12. Управление рисками ИБ (ISO/IEC 27005-2011). Часть 1

В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799-3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR - technical report - технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.

В связи с тем, что в Украине стандарт ISO/IEC 27005 до сих пор не принят, а стандарт ISO/IEC TR 13335 был принят как национальный в 2003 году, поэтому он является на данный момент действующим в Украине в сфере управления рисками.

В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:
- ISO 31000:2009 - Управление рисками - Принципы и руководства;
- ISO/IEC 31010:2009 - Управление рисками - Методики оценки рисков;
- ISO Guide 73:2009 - Управление рисками - Словарь.

Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ. Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.

Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений. Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.

Управление рисками ИБ должно способствовать следующему:
- идентификации рисков;
- оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
- изучению вероятности и потенциальных последствий данных рисков;
- установлению порядка приоритетов в рамках обработки рисков;
- установлению приоритетов мероприятий по снижению имеющих место рисков;
- привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;
- эффективности проводимого мониторинга обработки рисков;
- проведению регулярного мониторинга и пересмотра процесса управления рисками;
- сбору информации для усовершенствования подхода к управлению рисками;
- подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.

Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.

Все действия по управлению рисками ИБ описываются в следующих разделах:
1) установление контекста (сферы применения) - в разделе 7;
2) оценка риска - в разделе 8;
3) обработка риска - в разделе 9;
4) принятие риска - в разделе 10;
5) обмен информацией о рисках - в разделе 11;
6) мониторинг и улучшение - в разделе 12.

Схема управления рисками ИБ

Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.

Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.

Действие: описывается деятельность.

Руководство по реализации: предоставляется руководство по выполнению действия.

Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.

Как показано на рисунке, процесс управления рисками ИБ может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход даёт хороший баланс между уменьшением времени и усилия, затрачиваемого на определение средств контроля, в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются соответствующим образом.

Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, критерии оценки рисков, критерии принятия рисков или критерии влияния), возможно на ограниченных частях полной области применения (точка принятия решения о приемлемости риска № 1).

Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска № 2).

Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством организации. Это особенно важно в ситуации, когда внедрение средств контроля не осуществляется или откладывается, например, из-за стоимости.

Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.

На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.

Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:

Этапы СУИБ

Действия по управлению рисками ИБ

Планирование (Plan)

Установление контекста
Оценка риска
Разработка плана обработки риска
Принятие риска

Реализация (Do)

Реализация плана обработки риска

Проверка (Check)

Мониторинг и пересмотр обработки риска

Улучшение (Act)

Корректирующие действия по улучшению

Чтобы прочитать лекцию полностью, напишите автору

Управление рисками ИБ (ISO/IEC 27005-2011). Часть 2 (окончание)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика