Компания по разработке по для сторонних организаций концепция информационной безопасности

Этапы разработки концепции информационной безопасности

Разработка концепции информационной безопасности телекоммуникационной компании в полном объеме является процедурой, требующей значительных трудозатрат, а также значительного финансирования.

Приведенные ниже рекомендации по разработке концепции позволяют оптимизировать затраты на ее создание. Данные рекомендации предусматривают поэтапную разработку концепции с поэтапным финансированием работ.

Этап 1. Принятие решения, формирование рабочей группы. На данном этапе руководство компании должно принять решение о необходимости разработки концепции информационной безопасности, а также о целях, преследуемых данной разработкой.

Цели разработки могут быть следующие:

1. получение целостной системы взглядов на состояние ИБ в компании;
2. сокращение потерь вследствие ненадлежащего состояния системы  ИБ;
3. создание новой (реконструкция существующей) системы ИБ;
4. документирование уже существующей системы ИБ;
5. получение конкурентного преимущества перед компаниями, не имеющими концепции.

После определения целей разработки на данном этапе формируется рабочая группа. В состав рабочей группы необходимо включить представителей следующих подразделений:

1. служба безопасности компании;
2. подразделение, ответственное за защиту информации;
3. IТ-департамент;
4. служба эксплуатации сети связи;
5. служба развития;
6. отдел экономической безопасности;
7. техническая служба;
8. финансовая служба.

Этап 2. Составление плана разработки концепции. Определение объемов финансирования по сбору исходных данных. На данном этапе формируется календарный план мероприятий по разработке концепции, а также определяются сами мероприятия по разработке и стоимость их проведения.

Перечень мероприятий по разработке включает:

1. сбор исходных данных (возможно вплоть до полного аудита системы  ИБ);
2. обработку исходных данных;
3. выбор варианта концепции ИБ
4. формирование подгруппы по разработке КИБ;
5. формирование подгруппы по разработке ПИБ;
6. формирование группы по проектированию системы ИБ.

Наиболее затратным на данном этапе является сбор исходных данных, поэтому прежде чем перейти непосредственно к работам по сбору ИД, необходимо полностью задействовать возможности подразделений Компании по самостоятельному предоставлению исходных данных, необходимых для концепции. После определения объема финансирования работ по сбору исходных данных необходимо приступать к третьему этапу.

Этап 3. Сбор исходных данных. На данном этапе силами рабочей группы или на основе привлечения субподрядных организаций осуществляется сбор исходных данных для разработки концепции. Как отмечено выше, в случае явного морального устаревания системы защиты информации, ее недостаточности или недокументированности на данном этапе необходимо провести полный аудит информационной безопасности компании. Аудит явится источником исходных данных для разработки концепции. Аудит придется проводить также и после реализации мероприятий по концепции, поэтому в целях снижения затрат предварительный аудит желательно производить по упрощенным методикам.

Этап 4. Разработка КИБ. Определение затрат на разработку ПИБ. На основании собранных исходных данных осуществляется разработка КИБ (нормативная часть). В данном документе уже будут отражены основные требования к системе ИБ и требования к ее нормативному обеспечению. Стоимость разработки ПИБ определяется следующими факторами:

1. полнотой собранных исходных данных;
2. уровнем безопасности, который должен быть обеспечен в соответствии с нормативной частью концепции;
3. требованиями к технике и нормативному обеспечению;
4. сложностью инфотелекоммуникационной структуры сети связи и информационной системы.

Этап 5. Разработка ПИБ и нормативных документов. На данном этапе разрабатывается техническая часть концепции — ПИБ. Требования к ПИБ сформулированы в нормативной части, а исходные данные могут уточняться по мере разработки ПИБ.

Параллельно с разработкой ПИБ проводится разработка документов, определенных нормативной частью концепции — положений, инструкций и т.д. Поскольку ПИБ детализирует технические характеристики системы защиты информации, на данном этапе разрабатываемые документы будут наполнены конкретным материалом и оптимизированы под бизнес-процессы компании.

Этап 6. Разработка экономической части концепции. После разработки ПИБ, содержащей детализированные требования к технике, помещениям, условиям эксплуатации, а также инструкции и иные нормативные документы, можно оценить стоимость:

1. реализации КИБ;
2. владения системой информационной безопасности;
3. прочих постоянных и переменных затрат в рамках положений концепции.

На основании предложенной в данной НИР методики (или иной методики) необходимо рассчитать окупаемость вложений, в случае необходимости произвести корректировку концепции.

Этап 7. Корректировка концепции (проводится при необходимости снижения затрат на реализацию). На данном этапе целесообразно выделить два уровня обеспечения безопасности — базовый и повышенный.

В базовый уровень необходимо включить те мероприятия и требования концепции, которые минимально необходимы для компании и выгода от реализации которых превышает затраты.

В повышенный уровень включаются те мероприятия и требования, которые необходимы только для ограниченного вида информационных ресурсов, а для других желательны. При этом необходимо обеспечить сопоставимость ценности ресурсов, защищаемых по повышенным требованиям, к затратам на защиту.

Коррекция проводится до тех пор, пока стоимость системы информационной безопасности не станет ниже приносимой выгоды. Заметим, что в приносимую выгоду необходимо включать сокращение потерь от рисков нарушения режима безопасности и рисков, ими генерируемых.

Этап 8. Утверждение концепции и ознакомление сотрудников компании. Данный этап является завершающим в разработке концепции. Концепция должна быть обсуждена коллегиальным руководящим органом компании, утверждена и введена приказом по компании.

Сотрудники компании должны быть ознакомлены с концепцией и документами, разработанными в ее рамках (в пределах компетентности сотрудников).

Задача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.

Угрозы информационной безопасности

Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов. 

Среди актуальных внешних угроз информационной безопасности:

• кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме; 
• кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;  
• кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
• DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете; 
• вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах; 
• дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты; 
• фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
• спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
• инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
• потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.

Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления. 

Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.

Обеспечение информационной безопасности предприятий

Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.

Аудит

Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. 

На базовом уровне аудита необходимо выяснить: 

• доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; 
• существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства;
• какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне;
• как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа;
• как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа;
• как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам;
• как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля;
• принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности.

Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. 

Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:

• действует на высококонкурентном рынке;
• участвует в разработке научных или информационных технологий;
• обрабатывает большие объемы персональных данных.

В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:

• наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей;
• отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон;
• используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе;
• как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию;
• реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа.

Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:

• насколько скрупулезно реализуются требования закона «О персональных данных»;
• внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры;
• используется ли необходимое сертифицированное программное обеспечение. 

Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. 

Этапы внедрения системы безопасности

Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. 

Работу необходимо проводить по следующему алгоритму:

• описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; 
• разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений;
• разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности;
• внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. 

Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. 

Организационные меры

Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: 

• общеобязательного характера;
• защищающие персональные данные;
• защищающие отдельные информационные объекты или процессы.

В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.

Организационные меры общего характера

Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:

• общие принципы защиты информации, угрозы и цели обеспечения безопасности;
• градация информации по степени значимости для компании;
• условия доступа к данным, принципы разграничения доступа;
• правила работы с компьютерной техникой и съемными носителями;
• ответственность за нарушение требований документа.

Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.

Режим коммерческой тайны

Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии: 

• ввести режим коммерческой тайны, издав соответствующий приказ;
• составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным;
• ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений; 
• ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны);
• ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны.

Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.

Технические меры

Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:

• типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения;
• какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение;
• какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать;
• как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом;
• существует ли необходимость шифрования файлов или трафика, какие средства для этого используются;
• отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности;
• как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются.

Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:

• антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте;
• сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ;
• средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов;
• программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом;
• средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ;
• средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них;
• средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны.

Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:

• невнимательность системных администраторов;
• ограниченный бюджет;
• длительный период сертификации для ПО, используемого для защиты персональных данных.

Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.

При проверке подключения устройств необходимо использовать следующие методы:

• при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети;
• для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap;
• активировать запись логов всех событий, связанных с подключением устройств к сети.

Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.

21.01.2020

Для функционирования любой современной компании очень важным является обеспечение безопасности в сети и обеспечение безопасности всей информационной структуры в целом. Под этим понимается комплекс мер, позволяющий предотвратить вторжения, защитить от вредоносных программ, утечек данных, осуществлять контроль деятельности пользователей сети, использовать только разграниченный авторизованный доступ к информации, внедрить шифрование хранимой и передаваемой информации. Для того, чтобы весь этот комплекс мер был целостным и эффективным необходима разработка единой выверенной концепции (политики) безопасности компании.

Политика безопасности должна быть продуманной и сбалансированной, а также уникальной для каждого предприятия. Ведь у всех компаний есть свои особенности, поэтому обеспечение безопасности в сети для них тоже будет в каких-то деталях отличающимся от других фирм. В связи с этим, для разработки подробной и эффективной концепции информационной безопасности необходим предварительный тщательный аудит имеющихся систем безопасности, а также всех информационных активов и процессов фирмы.  Благодаря этому выявляется критически важная информация, нуждающаяся в защите, возможные способы получения к ней доступа и/или ее утечки, определяются ключевые каналы обмена информацией. Также определяются все возможные уровни санкционированного доступа пользователей, заказчиков, подрядчиков и клиентов к важной информации. В ходе аудита выявляют и те последствия, которые могут наступить в случае утери, искажения или удаления информации. На основании этих полученных материалов и их анализа вырабатывается политика информационной безопасности компании, пронизывающая все ее бизнес-процессы, где хоть как-то задействованы непубличные данные.

