Get best of the week

Analisis dokumen internasional tentang manajemen risiko keamanan informasi. Bagian 1

Teman, di posting sebelumnyaKami meninjau dokumen peraturan tentang perlindungan informasi di sektor kredit dan keuangan Rusia, beberapa di antaranya merujuk pada penilaian risiko keamanan informasi dan metodologi manajemen. Secara umum, dari perspektif bisnis, manajemen keamanan informasi adalah proses tambahan dari proses manajemen risiko yang lebih luas: jika perusahaan, setelah menganalisis dan mengevaluasi semua risiko bisnisnya, menyimpulkan bahwa risiko keamanan informasi itu relevan, maka perlindungan informasi itu sendiri berperan sebagai cara untuk meminimalkan beberapa risiko. Manajemen risiko memungkinkan Anda untuk secara efisien dan rasional membangun proses IS dan mengalokasikan sumber daya untuk melindungi aset perusahaan, dan penilaian risiko memungkinkan Anda untuk menerapkan langkah-langkah yang tepat untuk meminimalkannya: untuk melindungi terhadap ancaman signifikan dan relevan, akan logis untuk menggunakan solusi yang lebih mahal,daripada melawan ancaman yang tidak signifikan atau sulit untuk diterapkan.

Selain itu, proses manajemen risiko keamanan informasi yang terintegrasi akan memungkinkan pengembangan dan, jika perlu, menerapkan rencana yang jelas untuk memastikan kelangsungan bisnis dan pemulihan bencana (Kelangsungan Bisnis & Pemulihan Bencana): studi mendalam tentang berbagai risiko akan membantu memperhitungkan, misalnya, kebutuhan tiba-tiba untuk akses jarak jauh untuk sejumlah besar karyawan, karena hal ini dapat terjadi jika terjadi epidemi atau runtuhnya sistem transportasi. Jadi, dalam publikasi ini - analisis dokumen internasional tentang manajemen risiko keamanan informasi. Selamat membaca!

gambar

Konsep umum manajemen risiko IS


Risiko keamanan informasi, atau risiko dunia maya, dipahami sebagai kemungkinan kemungkinan mengeksploitasi kerentanan aset sebagai ancaman khusus untuk membahayakan organisasi. Nilai risiko bersyarat berarti produk dari probabilitas suatu peristiwa negatif dan jumlah kerusakan. Pada gilirannya, probabilitas suatu peristiwa dipahami sebagai produk dari probabilitas ancaman dan bahaya kerentanan, yang dinyatakan dalam bentuk kualitatif atau kuantitatif. Secara konvensional, kita dapat mengungkapkan ini dengan rumus logis:
ValueRisk = Probabilitas suatu Acara * Ukuran Kerusakan , di mana Probabilitas suatu Acara = Probabilitas Ancaman * Nilai Kerentanan


Ada juga klasifikasi risiko bersyarat: berdasarkan sumber risiko (misalnya, serangan oleh peretas atau orang dalam, kesalahan keuangan, dampak dari regulator pemerintah, klaim hukum oleh kontraktor, dampak informasi negatif dari pesaing); dengan sengaja (aset informasi, aset fisik, reputasi, proses bisnis); oleh durasi pengaruh (operasional, taktis, strategis).

Tujuan analisis risiko IS adalah sebagai berikut:

  1. Identifikasi aset dan evaluasi nilainya.
  2. Identifikasi ancaman terhadap aset dan kerentanan keamanan.
  3. Hitung kemungkinan ancaman dan dampaknya terhadap bisnis.
  4. Pertahankan keseimbangan antara biaya kemungkinan konsekuensi negatif dan biaya tindakan perlindungan, berikan rekomendasi kepada manajemen perusahaan tentang pemrosesan risiko yang teridentifikasi.

Langkah 1 hingga 3 adalah penilaian risiko dan merupakan kumpulan informasi yang tersedia. Tahap 4 sudah merupakan analisis risiko langsung (analisis risiko bahasa Inggris), yaitu studi tentang data yang dikumpulkan dan penerbitan hasil / arahan untuk tindakan lebih lanjut. Penting untuk memahami tingkat kepercayaan Anda sendiri dalam kebenaran penilaian. Pada tahap 4, metode pemrosesan juga diusulkan untuk masing-masing risiko yang relevan: transfer (misalnya, melalui asuransi), penghindaran (misalnya, penolakan untuk memperkenalkan teknologi atau layanan tertentu), penerimaan (kesediaan sadar untuk menderita kerusakan jika terjadi risiko), minimalisasi ( penerapan langkah-langkah untuk mengurangi kemungkinan peristiwa negatif yang mengarah pada realisasi risiko).Setelah menyelesaikan semua tahap analisis risiko, Anda harus memilih tingkat risiko yang dapat diterima untuk perusahaan, menetapkan tingkat keselamatan seminimal mungkin (garis dasar kinerja bahasa Inggris), kemudian menerapkan langkah-langkah penanggulangan dan lebih lanjut mengevaluasinya dalam hal pencapaian tingkat minimum yang dimungkinkan yang ditetapkan. keamanan.

Kerusakan dari implementasi serangan bisa langsung atau tidak langsung . Kerusakan

langsung adalah kerugian perusahaan yang jelas dan mudah diprediksi, seperti hilangnya hak kekayaan intelektual, pengungkapan rahasia produksi, pengurangan nilai aset atau penghancuran sebagian atau seluruhnya, biaya hukum dan pembayaran denda dan kompensasi, dll. Kerusakan

tidak langsung dapat menyebabkan kualitas atau kerugian tidak langsung . Kerugian
kualitatif dapat berupa penangguhan atau penurunan efisiensi perusahaan, kehilangan pelanggan, penurunan kualitas barang yang diproduksi atau layanan yang diberikan. Tidak langsungKerugian, misalnya, kehilangan laba, kehilangan niat baik, dan biaya tambahan yang dikeluarkan. Selain itu, dalam literatur asing ada juga konsep-konsep seperti risiko total (Eng. Risiko total), yang hadir, jika tidak ada tindakan perlindungan yang diterapkan sama sekali, serta risiko residual (Eng. Risiko residual), yang hadir jika ancaman direalisasikan, meskipun langkah-langkah perlindungan yang diterapkan.

Analisis risiko dapat bersifat kuantitatif dan kualitatif .

Pertimbangkan salah satu metode analisis risiko kuantitatif . Indikator utama adalah nilai-nilai berikut:

ALE - ekspektasi kerugian tahunan; "Biaya" semua insiden per tahun.
SLE - ekspektasi kerugian tunggal, ekspektasi kerugian satu kali, yaitu "Biaya" satu insiden.
EF - faktor paparan, faktor keterbukaan terhadap ancaman, mis. berapa persen dari aset yang akan dihancurkan ancaman itu jika berhasil diterapkan.
ARO - tingkat kejadian tahunan, jumlah rata-rata insiden per tahun menurut statistik.

