· «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.
1.1. С целью упрощения операций по категорированию задач, каналов и АРМ категории конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: «жизненно важная», «очень важная», «важная» и «не важная». Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии с Таблицей 1.
Таблица 1
Определение обобщенной категории информации | ||||
Категория | Категория целостности информации | |||
конфиденциальности информации | «высокая» | «низкая» | «нет требований» |
|
«высокая» | 1 | 1 | 2 |
|
«низкая» | 1 | 2 | 3 |
|
«нет требований» | 2 | 3 | 4 |
|
1 – «Жизненно важная» информация
2 – «Очень важная» информация
3 – «Важная» информация
4 – «Не важная» информация
3. Категории функциональных задач
Требуемые степени доступности функциональных задач:
· «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);
· «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
· «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
· «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).
3.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: «первая», «вторая», «третья» и «четвертая» (в соответствии с Таблицей 2).
Таблица 2
Определение категории функциональной задачи | ||||
Обобщенная | Требуемая степень доступности задачи | |||
категория информации | «Беспрепят-ственная доступность» | «Высокая доступность» | «Средняя доступность» | «Низкая доступность» |
«Жизненно важная» | 1 | 1 | 2 | 2 |
«Очень важная» | 1 | 2 | 2 | 3 |
«Важная» | 2 | 2 | 3 | 3 |
«Не важная» | 2 | 3 | 3 | 4 |
4. Требования по обеспечению безопасности каналов передачи защищаемой информации (категории каналов)
4.1. Требования по обеспечению безопасности (категории) логического канала передачи защищаемой информации определяются по максимальной категории двух задач, между которыми данный канал установлен.
5. Категории АРМ
5.1. В зависимости от категорий решаемых на АРМ задач устанавливаются четыре категории АРМ: «A», «B», «C» и «D».
5.2. К группе АРМ категории «A» относятся АРМ, на которых решается хотя бы одна функциональная задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй.
5.3. К группе АРМ категории «B» относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй.
5.4. К группе АРМ категории «C» относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей.
5.5. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.
Таблица 3
Определение категории АРМ | ||
Категория | Категории решаемых на АРМ задач | |
АРМ | Максимальная | Минимальная |
«A» | 1 | 2 |
«B» | 2 | 3 |
«C» | 3 | 4 |
«D» | 4 | 4 |
На первом этапе работ по категорированию ресурсов конкретного АРМ производится категорирование всех видов информации, используемой при решении задач на данном АРМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном АРМ.
На третьем этапе, устанавливается категория АРМ, исходя из максимальной категории задач, решаемых на нем.
На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных АРМ).
3.8. Определение уровня риска
Цель этого шага – оценить уровень риска ИС. Определение риска (R) для отдельной пары угроза(T)/уязвимость(V) может быть выражено функцией:
- Вероятность (P) данного источника угрозы пытающегося реализовать отдельную уязвимость
- Величина влияния (I) успешной реализации уязвимости источником угрозы
- Адекватности планируемых или существующих мер безопасности (M) для снижения или устранения риска.
;
Для измерения риска, необходимо выработать шкалу риска и матрицу уровней риска. Секция 3.7.1 предлагает стандартную матрицу уровней риска; Секция 3.7.2 описывает результирующий уровень риска.
Матрица уровня риска
Окончательное определение риска осуществляется путем объединения рейтингов полученных для вероятности угрозы и влияния угрозы. Таблица 3-7 ниже показывает, как может быть определен уровень риска, основываясь на вероятности и влияния угрозы. Матрица ниже – 3х3 матрица риска, зависящая от вероятности угрозы (Высокая, Средняя и Низкая) и влияния угрозы (Высокое, Среднее и Низкое). В зависимости от конкретных требований и желаемой детализации оценки риска, можно использовать матрицу 4х4 или 5х5. Последняя, например, может включать «Очень Низкая»/«Очень Высокая» вероятности угрозы и «Очень Низкое»/«Очень Высокое» влияния угрозы для определения новых уровней риска: «Очень Низкого»/«Очень Высокого». «Очень Высокий» уровень риска может, например, привести к отключению или остановки внедрения системы и приведет к необходимости тестирования всех ИС.
