12. Управление рисками ИБ (ISO/IEC 27005-2011). Часть 1

В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799-3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR - technical report - технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.

В связи с тем, что в Украине стандарт ISO/IEC 27005 до сих пор не принят, а стандарт ISO/IEC TR 13335 был принят как национальный в 2003 году, поэтому он является на данный момент действующим в Украине в сфере управления рисками.

В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:
- ISO 31000:2009 - Управление рисками - Принципы и руководства;
- ISO/IEC 31010:2009 - Управление рисками - Методики оценки рисков;
- ISO Guide 73:2009 - Управление рисками - Словарь.

Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ. Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.

Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений. Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.

Управление рисками ИБ должно способствовать следующему:
- идентификации рисков;
- оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
- изучению вероятности и потенциальных последствий данных рисков;
- установлению порядка приоритетов в рамках обработки рисков;
- установлению приоритетов мероприятий по снижению имеющих место рисков;
- привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;
- эффективности проводимого мониторинга обработки рисков;
- проведению регулярного мониторинга и пересмотра процесса управления рисками;
- сбору информации для усовершенствования подхода к управлению рисками;
- подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.

Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.

Все действия по управлению рисками ИБ описываются в следующих разделах:
1) установление контекста (сферы применения) - в разделе 7;
2) оценка риска - в разделе 8;
3) обработка риска - в разделе 9;
4) принятие риска - в разделе 10;
5) обмен информацией о рисках - в разделе 11;
6) мониторинг и улучшение - в разделе 12.

Схема управления рисками ИБ

Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.

Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.

Действие: описывается деятельность.

Руководство по реализации: предоставляется руководство по выполнению действия.

Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.

Как показано на рисунке, процесс управления рисками ИБ может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход даёт хороший баланс между уменьшением времени и усилия, затрачиваемого на определение средств контроля, в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются соответствующим образом.

Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, критерии оценки рисков, критерии принятия рисков или критерии влияния), возможно на ограниченных частях полной области применения (точка принятия решения о приемлемости риска № 1).

Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска № 2).

Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством организации. Это особенно важно в ситуации, когда внедрение средств контроля не осуществляется или откладывается, например, из-за стоимости.

Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.

На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.

Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:

Этапы СУИБ

Действия по управлению рисками ИБ

Планирование (Plan)

Установление контекста
Оценка риска
Разработка плана обработки риска
Принятие риска

Реализация (Do)

Реализация плана обработки риска

Проверка (Check)

Мониторинг и пересмотр обработки риска

Улучшение (Act)

Корректирующие действия по улучшению

1. Установление контекста (сферы применения)

Входные данные: вся информация об организации, уместная для установления сферы применения управления рисками ИБ.

Действие. Для установления контекста организации необходимо определить:
- основные критерии управления рисками;
- сферы действия и границы;
- организационную структуру управления рисками.

Руководство по реализации. Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:
- поддержка СУИБ;
- правовое соответствие и свидетельство должного внимания;
- подготовка плана обеспечения непрерывности бизнеса;
- подготовка плана реагирования на инциденты;
- описание требований ИБ для продукта, услуги или механизма.

Выходные данные: спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:
- оценки риска;
- воздействия риска;
- принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:
- выполнения оценки риска и установления плана обработки риска;
- определения и осуществления политики и процедуры, включая реализацию управления рисками;
- контроля мониторинга;
- мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:
- стратегическая ценность обработки бизнес-информации;
- критичность затрагиваемых информационных активов;
- нормативно-правовые требования и договорные обязательства;
- важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:
- уровень классификации информационного актива, на который оказывается влияние;
- нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);
- ухудшение бизнес-операции;
- потеря ценности бизнеса и финансовой ценности;
- нарушение планов и конечных сроков;
- ущерб для репутации;
- нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

- включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

- выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

- включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии принятия риска должны устанавливаться с учётом:
- критериев бизнеса;
- правовых и регулирующих аспектов;
- операций;
- технологий;
- финансов;
- социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:
- стратегические цели бизнеса организации, стратегии и политики;
- процессы бизнеса;
- функции и структура организации;
- нормативно-правовые и договорные требования;
- политика ИБ;
- общий подход к управлению рисками;
- информационные активы;
- местоположение организации и географические характеристики;
- ограничения, влияющие на организацию;
- социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ- инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются:
- разработка процесса управления рисками ИБ в организации;
- идентификация и анализ заинтересованных сторон;
- определение ролей и обязанностей всех сторон, как внутренних, так и внешних;
- установление требуемых взаимосвязей между заинтересованными сторонами;
- определение путей принятия решений;
- определение документов, которые необходимо вести.

2. Оценка рисков ИБ

Входные данные: установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.

Действие. Оценку риска обеспечивают следующие меры:
- идентификация рисков;
- измерение рисков;
- оценивание рисков.

Руководство по реализации: риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.

Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.

Оценка риска определяет ценность информационных активов, идентифицирует применимые угрозы и уязвимости, которые существуют (или могут существовать), идентифицирует существующие средства контроля и их влияние на идентифицированные риски, определяет потенциальные последствия и, наконец, расставляет выведенные риски в соответствии с приоритетами и ранжирует их по критериям оценки рисков.

Выходные данные: перечень оценённых рисков, расставленных в соответствии с приоритетами согласно критериям оценки риска.

2.1. Идентификация рисков

Целью идентификации рисков является определение того, что могло бы произойти, чтобы нанести потенциальный, и чтобы получить представление о том, как, где и почему мог иметь место этот вред.

Для идентификация рисков необходимо идентифицировать следующие объекты:
- активы;
- угрозы;
- средства защиты;
- уязвимости;
- последствия.

2.1.1. Идентификация активов

Входные данные: область применения и границы для оценки риска, перечень составных частей, включающий владельцев, местоположение, функцию и т.д.

Действие: должны быть идентифицированы активы, входящие в установленную область применения, и определены их владельцы.

Руководство по реализации: ответственность за каждый актив должен нести его владелец, который должен быть в организации определён или назначен. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.

Можно выделить два вида активов:

-  первичные активы: бизнес-процессы и информация;

- активы поддержки всех типов: аппаратные средства и ПО, сети и сайты, организационная структура и персонал.

Все определения ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учётности, подлинности или надёжности активов.

Они включают в себя:
- нарушение законодательства и/или предписаний;
- ухудшение функционирования бизнеса;
- потеря «неосязаемого капитала»/негативное влияние на репутацию;
- нарушения, связанные с личной информацией;
- создание угрозы личной безопасности;
- неблагоприятное влияние на обеспечение правопорядка;
- нарушение конфиденциальности;
- нарушение общественного порядка;
- финансовые потери;
- нарушение бизнес-деятельности;
- создание угрозы для безопасности окружающей среды.

Другим подходом к оценке последствий может быть:
- прерывание сервиса;
- потеря репутации и доверия клиента;
- нарушение внутреннего функционирования;
- нарушение функционирования третьей стороны;
- нарушение законов/предписаний;
- нарушение договора;
- опасность для персонала / безопасность пользователей;
- вторжение в частную жизнь пользователей;
- финансовые потери;
- финансовые потери, связанные с непредвиденными случаями или ремонтом;
- потеря товаров / денежных средств / активов;
- потеря клиентов, поставщиков;
- судебные дела и штрафы;
- потеря конкурентного преимущества;
- потеря технологического/технического лидерства;
- потеря эффективности/надёжности;
- потеря технической репутации;
- снижение способности к заключению соглашений;
- промышленный кризис (забастовки);
- правительственный кризис;
- материальный ущерб.