Nilai SLE dihitung sebagai produk dari estimasi nilai aset dan nilai EF, mis. SLE = Nilai Aset * EF . Pada saat yang sama, biaya aset harus mencakup penalti untuk perlindungan yang tidak memadai.

Nilai ALE dihitung sebagai produk SLE dan ARO, yaitu ALE = SLE * ARO. Nilai ALE akan membantu menentukan peringkat risiko - risiko dengan ALE tinggi akan menjadi yang paling kritis. Selanjutnya, nilai ALE yang dihitung dapat digunakan untuk menentukan biaya maksimum dari tindakan perlindungan yang diterapkan, karena, menurut pendekatan yang diterima secara umum, biaya tindakan perlindungan tidak boleh melebihi nilai aset atau jumlah kerusakan yang diprediksi, dan perkiraan biaya serangan yang wajar untuk penyerang harus lebih kecil dari keuntungan yang diharapkan. dari implementasi serangan ini. Nilai tindakan perlindungan juga dapat ditentukan dengan mengurangi dari nilai ALE yang dihitung sebelum penerapan tindakan perlindungan, nilai dari nilai ALE yang dihitung setelah penerapan tindakan perlindungan, serta dengan mengurangi biaya tahunan penerapan tindakan-tindakan ini. Tulislah ungkapan ini secara kondisional sebagai berikut:

(Nilai tindakan perlindungan bagi perusahaan) = (ALE sebelum penerapan tindakan perlindungan) - (ALE setelah penerapan tindakan perlindungan) - (Biaya tahunan penerapan tindakan perlindungan)

Contoh-contoh analisis risiko kualitatif dapat berupa, misalnya, metode Delphi, di mana dilakukan survei anonim oleh para ahli. dalam beberapa iterasi sampai konsensus tercapai, serta brainstorming dan contoh-contoh lain yang disebut penilaian "Metode ahli."

Selanjutnya, kami memberikan daftar singkat dan tidak lengkap dari berbagai metodologi manajemen risiko , dan yang paling populer dari mereka kami akan mempertimbangkan secara lebih rinci di bawah ini.

1. Kerangka Kerja Manajemen Risiko NIST berdasarkan dokumen pemerintah AS NIST (Institut Nasional Standar dan Teknologi, Institut Nasional Standar dan Teknologi AS) mencakup seperangkat yang disebut saling berhubungan yang disebut "Publikasi khusus" (In. Publikasi Khusus (SP), kami akan menyebutnya standar untuk kemudahan persepsi):

1.1. Standar NIST SP 800-39 "Mengelola Risiko Keamanan Informasi" menawarkan pendekatan tiga tingkat untuk manajemen risiko: organisasi, proses bisnis, sistem informasi. Standar ini menjelaskan metodologi proses manajemen risiko: identifikasi, penilaian, respons, dan pemantauan risiko.
1.2. NIST SP 800-37, Kerangka Kerja Manajemen Risiko untuk Sistem dan Organisasi Informasi, mengusulkan pendekatan manajemen siklus hidup sistem untuk keamanan dan privasi.
1.3. Standar NIST SP 800-30, Pedoman untuk Melakukan Penilaian Risiko, berfokus pada IT, IS, dan risiko operasional. Ini menggambarkan pendekatan untuk proses mempersiapkan dan melakukan penilaian risiko, mengkomunikasikan hasil penilaian, dan selanjutnya mendukung proses penilaian.
1.4. Standar NIST SP 800-137 "Pemantauan Berkelanjutan Keamanan Informasi" menjelaskan pendekatan untuk proses pemantauan sistem informasi dan lingkungan TI untuk mengendalikan langkah-langkah yang diambil untuk menangani risiko IS dan kebutuhan untuk meninjaunya.

2. Standar Organisasi Internasional untuk Standardisasi ISO (Organisasi Internasional untuk Standardisasi):

2.1. Standar ISO / IEC 27005: 2018 "Teknologi informasi - Teknik keamanan - Manajemen risiko keamanan informasi" ("Teknologi informasi. Metode dan alat keamanan. Manajemen risiko keamanan informasi") adalah bagian dari serangkaian standar ISO 27000 dan secara logis saling berhubungan dengan standar lain untuk IB dari seri ini. Standar ini memiliki fokus pada keamanan informasi ketika mempertimbangkan proses manajemen risiko.
2.2. Standar ISO / IEC 27102: 2019 “Manajemen keamanan informasi - Pedoman untuk asuransi cyber” menawarkan pendekatan untuk menilai kebutuhan untuk memperoleh asuransi cyber sebagai tindakan penanganan risiko, serta untuk menilai dan berinteraksi dengan perusahaan asuransi.
2.3. Serangkaian standar ISO / IEC 31000: 2018 menggambarkan pendekatan manajemen risiko tanpa terikat dengan IT / IS. Dalam seri ini, perlu diperhatikan standar ISO / IEC 31010: 2019 “Manajemen risiko - teknik penilaian risiko” - untuk standar ini dalam versi domestiknya GOST R ISO / IEC 31010-2011 “Manajemen risiko. Metode penilaian risiko ”merujuk 607-P dari Bank Sentral Federasi Rusia“ Mengenai persyaratan untuk prosedur untuk memastikan operasi tanpa gangguan dari sistem pembayaran, indikator operasi tanpa gangguan dari sistem pembayaran dan metode analisis risiko dalam sistem pembayaran, termasuk profil risiko ”.

3. Metodologi FRAP (Facilitated Risk Analysis Process) adalah metode penilaian risiko yang relatif disederhanakan, dengan fokus hanya pada aset yang paling penting. Analisis kualitatif dilakukan dengan menggunakan penilaian ahli.

4. Metodologi OCTAVE (Ancaman Kritis Operasional, Aset, dan Evaluasi Kerentanan) difokuskan pada pekerjaan independen anggota unit bisnis. Ini digunakan untuk penilaian skala besar semua sistem informasi dan proses bisnis perusahaan.

5. AS / NZS 4360 adalah standar Australia dan Selandia Baru dengan fokus tidak hanya pada sistem TI, tetapi juga pada kesehatan bisnis perusahaan, yaitu menawarkan pendekatan yang lebih global untuk manajemen risiko. Perhatikan bahwa standar ini saat ini digantikan oleh AS / NZS ISO 31000-2009.

6. Metodologi FMEA (Mode Kegagalan dan Efek) menawarkan penilaian sistem dalam hal titik lemahnya untuk menemukan elemen yang tidak dapat diandalkan.

7. Metodologi CRAMM (Pusat Komputasi dan Analisis dan Metode Manajemen Badan Telekomunikasi) mengusulkan penggunaan alat manajemen risiko otomatis.

8. Metodologi FAIR (Analisis Faktor Risiko Informasi) adalah kerangka kerja berpemilik untuk melakukan analisis risiko kuantitatif, yang menawarkan model untuk membangun sistem manajemen risiko berdasarkan pendekatan hemat biaya, membuat keputusan berdasarkan informasi, membandingkan langkah-langkah manajemen risiko, indikator keuangan, dan model risiko yang akurat.

