Международный стандарт ИСО 13335: 2006, область его применения

Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы.

Угрозы.

Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом. Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере. Ущерб активам может быть нанесен только при наличии у них уязвимости. Угрозы могут быть естественного происхождения или связаны с человеческим фактором. В последнем случае угрозы могут быть случайными или целенаправленными.

Примеры угроз приведены в таблице 1.

Угрозы, как случайные, так и преднамеренные, должны быть идентифицированы, а их уровень и вероятность возникновения должны быть оценены. По многим видам угроз среды собраны статистические данные. Эти данные могут быть использованы организацией при оценке угроз.

Т а б л и ц а 1

Угрозы, обусловленные человеческим фактором		Угрозы среды
целенаправленные	случайные
Подслушивание/перехват Модификация информации Атака хакера на систему Злонамеренный код Хищение	Ошибки и упущения Удаление файла Ошибка маршрутизации Материально несчастные случаи	Землетрясение Молния Пожар наводнение

 

Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств. Некоторые угрозы могут быть общими для всей организации, например ущерб зданиям от урагана или молнии. Угроза может исходить как изнутри организации, например забастовка сотрудников, так и снаружи, например атаки хакеров или промышленный шпионаж. Размер ущерба от угрозы может варьироваться при каждом ее возникновении. Ущерб, наносимый нежелательным инцидентом, может быть временным или постоянным, как в случае разрушения актива.

 

Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими

компонентами безопасности:

- источник, внутренний или  внешний;

- мотивация, например финансовая  выгода, конкурентное преимущество;

- частота возникновения;

- правдоподобие;

- вредоносное воздействие.

Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие.

Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды.

При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий.

Уязвимость.

Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы. Следует рассматривать уязвимости, возникающие из различных источников, например внутренних и внешних по отношению к конкретному активу.

 

Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.

Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов.

В конкретных системе или организации не все уязвимости соответствуют угрозам. В первую очередь следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силу того, что окружающая среда может непредсказуемо меняться, необходимо вести мониторинг всех уязвимостей для того, чтобы вовремя выявлять те из них, которые могут использовать вновь появляющиеся угрозы.

Оценка уязвимостей — это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб.

При оценке уровень уязвимости может быть определен как высокий, средний или низкий.

Воздействие.

Воздействие — это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.

 

 

 

Количественное и качественное измерение воздействия могут быть проведены:

- определением финансовых  потерь;

- использованием эмпирической  шкалы серьезности воздействия, например от 1 до 10;

- использованием заранее  оговоренных уровней (высокий, средний и низкий).

Риск.

Риск — это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Одна угроза или группа угроз могут использовать одну уязвимость или группу уязвимостей.

Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое изменение активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие риска.

Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и вероятности возникновения инцидентов. Решение о принятии риска должно приниматься специалистами, имеющими право принимать решение о допустимости опасных последствий при возникновении инцидента и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.

Защитные меры.

Защитные меры — это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов.

 

Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или может уже существовать в системе или организации.

Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций:

- предотвращение;

- сдерживание;

- обнаружение;

- ограничение;

- исправление;

- восстановление;

- мониторинг;

- осведомление.

Пример — Области, в которых могут использоваться защитные меры, включают в себя:

- физическую среду;

- техническую среду (аппаратно-программное  обеспечение и средства связи);

- персонал;

- администрирование.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.

Пример — Такими специфическими защитными мерами являются:

 

 

- политики и процедуры;

- механизмы контроля доступа;

- антивирусное программное  обеспечение;

- шифрование;

- цифровая подпись;

- инструменты мониторинга  и анализа;

- резервный источник питания;

- резервные копии информации.

Ограничения.

Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.

Пример — Такие ограничения могут включать в себя:

- организационные;

- коммерческие;

- финансовые;

- по окружающей среде;

- по персоналу;

- временные;

- правовые;

- технические;

- культурные/социальные.

Ограничения, присущие организации, должны учитываться при выборе и реализации защитных мер. Необходимо периодически пересматривать существующие и учитывать новые ограничения. Следует отметить, что ограничения могут со временем изменяться в зависимости от положения организации и изменения внешней среды. Внешняя среда, в которой действует организация, имеет отношение к нескольким компонентам безопасности, в частности к угрозам, рискам и защитным мерам.

 

3. Цели, стратегия и политика

В качестве основы действенной безопасности ИТТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер. Для того, чтобы обеспечить подобную согласованность, особенно важно, чтобы цели, стратегия и политика безопасности были интегрированы впрограммы обучения и повышения квалификации в области безопасности.

Цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующих подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами.

Более того, общие цели, стратегии и политика должны быть отражены и уточнены в детальных и специфических целях, политике и процедурах во всех сферах интереса организации, таких как управление финансами, персоналом и безопасностью. Далее безопасность подразделяют на составляющие (связанную с персоналом, физическую, информационную, ИТТ безопасность и т. д.). Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации.

Цели, стратегии, политика и методы безопасности ИТТ должны отображать то, что ожидается от ИТТ в сфере безопасности. Как правило, их излагают на общепринятом языке, однако в некоторых случаях может возникнуть и потребность изложить их более формально с использованием специфической терминологии. Цели, стратегия, политика определяют уровень безопасности для организации и порог приемлемого риска.

Цели и стратегии безопасности информационно-телекоммуникационных технологий.

После установления целей безопасности ИТТ организации должны быть разработаны стратегии безопасности ИТТ, являющиеся фундаментом развития политики безопасности ИТТ организации. Развитие безопасности ИТТ необходимо для того, чтобы гарантировать достоверность и эффективность результатов процесса управления рисками.

 

 Для развития и успешной  реализации политики безопасности  ИТТ в организации требуется  обеспечить ее всестороннее управление. Важно, чтобы политика безопасности  ИТТ учитывала цели и особенности  данной организации. Политика безопасности  ИТТ должна объединяться с  политикой безопасности и бизнес-политикой организации. Такое объединение поможет достичь наиболее эффек-тивного использования ресурсов и обеспечить согласованный подход к безопасности в различных условиях окружающей среды.