Управление рисками и международные стандарты

В настоящее время в технологически развитых странах разработано новое поколение стандартов ИБ, посвященных практическим вопросам организации режима ИБ на предприятии. К ним прежде всего относятся международные и национальные стандарты оценки ИБ и управления ею — ISO 15 408, ISO 17 799 (BS 7799), BSI; стандарты аудита, отражающие вопросы ИБ — COBIT, SAC, COSO и некоторые другие. В соответствии с этими стандартами организация режима ИБ организации предполагает следующее:

• 1) Определение целей обеспечения ИБ компании.
• 2) Создание эффективной системы управления информационной безопасностью.
• 3) Расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия ИБ заявленным целям.
• 4) Применение инструментария обеспечения ИБ и оценки ее текущего состояния.
• 5) Использование методик в процессе анализа рисков и управления ими, позволяющих объективно оценить текущее состояние дел.

Особенностью данного поколения стандартов является детальный комплексный учет измеримых показателей ИБ компании, что предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая ИБ КИС, но и организационно-административные меры по ее обеспечению.

При этом, наличие системы управления информационной безопасностью (Information Security Managment), и, в частности, анализа ИР и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии. Многие зарубежные национальные институты стандартов и организации, специализирующиеся на комплексном решении проблем ИБ, предложили похожие концепции управления ИР. Рассмотрим популярные сегодня за рубежом концепции стандарта Великобритании BS 7799 (ISO 17 799), стандарта ФРГ BSI и стандарта США NIST. Стандарт ISO 15 408, гармонизированный в России, рассматривается в главе 3.

Международный стандарт безопасности информационных систем ISO 17 799.

В 1995 г. была принята первая часть Британского стандарта BS 7799 «Практические правила управления информационной безопасностью», а в 1998 г. вышла вторая часть стандарта, относящаяся к вопросам аудита информационной безопасности. Стандарт начали применять на добровольной основе не только в Великобритании, но и в других странах. На сегодняшний день стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO 17 799 [39]. В сентябре 2002 г. главные положения BS 7799 (ISO 17 799) были пересмотрены и дополнены с учетом развития современных ИТ и требований к организации режима ИБ, в новом варианте стандарта много внимания уделено дальнейшему развитию технологий оценки рисков и управления ими. В настоящее время это наиболее распространенный документ среди организаций, которые пользуются подобными стандартами на добровольной основе, однако, в нем отсутствует раздел, посвященный аудиту (аналог BS 7799, часть 2).

Обзор стандарта BS 7799:

Часть 1: Практические рекомендации. Определяются и рассматриваются следующие аспекты организации режима ИБ:

• · политика информационной безопасности;
• · организация защиты (инфраструктура ИБ, обеспечение ИБ при доступе сторонних пользователей и организаций);
• · классификация информационных ресурсов и управление ими (ответственность за ресурсы, классификация информации по категориям критичности);
• · управление персоналом (вопросы безопасности в должностных инструкциях, обучение пользователей, реакция на нарушения режима ИБ);
• · физическая безопасность (зоны безопасности, защита оборудования);
• · администрирование компьютерных систем и сетей (правила эксплуатации и ответственные за их соблюдение, проектирование и приемка систем, защита от вредоносного программного обеспечения, обслуживание систем, сетевое администрирование, защита носителей информации, обмен данными);
• · управление доступом к системам (доступ к служебной информации, доступ и обязанности пользователей, доступ к сети, компьютерам, приложениям, слежение за доступом к системам и их использованием);
• · разработка и сопровождение систем (требования к ИБ систем, средства обеспечения ИБ в системах, защита файлов, безопасность при разработке и эксплуатации);
• · планирование бесперебойной работы организации;
• · проверка системы на соответствие требованиям ИБ (выполнение нормативных требований, проверка соответствия политике ИБ, меры безопасности при тестировании).

Часть 2: Спецификации. Посвящена тем же аспектам, но с точки зрения сертификации режима ИБ на соответствие требованиям стандарта — формальной процедуре, позволяющей убедиться, что декларируемые принципы построения режима ИБ действительно реализованы.

Отметим, что в рассматриваемом стандарте декларируются лишь общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным системам, следовательно, данный документ предполагает довольно высокие требования к квалификации специалистов, осуществляющих его внедрение, а также проверку на соответствие требованиям стандарта.

