Get best of the week

Analyse internationaler Dokumente zum Informationssicherheits-Risikomanagement. Teil 1

Freunde, in einem früheren BeitragWir haben Regulierungsdokumente zum Informationsschutz im russischen Kredit- und Finanzsektor geprüft, von denen sich einige auf Methoden zur Bewertung und Verwaltung des Informationssicherheitsrisikos beziehen. Aus geschäftlicher Sicht ist Informationssicherheitsmanagement im Allgemeinen ein untergeordneter Prozess eines umfassenderen Risikomanagementprozesses: Wenn ein Unternehmen nach Analyse und Bewertung aller Geschäftsrisiken zu dem Schluss kommt, dass die Risiken der Informationssicherheit relevant sind, kommt der Informationsschutz selbst ins Spiel, um einige zu minimieren Risiken. Mit dem Risikomanagement können Sie IS-Prozesse effizient und rational aufbauen und Ressourcen zuweisen, um die Vermögenswerte des Unternehmens zu schützen. Mit der Risikobewertung können Sie geeignete Maßnahmen ergreifen, um diese zu minimieren: Um sich vor erheblichen und relevanten Bedrohungen zu schützen, ist es logisch, teurere Lösungen zu verwenden.als unbedeutenden oder schwer umsetzbaren Bedrohungen entgegenzuwirken.

Darüber hinaus ermöglicht der integrierte Informationsmanagement-Risikomanagementprozess die Entwicklung und gegebenenfalls Anwendung klarer Pläne zur Gewährleistung von Geschäftskontinuität und Notfallwiederherstellung (Business Continuity & Disaster Recovery): Eine eingehende Untersuchung verschiedener Risiken wird dazu beitragen, beispielsweise die plötzliche Notwendigkeit eines Fernzugriffs für eine große Anzahl von Unternehmen zu berücksichtigen Mitarbeiter, da dies im Falle einer Epidemie oder eines Zusammenbruchs des Verkehrssystems passieren kann. Also, in dieser Veröffentlichung - eine Analyse internationaler Dokumente zum Informationssicherheits-Risikomanagement. Viel Spaß beim Lesen!

Bild

Das allgemeine Konzept des IS-Risikomanagements


Unter Informationssicherheitsrisiko oder Cyber-Risiko wird die potenzielle Möglichkeit verstanden, Schwachstellen in Vermögenswerten als spezifische Bedrohung für das Unternehmen auszunutzen. Der Wert des Risikos bedeutet bedingt das Produkt aus der Wahrscheinlichkeit eines negativen Ereignisses und der Höhe des Schadens. Unter der Wahrscheinlichkeit eines Ereignisses wird wiederum das Produkt der Wahrscheinlichkeit einer Bedrohung und der Gefahr einer Verwundbarkeit verstanden, ausgedrückt in qualitativer oder quantitativer Form. Herkömmlicherweise können wir dies mit der logischen Formel ausdrücken:
ValueRisk = Wahrscheinlichkeit eines Ereignisses * Größe des Schadens , wobei die Wahrscheinlichkeit eines Ereignisses = Wahrscheinlichkeit von Bedrohungen * Wert der Sicherheitsanfälligkeit


Es gibt auch bedingte Risikoklassifizierungen: nach Risikoquelle (z. B. Angriffe von Hackern oder Insidern, finanzielle Fehler, Auswirkungen staatlicher Regulierungsbehörden, rechtliche Ansprüche von Auftragnehmern, negative informative Auswirkungen von Wettbewerbern); nach Zweck (Informationsressourcen, physische Vermögenswerte, Reputation, Geschäftsprozesse); nach der Dauer des Einflusses (operativ, taktisch, strategisch).

Die Ziele der IS-Risikoanalyse lauten wie folgt:

  1. Identifizieren Sie Vermögenswerte und bewerten Sie deren Wert.
  2. Identifizieren Sie Bedrohungen für Assets und Sicherheitslücken.
  3. Berechnen Sie die Wahrscheinlichkeit von Bedrohungen und deren Auswirkungen auf das Geschäft.
  4. Halten Sie ein Gleichgewicht zwischen den Kosten möglicher negativer Folgen und den Kosten für Schutzmaßnahmen und geben Sie dem Management des Unternehmens Empfehlungen zur Verarbeitung identifizierter Risiken.

Die Schritte 1 bis 3 sind eine Risikobewertung und eine Sammlung verfügbarer Informationen. Stufe 4 ist bereits eine direkte Risikoanalyse (englische Risikoanalyse), d.h. Untersuchung der gesammelten Daten und Herausgabe von Ergebnissen / Anweisungen für weitere Maßnahmen. Es ist wichtig, dass Sie Ihr eigenes Vertrauen in die Richtigkeit der Bewertung verstehen. Stufe 4 bietet auch Verarbeitungsmethoden für jedes der relevanten Risiken: Transfer (z. B. durch Versicherung), Vermeidung (z. B. Verweigerung der Einführung einer bestimmten Technologie oder Dienstleistung), Akzeptanz (bewusste Bereitschaft, im Falle eines Risikos Schaden zu erleiden), Minimierung ( Anwendung von Maßnahmen zur Verringerung der Wahrscheinlichkeit eines negativen Ereignisses, das zur Realisierung des Risikos führt).Nachdem Sie alle Phasen der Risikoanalyse abgeschlossen haben, sollten Sie ein für das Unternehmen akzeptables Risikoniveau auswählen, das minimal mögliche Sicherheitsniveau (englische Leistungsgrundlagen) festlegen, dann Gegenmaßnahmen ergreifen und diese im Hinblick auf die Erreichbarkeit des festgelegten minimal möglichen Niveaus weiter bewerten Sicherheit.

Schäden durch die Durchführung eines Angriffs können direkt oder indirekt sein .

Direkter Schaden ist der unmittelbare offensichtliche und leicht vorhersehbare Verlust des Unternehmens, wie der Verlust von Rechten des geistigen Eigentums, die Offenlegung von Produktionsgeheimnissen, die Wertminderung von Vermögenswerten oder deren teilweise oder vollständige Zerstörung, Rechtskosten und die Zahlung von Geldbußen und Entschädigungen usw.

Indirekte Schäden können zu Qualitäts- oder indirekten Verlusten führen.
Qualitative Verluste können eine Aussetzung oder Abnahme der Effizienz eines Unternehmens, ein Verlust von Kunden, eine Abnahme der Qualität von Industriegütern oder erbrachten Dienstleistungen sein. IndirektVerluste sind beispielsweise entgangene Gewinne, Verlust des Goodwills und zusätzliche Kosten. Darüber hinaus gibt es in der ausländischen Literatur auch Konzepte wie das Gesamtrisiko (Eng. Gesamtrisiko), das vorhanden ist, wenn überhaupt keine Schutzmaßnahmen getroffen werden, sowie das Restrisiko (Eng. Restrisiko), das vorhanden ist, wenn die Bedrohungen erkannt werden. trotz der umgesetzten Schutzmaßnahmen.

Die Risikoanalyse kann sowohl quantitativ als auch qualitativ sein .

Betrachten Sie eine der Methoden der quantitativen Risikoanalyse. Die Hauptindikatoren sind die folgenden Werte:

ALE - jährliche Verlusterwartung; "Kosten" aller Vorfälle pro Jahr.
SLE - Einzelverlusterwartung, erwartete einmalige Verluste, d.h. "Kosten" eines Vorfalls.
EF - Expositionsfaktor, Faktor der Offenheit für die Bedrohung, d.h. Wie viel Prozent des Assets wird die Bedrohung zerstören, wenn es erfolgreich implementiert wird?
ARO - annualisierte Auftrittsrate, die durchschnittliche Anzahl von Vorfällen pro Jahr laut Statistik.

