Документирование результатов

По окончанию оценки риска (источники угроз и уязвимости определены, риски оценены, рекомендуемые механизмы представлены) необходимо документировать результаты в виде официального отчета.

Отчет оценки рисков – административный документы, который помогает руководству организации, выносить обоснованные решения по административным изменениям, реализации и использованию политики, процедур, бюджета и систем. В отличие от отчета по аудиту, который направлен на анализ правильности реализованных элементов, отчет оценки рисков не должен представляться в обвинительной манере, а должен представляться в виде системного и аналитического документа, описывающего оценку рисков так, чтобы руководитель организации смог понять сами риски и выделить ресурсы, которые необходимы для снижения этих рисков. Для этого в отчете оценки рисков можно описывать пары угроз/уязвимости, как данные наблюдения, а не представлять их, как сведения, добытые в результате обследования. В Приложении Б представлен предлагаемый набросок для отчета оценки риска.

Приложение Б: Форма отчета оценки рисков

РЕЗУЛЬТИРУЮЩИЙ ОТЧЕТ

I. Введение

- Цель и задачи оценки рисков

- Масштабы оценки рисков

Опишите компоненты, элементы, пользователей, области расположения и любые другие детали, которые относятся к системе и рассматриваются в оценке рисков.

II. Подход к оценке рисков

Кратко опишите подход, используемый в выполнении оценки риска, в том числе:

- Участники (например, члены команды оценки рисков),

- Используемые техники для сбора информации (например, использование автоматизированных средств, опросные листы),

- Описание разработанных шкал рисков (например, матрица уровней риска 3х3, 4х4, или 5х5).

ДОКУМЕНТИРОВАНИЕ РЕЗУЛЬТАТОВ

III. Характеристики системы

Охарактеризуйте систему, включая: аппаратное (сервера, маршрутизаторы, коммутаторы) и программное (приложения, операционные системы, протоколы) обеспечение, связность системы (например, соединительные линии), данные и пользователей. Приложите диаграмму связей или схему входных и выходных потоков системы для того, чтобы очертить масштабы приложения действий оценки рисков.

IV. Сведения об уязвимостях

Сформируйте и представьте перечень потенциальных уязвимостей, имеющихся в оцениваемой системе.

V. Сведения об источниках угроз

Сформируйте и представьте перечень потенциальных источников угроз применительно к оцениваемой системе.

VI. Результаты оценки рисков

Представьте обзоры рисков (пары уязвимость/источник угрозы). Каждый обзор должен включать:

- Номер и краткое описание обзора (например, Обзор 1: Пароль учетной записи пользователя системы может быть отгадан или подобран);

- Разъяснение пары уязвимость/источник угрозы;

- Определение существующих мер безопасности, снижающих этот риск;

- Разъяснение и оценка вероятности (например, Высокая, Средняя или Низкая вероятность);

- Разъяснение и оценка влияния (например, Высокое, Среднее или Низкое влияние);

- Рейтинг риска, основанный на матрице уровня риска (например, Высокий, Средний или Низкий уровень риска);

- Рекомендуемые меры безопасности или альтернативные методы снижения риска.

- VII. Итоги

Объедините обзоры. Итоги, для упрощения процесса реализации рекомендуемых для снижения рисков мер безопасности, подведите в форме таблицы по: обзорам, полученным уровням рисков, рекомендациям и любым комментария.

 

УПРАВЛЕНИЕ РИСКАМИ ИБ

Управление рисками представляет собой целенаправленный процесс, направленный на уменьшение уровня рисков и доведение его до приемлемого уровня.

Снижение риска может быть достигнуто с помощью использования любого из следующих подходов:

- Принятие риска. Принять потенциальный риск и продолжать функционирование ИС.

- Уход от риска. Уход от риска с помощью устранения причин и/или последствия риска (например, добавить меры безопасности, которые предотвращают проявление риска, исключить из системы некоторые функции, или отключить систему).