Наша компания оказывает услуги по разработке концепции (политики) информационной безопасности для предприятий в различных сферах деятельности. Мы проводим детальный анализ и аудит информационной инфраструктуры компании, после чего предлагаем наиболее эффективный комплекс мер по обеспечению защиты в сети. Политика информационной безопасности, разработанная нашими специалистами, будет предусматривать наиболее оптимальные программно-технические средства для вашей компании по защите информации, их состав и регламент использования; четкий регламент контроля деятельности пользователей в корпоративной сети; движение организационно-распорядительной документации на внесение изменений в средства защиты. При этом, что очень важно, итоговая политика будет полностью соответствовать законодательству Российской Федерации и лучшим практикам, применяемым в сфере работы Вашей Компании.

Показать еще

Ключевые услуги и решения

• Аудит информационной безопасности

  Т1 Интеграция предоставляет услуги по аудиту информационной безопасности с учетом потребностей и особенностей бизнеса заказчика. Целями проведения аудита могут быть:

  • Оценка текущего уровня защищенности критичных активов, разработка рекомендаций и плана по обработке рисков ИБ
  • Приведение информационной безопасности организации в соответствие требованиям законодательства РФ, международных стандартов, требований акционеров и контрагентов (контрактные/договорные обязательства)
  • Независимый аудит аутсорсинга (аудит третьей стороны) для оценки принятия должных мер (due care) и должного усердия (due diligence) организации, оказывающей критичные услуги
  • Выбор приоритетных направлений (концепция ИБ и стратегия ИБ), формирование портфеля проектов ИБ, формирование бизнес-кейсов и помощь в защите на бюджетном комитете организации
  • Улучшение системы управления информационной безопасностью и отдельных процессов и процедур ИБ

  В рамках аудита информационной безопасности проводятся анализ организационно-распорядительной документации в области ИБ; оценка уровня защищенности критичной информации и информационных систем непосредственно на объектах заказчика; тестирование отдельных узлов и информационных ресурсов на уязвимости, в том числе путем выборочной инструментальной проверки и тестовых выборок; идентификация, анализ и высокоуровневое оценивание основных рисков ИБ с помощью сценарного подхода; подготовка рекомендаций по внедрению организационных, административных, технических мер и плана мероприятий на основе проведенного аудита и оценки рисков организации.

  По желанию заказчика планирование аудита ИБ может быть проведено с помощью оценки рисков аудита по экспертной методике компании Т1 Интеграция. В ходе оценки рисков аудита будут оценены риски области аудита, риски выполнения мер безопасности и риски обнаружения уязвимостей в ходе аудита.

• Консалтинг в области международных стандартов информационной
  безопасности

  Услуги по консалтингу в области международных стандартов ИБ актуальны для организаций, владеющих большим количеством критичных для бизнеса информационных ресурсов и рассматривающих обеспечение информационной безопасности как комплексный бизнес-ориентированный процесс, направленный на снижение операционных и управленческих рисков.

  Подход к комплексному обеспечению информационной безопасности путем внедрения системы управления информационной безопасностью (СУИБ) и сопутствующих процессов ИБ, реализуемый экспертами Т1 Интеграция, соответствует общепризнанным международным стандартам в области ИБ.

  Соответствие системы управления информационной безопасностью международным стандартам позволяет гарантировать корректность построения этой системы и эффективность ее работы.

• Оценка рисков информационной безопасности

  При построении процесса менеджмента рисков информационной безопасности Т1 Интеграция следует стандарту ISO/IEC 27005:2011, который содержит подробные рекомендации по менеджменту рисков ИБ. В ходе первичной высокоуровневой оценки рисков компания разрабатывает адаптированную оптимальную методологию оценки рисков ИБ в соответствии со спецификой деятельности заказчика и его бизнес-процессов, категорией рисков ИБ, лучшими практиками в области ИБ, экспертным опытом.

  Высокоуровневый анализ существующих рисков информационной безопасности позволяет заказчику определить критические системы, бизнес-подразделения, процессы и сервисы, для которых риски информационной безопасности выше установленного предельного порога.

  Заказчик может использовать разработанную и апробированную высокоуровневую методику оценки рисков ИБ в дальнейшем не только в той области, где она применялась экспертами Т1 Интеграция, но и для других площадок, проектов, информационных систем или бизнеса в целом.

  По результатам оценки рисков, проведенной нашими специалистами, разрабатываются рекомендации по применению взаимоувязанного комплекса организационных и технических мер, направленных на снижение уровня рисков информационной безопасности с предложением экономически обоснованного портфеля проектов ИБ. Дополняя план обработки рисков, рекомендации носят конкретный характер и направлены на максимально полное и эффективное перекрытие всех требований безопасности при разумном минимуме затрат, в том числе по снижению критичных рисков ИБ путем внедрения политик, процедур и технических средств.

• Контроль (анализ) защищенности

  Система контроля защищенности предназначена для контроля уровня защиты информационных систем, своевременного выявления уязвимостей и ошибок конфигурирования компонентов ИТ‑инфраструктуры. Комплексное решение, предлагаемое компанией Т1 Интеграция, позволяет решить следующие задачи:

  • Обеспечение проактивной защиты информационных систем путем автоматического мониторинга состояния уровня защищенности
  • Обеспечение контроля соответствия техническим стандартам и внутрикорпоративным требованиям
  • Автоматизация процесса инвентаризации и контроля изменений информационных ресурсов
  • Сокращение затрат на аудит и контроль защищенности

• Инструментальная оценка уровня защищенности информационных
  систем (активный аудит)

  Инструментальная оценка уровня защищенности позволяет оценить текущий уровень защищенности, выявить существующие технические уязвимости и ошибки конфигурирования информационных систем, а также обосновать инвестиции в развитие средств защиты информации. По итогам работ заказчику предоставляется отчет с описанием основных выявленных уязвимостей и рекомендации по их устранению.

• Аттестация по требованиям безопасности информации

  Т1 Интеграция имеет лицензии и аккредитацию на выполнение работ по аттестации объектов информатизации по требованиям безопасности информации. В результате выполнения комплекса организационных и технических мероприятий (аттестационных испытаний) документально подтверждается соответствие системы защиты информации тем требованиям, которые были заявлены в ходе ее создания. Обязательной аттестации подлежат государственные информационные системы, а также информационные системы, обрабатывающие сведения, составляющие государственную тайну, либо данные ограниченного доступа, собственником которых являются госорганы. Ввод в действие таких информационных систем возможен только при наличии аттестата соответствия.

  Т1 Интеграция выполняет следующие работы:

  • Обязательную аттестацию объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну
  • Аттестацию объектов информатизации, предназначенных для обработки информации конфиденциального характера

  В рамках работ по аттестации объектов информатизации Т1 Интеграция оказывает следующие услуги:

  • Оценку соответствия объекта информатизации требованиям безопасности информации
  • Разработку предложений и рекомендаций по приведению объекта информатизации в соответствие требованиям безопасности информации
  • Подготовку объекта информатизации к аттестационным испытаниям, в том числе создание или совершенствование существующей системы защиты информации
  • Проведение аттестационных испытаний объектов информатизации на соответствие требованиям нормативных документов в области безопасности информации

• Создание комплексных систем защиты информации

  «Т1 Интеграция» проектирует и создает комплексные системы защиты информации (КСЗИ) на основе результатов анализа рисков информационной безопасности, моделирования угроз, выполнения нормативных требований регуляторов в области информационной безопасности (ФСТЭК России, ФСБ России, Банк России и т. д.), а также индивидуальных требований заказчиков.

• Аналитические исследования показывают, что лучшая и наиболее эффективная защита веб-приложений от угроз и уязвимостей обеспечивается посредством внедрения решений класса Web Application Firewall (WAF). Решения WAF способны предотвращать атаки, от которых не могут защитить классические межсетевые экраны и системы обнаружения вторжений, при этом они не требуют модификации исходного кода приложения.

  Т1 Интеграция предоставляет услуги по внедрению решения по защите веб-приложений, которое обеспечивает:

  • Достаточно высокий уровень защищенности даже с настройками по умолчанию
  • Возможность сконфигурировать WAF для защиты от специфических типов атак или уязвимостей (например, срочно закрыть уязвимость при отсутствии патча)
  • Эффективную защиту от атак класса Brute Force login, Parameter tampering, Session hijacking, Cookie poisoning, Cookie injection, Illegal HTTP encoding (double encoding, malicious encoding), атак на SOAP и XML
  • Сравнительный анализ элементов структуры веб-приложений (поля форм, cookie, параметры и др.) с эталонными элементами, хранимыми в профилях
  • Профилирование HTTP, HTTPS и XML-трафика

• Технологии удаленного доступа, высокоскоростные мобильные сети передачи данных, облачные технологии смещают значение определения периметра от физического (который раньше можно было считать границей офиса) в сторону виртуального, где данные организации распределены между имеющейся инфраструктурой, устройствами сотрудников и сервисами сторонних компаний. Это не отменяет необходимости защиты периметра, а существенно усложняет его организацию.