После установления критериев ценности активов организация должна согласовать шкалу, которая будет использоваться в масштабах организации. Первым шагом является принятие решения о числе используемых уровней. Обычно может использоваться любое число уровней от 3 (например, низкий, средний и высокий) до 10 в соответствии с подходом, используемым организацией для всего процесса оценки риска.

Организация может определить собственные границы для ценности активов, такие как «низкая», «средняя» или «высокая». Эти границы должны оцениваться в соответствии с выбранными критериями (например, для возможных финансовых потерь они должны быть даны в денежном выражении, но при рассмотрении угрозы личной безопасности, определить денежную ценность может быть затруднительно).

Выходные данные: перечень активов, подлежащий управлению рисками, и перечень бизнес-процессов, связанных с активами, и их ценность.

2.1.2. Идентификация угроз

Входные данные: информация об угрозах, полученная от владельцев активов, пользователей, в результате анализа инцидента, а также из других источников, включая реестры известных угроз.

Действие: угрозы и их источники должны быть идентифицированы.

Руководство по реализации: угроза обладает потенциалом причинения вреда активам. Должны быть идентифицированы и случайные, и умышленные источники угроз. Угроза может проистекать как из самой организации, так и вне её пределов. Угрозы должны идентифицироваться в общем и по виду (например, неавторизованные действия, физический ущерб, технические сбои).

Некоторые угрозы могут влиять более, чем на один актив. В таких случаях они могут являться причиной различных влияний, в зависимости от того, на какие активы оказывается воздействие Используя реестры угроз или результаты прежних оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются бизнес-среда или информационные системы.

Выходные данные: перечень угроз с идентификацией вида и источника.

Следующий перечень указывает типичные виды угроз, где П – преднамеренные, С - случайные, Э - экологические. «П» используется для всех намеренных акций, нацеленных на информационные активы, «С» используется для всех человеческих действий, которые могут случайно повредить информационные активы и «Э» используется для всех инцидентов, которые не основаны на человеческих действиях. 

Тип

Угрозы

Обозн.

Физическое повреждение

Возгорание
Затопление
Загрязнение
Запыление, коррозия и обледенение
Механическое воздействие

П, С, Э
П, С, Э
П, С, Э
П, С, Э
П, С, Э

Природные события

Мороз, ливень, град
Землетрясение
Извержение вулкана
Тайфун, ураган, молния
Наводнение

Э
Э
Э
Э
Э

Потеря сервисов

Отказ кондиционирования (системы охлаждения)
Отсутствие электропитания
Отказ телекоммуникаций

П, С
П, С, Э
П, С

Неисправности из-за облучений

Электромагнитное облучение
Тепловое облучение
Электромагнитный импульс

П, С, Э
П, С, Э
П, С, Э

Компрометация информации

Перехват и отправка компрометированного сигнала
Дистанционный шпионаж
Подслушивание
Кража носителей или документов
Кража оборудования
Восстановление информации на носителях
Обнаружение (раскрытие)
Данные из ненадёжных источников
Вмешательство в аппаратные средства
Вмешательство в программные средства
Обнаружение местоположения

С
С
С
С
С
С
П, С
П, С
С
С
С

Технические отказы

Отказ оборудования
Сбой оборудования
Перегрузка системы
Программный сбой
Нарушение ремонтопригодности системы

П
П
П, С
П
П, С

Несанкциониро-ванные действия

Несанкционированное использование оборудования
Мошенническое копирование ПО
Использование «пиратского» ПО
Искажение данных
Незаконная обработка данных

С
С
П, С
С
С

Нарушение функций системы

Ошибка в использовании
Злоупотребление правами
Фальсификация прав
Отрицание действий
Нарушение работоспособности персонала

П
П, С
С
С
П, С, Э

Особое внимание должно быть обращено на человеческие источники угроз. Они соответственно перечислены в следующей таблице:

Источник угрозы

Мотивация

Возможные последствия

Хакер (взломщик)

