Get best of the week

Analyse de documents internationaux sur la gestion des risques de sécurité de l'information. Partie 2

Dans la partie précédente , nous avons décrit le concept général de gestion des risques et divulgué les méthodes de gestion des risques conformément aux documents de la série NIST SP 800. Dans cette partie, nous continuerons à examiner les documents internationaux sur la gestion des risques de sécurité de l'information: nous sommes conformes aux normes ISO 27005 et 31010. Commençons!

image

Les publications spéciales précédemment examinées NIST SP 800-39, NIST SP 800-37 et NIST SP 800-30 offrent une approche systématique cohérente de l'évaluation et du traitement des risques, tandis que NIST SP 800-53, NIST SP 800-53A et NIST SP 800-137 proposer des mesures spécifiques pour minimiser les risques de sécurité de l'information. Cependant, il convient de garder à l'esprit que ces documents sont essentiellement de nature consultative et ne sont pas des normes (par exemple, contrairement aux documents NIST FIPS), et également qu'ils ont été initialement développés pour des entreprises et des organisations des États-Unis. Cela impose certaines restrictions à leur utilisation: par exemple, les organisations ne peuvent pas obtenir de certification internationale pour la mise en œuvre des dispositions de ces documents, et l'utilisation de l'ensemble des cadres NIST connexes peut être trop laborieuse et inappropriée.Souvent, les entreprises choisissent la voie de certification selon les exigences de l'Organisation internationale de normalisation (ISO), recevant, par exemple, le statut de «certifié ISO 27001», reconnu dans le monde entier. La série de normes ISO 27000 comprend des documents sur la sécurité de l'information et la gestion des risques. Considérons le document principal de cette série sur la gestion des risques SI: norme ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


Norme ISO / CEI 27005: 2018 "Technologies de l'information - Techniques de sécurité - Gestion des risques pour la sécurité de l'information"(«Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information») est la troisième révision: la première version de la norme a été publiée en 2005 et la deuxième en 2011. Le document introduit plusieurs termes spécifiques aux risques. Ainsi, un moyen de protection (contrôle anglais) est une mesure qui modifie le risque. Le concept de contextes (contexte anglais) comprend le contexte externe, ce qui signifie l'environnement externe de l'entreprise (par exemple, l'environnement politique, économique, culturel, ainsi que les relations avec les parties prenantes externes), et le contexte interne, ce qui signifie l'environnement interne de l'entreprise (processus internes, politiques, normes, systèmes, objectifs et culture de l'organisation, relations avec les parties prenantes internes, ainsi que les obligations contractuelles).

Risque- c'est le résultat d'une inexactitude (incertitude en anglais) dans la réalisation des objectifs; cependant, l'inexactitude signifie un état de manque d'informations liées à un certain événement, ses conséquences ou la probabilité de sa survenance. Sous le niveau de risque (Eng. Level of risk), on entend l'ampleur du risque, exprimée en tant que produit des effets d'événements significatifs et de la probabilité d'occurrence de ces événements. Risque résiduel (Eng. Risque résiduel ) - le risque restant après la procédure de traitement du risque. Sous évaluation des risques(Évaluation des risques en anglais) comprendre le processus général d'identification (c'est-à-dire la recherche, la définition et la description du risque), l'analyse (c'est-à-dire comprendre la nature du risque et déterminer son niveau) et l'évaluation des dangers (c'est-à-dire comparer les résultats de l'analyse des risques avec critères de risque pour déterminer l'admissibilité de sa valeur) risques. Le traitement des risques est un processus de modification des risques qui peut inclure:

  • l'évitement des risques en évitant les actions pouvant entraîner des risques;
  • Acceptation ou augmentation des risques afin d'atteindre les objectifs commerciaux;
  • élimination des sources de risques;
  • modification de la probabilité d'occurrence du risque;
  • l'évolution des conséquences attendues de la mise en œuvre du risque;
  • transfert de risque (division);
  • préservation des risques.