  Т1 Интеграция предлагает комплексные решения по защите периметра сети, включающие в себя шлюзы безопасности, межсетевые экраны и системы обнаружения вторжений. При этом каждый компонент может быть также представлен в качестве отдельного решения. 

  В независимости от набора компонентов защиты основной задачей системы остается контроль и управление проходящим через оборудование трафиком. Решения о разрешении или запрещении того или иного трафика могут приниматься на основании простых правил или же могут быть результатом работы набора подсистем, анализирующих такие факторы, как источник, назначение, время, тип данных, аномальную активность, принадлежность к спаму или ботнетам и многим другим факторам.

• Защита удаленного доступа

  Удаленный доступ — это технология, которая позволяет получать доступ к информационным ресурсам и осуществлять работу с ними из других сетей. Она позволяет снизить затраты на организацию рабочего процесса, а также способствует повышению эффективности использования информационных ресурсов для решения бизнес-задач.

  Для обеспечения высокого уровня безопасности корпоративных данных Т1 Интеграция реализует защиту технологии удаленного доступа различными методами:

  • Создание виртуальных защищенных сетей (remote access VPN) c отдельными приложениями (клиентами, в том числе и встроенными в операционные системы), работающими по протоколам (например, IPSec, SSL/TLS, PPP) и с использованием web-технологий (SSL/TLS)
  • Применение программ эмуляции терминала, использующих протоколы защиты (например, SSH)
  • Применение приложений удаленного рабочего стола, использующих криптографические алгоритмы в составе стандартизованных (например, RDP, VNC, X.11) и собственных протоколов производителей

• Криптографическая защита каналов связи

  Сфера применения криптографически защищенных каналов связи охватывает все области применения информационных технологий и включает:

  • Защищенную передачу данных в дата-центрах, территориально распределенных организациях, в системах электронного документооборота и др.
  • Защиту голосовых коммуникаций, видеоконференцсвязи и электронной почты, что особенно актуально для центров обработки вызовов, систем корпоративной IP-телефонии, территориально распределенных комплексов видеоконференцсвязи и др.
  • Защиту каналов управления и мониторинга 

  В телекоммуникационных сетях криптографическая защита каналов связи организуется на различных уровнях ЭМВОС (OSI): канальный (например, MACSec), сетевой (например, IPSec), транспортный и сеансовый (например, SRTP, TSL/SSL), представления и приложения (например, S/MIME, PPTP). Для организации защищенных каналов связи применяется широкий спектр симметричных криптографических алгоритмов и криптосистем с открытым ключом, а также их комбинации.

  Широкое применение получила адаптивная технология виртуальных защищенных сетей (VPN), которая позволяет создать единую защищенную сетевую инфраструктуру на территориально распределенных сетях разнообразных топологий. Решения основываются как на базе сетевого оборудования, так и на выделенных устройствах.

  Т1 Интеграция предоставляет услуги по организации криптографической защиты каналов связи с целью обеспечения конфиденциальности, целостности и подлинности передаваемых данных, аутентификации узлов и образованных между ними каналов. Компания имеет все необходимые лицензии на осуществление деятельности, связанной с использованием криптографических средств.

• Системы защиты баз данных предназначены для пресечения несанкционированного доступа к информации, обрабатываемой в СУБД, а также контроля и фильтрации различных типов взаимодействий между СУБД, пользователями и приложениями, осуществляющими такой доступ. Т1 Интеграция реализует проекты по внедрению систем, позволяющих минимизировать риски и возможные финансовые и имиджевые потери заказчика, связанные с хищением информации баз данных.  

  Системы защиты баз данных позволяют решить следующие задачи:

  • Внедрение механизмов контроля и учета действий пользователей и администраторов, аудита защищаемых баз данных
  • Реализация механизмов аудита и предотвращения несанкционированного доступа к содержимому защищаемых баз данных посредством различных механизмов сканирования
  • Реализация инструментов обнаружения и реагирования на попытки несанкционированного доступа к информации защищаемых баз данных
  • Оперативный контроль состояния защищенности баз данных
  • Приведение состояния защиты инфраструктуры заказчика в соответствие требованиям регуляторов
  • Повышение производительности труда и эффективности работы подразделений компании, отвечающих за обеспечение информационной безопасности, за счет реализуемых в системе механизмов аудита и отчетности

• Защита электронной почты и веб-трафика

  Внедрение системы контентной фильтрации почтового и веб-трафика позволяет обеспечить защиту корпоративной почты от нежелательных сообщений, блокировку вредоносного ПО и нейтрализацию вирусов в загружаемом контенте, а также способствует повышению эффективности работы персонала благодаря контролю доступа сотрудников в Интернет.

  Система решает следующие задачи:

  • Обеспечение доступа сотрудников только к тем веб-ресурсам, которые могут потребоваться в рамках выполнения должностных обязанностей
  • Реализация централизованной политики доступа к веб-ресурсам и обеспечение защиты от угроз со стороны сетей общего пользования
  • Минимизация риска повреждения информационных систем вредоносным ПО
  • Минимизация риска утечки конфиденциальной информации
  • Формирование отчетности об инцидентах и деятельности пользователей

  Компанией накоплен значительный опыт проектов по внедрению систем контентной фильтрации для заказчиков из разных отраслей, в том числе в компаниях с крупными территориально распределенными сетями передачи данных.

• Защита от DoS-/ DDoS-атак

  Системы защиты от DoS-/DDoS-атак представляют собой реализуемые различными средствами механизмы обнаружения и нейтрализации атак типа «отказ в обслуживании», направленных на защищаемые информационные ресурсы. С учетом потребностей и специфики бизнеса заказчиков Т1 Интеграция реализует два подхода по защите от DDoS-атак либо комбинирует их:

  • Установка в составе сетевой инфраструктуры заказчика специализированных программно-аппаратных комплексов, отвечающих за обнаружение и реагирование на DDoS-атаки. Это оборудование осуществляет фильтрацию трафика от нелегитимной активности с сохранением легитимного трафика, что обеспечивает доступность защищаемых ресурсов. Как правило, использование такого подхода подразумевает также установку фильтрующего оборудования также и со стороны провайдера услуг связи для обеспечения гарантированной доступности полосы пропускания канала связи между провайдером и защищаемой сетью компании-заказчика
  • Предоставление заказчику специализированного сервиса по фильтрации сетевого трафика на предмет обнаружения DDoS-атак. При таком подходе сетевой трафик заказчика перенаправляется в специализированные центры очистки трафика

• Т1 Интеграция предлагает услуги по внедрению систем антивирусной защиты для обеспечения безопасности информационных ресурсов: рабочих станций, файловых серверов, почтовых шлюзов, прокси-серверов, мобильных устройств, виртуальных сред. Комплексная система антивирусной защиты позволяет в режиме реального времени обнаруживать и нейтрализовывать различные типы вирусов и вредоносного ПО, таким образом обеспечивая безопасность и доступность корпоративных информационных систем.

• Защита государственных информационных систем

  Защита государственных информационных систем (ГИС) осуществляется в рамках выполнения требований действующих нормативных правовых актов Российской Федерации в области информационной безопасности и направлена на предотвращение нарушения конфиденциальности, целостности и доступности государственных информационных ресурсов.

  Компетенции компании Т1 Интеграция позволяют не только построить систему защиты информации с нуля при создании ГИС, но и привести в соответствие действующему законодательству информационную систему, уже введенную в эксплуатацию.

  Т1 Интеграция выполняет полный спектр работ от формирования требований к защите информации, содержащейся в ГИС, разработки и внедрения системы защиты информации ГИС до аттестации ГИС по требованиям защиты информации. В рамках проекта также может производиться анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению. В случае если в ГИС происходит обработка персональных данных субъектов, система защиты информации строится с учетом требований законодательства в области защиты персональных данных.

• Защита персональных данных

  Обладая лицензией на проведение работ по технической защите конфиденциальной информации, Т1 Интеграция предлагает комплексное решение по обследованию процессов автоматизированной и неавтоматизированной обработки персональных данных и созданию комплексной системы защиты персональных данных при их обработке в информационных системах и гарантирует обеспечение защиты персональных данных в полном соответствии с требованиями федерального закона «О персональных данных» № 152‑ФЗ от 27 июля 2006 г. и подзаконных нормативно-правовых актов.

  Защита персональных данных проводится нашими экспертами поэтапно и включает в себя:

  • Формирование требований к защите персональных данных, содержащихся в информационных системах персональных данных, включая классификацию информационной системы по требованиям защиты информации, определение актуальных угроз безопасности персональных данных
  • Разработка комплексной системы защиты персональных данных, включая проектирование системы защиты, разработку эксплуатационной документации, разработку проектов организационно-распорядительных документов
  • Ввод в эксплуатацию и гарантийное сопровождение комплексной системы защиты персональных данных

  Результатом работ по защите персональных данных заказчика является оптимальный с точки зрения стоимости, качества и снижения бизнес-рисков набор организационно-технических мер, учитывающий специфику организации и риски бизнес-деятельности в случае реализации угроз безопасности персональных данных, а также при имиджевых потерях и нарушении законодательства, включая проверки регуляторов.