Восстание
Эго (самомнение)
Вызов (бунтарство)
Статус
Деньги

Взлом вэб-сайта
Несанкционированный доступ
Ввод фальсифицированных данных
Уничтожение (искажение) данных
Раскрытие персональных данных
Вредоносное ПО

Кибер-преступник

Компрометация, модификация или уничтожение информации
Денежно-кредитная выгода

Мошенничество и хищение
Информационный подкуп
Имитация
Ввод фальсифицированных данных
Уничтожение (искажение) данных
Вредоносное ПО

Террорист

Месть
Разведка
Разрушение
Шантаж
Политические выгоды
Освещение в печати

Информационная война
Системная атака (DDoS-атака)
Несанкционированный доступ
Нарушение работы системы
Вредоносное ПО

Конкуренты, иностранные правительства

Конкурентное преимущество
Экономический шпионаж

Несанкционированный доступ
Нарушение работы системы
Перехват информации
Воровство информации

Инсайдеры
(плохо
обученные, недовольные, злонамеренные, небрежные, нечестные или уволенные служащие)

Разведка
Эго
Любопытство
Денежная выгода
Месть
Неумышленные ошибки и упущения

Неправильная работа компьютера
Несанкционированный доступ
Мошенничество и хищение
Ввод фальсифицированных данных
Уничтожение (искажение) данных
Вредоносное ПО
Раскрытие персональных данных
Системные ошибки

2.1.3. Идентификация средств защиты

Входные данные: документация средств защиты, планы обработки рисков и инцидентов.

Действие: идентификацию средств защиты необходимо провести, чтобы проверить их эффективность и достаточность и избежать ненужных расходов, например, на их дублирование.

Если средства защиты не работают, как ожидалось, это может стать причиной уязвимости. Одним из способов количественно оценить действия средств защиты - посмотреть, как оно уменьшает вероятность угрозы и использования уязвимости или влияние инцидента.

Существующее или планируемое средство защиты может идентифицироваться как неэффективное или недостаточное, или необоснованное. Если его посчитали необоснованным или недостаточным, средство защиты необходимо проверить, чтобы определить стоит ли его удалить, заменить его другим, более подходящим, или стоит оставить его на месте, например, по стоимостным причинам.

Для идентификации существующих или планируемых средств защиты могут быть полезны следующие мероприятия:

- просмотр документов, содержащих информацию о средствах защиты (например, планы обработки рисков и инцидентов);

- проверка вместе с людьми, отвечающими за ИБ, и пользователями, какие средства защиты действительно реализованы для рассматриваемого информационного процесса или системы;

- обход здания с проведением осмотра физических средств защиты, проверка наличия существующих и реализованных средств защиты на предмет правильной и эффективной работы;

- рассмотрение результатов внутренних аудитов.

Выходные данные: перечень всех существующих и планируемых средств защиты, их нахождение и состояние использования.

2.1.4. Идентификация уязвимостей

Входные данные: перечни известных угроз, активов и существующих средств защиты.

Действие: необходимо идентифицировать уязвимости, которые могут быть использованы угрозами, чтобы нанести ущерб активам или организации.

Руководство по реализации. Уязвимости могут быть идентифицированы в следующих областях:
- организация работ;
- процессы и процедуры;
- установившиеся нормы управления;
- персонал;
- физическая среда;
- конфигурация ИС;
- аппаратные средства, ПО и оборудование связи;
- зависимость от внешних организаций.

Наличие уязвимости не причиняет вреда само по себе, так как необходимо наличие угрозы, которая воспользуется ею. Уязвимость, не имеющая соответствующей угрозы, может не требовать внедрения средства контроля, но должна осознаваться и подвергаться мониторингу на предмет изменений.

Уязвимости могут быть связаны со свойствами актива, которые могут использоваться способом и с целью, отличающимися от тех, которые планировались при приобретении или создании актива. Уязвимости, возникающие из различных источников, подлежат рассмотрению, например, те которые являются внешними или внутренними по отношению к активу.