Стандарт ФРГ BSI.

В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности» IT Baseline Protection Manual. Standard security safeguards. — http://www.bsi.bund.de/gshb/english/. Объемный справочник размером около 4 Mb в формате HTML. Документ содержит следующие блоки:

• · методология управления (организация менеджмента) ИБ;
• · компоненты информационных технологий:

­ основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);

­ инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);

­ клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);

­ сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);

­ элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и пр.);

­ телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);

­ стандартное программное обеспечение;

­ базы данных.

· каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

Все каталоги структурированы следующим образом:

· угрозы по классам:

­ форс-мажорные обстоятельства;

­ недостатки организационных мер;

­ ошибки человека;

­ технические неисправности;

­ преднамеренные действия.

· контрмеры по классам:

­ улучшение инфраструктуры;

­ административные контрмеры;

­ процедурные контрмеры;

­ программно-технические контрмеры;

­ уменьшение уязвимости коммуникаций;

­ планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по следующему плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога безопасности), возможные контрмеры (перечисляются различные контрмеры из каталога контрмер). Таким образом, фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты ИТ с учетом их специфики. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках доступны на сайте Германского института стандартов в области ИТ (BSI) http://www.bsi.bund.de/fehler/index.htm. Данный информационный ресурс заслуживает внимания, поскольку каталоги угроз безопасности и контрмер, содержащие более 600 позиций каждый, являются наиболее подробными из общедоступных и пригодны для самостоятельного использования при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности.

К числу достоинств стандарта BSI можно отнести учет специфики различных элементов, а также гипертекстовую структуру документа, позволяющую оперативно вносить изменения и корректировать связи между частями стандарта. Недостаток — невозможность объять необъятное: для всего множества элементов современных ИТ сохранить одинаковый уровень детализации, в связи с чем неизбежно приходится вводить раздел «Прочее», в котором в общем виде описываются менее распространенные элементы.

Стандарт США NIST 800−30.

Разработанный институтом стандартов США документ Risk Management Guide for Information Technology Systems, NIST, Special Publication 800−30. подробно рассматривает вопросы управления информационными рисками, поскольку считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием ИТ, и обеспечить достижение основных бизнес-целей предприятия. Для этого система управления ИР интегрируется в систему управления жизненным циклом информационных технологий компании (см. таблицу 2.1).

Таблица 2.1. Управление рисками на различных стадиях жизненного цикла ИТ.

Рассмотрим основные стадии, которые согласно стандарту NIST 800−30 должна включать технология управления информационными рисками.

Описание корпоративной информационной системы. На данном шаге описываются цели КИС, ее границы, информационные ресурсы, требования в области ИБ, компоненты управления информационной системой и режимом ИБ.

Описание рекомендуется проводить в соответствии со следующим планом:

• · аппаратные средства КИС, их конфигурация;
• · используемое программное обеспечение;
• · интерфейсы системы, то есть внешние и внутренние связи с позиции ИТ;
• · типы данных и информации;
• · обязанности персонала, использующего КИС;
• · миссия данной КИС (основные цели);
• · критичные типы данных и информационные процессы;
• · функциональные требования к информационной системе;
• · категории пользователей и обслуживающего персонала системы;
• · формальные требования в области ИБ, применимые к данной КИС (законодательные акты, ведомственные стандарты и т. п.);
• · архитектура подсистемы ИБ;
• · топология локальной сети;
• · программно-технические средства обеспечения ИБ;
• · входные и выходные данные;
• · система управления в рассматриваемой КИС (должностные инструкции, система планирования в сфере обеспечения ИБ);
• · существующая система управления в области ИБ (резервное копирование, процедуры реагирования на внештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т. д.);
• · организация физической безопасности;
• · управление и контроль над внешней по отношению к КИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и пр.).

Для получения указанной информации на практике рекомендуется использовать:

• · разнообразные вопросники (check-lists), которые могут быть адресованы различным группам управленческого и обслуживающего персонала;
• · интервью внешних аналитиков, которые проводят неформальные беседы с персоналом и затем готовят формализованное описание;
• · анализ формальных документов и различной документации организации;
• · специализированный инструментарий, то есть существующее разнообразное программное обеспечение, благодаря которому удается частично автоматизировать и формализовать процесс описания (сканеры для составления схемы КИС, программы для структурированного описания информационных систем).

