В настоящее время международные стандарты серии 2700х пользуются повышенным вниманием со стороны специалистов в области ИБ. Часть из них гармонизирована и принята в качестве национальных стандартов РФ.
Прародителем данных документов является стандарт BS 7799, разработанный Британсиким институтом стандартов и принятый в 1995 году в качестве государственного страндарта Великобритании.
BS 7799 состоит из трех частей:
BS 7799 Part 1: 1995 Code of Practice for Information Security Management (пересматривался в 1999 и 2005 гг.);
BS 7799 Part 2:1998 Information Security Management - Specification for ISMS (пересматривался в 1999 и 2002 гг.);
BS 7799 Part 3:2006 Information Security Management Systems. Guidelines for Information Security Risk Management.
Данные документы легли в основу следующих международных стандартов:
ISO/IEC 27002:2008 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью;
ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования;
ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.
Преемственность стандартов показана на рисунке
четверг, 27 мая 2010 г.
вторник, 25 мая 2010 г.
Ценности абстрактны, цены конкретны. Габриэль Лауб
Риск - сочетание вероятности события и его последствий (ГОСТ Р 51897-2002).
Чтобы оценить риск необходимо определить значение величин его формирующих. Начну с оценки последствий. Выкладываю презентацию по данной тематике, подготовленную мной в 2009 году, но актуальную и в настоящее время.
Чтобы оценить риск необходимо определить значение величин его формирующих. Начну с оценки последствий. Выкладываю презентацию по данной тематике, подготовленную мной в 2009 году, но актуальную и в настоящее время.
пятница, 14 мая 2010 г.
Все должно быть изложено так просто, как только возможно, но не проще. Альберт Эйнштейн
Документов в области управления рисками множество. Однако известны и применяются на практике лишь несколько.
Приведу перечень существующих стандартов и рекомендаций в области управления рисками информационной безопасности
Международный стандарт
ISO/IEC 27005:2008 «Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности»
Стандарты, принятые в качестве национальных в РФ
ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»;
ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Методы безопасности. Управление рисками информационной безопасности»;
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»,
Другие документы по управлению рисками
Британский стнадрат BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»;
Американский стандарт NIST SP 800-30:2002 «Risk Management Guide for Information Technology Systems»;
Немецкий стандарт BSI 100-3 «Risk Analysis based on IT-Grundschutz»;
Австралийский стандарт AS/NZS 4360-2004 «Australian/New Zealand Standard Risk management»;
Комитет спонсорских организаций Комиссии Тредвея (COSO) «Концептуальные основы управления рисками организаций»;
Руководство по оценке рисков ИБ, разработанное в Швейцарии, SOMAP «Open Information Security Risk Assessment Guide»;
Французские разработки EBIOS «Expression of Needs and Identification of Security Objectives» и MARION « Risk Analysis Guide»;
Испанский документ MAGERIT «Methodology for Information Systems Risk Analysis and Management»
Руководство по управлению рисками в области безопасности от компании Microsoft.
Данный перечень далеко не полный, разработок множество. По возможности, буду выкладывать на данном ресурсе обзоры и переводы данных документов.
Приведу перечень существующих стандартов и рекомендаций в области управления рисками информационной безопасности
Международный стандарт
ISO/IEC 27005:2008 «Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности»
Стандарты, принятые в качестве национальных в РФ
ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»;
ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Методы безопасности. Управление рисками информационной безопасности»;
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»;
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»,
Другие документы по управлению рисками
Британский стнадрат BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»;
Американский стандарт NIST SP 800-30:2002 «Risk Management Guide for Information Technology Systems»;
Немецкий стандарт BSI 100-3 «Risk Analysis based on IT-Grundschutz»;
Австралийский стандарт AS/NZS 4360-2004 «Australian/New Zealand Standard Risk management»;
Комитет спонсорских организаций Комиссии Тредвея (COSO) «Концептуальные основы управления рисками организаций»;
Руководство по оценке рисков ИБ, разработанное в Швейцарии, SOMAP «Open Information Security Risk Assessment Guide»;
Французские разработки EBIOS «Expression of Needs and Identification of Security Objectives» и MARION « Risk Analysis Guide»;
Испанский документ MAGERIT «Methodology for Information Systems Risk Analysis and Management»
Руководство по управлению рисками в области безопасности от компании Microsoft.