9. Konsep COSO ERM (Enterprise Risk Management) menjelaskan cara untuk mengintegrasikan manajemen risiko dengan strategi dan kinerja keuangan perusahaan dan berfokus pada pentingnya hubungan mereka. Dokumen tersebut menjelaskan komponen manajemen risiko seperti strategi dan penetapan tujuan, efisiensi ekonomi perusahaan, analisis dan tinjauan risiko, tata kelola dan budaya perusahaan, serta informasi, komunikasi, dan pelaporan.

Kerangka Kerja Manajemen Risiko NIST


Set dokumen pertama adalah Kerangka Manajemen Risiko dari Institut Nasional Standar dan Teknologi (NIST). Lembaga ini menerbitkan dokumen keamanan informasi sebagai bagian dari serangkaian rekomendasi FIPS (Federal Information Processing Standards) dan SP (Publikasi Khusus, 800 Series). Seri publikasi ini ditandai oleh keterkaitan logis, detail, basis terminologis tunggal. Di antara dokumen yang terkait dengan manajemen risiko keamanan informasi, NIST SP 800-39, 800-37, 800-30, 800-137 dan 800-53 / 53a harus dicatat.

Penciptaan kumpulan dokumen ini adalah konsekuensi dari adopsi Undang-Undang Manajemen Keamanan Informasi Federal AS (FISMA, 2002) dan Undang-Undang Modernisasi Keamanan Informasi Federal AS (FISMA, 2014). Meskipun dinyatakan "mengikat" standar NIST dan publikasi untuk hukum AS dan implementasi wajib mereka untuk lembaga pemerintah AS, dokumen-dokumen ini dapat dianggap sesuai untuk setiap perusahaan yang ingin meningkatkan manajemen IS, terlepas dari yurisdiksi dan bentuk kepemilikan.

NIST SP 800-39


Jadi, NIST SP 800-39 "Mengelola Risiko Keamanan Informasi: Pandangan Organisasi, Misi, dan Sistem Informasi" menawarkan pendekatan yang independen terhadap vendor, terstruktur, tetapi fleksibel untuk IS manajemen risiko dalam konteks operasi perusahaan, aset, individu, dan rekanan. Pada saat yang sama, manajemen risiko harus menjadi proses holistik yang mempengaruhi seluruh organisasi di mana pengambilan keputusan berbasis risiko dipraktikkan di semua tingkatan. Manajemen risiko didefinisikan dalam dokumen ini sebagai proses yang komprehensif, yang mencakup langkah-langkah mengidentifikasi (kerangka), menilai (menilai), memproses (merespons) dan memantau (memantau) risiko. Pertimbangkan langkah-langkah ini secara lebih rinci.

1. Pada tahap menentukan risiko organisasi harus mengidentifikasi:

  • asumsi risiko, mis. mengidentifikasi ancaman saat ini, kerentanan, konsekuensi, kemungkinan risiko;
  • batas risiko, mis. penilaian, respons, dan kemampuan pemantauan;
  • toleransi risiko, mis. toleransi risiko - jenis dan tingkat risiko yang dapat diterima, serta tingkat ketidakpastian yang dapat diterima dalam masalah manajemen risiko;
  • prioritas dan kemungkinan kompromi, yaitu perlu memprioritaskan proses bisnis, untuk mempelajari pertukaran yang dapat dilakukan organisasi ketika memproses risiko, serta kendala waktu dan ketidakpastian yang menyertai proses ini.

2. Pada tahap penilaian risiko, organisasi harus mengidentifikasi:

  • Ancaman IS, mis. tindakan spesifik, orang atau entitas yang dapat menjadi ancaman bagi organisasi itu sendiri atau dapat diarahkan ke organisasi lain;
  • kerentanan internal dan eksternal, termasuk kerentanan organisasi dalam proses bisnis manajemen perusahaan, arsitektur sistem TI, dll.
  • kerusakan pada organisasi, dengan mempertimbangkan kemungkinan mengeksploitasi kerentanan dengan ancaman;
  • kemungkinan kerusakan.

Akibatnya, rumah sakit menerima faktor-faktor penentu risiko, yaitu tingkat kerusakan dan probabilitas terjadinya kerusakan untuk setiap risiko.

Untuk memastikan proses penilaian risiko, organisasi menentukan sebelumnya:

  • alat, teknik, dan metodologi yang digunakan untuk penilaian risiko;
  • asumsi tentang penilaian risiko;
  • pembatasan yang dapat memengaruhi penilaian risiko;
  • peran dan tanggung jawab;
  • cara untuk mengumpulkan, memproses dan mengirimkan informasi penilaian risiko dalam organisasi;
  • cara untuk melakukan penilaian risiko dalam organisasi;
  • frekuensi penilaian risiko;
  • cara untuk mendapatkan informasi tentang ancaman (sumber dan metode).

3. Pada tahap respons risiko, rumah sakit melakukan kegiatan berikut:

  • mengembangkan kemungkinan rencana respons risiko;
  • penilaian kemungkinan rencana respons risiko;
  • penentuan rencana respons risiko yang dapat diterima dari sudut pandang toleransi risiko organisasi;
  • implementasi rencana respons risiko yang diterima.

Agar dapat menanggapi risiko, rumah sakit menentukan jenis-jenis perlakuan risiko yang mungkin (menerima, menghindari, meminimalkan, berbagi atau mentransfer risiko), serta alat, teknologi, dan metodologi untuk mengembangkan rencana respons, metode untuk mengevaluasi rencana respons, dan metode notifikasi dari tindakan respons yang diambil dalam organisasi dan / atau rekanan eksternal.

4. Pada tahap pemantauan risiko, tugas-tugas berikut diselesaikan:

  • verifikasi implementasi rencana respons risiko yang diadopsi dan kepatuhan terhadap persyaratan SI;
  • menentukan efektivitas tindakan-tindakan respons risiko saat ini;
  • - - , , , - , -, , - ..

Organisasi menggambarkan metode untuk menilai kepatuhan terhadap peraturan dan efektivitas tanggapan risiko, serta bagaimana perubahan dikontrol yang dapat memengaruhi efektivitas tanggapan risiko.

Manajemen risiko dilakukan pada tingkat organisasi, proses bisnis dan sistem informasi, sementara interkoneksi dan pertukaran informasi antara level-level ini harus dipastikan untuk terus meningkatkan efektivitas tindakan yang diambil dan komunikasi risiko kepada semua pemangku kepentingan. Di tingkat atas (tingkat organisasi), keputusan dibuat untuk mengidentifikasi risiko, yang secara langsung mempengaruhi proses yang dilakukan di tingkat bawah (proses bisnis dan sistem informasi), serta pembiayaan proses-proses ini.

Tingkat organisasipengembangan dan implementasi fungsi manajemen yang konsisten dengan tujuan bisnis organisasi dan persyaratan peraturan dilakukan: penciptaan fungsi manajemen risiko, penunjukan mereka yang bertanggung jawab, penerapan strategi manajemen risiko dan penentuan toleransi risiko, pengembangan dan implementasi strategi investasi di bidang TI dan keamanan informasi.

