИБ и инцидентов ИБ;
−оповещениеобуязвимостях, событияхИБ и инцидентах ИБ;
−обработку сообщений об уязвимостях, событиях ИБ и инцидентах ИБ;
−реагирование на инциденты ИБ;
−анализ инцидентов ИБ;
−расследование инцидентов ИБ;
−анализэффективностипроцессауправленияинцидентамиИБ. Эффективность всего процесса управления инцидентами ИБ
выражается в следующем:
60