Данный перечень далеко не полный, разработок множество. По возможности, буду выкладывать на данном ресурсе обзоры и переводы данных документов.
Один Бог может составить совершенный словарь. Пьер Буаст
Не сделаю открытия, если скажу, что единая терминология в ИБ не выработана. Проблема существует, решения не находит. Тем временем разрабатываются новые документы, некачественно переведенные международные стандарты приобретают статус национальных, внося еще большую путаницу.
Познакомившись с международными и отечественными стандартами, методиками, статьями, освещающими вопросы управления рисками ИБ, лишний раз убедилась, что один и тот же термин интерпретируется специалистами по-разному, а большое число толкований и значений мешают формированию единого понимания. Результатами попыток разобраться в данном вопросе делюсь здесь.
Комитетом спонсорских организаций Комиссии Тредвея (COSO) выпущен документ «Концептуальные основы управления рисками организации», где термин «управление рисками» определяется, «как процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации ... направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации».
Данное определение в первую очередь ориентировано на высший менеджмент, так как раскрывает суть процесса управления рисками, фокусируется непосредственно на достижении бизнес-целей, не конкретизируя состав и содержание работ по управлению рисками.
Другое определение дано в ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»:
«управление рисками - Скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске».
В соответствии с данным определением одним из основных этапов процесса управления рисками является оценка рисков.
В соответствии с ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»:
«оценка риска - Процесс, в который входят: идентификация риска, анализ риска, оценивание риска».
С соответствующей трактовкой каждого из этапов работ по оценке:
«идентификация риска - Процесс нахождения, составления перечня и описание элементов риска»;
«анализ риска - Систематический процесс оценки величины рисков»;
«оценивание риска - Процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска».
В ГОСТ Р 51897-2002 и BS 7799-3 дано другое определение:
«оценка риска – Общий процесс анализа и оценивания риска».
В данном случае этап идентификации риска не выделяется отдельно, а включается в этап анализа, в связи с чем термину «анализ риска» дается более широкое определение – «систематическое использование информации для идентификации источников и оценки величины риска (анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков)».
Схематично процесс оценки рисков можно представить следующим образом:
Следующий этап управления рисками – обработка риска.
В соответствии с ГОСТ Р 51897-2002 и BS 7799-3:
«обработка риска - Процесс выбора и осуществления мер по модификации риска.
Примечания
1. Термин "обработка риска" иногда используют для обозначения самих мер
2. Меры по обработке риска могут включать в себя избежание, оптимизацию, передачу или сохранение риска».
Мерам обработки риска дано следующее толкование:
«избежание риска - Принятие решения о том, чтобы не вовлекаться в ситуацию, связанную с риском, или о принятии мер по выходу из такой ситуации»;
«уменьшение риска - Действия, предпринимаемые с целью снижения вероятности или негативных последствий, связанных с риском, или того и другого»;
«передача риска - Разделение с другой стороной тяжести потери или извлекаемых выгод, связанных с риском»;
«сохранение риска – Принятие бремени потерь или выгод от конкретного риска».
Заключительный этап управления рисками – сообщение о риске, которое в соответствии с BS 7799-3 предполагает «обмен или совместное использование информации о риске между лицом, принимающим решение и другими владельцами бизнеса».
Выработка единой терминологии позволит сформировать четкое понимание состава и содержания работ по управлению рисками, определить зоны ответственности, оптимизировать работу и сэкономить ресурсы.