• Защита критически важных и промышленных объектов

  Подход к обеспечению безопасности критических объектов с приоритетом обеспечения доступности и целостности не только информации, но и других материальных и нематериальных активов является нестандартным с точки зрения информационной безопасности. Поэтому Т1 Интеграция рассматривает угрозы и меры безопасности не только с точки зрения информационной безопасности, но и кибербезопасности, а также непрерывности деятельности информационно-коммуникационных систем.

  С точки зрения управления лучших практик информационной безопасности и кибербезопасности для защиты критически важных объектов Т1 Интеграция предлагает использовать комплекс отечественных и международных стандартов в области управления информационной безопасностью, сетевой безопасности, промышленной безопасности и др.

  Процесс разработки концепции, стратегии, планирования и построения системы управления информационной безопасности и противодействия киберугрозам неотрывно связан с процессом менеджмента рисков не только информационной безопасности, но и технологических рисков, и поэтому менеджмент рисков является ключевым разделом каждого стандарта и руководства по безопасности АСУТП и критических систем. В качестве базового стандарта предлагается использовать накопленный международный опыт в виде стандартов ISO/IEC 27005 — Information security risk management; ISO 31000:2009 — Principles and Guidelines on Implementation; ISO/IEC 31010:2009 — Risk Management — Risk Assessment Techniques; ISO Guide 73:2009 — Risk Management — Vocabulary.

• Управление доступом пользователей к сетевым ресурсам

  Т1 Интеграция предлагает комплексное решение, объединяющее передовые сетевые технологии в единую систему для управления доступом пользователей к корпоративным сетевым ресурсам. Это позволяет обеспечить защиту критичной для бизнеса информации, минимизировать риски несанкционированного использования информационных систем и возможности умышленного нарушения целостности и доступности данных.

  Основой системы управления доступом пользователей к сетевым ресурсам является гибкая политика, позволяющая принимать решения о назначении уровня доступа подключенному пользователю или устройству в зависимости от ряда факторов. Система в реальном времени отслеживает несоответствия рабочей станции пользователя профилю безопасности и блокирует доступ для потенциально опасных устройств.

  Т1 Интеграция обладает опытом успешных внедрений этой технологии. Одним из крупнейших проектов стало создание системы в центральном офисе и 8 филиалах крупной энергетической компании.

• Управление привилегированными пользователями

  Т1 Интеграция предлагает комплексное решение, направленное на пресечение несанкционированных действий пользователей, имеющих расширенные права доступа к информационным системам: администраторов, операторов, разработчиков, инженеров сторонних ИТ-служб при аутсорсинге и др. Система управления привилегированными пользователями призвана обеспечить превентивную защиту и минимизировать потенциальный ущерб от злоупотребления полномочиями путем мониторинга привилегированных учетных записей.

  Внедрение системы управления привилегированными пользователями позволяет:

  • Обеспечить контроль действий привилегированных пользователей по стандартным протоколам управления (RDP, SSH, X11, Telnet, HTTP(S), VNC и др.)
  • Записывать административные сессии управления в видео с возможностью дальнейшего поиска по контенту
  • Осуществлять централизованное управление доступом, в том числе для групповых учетных записей
  • Реализовывать авторизацию по методу «4 глаза»
  • Обеспечивать централизованное управление и хранение аутентификационных данных (в том числе паролей)
  • Минимизировать угрозы внешних атак, ведущихся с повышением привилегий
  • Обеспечить соответствие требованиям стандартов ИБ (например, PCI DSS, СТО БР ИББС и др.)
  • Предотвратить возможность сокрытия следов несанкционированных или непрофессиональных действий
  • Оптимизировать процессы администрирования, повысить производительность труда и ответственность ИТ-персонала

• Системы многофакторной аутентификации

  Системы многофакторной аутентификации предназначены для усиления уровня защиты от несанкционированного доступа корпоративных информационных систем. В отличие от однофакторной аутентификации (например, с использованием только пароля) в подобных системах применяются не менее двух аутентификационных факторов.

  Многофакторная аутентификация применяется в подсистемах удаленного доступа, виртуальных частных сетях, интернет-банкинге, информационных системах и веб-порталах. Аппаратные идентификаторы также могут использоваться для функций электронной подписи или для контроля физического доступа в помещения при интеграции их с системой контроля и управления доступом (СКУД).

  Внедрение систем многофакторной аутентификации позволяет:

  • Обеспечить соответствие требованиям международных и отечественных стандартов в области информационной безопасности
  • Обеспечить соответствие требованиям законодательства РФ в области защиты персональных данных и государственных информационных систем
  • Снизить риски, связанные с получением несанкционированного доступа к защищаемым информационным системам

  При создании систем многофакторной аутентификации компания Т1 Интеграция применяет продукты российских и зарубежных производителей, в портфеле которых имеются как разнообразные средства аутентификации (USB-токены,  смарт-карты,  генераторы одноразовых паролей, гибридные аутентификаторы), так и средства централизованного управления их жизненным циклом. Большинство решений многофакторной аутентификации поддерживают аутентификацию с помощью SMS, программных токенов, мобильных приложений и мобильных телефонов, используемых в качестве аппаратного аутентификатора. Кроме того, в целях аутентификации могут применяться биометрические данные пользователей (отпечатки пальцев, сетчатка глаза и пр.).

• Системы централизованного мониторинга и управления событиями
  информационной безопасности

  Система централизованного мониторинга и управления событиями информационной безопасности (SIEM) позволяет эффективно осуществлять централизованный сбор, визуализацию и корреляцию событий информационной безопасности из различных информационных систем и средств защиты информации. Такие системы призваны автоматически выявлять угрозы информационной безопасности и обеспечивать оперативное реагирование на инциденты ИБ. 

  Т1 Интеграция внедряет системы, решающие комплекс задач по мониторингу и управлению событиями ИБ в целях выхода на новый уровень защищенности информационных систем, в том числе:

  • Организация централизованного сбора, анализа и приоритизации сообщений от различных источников (систем обнаружения вторжений, межсетевых экранов, операционных систем, систем контроля и управления доступом, антивирусных систем, систем web-фильтрации, систем контроля утечки данных, различных приложений, баз данных и др.)
  • Выявление аномалий в работе систем и предотвращение внутреннего мошенничества
  • Визуализация полученных данных в реальном времени и оповещение об инцидентах ИБ
  • Обеспечение соответствия требованиям стандартов ИБ (PCI DSS, СТО БР ИББС и др.)
  • Повышение оперативности и эффективности расследования инцидентов ИБ.

• Защита информации в национальной платежной системе

  Т1 Интеграция обладает всеми необходимыми лицензиями, компетенциями и опытом для проведения работ по защите информации и оценки соответствия требованиям Положения Банка России № 382-П, регламентирующего вопросы обеспечения безопасности платежной информации для участников национальной платежной системы. Компания предлагает следующие услуги:

  • Проведение оценок соответствия требованиям Положения БР № 382-П
  • Проектирование и внедрение технических решений, построение процессов обеспечения и управления информационной безопасностью для обеспечения соответствия участников национальной платежной системы требованиям Положения БР № 382-П

• Обеспечение соответствия банковских организаций СТО БР ИББС

  СТО БР ИББС (стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации) — комплекс документов Банка России, который описывает подход к построению системы обеспечения информационной безопасности в организациях банковской сферы с учетом лучших мировых и отечественных практик.

  Банковские организации, принявшие решение о вводе комплекса БР ИББС, обязаны проводить регулярную оценку выполнения требований стандарта не реже одного раза в два года и подавать соответствующую отчетность в Банк России.

  Обладая соответствующими компетенциями и опытом, Т1 Интеграция предоставляет следующие услуги:

  • Проведение оценок соответствия требованиям СТО БР ИББС 1.0
  • Проектирование и внедрение необходимых технических решений, построение процессов обеспечения и управления информационной безопасностью в целях приведения банковских организаций в соответствие требованиям комплекса БР ИББС

Время на прочтение
31 мин

Количество просмотров 30K

Друзья, в предыдущей публикации мы рассмотрели нормативные документы по защите информации в российской кредитно-финансовой сфере, некоторые из которых ссылаются на методологии оценки и управления рисками ИБ. Вообще, если говорить с позиции бизнеса, управление информационной безопасностью является дочерним процессом более широкого процесса управления рисками: если компания после анализа и оценки всех своих бизнес-рисков делает вывод об актуальности рисков ИБ, то в игру вступает уже непосредственно защита информации как способ минимизации некоторых рисков. Управление рисками позволяет эффективно и рационально выстраивать процессы ИБ и распределять ресурсы для защиты активов компании, а оценка рисков позволяет применять целесообразные меры по их минимизации: для защиты от существенных и актуальных угроз логично будет применять более дорогостоящие решения, чем для противодействия незначительным или труднореализуемым угрозам.