Der SLE-Wert wird als Produkt aus dem geschätzten Vermögenswert und dem EF-Wert berechnet, d.h. SLE = AssetValue * EF . Gleichzeitig sollten die Kosten des Vermögenswerts Strafen für seinen unzureichenden Schutz enthalten.

Der Wert von ALE wird als Produkt von SLE und ARO berechnet, d.h. ALE = SLE * ARO. Der ALE-Wert hilft bei der Einstufung der Risiken - das Risiko mit hohem ALE ist am kritischsten. Ferner kann der berechnete ALE-Wert verwendet werden, um die maximalen Kosten der implementierten Schutzmaßnahmen zu bestimmen, da nach dem allgemein anerkannten Ansatz die Kosten für Schutzmaßnahmen den Wert des Vermögenswerts oder die Höhe des vorhergesagten Schadens nicht überschreiten sollten und die geschätzten angemessenen Kosten des Angriffs für den Angreifer geringer sein sollten als der erwartete Gewinn von der Umsetzung dieses Angriffs. Der Wert von Schutzmaßnahmen kann auch durch Subtrahieren des berechneten ALE-Werts vor Durchführung von Schutzmaßnahmen vom Wert des berechneten ALE-Werts nach Durchführung von Schutzmaßnahmen sowie durch Subtraktion der jährlichen Kosten für die Umsetzung dieser Maßnahmen ermittelt werden. Schreiben Sie diesen Ausdruck bedingt wie folgt:

(Der Wert von Schutzmaßnahmen für das Unternehmen) = (ALE vor der Umsetzung von Schutzmaßnahmen) - (ALE nach der Umsetzung von Schutzmaßnahmen) - (Jährliche Kosten für die Umsetzung von Schutzmaßnahmen)

Beispiele für qualitative Risikoanalysen können beispielsweise die Delphi-Methode sein, bei der eine anonyme Expertenbefragung durchgeführt wird in mehreren Iterationen, bis ein Konsens erreicht ist, sowie Brainstorming und andere Beispiele für die sogenannte Bewertung "Expertenmethode."

Als nächstes geben wir eine kurze und nicht erschöpfende Liste verschiedener Risikomanagementmethoden an , und die beliebtesten davon werden wir im Folgenden genauer betrachten.

1. Das NIST-Risikomanagement-Framework basiert auf Dokumenten der US-Regierung. NIST (Nationales Institut für Standards und Technologie, Nationales Institut für Standards und Technologie USA) enthält eine Reihe miteinander verbundener sogenannter Dokumente "Sonderpublikationen" (Eng. Special Publication (SP), wir nennen sie Standards zur Erleichterung der Wahrnehmung):

1.1. Der NIST SP 800-39-Standard „Management von Informationssicherheitsrisiken“ bietet einen dreistufigen Ansatz für das Risikomanagement: Organisation, Geschäftsprozesse, Informationssysteme. Dieser Standard beschreibt die Methodik des Risikomanagementprozesses: Identifizierung, Bewertung, Reaktion und Überwachung von Risiken.
1.2. Der NIST SP 800-37-Standard „Risikomanagement-Framework für Informationssysteme und Organisationen“ schlägt einen System-Lifecycle-Management-Ansatz für Sicherheit und Datenschutz vor.
1.3. Der NIST SP 800-30 Standard, Leitfaden für die Durchführung von Risikobewertungen, konzentriert sich auf IT-, IS- und operationelle Risiken. Es beschreibt einen Ansatz für die Prozesse zur Vorbereitung und Durchführung einer Risikobewertung, zur Kommunikation der Ergebnisse einer Bewertung und zur weiteren Unterstützung des Bewertungsprozesses.
1.4. Der NIST SP 800-137-Standard „Kontinuierliche Überwachung der Informationssicherheit“ beschreibt einen Ansatz für den Überwachungsprozess von Informationssystemen und IT-Umgebungen, um die Maßnahmen zur Bewältigung von IS-Risiken und deren Notwendigkeit zu kontrollieren.

2. Die Standards der Internationalen Organisation für Normung ISO (Internationale Organisation für Normung):

2.1. Die Norm ISO / IEC 27005: 2018 "Informationstechnologie - Sicherheitstechniken - Risikomanagement für Informationssicherheit" ("Informationstechnologie. Methoden und Sicherheitstools. Risikomanagement für Informationssicherheit") ist Teil einer Reihe von ISO 27000-Normen und logisch mit anderen Normen verbunden IB aus dieser Serie. Dieser Standard konzentriert sich auf die Informationssicherheit bei der Betrachtung von Risikomanagementprozessen.
2.2. Die Norm ISO / IEC 27102: 2019 „Informationssicherheitsmanagement - Richtlinien für die Cyberversicherung“ bietet Ansätze zur Bewertung der Notwendigkeit des Abschlusses einer Cyberversicherung als Risikobehandlungsmaßnahme sowie zur Bewertung und Interaktion mit dem Versicherer.
2.3. Die Normenreihe ISO / IEC 31000: 2018 beschreibt einen Ansatz für das Risikomanagement, ohne an IT / IS gebunden zu sein. In dieser Reihe ist die Norm ISO / IEC 31010: 2019 „Risikomanagement - Risikobewertungstechniken“ für diese Norm in ihrer Inlandsversion GOST R ISO / IEC 31010-2011 „Risikomanagement“ zu erwähnen. Methoden der Risikobewertung “bezieht sich auf 607-P der Zentralbank der Russischen Föderation.„ Anforderungen an das Verfahren zur Gewährleistung eines unterbrechungsfreien Betriebs des Zahlungssystems, Indikatoren für einen ununterbrochenen Betrieb des Zahlungssystems und Methoden der Risikoanalyse im Zahlungssystem, einschließlich Risikoprofile “.

3. Die FRAP-Methode (Facilocated Risk Analysis Process) ist eine relativ vereinfachte Risikobewertungsmethode, bei der nur die kritischsten Vermögenswerte im Mittelpunkt stehen. Die qualitative Analyse erfolgt unter fachkundiger Beurteilung.

4. Die OCTAVE-Methodik (Operational Critical Threat, Asset and Vulnerability Evaluation) konzentriert sich auf die unabhängige Arbeit von Mitgliedern von Geschäftsbereichen. Es dient zur umfassenden Bewertung aller Informationssysteme und Geschäftsprozesse eines Unternehmens.

5. AS / NZS 4360 ist ein australischer und neuseeländischer Standard, der sich nicht nur auf IT-Systeme konzentriert, sondern auch auf die Geschäftsgesundheit des Unternehmens, d. H. bietet einen globaleren Ansatz für das Risikomanagement. Beachten Sie, dass diese Norm derzeit durch AS / NZS ISO 31000-2009 ersetzt wird.

6. Die FMEA-Methode (Failure Modes and Effect Analysis) bietet eine Bewertung des Systems hinsichtlich seiner Schwachstellen beim Auffinden unzuverlässiger Elemente.

7. Die CRAMM-Methode (Central Computing and Telecommunications Agency, Risikoanalyse- und Managementmethode) schlägt die Verwendung automatisierter Risikomanagement-Tools vor.

8. Die FAIR-Methodik (Faktoranalyse des Informationsrisikos) ist ein proprietärer Rahmen für die Durchführung quantitativer Risikoanalysen, der ein Modell für den Aufbau eines Risikomanagementsystems bietet, das auf einem kostengünstigen Ansatz, fundierten Entscheidungen, dem Vergleich von Risikomanagementmaßnahmen, Finanzindikatoren und genauen Risikomodellen basiert.

9. Das Konzept von COSO ERM (Enterprise Risk Management) beschreibt die Möglichkeiten zur Integration des Risikomanagements in die Strategie und die finanzielle Leistung des Unternehmens und konzentriert sich auf die Bedeutung ihrer Beziehung. Das Dokument beschreibt solche Risikomanagementkomponenten wie Strategie- und Zielsetzung, Wirtschaftlichkeit des Unternehmens, Risikoanalyse und -prüfung, Unternehmensführung und -kultur sowie Information, Kommunikation und Berichterstattung.