Познакомившись с международными и отечественными стандартами, методиками, статьями, освещающими вопросы управления рисками ИБ, лишний раз убедилась, что один и тот же термин интерпретируется специалистами по-разному, а большое число толкований и значений мешают формированию единого понимания. Результатами попыток разобраться в данном вопросе делюсь здесь.
Комитетом спонсорских организаций Комиссии Тредвея (COSO) выпущен документ «Концептуальные основы управления рисками организации», где термин «управление рисками» определяется, «как процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации ... направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации».
Данное определение в первую очередь ориентировано на высший менеджмент, так как раскрывает суть процесса управления рисками, фокусируется непосредственно на достижении бизнес-целей, не конкретизируя состав и содержание работ по управлению рисками.
Другое определение дано в ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и BS 7799-3:2006 «Information Security Management Systems. Guidelines for Information Security Risk Management»:
«управление рисками - Скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске».
В соответствии с данным определением одним из основных этапов процесса управления рисками является оценка рисков.
В соответствии с ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»:
«оценка риска - Процесс, в который входят: идентификация риска, анализ риска, оценивание риска».
С соответствующей трактовкой каждого из этапов работ по оценке:
«идентификация риска - Процесс нахождения, составления перечня и описание элементов риска»;
«анализ риска - Систематический процесс оценки величины рисков»;
«оценивание риска - Процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска».
В ГОСТ Р 51897-2002 и BS 7799-3 дано другое определение:
«оценка риска – Общий процесс анализа и оценивания риска».
В данном случае этап идентификации риска не выделяется отдельно, а включается в этап анализа, в связи с чем термину «анализ риска» дается более широкое определение – «систематическое использование информации для идентификации источников и оценки величины риска (анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков)».
Схематично процесс оценки рисков можно представить следующим образом:
Следующий этап управления рисками – обработка риска.
В соответствии с ГОСТ Р 51897-2002 и BS 7799-3:
«обработка риска - Процесс выбора и осуществления мер по модификации риска.
Примечания
1. Термин "обработка риска" иногда используют для обозначения самих мер
2. Меры по обработке риска могут включать в себя избежание, оптимизацию, передачу или сохранение риска».
Мерам обработки риска дано следующее толкование:
«избежание риска - Принятие решения о том, чтобы не вовлекаться в ситуацию, связанную с риском, или о принятии мер по выходу из такой ситуации»;
«уменьшение риска - Действия, предпринимаемые с целью снижения вероятности или негативных последствий, связанных с риском, или того и другого»;
«передача риска - Разделение с другой стороной тяжести потери или извлекаемых выгод, связанных с риском»;
«сохранение риска – Принятие бремени потерь или выгод от конкретного риска».
Заключительный этап управления рисками – сообщение о риске, которое в соответствии с BS 7799-3 предполагает «обмен или совместное использование информации о риске между лицом, принимающим решение и другими владельцами бизнеса».
Выработка единой терминологии позволит сформировать четкое понимание состава и содержания работ по управлению рисками, определить зоны ответственности, оптимизировать работу и сэкономить ресурсы.
среда, 12 мая 2010 г.
Почти во всех делах самое трудное — начало. Жан Жак Руссо
Сложно представить современное общество без достижений ИТ-индустрии. С одной стороны, развитие информационных технологий позволяет значительно снизить трудоемкость и время выполнения операций, ускорить обмен информацией, поднять на новый уровень все сферы жизни общества. С другой стороны, подобная зависимость связана с большим риском.
Отказаться от использования ИТ в современных условиях невозможно, да и нецелесообразно, положиться на русское «авось», было бы неправильно. В данной ситуации важно четко представлять, чем грозит нарушение реализации тех или иных процессов, как избежать последствий или минимизировать их, то есть управлять рисками.
Именно этой тематике и будет посвящен данный ресурс.