Кроме этого, выстроенный процесс управления рисками ИБ позволит разработать и в случае необходимости применить чёткие планы обеспечения непрерывности деятельности и восстановления работоспособности (Business Continuity & Disaster Recovery): глубокая проработка различных рисков поможет заранее учесть, например, внезапно возникшую потребность в удаленном доступе для большого количества сотрудников, как это может произойти в случае эпидемий или коллапса транспортной системы. Итак, в этой публикации — анализ международных документов по управлению рисками информационной безопасности. Приятного чтения!

Общая концепция управления рисками ИБ

Под риском информационной безопасности, или киберриском, понимают потенциальную возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Под величиной риска условно понимают произведение вероятности негативного события и размера ущерба. В свою очередь под вероятностью события понимается произведение вероятности угрозы и опасности уязвимости, выраженные в качественной или количественной форме. Условно мы можем выразить это логической формулой:
ВеличинаРиска=ВероятностьСобытия*РазмерУщерба, где
ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости

Существуют также условные классификации рисков: по источнику риска (например, атаки хакеров или инсайдеров, финансовые ошибки, воздействие государственных регуляторов, юридические претензии контрагентов, негативное информационное воздействие конкурентов); по цели (информационные активы, физические активы, репутация, бизнес-процессы); по продолжительности влияния (операционные, тактические, стратегические).

Цели анализа рисков ИБ таковы:

1. Идентифицировать активы и оценить их ценность.
2. Идентифицировать угрозы активам и уязвимости в системе защиты.
3. Просчитать вероятность реализации угроз и их влияние на бизнес (англ. business impact).
4. Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.

Этапы с 1-го по 3-й являются оценкой риска (англ. risk assessment) и представляют собой сбор имеющейся информации. Этап 4 представляет из себя уже непосредственно анализ рисков (англ. risk analysis), т.е. изучение собранных данных и выдачу результатов/указаний для дальнейших действий. При этом важно понимать собственный уровень уверенности в корректности проведенной оценки. На этапе 4 также предлагаются методы обработки для каждого из актуальных рисков: передача (например, путем страхования), избегание (например, отказ от внедрения той или иной технологии или сервиса), принятие (сознательная готовность понести ущерб в случае реализации риска), минимизация (применение мер для снижения вероятности негативного события, приводящего к реализации риска). После завершения всех этапов анализа рисков следует выбрать приемлемый для компании уровень рисков (англ. acceptable risk level), установить минимально возможный уровень безопасности (англ. baselines of performance), затем внедрить контрмеры и в дальнейшем оценивать их с точки зрения достижимости установленного минимально возможного уровня безопасности.

Ущерб от реализации атаки может быть прямым или непрямым.

Прямой ущерб — это непосредственные очевидные и легко прогнозируемые потери компании, такие как утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д.

Непрямой ущерб может означать качественные или косвенные потери.
Качественными потерями могут являться приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг. Косвенные потери — это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы. Кроме этого, в зарубежной литературе встречаются также такие понятия, как тотальный риск (англ. total risk), который присутствует, если вообще никаких мер защиты не внедряется, а также остаточный риск (англ. residual risk), который присутствует, если угрозы реализовались, несмотря на внедренные меры защиты.

Анализ рисков может быть как количественным, так и качественным.

Рассмотрим один из способов количественного анализа рисков. Основными показателями будем считать следующие величины:

ALE — annual loss expectancy, ожидаемые годовые потери, т.е. «стоимость» всех инцидентов за год.
SLE — single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента.
EF — exposure factor, фактор открытости перед угрозой, т.е. какой процент актива разрушит угроза при её успешной реализации.
ARO — annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными.

Значение SLE вычисляется как произведение расчётной стоимости актива и значения EF, т.е. SLE=AssetValue*EF. При этом в стоимость актива следует включать и штрафные санкции за его недостаточную защиту.

Значение ALE вычисляется как произведение SLE и ARO, т.е. ALE=SLE*ARO. Значение ALE поможет проранжировать риски — риск с высоким ALE будет самым критичным. Далее рассчитанное значение ALE можно будет использовать для определения максимальной стоимости реализуемых мер защиты, поскольку, согласно общепринятому подходу, стоимость защитных мер не должна превышать стоимость актива или величину прогнозируемого ущерба, а расчетные целесообразные затраты на атаку для злоумышленника должны быть меньше, чем ожидаемая им прибыль от реализации этой атаки. Ценность мер защиты также можно определить, вычтя из расчётного значения ALE до внедрения мер защиты значение расчётного значения ALE после внедрения мер защиты, а также вычтя ежегодные затраты на реализацию этих мер. Условно записать это выражение можно следующим образом:

(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) — (ALE после внедрения мер защиты) — (Ежегодные затраты на реализацию мер защиты)

Примерами качественного анализа рисков могут быть, например, метод Дельфи, в котором проводится анонимный опрос экспертов в несколько итераций до достижения консенсуса, а также мозговой штурм и прочие примеры оценки т.н. «экспертным методом».

Далее приведем краткий и неисчерпывающий список различных методологий риск-менеджмента, а самые популярные из них мы рассмотрим дальше уже подробно.

1. Фреймворк «NIST Risk Management Framework» на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национального института стандартов и технологий США) включает в себя набор взаимосвязанных т.н. «специальных публикаций» (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):

1.1. Стандарт NIST SP 800-39 «Managing Information Security Risk» ( «Управление рисками информационной безопасности») предлагает трехуровневый подход к управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.
1.2. Стандарт NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations» ( «Фреймворк управления рисками для информационных систем и организаций») предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.
1.3. Стандарт NIST SP 800-30 «Guide for Conducting Risk Assessments» ( «Руководство по проведению оценки рисков») сфокусирован на ИТ, ИБ и операционных рисках. Он описывает подход к процессам подготовки и проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.
1.4. Стандарт NIST SP 800-137 «Information Security Continuous Monitoring» ( «Непрерывный мониторинг информационной безопасности») описывает подход к процессу мониторинга информационных систем и ИТ-сред в целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.

2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):

2.1. Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» («Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности») входит в серию стандартов ISO 27000 и является логически взаимосвязанным с другими стандартами по ИБ из этой серии. Данный стандарт отличается фокусом на ИБ при рассмотрении процессов управления рисками.
2.2. Стандарт ISO/IEC 27102:2019 «Information security management — Guidelines for cyber-insurance» («Управление информационной безопасностью. Руководство по киберстрахованию») предлагает подходы к оценке необходимости приобретения киберстраховки как меры обработки рисков, а также к оценке и взаимодействию со страховщиком.
2.3. Серия стандартов ISO/IEC 31000:2018 описывает подход к риск-менеджменту без привязки к ИТ/ИБ. В этой серии стоит отметить стандарт ISO/IEC 31010:2019 «Risk management — Risk assessment techniques» — на данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».

3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки.

4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и бизнес-процессов компании.

5. Стандарт AS/NZS 4360 является австралийским и новозеландским стандартом с фокусом не только на ИТ-системах, но и на бизнес-здоровье компании, т.е. предлагает более глобальный подход к управлению рисками. Отметим, что данный стандарт в настоящий момент заменен на стандарт AS/NZS ISO 31000-2009.

6. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.

7. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.

8. Методология FAIR (Factor Analysis of Information Risk) — проприетарный фреймворк для проведения количественного анализа рисков, предлагающий модель построения системы управления рисками на основе экономически эффективного подхода, принятия информированных решений, сравнения мер управления рисками, финансовых показателей и точных риск-моделей.

9. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управления рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление и культура, а также информация, коммуникация и отчетность.

NIST Risk Management Framework

Первым набором документов будет фреймворк управления рисками (Risk Management Framework) американского национального института стандартов и технологий (NIST). Данный институт выпускает документы по ИБ в рамках серии стандартов FIPS (Federal Information Processing Standards, Федеральные стандарты обработки информации) и рекомендаций SP (Special Publications, Специальные публикации) 800 Series. Данная серия публикаций отличается логической взаимосвязанностью, детальностью, единой терминологической базой. Среди документов, касающихся управления рисками ИБ, следует отметить публикации NIST SP 800-39, 800-37, 800-30, 800-137 и 800-53/53a.

Создание данного набора документов было следствием принятия Федерального закона США об управлении информационной безопасностью (FISMA, Federal Information Security Management Act, 2002 г.) и Федерального закона США о модернизации информационной безопасности (FISMA, Federal Information Security Modernization Act, 2014 г.). Несмотря на декларируемую «привязку» стандартов и публикаций NIST к законодательству США и обязательность их исполнения для американских государственных органов, эти документы вполне можно рассматривать и как подходящие для любой компании, стремящейся улучшить управление ИБ, вне зависимости от юрисдикции и формы собственности.

NIST SP 800-39

Итак, документ NIST SP 800-39 «Managing Information Security Risk: Organization, Mission, and Information System View» («Управление риском информационной безопасности: Уровень организации, миссии, информационной системы») предлагает вендоро-независимый, структурированный, но гибкий подход к управлению рисками ИБ в контексте операционной деятельности компании, активов, физических лиц и контрагентов. При этом риск-менеджмент должен быть целостным процессом, затрагивающим всю организацию, в которой практикуется риск-ориентированное принятие решений на всех уровнях. Управление риском определяется в данном документе как всеобъемлющий процесс, включающий в себя этапы определения (frame), оценки (assess), обработки (respond) и мониторинга (monitor) рисков. Рассмотрим эти этапы подробнее.