NIST Risk Management Framework


Der erste Satz von Dokumenten wird das Risikomanagement-Framework des American National Institute of Standards and Technology (NIST) sein. Dieses Institut gibt Informationssicherheitsdokumente im Rahmen einer Reihe von FIPS- (Federal Information Processing Standards) und SP-Empfehlungen (Special Publications, 800 Series) heraus. Diese Reihe von Veröffentlichungen zeichnet sich durch logische Vernetzung, Detailgenauigkeit und eine einzige terminologische Basis aus. Unter den Dokumenten zum Informationssicherheitsrisikomanagement sind NIST SP 800-39, 800-37, 800-30, 800-137 und 800-53 / 53a zu vermerken.

Die Erstellung dieser Dokumente war das Ergebnis der Verabschiedung des US-amerikanischen Bundesgesetzes über das Management der Informationssicherheit (FISMA, 2002) und des US-amerikanischen Bundesgesetzes über die Modernisierung der Informationssicherheit (FISMA, 2014). Trotz der erklärten „Bindung“ von NIST-Standards und -Publikationen an das US-Recht und der obligatorischen Umsetzung dieser Standards für US-Regierungsbehörden können diese Dokumente als geeignet für jedes Unternehmen angesehen werden, das das IS-Management verbessern möchte, unabhängig von Gerichtsbarkeit und Eigentumsform.

NIST SP 800-39


Daher bietet NIST SP 800-39 „Management des Informationssicherheitsrisikos: Ansicht von Organisation, Mission und Informationssystem“ einen herstellerunabhängigen, strukturierten, aber flexiblen Ansatz IS-Risikomanagement im Kontext der Geschäftstätigkeit eines Unternehmens, von Vermögenswerten, Einzelpersonen und Gegenparteien. Gleichzeitig sollte das Risikomanagement ein ganzheitlicher Prozess sein, der die gesamte Organisation betrifft, in der risikobasierte Entscheidungen auf allen Ebenen getroffen werden. Das Risikomanagement wird in diesem Dokument als umfassender Prozess definiert, der die Schritte der Identifizierung (Rahmen), Bewertung (Bewertung), Verarbeitung (Reaktion) und Überwachung (Überwachung) von Risiken umfasst. Betrachten Sie diese Schritte genauer.

1. In der Phase der Ermittlung der Risiken der Organisation sollte Folgendes ermittelt werden:

  • Risikoannahmen, d.h. aktuelle Bedrohungen, Schwachstellen, Konsequenzen und die Wahrscheinlichkeit von Risiken identifizieren;
  • Risikolimits, d.h. Bewertungs-, Reaktions- und Überwachungsfunktionen;
  • Risikotoleranz, d.h. Risikotoleranz - akzeptable Arten und Niveaus von Risiken sowie ein akzeptables Maß an Unsicherheit in Risikomanagementfragen;
  • Prioritäten und mögliche Kompromisse, d.h. Es ist notwendig, Geschäftsprozesse zu priorisieren, die Kompromisse zu untersuchen, die ein Unternehmen bei der Verarbeitung von Risiken eingehen kann, sowie die zeitlichen Einschränkungen und Unsicherheiten, die mit diesem Prozess einhergehen.

2. In der Phase der Risikobewertung sollte die Organisation Folgendes identifizieren:

  • IS-Bedrohungen, d.h. spezifische Handlungen, Personen oder Organisationen, die eine Bedrohung für die Organisation selbst darstellen oder an andere Organisationen gerichtet sein können;
  • interne und externe Schwachstellen, einschließlich organisatorischer Schwachstellen in Geschäftsprozessen des Unternehmensmanagements, IT-Systemarchitektur usw.;
  • Schäden an der Organisation unter Berücksichtigung der Möglichkeiten, Schwachstellen durch Bedrohungen auszunutzen;
  • die Wahrscheinlichkeit eines Schadens.

Infolgedessen erhält die Organisation die Determinanten des Risikos, d.h. Schadensstufe und Wahrscheinlichkeit des Auftretens eines Schadens für jedes Risiko.

Um den Risikobewertungsprozess sicherzustellen, legt die Organisation Folgendes fest:

  • Werkzeuge, Techniken und Methoden zur Risikobewertung;
  • Annahmen zur Risikobewertung;
  • Einschränkungen, die die Risikobewertung beeinflussen können;
  • Rollen und Verantwortlichkeiten;
  • Möglichkeiten zum Sammeln, Verarbeiten und Übertragen von Informationen zur Risikobewertung innerhalb der Organisation;
  • Möglichkeiten zur Durchführung einer Risikobewertung in der Organisation;
  • Häufigkeit der Risikobewertung;
  • Möglichkeiten, Informationen über Bedrohungen (Quellen und Methoden) zu erhalten.

3. In der Phase der Risikoreaktion führt die Organisation die folgenden Aktivitäten aus:

  • Entwicklung möglicher Risikoreaktionspläne;
  • Einschätzung möglicher Risikoreaktionspläne;
  • Festlegung von Risikoreaktionsplänen, die unter dem Gesichtspunkt der Risikotoleranz der Organisation akzeptabel sind;
  • Umsetzung akzeptierter Risikoreaktionspläne.

Um auf Risiken reagieren zu können, legt die Organisation die Arten der möglichen Risikobehandlung (Akzeptieren, Vermeiden, Minimieren, Teilen oder Übertragen von Risiken) sowie Tools, Technologien und Methoden für die Entwicklung von Reaktionsplänen, Methoden zur Bewertung von Reaktionsplänen und Benachrichtigungsmethoden für ergriffene Reaktionsmaßnahmen fest Organisationen und / oder externe Gegenparteien.

4. In der Phase der Risikoüberwachung werden folgende Aufgaben gelöst:

  • Überprüfung der Umsetzung der verabschiedeten Risikoreaktionspläne und Einhaltung der IS-Anforderungen;
  • Ermittlung der aktuellen Wirksamkeit von Risikoreaktionsmaßnahmen;
  • - - , , , - , -, , - ..

Organisationen beschreiben Methoden zur Bewertung der Einhaltung gesetzlicher Vorschriften und der Wirksamkeit von Risikoreaktionen sowie zur Kontrolle von Änderungen, die sich auf die Wirksamkeit von Risikoreaktionen auswirken können.

Das Risikomanagement wird auf den Ebenen der Organisation, der Geschäftsprozesse und der Informationssysteme durchgeführt, wobei die Verbindung und der Informationsaustausch zwischen diesen Ebenen sichergestellt werden sollten, um die Wirksamkeit der ergriffenen Maßnahmen und die Kommunikation von Risiken an alle Beteiligten kontinuierlich zu verbessern. Auf der oberen Ebene (Organisationsebene) werden Entscheidungen getroffen, um Risiken zu identifizieren, die sich direkt auf die auf den unteren Ebenen durchgeführten Prozesse (Geschäftsprozesse und Informationssysteme) sowie auf die Finanzierung dieser Prozesse auswirken.

OrganisationsebeneDie Entwicklung und Implementierung von Managementfunktionen, die mit den Geschäftszielen und regulatorischen Anforderungen des Unternehmens im Einklang stehen, wird durchgeführt: Schaffung einer Risikomanagementfunktion, Ernennung der Verantwortlichen, Implementierung einer Risikomanagementstrategie und Bestimmung der Risikotoleranz, Entwicklung und Implementierung von Anlagestrategien für IT und Informationssicherheit.

