Целью всего является развитие. Бернард Вербер

В настоящее время международные стандарты серии 2700х пользуются повышенным вниманием со стороны специалистов в области ИБ. Часть из них гармонизирована и принята в качестве национальных стандартов РФ.

Прародителем данных документов является стандарт BS 7799, разработанный Британсиким институтом стандартов и принятый в 1995 году в качестве государственного страндарта Великобритании.

BS 7799 состоит из трех частей:
BS 7799 Part 1: 1995 Code of Practice for Information Security Management (пересматривался в 1999 и 2005 гг.);
BS 7799 Part 2:1998 Information Security Management - Specification for ISMS (пересматривался в 1999 и 2002 гг.);
BS 7799 Part 3:2006 Information Security Management Systems. Guidelines for Information Security Risk Management.

Данные документы легли в основу следующих международных стандартов:
ISO/IEC 27002:2008 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью;
ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования;
ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.

Преемственность стандартов показана на рисунке

Ценности абстрактны, цены конкретны. Габриэль Лауб

Риск - сочетание вероятности события и его последствий (ГОСТ Р 51897-2002).
Чтобы оценить риск необходимо определить значение величин его формирующих. Начну с оценки последствий. Выкладываю презентацию по данной тематике, подготовленную мной в 2009 году, но актуальную и в настоящее время.

Оценка ущерба

View more presentations from GulyakinaV. (tags: security information)

Все должно быть изложено так просто, как только возможно, но не проще. Альберт Эйнштейн

Документов в области управления рисками множество. Однако известны и применяются на практике лишь несколько.


Приведу перечень существующих стандартов и рекомендаций в области управления рисками информационной безопасности

Международный стандарт
ISO/IEC 27005:2008 «Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности»

Стандарты, принятые в качестве национальных в РФ
ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»;
ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Методы безопасности. Управление рисками информационной безопасности»;
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»,

Другие документы по управлению рисками
Британский стнадрат BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»;
Американский стандарт NIST SP 800-30:2002 «Risk Management Guide for Information Technology Systems»;
Немецкий стандарт BSI 100-3 «Risk Analysis based on IT-Grundschutz»;
Австралийский стандарт AS/NZS 4360-2004 «Australian/New Zealand Standard Risk management»;
Комитет спонсорских организаций Комиссии Тредвея (COSO) «Концептуальные основы управления рисками организаций»;
Руководство по оценке рисков ИБ, разработанное в Швейцарии, SOMAP «Open Information Security Risk Assessment Guide»;
Французские разработки EBIOS «Expression of Needs and Identification of Security Objectives» и MARION « Risk Analysis Guide»;
Испанский документ MAGERIT «Methodology for Information Systems Risk Analysis and Management»
Руководство по управлению рисками в области безопасности от компании Microsoft.

Данный перечень далеко не полный, разработок множество. По возможности, буду выкладывать на данном ресурсе обзоры и переводы данных документов.

Один Бог может составить совершенный словарь. Пьер Буаст

Не сделаю открытия, если скажу, что единая терминология в ИБ не выработана. Проблема существует, решения не находит. Тем временем разрабатываются новые документы, некачественно переведенные международные стандарты приобретают статус национальных, внося еще большую путаницу.

Познакомившись с международными и отечественными стандартами, методиками, статьями, освещающими вопросы управления рисками ИБ, лишний раз убедилась, что один и тот же термин интерпретируется специалистами по-разному, а большое число толкований и значений мешают формированию единого понимания. Результатами попыток разобраться в данном вопросе делюсь здесь.

Комитетом спонсорских организаций Комиссии Тредвея (COSO) выпущен документ «Концептуальные основы управления рисками организации», где термин «управление рисками» определяется, «как процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации ... направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации».
Данное определение в первую очередь ориентировано на высший менеджмент, так как раскрывает суть процесса управления рисками, фокусируется непосредственно на достижении бизнес-целей, не конкретизируя состав и содержание работ по управлению рисками.

Другое определение дано в ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»:
«управление рисками - Скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске».
В соответствии с данным определением одним из основных этапов процесса управления рисками является оценка рисков.
В соответствии с ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»:
«оценка риска - Процесс, в который входят: идентификация риска, анализ риска, оценивание риска».
С соответствующей трактовкой каждого из этапов работ по оценке:
«идентификация риска - Процесс нахождения, составления перечня и описание элементов риска»;
«анализ риска - Систематический процесс оценки величины рисков»;
«оценивание риска - Процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска».

В ГОСТ Р 51897-2002 и BS 7799-3 дано другое определение:
«оценка риска – Общий процесс анализа и оценивания риска».
В данном случае этап идентификации риска не выделяется отдельно, а включается в этап анализа, в связи с чем термину «анализ риска» дается более широкое определение – «систематическое использование информации для идентификации источников и оценки величины риска (анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков)».

Схематично процесс оценки рисков можно представить следующим образом:



Следующий этап управления рисками – обработка риска.
В соответствии с ГОСТ Р 51897-2002 и BS 7799-3:
«обработка риска - Процесс выбора и осуществления мер по модификации риска.
Примечания
1. Термин "обработка риска" иногда используют для обозначения самих мер
2. Меры по обработке риска могут включать в себя избежание, оптимизацию, передачу или сохранение риска».

Мерам обработки риска дано следующее толкование:
«избежание риска - Принятие решения о том, чтобы не вовлекаться в ситуацию, связанную с риском, или о принятии мер по выходу из такой ситуации»;
«уменьшение риска - Действия, предпринимаемые с целью снижения вероятности или негативных последствий, связанных с риском, или того и другого»;
«передача риска - Разделение с другой стороной тяжести потери или извлекаемых выгод, связанных с риском»;
«сохранение риска – Принятие бремени потерь или выгод от конкретного риска».

Заключительный этап управления рисками – сообщение о риске, которое в соответствии с BS 7799-3 предполагает «обмен или совместное использование информации о риске между лицом, принимающим решение и другими владельцами бизнеса».

Выработка единой терминологии позволит сформировать четкое понимание состава и содержания работ по управлению рисками, определить зоны ответственности, оптимизировать работу и сэкономить ресурсы.

Почти во всех делах самое трудное — начало. Жан Жак Руссо

Сложно представить современное общество без достижений ИТ-индустрии. С одной стороны, развитие информационных технологий позволяет значительно снизить трудоемкость и время выполнения операций, ускорить обмен информацией, поднять на новый уровень все сферы жизни общества. С другой стороны, подобная зависимость связана с большим риском.

Отказаться от использования ИТ в современных условиях невозможно, да и нецелесообразно, положиться на русское «авось», было бы неправильно. В данной ситуации важно четко представлять, чем грозит нарушение реализации тех или иных процессов, как избежать последствий или минимизировать их, то есть управлять рисками.
Именно этой тематике и будет посвящен данный ресурс.

Изо дня в день каждый из нас, переходя дорогу, выбирая, полететь самолетом, поехать поездом или вообще остаться дома, предоставляя персональные данные в банк для получения кредита, выкладывая свои фотографии на сайты типа odnoklassniki.ru, так или иначе управляет рисками.

В повседневной жизни мы не делаем сложных расчетов, в этом просто нет необходимости. Другое дело бизнес. В современных компаниях наиболее ценный актив - информация. В связи с этим актуальными становятся следующие вопросы: какая информация является важной для компании, как ее защитить и сколько на это потратить. Взвешенное решение может быть принято с помощью оценки рисков информационной безопасности.

Существующие стандарты в данной области предлагают алгоритмы оценки в качественных показателях, что позволяет определить наиболее критичные направления, в обязательном порядке требующие внимания и вложения денег. В связи с тем, что большинство российских компаний не может похвастаться высоким уровнем зрелости в вопросах ИБ, достаточным количеством средств, выделяемых на ИБ, и пониманием комплексности проблемы, то качественных оценок на данном этапе вполне достаточно.

Для компаний с более высоким уровнем зрелости, для обоснования необходимости проведения работ и приобретения средств защиты оценок в качественных показателях может быть недостаточно. Тогда лучшей аргументации, чем цифры найти сложно.

Однако следует помнить, что у любой медали две стороны. И прежде чем принять решение, в качественных или количественных показателях оценивать риски, следует четко определить цель проведения оценки, желаемый уровень детализации результатов, а так же принять во внимание наличие ресурсов и уровень зрелости компании.

В дальнейшем на данном ресурсе планирую проанализировать состав и содержание работ по управлению рисками ИБ, более детально рассмотреть подходы к оценке показателей риска, привести обзор существующих стандартов и рекомендаций в данной области.