Le processus de gestion des risques SI du point de vue des auteurs de la norme ISO / IEC 27005: 2018 doit être caractérisé par les caractéristiques suivantes:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

Le processus de gestion des risques lui-même comprend les étapes (processus) suivantes qui sont conformes à l'approche PDCA (Plan - Do - Check - Act) adoptée dans ISO 27001:

  1. Définition du contexte.
  2. L'évaluation des risques.
  3. Élaborez un plan de traitement des risques.
  4. Prise de risque
  5. Mise en œuvre du plan de traitement des risques élaboré.
  6. Surveillance et revue continues des risques.
  7. Accompagnement et amélioration du processus de gestion des risques SI.

De plus, nous examinerons chacune de ces étapes plus en détail.

1. Définition du contexte


Lors de la détermination du contexte, les données d'entrée sont toutes des informations sur l'entreprise pertinentes pour la gestion des risques. Dans le cadre de ce processus, une approche de la gestion des risques est sélectionnée, qui devrait inclure des critères d'évaluation des risques, des critères d'évaluation de l'impact négatif (impact anglais) et des critères d'acceptation des risques. En outre, les ressources nécessaires à la mise en œuvre de ce processus devraient être évaluées et allouées.

Des critères d'évaluation des risques doivent être développés pour évaluer les risques SI dans l'entreprise et doivent prendre en compte la valeur des actifs informationnels, les exigences de confidentialité, d'intégrité, d'accessibilité, le rôle des processus métiers de l'information, les exigences légales et les obligations contractuelles, les attentes des parties prenantes, les éventuelles conséquences négatives pour la bonne volonté et la réputation compagnie.

Les critères d'évaluation de l'impact négatif doivent prendre en compte le niveau de dommages ou de dépenses de l'entreprise pour se remettre du risque de sécurité des informations réalisé, en tenant compte du niveau d'importance de l'actif informatique, de la violation de la sécurité des informations (c.-à-d. , violation des plans et délais, atteinte à la réputation, violation des exigences légales et des obligations contractuelles.

Critères d'acceptation des risquespeut être exprimé comme le rapport entre les avantages commerciaux escomptés et les risques prévus. Dans le même temps, différents critères peuvent être appliqués pour différentes catégories de risques: par exemple, les risques de non-respect de la loi peuvent ne pas être acceptés en principe, et des risques financiers élevés peuvent être acceptés s'ils font partie d'obligations contractuelles. En outre, la période prévisionnelle de pertinence du risque (risques à long terme et à court terme) doit être prise en compte. Des critères d'acceptation des risques doivent être développés, en tenant compte du niveau de risque souhaité (cible) avec la possibilité que la direction accepte des risques supérieurs à ce niveau dans certaines circonstances, ainsi que la possibilité d'accepter des risques soumis à un traitement ultérieur des risques pendant la période spécifiée.

En plus des critères ci-dessus, dans le cadre du processus de détermination du contexte, les limites et la portée du processus de gestion des risques SI doivent être prises en compte: les objectifs commerciaux, les processus commerciaux, les plans et les politiques de l'entreprise, la structure et les fonctions de l'organisation, les lois applicables et autres exigences, actifs informationnels, attentes des parties prenantes, interaction avec les contreparties. Vous pouvez considérer le processus de gestion des risques au sein d'un système informatique, d'une infrastructure, d'un processus métier spécifiques ou au sein d'une partie spécifique de l'ensemble de l'entreprise.

2. Évaluation des risques


Dans le cadre du processus d'évaluation des risques, l'entreprise doit évaluer la valeur des actifs informationnels, identifier les menaces et vulnérabilités actuelles, obtenir des informations sur les recours actuels et leur efficacité, et déterminer les conséquences potentielles des risques. À la suite de l'évaluation des risques, l'entreprise devrait recevoir une évaluation des risques quantitative ou qualitative, ainsi qu'une hiérarchisation de ces risques en tenant compte des critères d'évaluation du risque de risques et des objectifs de l'entreprise. Le processus d'évaluation des risques lui-même consiste à identifier les risques, à analyser les risques et à évaluer les risques.