Auf der Ebene der Geschäftsprozesse werden die Definition und Erstellung risikoorientierter Geschäftsprozesse und der Organisationsarchitektur durchgeführt, die auf Segmentierung, Ressourcenreservierung und dem Fehlen einzelner Fehlerquellen basieren sollten. Darüber hinaus wird auf dieser Ebene die Entwicklung einer Informationssicherheitsarchitektur durchgeführt, die die wirksame Umsetzung der Anforderungen an die Informationssicherheit und die Umsetzung aller erforderlichen Maßnahmen und Schutzmaßnahmen gewährleistet.

Auf der Ebene der InformationssystemeEs ist notwendig, die Umsetzung von Entscheidungen auf höheren Ebenen sicherzustellen, nämlich das IS-Risikomanagement in allen Phasen des Systemlebenszyklus sicherzustellen: Initialisierung, Entwicklung oder Akquisition, Implementierung, Verwendung und Stilllegung. Das Dokument betont die Bedeutung der Ausfallsicherheit von IT-Systemen, die ein Indikator für die Realisierbarkeit der Geschäftsfunktionen eines Unternehmens ist.

Beachten Sie, dass in Anhang „H“ des in diesem Dokument behandelten Dokuments jede der in der Risikoreaktionsphase aufgeführten Risikobehandlungsmethoden beschrieben wird. Es wird daher darauf hingewiesen, dass die Organisation sowohl eine allgemeine Strategie zur Auswahl einer bestimmten Risikobehandlungsmethode in einer bestimmten Situation als auch separate Strategien für jede der Risikobehandlungsmethoden haben sollte. Die Grundprinzipien für die Wahl des einen oder anderen Ansatzes für das Risikomanagement sind angegeben:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

Das Dokument legt auch großen Wert auf die Organisationskultur und das Vertrauen in Lieferanten / Auftragnehmer als Faktoren für ein erfolgreiches Risikomanagement. Insbesondere wird gesagt, dass die Organisationskultur und die Top-Manager des Unternehmens die für das Risikomanagement gewählten Entscheidungen direkt beeinflussen. Daher sollte die allgemeine Risikomanagementstrategie den Risikoappetit des Unternehmens berücksichtigen und die tatsächlichen Methoden des Risikomanagements widerspiegeln. Modelle zur Vertrauensbildung mit Gegenparteien und Lieferanten sind in Anhang „G“ beschrieben: Modelle, die auf Überprüfungen von Auftragnehmern (z. B. durch Audits), historischem Vertrauen (wenn die Gegenpartei während der langfristigen Geschichte der Beziehungen keine Verstöße begangen hat), Vertrauen gegenüber Dritten beruhen ( die eine unabhängige Bewertung der Gegenparteien durchführt), auf der Grundlage eines Berechtigungsnachweises (in dem Fall)wenn regulatorische Anforderungen Vertrauensanforderungen für einen solchen Lieferanten festlegen) sowie ein Hybridmodell.

NIST SP 800-37


Fahren wir nun mit NIST SP 800-37 fort, „Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz“ („Risikomanagement-Framework für Informationssysteme und Organisationen: Der Lebenszyklus von Systemen für Sicherheit und Datenschutz“). .

Das aktuelle Dokument hat die Revision Nr. 2 und wurde im Dezember 2018 aktualisiert, um der modernen Bedrohungslandschaft Rechnung zu tragen und die Bedeutung des Risikomanagements auf der Ebene der Unternehmensleiter sowie die Verbindung zwischen dem Risikomanagement-Framework (Risk Management Framework, RMF) und dem Cyber-Security-Framework ( Cybersecurity ) hervorzuheben Rahmen, CSF), weisen auf die Bedeutung der Integration von Datenschutzmanagementprozessen und des Supply Chain Risk Management (SCRM) hin und verknüpfen die Liste der vorgeschlagenen Sicherheitsmaßnahmen (Kontrollen) logisch mit dem NIST-Dokument SP 800-53. Darüber hinaus kann die Umsetzung der Bestimmungen von NIST SP 800-37 bei Bedarf genutzt werden, um eine gegenseitige Bewertung der Risikomanagementverfahren von Unternehmen in Fällen durchzuführen, in denen diese Unternehmen Daten oder Ressourcen austauschen müssen. In Analogie zu NIST SP 800-39 wird das Risikomanagement auf der Ebene von Organisation, Mission und Informationssystemen betrachtet.

NIST SP 800-37 besagt, dass das Risikomanagement-Framework als Ganzes die Bedeutung der Entwicklung und Implementierung von Sicherheits- und Vertraulichkeitsfunktionen in IT-Systemen über den gesamten Lebenszyklus (Systementwicklungs-Lebenszyklus, SDLC) und die kontinuierliche Unterstützung des Situationsbewusstseins zeigt zum Schutzzustand von IT-Systemen mithilfe von CM-Prozessen (Continuous Monitoring) und Bereitstellung von Informationen für das Management, um fundierte risikobasierte Entscheidungen zu treffen. Die folgenden Arten von Risiken werden in RMF identifiziert: Programmrisiko, Nichteinhaltungsrisiko, finanzielles Risiko, rechtliches Risiko, Geschäftsrisiko, politisches Risiko, Sicherheits- und Vertraulichkeitsrisiko (einschließlich Lieferkettenrisiko), Projektrisiko, Reputationsrisiko, Lebenssicherheitsrisiko, strategisches Risiko Planung.

Darüber hinaus bietet das Risikomanagement-Framework:

  • bietet einen wiederholbaren Prozess für den risikobasierten Schutz von Informationen und Informationssystemen;
  • Betont die Bedeutung vorbereitender Aktivitäten für das Management von Sicherheit und Datenschutz;
  • bietet eine Kategorisierung von Informationen und Informationssystemen sowie die Auswahl, Implementierung, Bewertung und Überwachung von Schutzausrüstung;
  • schlägt vor, Automatisierungstools zu verwenden, um Risiken und Schutzmaßnahmen nahezu in Echtzeit zu verwalten, sowie relevante Zeitmetriken, um dem Management Informationen für die Entscheidungsfindung bereitzustellen;
  • verbindet Risikomanagementprozesse auf verschiedenen Ebenen und zeigt, wie wichtig es ist, die Verantwortlichen für Schutzmaßnahmen auszuwählen.

Das Dokument enthält 7 Schritte zum Anwenden von RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

Darüber hinaus listet die Veröffentlichung NIST SP 800-37 die Aufgaben auf, die in jeder Phase der Anwendung von RMF ausgeführt werden sollten. Für jede Aufgabe wird der Name der Aufgabe (Steuerung) angegeben, die Eingabe- und Ausgabedaten (resultierende Daten) des Prozesses werden unter Bezugnahme auf die Kategorien der entsprechenden CSF-Steuerungen aufgelistet, eine Liste der verantwortlichen und Hilfsrollen, eine zusätzliche Beschreibung der Aufgabe und gegebenenfalls Links zu verwandten NIST-Dokumenten.

Nachfolgend sind die Aufgaben für jede Phase der Anwendung von RMF aufgeführt.

Die Ziele der Vorbereitungsphase auf Organisationsebene umfassen:

  • Definition von Rollen für das Risikomanagement;
  • Erstellung einer Risikomanagementstrategie unter Berücksichtigung der Risikotoleranz der Organisation;
  • Risikoabschätzung;
  • Auswahl der Zielwerte für Schutzmaßnahmen und / oder Profile aus dem Cybersecurity Framework-Dokument;
  • Definition allgemeiner Schutzmaßnahmen für IT-Systeme, die von höheren Ebenen (z. B. von der Organisationsebene oder von Geschäftsprozessen) übernommen werden können
  • Priorisierung von IT-Systemen;
  • Entwicklung und Umsetzung einer Strategie zur kontinuierlichen Überwachung der Wirksamkeit von Schutzmaßnahmen.