Pada tingkat proses bisnis , definisi dan penciptaan proses bisnis yang berorientasi risiko dan arsitektur organisasi dilakukan, yang harus didasarkan pada segmentasi, reservasi sumber daya dan tidak adanya titik kegagalan tunggal. Selain itu, pada level ini, pengembangan arsitektur keamanan informasi sedang dilakukan, yang akan memastikan implementasi yang efektif dari persyaratan keamanan informasi dan implementasi dari semua langkah dan sarana perlindungan yang diperlukan.

Di tingkat sistem informasiperlu untuk memastikan implementasi keputusan yang diambil pada tingkat yang lebih tinggi, yaitu, untuk memastikan manajemen risiko SI pada semua tahap siklus hidup sistem: inisialisasi, pengembangan atau akuisisi, implementasi, penggunaan, dan penonaktifan. Dokumen tersebut menekankan pentingnya ketahanan sistem TI, yang merupakan indikator kelayakan fungsi bisnis perusahaan.

Perhatikan bahwa dalam Lampiran “H” pada dokumen yang dipertimbangkan dalam dokumen ini, masing-masing metode penanganan risiko yang tercantum dalam tahap respons risiko dijelaskan. Jadi, diindikasikan bahwa organisasi harus memiliki strategi umum untuk memilih metode perawatan risiko tertentu dalam situasi tertentu, dan memisahkan strategi untuk masing-masing metode perawatan risiko. Prinsip-prinsip dasar memilih satu atau lain pendekatan untuk manajemen risiko ditunjukkan:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

Dokumen ini juga memberi perhatian besar pada budaya organisasi dan kepercayaan pada pemasok / kontraktor sebagai faktor untuk manajemen risiko yang sukses. Secara khusus, dikatakan bahwa budaya organisasi dan manajer puncak perusahaan secara langsung mempengaruhi keputusan yang dipilih untuk manajemen risiko, oleh karena itu, strategi manajemen risiko secara keseluruhan harus mempertimbangkan selera risiko perusahaan dan mencerminkan metode aktual manajemen risiko. Model untuk membangun kepercayaan dengan rekanan dan pemasok dijelaskan dalam Lampiran “G”: model yang didasarkan pada cek kontraktor (misalnya, melalui audit), kepercayaan historis (ketika rekanan tidak melakukan pelanggaran selama sejarah hubungan jangka panjang), kepercayaan kepada pihak ketiga ( yang melakukan evaluasi independen terhadap rekanan), berdasarkan kepercayaan kredensial (dalam kasus iniketika persyaratan peraturan menetapkan persyaratan kepercayaan untuk pemasok seperti itu), serta model hibrida.

NIST SP 800-37


Sekarang mari kita beralih ke NIST SP 800-37, "Kerangka Kerja Manajemen Risiko untuk Sistem dan Organisasi Informasi: Pendekatan Siklus Hidup Sistem untuk Keamanan dan Privasi" ("Kerangka kerja manajemen risiko untuk sistem informasi dan organisasi: siklus hidup sistem untuk keamanan dan privasi") .

Dokumen saat ini telah direvisi №2 dan diperbarui pada Desember 2018 untuk mempertimbangkan lanskap ancaman modern dan untuk menekankan pentingnya manajemen risiko di tingkat pimpinan perusahaan, untuk menekankan hubungan antara kerangka kerja manajemen risiko (Kerangka Manajemen Risiko, RMF) dan kerangka kerja keamanan cyber ( Cybersecurity). Kerangka, CSF), menunjukkan pentingnya mengintegrasikan proses manajemen privasi dan manajemen risiko rantai pasokan (SCRM), dan juga secara logis menghubungkan daftar langkah-langkah perlindungan yang diusulkan (kontrol) ke dokumen NIST SP 800-53. Selain itu, implementasi ketentuan NIST SP 800-37 dapat digunakan jika perlu untuk melakukan penilaian timbal balik atas prosedur manajemen risiko perusahaan dalam kasus di mana perusahaan-perusahaan ini perlu bertukar data atau sumber daya. Dengan analogi dengan NIST SP 800-39, manajemen risiko dianggap pada tingkat organisasi, misi, sistem informasi.

NIST SP 800-37 menyatakan bahwa Kerangka Manajemen Risiko secara keseluruhan menunjukkan pentingnya pengembangan dan penerapan kemampuan keamanan dan kerahasiaan dalam sistem TI di seluruh siklus hidup (siklus pengembangan sistem, SDLC), dukungan berkelanjutan dari kesadaran situasional tentang status perlindungan sistem TI menggunakan proses pemantauan berkelanjutan (CM) dan memberikan informasi kepada manajemen untuk membuat keputusan berdasarkan risiko yang diinformasikan. Jenis risiko berikut diidentifikasi dalam RMF: risiko program, risiko ketidakpatuhan, risiko keuangan, risiko hukum, risiko bisnis, risiko politik, risiko keamanan dan kerahasiaan (termasuk risiko rantai pasokan), risiko proyek, risiko reputasi, risiko keselamatan jiwa, risiko strategis perencanaan.

Selain itu, Kerangka Manajemen Risiko:

  • menyediakan proses berulang untuk perlindungan berbasis informasi dan sistem informasi;
  • Tekankan pentingnya kegiatan persiapan untuk mengelola keamanan dan privasi;
  • menyediakan pengkategorian sistem informasi dan informasi, serta pemilihan, implementasi, evaluasi dan pemantauan peralatan pelindung;
  • menyarankan menggunakan alat otomatisasi untuk mengelola risiko dan tindakan perlindungan dalam mode waktu nyata dekat, serta metrik waktu yang relevan untuk memberikan informasi kepada manajemen untuk pengambilan keputusan;
  • menghubungkan proses manajemen risiko di berbagai tingkatan dan menunjukkan pentingnya memilih mereka yang bertanggung jawab untuk mengambil tindakan perlindungan.

Dokumen berisi 7 langkah untuk menerapkan RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

Lebih lanjut, publikasi NIST SP 800-37 mencantumkan tugas-tugas yang harus dilakukan pada setiap tahap penerapan RMF. Untuk setiap tugas, nama tugas (kontrol) diindikasikan, data input dan output (hasil) dari proses dicantumkan dengan merujuk pada kategori kontrol CSF yang sesuai, daftar peran yang bertanggung jawab dan tambahan, deskripsi tugas tambahan, dan juga, jika perlu, tautan ke dokumen NIST terkait diberikan.

Kami daftar di bawah tugas untuk masing-masing tahap penerapan RMF.

Tujuan dari fase " Persiapan " di tingkat organisasi meliputi:

  • definisi peran untuk manajemen risiko;
  • pembuatan strategi manajemen risiko, dengan mempertimbangkan toleransi risiko organisasi;
  • tugas beresiko;
  • pemilihan nilai target tindakan perlindungan dan / atau profil dari dokumen Cybersecurity Framework;
  • Definisi sistem TI untuk langkah-langkah perlindungan umum yang dapat diwarisi dari tingkat yang lebih tinggi (misalnya, dari tingkat organisasi atau proses bisnis)
  • memprioritaskan sistem TI;
  • pengembangan dan implementasi strategi untuk pemantauan berkelanjutan terhadap efektivitas tindakan perlindungan.

Tugas tahap " Persiapan " di tingkat sistem TI meliputi:

  • Menentukan fungsi dan proses bisnis yang didukung oleh setiap sistem TI
  • identifikasi orang (pemangku kepentingan) yang tertarik dalam penciptaan, implementasi, evaluasi, fungsi, dukungan, penonaktifan sistem;
  • identifikasi aset yang membutuhkan perlindungan;
  • penentuan batas otorisasi untuk sistem;
  • identifikasi jenis informasi yang diproses / dikirim / disimpan dalam sistem;
  • identifikasi dan analisis siklus hidup semua jenis informasi yang diproses / dikirim / disimpan dalam sistem;
  • melakukan penilaian risiko di tingkat sistem TI dan memperbarui daftar hasil penilaian;
  • Menentukan persyaratan keamanan dan kerahasiaan untuk sistem dan lingkungan operasional
  • lokasi sistem dalam arsitektur keseluruhan perusahaan;
  • distribusi poin penerapan persyaratan keamanan dan kerahasiaan untuk sistem dan lingkungan operasional;
  • pendaftaran formal sistem TI di departemen dan dokumen terkait.

Tugas dari fase " Kategorisasi " meliputi:

  • dokumentasi karakteristik sistem;
  • kategorisasi sistem dan dokumentasi hasil kategorisasi sesuai dengan persyaratan keselamatan;
  • meninjau dan menyetujui hasil dan keputusan tentang kategorisasi sesuai dengan persyaratan keselamatan.

Tugas-tugas dari tahap “ Pemilihan serangkaian tindakan perlindungan ” meliputi:

  • pemilihan langkah-langkah perlindungan untuk sistem dan lingkungannya yang berfungsi;
  • klarifikasi (adaptasi) dari langkah-langkah perlindungan yang dipilih untuk sistem dan lingkungannya yang berfungsi;
  • distribusi poin penerapan langkah-langkah keamanan dan kerahasiaan ke sistem dan lingkungannya yang berfungsi;
  • dokumentasi langkah-langkah yang direncanakan untuk memastikan keamanan dan kerahasiaan sistem dan lingkungannya dalam rencana yang relevan;
  • pembuatan dan implementasi strategi untuk memantau keefektifan tindakan perlindungan yang diterapkan, yang secara logis terhubung dengan dan melengkapi keseluruhan strategi pemantauan organisasi;
  • meninjau dan menyetujui rencana untuk memastikan keamanan dan kerahasiaan sistem dan lingkungan operasinya.

Tugas dari fase “ Implementasi tindakan perlindunganmeliputi:

  1. menerapkan langkah-langkah keamanan sesuai dengan rencana keamanan dan kerahasiaan;
  2. mendokumentasikan perubahan pada perlindungan terencana setelah fakta, berdasarkan hasil implementasi aktual.

Tugas-tugas dari tahap “ Penilaian tindakan keamanan yang diterapkan ” meliputi:

  • pemilihan penilai atau tim penilai yang sesuai dengan jenis penilaian yang dilakukan;
  • pengembangan, peninjauan dan persetujuan rencana untuk penilaian tindakan perlindungan yang diterapkan;
  • Penilaian tindakan perlindungan sesuai dengan prosedur penilaian yang dijelaskan dalam rencana penilaian;
  • persiapan laporan penilaian yang mengandung cacat yang ditemukan dan rekomendasi untuk penghapusannya;
  • mengambil tindakan korektif dengan tindakan perlindungan dan menilai kembali tindakan yang diperbaiki;
  • persiapan rencana aksi berdasarkan kekurangan yang ditemukan dan rekomendasi dari laporan penilaian.

Tugas dari fase " Otorisasi " meliputi:

  • mengumpulkan paket dokumen otorisasi dan mengirimkannya kepada orang yang berwenang untuk otorisasi;
  • analisis dan penentuan risiko menggunakan sistem atau menerapkan tindakan perlindungan;
  • penentuan dan implementasi rencana tindakan yang disukai dalam menanggapi risiko yang diidentifikasi;
  • penentuan penerimaan risiko penggunaan sistem atau menerapkan tindakan perlindungan;
  • melaporkan hasil otorisasi dan kurangnya langkah-langkah keamanan yang menimbulkan risiko signifikan terhadap keamanan atau privasi.

Tugas-tugas dari fase Pemantauan Berkelanjutan ” meliputi:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


Panduan Khusus NIST SP 800-30 untuk Melakukan Penilaian Risiko berfokus pada proses penilaian risiko, yang merupakan komponen mendasar dari proses manajemen risiko organisasi sesuai dengan NIST SP 800-39, bersama dengan definisi dari memproses dan memantau risiko. Prosedur penilaian risiko digunakan untuk mengidentifikasi, menilai dan memprioritaskan risiko yang timbul dari penggunaan sistem informasi untuk kegiatan operasi organisasi, aset dan karyawannya. Tujuan penilaian risiko adalah untuk memberi informasi kepada pembuat keputusan dan mendukung proses respons risiko dengan mengidentifikasi:

  • ancaman aktual baik terhadap organisasi itu sendiri maupun secara tidak langsung terhadap organisasi lain;
  • kerentanan internal dan eksternal;
  • potensi kerusakan pada organisasi, dengan mempertimbangkan kemungkinan mengeksploitasi kerentanan oleh ancaman;
  • kemungkinan kerusakan ini.

Hasil akhirnya adalah perhitungan faktor penentu (nilai) risiko, yaitu. fungsi jumlah kerusakan dan kemungkinan kerusakan. Penilaian risiko dapat dilakukan pada ketiga tingkat manajemen risiko (tingkat organisasi, misi, sistem informasi), dengan analogi dengan pendekatan yang digunakan dalam NIST SP 800-39 dan NIST SP 800-37. Ditekankan bahwa penilaian risiko adalah proses yang berkelanjutan yang mempengaruhi semua tingkat manajemen risiko dalam organisasi, dan juga membutuhkan inklusi dalam siklus hidup pengembangan sistem (SDLC) dan dilakukan dengan frekuensi yang cukup untuk tujuan dan ruang lingkup penilaian.

Proses penilaian risiko meliputi:

  • persiapan untuk penilaian risiko;
  • tugas beresiko;
  • mengomunikasikan hasil penilaian dan mentransfer informasi dalam organisasi;
  • mempertahankan hasil yang dicapai.

