Оценка рисков ИБ, разработка моделей угроз

Оценка рисков занимает центральное место в системе управления информационной безопасностью. На рисунке 1 показана роль процесса оценки рисков в структуре процессов информационной безопасности.

   

Рисунок 1. Роль процесса оценки рисков в структуре процессов информационной безопасности 

Необходимость проведения оценки рисков определена в российских и международных стандартах по информационной безопасности (ГОСТ Р ИСО/МЭК 17799:2005, CRAMM, ISO 27001:2013) и нормативных документах государственных органов РФ (например, документах ФСТЭК России по защите персональных данных и ключевых систем информационной инфраструктуры). 

Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.

Анализ рисков включает следующие обязательные этапы:

  • идентификация ресурсов;
  • идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам;
  • оценивание идентифицированных ресурсов с учетом выявленных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
  • идентификация значимых угроз и уязвимостей идентифицированных ресурсов;
  • оценка вероятности реализации идентифицированных угроз и уязвимостей.

 Оценивание рисков включает: 

  • вычисление риска;
  • оценивание риска по заранее определенной шкале рисков.

 Оценка рисков является эффективным механизмом управления информационной безопасностью в компании, позволяющим:

  • идентифицировать и оценить существующие информационные активы компании;
  • оценить необходимость внедрения средств защиты информации;
  • оценить эффективность уже внедренных средств защиты информации.

 Типовой проект по оценке рисков информационной безопасности, предлагаемый нашей компанией включает следующие стадии:

1. Подготовка проекта – определение границ проведения оценки рисков, согласование сроков проведения, определение привлекаемых специалистов со стороны Заказчика;

2. Начало проекта – получение исходных данных от Заказчика, изучение бизнес-целей компании и отраслевых особенностей, составление карты активов;

3. Проведение обследования, включающего сбор следующей информации:

  •  об организационных мероприятиях – изучение политик, положений, инструкций, программ и результатов обучения сотрудников, проведение интервьюирования ответственных сотрудников Заказчика, наблюдение за работой сотрудников Заказчика;
  • о технических средствах – инструментальный анализ информационной инфраструктуры, изучение документов, описывающих работу технических средств, изучение существующих настроек технических средств;
  • о физической безопасности – осмотр помещений, анализ существующих процедур и применяемых средств обеспечения физической безопасности.

 4.    Построение модели угроз

  • актуальность и полнота составленной модели угроз безопасности информации является определяющим условием успешной и достоверной оценки рисков;
  • модель угроз безопасности информации является уникальной для каждой компании;
  • при построении модели угроз безопасности информации используются каталоги угроз, например CRAMM или BSI. Полученный перечень угроз может дополняться, угрозами, описанными в методических документах регулирующих органов, например ФСТЭК России и ФСБ России, и отраслевых регуляторов, например Банк России;
  • составленный перечень угроз дополняется угрозами, выявленными при проведении обследования Заказчика.

 5.    Анализ рисков, включающий:

  • оценку активов на основе информации, полученной на этапах начала проекта и проведения обследования. Оценка активов может быть как количественная, так и качественная;
  • оценку уязвимостей, выявленных в ходе проведения обследования. Оценка уязвимостей может проводиться с использованием различных методик, например CVSS;
  • оценку угроз, включенных в модель угроз. Под оценкой угроз понимается вычисление вероятности возникновения угрозы;
  • расчет рисков по качественной или количественной методике;
  • ранжирование рисков с целью определения очередности обработки рисков.

6.    Разработка плана обработки рисков – выбор оптимальных защитных мер, оценка их стоимости и эффективности, разработка предложений по принятию, избеганию или передачи части рисков;

 7.    Презентация результатов оценки рисков руководству компании и техническому персоналу.