2.1. Identification des risques


Le but de l'identification des risques est de déterminer ce qui peut se produire et conduire à des dommages potentiels, et de comprendre comment, où et pourquoi ces dommages peuvent se produire. Dans ce cas, il convient de prendre en compte les risques, que la source de ces risques soit ou non sous le contrôle de l'organisation. Dans le cadre de ce processus, les actions suivantes doivent être effectuées:

  1. identification (inventaire) des actifs, donnant lieu à une liste des actifs informatiques et des processus métier;
  2. l'identification des menaces, bien qu'il soit nécessaire de tenir compte des menaces délibérées et aléatoires, des sources de menaces externes et internes, et des informations sur les menaces possibles peuvent être obtenues à la fois auprès de sources internes à l'organisation (avocats, RH, informatique, etc.) et externes (assurance entreprises, consultants externes, informations statistiques, etc.);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


Une analyse des risques peut être réalisée à différentes profondeurs, en fonction de la criticité des actifs, du nombre de vulnérabilités connues, et en tenant également compte des incidents précédents. La méthodologie de l'analyse des risques peut être à la fois qualitative et quantitative: en règle générale, une analyse qualitative est d'abord utilisée pour mettre en évidence les risques hautement prioritaires, puis une analyse quantitative est appliquée aux risques identifiés, ce qui prend plus de temps et donne des résultats plus précis.

Lorsqu'ils utilisent une analyse qualitative, les spécialistes opèrent sur une échelle d'évaluation descriptive des risques (par exemple, faible, moyen, élevé) des conséquences potentielles de certains événements et de la probabilité de ces conséquences.

Lors de l'utilisation de méthodes d'analyse quantitativedes valeurs numériques sont déjà appliquées, en tenant compte des données historiques sur les incidents qui se sont déjà produits. Il convient de garder à l'esprit qu'en l'absence de faits fiables et vérifiables, une évaluation quantitative des risques ne peut que donner l'illusion d'exactitude.

Avec le processus d'analyse des risques lui-même, les conséquences potentielles des incidents SI sont d'abord évaluées: leur niveau d'impact négatif sur l'entreprise est évalué en tenant compte des conséquences des violations de la confidentialité, de l'intégrité et de la disponibilité des actifs informationnels. Les actifs existants sont contrôlés et audités en vue de les classer en fonction de leur criticité, et l'impact négatif potentiel des violations de la sécurité de l'information de ces actifs sur l'entreprise est également évalué (de préférence en termes monétaires). L'évaluation des actifs est réalisée dans le cadre d'une analyse de l'impact négatif sur l'entreprise (Business Impact Analysis) et peut être calculée en fonction du coût de remplacement ou de restauration des actifs / informations, ainsi que des conséquences de la perte ou de la compromission des actifs / informations: les aspects financiers, juridiques et de réputation sont pris en compte.Il convient également de garder à l'esprit que les menaces peuvent affecter un ou plusieurs actifs interdépendants ou n'affecter que partiellement les actifs.

Ensuite, une évaluation de la probabilité d'un incident, c'est-à-dire tous les scénarios de menace potentiels. Il est nécessaire de prendre en compte la fréquence de la menace et la facilité d'exploitation des vulnérabilités, guidées par des informations statistiques sur des menaces similaires, ainsi que des données sur la motivation et les possibilités de sources délibérées de menaces (construction d'un modèle de l'intrus), l'attractivité des actifs pour les attaquants, les vulnérabilités existantes, les mesures de protection appliquées, et en cas de prise en compte non intentionnelle menaces - tenir compte de l'emplacement, des conditions météorologiques, des caractéristiques de l'équipement, des erreurs humaines, etc. En fonction de la précision requise de l'évaluation, les actifs peuvent être regroupés ou divisés en termes de scénarios d'attaque qui leur sont applicables.