Dokumen tersebut mengatakan tentang pentingnya menyusun metodologi penilaian risiko, yang dikembangkan oleh organisasi pada tahap mengidentifikasi risiko. Diindikasikan bahwa organisasi dapat memilih satu atau beberapa metodologi penilaian risiko, tergantung pada sumber daya yang tersedia, fase SDLC, kompleksitas dan kematangan proses bisnis, kekritisan / pentingnya informasi yang diproses. Pada saat yang sama, dengan menciptakan metodologi yang benar, rumah sakit meningkatkan kualitas dan kemampuan reproduksi penilaian risiko yang direalisasikan. Metodologi penilaian risiko biasanya meliputi:

  • deskripsi proses penilaian risiko;
  • model risiko yang menggambarkan faktor-faktor risiko yang sedang dievaluasi dan hubungan di antara mereka;
  • metode penilaian risiko (misalnya, kualitatif atau kuantitatif) yang menggambarkan nilai-nilai yang dapat diambil oleh faktor risiko dan bagaimana kombinasi dari faktor-faktor ini dapat diproses;
  • metode analisis (misalnya, sentris ancaman, berfokus pada aset atau kerentanan) yang menjelaskan bagaimana kombinasi faktor risiko diidentifikasi dan dianalisis.

Model risiko menggambarkan perkiraan faktor risiko dan hubungan di antara mereka. Faktor risiko adalah karakteristik yang digunakan dalam model risiko sebagai input untuk menentukan tingkat risiko ketika melakukan penilaian risiko. Selain itu, faktor risiko digunakan dalam mengkomunikasikan risiko untuk menyoroti faktor-faktor yang secara signifikan mempengaruhi tingkat risiko dalam situasi dan konteks tertentu. Faktor-faktor risiko yang khas meliputi:

  • ancaman;
  • kerentanan;
  • Pengaruh negatif;
  • kemungkinan;
  • prasyarat.

Namun, beberapa faktor risiko dapat diuraikan menjadi karakteristik yang lebih rinci, misalnya, ancaman dapat diuraikan menjadi sumber ancaman dan peristiwa ancaman.

Ancaman adalah segala keadaan atau peristiwa yang berpotensi mempengaruhi proses atau aset bisnis, karyawan, organisasi lain secara negatif melalui akses tidak sah, perusakan, pengungkapan atau modifikasi informasi dan / atau penolakan layanan. Peristiwa ancaman dihasilkan oleh sumber ancaman. Sumber ancaman dapat berupa tindakan yang disengaja yang bertujuan mengeksploitasi kerentanan, atau tindakan yang tidak disengaja, akibatnya kerentanan tersebut dieksploitasi secara tidak sengaja. Secara umum, jenis sumber ancaman meliputi:

  • ;
  • ;
  • , ;
  • .

Rincian penentuan peristiwa ancaman tergantung pada kedalaman membangun model risiko. Dalam hal pertimbangan terperinci dari model risiko, dimungkinkan untuk membuat skenario ancaman, yang merupakan serangkaian peristiwa ancaman yang mengarah pada efek negatif yang dikaitkan dengan sumber ancaman tertentu (atau beberapa sumber) dan dipesan berdasarkan waktu; pada saat yang sama, kemungkinan potensi eksploitasi berurutan dari beberapa kerentanan yang mengarah pada keberhasilan implementasi serangan dipertimbangkan. Ancaman peristiwa dalam serangan dunia maya atau fisik ditandai dengan serangkaian taktik, teknik, dan prosedur (Taktik, teknik, dan prosedur, TTP), yang telah kami katakan sebelumnya .

Dokumen yang dipertimbangkan juga berbicara tentang konsep seperti " bias bias"(Eng. Pemindahan ancaman), yang dipahami sebagai penyerang mengubah TTP mereka tergantung pada langkah-langkah perlindungan yang diambil oleh perusahaan dan diidentifikasi oleh penyerang. Pergeseran ancaman dapat dilakukan dalam domain sementara (misalnya, upaya untuk menyerang di waktu lain atau memperpanjang serangan dalam waktu), dalam domain target (misalnya, memilih target yang kurang aman), domain sumber daya (misalnya, menggunakan sumber daya tambahan penyerang untuk membobol target), domain perencanaan atau metode serangan (misalnya, menggunakan alat hacker lain atau mencoba menyerang menggunakan metode lain). Selain itu, ditekankan bahwa penyerang sering lebih memilih jalur perlawanan paling sedikit untuk mencapai tujuan mereka, yaitu. pilih tautan terlemah dalam rantai perlindungan.

Kerentanan- ini merupakan kelemahan dalam sistem informasi, prosedur keamanan, metode perlindungan internal, atau dalam fitur implementasi / implementasi teknologi atau sistem tertentu. Kerentanan dicirikan oleh bahayanya dalam konteks kepentingan yang dihitung untuk memperbaikinya; pada saat yang sama, bahaya dapat ditentukan tergantung pada efek negatif yang diharapkan dari eksploitasi kerentanan ini. Sebagian besar kerentanan dalam sistem informasi organisasi muncul baik karena langkah-langkah IS yang belum diterapkan (baik secara sengaja atau tidak sengaja), atau diterapkan secara tidak benar. Penting juga untuk mengingat evolusi ancaman dan sistem yang dilindungi itu sendiri - kedua perubahan terjadi seiring waktu, yang harus diperhitungkan ketika menilai kembali risiko. Selain kerentanan teknis dalam sistem TI,kesalahan dalam manajemen organisasi dan arsitektur sistem juga harus dipertimbangkan.

Sebuah kondisi predisposisi dalam konteks penilaian risiko adalah suatu kondisi yang ada dalam proses bisnis, arsitektur, atau sistem IT yang mempengaruhi (berkurang atau bertambah) kemungkinan kerusakan terancam. Sinonim logis adalah istilah "kerentanan" (kerentanan bahasa Inggris) atau "keterbukaan" (paparan bahasa Inggris) terhadap risiko, yang berarti bahwa kerentanan dapat dieksploitasi oleh ancaman bahaya. Misalnya, server SQL berpotensi rentan terhadap kerentanan injeksi SQL. Selain prasyarat teknis, organisasi harus dipertimbangkan: misalnya, lokasi kantor di dataran rendah meningkatkan risiko banjir, dan kurangnya komunikasi antara karyawan ketika mengembangkan sistem TI meningkatkan risiko memecahnya di masa depan.

Kemungkinan terjadinya(Kemungkinan bahasa Inggris terjadi) ancaman - faktor risiko yang dihitung berdasarkan analisis probabilitas bahwa kerentanan tertentu (atau kelompok kerentanan) dapat dieksploitasi oleh ancaman tertentu, dengan mempertimbangkan probabilitas bahwa ancaman tersebut pada akhirnya akan menyebabkan kerusakan nyata. Untuk ancaman yang disengaja, penilaian kemungkinan terjadinya biasanya dievaluasi berdasarkan niat, kemampuan, dan tujuan penyerang. Untuk ancaman yang tidak disengaja, penilaian kemungkinan kejadian biasanya tergantung pada data empiris dan historis. Selain itu, probabilitas kejadian diperkirakan untuk perspektif waktu tertentu - misalnya, untuk tahun berikutnya atau untuk periode pelaporan. Jika ancaman hampir seluruhnya 100% dimulai atau diimplementasikan dalam periode waktu tertentu,ketika menilai risiko, frekuensi yang diharapkan dari implementasinya harus diperhitungkan. Ketika menilai kemungkinan ancaman, kondisi manajemen dan proses bisnis organisasi, prasyarat, keberadaan dan efektivitas tindakan perlindungan yang ada harus diperhitungkan. Kemungkinan dampak negatif berarti kemungkinan kerusakan akan terjadi selama pelaksanaan ancaman, terlepas dari besarnya. Tiga langkah berikut dapat digunakan untuk menentukan probabilitas keseluruhan terjadinya peristiwa ancaman:Tiga langkah berikut dapat digunakan untuk menentukan probabilitas keseluruhan terjadinya peristiwa ancaman:Tiga langkah berikut dapat digunakan untuk menentukan probabilitas keseluruhan terjadinya peristiwa ancaman:

  1. , - ( ) ( ).
  2. , , , .
  3. .