Идентификация угроз и уязвимостей. Применяются следующие понятия:

• · источник угрозы — событие либо ситуация и способ, который может привести к реализации угрозы в результате использования потенциальной уязвимости;
• · угроза — потенциал либо мера возможности реализации источника угрозы;
• · уязвимость — слабость в защите.

При составлении перечня угроз и оценке их уровня обращаются к спискам классов угроз различных организаций и информации об их рейтингах либо к средним значениям вероятности реализации данной угрозы.

Также формируется список потенциальных уязвимостей КИС и возможных результатов их реализации. Для уже существующей информационной системы при составлении списка прибегают к ряду источников, в частности, используют сетевые сканеры уязвимостей, каталоги уязвимостей различных организаций (например, база данных по уязвимостям института стандартов США http://icat.nist.gov), специализированные методы анализа рисков. При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима ИБ, данные внутреннего аудита и результаты анализа имевших место инцидентов.

Если КИС находится в стадии проектирования, учитываются планируемые процедуры обеспечения ИБ, статистика по уязвимостям, данные производителей средств защиты информации.

Некоторые технологии оценки угроз и уязвимостей рассмотрены в параграфе 2.3.

Формирование списка управляющих воздействий организации на режим ИБ, структурированного по уровням или областям ответственности, пример которого приведен в приложении 1.

Подробно средства управления ИБ предприятия описываются в различных руководствах, например, в NIST SP 800−26.

Анализ системы управления КИС с позиции возможного воздействия на выявленные угрозы и уязвимости. Обычно рассматриваются две категории методов управления: технического и нетехнического уровня.

Методы технического уровня, в свою очередь, подразделяются на:

• · обеспечение требований базового уровня (идентификация, управление системой распределения ключей, администрирование, способы защиты программно-технических элементов системы);
• · упреждающие меры (авторизация, обеспечение безотказности, контроль доступа, сохранение конфиденциальности трансакций);
• · обнаружение нарушений в области ИБ и процедуры восстановления (аудит, выявление вторжений, антивирусная защита, проверка целостности программного обеспечения и данных).

К методам нетехнического уровня относятся различные методы управления организационного и процедурного характера.

Анализ возможных последствий нарушения режима ИБ проводится с целью определить действительную цену таких нарушений. Последствия нарушения режима ИБ могут быть разноплановыми, в частности, прямые финансовые убытки, потеря репутации, различные санкции со стороны официальных структур и т. д. На данном шаге производится выбор системы критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий, подобная приведенной в приложении 1.

Оценка рисков. На этом шаге измеряется уровень рисков нарушения целостности, конфиденциальности и доступности информационных ресурсов. Уровень риска определяется уровнями угроз, уязвимостей и ценой возможных последствий нарушения ИБ. Существуют различные методики измерения информационных рисков, ряд которых рассматривается в параграфе 2.3.

Если применяются качественные методы измерения, возможные риски нарушения ИБ ранжируются по степени их опасности с учетом таких факторов, как цена возможных потерь, степень угрозы и уязвимости.

Если риски оцениваются с помощью количественных шкал, это дает возможность упростить последующий анализ предлагаемых контрмер по критерию «стоимость-эффективность». Однако, в этом случае предъявляются более строгие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.

Выработка рекомендаций по управлению рисками, то есть снижению рисков до допустимого уровня, является необходимым этапом на основе проведенного анализа. Указывается, что рекомендации должны быть комплексными и предусматривать возможные меры различных уровней, например:

• · коррективы и дополнения в политику ИБ;
• · изменения в регламентах обслуживания и должностных инструкциях;
• · дополнительные программно-технические средства и т. п.

Разработка итоговых отчетных документов, удовлетворяющих определенным требованиям к их содержанию. В частности, обязательно наличие следующих разделов: цели работы, принятая методология, описание информационной системы с позиции ИБ, угрозы, уязвимости, риски, предлагаемые контрмеры.

Представляется очевидным, что следование требованиям рассмотренного стандарта предполагает значительные трудозатраты и соответствующую квалификацию специалистов. Вместе с тем, всесторонний анализ информационных рисков, которые принимает на себя организация, существенно облегчает и в конечном итоге удешевляет построение системы управления ИР и обеспечения ИБ компании.