Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– инциденты ИБ.
Мониторинг рисков важен для эффективной реализации действий, запланированных на предыдущих этапах. Он обеспечивает своевременное исполнение превентивных мер и планов по смягчению последствий и выполняется с помощью признаков, указывающих на возможность то, что события риска произошли или произойдут в ближайшее время.
Примеры параметров, к которым могут быть привязаны признаки рисков и за которыми может проводиться мониторинг:
– количество «открытых» (найденных и неисправленных) ошибок системы;
– среднее за неделю количество
– еженедельное количество изменений в требованиях к разрабатываемой системе;
– изменения бизнес-процессов;
– своевременность выделения требуемых ресурсов;
– техническое обеспечение работ.
Мониторинг и улучшение рисков является последним этапом управления рисками и включет следующие мероприятия:
– мониторинг и пересмотр рисков;
– анализ и улучшение управления рисками.
6.1. Пересмотр рисков
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Риски и их факторы (ценность активов, угрозы, уязвимости, вероятность риска) должны подвергаться мониторингу и пересмотру с целью идентификации любых изменений на ранней стадии.
Руководство по реализации: Пересмотр рисков должен проводиться регулярно, согласно расписанию, составленному на этапе планирования. В процессе мониторинга рисков может возникать необходимость в проведении идентификации новых рисков, пересмотре состояния известных рисков и планировании дополнительных мероприятий по обработке рисков.
Выходные данные: Непрерывное согласование управления рисками с бизнес-целями и критериями принятия риска.
6.2. Анализ и улучшение
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Процесс управления рисками должен постоянно подвергаться анализу и улучшению.
Руководство по реализации: Постоянный анализ необходим для обеспечения уверенности в том, что результаты оценки и обработки рисков, а также план обработки рисками соответствуют реальным обстоятельствам. Необходимо регулярно проверять, что критерии измерения риска и его элементов по-прежнему остаются действительными и согласующимися с бизнес-целями, стратегиями и политиками ИБ.
Эта деятельность должна уделять внимание:
– правовой сфере и условиям окружающей среды;
– сфере конкуренции;
– подходу к оценке риска;
– ценности и категориям активов;
– критериям влияния на активы и процессы;
– критериям оценки риска;
– критериям принятия риска;
– полной стоимости эксплуатации активов;
– необходимым ресурсам.
Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.
Анализ
– идентифицированных изменений;
– итерации оценки риска;
– цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);
– объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).
Выходные данные
Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.
6. Управление инцидентами иб
(стандарт ISO/IEC 27035:2011)
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В дальнейшем на его базе подкомитетом SC 27 «Методы защиты» совместного технического комитета ISO/IEC JTC 1 «Информационная технология» был разработан международный стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ», который был опубликован в 2011 году.
Основные понятия
Событие ИБ – это определенное состояние ИС (услуги или сети), указывающее на возможное нарушение ИБ, отказ защитных мер, а также неизвестная ситуация, связанная с ИБ.
Инцидент ИБ – нежелательное событие, которое может нарушить бизнес-процесс и угрожать ИБ.
Возникновение события ИБ не обязательно означает, что попытка была успешна или что оказано какое-либо влияние на конфиденциальность, целостность и/или доступность, т.е. не все события ИБ классифицируются как инциденты ИБ.
Инциденты ИБ могут быть преднамеренными (например, вредоносное ПО или злоумышленные действия) или случайными (например, человеческие ошибки или стихийные бедствия), а также создаваться техническими или физическими средствами. Их последствиями могут быть несанкционированное разглашение, модификация, уничтожение или недоступность информации, или повреждение или воровство активов, содержащих информацию.
Угроза путем использования уязвимости ИС (сервисов или сетей) вызывает возникновение события ИБ и как результат инцидента по отношению к активу (подставленного под угрозу этой уязвимостью).
Рисунок показывает эти отношения объектов в цепи инцидента ИБ. Затемненные объекты существуют изначально и воздействуют на остальные объекты в цепи, которая приводит к инциденту ИБ.
Цели управления инцидентами
Ключевой частью стратегии ИБ организации должны стать процедуры, которые будут обеспечивать структурный плановый подход к управлению инцидентами ИБ. В принципе главная цель – это предотвращение или снижение воздействия инцидентов ИБ, чтобы сократить вызванные ими прямые и косвенные затраты.