Пример матрицы в Таблице показывает, как можно получить уровень риска Высокий, Средний и Низкий. Определение этих уровней риска или рейтингов может быть субъективным. Необходимость этого может быть объяснена в терминах вероятности, назначенной для каждого уровня вероятности угрозы, и значения, назначенного для каждого уровня влияния. Для примера,
- Вероятность, назначенная для каждого уровня угроз: 1.0 – Высокая, 0.5 – Средняя, 0.1 – Низкая;
- Значения, назначенные для каждого уровня влияния: 100 – Высокое, 50 – Среднее, 10 – Низкое.
Таблица Матрица уровня риска
Вероятность угрозы | Влияние | ||
Низкое (10) | Среднее (50) | Высокое (100) | |
Высокая (1.0) | Низкий 10 Х 1.0 = 10 | Средний 50 Х 1.0 = 50 | Высокий 100 Х 1.0 = 100 |
Средняя (0.5) | Низкий 10 Х 0.5 = 5 | Средний 50 Х 0.5 = 25 | Средний 100 Х 0.5 = 50 |
Низкая (0.1) | Низкий 10 Х 0.1 = 1 | Низкий 50 Х 0.1 = 5 | Низкий 100 Х 0.1 = 10 |
Шкала риска: Высокий (>50 до 100); Средний (>10 до 50); Низкий (1 до 10)[2]
Описание уровня риска
В Таблица 3-8 описаны уровни риска, которые представлены в матрице выше. В этой таблице представлена шкала риска, с рейтингом риска (Высокий, Средний и Низкий). Данный рейтинг представляет степень или уровень риска, которому ИС, средство или процедуры могут подвергнуться, если будет реализована некоторая уязвимость. На этой шкале риска также предлагаются действия, которые руководство организации, собственник ИС или данных, должен предпринять для данного уровня риска.
Таблица 3-8. Шкала риска и необходимых действий
Уровень риска | Описание риска и Необходимых действий |
Высокий | Если в результате обследования риск оценен как высокий, необходимо быстро реализовать корректирующие меры. Существующая система может продолжать функционировать, но корректирующие действия должны быть произведены незамедлительно. |
Средний | Если в результате обследования риск оценен как средний, необходимы корректирующие действия, которые должны лечь в основу план снижения рисков, чтобы реализовать эти действия в разумные сроки. |
Низкий | Если в результате обследования риск оценен как низкий, необходимо на уровне руководства организации определить следует ли реализовывать корректирующие действия или следует принять риск. |
Результат Шага 7 – уровень риска (Высокий, Средний, Низкий).
3.9. Выработка рекомендаций
В течение этого шага определяются меры безопасности, которые могут снизить определенные риски данной организации. Цель рекомендуемых мер – снизить уровень риска ИС и данных до приемлемого уровня. Для минимизации, рекомендуемыми мерами и альтернативными решениями, рисков должны быть рассмотрены следующие факторы:
- Эффективность рекомендуемых мер или альтернатив (например, совместимость с системой),
- Законы и регламенты,
- Политика организации,
- Влияния на функциональность,
- Безопасность и надежность.
Рекомендации мер безопасности являются результат процесса оценки рисков. Эти рекомендации являются входные данные для процесса уменьшения риска, в течении которого рекомендуемые процедуры и технические меры безопасности оцениваются, определяются их приоритеты и далее они реализуются.
Необходимо заметить, что не все рекомендуемые меры безопасности могут быть реализуемы для снижения потерь. Для определения, какие из рекомендуемых мер безопасности соответствуют специфике организации, чтобы продемонстрировать, что стоимость реализации мер может быть оправдана снижением уровня риска, необходимо выполнять анализ затрат/эффективности (как описано в Секции 4.5). Также в течении процесса уменьшения риска должно быть тщательно оценено влияние мер безопасности на функционировании системы (например, эффект на производительности системы) и непосредственно реализуемость рекомендуемых мер (например, технические требования, пользовательское одобрение).
Результат Шага 8 – рекомендации мер безопасности и альтернативных решений для уменьшения риска.
Документирование результатов
По окончанию оценки риска (источники угроз и уязвимости определены, риски оценены, рекомендуемые механизмы представлены) необходимо документировать результаты в виде официального отчета.
Отчет оценки рисков – административный документы, который помогает руководству организации, выносить обоснованные решения по административным изменениям, реализации и использованию политики, процедур, бюджета и систем. В отличие от отчета по аудиту, который направлен на анализ правильности реализованных элементов, отчет оценки рисков не должен представляться в обвинительной манере, а должен представляться в виде системного и аналитического документа, описывающего оценку рисков так, чтобы руководитель организации смог понять сами риски и выделить ресурсы, которые необходимы для снижения этих рисков. Для этого в отчете оценки рисков можно описывать пары угроз/уязвимости, как данные наблюдения, а не представлять их, как сведения, добытые в результате обследования. В Приложении Б представлен предлагаемый набросок для отчета оценки риска.