Selain pendekatan ini, dokumen ini merekomendasikan untuk tidak mencari semua ancaman dan kerentanan yang terkait, tetapi berkonsentrasi pada yang benar-benar dapat digunakan dalam serangan, serta pada proses dan fungsi bisnis dengan langkah-langkah keamanan yang tidak memadai.

Tingkat dampak negatif (dampak) dari peristiwa ancaman adalah jumlah kerusakan yang diharapkan dari pengungkapan yang tidak sah, akses, perubahan, kehilangan informasi atau tidak dapat diaksesnya sistem informasi. Organisasi secara eksplisit mendefinisikan:

  1. Proses yang digunakan untuk menentukan dampak negatif.
  2. Asumsi yang digunakan untuk menentukan dampak buruk.
  3. Sumber dan metode untuk memperoleh informasi tentang dampak negatif.
  4. Dasar pemikiran yang digunakan untuk menentukan dampak negatif.

Selain itu, ketika menghitung dampak negatif, organisasi harus memperhitungkan nilai aset dan informasi: Anda dapat menggunakan sistem yang diterima perusahaan untuk mengelompokkan informasi berdasarkan tingkat signifikansi atau hasil Penilaian Dampak Privasi.

Ketika menilai risiko, faktor penting adalah tingkat ketidakakuratan (ketidakpastian bahasa Inggris) yang timbul karena hal-hal berikut, secara umum, keterbatasan alami, seperti ketidakmampuan untuk secara akurat memprediksi peristiwa di masa depan; informasi yang tersedia tentang ancaman tidak mencukupi; kerentanan tidak diketahui; saling ketergantungan yang tidak diakui.

Berdasarkan hal tersebut di atas, model risiko dapat digambarkan sebagai struktur logis berikut:

sumber ancaman(dengan karakteristik tertentu) dengan tingkat probabilitas tertentu memprakarsai peristiwa ancaman yang mengeksploitasi kerentanan (memiliki tingkat bahaya tertentu, dengan mempertimbangkan prasyarat dan pengelakan langkah-langkah perlindungan yang berhasil), sebagai akibatnya efek negatif dibuat (dengan sejumlah risiko tertentu sebagai fungsi dari jumlah kerusakan dan probabilitas) kerusakan) yang menimbulkan risiko .

Dokumen tersebut juga memberikan rekomendasi tentang penggunaan proses agregasi risiko .(Pengumpulan risiko bahasa Inggris) untuk menggabungkan beberapa risiko yang terfragmentasi atau tingkat rendah menjadi satu yang lebih umum: misalnya, risiko sistem TI individu dapat digabungkan menjadi risiko bersama untuk seluruh sistem bisnis yang didukungnya. Dengan kombinasi seperti itu, harus diingat bahwa beberapa risiko dapat terjadi secara bersamaan atau lebih sering daripada yang diperkirakan. Penting juga untuk memperhitungkan hubungan antara risiko yang berbeda dan menggabungkannya, atau, sebaliknya, memutuskannya.

NIST SP 800-30 juga menjelaskan metode utama penilaian risiko : kuantitatif (bahasa Inggris kuantitatif), kualitatif (bahasa Inggris kualitatif) dan semi-kuantitatif (bahasa Inggris semi-kuantitatif).

Kuantitatifanalisis beroperasi dengan angka-angka spesifik (biaya, waktu henti, biaya, dll.) dan paling cocok untuk analisis biaya-manfaat, namun cukup intensif sumber daya.

Analisis kualitatif menggunakan karakteristik deskriptif (misalnya, tinggi, sedang, rendah), yang dapat mengarah pada kesimpulan yang salah karena sejumlah kecil kemungkinan estimasi dan subjektivitas presentasi mereka.

Semi kuantitatifmetode ini merupakan opsi perantara, menawarkan untuk menggunakan rentang peringkat yang lebih besar (misalnya, pada skala 1 hingga 10) untuk penilaian dan analisis hasil perbandingan yang lebih akurat. Penerapan metode penilaian risiko khusus tergantung pada bidang kegiatan organisasi (misalnya, analisis kuantitatif yang lebih ketat dapat diterapkan di sektor perbankan) dan pada tahap siklus hidup sistem (misalnya, hanya penilaian risiko kualitatif yang dapat dilakukan pada tahap awal siklus, tetapi pada yang lebih matang) - sudah kuantitatif).

Akhirnya, dokumen tersebut juga menjelaskan tiga cara utama untuk menganalisis faktor-faktor risiko: ancaman-sentris (berorientasi pada ancaman), berorientasi pada aset (berorientasi pada aset / berorientasi dampak), atau kerentanan (berorientasi pada kerentanan).

Berpusat pada ancamanmetode ini berfokus pada pembuatan skenario ancaman dan dimulai dengan menentukan sumber ancaman dan peristiwa ancaman; lebih lanjut, kerentanan diidentifikasi dalam konteks ancaman, dan dampak negatifnya dikaitkan dengan niat penyerang.

Metode berorientasi aset melibatkan identifikasi peristiwa ancaman dan sumber ancaman yang dapat berdampak negatif pada aset; potensi kerusakan aset adalah yang terdepan.

Menerapkan Metode Berbasis Kerentanandimulai dengan analisis seperangkat prasyarat dan kelemahan / kelemahan yang dapat dieksploitasi; Selanjutnya, kemungkinan peristiwa ancaman dan konsekuensi dari eksploitasi kerentanan mereka ditentukan. Dokumen tersebut berisi rekomendasi untuk menggabungkan metode analisis yang dijelaskan untuk memperoleh gambaran yang lebih objektif tentang ancaman dalam menilai risiko.

Jadi, seperti yang telah kami sebutkan di atas, menurut NIST SP 800-30, proses penilaian risiko dibagi menjadi 4 langkah:

  • persiapan untuk penilaian risiko;
  • tugas beresiko;
  • mengomunikasikan hasil penilaian dan mentransfer informasi dalam organisasi;
  • mempertahankan hasil yang dicapai.

Mari kita pertimbangkan secara lebih rinci tugas-tugas yang dilakukan pada setiap tahap.