Die Aufgaben der Vorbereitungsphase auf der Ebene der IT-Systeme umfassen:

  • Definieren der Geschäftsfunktionen und -prozesse, die jedes IT-System unterstützt
  • Identifizierung von Personen (Stakeholdern), die an der Schaffung, Implementierung, Bewertung, Funktionsweise, Unterstützung und Stilllegung von Systemen interessiert sind;
  • Identifizierung von schutzbedürftigen Vermögenswerten;
  • Bestimmung der Berechtigungsgrenze für das System;
  • Identifizierung von Arten von Informationen, die im System verarbeitet / übertragen / gespeichert werden;
  • Identifizierung und Analyse des Lebenszyklus aller Arten von Informationen, die im System verarbeitet / übertragen / gespeichert werden;
  • Durchführung von Risikobewertungen auf der Ebene von IT-Systemen und Aktualisierung der Liste der Bewertungsergebnisse;
  • Definieren von Sicherheits- und Vertraulichkeitsanforderungen für Systeme und Betriebsumgebungen
  • Standort von Systemen in der Gesamtarchitektur des Unternehmens;
  • Verteilung der Anwendungspunkte der Sicherheits- und Vertraulichkeitsanforderungen für Systeme und Betriebsumgebungen;
  • formelle Registrierung von IT-Systemen in relevanten Abteilungen und Dokumenten.

Die Aufgaben der Phase „ Kategorisierung “ umfassen:

  • Dokumentation der Systemmerkmale;
  • Systemkategorisierung und Dokumentation der Kategorisierungsergebnisse gemäß den Sicherheitsanforderungen;
  • Überprüfung und Genehmigung der Ergebnisse und Entscheidungen zur Kategorisierung nach Sicherheitsanforderungen.

Die Aufgaben der Phase „ Auswahl einer Reihe von Schutzmaßnahmen “ umfassen:

  • Auswahl von Schutzmaßnahmen für das System und seine funktionierende Umgebung;
  • Klärung (Anpassung) ausgewählter Schutzmaßnahmen für das System und seine funktionierende Umgebung;
  • Verteilung der Anwendungspunkte von Sicherheits- und Vertraulichkeitsmaßnahmen auf das System und seine funktionierende Umgebung;
  • Dokumentation der geplanten Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit des Systems und seiner Umgebung in den entsprechenden Plänen;
  • Erstellung und Umsetzung einer Strategie zur Überwachung der Wirksamkeit der angewandten Schutzmaßnahmen, die logisch mit der gesamten organisatorischen Überwachungsstrategie verbunden ist und diese ergänzt;
  • Überprüfung und Genehmigung von Plänen zur Gewährleistung der Sicherheit und Vertraulichkeit des Systems und seiner Umgebung.

Die Aufgaben der Phase „ Umsetzung von Schutzmaßnahmenumfassen:

  1. Umsetzung von Sicherheitsmaßnahmen in Übereinstimmung mit Sicherheits- und Vertraulichkeitsplänen;
  2. Dokumentation von Änderungen an geplanten Schutzmaßnahmen nachträglich auf der Grundlage des tatsächlichen Implementierungsergebnisses.

Die Aufgaben der Phase „ Bewertung der umgesetzten Sicherheitsmaßnahmen “ umfassen:

  • Auswahl eines Gutachters oder Bewertungsteams, das der Art der durchgeführten Bewertung entspricht;
  • Entwicklung, Überprüfung und Genehmigung von Plänen zur Bewertung der umgesetzten Schutzmaßnahmen;
  • Bewertung der Schutzmaßnahmen gemäß den in den Bewertungsplänen beschriebenen Bewertungsverfahren;
  • Erstellung von Bewertungsberichten mit den festgestellten Mängeln und Empfehlungen zu deren Beseitigung;
  • Ergreifen von Korrekturmaßnahmen mit Schutzmaßnahmen und Neubewertung der korrigierten Maßnahmen;
  • Erstellung eines Aktionsplans auf der Grundlage festgestellter Mängel und Empfehlungen aus Bewertungsberichten.

Die Aufgaben der Phase „ Autorisierung “ umfassen:

  • Sammeln eines Autorisierungspakets mit Dokumenten und Senden an die für die Autorisierung verantwortliche Person;
  • Analyse und Bestimmung des Risikos der Nutzung des Systems oder der Anwendung von Schutzmaßnahmen;
  • Festlegung und Umsetzung eines bevorzugten Aktionsplans als Reaktion auf das identifizierte Risiko;
  • Feststellung der Akzeptanz des Risikos der Nutzung des Systems oder der Anwendung von Schutzmaßnahmen;
  • Berichterstattung über Autorisierungsergebnisse und fehlende Sicherheitsmaßnahmen, die ein erhebliches Risiko für die Sicherheit oder den Datenschutz darstellen.

Die Aufgaben der Phase „ Kontinuierliche Überwachung “ umfassen:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


Der NIST SP 800-30- Spezialleitfaden für die Durchführung von Risikobewertungen konzentriert sich auf den Risikobewertungsprozess, der ein wesentlicher Bestandteil des Risikomanagementprozesses der Organisation gemäß NIST SP 800-39 ist, sowie auf die Definition von Verarbeitung und Überwachung von Risiken. Risikobewertungsverfahren werden verwendet, um Risiken zu identifizieren, zu bewerten und zu priorisieren, die sich aus der Verwendung von Informationssystemen für die operativen Aktivitäten einer Organisation, ihrer Vermögenswerte und Mitarbeiter ergeben. Ziel der Risikobewertung ist es, Entscheidungsträger zu informieren und den Risikoreaktionsprozess zu unterstützen, indem Folgendes ermittelt wird:

  • tatsächliche Bedrohungen sowohl für die Organisation selbst als auch indirekt für andere Organisationen;
  • interne und externe Schwachstellen;
  • potenzieller Schaden für die Organisation unter Berücksichtigung der Möglichkeiten, Schwachstellen durch Bedrohungen auszunutzen;
  • die Wahrscheinlichkeit dieses Schadens.

Das Endergebnis ist die Berechnung der Determinante (des Wertes) des Risikos, d.h. Funktionen der Schadensmenge und der Schadenswahrscheinlichkeit. Die Risikobewertung kann auf allen drei Ebenen des Risikomanagements (Organisationsebene, Mission, Informationssysteme) in Analogie zu dem in NIST SP 800-39 und NIST SP 800-37 verwendeten Ansatz durchgeführt werden. Es wird betont, dass die Risikobewertung ein fortlaufender Prozess ist, der alle Ebenen des Risikomanagements in der Organisation betrifft und auch die Einbeziehung in den Lebenszyklus der Systementwicklung (SDLC) erfordert und mit einer Häufigkeit durchgeführt wird, die den Zielen und dem Umfang der Bewertung entspricht.

Der Risikobewertungsprozess umfasst:

  • Vorbereitung auf die Risikobewertung;
  • Risikoabschätzung;
  • Übermittlung von Bewertungsergebnissen und Übertragung von Informationen innerhalb der Organisation;
  • Erzielung der erzielten Ergebnisse.

In dem Dokument wird darauf hingewiesen, wie wichtig es ist, eine Risikobewertungsmethode zu erstellen, die von der Organisation in der Phase der Risikobestimmung entwickelt wird. Es wird angegeben, dass die Organisation je nach verfügbaren Ressourcen, SDLC-Phase, Komplexität und Reife der Geschäftsprozesse, Kritikalität / Wichtigkeit der verarbeiteten Informationen eine oder mehrere Risikobewertungsmethoden auswählen kann. Gleichzeitig verbessert die Organisation durch die Erstellung der richtigen Methodik die Qualität und Reproduzierbarkeit der implementierten Risikobewertungen. Eine Risikobewertungsmethode umfasst normalerweise:

  • Beschreibung des Risikobewertungsprozesses;
  • ein Risikomodell, das die zu bewertenden Risikofaktoren und die Beziehungen zwischen ihnen beschreibt;
  • eine Risikobewertungsmethode (z. B. qualitativ oder quantitativ), die die Werte beschreibt, die Risikofaktoren annehmen können, und wie Kombinationen dieser Faktoren verarbeitet werden können;
  • Eine Analysemethode (z. B. bedrohungsorientiert, auf Vermögenswerte oder Schwachstellen ausgerichtet), die beschreibt, wie Kombinationen von Risikofaktoren identifiziert und analysiert werden.