Форма отчета оценки рисков
I. Введение
- Цель и задачи оценки рисков
- Масштабы оценки рисков
Опишите компоненты, элементы, пользователей, области расположения и любые другие детали, которые относятся к системе и рассматриваются в оценке рисков.
II. Подход к оценке рисков
Кратко опишите подход, используемый в выполнении оценки риска, в том числе:
- Участники (например, члены команды оценки рисков),
- Используемые техники для сбора информации (например, использование автоматизированных средств, опросные листы),
- Описание разработанных шкал рисков (например, матрица уровней риска 3х3, 4х4, или 5х5).
III. Характеристики системы
Охарактеризуйте систему, включая: аппаратное (сервера, маршрутизаторы, коммутаторы) и программное (приложения, операционные системы, протоколы) обеспечение, связность системы (например, соединительные линии), данные и пользователей. Приложите диаграмму связей или схему входных и выходных потоков системы для того, чтобы очертить масштабы приложения действий оценки рисков.
IV. Сведения об уязвимостях
Сформируйте и представьте перечень потенциальных уязвимостей, имеющихся в оцениваемой системе.
V. Сведения об источниках угроз
Сформируйте и представьте перечень потенциальных источников угроз применительно к оцениваемой системе.
VI. Результаты оценки рисков
Представьте обзоры рисков (пары уязвимость/источник угрозы). Каждый обзор должен включать:
- Номер и краткое описание обзора (например, Обзор 1: Пароль учетной записи пользователя системы может быть отгадан или подобран);
- Разъяснение пары уязвимость/источник угрозы;
- Определение существующих мер безопасности, снижающих этот риск;
- Разъяснение и оценка вероятности (например, Высокая, Средняя или Низкая вероятность);
- Разъяснение и оценка влияния (например, Высокое, Среднее или Низкое влияние);
- Рейтинг риска, основанный на матрице уровня риска (например, Высокий, Средний или Низкий уровень риска);
- Рекомендуемые меры безопасности или альтернативные методы снижения риска.
- VII. Итоги
Объедините обзоры. Итоги, для упрощения процесса реализации рекомендуемых для снижения рисков мер безопасности, подведите в форме таблицы по: обзорам, полученным уровням рисков, рекомендациям и любым комментария.
3.10. Управление рисками ИБ
Управление рисками представляет собой целенаправленный процесс, направленный на уменьшение уровня рисков и доведение его до приемлемого уровня.
Снижение риска может быть достигнуто с помощью использования любого из следующих подходов:
- Принятие риска. Принять потенциальный риск и продолжать функционирование ИС.
- Уход от риска. Уход от риска с помощью устранения причин и/или последствия риска (например, добавить меры безопасности, которые предотвращают проявление риска, исключить из системы некоторые функции, или отключить систему).
- Снижение риска. Снизить риск с помощью реализации мер безопасности, которые минимизируют неблагоприятное влияние угрозы реализации уязвимости (например, использование поддерживающих, превентивных, детектирующих мер) или разрешение выполнения операции в течение ограниченного времени, пока риск минимизируется другими мерами или условиями.
Этап управления рисками направлен на понижение величины рисков. Согласно формулам (1) и (2) это может быть реализовано двояким образом:
1. Путем уменьшения возможности реализации угрозы (установка систем разграничения доступа, межсетевых экранов, систем шифрования информации) и уязвимости (установка IDS, установка обновлений).
2. Путем уменьшения величины ущерба, наносимого реализацией угрозы (резервное копирование информации, планирование бесперебойной работы организации во внештатных ситуациях).
- Передача риска. Передать риск, используя другие альтернативные меры компенсации потерь, такие как страхование или заключение с поставщиком решения договора на обслуживание.
При выборе подхода к снижению риска должны быть учтены цель и задачи организации. Это не относится ко всем рискам, но это должно относится к рискам, приоритеты пар угроза/уязвимость которых, потенциально могу оказать значительное влияние на функционирование организации. В связи с тем, что каждая организация имеет свою уникальную среду и область деятельности альтернативы, используемые для снижения риска, и методы, используемы для реализации мер безопасности, могут отличаться. Оптимальный подход – это использование необходимых технологий различных поставщиков решений безопасности совместно с альтернативными техническими, нетехническими и административными мерами снижения риска.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