- Снижение риска. Снизить риск с помощью реализации мер безопасности, которые минимизируют неблагоприятное влияние угрозы реализации уязвимости (например, использование поддерживающих, превентивных, детектирующих мер) или разрешение выполнения операции в течение ограниченного времени, пока риск минимизируется другими мерами или условиями.

Этап управления рисками направлен на понижение величины рисков. Согласно формулам (1) и (2) это может быть реализовано двояким образом:

1. Путем уменьшения возможности реализации угрозы (установка систем разграничения доступа, межсетевых экранов, систем шифрования информации) и уязвимости (установка IDS, установка обновлений).

2. Путем уменьшения величины ущерба, наносимого реализацией угрозы (резервное копирование информации, планирование бесперебойной работы организации во внештатных ситуациях).

- Передача риска. Передать риск, используя другие альтернативные меры компенсации потерь, такие как страхование или заключение с поставщиком решения договора на обслуживание.

При выборе подхода к снижению риска должны быть учтены цель и задачи организации. Это не относится ко всем рискам, но это должно относится к рискам, приоритеты пар угроза/уязвимость которых, потенциально могу оказать значительное влияние на функционирование организации. В связи с тем, что каждая организация имеет свою уникальную среду и область деятельности альтернативы, используемые для снижения риска, и методы, используемы для реализации мер безопасности, могут отличаться. Оптимальный подход – это использование необходимых технологий различных поставщиков решений безопасности совместно с альтернативными техническими, нетехническими и административными мерами снижения риска.

 

УПРАВЛЕНИЕ РИСКАМИ ИБ

Руководитель организации, знающий потенциальные риски и рекомендованные механизмы, может спросить, «Когда и при каких условиях я должен предпринять необходимые действия? Когда я должен реализовать эти меры для снижения риска и защиты нашей организации?»

Диаграмма снижения риска, представленная на Рисунке 4-1, как раз и способствует решению этого вопроса. Соответствующие контрольные точки для реализации мер безопасности показаны на этом рисунке с помощью слова Да.

Рисунок 4-1. Диаграмма процесса снижения риска

Эту стратегию можно представить в виде следующих практических методов, которые помогают руководству в решении вопросов снижения рисков от преднамеренных человеческих угроз:

- Когда недостаток или слабое место существует -> реализуются методы безопасности для гарантии, что определенные недостатки или слабые места удалены, а вероятность возникновения или проявления других снижена.

- Когда существует уязвимость (реализуемый недостаток или слабо место) -> применяются многоуровневая защита, архитектурные принципы и/или административные механизмы для затруднения или снижения вероятности реализации недостатка или слабого места.

- Когда затраты атакующего меньше потенциальной выгоды -> применяются методы для снижения мотивации атакующего с помощью увеличения затрат атакующего или снижения выгоды атакующего (для примера, административные меры, такие как ограничение по объему и видам обрабатываемой информации в одной системе, может существенно понизить выгоду атакующего).

- Когда потери очень большие -> применяются такие архитектурные принципы и принципы проектирования, чтобы техническая и нетехническая защита вели к ограничению пределов атаки, тем самым, снижая потенциальные потери. (Снова, следует учитывать, что административные меры такие, как ограничение по объему и видам обрабатываемой информации в одной системе, могут обеспечить достаточно эффективное снижение риска).

 

УПРАВЛЕНИЕ РИСКАМИ ИБ

Описанная выше стратегия, за исключением перечня элементов («Когда затраты атакующего меньше потенциальной выгоды»), также применяется для снижения риска исходящего от источников угроз, которые являются природными, средой функционирования системы и непреднамеренны человеческими (например, сбои системы или ошибки пользователя). В этих случаях нет атакующего, мотивации или прибыли.

При внедрении мер безопасности, должно применяться следующее правило: Меры безопасности направлены в отношении наибольшего риска и стремятся к достаточному снижению уровня этого риска за наименьшую стоимость, при этом внедрение мер оказывает минимальное влияние на возможности функционирования организации.

Далее представлен подход к реализации мер безопасности.

Рисунок 4-2. Схема методологии снижения риска

- Шаг 1 – Определение приоритетов действий

В соответствии с уровнями риска, представленными в отчете оценки риска, производится определение приоритетов действий по реализации рекомендуемых мер безопасности. При выделении ресурсов, наибольший приоритет следует отдавать действиям, которые отвечают рискам с неприемлемо высоким рангом (например, риски со значениями уровня – Очень Высокий или Высокий). Для защиты интересов организации пары уязвимость/угроза этих рисков потребуют немедленных корректирующих действий. Результат Шага 1 – Перечень действий ранжированных по приоритету реализации – от Высокого до Низкого.

- Шаг 2 – Оценка рекомендуемых мер безопасности.

Меры безопасности, рекомендуемые в процессе оценки риска, могут не обладать необходимыми свойствами или функциями для конкретной организации и ИС. В течение этого шага выполняется анализ свойств: пригодности (например, совместимость, дружелюбие интерфейса пользователя) и эффективности (например, степень защищенности и уровень снижения риска) рекомендуемых мер. Целью этого шага является выбор наиболее пригодных для минимизации риска мер. Результат Шага 2 – Перечень пригодных мер безопасности.

УПРАВЛЕНИЕ РИСКАМИ ИБ

- Шаг 3 – Выполнение оценки Затраты/Эффективность мер безопасности.

Для направления руководства в подготовке решения по рискам и для определения характеристик пригодности (по стоимости и эффективности) рекомендуемых мер безопасности выполняется оценка затраты/эффективность этих мер. Секция 4.5 определяет цели и метод выполнения анализа затраты/эффективность. Результат Шага 3 – Анализ Затраты/Эффективность определяет затраты и пользу в реализации или не реализации мер безопасности.

- Шаг 4 – Выбор мер безопасности.

В соответствии с результатами анализа затраты/эффективность руководство определяет наиболее пригодные меры безопасности для снижения риска. Для обеспечения адекватного уровня защиты ИС и организации, выбранные меры должны включать в себя технические, операционные и административные элементы. Результат Шага 4 – Выбранные меры безопасности.

- Шаг 5 – Назначение ответственных лиц.

Производится определение персонала (из штата компании или лица, работающие по контракту), который обладает соответствующими навыками и опытом для реализации выбранных мер. Этот персонал определяется как ответственный за реализацию этих мер. Результат Шага 5 – Перечень ответственных лиц.

- Шаг 6 – Разработка плана реализации мер безопасности.

В течение этого шага разрабатывается план реализации мер (или план действий). План должен как минимум содержать следующую информацию:

- Риски (пары уязвимость/угроза) и ассоциированные уровни рисков (результат оценки рисков);

- Рекомендуемые меры безопасности (результат оценки рисков);

- Перечень действий отсортированных по приоритету выполнения (для рисков с уровнем «Очень Высокий» и «Высокий»);

- Планируемые меры (определенные на основе пригодности, эффективности и полезности для организации и их стоимости);

 

УПРАВЛЕНИЕ РИСКАМИ ИБ

- Требуемые ресурсы для реализации планируемых мер;

- Перечень ответственных команд и лиц;

- Начальная дата для реализации;

- Конечная дата для реализации;

- Требования по обслуживанию мер безопасности.

План реализации мер безопасности определяет приоритеты реализации действий и даты начала и завершения проектов, заключающихся в выполнении этих действий. Этот план будет использоваться для направления и контроля процесса снижения рисков. В Приложении В представлен образец таблицы для плана реализации мер безопасности. Результат Шага 6 – План реализации мер безопасности.

- Шаг 7 – Реализация выбранных мер безопасности.

Реализованные меры безопасности могут снизить уровень риска, но не исключить риск. Остаточный риск рассматривается в Секции 4.6. Результат Шага 7 – Остаточный риск.