Enfin, le niveau de risque est déterminé pour tous les scénarios à partir de la liste développée des scénarios d'attaque. L'ampleur du risque attendu est un produit de la probabilité du scénario incident et de ses conséquences.

2.3. L'évaluation des risques


Dans le cadre du processus d'évaluation des risques et des risques, les niveaux de risque obtenus à l'étape précédente sont comparés aux critères de comparaison des risques et aux critères d'acceptation des risques obtenus à l'étape de détermination du contexte. Lors de la prise de décisions, les conséquences de la mise en œuvre des menaces, la probabilité de conséquences négatives, le niveau de confiance personnelle dans l'exactitude de l'identification et de l'analyse des risques doivent être pris en compte. Il est nécessaire de prendre en compte les propriétés des actifs du SI (par exemple, si la perte de confidentialité n'est pas pertinente pour l'organisation, tous les risques qui violent cette propriété peuvent être écartés), ainsi que l'importance des processus commerciaux servis par un certain actif (par exemple, les risques qui affectent un processus commercial insignifiant peuvent être reconnu comme faible priorité).

3. Traitement du risque SI


Au début de ce sous-processus, nous disposons déjà d'une liste de risques priorisés selon les critères d'évaluation des risques de risques associés aux scénarios d'incidents pouvant conduire à la réalisation de ces risques. À la suite de la phase de traitement des risques, nous devons choisir des mesures de protection conçues pour modifier (conserver), maintenir (éviter) ou transférer (partager) les risques, et traiter les risques résiduels et la forme plan de traitement des risques.

Les options de traitement des risques indiquées (modification, conservation, évitement ou transfert) doivent être sélectionnées en fonction des résultats du processus d'évaluation des risques, de l'estimation des coûts attendus de la mise en œuvre des mesures de protection et des avantages escomptés de chaque option, alors qu'elles peuvent être combinées (par exemple, modifier la probabilité de risque et transférer le risque résiduel ) La préférence devrait être accordée aux mesures faciles à mettre en œuvre et à faible budget, qui en même temps contribuent largement à réduire les risques et couvrent un plus grand nombre de menaces, et si nécessaire, l'utilisation de solutions coûteuses devrait justifier économiquement leur application. En général, il faut s'efforcer de minimiser les conséquences négatives et de prendre en compte les risques rares mais destructeurs.

En conséquence, les personnes responsables devraient formuler un plan de traitement des risques qui définit clairement la priorité et l'intervalle de temps selon lequel une méthode de traitement de chaque risque devrait être mise en œuvre. Les priorités peuvent être fixées en fonction des résultats du classement des risques et de l'analyse coûts-avantages. Si des mesures de protection ont déjà été mises en œuvre dans l'organisation, il sera raisonnable d'analyser leur pertinence et leur coût de possession, tout en tenant compte de la relation entre les mesures de protection et les menaces pour lesquelles la protection a été appliquée.

À la fin du plan de traitement des risques, les risques résiduels doivent être déterminés. Cela peut nécessiter une mise à jour ou une nouvelle évaluation des risques en tenant compte des effets attendus des méthodes de traitement des risques proposées.

Ensuite, nous considérons plus en détail les options possibles de traitement des risques.

3.1. Modification des risques


La modification des risques implique une telle gestion des risques par l'application ou la modification de mesures de protection, ce qui conduit à évaluer le risque résiduel comme acceptable. Lors de l'utilisation de l'option de modification des risques, des mesures de protection justifiées et pertinentes sont sélectionnées qui répondent aux exigences définies aux étapes de l'évaluation et du traitement des risques. Diverses restrictions doivent être prises en compte, telles que le coût de possession de l'équipement de protection (en tenant compte de la mise en œuvre, de l'administration et de l'influence sur l'infrastructure), le temps et le cadre financier, le besoin de personnel pour l'entretien de cet équipement de protection et les exigences d'intégration avec les mesures de sécurité actuelles et nouvelles. Il est également nécessaire de comparer le coût des coûts indiqués avec la valeur de l'actif à protéger. Les mesures de protection comprennent: la correction, l'élimination, la prévention, la minimisation de l'impact négatif,prévention des contrevenants potentiels; détection, récupération, surveillance et sensibilisation des employés.

