УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ © Баранова Е. К.
Инженерно-технические меры Программно-аппаратные меры Защита информации Организационные меры Правовые меры Криптографические меры • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; • соблюдение конфиденциальности информации ограниченного доступа; • реализацию права на доступ к информации. Федеральный закон РФ от 27. 07. 2006 г. N 149 -ФЗ "Об информации, информационных технологиях и о защите информации"
Организационные меры • внутренний и внешний аудит, • оценка риска, • политика информационной безопасности, • план бесперебойной работы, • положения, • процедуры, • регламенты, • руководства
Мероприятия, осуществляемые в процессе эксплуатации систем • организация пропускного режима; • организация автоматизированной обработки информации; • распределение реквизитов разграничения доступа (паролей, полномочий и т. д. ); • организация ведения протоколов; • контроль выполнения требований служебных инструкций; • создание твердых копий важных с точки зрения утраты массивов данных и другие
Модель зрелости Уровни зрелости: 0 Несуществующий 1 Начальный/Повторяющийся эпизодически и бессистемно 2 Повторяющийся, но интуитивный 3 Определенный 4 Управляемый и измеряемый Описание уровней: 5 Оптимизированный 0 Процессы управления не применимы 1 Процессы используются разово или в отдельных случаях и не организованы 2 Процессы повторяются по образцу 3 Процессы документально оформлены и доведены до сведения заинтересованных лиц Обозначения: 4 Ведется мониторинг процессов в Текущее положение организации измеряемых показателях Средний показатель для отрасли 5 Лучшие практики внедрены и автоматизированы Цель организации Cobit 4. 1
Модель Carnegie Mellon University Руководство не занимается вопросами ИБ. Обеспечением ИБ сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задач На уровне руководства существует определенное понимание задач обеспечения ИБ. Существуют стихийно сложившиеся процедуры обеспечения ИБ, их полнота и эффективность не анализируется Анархия Фольклор Стандарты Руководство осознает задачи в области ИБ. Руководство заинтересовано в использовании стандартов в области ИБ, оформлении документации в соответствии с ними Измеряемый Имеется полный комплект документов в области ИБ. Действующие инструкции соблюдаются. Регулярно проводится внутренний аудит в области ИБ. Руководство уделяет должное внимание вопросам ИБ Оптимизируемый Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность, ставит оптимизационные задачи построения системы ЗИ Петренко С. А. Управление информационными рисками
The Committee of Sponsoring Organizations of the Treadway Commission Управление рисками процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации Управление рисками скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске ГОСТ Р 51897 -2002 Менеджмент риска. Термины и определения BS 7799 -3: 2006 Система управления ИБ. Руководство по управлению рисками ИБ
Управление рисками на различных стадиях жизненного цикла системы Прекращение функционирования Управление рисками Функционирование Создание Проектирование Предпроектная стадия
Применение модели PDCA к управлению рисками
Базовая оценка рисков ü ü üтребованиями базового уровня защищенности üне рассматривается ценность ресурсов üне оценивается эффективность контрмер повышенные требования в области ИБ определение ценности ресурсов оценка угроз и уязвимостей выбор надлежащих контрмер, оценка их эффективности Полная оценка рисков
Базовая оценка рисков + • минимальное количество ресурсов (материальных, временных, людских) • если принимать слишком высокий базовый уровень, то для ряда систем уровень обеспечения безопасности будет завышен; • если базовый уровень будет принят слишком низким, то для ряда систем уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения. ГОСТ Р ИСО/МЭК 13335 -3 -2007 Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий
+ Детальная оценка рисков • для каждой системы будут определены соответствующие ей защитные меры; • результаты проведения детального анализа могут быть использованы при управлении изменениями в системе обеспечения безопасности. • требуется значительное количество средств, времени, квалифицированного труда; • существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, так как для проведения оценки всех систем потребуется значительное время. ГОСТ Р ИСО/МЭК 13335 -3 -2007
Оценка рисков BS 7799 -3: 2006 Система управления ИБ. Руководство по управлению рисками ИБ
Идентификация активов 17799 -2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью
Выделение категорий ресурсов Классификация ресурсов Определение ценности ресурса
Свойства безопасности Для определения ценности актива необходимо определить степень тяжести последствий от нарушения свойств безопасности. Затем найти интегрированную характеристику ГОСТ Р ИСО/МЭК 13335 -1 -2006 Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
Шкала оценки ущерба при нарушении информационной безопасности Высокий - если потеря конфиденциальности, целостности и/или доступности оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал Умеренный - если потеря конфиденциальности, целостности и/или доступности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал Низкий -если потеря конфиденциальности, целостности и/или доступности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал Материалы Jet. Info
Оценка и обработка рисков
Обработка рисков ГОСТ Р 51897 -2002 Менеджмент риска. Термины и определения BS 7799 -3: 2006 Система управления ИБ. Руководство по управлению рисками ИБ
+
Скачать презентацию УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Баранова Е К
Л 6_Управление рисками ИБ.ppt