1. Persiapan untuk penilaian risiko.

Dalam persiapan untuk penilaian risiko, tugas-tugas berikut dilakukan:

1.1. Identifikasi tujuan penilaian risiko: informasi apa yang diharapkan sebagai hasil penilaian, keputusan apa yang akan ditentukan oleh hasil penilaian.
1.2. Identifikasi ruang lingkup penilaian risiko dalam konteks penerapan ke organisasi tertentu, kerangka waktu, informasi tentang arsitektur dan teknologi yang digunakan
1.3. Identifikasi asumsi dan batasan tertentu, dengan mempertimbangkan penilaian risiko yang dilakukan. Sebagai bagian dari tugas ini, asumsi dan batasan didefinisikan dalam elemen-elemen seperti sumber ancaman, peristiwa ancaman, kerentanan, prasyarat, kemungkinan terjadinya, dampak negatif, toleransi risiko dan tingkat ketidakakuratan, serta metode analisis yang dipilih.
1.4. Identifikasi sumber informasi awal, sumber ancaman dan kerentanan, serta informasi tentang dampak negatif yang akan digunakan dalam penilaian risiko. Dalam proses ini, sumber informasi dapat berupa internal (seperti laporan insiden dan audit, log keamanan dan hasil pemantauan), atau eksternal (misalnya, laporan CERT, hasil penelitian, dan informasi relevan lainnya yang tersedia untuk umum).
1.5. Identifikasi model risiko, metode penilaian risiko dan pendekatan analisis yang akan digunakan dalam penilaian risiko.

2. Melakukan penilaian risiko.

Sebagai bagian dari penilaian risiko, tugas-tugas berikut dilakukan:

2.1. Identifikasi dan karakterisasi sumber ancaman saat ini, termasuk kemampuan, niat, dan tujuan ancaman yang disengaja, serta kemungkinan dampak ancaman yang tidak disengaja.
2.2. Identifikasi peristiwa ancaman potensial, relevansi peristiwa ini, serta sumber ancaman yang dapat memicu peristiwa ancaman.
2.3. Identifikasi kerentanan dan prasyarat yang mempengaruhi kemungkinan peristiwa ancaman saat ini akan mengarah pada dampak negatif. Tujuannya adalah untuk menentukan seberapa rentan proses bisnis dan sistem informasi terhadap sumber ancaman yang diidentifikasi sebelumnya dan bagaimana ancaman yang diidentifikasi dapat dipicu oleh sumber ancaman ini.
2.4. Menentukan kemungkinan bahwa peristiwa ancaman saat ini akan mengakibatkan dampak negatif, dengan mempertimbangkan karakteristik sumber ancaman, kerentanan dan prasyarat, serta paparan organisasi terhadap ancaman-ancaman ini, dengan mempertimbangkan langkah-langkah perlindungan yang diterapkan.
2.5. Penentuan dampak negatif yang dihasilkan oleh sumber ancaman, dengan mempertimbangkan karakteristik sumber ancaman, kerentanan dan prasyarat, serta paparan organisasi terhadap ancaman ini, dengan mempertimbangkan langkah-langkah perlindungan yang diterapkan.
2.6. Menentukan risiko dari pelaksanaan peristiwa ancaman saat ini, dengan mempertimbangkan tingkat dampak negatif dari peristiwa ini dan kemungkinan kejadian ini terjadi. Lampiran "I" untuk standar ini berisi Tabel I-2 untuk menghitung tingkat risiko tergantung pada tingkat probabilitas dan dampak negatif.

3. Mengkomunikasikan hasil penilaian risiko dan mengirimkan informasi.

Dalam rangka mengkomunikasikan hasil penilaian risiko dan transfer informasi, tugas-tugas berikut dilakukan:

3.1. Mengkomunikasikan hasil penilaian risiko kepada pengambil keputusan untuk merespons risiko.
3.2. Transmisi ke pihak yang berkepentingan atas informasi mengenai risiko yang diidentifikasi sebagai hasil dari penilaian.

4. Pemeliharaan hasil yang dicapai.

Dalam rangka mempertahankan hasil yang dicapai, tugas-tugas berikut dilakukan:

4.1. Melakukan pemantauan berkelanjutan terhadap faktor-faktor risiko yang memengaruhi risiko dalam kegiatan operasi organisasi, asetnya, karyawan, dan organisasi lainnya. Tugas ini dikhususkan untuk standar NIST SP 800-137, yang akan kami pertimbangkan lebih lanjut.
4.2. Memperbarui penilaian risiko menggunakan hasil dari proses pemantauan berkelanjutan faktor-faktor risiko.

Seperti yang Anda lihat, dokumen NIST SP 800-30 menawarkan pendekatan yang cukup rinci untuk pemodelan ancaman dan perhitungan risiko. Lampiran standar ini, yang berisi contoh-contoh perhitungan untuk masing-masing sub-tugas penilaian risiko, serta daftar kemungkinan sumber ancaman, peristiwa ancaman, kerentanan dan prasyarat, juga berharga.

NIST SP 800-137


Kami sekarang beralih ke tinjauan dokumen NIST SP 800-137 "Pemantauan Kontinu Keamanan Informasi untuk Sistem dan Organisasi Informasi Federal" ("Pemantauan Kontinu Keamanan Informasi untuk Sistem dan Organisasi Informasi Federal").

Tugas membangun strategi pemantauan keamanan informasi yang berkesinambungan adalah menilai efektivitas tindakan keamanan dan status keamanan sistem untuk merespons tantangan dan tugas yang terus berubah di bidang keamanan informasi. Sistem pemantauan berkelanjutan keamanan informasi membantu memberikan kesadaran situasional tentang keadaan keamanan sistem informasi perusahaan berdasarkan informasi yang dikumpulkan dari berbagai sumber (seperti aset, proses, teknologi, karyawan), serta kemampuan yang tersedia untuk menanggapi perubahan dalam situasi. Sistem ini adalah salah satu taktik dalam strategi manajemen risiko secara keseluruhan.

Seperti dokumen seri SP lainnya, publikasi ini memberikan pendekatan proses yang direkomendasikan untuk membangun sistem pemantauan keamanan informasi, yang terdiri dari:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

Dokumen ini juga memberikan rekomendasi berikut untuk memilih alat untuk memastikan pemantauan berkelanjutan keamanan informasi:

  • dukungan mereka untuk sejumlah besar sumber data;
  • penggunaan spesifikasi terbuka dan publik (misalnya, SCAP - Security Content Automation Protocol);
  • integrasi dengan perangkat lunak lain, seperti sistem Help Desk, inventaris dan sistem manajemen konfigurasi, sistem respons insiden;
  • mendukung proses analisis kepatuhan dengan undang-undang yang berlaku;
  • proses pelaporan yang fleksibel, kemampuan untuk "gagal" (menelusuri Bahasa Inggris) di kedalaman data yang sedang dipertimbangkan;
  • Dukungan untuk sistem Keamanan Informasi dan Manajemen Kejadian (SIEM) dan sistem visualisasi data.


UPD: Kelanjutan artikel ini ada di sini .

More articles:


All Articles