Управление рисками для информационной безопасности | Комплект-2

Опубликовано: 12 Июля, 2021

Предпосылка - Управление рисками | Комплект-1
2. Оценка риска -
Управление рисками - это повторяющаяся деятельность, с другой стороны, оценка рисков выполняется в отдельных точках и до проведения следующей оценки. Оценка рисков - это процесс оценки известных и предполагаемых угроз и уязвимостей для определения ожидаемых потерь. Это также включает определение степени приемлемости для работы системы.

Оценка рисков получает входные и выходные данные на этапе установления контекста, а выходом является список оцененных рисков, в котором рискам присваиваются приоритеты в соответствии с критериями оценки рисков.

  1. Идентификация рисков -
    На этом этапе мы определяем следующее:
    • ресурсы
    • угрозы
    • существующие и планируемые меры безопасности
    • уязвимости
    • последствие
    • связанные бизнес-процессы

    Таким образом, вывод включает следующее:

    • список активов и связанных бизнес-процессов с соответствующим списком угроз, существующих и планируемых мер безопасности
    • список уязвимостей, не связанных с выявленными угрозами
    • список сценариев происшествий с их последствиями

  2. Оценка риска -
    Есть 2 метода оценки риска:

    1. Количественная оценка рисков - эта методология в основном не используется организациями, за исключением финансовых учреждений и страховых компаний. Количественный риск математически выражается как ожидаемая годовая сумма убытков (ALE). ALE - это ожидаемые денежные убытки, которые можно ожидать для актива из-за реализации риска в течение одного года.

     ALE = SLE * ARO

    Ожидаемая единовременная потеря (SLE) - это стоимость единовременной потери актива. Это может быть или не быть всем активом. Это последствия потери. Годовая частота возникновения (ARO) - это частота возникновения убытков. Это вероятность.

    Теоретически количественная оценка риска кажется простой задачей, но есть проблемы с присвоением значений параметрам. Стоимость системы легко определить, но непрямые затраты, такие как ценность информации, потерянная производственная деятельность и затраты на возмещение, трудно определить точно. Вероятность другого элемента точно не известна.

    Следовательно, количественная оценка риска допускает большую погрешность. Из-за отсутствия точной и полной информации выполнение количественной оценки рисков для ИТ-системы нерентабельно.

    2. Качественная оценка рисков - Качественная оценка рисков определяет вероятность, значения воздействия и риск в субъективных терминах, имея в виду, что значения вероятности и воздействия весьма неопределенны. Качественная оценка риска обычно дает результаты оценки риска «высокий», «средний» и «низкий». Ниже приведены этапы качественной оценки рисков:

    1. Выявление угроз: необходимо указать угрозы и источники угроз. Угрозы должны включать источник угрозы для обеспечения точной оценки. Важно составить список всех возможных угроз, существующих в организации, и использовать этот список в качестве основы для всех действий по управлению рисками. Вот некоторые из примеров угрозы и источника угрозы:
      • Природные угрозы - наводнения, землетрясения и т. Д.
      • Угрозы для человека - вирусы, черви и т. Д.
      • Угрозы окружающей среде - отключение электроэнергии, загрязнение и т. Д.

    2. Выявление уязвимостей: уязвимости выявляются множеством способов. Некоторые из инструментов:
      1. Сканеры уязвимостей - это программное обеспечение, которое сравнивает операционную систему или код на наличие недостатков с базой данных сигнатур недостатков.
      2. Тестирование на проникновение - аналитик по человеческой безопасности будет проверять угрозы системе, включая уязвимости, такие как социальная инженерия.
      3. Аудит операционных и управленческих средств контроля - операционные и управленческие средства контроля анализируются путем сравнения текущей документации с лучшими практиками, например ISO 17799, и сравнения фактических практик с текущими документированными процессами.

    3. Связь угроз с уязвимостями: это наиболее сложное и обязательное действие в оценке рисков. Список пар ТВ создается путем просмотра списка уязвимостей и сопряжения уязвимости с каждой применимой угрозой, а затем путем просмотра списка угроз и обеспечения того, чтобы были идентифицированы все уязвимости, против которых может действовать данное действие / угроза.

    4. Определение вероятности: вероятность - это вероятность того, что угроза, вызванная источником угрозы, возникнет в отношении уязвимости. Примеры определений правдоподобия могут быть такими:

      Низкий -0-30% шанс успешного устранения угрозы в течение одного года
      Умеренная - 31-70% шанс успешного устранения угрозы в течение одного года
      Высокая - 71-100% шанс успешного устранения угрозы в течение одного года

      Это всего лишь пример определения. Организация может использовать собственное определение, например, очень низкий, низкий, средний, высокий, очень высокий.

    5. Определение воздействия: влияние лучше всего определять в терминах воздействия на конфиденциальность, целостность и доступность. Ниже приведены примеры определений воздействия:
      Конфиденциальность Честность Доступность
      Низкий Потеря конфиденциальности приводит к ограниченному влиянию на организацию Нарушение целостности ведет к ограниченному влиянию на организацию Потеря доступности приводит к ограниченному влиянию на организацию
      Середина Потеря конфиденциальности приводит к серьезным последствиям для организации Нарушение целостности приводит к серьезным последствиям для организации Потеря доступности приводит к серьезным последствиям для организации
      Высокая Потеря конфиденциальности приводит к серьезным последствиям для организации Нарушение целостности приводит к серьезным последствиям для организации Потеря доступности приводит к серьезным последствиям для организации

      Примеры организационного эффекта:

      Тип эффекта Влияние на возможности миссии Финансовые потери Влияние на жизнь человека
      Ограниченный эффект Временная потеря одного или нескольких незначительных возможностей миссии Менее 50 000 рупий Незначительный вред
      Серьезный эффект Долгосрочная потеря одной или нескольких незначительных возможностей или Временная потеря одной или нескольких основных функциональных возможностей. 50 000–100 000 рупий Значительный вред
      Тяжелый эффект Долгосрочная потеря одного или нескольких основных возможностей миссии свыше 1, 00, 000 рупий Потеря жизни
    6. Оценка риска: оценка риска - это процесс определения вероятности угрозы, направленной против уязвимости, и результирующего воздействия успешного взлома. Примерная матрица определения рисков выглядит следующим образом:
      Влияние
      Высокая Умеренный Низкий
      Вероятность Высокая Высокая Высокая Умеренный
      Умеренный Высокая Умеренный Низкий
      Низкий Умеренный Низкий Низкий

3. Оценка риска - процесс оценки риска получает в качестве входных данных выход процесса анализа риска. Сначала он сравнивает каждый уровень риска с критериями приемлемости риска, а затем определяет приоритетность списка рисков с указаниями по обработке риска.

3. Снижение риска / управление -
Снижение рисков включает в себя определение приоритетов, оценку и внедрение соответствующих средств управления снижением рисков, рекомендованных в процессе оценки рисков. Поскольку устранение всех рисков в организации практически невозможно, высшее руководство, функциональные и бизнес-менеджеры обязаны использовать подход с наименьшими затратами и внедрять наиболее подходящие средства контроля для снижения риска до приемлемого уровня.

В соответствии со структурой NIST SP 800 30 снижение рисков состоит из 6 шагов.

  1. Допущение риска: это означает принятие риска и продолжение работы системы, но в то же время попытаться реализовать меры контроля, чтобы
  2. Предотвращение риска: это означает устранение причины или следствия риска во избежание риска, например, отключение системы в случае выявления риска.
  3. Ограничение риска: для ограничения риска путем внедрения средств контроля, которые минимизируют неблагоприятное воздействие угрозы, проявляющей уязвимость (например, использование поддерживающих, превентивных, детективных средств контроля).
  4. Планирование рисков: для управления рисками путем разработки плана снижения рисков, который устанавливает приоритеты, внедряет и поддерживает средства контроля.
  5. Исследование и признание: на этом этапе необходимо признать уязвимость или недостаток и изучить средства управления для исправления уязвимости.
  6. Перенос риска: это означает передачу риска для компенсации убытков, например, приобретение страховых гарантий не на 100% во всех случаях, а в случае некоторого возмещения убытков.

4. Уведомление о рисках -
Основная цель этого шага - сообщить, дать понимание всех аспектов риска всем заинтересованным сторонам организации. Установление общего понимания важно, поскольку оно влияет на принимаемые решения.

5. Мониторинг и обзор рисков -
Меры безопасности регулярно пересматриваются, чтобы убедиться, что они работают по плану и не делают их неэффективными из-за изменений в среде. С серьезными изменениями в рабочей среде также должны быть обновлены меры безопасности. Бизнес-требования, уязвимости и угрозы могут меняться с течением времени. Регулярные аудиты должны планироваться и проводиться независимой стороной.

6. Оценка и оценка ИТ -
Меры безопасности должны быть проверены. Технические средства контроля - это системы, которые необходимо протестировать и проверить. Оценка уязвимости и тест на проникновение используются для проверки состояния мер безопасности. Мониторинг системных событий в соответствии со стратегией мониторинга безопасности, планом реагирования на инциденты и проверкой безопасности и метриками - это фундаментальные действия, обеспечивающие достижение оптимального уровня безопасности. Важно постоянно проверять наличие новых уязвимостей и применять процедурные и технические средства контроля, например, регулярно обновлять программное обеспечение.