Изо дня в день каждый из нас, переходя дорогу, выбирая, полететь самолетом, поехать поездом или вообще остаться дома, предоставляя персональные данные в банк для получения кредита, выкладывая свои фотографии на сайты типа odnoklassniki.ru, так или иначе управляет рисками.
В повседневной жизни мы не делаем сложных расчетов, в этом просто нет необходимости. Другое дело бизнес. В современных компаниях наиболее ценный актив - информация. В связи с этим актуальными становятся следующие вопросы: какая информация является важной для компании, как ее защитить и сколько на это потратить. Взвешенное решение может быть принято с помощью оценки рисков информационной безопасности.
Существующие стандарты в данной области предлагают алгоритмы оценки в качественных показателях, что позволяет определить наиболее критичные направления, в обязательном порядке требующие внимания и вложения денег. В связи с тем, что большинство российских компаний не может похвастаться высоким уровнем зрелости в вопросах ИБ, достаточным количеством средств, выделяемых на ИБ, и пониманием комплексности проблемы, то качественных оценок на данном этапе вполне достаточно.
Для компаний с более высоким уровнем зрелости, для обоснования необходимости проведения работ и приобретения средств защиты оценок в качественных показателях может быть недостаточно. Тогда лучшей аргументации, чем цифры найти сложно.
Однако следует помнить, что у любой медали две стороны. И прежде чем принять решение, в качественных или количественных показателях оценивать риски, следует четко определить цель проведения оценки, желаемый уровень детализации результатов, а так же принять во внимание наличие ресурсов и уровень зрелости компании.
В дальнейшем на данном ресурсе планирую проанализировать состав и содержание работ по управлению рисками ИБ, более детально рассмотреть подходы к оценке показателей риска, привести обзор существующих стандартов и рекомендаций в данной области.
Отказаться от использования ИТ в современных условиях невозможно, да и нецелесообразно, положиться на русское «авось», было бы неправильно. В данной ситуации важно четко представлять, чем грозит нарушение реализации тех или иных процессов, как избежать последствий или минимизировать их, то есть управлять рисками.
Именно этой тематике и будет посвящен данный ресурс.
Изо дня в день каждый из нас, переходя дорогу, выбирая, полететь самолетом, поехать поездом или вообще остаться дома, предоставляя персональные данные в банк для получения кредита, выкладывая свои фотографии на сайты типа odnoklassniki.ru, так или иначе управляет рисками.
В повседневной жизни мы не делаем сложных расчетов, в этом просто нет необходимости. Другое дело бизнес. В современных компаниях наиболее ценный актив - информация. В связи с этим актуальными становятся следующие вопросы: какая информация является важной для компании, как ее защитить и сколько на это потратить. Взвешенное решение может быть принято с помощью оценки рисков информационной безопасности.
Существующие стандарты в данной области предлагают алгоритмы оценки в качественных показателях, что позволяет определить наиболее критичные направления, в обязательном порядке требующие внимания и вложения денег. В связи с тем, что большинство российских компаний не может похвастаться высоким уровнем зрелости в вопросах ИБ, достаточным количеством средств, выделяемых на ИБ, и пониманием комплексности проблемы, то качественных оценок на данном этапе вполне достаточно.
Для компаний с более высоким уровнем зрелости, для обоснования необходимости проведения работ и приобретения средств защиты оценок в качественных показателях может быть недостаточно. Тогда лучшей аргументации, чем цифры найти сложно.
Однако следует помнить, что у любой медали две стороны. И прежде чем принять решение, в качественных или количественных показателях оценивать риски, следует четко определить цель проведения оценки, желаемый уровень детализации результатов, а так же принять во внимание наличие ресурсов и уровень зрелости компании.
В дальнейшем на данном ресурсе планирую проанализировать состав и содержание работ по управлению рисками ИБ, более детально рассмотреть подходы к оценке показателей риска, привести обзор существующих стандартов и рекомендаций в данной области.
Подписаться на:
Сообщения (Atom)