В приведённой ниже таблице даны примеры уязвимостей в различных сферах безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти списки могут быть полезными во время оценки угроз и уязвимостей для определения сценария значимого инцидента.

Тип

Примеры уязвимости

Примеры угроз

Аппарат-ные средства

Недостаточное обслуживание / дефект инсталляции ПО с носителей данных

Нарушение ремонтопригодности системы

Недостатки в схемах периодических замен

Разрушение оборудования или носителей

Восприимчивость к влажности, пыли, загрязнению

Пыль, коррозия, загрязнение

Чувствительность к электромагнитным излучениям

Электромагнитное излучение

Недостатки эффективного контроля внесения изменений в конфигурации

Ошибка в использовании

Восприимчивость к изменениям напряжения

Потеря электропитания

Восприимчивость к температурным изменениям

Метеорологическое явление

Незащищённое хранение

Кража носителей или документов

Недостатки процесса уничтожения

Кража носителей или документов

Неконтролируемое копирование

Кража носителей или документов

Програм-мное обеспе-чение

Отсутствие или недостаточное программное тестирование

Злоупотребление правами

Общеизвестные недостатки в программном обеспечении

Злоупотребление правами

Нет «выхода из системы» при оставлении рабочей станции

Злоупотребление правами

Передача или многократное использование носителей данных без надлежащего стирания

Злоупотребление правами

Малое число аудитов

Злоупотребление правами

Неправильное распределение прав доступа

Злоупотребление правами

Свободно распространяемое ПО

Искажение данных

Применение прикладных программ с фальшивыми данными

Искажение данных

Сложный пользовательский интерфейс

Ошибка в использовании

Недостатки документирования

Ошибка в использовании

Установка неправильных параметров

Ошибка в использовании

Некорректные даты

Ошибка в использовании

Сеть

Недостатки механизмов для пользовательской аутентификации

Подделывание прав

Незащищённые таблицы паролей

Подделывание прав

Плохое управление паролями

Подделывание прав

Запуск ненужных служб

Незаконная обработка данных

Недоработанное ПО

Программный сбой

Неясные или неполные спецификации для разработчиков

Программный сбой

Недостатки контроля внесения изменений

Программный сбой

Неконтролируемая загрузка и использование ПО

Подделка программного обеспечения

Недостатки процедуры резервного копирования

Подделка программного обеспечения

Недостатки физической защиты здания, дверей и окон

Кража носителей или документов

Невнимательные проверки отчётов

Несанкционированное использование оборудования

Нехватка доказательств отправки или получения сообщения

Отрицание действий

Незащищённые линии связи

Подслушивание

Незащищённый чувствительный трафик

Подслушивание

Неправильная прокладка кабелей коммуникаций

Отказ телекоммуникационного оборудования

Единственная точка входа

Отказ телекоммуникационного оборудования

Недостатки идентификации и аутентификация отправителя и получателя

Подделывание прав

Опасная сетевая архитектура

Удалённый шпионаж

Передача паролей в открытом виде

Удалённый шпионаж

Неадекватное управление сетью (ошибки маршрутизации)

Перегрузка информационной системы

Незащищённые подключения к общедоступной сети

Несанкционированное использование оборудования

Персонал

Отсутствие персонала на рабочем месте

Нарушение доступности персонала

Недостатки контроля лиц, принимаемых на работу

Кража оборудования или документов, шпионаж

Недостаточное обучение

Ошибка в использовании

Изъяны понимания безопасности

Ошибка в использовании

Неправильное использование ПО и оборудования

Ошибка в использовании

Нехватка механизмов мониторинга

Незаконная обработка данных

Неконтролируемая работа внешним штатом или убирающим персоналом

Кража носителей или документов

Недостатки политики передачи данных и обмена информациею

Утечка информации

Физичес-
кая среда

Неадекватное или небрежное использование физического контроля доступа к зданию и помещениям