1. На этапе определения рисков организации следует выявить:

• предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков;
• ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
• риск-толерантность, т.е. терпимость к рискам — приемлемые типы и уровни рисков, а также допустимый уровень неопределенности в вопросах управления рисками;
• приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.

2. На этапе оценки рисков организации следует выявить:

• угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации;
• внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.;
• ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами;
• вероятность возникновения ущерба.

В итоге организация получает детерминанты риска, т.е. уровень ущерба и вероятность возникновения ущерба для каждого риска.

Для обеспечения процесса оценки рисков организация предварительно определяет:

• инструменты, техники и методологии, используемые для оценки риска;
• допущения относительно оценки рисков;
• ограничения, которые могут повлиять на оценки рисков;
• роли и ответственность;
• способы сбора, обработки и передачи информации об оценке рисков в пределах организации;
• способы проведения оценки рисков в организации;
• частоту проведения оценки рисков;
• способы получения информации об угрозах (источники и методы).

3. На этапе реагирования на риск организация выполняет следующие работы:

• разработку возможных планов реагирования на риск;
• оценку возможных планов реагирования на риск;
• определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации;
• реализацию принятых планов реагирования на риск.

Для обеспечения возможности реагирования на риски организация определяет типы возможной обработки рисков (принятие, избегание, минимизация, разделение или передача риска), а также инструменты, технологии и методологии для разработки планов реагирования, способы оценки планов реагирования и методы оповещения о предпринятых мерах реагирования в рамках организации и/или внешних контрагентов.

4. На этапе мониторинга рисков решаются следующие задачи:

• проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ;
• определение текущей эффективности мер реагирования на риски;
• определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.

Организации описывают методы оценки нормативного соответствия и эффективности мер реагирования на риски, а также то, как контролируются изменения, способные повлиять на эффективность реагирования на риски.

Управление рисками ведется на уровнях организации, бизнес-процессов и информационных систем, при этом следует обеспечивать взаимосвязь и обмен информацией между данными уровнями в целях непрерывного повышения эффективности осуществляемых действий и коммуникации рисков всем стейкхолдерам. На верхнем уровне (уровне организации) осуществляется принятие решений по определению рисков, что напрямую влияет на процессы, ведущиеся на нижележащих уровнях (бизнес-процессов и информационных систем), а также на финансирование этих процессов.

На уровне организации осуществляются выработка и внедрение функций управления, согласующихся с бизнес-целями организации и с нормативными требованиями: создание функции риск-менеджмента, назначение ответственных, внедрение стратегии управления рисками и определение риск-толерантности, разработка и реализация инвестиционных стратегий в ИТ и ИБ.

На уровне бизнес-процессов осуществляются определение и создание риск-ориентированных бизнес-процессов и организационной архитектуры, которая должна быть основана на сегментации, резервировании ресурсов и отсутствии единых точек отказа. Кроме того, на данном уровне осуществляется разработка архитектуры ИБ, которая обеспечит эффективное выполнение требований ИБ и внедрение всех необходимых мер и средств защиты.

На уровне информационных систем следует обеспечить выполнение решений, принятых на более высоких уровнях, а именно обеспечить управление рисками ИБ на всех этапах жизненного цикла систем: инициализации, разработки или приобретения, внедрения, использования и вывода из эксплуатации. В документе подчеркивается важность стойкости (resilience) ИТ-систем, которая является показателем жизнеспособности бизнес-функций компании.

Отметим, что в приложении «H» к рассматриваемому в документу приводится описание каждого из способов обработки рисков, перечисленных в этапе реагирования на риск. Так, указано, что в организации должна существовать как общая стратегия выбора конкретного способа обработки риска в той или иной ситуации, так и отдельные стратегии для каждого из способов обработки рисков. Указаны основные принципы выбора того или иного подхода к обработке рисков:

• принятие (acceptance) риска не должно противоречить выбранной стратегии риск-толерантности организации и её возможности нести ответственность за возможные последствия принятого риска;
• избегание (avoidance) риска является зачастую самым надежным способом обработки рисков, однако может идти вразрез с желанием компании широко применять ИТ-системы и технологии, поэтому рекомендованным подходом является целесообразный и всесторонне взвешенный выбор конкретных технологий и ИТ-сервисов;
• разделение (share) и передача (transfer) рисков — это соответственно частичное или полное разделение ответственности за последствия реализованного риска с внутренним или внешним партнером в соответствии с принятой стратегией, конечная цель которой — успешность бизнес-процессов и миссии организации;
• минимизация (или смягчение) (mitigation) рисков подразумевает применение стратегии минимизации рисков ИБ на всех трех уровнях организации и непосредственное задействование систем ИБ для смягчения возможных последствий реализации рисков. Организации следует выстраивать бизнес-процессы в соответствии с принципами защиты информации, архитектурные решения должны поддерживать возможность эффективной минимизации рисков, минимизация рисков в конкретных системах должна быть реализована с применением средств и систем защиты информации, а политики, процессы и средства ИБ должны быть достаточно универсальными и гибкими для применения их в динамичной и разнородной среде организации, с учетом непрерывно меняющегося ландшафта угроз ИБ.

В документе также уделено большое внимание организационной культуре и доверию поставщикам/контрагентам как факторам успешного управления рисками. В частности, говорится, что организационная культура и топ-менеджеры компании напрямую влияют на выбираемые решения по обработке рисков, поэтому общая стратегия риск-менеджмента должна учитывать риск-аппетит компании и отражать реально практикующиеся способы управления рисками. Модели построения доверия с контрагентами и поставщиками описаны в приложении «G»: перечислены модели, базирующиеся на проверках контрагентов (например, путем проведения аудитов), на исторически сложившемся доверии (когда за многолетнюю историю взаимоотношений контрагент не допускал нарушений), на доверии третьей стороне (которая проводит независимую оценку контрагентов), на мандатном доверии (в случае, когда регуляторными нормами устанавливаются требования о доверии такому поставщику), а также гибридная модель.

NIST SP 800-37

Теперь перейдем к документу NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy» («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»).

Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворком кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.

В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.

Кроме этого, Risk Management Framework:

• предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;
• подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;
• обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;
• предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;
• связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.

В документе указаны 7 этапов применения RMF:

1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;
2. категоризация систем и информации на основе анализа возможного негативного влияния в результате потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);
3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;
4. внедрение мер защиты и описание того, как именно применяются меры защиты;
5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;
6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;
7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.

Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, приводится список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.

Перечислим далее задачи для каждого из этапов применения RMF.

Задачи этапа «Подготовка» на уровне организации включают в себя:

• определение ролей для управления рисками;
• создание стратегии управления рисками, с учетом риск-толерантности организации;
• проведение оценки рисков;
• выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;
• определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)
• приоритизацию ИТ-систем;
• разработку и внедрение стратегии непрерывного мониторинга эффективности мер защиты.

Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

• определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;
• идентификацию лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;
• определение активов, требующих защиты;
• определение границы авторизации для системы;
• выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;
• идентификацию и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;
• проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;
• определение требований по безопасности и конфиденциальности для систем и сред функционирования;
• определение местоположения систем в общей архитектуре компании;
• распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;
• формальную регистрацию ИТ-систем в соответствующих департаментах и документах.

Задачи этапа «Категоризация» включают в себя:

• документирование характеристик системы;
• категоризацию системы и документирование результатов категоризации по требованиям безопасности;
• пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.

Задачи этапа «Выбор набора мер защиты» включают в себя:

• выбор мер защиты для системы и среды её функционирования;
• уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;
• распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;
• документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;
• создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана с общей организационной стратегией мониторинга и дополняет ее;
• пересмотр и согласование планов обеспечения безопасности и конфиденциальности системы и среды её функционирования.

Задачи этапа «Внедрение мер защиты» включают в себя:

1. внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;
2. документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.

Задачи этапа «Оценка внедренных мер защиты» включают в себя:

• выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;
• разработку, пересмотр и согласование планов по оценке внедренных мер защиты;
• проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;
• подготовку отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;
• выполнение корректирующих действий с мерами защиты и переоценку откорректированных мер;
• подготовку плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.

Задачи этапа «Авторизация» включают в себя:

• сбор авторизационного пакета документов и отправку его ответственному лицу на авторизацию;
• анализ и определение риска использования системы или применения мер защиты;
• определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;
• определение приемлемости риска использования системы или применения мер защиты;
• сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.

Задачи этапа «Непрерывный мониторинг» включают в себя:

• мониторинг информационной системы и среды её функционирования на наличие изменений, которые влияют на состояние безопасности и конфиденциальности системы;
• оценку мер защиты в соответствии со стратегией непрерывного мониторинга;
• реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;
• обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;
• сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;
• пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;
• разработку стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании срока её службы.

NIST SP 800-30

Специальная публикация NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по проведению оценок риска») посвящена процедуре проведения оценки риска, которая является фундаментальным компонентом процесса управления риском в организации в соответствии с NIST SP 800-39, наряду с определением, обработкой и мониторингом рисков. Процедуры оценки рисков используются для идентификации, оценки и приоритизации рисков, порождаемых использованием информационных систем, для операционной деятельности организации, её активов и работников. Целями оценки рисков являются информирование лиц, принимающих решения, и поддержка процесса реагирования на риск путем идентификации:

• актуальных угроз как самой организации, так и опосредованно другим организациям;
• внутренних и внешних уязвимостей;
• потенциального ущерба организации с учетом возможностей эксплуатации уязвимостей угрозами;
• вероятности возникновения этого ущерба.

Конечным результатом является вычисление детерминанты (значения) риска, т.е. функции от размера ущерба и вероятности возникновения ущерба. Оценку риска можно проводить на всех трех уровнях управления рисками (уровни организации, миссии, информационных систем), по аналогии с подходом, применяемым в NIST SP 800-39 и NIST SP 800-37. Подчеркивается, что оценка рисков — это непрерывный процесс, затрагивающий все уровни управления рисками в организации, а также требующий включения в жизненный цикл разработки систем (англ. system development life cycle, SDLC) и проводимый с частотой, адекватной целям и объему оценки.

Процесс оценки рисков включает в себя:

• подготовку к оценке рисков;
• проведение оценки рисков;
• коммуницирование результатов оценки и передачу информации внутри организации;
• поддержание достигнутых результатов.

В документе говорится о важности составления методологии оценки риска, которая разрабатывается организацией на этапе определения рисков. Указано, что организация может выбрать одну или несколько методологий оценки риска, в зависимости от имеющихся ресурсов, фазы SDLC, сложности и зрелости бизнес-процессов, критичности/важности обрабатываемой информации. При этом созданием корректной методологии организация повышает качество и воспроизводимость реализуемых оценок риска. Методология оценки риска обычно включает в себя:

• описание процесса оценки риска;
• модель рисков, описывающая оцениваемые факторы риска и взаимосвязи между ними;
• способ оценки рисков (например, качественный или количественный), описывающий значения, которые могут принимать факторы риска, и то, как комбинации этих факторов могут быть обработаны;
• способ анализа (например, угрозо-центричный, ориентированный на активы или уязвимости), описывающий, как идентифицируются и анализируются комбинации факторов риска.

Модель рисков описывает оцениваемые факторы риска и взаимосвязи между ними. Факторы риска — это характеристики, используемые в моделях риска в качестве входных данных для определения уровней рисков при проведении оценки рисков. Кроме этого, факторы риска используются при коммуницировании рисков для выделения тех факторов, которые ощутимо влияют на уровни рисков в определенных ситуациях и контекстах. Типовые факторы риска включают в себя:

• угрозы;
• уязвимости;
• негативное влияние;
• вероятность;
• предварительные условия.

При этом некоторые факторы риска могут быть декомпозированы до более детальных характеристик, например, угрозы можно декомпозировать до источников угроз (англ. threat sources) и событий угроз (англ. threat events).

Угроза — это любое обстоятельство или событие, имеющее потенциал негативного влияния на бизнес-процессы или активы, сотрудников, другие организации путем осуществления несанкционированного доступа, разрушения, разглашения или модификации информации и/или отказа в обслуживании. События угроз порождаются источниками угроз. Источником угроз может быть намеренное действие, направленное на эксплуатацию уязвимости, или ненамеренное действие, в результате которого уязвимость была проэксплуатирована случайно. В целом, типы источников угроз включают в себя:

• враждебные кибератаки или физические атаки;
• человеческие ошибки;
• структурные ошибки в активах, подконтрольных организации;
• природные или техногенные аварии или катастрофы.

Детальность определения событий угроз зависит от глубины построения модели рисков. В случае детального рассмотрения модели рисков можно строить сценарии угроз, которые являются набором из нескольких событий угроз, приводящих к негативным эффектам, атрибутированных к определенному источнику угроз (или нескольким источникам) и упорядоченных по времени; при этом рассматривается потенциальная вероятность последовательной эксплуатации нескольких уязвимостей, приводящей к успешной реализации атаки. События угроз в кибер- или физических атаках характеризуются набором тактик, техник и процедур (англ. tactics, techniques, and procedures, TTPs), о которых мы уже говорили ранее.

Рассматриваемый документ также говорит о таком понятии, как «смещение угрозы» (англ. threat shifting), под которым понимается изменение атакующими своих TTPs в зависимости от мер защиты, предпринятых компанией и выявленных атакующими. Смещение угрозы может быть осуществлено во временном домене (например, попытки атаковать в другое время или растянуть атаку во времени), в целевом домене (например, выбор менее защищенной цели), ресурсном домене (например, использование атакующими дополнительных ресурсов для взлома цели), домене планирования или метода атаки (например, использование другого хакерского инструментария или попытки атаковать иными методами). Кроме этого, подчеркивается, что атакующие зачастую предпочитают путь наименьшего сопротивления для достижения своих целей, т.е. выбирают самое слабое звено в цепи защиты.

Уязвимость — это слабость в информационной системе, процедурах обеспечения безопасности, внутренних способах защиты или в особенностях конкретной реализации/внедрения той или иной технологии или системы. Уязвимость характеризуется своей опасностью в контексте расчётной важности её исправления; при этом опасность может быть определена в зависимости от ожидаемого негативного эффекта от эксплуатации этой уязвимости. Большинство уязвимостей в информационных системах организации возникают или из-за не примененных (случайно или нарочно) мер ИБ, или примененных неверно. Важно также помнить и об эволюции угроз и самих защищаемых систем — и в тех, и в других со временем происходят изменения, которые следует учитывать при проведении переоценки рисков. Кроме уязвимостей технического характера в ИТ-системах, следует учитывать и ошибки в управлении организацией и в архитектуре систем.

Предварительное условие (англ. predisposing condition) в контексте оценки рисков — это условие, существующее в бизнес-процессе, архитектуре или ИТ-системе, влияющее (снижающее или увеличивающее) на вероятность причинения ущерба угрозой. Логическими синонимами будут термины «подверженность» (англ. susceptibility) или «открытость» (англ. exposure) риску, означающие, что уязвимость может быть проэксплуатирована угрозой для нанесения ущерба. Например, SQL-сервер потенциально подвержен уязвимости SQL-инъекции. Кроме технических предварительных условий, следует учитывать и организационные: так, местоположение офиса в низине увеличивает риск подтопления, а отсутствие коммуникации между сотрудниками при разработке ИТ-системы увеличивает риск её взлома в дальнейшем.

Вероятность возникновения (англ. likelihood of occurrence) угрозы — фактор риска, рассчитываемый на основе анализа вероятности того, что определенная уязвимость (или группа уязвимостей) может быть проэксплуатирована определенной угрозой, с учетом вероятности того, что угроза в итоге причинит реальный ущерб. Для намеренных угроз оценка вероятности возникновения обычно оценивается на основании намерений, возможностей и целей злоумышленника. Для ненамеренных угроз оценка вероятности возникновения, как правило, зависит от эмпирических и исторических данных. При этом вероятность возникновения оценивается на определенную временную перспективу — например, на следующий год или на отчетный период. В случае, если угроза практически стопроцентно будет инициирована или реализована в течение определенного временного периода, при оценке рисков следует учесть ожидаемую частоту её реализации. При оценке вероятности возникновения угрозы следует учитывать состояние управления и бизнес-процессов организации, предварительные условия, наличие и эффективность имеющихся мер защиты. Вероятность негативного влияния означает возможность того, что при реализации угрозы будет нанесен какой-либо ущерб, вне зависимости от его величины. При определении общей вероятности возникновения событий угроз можно использовать следующие три этапа:

1. Оценка вероятности того, что событие угрозы будет кем-либо инициировано (в случае намеренной угрозы) или случится само (в случае ненамеренной).
2. Оценка вероятности того, что возникшая угроза приведет к ущербу или нанесет вред организации, активам, сотрудникам.
3. Общая вероятность рассчитывается как комбинация первых двух полученных оценок.

Кроме этого подхода, в документе дается рекомендация не искать абсолютно все взаимосвязанные угрозы и уязвимости, а сконцентрироваться на тех из них, которые действительно могут быть использованы в атаках, а также на бизнес-процессах и функциях с недостаточными мерами защиты.

Уровень негативного влияния (англ. impact) события угрозы — это величина ущерба, который ожидается от несанкционированного разглашения, доступа, изменения, утери информации или недоступности информационных систем. Организации явным образом определяют:

1. Процесс, используемый для определения негативного влияния.
2. Предположения, используемые для определения негативного влияния.
3. Источники и методы получения информации о негативном влиянии.
4. Логическое обоснование, использованное для определения негативного влияния.

Кроме этого, при расчете негативного влияния организации должны учитывать ценность активов и информации: можно использовать принятую в компании систему категорирования информации по уровням значимости или результаты оценок негативного влияния на конфиденциальность (англ. Privacy Impact Assessments).

