Get best of the week

Análise de documentos internacionais sobre gerenciamento de riscos à segurança da informação. Parte 1

Amigos, em uma postagem anteriorRevisamos documentos regulatórios sobre proteção de informações no setor financeiro e de crédito da Rússia, alguns dos quais se referem a metodologias de avaliação e gerenciamento de riscos de segurança da informação. De um modo geral, do ponto de vista comercial, o gerenciamento da segurança da informação é um processo subsidiário de um processo mais amplo de gerenciamento de riscos: se uma empresa, depois de analisar e avaliar todos os riscos do negócio, conclui que os riscos da segurança da informação são relevantes, a própria proteção da informação entra em jogo como uma maneira de minimizar algumas riscos. O gerenciamento de riscos permite criar processos de SI de maneira eficiente e racional e alocar recursos para proteger os ativos da empresa, e a avaliação de riscos permite aplicar medidas apropriadas para minimizá-los: para proteger contra ameaças significativas e relevantes, será lógico usar soluções mais caras,do que combater ameaças insignificantes ou difíceis de implementar.

Além disso, o processo interno de gerenciamento de riscos à segurança das informações permitirá desenvolver e, se necessário, aplicar planos claros para garantir a continuidade dos negócios e a recuperação de desastres (continuidade dos negócios e recuperação de desastres): um estudo aprofundado de vários riscos ajudará a levar em conta, por exemplo, a súbita necessidade de acesso remoto a um grande número de funcionários, pois isso pode ocorrer no caso de uma epidemia ou colapso do sistema de transporte. Portanto, nesta publicação - uma análise de documentos internacionais sobre gerenciamento de riscos à segurança da informação. Gostar de ler!

imagem

O conceito geral de gerenciamento de risco de SI


Entende-se por risco à segurança da informação, ou risco cibernético, a possibilidade potencial de explorar vulnerabilidades de ativos como uma ameaça específica para prejudicar a organização. O valor do risco significa condicionalmente o produto da probabilidade de um evento negativo e a quantidade de dano. Por sua vez, a probabilidade de um evento é entendida como o produto da probabilidade de uma ameaça e o perigo de vulnerabilidade, expresso de forma qualitativa ou quantitativa. Convencionalmente, podemos expressar isso com a fórmula lógica:
ValueRisk = Probabilidade de um evento * Tamanho do dano , em que a Probabilidade de um evento = Probabilidade de ameaças * Valor da vulnerabilidade


Também existem classificações condicionais de riscos: por fonte de risco (por exemplo, ataques de hackers ou insiders, erros financeiros, impacto de órgãos reguladores do governo, reivindicações legais de empreiteiros, impacto informacional negativo dos concorrentes); por objetivo (ativos de informação, ativos físicos, reputação, processos de negócios); pela duração da influência (operacional, tática, estratégica).

Os objetivos da análise de risco de SI são os seguintes:

  1. Identifique ativos e avalie seu valor.
  2. Identifique ameaças a ativos e vulnerabilidades de segurança.
  3. Calcule a probabilidade de ameaças e seu impacto nos negócios.
  4. Manter um equilíbrio entre o custo de possíveis conseqüências negativas e o custo de medidas de proteção, dar recomendações à gerência da empresa sobre o processamento dos riscos identificados.

As etapas de 1 a 3 são uma avaliação de risco e são uma coleção de informações disponíveis. O estágio 4 já é uma análise de risco direta (análise de risco em inglês), ou seja, estudo dos dados coletados e emissão de resultados / orientações para novas ações. É importante entender o seu próprio nível de confiança na correção da avaliação. O estágio 4 também oferece métodos de processamento para cada um dos riscos relevantes: transferência (por exemplo, por meio de seguro), prevenção (por exemplo, recusa em introduzir uma tecnologia ou serviço específico), aceitação (disposição consciente de sofrer danos em caso de risco), minimização ( aplicação de medidas para reduzir a probabilidade de um evento negativo que leve à realização do risco).Após concluir todas as etapas da análise de risco, você deve selecionar um nível de risco aceitável para a empresa, estabelecer o nível mínimo de segurança possível (linhas de base de desempenho em inglês), implementar medidas contrárias e avaliá-las em termos de atingibilidade do nível mínimo possível possível segurança.

Os danos causados ​​pela implementação de um ataque podem ser diretos ou indiretos . Dano

direto é a perda imediata óbvia e facilmente previsível da empresa, como perda de direitos de propriedade intelectual, divulgação de segredos de produção, redução do valor dos ativos ou sua destruição parcial ou total, custos legais e pagamento de multas e compensações, etc. Danos

indiretos podem resultar em qualidade ou perda indireta . Perdas
qualitativas podem ser uma suspensão ou diminuição da eficiência de uma empresa, perda de clientes, diminuição da qualidade de produtos manufaturados ou serviços prestados. IndiretoPerdas são, por exemplo, lucros cessantes, perda de ágio e despesas adicionais incorridas. Além disso, na literatura estrangeira também existem conceitos como risco total (Eng. Risco total), que está presente, se nenhuma medida de proteção for implementada, bem como risco residual (Eng. Risco residual), que está presente se as ameaças forem realizadas, apesar das medidas de proteção implementadas.

A análise de risco pode ser quantitativa e qualitativa .

Considere um dos métodos de análise quantitativa de risco. Os principais indicadores são os seguintes valores:

AEA - expectativa de perda anual; "Custo" de todos os incidentes por ano.
LES - expectativa de perda única, perdas únicas esperadas, ou seja, "Custo" de um incidente.
EF - fator de exposição, fator de abertura à ameaça, ou seja, qual porcentagem do ativo a ameaça destruirá se for implementada com êxito.
ARO - taxa de ocorrência anualizada, o número médio de incidentes por ano, de acordo com as estatísticas.

O valor do LES é calculado como o produto do valor estimado do ativo e do valor EF, ou seja, SLE = Valor do ativo * EF . Ao mesmo tempo, o custo do ativo deve incluir multas por sua proteção insuficiente.

O valor de ALE é calculado como o produto de SLE e ARO, ou seja, ALE = SLE * ARO. O valor da ALE ajudará a classificar os riscos - o risco com alta ALE será o mais crítico. Além disso, o valor ALE calculado pode ser usado para determinar o custo máximo das medidas de proteção implementadas, uma vez que, de acordo com a abordagem geralmente aceita, o custo das medidas de proteção não deve exceder o valor do ativo ou a quantidade do dano previsto e o custo razoável estimado do ataque para o atacante deve ser menor que o lucro esperado desde a implementação deste ataque. O valor das medidas de proteção também pode ser determinado subtraindo-se do valor calculado da AEA antes da implementação das medidas de proteção, o valor do valor calculado da AEA após a implementação das medidas de proteção, além de subtrair os custos anuais da implementação dessas medidas. Escreva condicionalmente esta expressão da seguinte maneira:

(O valor das medidas de proteção para a empresa) = (AEA antes da implementação das medidas de proteção) - (AEA após a implementação das medidas de proteção) - (Custos anuais da implementação das medidas de proteção)

Exemplos de análise qualitativa de riscos podem ser, por exemplo, o método Delphi, no qual é realizada uma pesquisa anônima de especialistas em várias iterações até chegar a um consenso, bem como em brainstorming e outros exemplos da chamada avaliação "Método especialista".

A seguir, apresentamos uma lista breve e não exaustiva de várias metodologias de gerenciamento de riscos , e a mais popular delas será considerada em mais detalhes abaixo.

1. A Estrutura de Gerenciamento de Riscos do NIST, com base nos documentos do governo dos EUA, o NIST (Instituto Nacional de Padrões e Tecnologia, Instituto Nacional de Padrões e Tecnologia dos EUA) inclui um conjunto de "Publicações especiais" (Publicação Especial Eng. (SP), chamaremos de padrões para facilitar a percepção):

1.1. O padrão NIST SP 800-39 "Gerenciamento de riscos à segurança da informação" oferece uma abordagem em três níveis para o gerenciamento de riscos: organização, processos de negócios, sistemas de informação. Esta norma descreve a metodologia do processo de gerenciamento de riscos: identificação, avaliação, resposta e monitoramento de riscos.
1.2 O padrão NIST SP 800-37, “Estrutura de Gerenciamento de Riscos para Sistemas e Organizações de Informação”, propõe uma abordagem de gerenciamento do ciclo de vida do sistema para segurança e privacidade.
1.3 O NIST SP 800-30 Standard, Guia para Realização de Avaliações de Riscos, concentra-se em TI, segurança da informação e riscos operacionais. Ele descreve uma abordagem para os processos de preparação e realização de uma avaliação de riscos, comunicação dos resultados de uma avaliação e apoio adicional ao processo de avaliação.
1.4 O padrão NIST SP 800-137 “Monitoramento contínuo de segurança da informação” descreve uma abordagem para o processo de monitoramento de sistemas de informação e ambientes de TI, a fim de controlar as medidas de gerenciamento de riscos de segurança da informação aplicadas e a necessidade de revisá-las.

2. Os padrões da Organização Internacional de Normalização ISO (Organização Internacional de Normalização):

2.1 A norma ISO / IEC 27005: 2018 "Tecnologia da informação - Técnicas de segurança - Gerenciamento de riscos à segurança da informação" ("Tecnologia da informação. Métodos e ferramentas de segurança. Gerenciamento de riscos à segurança da informação") faz parte de uma série de padrões ISO 27000 e é interconectada logicamente com outros padrões IB desta série. Esse padrão se concentra na segurança da informação ao considerar os processos de gerenciamento de riscos.
2.2 A norma ISO / IEC 27102: 2019 "Gerenciamento da segurança da informação - Diretrizes para ciber-seguro" oferece abordagens para avaliar a necessidade de adquirir o ciber-seguro como uma medida de tratamento de risco, além de avaliar e interagir com a seguradora.
2.3 A série de normas ISO / IEC 31000: 2018 descreve uma abordagem para o gerenciamento de riscos sem estar vinculada à TI / IS. Nesta série, vale destacar a norma ISO / IEC 31010: 2019 “Gerenciamento de riscos - Técnicas de avaliação de riscos” - para este padrão em sua versão doméstica GOST R ISO / IEC 31010-2011 “Gerenciamento de riscos. Métodos de avaliação de risco ”refere-se ao 607-P do Banco Central da Federação Russa“ Sobre requisitos para o procedimento para garantir a operação ininterrupta do sistema de pagamento, indicadores de operação ininterrupta do sistema de pagamento e métodos de análise de risco no sistema de pagamento, incluindo perfis de risco ”.

3. A metodologia FRAP (Processo de Análise de Risco Facilitado) é um método de avaliação de risco relativamente simplificado, com foco apenas nos ativos mais críticos. A análise qualitativa é realizada com o julgamento de especialistas.

4. A metodologia OCTAVE (Avaliação de ameaças, ativos e vulnerabilidades em termos operacionais) é focada no trabalho independente dos membros das unidades de negócios. É usado para avaliação em larga escala de todos os sistemas de informação e processos de negócios de uma empresa.

5. O AS / NZS 4360 é um padrão da Austrália e da Nova Zelândia com foco não apenas nos sistemas de TI, mas também na saúde dos negócios da empresa, ou seja, oferece uma abordagem mais global ao gerenciamento de riscos. Observe que este padrão está atualmente substituído pelo AS / NZS ISO 31000-2009.

6. A metodologia FMEA (Modos de falha e análise de efeitos) oferece uma avaliação do sistema em termos de seus pontos fracos para encontrar elementos não confiáveis.

7. A metodologia CRAMM (Método de Gerenciamento e Análise de Riscos da Agência Central de Telecomunicações e Telecomunicações) propõe o uso de ferramentas automatizadas de gerenciamento de riscos.

8. A metodologia FAIR (Análise Fatorial de Risco de Informação) é uma estrutura proprietária para a análise quantitativa de riscos, que oferece um modelo para a construção de um sistema de gerenciamento de riscos baseado em uma abordagem econômica, tomada de decisão informada, comparação de medidas de gerenciamento de riscos, indicadores financeiros e modelos de risco precisos.

9. O conceito de COSO ERM (Gerenciamento de Riscos Corporativos) descreve maneiras de integrar o gerenciamento de riscos à estratégia e ao desempenho financeiro da empresa e concentra-se na importância de seu relacionamento. O documento descreve componentes de gerenciamento de riscos como estratégia e estabelecimento de metas, eficiência econômica da empresa, análise e revisão de riscos, governança corporativa e cultura, além de informações, comunicação e relatórios.

Estrutura de Gerenciamento de Risco do NIST


O primeiro conjunto de documentos será a Estrutura de Gerenciamento de Risco do Instituto Nacional Americano de Padrões e Tecnologia (NIST). Este instituto emite documentos de segurança da informação como parte de uma série de recomendações do FIPS (Federal Information Processing Standards) e SP (Special Publications, 800 Series). Esta série de publicações é caracterizada por interconectividade lógica, detalhe, uma única base terminológica. Entre os documentos relacionados ao gerenciamento de riscos à segurança da informação, destacam-se os NIST SP 800-39, 800-37, 800-30, 800-137 e 800-53 / 53a.

A criação desse conjunto de documentos foi resultado da adoção da Lei Federal de Gerenciamento de Segurança da Informação dos EUA (FISMA, 2002) e da Lei Federal de Modernização da Segurança da Informação dos EUA (FISMA, 2014). Apesar da “obrigatoriedade” declarada das normas e publicações do NIST à lei dos EUA e a implementação obrigatória delas pelas agências governamentais dos EUA, esses documentos podem ser considerados adequados para qualquer empresa que pretenda melhorar o gerenciamento de SI, independentemente da jurisdição e forma de propriedade.