Das Risikomodell beschreibt die geschätzten Risikofaktoren und die Beziehungen zwischen ihnen. Risikofaktoren sind Merkmale, die in Risikomodellen als Input zur Bestimmung des Risikograds bei der Durchführung einer Risikobewertung verwendet werden. Darüber hinaus werden Risikofaktoren bei der Risikokommunikation verwendet, um diejenigen Faktoren hervorzuheben, die das Risiko in bestimmten Situationen und Kontexten erheblich beeinflussen. Typische Risikofaktoren sind:

  • Bedrohungen;
  • Schwachstellen;
  • Negativer Einfluss;
  • Wahrscheinlichkeit;
  • Voraussetzungen.

Einige Risikofaktoren können jedoch in detailliertere Merkmale zerlegt werden, z. B. können Bedrohungen in Bedrohungsquellen und Bedrohungsereignisse zerlegt werden.

Eine Bedrohung ist ein Umstand oder ein Ereignis, das Geschäftsprozesse oder Vermögenswerte, Mitarbeiter und andere Organisationen durch unbefugten Zugriff, Zerstörung, Offenlegung oder Änderung von Informationen und / oder Denial-of-Service beeinträchtigen kann. Bedrohungsereignisse werden von Bedrohungsquellen generiert. Die Quelle von Bedrohungen kann eine absichtliche Aktion sein, die darauf abzielt, die Sicherheitsanfälligkeit auszunutzen, oder eine unbeabsichtigte Aktion, aufgrund derer die Sicherheitsanfälligkeit versehentlich ausgenutzt wurde. Zu den Arten von Bedrohungsquellen gehören im Allgemeinen:

  • ;
  • ;
  • , ;
  • .

Die Details zur Bestimmung von Bedrohungsereignissen hängen von der Tiefe der Erstellung eines Risikomodells ab. Bei einer detaillierten Betrachtung des Risikomodells können Bedrohungsszenarien erstellt werden, bei denen es sich um eine Reihe mehrerer Bedrohungsereignisse handelt, die zu negativen Auswirkungen führen, die einer bestimmten Bedrohungsquelle (oder mehreren Quellen) zugeordnet und nach Zeit geordnet sind. Gleichzeitig wird die potenzielle Wahrscheinlichkeit der sequentiellen Ausnutzung mehrerer Schwachstellen berücksichtigt, die zur erfolgreichen Implementierung des Angriffs führen. Events Bedrohungen im Cyber oder körperlichen Angriffe werden durch eine Reihe von Taktiken, Techniken und Verfahren charakterisiert (Eng. Taktik, Techniken und Verfahren, TGP), über die wir gesagt haben zuvor .

Das betrachtete Dokument spricht auch von einem Konzept wie „ Bedrohungsbias"(Eng. Threat Shifting), was bedeutet, dass die Angreifer ihre TTPs in Abhängigkeit von den vom Unternehmen ergriffenen und von den Angreifern identifizierten Schutzmaßnahmen ändern. Die Verlagerung von Bedrohungen kann in einer temporären Domäne (z. B. Versuchen, zu einem anderen Zeitpunkt anzugreifen oder den Angriff zeitlich zu verlängern), in einer Zieldomäne (z. B. Auswahl eines weniger sicheren Ziels), einer Ressourcendomäne (z. B. mithilfe zusätzlicher Ressourcen des Angreifers zum Einbruch in ein Ziel) oder einer Domäne durchgeführt werden Planungs- oder Angriffsmethode (z. B. mit anderen Hacker-Tools oder mit anderen Methoden angreifen). Darüber hinaus wird betont, dass Angreifer häufig den Weg des geringsten Widerstands bevorzugen, um ihre Ziele zu erreichen, d. H. Wählen Sie das schwächste Glied in der Schutzkette.

Verletzlichkeit- Dies ist eine Schwachstelle im Informationssystem, in den Sicherheitsverfahren, in den internen Schutzmethoden oder in den Merkmalen einer bestimmten Implementierung / Implementierung einer bestimmten Technologie oder eines bestimmten Systems. Die Sicherheitsanfälligkeit ist durch ihre Gefahr im Zusammenhang mit der kalkulierten Wichtigkeit ihrer Behebung gekennzeichnet. Gleichzeitig kann die Gefahr in Abhängigkeit von den erwarteten negativen Auswirkungen der Ausnutzung dieser Sicherheitsanfälligkeit ermittelt werden. Die meisten Schwachstellen in den Informationssystemen des Unternehmens entstehen entweder aufgrund von IS-Maßnahmen, die nicht (versehentlich oder absichtlich) angewendet wurden, oder aufgrund falscher Anwendung. Es ist auch wichtig, sich an die Entwicklung der Bedrohungen und der geschützten Systeme selbst zu erinnern. Beide Änderungen treten im Laufe der Zeit auf und sollten bei der Neubewertung von Risiken berücksichtigt werden. Neben technischen Schwachstellen in IT-SystemenFehler im Organisationsmanagement und in der Systemarchitektur sollten ebenfalls berücksichtigt werden.

Eine prädisponierende Bedingung im Zusammenhang mit der Risikobewertung ist eine Bedingung, die in einem Geschäftsprozess, einer Architektur oder einem IT-System vorliegt und die Wahrscheinlichkeit eines durch eine Bedrohung verursachten Schadens beeinflusst (verringert oder erhöht). Die logischen Synonyme sind die Begriffe „Anfälligkeit“ (englische Anfälligkeit) oder „Offenheit“ (englische Gefährdung) für Risiken, was bedeutet, dass die Anfälligkeit durch eine Bedrohung durch Schaden ausgenutzt werden kann. Beispielsweise ist ein SQL Server potenziell anfällig für SQL-Injection-Schwachstellen. Neben den technischen Voraussetzungen sollten auch organisatorische Voraussetzungen berücksichtigt werden: Beispielsweise erhöht der Standort eines Büros in einem Tiefland das Hochwasserrisiko, und die mangelnde Kommunikation zwischen den Mitarbeitern bei der Entwicklung eines IT-Systems erhöht das Risiko, es in Zukunft zu beschädigen.

EintrittswahrscheinlichkeitBedrohungen (englische Wahrscheinlichkeit des Auftretens) - Ein Risikofaktor, der auf der Grundlage der Analyse der Wahrscheinlichkeit berechnet wird, dass eine bestimmte Sicherheitsanfälligkeit (oder eine Gruppe von Sicherheitsanfälligkeiten) von einer bestimmten Bedrohung ausgenutzt werden kann, wobei die Wahrscheinlichkeit berücksichtigt wird, dass die Bedrohung letztendlich echten Schaden verursacht. Bei absichtlichen Bedrohungen wird eine Bewertung der Eintrittswahrscheinlichkeit normalerweise anhand der Absichten, Fähigkeiten und Ziele des Angreifers bewertet. Bei unbeabsichtigten Bedrohungen hängt die Einschätzung der Eintrittswahrscheinlichkeit normalerweise von empirischen und historischen Daten ab. Darüber hinaus wird die Eintrittswahrscheinlichkeit für eine bestimmte Zeitperspektive geschätzt - beispielsweise für das nächste Jahr oder für den Berichtszeitraum. Wenn die Bedrohung innerhalb eines bestimmten Zeitraums fast zu 100% ausgelöst oder umgesetzt wird,Bei der Bewertung von Risiken sollte die erwartete Häufigkeit ihrer Umsetzung berücksichtigt werden. Bei der Beurteilung der Wahrscheinlichkeit einer Bedrohung sollten der Stand der Management- und Geschäftsprozesse der Organisation, die Voraussetzungen sowie das Vorhandensein und die Wirksamkeit bestehender Schutzmaßnahmen berücksichtigt werden. Die Wahrscheinlichkeit negativer Auswirkungen bedeutet die Möglichkeit, dass während der Umsetzung der Bedrohung unabhängig von ihrer Größe Schäden verursacht werden. Die folgenden drei Schritte können verwendet werden, um die Gesamtwahrscheinlichkeit des Auftretens von Bedrohungsereignissen zu bestimmen:Die folgenden drei Schritte können verwendet werden, um die Gesamtwahrscheinlichkeit des Auftretens von Bedrohungsereignissen zu bestimmen:Die folgenden drei Schritte können verwendet werden, um die Gesamtwahrscheinlichkeit des Auftretens von Bedrohungsereignissen zu bestimmen:

  1. , - ( ) ( ).
  2. , , , .
  3. .