При оценке рисков важным фактором является степень неточности (англ. uncertainty), которая возникает из-за следующих, в общем-то, естественных ограничений, таких как невозможность с точностью спрогнозировать будущие события; недостаточные имеющиеся сведения об угрозах; неизвестные уязвимости; нераспознанные взаимозависимости.

С учетом вышесказанного, модель риска можно описать как следующую логическую структуру:

источник угрозы (с определенными характеристиками) с определенной долей вероятности инициирует событие угрозы, которое эксплуатирует уязвимость (имеющую определенную долю опасности, с учетом предварительных условий и успешного обхода защитных мер), вследствие чего создается негативное влияние (с определенной величиной риска как функции от размера ущерба и вероятности возникновения ущерба), которое порождает риск.

Документ дает также рекомендации по использованию процесса агрегирования рисков (англ. risk aggregation) в целях объединения нескольких разобщенных или низкоуровневых рисков в один более общий: например, риски отдельных ИТ-систем могут быть агрегированы в общий риск для всей поддерживаемой ими бизнес-системы. При таком объединении следует учитывать то, что некоторые риски могут реализовываться одновременно или чаще, чем это прогнозировалось. Также следует учитывать взаимосвязи между разобщенными рисками и либо объединять их, либо, наоборот, разъединять.

В NIST SP 800-30 также описаны основные способы оценки рисков: количественный (англ. quantitative), качественный (англ. qualitative) и полуколичественный (англ. semi-quantitative).

Количественный анализ оперирует конкретными цифрами (стоимостью, временем простоя, затратами и т.д.) и лучше всего подходит для проведения анализа выгод и затрат (англ. Cost–benefit analysis), однако является достаточно ресурсоёмким.

Качественный анализ применяет описательные характеристики (например, высокий, средний, низкий), что может привести к некорректным выводам ввиду малого количества возможных оценок и субъективности их выставления.

Полуколичественный способ является промежуточным вариантом, предлагающим использовать больший диапазон возможных оценок (например, по шкале от 1 до 10) для более точной оценки и анализа результатов сравнения. Применение конкретного способа оценки рисков зависит как от сферы деятельности организации (например, в банковской сфере может применяться более строгий количественный анализ), так и от стадии жизненного цикла системы (например, на начальных этапах цикла может проводиться только качественная оценка рисков, а на более зрелых — уже количественная).

Наконец, в документе также описаны три основных способа анализа факторов рисков: угрозо-центричный (англ. threat-oriented), ориентированный на активы (англ. asset/impact-oriented) или уязвимости (англ. vulnerability-oriented).

Угрозо-центричный способ сфокусирован на создании сценариев угроз и начинается с определения источников угроз и событий угроз; далее, уязвимости идентифицируются в контексте угроз, а негативное влияние связывается с намерениями злоумышленника.

Способ, ориентированный на активы, подразумевает выявление событий угроз и источников угроз, способных оказать негативное влияние на активы; во главу угла ставится потенциальный ущерб активам.

Применение способа, ориентированного на уязвимости, начинается с анализа набора предварительных условий и недостатков/слабостей, которые могут быть проэксплуатированы; далее определяются возможные события угроз и последствия эксплуатации ими найденных уязвимостей. Документ содержит рекомендации по комбинированию описанных способов анализа для получения более объективной картины угроз при оценке рисков.

Итак, как мы уже указали выше, по NIST SP 800-30 процесс оценки рисков разбивается на 4 шага:

• подготовка к оценке рисков;
• проведение оценки рисков;
• коммуницирование результатов оценки и передача информации внутри организации;
• поддержание достигнутых результатов.

Рассмотрим подробнее задачи, выполняемые на каждом из этапов.

1. Подготовка к оценке рисков.

В рамках подготовки к оценке рисков выполняются следующие задачи:

1.1. Идентификация цели оценки рисков: какая информация ожидается в результате оценки, какие решения будут продиктованы результатом оценки.
1.2. Идентификация области (англ. scope) оценки рисков в контексте применимости к конкретной организации, временного промежутка, сведений об архитектуре и используемых технологиях
1.3. Идентификация специфичных предположений и ограничений, с учетом которых проводится оценка рисков. В рамках этой задачи определяются предположения и ограничения в таких элементах, как источники угроз, события угроз, уязвимости, предварительные условия, вероятность возникновения, негативное влияние, риск-толерантность и уровень неточности, а также выбранный способ анализа.
1.4. Идентификация источников предварительной информации, источников угроз и уязвимостей, а также информации о негативном влиянии, которая будет использоваться в оценке рисков. В этом процессе источники информации могут быть как внутренними (такими, как отчеты по инцидентам и аудитам, журналы безопасности и результаты мониторинга), так и внешними (например, отчеты CERTов, результаты исследований и прочая релевантная общедоступная информация).
1.5. Идентификация модели рисков, способа оценки рисков и подхода к анализу, которые будут использоваться в оценке рисков.

2. Проведение оценки рисков.

В рамках оценки рисков выполняются следующие задачи:

2.1. Идентификация и характеризация актуальных источников угроз, включая возможности, намерения и цели намеренных угроз, а также возможные эффекты от ненамеренных угроз.
2.2. Идентификация потенциальных событий угроз, релевантности этих событий, а также источников угроз, которые могут инициировать события угроз.
2.3. Идентификация уязвимостей и предварительных условий, которые влияют на вероятность того, что актуальные события угроз приведут к негативному влиянию. Ее целью является определение того, насколько рассматриваемые бизнес-процессы и информационные системы уязвимы перед идентифицированными ранее источниками угроз и насколько идентифицированные события угроз действительно могут быть инициированы этими источниками угроз.
2.4. Определение вероятности того, что актуальные события угроз приведут к негативному влиянию, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.
2.5. Определение негативного влияния, порожденного источниками угроз, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.
2.6. Определение риска от реализации актуальных событий угроз, принимая во внимание уровень негативного влияния от этих событий и вероятность наступления этих событий. В Приложении «I» к данному стандарту приведена таблица I-2 для расчета уровня риска в зависимости от уровней вероятности и негативного влияния.

3. Коммуницирование результатов оценки рисков и передача информации.

В рамках коммуницирования результатов оценки рисков и передачи информации выполняются следующие задачи:

3.1. Коммуницирование результатов оценки рисков лицам, принимающим решения, для реагирования на риски.
3.2. Передача заинтересованным лицам информации, касающейся рисков, выявленных в результате оценки.

4. Поддержание достигнутых результатов.

В рамках поддержания достигнутых результатов выполняются следующие задачи:

4.1. Проведение непрерывного мониторинга факторов риска, которые влияют на риски в операционной деятельности организации, на её активы, сотрудников, другие организации. Данной задаче посвящен стандарт NIST SP 800-137, который мы рассмотрим далее.
4.2. Актуализация оценки рисков с использованием результатов процесса непрерывного мониторинга факторов риска.

Как видим, документ NIST SP 800-30 предлагает достаточно детальный подход к моделированию угроз и расчету рисков. Ценными являются также приложения к данному стандарту, содержащие примеры расчетов по каждой из подзадач оценки рисков, а также перечни возможных источников угроз, событий угроз, уязвимостей и предварительных условий.

NIST SP 800-137

Перейдем теперь к обзору документа NIST SP 800-137 «Information Security Continuous Monitoring for Federal information Systems and Organizations» («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»).

Задачей построения стратегии непрерывного мониторинга информационной безопасности является оценка эффективности мер защиты и статуса безопасности систем с целью реагирования на постоянно меняющиеся вызовы и задачи в сфере информационной безопасности. Система непрерывного мониторинга ИБ помогает предоставлять ситуационную осведомленность о состоянии безопасности информационных систем компании на основании информации, собранной из различных ресурсов (таких как активы, процессы, технологии, сотрудники), а также об имеющихся возможностях по реагированию на изменения ситуации. Данная система является одной из тактик в общей стратегии управления рисками.

Как и прочие документы серии SP, в данной публикации приведен рекомендуемый процессный подход к выстраиванию системы мониторинга ИБ, состоящий из:

• определения стратегии непрерывного мониторинга ИБ (включает в себя выстраивание стратегии на уровне организации, бизнес-процессов и информационных систем; назначение ролей и ответственных; выбор тестового набора систем для сбора данных);
• разработки программы непрерывного мониторинга ИБ (включает в себя определение метрик для оценки и контроля; выбор частоты проведения мониторинга и оценки; разработку архитектуры системы мониторинга);
• внедрения программы непрерывного мониторинга ИБ;
• анализа найденных недочетов и отчета о них (включает в себя анализ данных; отчетность по оценке мер защиты; отчетность по мониторингу статуса защиты);
• реагирования на выявленные недочеты;
• пересмотра и обновления стратегии и программы непрерывного мониторинга ИБ.

В документе также даются следующие рекомендации по выбору инструментов обеспечения непрерывного мониторинга ИБ:

• поддержка ими большого количества источников данных;
• использование открытых и общедоступных спецификаций (например, SCAP — Security Content Automation Protocol);
• интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты;
• поддержка процесса анализа соответствия применимым законодательным нормам;
• гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных;
• поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.

UPD: Продолжение данной статьи — тут.