NIST SP 800-39


Portanto, o NIST SP 800-39 “Gerenciamento de riscos à segurança da informação: organização, missão e visão do sistema de informações” oferece uma abordagem estruturada, mas flexível, independente do fornecedor, para Gerenciamento de risco de SI no contexto das operações de uma empresa, ativos, indivíduos e contrapartes. Ao mesmo tempo, o gerenciamento de riscos deve ser um processo holístico que afeta toda a organização na qual a tomada de decisão baseada em riscos é praticada em todos os níveis. O gerenciamento de riscos é definido neste documento como um processo abrangente, que inclui as etapas de identificação (estrutura), avaliação (avaliação), processamento (resposta) e monitoramento (monitoramento) de riscos. Considere estas etapas com mais detalhes.

1. Na fase de determinação dos riscos da organização, deve-se identificar:

  • suposições de risco, ou seja, identificar ameaças, vulnerabilidades, consequências atuais, probabilidade de riscos;
  • limites de risco, ou seja, recursos de avaliação, resposta e monitoramento;
  • tolerância ao risco, ou seja, tolerância a riscos - tipos e níveis aceitáveis ​​de riscos, bem como um nível aceitável de incerteza em questões de gerenciamento de riscos;
  • prioridades e possíveis compromissos, ou seja, é necessário priorizar os processos de negócios, estudar as compensações que uma organização pode fazer ao processar riscos, bem como as restrições de tempo e incertezas que acompanham esse processo.

2. Na fase de avaliação de riscos, a organização deve identificar:

  • Ameaças de IS, ou seja, ações específicas, pessoas ou entidades que possam constituir ameaças à própria organização ou que possam ser direcionadas a outras organizações;
  • vulnerabilidades internas e externas, incluindo vulnerabilidades organizacionais nos processos de negócios de gerenciamento da empresa, arquitetura de sistemas de TI, etc;
  • danos à organização, levando em consideração as possibilidades de exploração de vulnerabilidades por ameaças;
  • a probabilidade de dano.

Como resultado, a organização recebe os determinantes do risco, ou seja, nível de dano e probabilidade de ocorrência de dano para cada risco.

Para garantir o processo de avaliação de riscos, a organização pré-determina:

  • ferramentas, técnicas e metodologias utilizadas para avaliação de riscos;
  • premissas relacionadas à avaliação de riscos;
  • restrições que podem afetar as avaliações de risco;
  • papéis e responsabilidades;
  • maneiras de coletar, processar e transmitir informações de avaliação de riscos dentro da organização;
  • maneiras de conduzir a avaliação de riscos na organização;
  • frequência de avaliação de riscos;
  • maneiras de obter informações sobre ameaças (fontes e métodos).

3. No estágio de resposta ao risco, a organização realiza as seguintes atividades:

  • desenvolver possíveis planos de resposta a riscos;
  • avaliação de possíveis planos de resposta a riscos;
  • determinação de planos de resposta a riscos aceitáveis ​​do ponto de vista da tolerância a riscos da organização;
  • implementação de planos de resposta a riscos aceitos.

Para poder responder aos riscos, a organização determina os tipos de tratamento possível (aceitando, evitando, minimizando, compartilhando ou transferindo riscos), bem como ferramentas, tecnologias e metodologias para desenvolver planos de resposta, métodos para avaliar planos de resposta e métodos de notificação de medidas de resposta tomadas dentro organizações e / ou contrapartes externas.

4. Na fase de monitoramento de riscos, as seguintes tarefas são resolvidas:

  • verificação da implementação dos planos de resposta a riscos adotados e conformidade com os requisitos de SI;
  • determinar a eficácia atual das medidas de resposta a riscos;
  • - - , , , - , -, , - ..

As organizações descrevem métodos para avaliar a conformidade regulatória e a eficácia das medidas de resposta a riscos, e como as mudanças são controladas que podem afetar a eficácia das respostas a riscos.

O gerenciamento de riscos é realizado nos níveis da organização, processos de negócios e sistemas de informação, enquanto a interconexão e a troca de informações entre esses níveis devem ser garantidas, a fim de melhorar continuamente a eficácia das ações adotadas e a comunicação dos riscos a todas as partes interessadas. No nível superior (nível da organização), são tomadas decisões para identificar riscos, o que afeta diretamente os processos conduzidos nos níveis inferiores (processos de negócios e sistemas de informação), bem como o financiamento desses processos.

Nível de organizaçãodesenvolvimento e implementação de funções de gerenciamento que sejam consistentes com as metas de negócios e os requisitos regulatórios da organização: a criação de uma função de gerenciamento de riscos, a nomeação dos responsáveis, a implementação de uma estratégia de gerenciamento de riscos e a determinação da tolerância a riscos, o desenvolvimento e a implementação de estratégias de investimento em TI e segurança da informação.

