Соответствие уровня зрелости организации и ее потребностей в области иб

Концептуальная схема проведения обследования по методу CRAMM

Процесс анализа и управления рисками по методу CRAMM

На первом этапе создаются следующие виды отчетов:

• Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
• Оценка критичности ресурсов;
• Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.

На втором этапе проведения обследования создаются следующие виды отчетов:

• Результаты оценки уровня угроз и уязвимостей;
• Результаты оценки величины рисков;
• Результирующий отчет по второму этапу анализа рисков.

По результатам третьего этапа обследования создаются следующие виды отчетов:

• Рекомендуемые контрмеры;
• Детальная спецификация безопасности;
• Оценка стоимости рекомендуемых контрмер;
• Список контрмер, отсортированный в соответствии с их приоритетами;
• Результирующий отчет по третьему этапу обследования;
• Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
• Список мероприятий по обеспечению безопасности.

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

К недостаткам метода CRAMM можно отнести следующее:

• Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
• CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
• Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
• Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
• CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
• Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

ГОСТ Р ИСО/МЭК 27002-2012

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012: оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

• определить угрозы и их источники;
• определить существующие и планируемые меры и средства контроля и управления;
• определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
• определить последствия потери конфиденциальности, сохранности, доступности, безотказности или нарушения других требований к безопасности для активов;
• оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
• оценить вероятность чрезвычайных сценариев;
• оценить уровень риска;
• сравнить уровни риска с критериями оценки и приемлемости рисков

Этапы анализа рисков

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов АС;
• Определение важности тех или иных ресурсов;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

• Данные были раскрыты, изменены, удалены или стали недоступны;
• Аппаратура была повреждена или разрушена;
• Нарушена целостность ПО.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

• уменьшая вероятность осуществления угроз безопасности;
• ликвидируя уязвимости или уменьшая их величину;
• уменьшая величину возможного ущерба;
• выявление атак и других нарушений безопасности;
• способствуя восстановлению ресурсов АС, которым был нанесен ущерб.

Соответствие уровня зрелости организации и ее потребностей в области ИБ

Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости.

В соответствии с одной из моделей организации с позиции их зрелости, предлагаемой Carnegie Mellon University выделяется 5 уровней зрелости, которым, как правило, соответствует различное понимание проблем информационной безопасности организации.

Уровень 1. "Анархия"

Признаки:

• Сотрудники сами определяют, что хорошо, а что плохо
• Затраты и качество не прогнозируются
• Отсутствует контроль измерений
• Высшее руководство плохо представляет собой реальное положение дел

Характеристика организации в области информационной безопасности:

Политика в области ИБ неформализована, руководство не занимается этими вопросами. Обеспечением ИБ сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задачи.

Уровень 2. " Фольклор"

Признаки:

• Выявлена определенная повторяемость организационных процессов
• Опыт организации представлен в виде преданий корпоративной мифологии
• Знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении

Характеристика организации в области информационной безопасности:

На уровне руководства существует определенное понимание задач обеспечения ИБ, но оно не ставит задач формализации процедур защиты информации. Существует стихийно сложившееся процедуры обеспечения ИБ, их полнота и эффективность не анализируются.

Уровень 3. " Стандарты"

Признаки:

• корпоративная мифология записана на бумаге
• процессы повторяемы и не зависят от личных качеств исполнителей
• информация о процессах для измерения эффективности не собирается
• наличие формализованного описания процессов не означает, что они работают
• организация начинает адаптировать свой опыт к специфике бизнеса
• производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности
• вырабатывается стратегия развития компетентности

Характеристика организации в области информационной безопасности:

• Руководство осознает задачи в области ИБ.
• В организации имеется документация (возможно не полная), относящаяся к политике ИБ.
• Руководство заинтересовано в исполнении стандартов в области ИБ, оформление документации в соответствии с ними.
• Осознается задача управления режимами ИБ на всех стадиях жизненного цикла информационной технологии.

• Уровень 4. " Измеряемый"

Признаки:

• Процессы измеряемы и стандартизованы

Характеристика организации в области информационной безопасности

• Имеется полный комплект документов, относящихся к обеспечению режима ИБ, оформленный в соответствии с каким-либо стандартом.
• Действующие инструкции соблюдаются, документы служат руководством к действию соответствующих должностных лиц.
• Регулярно проводится внутренний (и возможно внешний аудит) в области ИБ.
• Руководство уделяет должное внимание ИБ, в частности имеет адекватное представление относительно существующих уровней угроз и уязвимостей, потенциальных потерях в случае возможных инцидентов.

Уровень 5. " Оптимизируемый"

Признаки:

• фокус на повторяемости и измеряемости
• вся информация о функционировании процессов фиксируется

Характеристика организации в области информационной безопасности:

Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизированные задачи построения системы защиты информации

Политика информационной безопасности организации

Политика безопасности - совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Исходные данные для формирования ПБ:

• определить информацию. которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;
• определить топологии средств автоматизации (физической и логической);
• описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа;
• определить угрозы безопасности информации и создать модель нарушителя;
• обнаружить и описать известные угроз и уязвимости;
• расположить угрозы по убыванию уровня риска (провести анализ рисков).

Необходимо описать:

• общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня риска);
• организационно-штатную структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений);
• рабочий процесс, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполняется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Используемые на предприятии средства вычислительной техники и программное обеспечение:

• Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа);
• Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение);
• Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение.

Организация и структура информационных потоков и их взаимодействие:

• Топология ЛВС;
• Схема коммуникационных связей;
• Структура и состав потоков данных (перечень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов);
• Организация хранения данных.

Общая характеристика автоматизированных систем организации:

• Расположение ЛВС;
• Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации);
• Технические и программные средства доступа к ЛВС из сетей общего доступа;
• Принадлежность и типы каналов связи;
• Сетевые протоколы удаленного доступа

Угрозы информационной безопасности:

• Сведения о распределении обязанностей и инструкциях по обработке и защите информации;
• Вероятные угрозы (угроза, ее вероятность и возможный ущерб);
• Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты).

Документ «Политика информационной безопасности организации» определяет:

• Само понятие информационной безопасности и ее основных составляющих и используемых понятий;
• Цели и принципы информационной безопасности;
• Разъяснение политики безопасности, принципов, стандартов и требований к ее соблюдению (основные направления, способы и требования по обеспечению безопасности информации, выполнение правовых и договорных требований, требования к обучению персонала правилам безопасности, политику предупреждения и обнаружения вирусов, политику обеспечения бесперебойной работы организации);
• Определение общих и конкретных обязанностей должностных лиц организации по обеспечению информационной безопасности, включая уведомления о случаях нарушения защиты;
• Перечень документов, выпускаемых в поддержку политики безопасности (положения, инструкции, регламенты и т.п.).

Правила, инструкции и требования:

• Правила парольной защиты
• Правила защиты от вирусов и злонамеренного программного обеспечения
• Требования по контролю за физическим доступом
• Требования по физической защите оборудования
• Инструкция по безопасному уничтожению информации или оборудования
• Инструкция по безопасности рабочего места (документов на рабочем столе и на экране монитора)
• Правила осуществления локального и удаленного доступа
• Требования резервного сохранения информации
• Требования мониторинга
• Требования при обращении с носителями данных
• Требования по проверке прав пользователей
• Правила использования системных утилит
• Правила удаленной работы мобильных пользователей
• Распределение ответственности при обеспечении безопасности
• Правила контроля вносимых изменений

Методологии оценки рисков

Оценку рисков ИБ необходимо проводить на постоянной основе, при этом проводить ее рекомендуется не менее чем раз в год. Это связано с быстрым развитием ин-формационных технологий и, как следствие, с возникновением новых рисков ИБ, возможным устареванием и исключением некоторых ранее принятых рисков или потерей эффективности мер, принятых ранее.

Риски ИБ необходимо регулярно отслеживать, для чего необходимо внедрять систему мониторинга рисков.

Помимо ежегодного повторного анализа рисков, необходимы следующие мероприятия.

1. На постоянной основе проводить с работниками разъяснительную работу по угрозам ИБ, которые могут нести те или иные уязвимости, привлекать их к процессу ежегодной оценки рисков, анализировать информацию, полученную от них.
2. Установить единые правила поведения сотрудников на рабочих местах, требовать их выполнения, прививать работникам культуру ИБ. К данному вопросу следует подойти с особым вниманием, чтобы при внедрении таких правил не нарушить права работников.
3. Сравнивать результаты работы, фигурирующие в отчетах и докладах, с текущим положением дел, а также с информацией, поступающей от других источников, проводить дополнительные поверки в случае несоответствия.
4. Обмениваться информацией с регулирующими государственными органами по вопросам соблюдения законодательства и прочим вопросам, которые отражают функционирование процесса управления рисками.
5. Обмениваться информацией с заказчиками и клиентами по вопросам защиты конфиденциальных данных.
6. К процессу оценки рисков привлекать сотрудников организации.
7. При ежегодном анализе рисков частично менять состав группы анализа из числа работников организации, что позволит взглянуть на риски «свежим взглядом», а также усилит культуру ИБ среди сотрудников.
8. Тщательно документировать каждый процесс анализа рисков.

Предлагаемые меры позволят своевременно реагировать на вновь возникающие угрозы, а также отсеивать из рассмотрения те угрозы, которые по тем или иным причинам потеряли свою актуальность.

Применяемая для оценки риска методология должна предусматривать следующие действия:

1. Определение активов.
2. Определение угроз.
3. Выявление уязвимостей.
4. Определение последствий.
5. Оценка вероятности инцидента.
6. Установление значений уровня рисков.
7. Соотнесение рисков с критериями.
8. Определение мер обработки риска.

Помимо указанных действий в организации должен предусматриваться и мониторинг рисков. Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление обо всей картине риска.

Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.

В настоящее время есть несколько методологий, с помощью которых осуществляется оценка рисков, среди них:

• анализ и управление рисками - методология, используемая в Великобритании – CRAMM;
• оценка активов и уязвимости информационной безопасности – OCTAVE;
• модель анализа рисков и семейство программных продуктов RiskWatch;
• COBRA
• управление рисками в системе информационных технологий - NIST SP800-30;
• методы управления рисками информационной безопасности – ISO/IEC ИСО/МЭК серии 27000 – 27005;
• оценка рисков информационной безопасности – ENISA и др.

Схема анализа рисков

Полный анализ рисков включает необходимость построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.

Метод CRAMM (www.cramm.com)

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

.

Метод CRAMM [крэм] выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM – это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

Проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;

Разработка политики безопасности и плана обеспечения непрерывности бизнеса.

основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций – Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.