Zusätzlich zu diesem Ansatz wird in dem Dokument empfohlen, nicht nach allen damit verbundenen Bedrohungen und Schwachstellen zu suchen, sondern sich auf diejenigen zu konzentrieren, die tatsächlich bei Angriffen verwendet werden können, sowie auf Geschäftsprozesse und -funktionen mit unzureichenden Schutzmaßnahmen.

Das Ausmaß der negativen Auswirkungen (d. H. Auswirkungen) eines Bedrohungsereignisses ist die Höhe des Schadens, der durch unbefugte Offenlegung, Zugriff, Änderung, Verlust von Informationen oder Unzugänglichkeit von Informationssystemen erwartet wird. Organisationen definieren explizit:

  1. Der Prozess zur Bestimmung der negativen Auswirkungen.
  2. Annahmen zur Bestimmung von Nebenwirkungen.
  3. Quellen und Methoden, um Informationen über die negativen Auswirkungen zu erhalten.
  4. Die Begründung zur Bestimmung der negativen Auswirkungen.

Darüber hinaus sollten Unternehmen bei der Berechnung der negativen Auswirkungen den Wert von Vermögenswerten und Informationen berücksichtigen: Sie können das vom Unternehmen akzeptierte System zur Kategorisierung von Informationen nach Signifikanzniveau oder den Ergebnissen von Datenschutz-Folgenabschätzungen verwenden.

Ein wichtiger Faktor bei der Bewertung von Risiken ist der Grad der Ungenauigkeit (englische Unsicherheit), der sich aus den folgenden im Allgemeinen natürlichen Einschränkungen ergibt, z. B. der Unfähigkeit, zukünftige Ereignisse genau vorherzusagen. unzureichende verfügbare Informationen über die Bedrohungen; unbekannte Schwachstellen; nicht erkannte Abhängigkeiten.

Basierend auf dem Vorstehenden kann das Risikomodell als die folgende logische Struktur beschrieben werden:

Bedrohungsquelle(mit bestimmten Eigenschaften) mit einem gewissen Wahrscheinlichkeitsgrad initiiert eine Bedrohung Ereignis , das die Schwachstelle ausnutzt (mit einem gewissen Grad der Gefahr, unter Berücksichtigung die Voraussetzungen und erfolgreiche Umgehung von Schutzmaßnahmen), als Folge von der ein negativen Effekt erzeugt wird (mit einem gewissen Risiko verbunden, wie in Abhängigkeit von der Höhe des Schadens und die Wahrscheinlichkeit Schaden), der ein Risiko darstellt .

Das Dokument enthält auch Empfehlungen zur Verwendung des Risikoaggregationsprozesses .(Englische Risikoaggregation), um mehrere fragmentierte oder niedrige Risiken zu einem allgemeineren zusammenzufassen: Beispielsweise können die Risiken einzelner IT-Systeme zu einem gemeinsamen Risiko für das gesamte von ihnen unterstützte Geschäftssystem zusammengefasst werden. Bei einer solchen Kombination sollte berücksichtigt werden, dass einige Risiken gleichzeitig oder häufiger als vorhergesagt auftreten können. Es ist auch notwendig, die Beziehung zwischen unterschiedlichen Risiken zu berücksichtigen und sie entweder zu kombinieren oder umgekehrt zu trennen.

NIST SP 800-30 beschreibt auch die wichtigsten Methoden der Risikobewertung : quantitativ (englisch quantitativ), qualitativ (englisch qualitativ) und semi-quantitativ (englisch semi-quantitativ).

QuantitativDie Analyse arbeitet mit bestimmten Zahlen (Kosten, Ausfallzeiten, Kosten usw.) und eignet sich am besten für die Kosten-Nutzen-Analyse, ist jedoch recht ressourcenintensiv.

Bei der qualitativen Analyse werden deskriptive Merkmale (z. B. hoch, mittel, niedrig) verwendet, die aufgrund der geringen Anzahl möglicher Schätzungen und der Subjektivität ihrer Darstellung zu falschen Schlussfolgerungen führen können.

SemiquantitativDie Methode ist eine Zwischenoption, die die Verwendung eines größeren Bereichs möglicher Bewertungen (z. B. auf einer Skala von 1 bis 10) für eine genauere Bewertung und Analyse der Vergleichsergebnisse bietet. Die Anwendung einer bestimmten Risikobewertungsmethode hängt sowohl vom Tätigkeitsbereich der Organisation ab (z. B. kann im Bankensektor eine strengere quantitative Analyse durchgeführt werden) als auch von der Phase des Systemlebenszyklus (z. B. kann nur eine qualitative Risikobewertung in den Anfangsphasen des Zyklus durchgeführt werden, jedoch in reiferen). - bereits quantitativ).

Schließlich beschreibt das Dokument drei Hauptmethoden zur Analyse von Risikofaktoren: Bedrohungsorientiert (dt. Bedrohungsorientiert), Asset-orientiert (dt. Asset- / Impact-orientiert) oder Schwachstellen (dt. Vulnerability-orientiert).

BedrohungszentriertDie Methode konzentriert sich auf die Erstellung von Bedrohungsszenarien und beginnt mit der Ermittlung der Quellen von Bedrohungen und Bedrohungsereignissen. Darüber hinaus werden Schwachstellen im Zusammenhang mit Bedrohungen identifiziert, und die negativen Auswirkungen hängen mit den Absichten des Angreifers zusammen. Bei der Asset-orientierten

Methode werden Bedrohungsereignisse und Bedrohungsquellen identifiziert, die sich negativ auf Assets auswirken können. potenzielle Schäden an Vermögenswerten stehen im Vordergrund. Anwenden einer auf Sicherheitslücken basierenden Methode

beginnt mit einer Analyse einer Reihe von Voraussetzungen und Schwächen / Schwächen, die ausgenutzt werden können; Darüber hinaus werden mögliche Bedrohungsereignisse und die Folgen der Ausnutzung ihrer Schwachstellen ermittelt. Das Dokument enthält Empfehlungen zur Kombination der beschriebenen Analysemethoden, um ein objektiveres Bild der Bedrohungen bei der Risikobewertung zu erhalten.

Wie bereits oben erwähnt, ist der Risikobewertungsprozess gemäß NIST SP 800-30 in vier Schritte unterteilt:

  • Vorbereitung auf die Risikobewertung;
  • Risikoabschätzung;
  • Übermittlung von Bewertungsergebnissen und Übertragung von Informationen innerhalb der Organisation;
  • Erzielung der erzielten Ergebnisse.

Lassen Sie uns die in jeder Phase ausgeführten Aufgaben genauer betrachten.