Le résultat de l'étape «Modification des risques» devrait être une liste de mesures de protection possibles avec leur coût, les avantages proposés et la priorité de mise en œuvre.

3.2. Préservation des risques


La préservation des risques signifie que, sur la base des résultats de l'évaluation des risques et des risques, il a été décidé qu'aucune autre étape de son traitement n'est requise, à savoir Le niveau estimé de risque attendu répond aux critères d'acceptation du risque. Notez que cette option est significativement différente de la pratique vicieuse d'ignorer le risque, dans lequel le risque déjà identifié et évalué n'est en aucune façon traité, c'est-à-dire la décision sur son adoption n'est pas officiellement adoptée, laissant le risque dans un état «suspendu».

3.3. Évitement des risques


Lors du choix de cette option, il est décidé de ne pas exercer une certaine activité ou de modifier les conditions de sa conduite afin d'éviter le risque associé à cette activité. Cette décision peut être prise en cas de risques élevés ou si le coût de mise en œuvre des mesures de protection dépasse les bénéfices attendus. Par exemple, une entreprise peut refuser de fournir aux utilisateurs certains services en ligne liés aux données personnelles, sur la base des résultats d'une analyse des risques possibles de fuite de ces informations et du coût de la mise en œuvre de mesures de protection adéquates.

3.4. Transfert des risques


Le risque peut être transféré à l'organisation qui peut le gérer le plus efficacement. Ainsi, sur la base d'une évaluation des risques, il est décidé de transférer certains risques à une autre personne, par exemple en assurant des cyberrisques (un service qui gagne en popularité en Russie mais reste encore plusieurs fois en retard sur la taille de ce marché, par exemple aux USA) ou en transférant des responsabilités pour surveiller et répondre aux incidents SI au MSSP (Managed Security Service Provider) ou MDR (Managed Detection and Response), c'est-à-dire dans le SOC commercial. Lors du choix de l'option de transfert de risque, il convient de noter que le transfert de risque lui-même peut être un risque, ainsi que le fait que la responsabilité de la gestion du risque peut être transférée à une autre société, mais la responsabilité des conséquences négatives d'un incident possible ne peut pas lui être transférée.

4. Acceptation des risques


Les données d'entrée pour cette étape seront les plans de traitement des risques élaborés à l'étape précédente et l'évaluation des risques résiduels. Les plans de gestion des risques doivent décrire comment les risques évalués seront traités pour répondre aux critères d'acceptation des risques. Les personnes responsables analysent et approuvent les plans de traitement des risques proposés et les risques résiduels finaux, ainsi qu'indiquent toutes les conditions dans lesquelles cette approbation est faite. Dans un modèle simplifié, une comparaison triviale du risque résiduel avec un niveau acceptable préalablement défini est effectuée. Cependant, il convient de garder à l'esprit que, dans certains cas, il peut être nécessaire de revoir les critères d'acceptation des risques qui ne prennent pas en compte de nouvelles circonstances ou conditions. Dans ce cas, les responsables peuvent être contraints d'accepter de tels risques,indiquant la justification et le commentaire de la décision de non-respect des critères d'acceptation des risques dans un cas particulier.

En conséquence, une liste des risques acceptés est établie avec une justification pour ceux qui ne répondent pas aux critères définis précédemment pour accepter les risques.