Уничтожение оборудования или носителей информации

Недостатки физической защиты здания, дверей и окон

Кража оборудования

Наводнение

Потеря электропитания

Расположение в экологически нестабильном районе

Нестабильность сети

Пожар, землетрясение

Уничтожение оборудования

Сайт орга-низации

Недостатки формальной процедуры пользовательской регистрации и отмены регистрации

Злоупотребление правом

Недостатки формального процесса пересмотра права доступа

Злоупотребление правом

Недостатки в контрактах с клиентами и/или третьими лицами

Злоупотребление правом

Недостатки процедуры контроля средств обработки информации

Злоупотребление правом

Недостатки в аудитах

Злоупотребление правом

Нехватка процедур выявления и оценки риска

Злоупотребление правом

Недостаточность информации в записях отчётов о неисправности

Злоупотребление правом

Неадекватный ответ обслуживающего сервиса

Нарушение ремонтопригодности системы

Недостатки в договорах на сервисное обслуживание

Нарушение ремонтопригодности системы

Недостатки процедуры контроля внесения изменений

Нарушение ремонтопригодности системы

Недостатки формальной процедуры для управления документацией

Искажение данных

Недостатки в процессах общего доступа к информации

Данные из ненадёжных источников

Недостатки надлежащего распределения обязанностей по ИБ

Отрицание действий

Недостатки планов непрерывности

Отказ оборудования

Недостатки политики использования почтовой связи

Ошибка в использовании

Нехватка процедур для введения ПО в эксплуатируемые системы

Ошибка в использовании

Нехватка отчётов в логах администратора и оператора

Ошибка в использовании

Нехватка процедур для обработки конфиденциальных данных

Ошибка в использовании

Недостаточные обязательства по ИБ в описаниях заданий

Ошибка в использовании

Недостаточные обязательства по ИБ в контрактах со служащими

Незаконная обработка данных

Недостатки дисциплинарного процесса в случае инцидента

Кража оборудования

Недостатки политики по использованию мобильной техники

Кража оборудования

Недостатки управления активами дистанционного резервирования

Кража оборудования

Недостатки политики «чистого рабочего стола и экрана»

Кража носителей или документов

Нехватка санкций на средства обработки информации

Кража носителей или документов

Недостатки контрольных механизмов в случае нарушений правил ИБ

Кража носителей или документов

Нехватка регулярных аудитов результата контроля

Несанкционированное использование оборудования

Недостатки процедур оповещения об уязвимости ИБ

Несанкционированное использование оборудования

Недостатки процедур использования интеллектуальной собственности

Использование подделки или скопированного ПО

Выходные данные:
- перечень уязвимостей, связанных с активами, угрозами и средствами защиты;
- перечень уязвимостей, не связанных с подлежащей рассмотрению угрозой.

2.1.5. Идентификация последствий

Входные данные: перечни активов, бизнес-процессов, угроз и уязвимостей, связанных с активами, и их ценность.

Действие: должны быть идентифицированы последствия для активов, которые могут быть результатом потери конфиденциальности, целостности или доступности. Последствием может быть потеря эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб, нанесённый репутации и т.д.

Эта деятельность идентифицирует ущерб для организации или последствия для организации, которые могут быть обусловлены сценарием инцидента, оказываемой угрозой, использующей определённую уязвимость в инциденте ИБ. Последствия могут быть временными или постоянными, как в случае разрушения активов.

Необходимо определять последствия сценариев инцидентов на основе таких факторов:
- времени на расследование и восстановление;
- потерь (рабочего) времени;
- упущенной возможности;
- нарушений охраны труда и безопасности;
- финансовых затрат на устранение последствий;
- ущерба для репутации и т.д.

Выходные данные: перечень сценариев инцидентов с их последствиями, связанными с активами и бизнес-процессами.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика