ЛЕКЦИЯ №12.
NIST. Данный стандарт рассматривает вопросы управления информационными рисками. Считается, что система управления рисками должна минимизировать возможные негативные последствия, связанные с использованием ИТ. Для этого система управления рисками интегрируется в систему управления жизненным циклом ИТ.
Таблица: Управление рисками на различных стадиях жизненного цикла ИТ.
Фаза жизненного цикла | Соответствие фазе управления рисками |
1) предпроектная стадия | 1) выявление основных классов рисков для данной ИС, вытекающей из концепции обеспечения ИБ |
2) проектирование | 2) выявление рисков, вытекающих из особенностей архитектуры ИС |
3) создание ИС; монтаж, настройка и конфигурирование | 3) до начала функционирования ИС все риски должны быть выявлены |
4) функционирование | 4) периодическая переоценка рисков, связанных с изменением условий и конфигураций |
5) прекращение функционирования | 5) соблюдение требований к ИБ по отношению к выводимым информационным ресурсам |
Основные стадии, которые согласно стандарту NIST должна включать технология управления рисками, показана ниже:
COBIT. Является составной частью стандарта CRAMM. Определяет основные критерии оценки процессов управления ИТ.
Общие принципы управления определяют стратегию поведения аудита ИТ.
В данном подходе процесс управления подразделяется на 4 этапа:
1) определяет стандарт оценки эффективности ИТ процесса
2) анализируются составляющие ИТ процесса путем получения субъектом управления информации от объекта управления
3) информация о состоянии процесса сравнивается с требованиями стандарта
4) в случае выявления несоответствия процесса требования субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации процессу.
Исходя из этой модели, формируются основные критерии оценки механизмов управления:
1) распределение ответственности и подотчетности
2) стандарты и допустимые отклонения, четко документированные, актуальные и доступные для всех сотрудников организации. Для каждого ИТ процесса должны быть четко определены допустимые отклонения от требований стандарта
3) информационные критерии. Актуальность и пригодность управляющей информации, а также ее целостность служит основой функционирования системы управления ИТ процессами.
OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги - Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.
Ключевые элементы OCTAVE:
1) идентификация критичных информационных активов;
2) идентификация угроз для критичных информационных активов;
3) определение уязвимостей, ассоциированных с критичными информационными активами;
4) оценка рисков, связанных с критичными информационными активами.
Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Сильной стороной OCTAVE является высокая степень гибкости, достигаемая путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.