1. Vorbereitung zur Risikobewertung.

Zur Vorbereitung der Risikobewertung werden folgende Aufgaben ausgeführt:

1.1. Identifizierung des Zwecks der Risikobewertung: Welche Informationen werden als Ergebnis der Bewertung erwartet, welche Entscheidungen werden durch das Ergebnis der Bewertung bestimmt.
1.2. Ermittlung des Umfangs der Risikobewertung im Zusammenhang mit der Anwendbarkeit auf eine bestimmte Organisation, dem Zeitrahmen, Informationen über die verwendete Architektur und die verwendeten Technologien
1.3. Identifizierung spezifischer Annahmen und Einschränkungen unter Berücksichtigung der Durchführung einer Risikobewertung. Im Rahmen dieser Aufgabe werden Annahmen und Einschränkungen in Elementen wie Bedrohungsquellen, Bedrohungsereignissen, Schwachstellen, Voraussetzungen, Eintrittswahrscheinlichkeit, negativen Auswirkungen, Risikotoleranz und Ungenauigkeitsgrad sowie der gewählten Analysemethode definiert.
1.4. Identifizierung von Quellen vorläufiger Informationen, Quellen von Bedrohungen und Schwachstellen sowie Informationen zu negativen Auswirkungen, die bei der Risikobewertung verwendet werden. In diesem Prozess können Informationsquellen entweder intern (wie Ereignis- und Überwachungsberichte, Sicherheitsprotokolle und Überwachungsergebnisse) oder extern (z. B. CERT-Berichte, Forschungsergebnisse und andere relevante öffentlich verfügbare Informationen) sein.
1.5. Identifizierung des Risikomodells, der Risikobewertungsmethode und des Analyseansatzes für die Risikobewertung.

2. Durchführung einer Risikobewertung.

Im Rahmen der Risikobewertung werden folgende Aufgaben ausgeführt:

2.1. Identifizierung und Charakterisierung aktueller Bedrohungsquellen, einschließlich der Fähigkeiten, Absichten und Ziele absichtlicher Bedrohungen sowie der möglichen Auswirkungen unbeabsichtigter Bedrohungen.
2.2. Identifizierung potenzieller Bedrohungsereignisse, der Relevanz dieser Ereignisse sowie der Quellen von Bedrohungen, die Bedrohungsereignisse auslösen können.
2.3. Identifizierung von Schwachstellen und Voraussetzungen, die die Wahrscheinlichkeit beeinflussen, dass aktuelle Bedrohungsereignisse negative Auswirkungen haben. Ziel ist es festzustellen, wie anfällig die Geschäftsprozesse und Informationssysteme für die zuvor identifizierten Bedrohungsquellen sind und wie identifizierte Bedrohungen tatsächlich durch diese Bedrohungsquellen ausgelöst werden können.
2.4. Ermittlung der Wahrscheinlichkeit, dass aktuelle Bedrohungsereignisse zu negativen Auswirkungen führen, unter Berücksichtigung der Merkmale der Bedrohungsquellen, Schwachstellen und Voraussetzungen sowie der Gefährdung der Organisation durch diese Bedrohungen unter Berücksichtigung der implementierten Schutzmaßnahmen.
2.5. Ermittlung der negativen Auswirkungen der Bedrohungsquellen unter Berücksichtigung der Merkmale der Bedrohungsquellen, Schwachstellen und Voraussetzungen sowie der Gefährdung der Organisation durch diese Bedrohungen unter Berücksichtigung der umgesetzten Schutzmaßnahmen.
2.6. Ermittlung des Risikos aus der Implementierung aktueller Bedrohungsereignisse unter Berücksichtigung des Ausmaßes der negativen Auswirkungen dieser Ereignisse und der Wahrscheinlichkeit des Auftretens dieser Ereignisse. Anhang „I“ zu dieser Norm enthält Tabelle I-2 zur Berechnung des Risikograds in Abhängigkeit von der Wahrscheinlichkeit und den negativen Auswirkungen.

3. Übermittlung der Ergebnisse der Risikobewertung und Übermittlung von Informationen.

Im Rahmen der Übermittlung der Ergebnisse der Risikobewertung und des Informationstransfers werden folgende Aufgaben ausgeführt:

3.1. Übermittlung der Ergebnisse der Risikobewertung an Entscheidungsträger, um auf Risiken zu reagieren.
3.2. Übermittlung von Informationen über Risiken, die sich aus der Bewertung ergeben, an interessierte Parteien.

4. Aufrechterhaltung der erzielten Ergebnisse.

Im Rahmen der Aufrechterhaltung der erzielten Ergebnisse werden folgende Aufgaben ausgeführt:

4.1. Durchführung einer kontinuierlichen Überwachung von Risikofaktoren, die sich auf Risiken in den operativen Aktivitäten der Organisation, ihrer Vermögenswerte, Mitarbeiter und anderer Organisationen auswirken. Diese Aufgabe ist dem Standard NIST SP 800-137 gewidmet, den wir weiter betrachten werden.
4.2. Aktualisierung der Risikobewertung anhand der Ergebnisse des Prozesses der kontinuierlichen Überwachung von Risikofaktoren.

Wie Sie sehen können, bietet das NIST SP 800-30-Dokument einen ziemlich detaillierten Ansatz für die Bedrohungsmodellierung und Risikoberechnung. Wertvoll sind auch die Anhänge zu diesem Standard, die Berechnungsbeispiele für jede der Unteraufgaben der Risikobewertung sowie Listen möglicher Bedrohungsquellen, Bedrohungsereignisse, Schwachstellen und Voraussetzungen enthalten.

NIST SP 800-137


Wir wenden uns nun der Überprüfung des Dokuments NIST SP 800-137 " Kontinuierliche Überwachung der Informationssicherheit für föderale Informationssysteme und -organisationen" ("Kontinuierliche Überwachung der Informationssicherheit für föderale Informationssysteme und -organisationen") zu.

Die Aufgabe der Entwicklung einer Strategie zur kontinuierlichen Überwachung der Informationssicherheit besteht darin, die Wirksamkeit von Sicherheitsmaßnahmen und den Sicherheitsstatus von Systemen zu bewerten, um auf sich ständig ändernde Herausforderungen und Aufgaben im Bereich der Informationssicherheit reagieren zu können. Das kontinuierliche Überwachungssystem für Informationssicherheit hilft dabei, ein Situationsbewusstsein für den Sicherheitsstatus der Informationssysteme des Unternehmens bereitzustellen, das auf Informationen basiert, die aus verschiedenen Ressourcen (wie Assets, Prozessen, Technologien, Mitarbeitern) gesammelt wurden, sowie auf den verfügbaren Funktionen, um auf Änderungen in der Situation zu reagieren. Dieses System ist eine der Taktiken in der gesamten Risikomanagementstrategie.

Wie andere Dokumente der SP-Reihe bietet diese Veröffentlichung den empfohlenen Prozessansatz zum Aufbau eines Überwachungssystems für Informationssicherheit, bestehend aus:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

Das Dokument enthält außerdem die folgenden Empfehlungen für die Auswahl von Tools zur Gewährleistung einer kontinuierlichen Überwachung der Informationssicherheit:

  • ihre Unterstützung für eine große Anzahl von Datenquellen;
  • die Verwendung offener und öffentlicher Spezifikationen (z. B. SCAP - Security Content Automation Protocol);
  • Integration mit anderer Software wie Helpdesk-Systemen, Inventar- und Konfigurationsmanagementsystemen, Incident-Response-Systemen;
  • Unterstützung des Compliance-Analyseprozesses mit den geltenden Gesetzen;
  • flexibler Berichtsprozess, die Fähigkeit, in der Tiefe der betrachteten Daten zu „scheitern“ (englischer Drilldown);
  • Unterstützung für SIEM-Systeme (Security Information and Event Management) und Datenvisualisierungssysteme.


UPD: Die Fortsetzung dieses Artikels ist hier .

More articles:


All Articles