Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
– стратегические цели бизнеса организации, стратегии и политики;
– процессы бизнеса;
– функции и структура организации;
– нормативно-правовые и договорные требования;
– политика ИБ;
– общий подход к управлению рисками;
– информационные активы;
– местоположение организации и географические характеристики;
– ограничения, влияющие
– социальная и культурная среда.
Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ– инфраструктура, бизнес-процесс или определённая часть организации.
1.3. Организационная структура
Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.
Главными ролями и обязанностями в такой структуре являются:
– разработка процесса управления рисками ИБ в организации;
– идентификация и анализ заинтересованных сторон;
– определение ролей и обязанностей всех сторон, как внутренних, так и внешних;
– установление требуемых взаимосвязей между заинтересованными сторонами;
– определение путей принятия решений;
– определение документов, которые необходимо вести.
2. Оценка рисков ИБ
Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.
Действие: Оценку риска обеспечивают следующие меры:
– идентификация рисков;
– измерение рисков;
– оценивание рисков.
Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.
Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.
Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.
Выходные данные: Перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.
2.1. Идентификация рисков
Целью
Для идентификация рисков необходимо идентифицировать следующие объекты:
– активы;
– угрозы;
– средства защиты;
– уязвимости;
– последствия.
2.1.1. Идентификация активов
Входные данные: Область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т. д.
Действие: Должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.
Руководство по реализации: Ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.
Можно выделить два вида активов:
– первичные активы: бизнес-процессы и информация;
– активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.
Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.
Они включают в себя:
– нарушение законодательства и/или предписаний;
– ухудшение функционирования бизнеса;
– потеря «неосязаемого капитала»/негативное влияние на репутацию;
– нарушения, связанные с личной информацией;
– создание угрозы личной безопасности;
– неблагоприятное влияние на обеспечение правопорядка;
– нарушение конфиденциальности;
– нарушение общественного порядка;
– финансовые потери;
– нарушение бизнес-деятельности;
– создание угрозы для безопасности окружающей среды.
Другим подходом к оценке последствий может быть:
– прерывание сервиса;
– потеря репутации и доверия клиента;
– нарушение внутреннего функционирования;
– нарушение функционирования третьей стороны;
– нарушение законов/предписаний;
– нарушение договора;
– опасность для персонала / безопасность пользователей;
– вторжение в частную жизнь пользователей;
– финансовые потери;