5. Mise en œuvre du plan de traitement des risques élaboré. Communication des risques SI


A ce stade, le plan de traitement des risques développé est directement mis en œuvre: conformément aux décisions prises, des équipements et équipements de protection sont achetés et configurés, des contrats de cyberassurance et de réponse aux incidents sont conclus, et des travaux juridiques sont menés avec les prestataires. Dans le même temps, des informations sur les risques SI identifiés et les mesures prises pour y faire face afin de parvenir à une compréhension commune des activités sont communiquées à la direction et aux parties prenantes.
Des plans de communication sur les risques liés à la sécurité de l'information sont en cours d'élaboration pour des activités coordonnées dans des situations normales et d'urgence (par exemple, en cas d'incident majeur de sécurité de l'information).

6. Surveillance et examen continus des risques


Il convient de garder à l'esprit que les risques peuvent évoluer discrètement au fil du temps: les actifs et leur valeur changent, de nouvelles menaces et vulnérabilités apparaissent, la probabilité des menaces et le niveau de leur impact négatif évoluent. Par conséquent, il est nécessaire de surveiller en permanence les changements en cours, y compris avec la participation de contreparties externes spécialisées dans l'analyse des menaces SI actuelles. Il est nécessaire de procéder à un examen régulier des risques SI et des méthodes utilisées pour les traiter pour la pertinence et l'adéquation d'une situation potentiellement changeante. Une attention particulière doit être portée à ce processus lors de changements significatifs dans le travail de l'entreprise et dans les processus commerciaux en cours (par exemple, lors de fusions / acquisitions, lancement de nouveaux services, changements dans la structure de propriété de l'entreprise, etc.).

7. Accompagnement et amélioration du processus de gestion des risques SI


Comme pour la surveillance continue des risques, le processus de gestion des risques lui-même doit être constamment maintenu et amélioré afin que le contexte, le plan d'évaluation et de traitement restent adaptés à la situation et aux circonstances actuelles. Tous les changements et améliorations doivent être convenus avec les parties intéressées. Les critères d'évaluation et d'acceptation des risques, d'évaluation de la valeur des actifs, des ressources disponibles, de l'activité des concurrents et des modifications de la législation et des obligations contractuelles doivent correspondre aux processus commerciaux actuels et aux objectifs actuels de l'entreprise. Si nécessaire, il est nécessaire de changer ou d'améliorer l'approche actuelle, la méthodologie et les outils de gestion des risques SI.

IEC 31010: 2019


Nous passons maintenant brièvement en revue la norme CEI 31010: 2019 «Gestion des risques - Techniques d'évaluation des risques» .

Cette norme fait partie d'une série de normes de gestion des risques d'entreprise qui ne sont pas spécifiquement liées aux risques SI. La norme «titre» est ISO 31000: 2018, «Gestion des risques - Lignes directrices», qui décrit le cadre, les principes et le processus de gestion des risques lui-même. Le processus de gestion des risques décrit dans ce document est similaire à celui discuté ci-dessus: le contexte, les limites et les critères sont déterminés, une évaluation des risques est réalisée (consistant en identification, analyse, évaluation des risques), puis le risque est traité, suivi d'une communication, d'un rapport, d'un suivi et d'un examen.

La norme IEC 31010: 2019 est remarquable en ce qu'elle fournit plus de 40 techniques différentes d'évaluation des risques, chacune fournit une explication, une méthode d'application pour tous les sous-processus d'évaluation des risques (identification des risques, identification des sources et des causes des risques, analyse des mesures de protection, analyse conséquences, probabilités, relations et interactions, mesure et évaluation du niveau de risque, choix des mesures de protection, notification) et pour certaines techniques, des exemples pratiques d'utilisation sont également fournis. De plus, pour cette norme dans sa version domestique, GOST R ISO / IEC 31010-2011 «Gestion des risques. Méthodes d'évaluation des risques », se réfère 607-P de la Banque centrale de la Fédération de Russie« Sur les exigences relatives à la procédure visant à garantir le fonctionnement ininterrompu du système de paiement, les indicateurs de fonctionnement ininterrompu du système de paiement et les méthodes d'analyse des risques dans le système de paiement, y compris les profils de risque ».

More articles:


All Articles