No nível dos processos de negócios , são realizadas a definição e criação de processos de negócios orientados a riscos e a arquitetura organizacional, que devem ser baseados na segmentação, reserva de recursos e ausência de pontos únicos de falha. Além disso, nesse nível, está sendo realizado o desenvolvimento da arquitetura de segurança da informação, que garantirá a implementação efetiva dos requisitos de segurança da informação e a implementação de todas as medidas e meios de proteção necessários.

No nível dos sistemas de informaçãoé necessário garantir a implementação das decisões tomadas em níveis mais altos, ou seja, garantir o gerenciamento de riscos de SI em todas as etapas do ciclo de vida dos sistemas: inicialização, desenvolvimento ou aquisição, implementação, uso e desativação. O documento enfatiza a importância da resiliência dos sistemas de TI, que é um indicador da viabilidade das funções de negócios de uma empresa.

Observe que no Apêndice "H" do documento considerado neste documento, cada um dos métodos de tratamento de riscos listados no estágio de resposta a riscos é descrito. Portanto, é indicado que a organização deve ter uma estratégia geral para escolher um método de tratamento de risco específico em uma determinada situação e estratégias separadas para cada um dos métodos de tratamento de risco. Os princípios básicos da escolha de uma ou outra abordagem para gerenciamento de riscos são indicados:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

O documento também presta muita atenção à cultura organizacional e confia nos fornecedores / contratados como fatores para o gerenciamento bem-sucedido dos riscos. Em particular, diz-se que a cultura organizacional e os principais gerentes da empresa afetam diretamente as decisões escolhidas para o gerenciamento de riscos; portanto, a estratégia geral de gerenciamento de riscos deve levar em consideração o apetite ao risco da empresa e refletir os métodos reais de gerenciamento de riscos. Os modelos para construir confiança com contrapartes e fornecedores são descritos no Apêndice "G": modelos baseados em verificações de contratantes (por exemplo, através de auditorias), confiança histórica (quando a contraparte não violou o histórico de longo prazo das relações), confiança com terceiros ( que realiza uma avaliação independente das contrapartes), em uma confiança credencial (no casoquando os requisitos regulamentares estabelecem requisitos de confiança para esse fornecedor), bem como um modelo híbrido.

NIST SP 800-37


Agora vamos para o NIST SP 800-37 "Estrutura de gerenciamento de riscos para sistemas e organizações de informações: uma abordagem do ciclo de vida do sistema para segurança e privacidade" ("Estrutura de gerenciamento de riscos para sistemas e organizações de informações: o ciclo de vida dos sistemas para segurança e privacidade") .

O documento atual tem a revisão №2 e foi atualizado em dezembro de 2018, a fim de levar em conta o cenário moderno de ameaças e enfatizar a importância do gerenciamento de riscos no nível de chefes das empresas, para enfatizar o vínculo entre a estrutura de gerenciamento de riscos (Estrutura de Gerenciamento de Riscos, RMF) e a estrutura de cibersegurança ( Cybersecurity Estrutura, CSF), apontam a importância de integrar processos de gerenciamento de privacidade e gerenciamento de riscos da cadeia de suprimentos (SCRM) e também vincular logicamente a lista de medidas de segurança propostas (controles) ao documento NIST SP 800-53. Além disso, a implementação das disposições do NIST SP 800-37 pode ser usada, se necessário, para realizar uma avaliação mútua dos procedimentos de gerenciamento de riscos das empresas nos casos em que essas empresas precisem trocar dados ou recursos. Por analogia com o NIST SP 800-39, o gerenciamento de riscos é considerado nos níveis da organização, missão e sistemas de informação.

O NIST SP 800-37 declara que a Estrutura de Gerenciamento de Riscos como um todo indica a importância de desenvolver e implementar recursos de segurança e confidencialidade em sistemas de TI ao longo de todo o ciclo de vida (ciclo de vida de desenvolvimento do sistema, SDLC), suporte contínuo à conscientização situacional sobre o estado de proteção dos sistemas de TI usando processos de monitoramento contínuo (CM) e fornecendo informações ao gerenciamento para a tomada de decisões fundamentadas em riscos. Os seguintes tipos de riscos são identificados no RMF: risco do programa, risco de não conformidade, risco financeiro, risco legal, risco comercial, risco político, risco de segurança e confidencialidade (incluindo risco da cadeia de suprimentos), risco do projeto, risco de reputação, risco de segurança da vida, risco estratégico planejamento.

Além disso, a Estrutura de Gerenciamento de Riscos:

  • fornece um processo repetível para proteção baseada em risco de informações e sistemas de informação;
  • Salienta a importância de atividades preparatórias para gerenciar a segurança e a privacidade;
  • fornece categorização de sistemas de informação e informação, bem como seleção, implementação, avaliação e monitoramento de equipamentos de proteção;
  • sugere o uso de ferramentas de automação para gerenciar riscos e medidas de proteção em modo quase em tempo real, além de métricas de tempo relevantes para fornecer informações ao gerenciamento para tomada de decisão;
  • conecta processos de gerenciamento de riscos em vários níveis e indica a importância de escolher os responsáveis ​​por tomar medidas de proteção.

O documento contém 7 etapas para a aplicação do RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

Além disso, a publicação do NIST SP 800-37 lista as tarefas que devem ser executadas em cada estágio do aplicativo do RMF. Para cada tarefa, o nome da tarefa (controle) é indicado, os dados de entrada e saída (resultantes) do processo são listados com referência às categorias dos controles CSF correspondentes, uma lista de funções responsáveis ​​e auxiliares, uma descrição adicional da tarefa e, se necessário, links para documentos NIST relacionados.

Listamos abaixo as tarefas para cada um dos estágios de aplicação do RMF.

Os objetivos da fase " Preparação " no nível da organização incluem:

  • definição de papéis para gerenciamento de riscos;
  • criação de uma estratégia de gerenciamento de riscos, levando em consideração a tolerância a riscos da organização;
  • avaliação de risco;
  • seleção dos valores-alvo das medidas e / ou perfis de proteção do documento do Cybersecurity Framework;
  • Definição para sistemas de TI de medidas gerais de proteção que podem ser herdadas de níveis mais altos (por exemplo, do nível da organização ou dos processos de negócios)
  • priorização de sistemas de TI;
  • desenvolvimento e implementação de uma estratégia de monitoramento contínuo da eficácia das medidas de proteção.

As tarefas do estágio " Preparação " no nível dos sistemas de TI incluem:

  • Definindo as funções e processos de negócios que cada sistema de TI suporta
  • identificação de pessoas (partes interessadas) interessadas na criação, implementação, avaliação, funcionamento, suporte, desativação de sistemas;
  • identificação de ativos que requerem proteção;
  • determinação do limite de autorização para o sistema;
  • identificação dos tipos de informações processadas / transmitidas / armazenadas no sistema;
  • identificação e análise do ciclo de vida de todos os tipos de informações processadas / transmitidas / armazenadas no sistema;
  • conduzir avaliações de risco no nível dos sistemas de TI e atualizar a lista de resultados da avaliação;
  • Definindo requisitos de segurança e confidencialidade para sistemas e ambientes operacionais
  • localização dos sistemas na arquitetura geral da empresa;
  • distribuição de pontos de aplicação de requisitos de segurança e confidencialidade para sistemas e ambientes operacionais;
  • registro formal de sistemas de TI nos departamentos e documentos relevantes.

As tarefas da fase " Categorização " incluem:

  • documentação das características do sistema;
  • categorização do sistema e documentação dos resultados da categorização de acordo com os requisitos de segurança;
  • revisão e aprovação de resultados e decisões sobre categorização de acordo com os requisitos de segurança.

As tarefas da etapa " Seleção de um conjunto de medidas de proteção " incluem:

  • seleção de medidas de proteção para o sistema e seu ambiente funcional;
  • clarificação (adaptação) de medidas de proteção selecionadas para o sistema e seu ambiente funcional;
  • distribuição de pontos de aplicação de medidas de segurança e confidencialidade ao sistema e seu ambiente de funcionamento;
  • documentação das medidas planejadas para garantir a segurança e a confidencialidade do sistema e seu ambiente nos planos relevantes;
  • criação e implementação de uma estratégia para monitorar a eficácia das medidas de proteção aplicadas, conectadas logicamente e complementando a estratégia geral de monitoramento organizacional;
  • revisão e aprovação de planos para garantir a segurança e confidencialidade do sistema e seu ambiente operacional.

As tarefas da fase " Implementação de medidas de proteção " incluem:

  1. implementar medidas de segurança de acordo com planos de segurança e confidencialidade;
  2. documentar alterações nas salvaguardas planejadas após o fato, com base no resultado real da implementação.

As tarefas da etapa " Avaliação das medidas de segurança implementadas " incluem:

  • seleção de um avaliador ou equipe de avaliação apropriada ao tipo de avaliação que está sendo realizada;
  • desenvolvimento, revisão e aprovação de planos para a avaliação de medidas de proteção implementadas;
  • Avaliação de medidas de proteção de acordo com os procedimentos de avaliação descritos nos planos de avaliação;
  • preparação de relatórios de avaliação contendo os defeitos encontrados e recomendações para sua eliminação;
  • tomar ações corretivas com medidas de proteção e reavaliar as medidas corrigidas;
  • preparação de um plano de ação com base nas deficiências encontradas e recomendações dos relatórios de avaliação.

As tarefas da fase " Autorização " incluem:

  • coletar um pacote de documentos de autorização e enviá-lo à pessoa responsável pela autorização;
  • análise e determinação do risco de uso do sistema ou aplicação de medidas de proteção;
  • determinação e implementação de um plano de ação preferido em resposta ao risco identificado;
  • determinação da aceitabilidade do risco de usar o sistema ou aplicar medidas de proteção;
  • relatórios de resultados de autorização e qualquer falta de medidas de segurança que representem um risco significativo para a segurança ou a privacidade.

As tarefas da fase " Monitoramento contínuo " incluem:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


O Guia Especial do NIST SP 800-30 para Realização de Avaliações de Riscos se concentra no processo de avaliação de riscos, que é um componente fundamental do processo de gerenciamento de riscos da organização, de acordo com o NIST SP 800-39, juntamente com a definição de processamento e monitoramento de riscos. Os procedimentos de avaliação de riscos são usados ​​para identificar, avaliar e priorizar riscos decorrentes do uso de sistemas de informação para as atividades operacionais de uma organização, seus ativos e funcionários. Os objetivos da avaliação de riscos são informar os tomadores de decisão e apoiar o processo de resposta a riscos, identificando:

  • ameaças reais tanto à própria organização quanto indiretamente a outras organizações;
  • vulnerabilidades internas e externas;
  • dano potencial à organização, levando em consideração as possibilidades de exploração de vulnerabilidades por ameaças;
  • a probabilidade desse dano.

O resultado final é o cálculo do determinante (valor) do risco, ou seja, funções da quantidade de dano e da probabilidade de dano. A avaliação de riscos pode ser realizada nos três níveis de gerenciamento de riscos (níveis de organização, missão, sistemas de informação), por analogia com a abordagem usada no NIST SP 800-39 e NIST SP 800-37. Ressalta-se que a avaliação de riscos é um processo contínuo que afeta todos os níveis de gerenciamento de riscos em uma organização e também requer inclusão no ciclo de vida de desenvolvimento do sistema (SDLC) e realizado com uma frequência adequada aos objetivos e escopo da avaliação.

O processo de avaliação de riscos inclui:

  • preparação para avaliação de risco;
  • avaliação de risco;
  • comunicar resultados da avaliação e transferir informações dentro da organização;
  • mantendo os resultados alcançados.

O documento fala sobre a importância de compilar uma metodologia de avaliação de riscos, desenvolvida pela organização na etapa de determinação de riscos. É indicado que a organização pode escolher uma ou mais metodologias de avaliação de risco, dependendo dos recursos disponíveis, fase SDLC, complexidade e maturidade dos processos de negócios, criticidade / importância das informações processadas. Ao mesmo tempo, ao criar a metodologia correta, a organização melhora a qualidade e a reprodutibilidade das avaliações de risco realizadas. Uma metodologia de avaliação de risco geralmente inclui:

  • descrição do processo de avaliação de risco;
  • um modelo de risco que descreve os fatores de risco que estão sendo avaliados e as relações entre eles;
  • um método de avaliação de risco (por exemplo, qualitativo ou quantitativo) que descreve os valores que os fatores de risco podem assumir e como as combinações desses fatores podem ser processadas;
  • um método de análise (por exemplo, centrado na ameaça, focado em ativos ou vulnerabilidades) que descreve como as combinações de fatores de risco são identificadas e analisadas.

O modelo de risco descreve os fatores de risco estimados e as relações entre eles. Fatores de risco são características usadas nos modelos de risco como entrada para determinar os níveis de risco ao realizar uma avaliação de risco. Além disso, fatores de risco são usados ​​na comunicação de riscos para destacar os fatores que afetam significativamente os níveis de risco em determinadas situações e contextos. Fatores de risco típicos incluem:

  • ameaças;
  • vulnerabilidades;
  • Influência negativa;
  • probabilidade;
  • pré-condições.

No entanto, alguns fatores de risco podem ser decompostos em características mais detalhadas, por exemplo, ameaças podem ser decompostas em fontes de ameaças e eventos de ameaças.

Uma ameaça é qualquer circunstância ou evento que possa afetar adversamente os processos ou ativos de negócios, funcionários e outras organizações por meio de acesso não autorizado, destruição, divulgação ou modificação de informações e / ou negação de serviço. Eventos de ameaças são gerados por fontes de ameaças. A fonte das ameaças pode ser uma ação deliberada que visa explorar a vulnerabilidade ou uma ação não intencional, como resultado da qual a vulnerabilidade foi explorada acidentalmente. Em geral, os tipos de fontes de ameaças incluem:

  • ;
  • ;
  • , ;
  • .

Os detalhes da determinação de eventos de ameaças dependem da profundidade da construção de um modelo de risco. No caso de uma consideração detalhada do modelo de risco, é possível construir cenários de ameaças, que são um conjunto de vários eventos de ameaças que levam a efeitos negativos atribuídos a uma fonte específica de ameaças (ou várias fontes) e ordenados por tempo; ao mesmo tempo, é considerada a probabilidade potencial de exploração seqüencial de várias vulnerabilidades, levando à implementação bem-sucedida do ataque. As ameaças de eventos em ataques cibernéticos ou físicos são caracterizadas por um conjunto de táticas, técnicas e procedimentos (Táticas, técnicas e procedimentos de Eng., TTPs), sobre as quais dissemos anteriormente .

O documento em consideração também fala de um conceito como “ viés de ameaça"(Eng. Ameaça de mudança), que é entendida como os atacantes alterando seus TTPs, dependendo das medidas de proteção adotadas pela empresa e identificadas pelos atacantes. A mudança de ameaças pode ser realizada em um domínio temporário (por exemplo, tentativas de ataque em outro momento ou estender o ataque no tempo), em um domínio de destino (por exemplo, escolhendo um destino menos seguro), um domínio de recurso (por exemplo, usando recursos adicionais dos invasores para invadir um destino), um domínio planejamento ou método de ataque (por exemplo, usando outras ferramentas de hackers ou tentando atacar usando outros métodos). Além disso, enfatiza-se que os atacantes geralmente preferem o caminho de menor resistência para atingir seus objetivos, ou seja, escolha o elo mais fraco da cadeia de proteção.

Vulnerabilidade- é uma fraqueza no sistema de informação, procedimentos de segurança, métodos internos de proteção ou nos recursos de uma implementação / implementação específica de uma tecnologia ou sistema específico. A vulnerabilidade é caracterizada por seu perigo no contexto da importância calculada de corrigi-la; ao mesmo tempo, o perigo pode ser determinado dependendo do efeito negativo esperado da exploração desta vulnerabilidade. A maioria das vulnerabilidades nos sistemas de informação da organização ocorre devido a medidas de SI que não foram aplicadas (acidentalmente ou deliberadamente) ou que são aplicadas incorretamente. Também é importante lembrar a evolução das ameaças e os próprios sistemas protegidos - ambas as mudanças ocorrem ao longo do tempo, o que deve ser levado em consideração ao reavaliar os riscos. Além das vulnerabilidades técnicas nos sistemas de TI,erros no gerenciamento da organização e na arquitetura do sistema também devem ser considerados.

Uma condição predisponente no contexto da avaliação de riscos é uma condição existente em um processo de negócios, arquitetura ou sistema de TI que afeta (diminui ou aumenta) a probabilidade de dano causado por uma ameaça. Os sinônimos lógicos são os termos "suscetibilidade" (suscetibilidade ao inglês) ou "abertura" (exposição ao inglês) ao risco, o que significa que a vulnerabilidade pode ser explorada por uma ameaça a danos. Por exemplo, um servidor SQL é potencialmente vulnerável à vulnerabilidade de injeção SQL. Além das pré-condições técnicas, as organizacionais devem ser levadas em consideração: por exemplo, a localização de um escritório em uma planície aumenta o risco de inundações e a falta de comunicação entre os funcionários ao desenvolver um sistema de TI aumenta o risco de quebrá-lo no futuro.

Probabilidade de ocorrênciaAmeaças (probabilidade de ocorrência em inglês) - um fator de risco calculado com base na análise da probabilidade de uma certa vulnerabilidade (ou grupo de vulnerabilidades) poder ser explorada por uma certa ameaça, levando em consideração a probabilidade de que a ameaça acabe causando danos reais. Para ameaças intencionais, uma avaliação da probabilidade de ocorrência geralmente é avaliada com base nas intenções, capacidades e objetivos do invasor. Para ameaças não intencionais, a avaliação da probabilidade de ocorrência geralmente depende de dados empíricos e históricos. Além disso, a probabilidade de ocorrência é estimada para uma determinada perspectiva de tempo - por exemplo, para o próximo ano ou para o período coberto pelo relatório. Se a ameaça for quase totalmente 100% iniciada ou implementada dentro de um determinado período,Ao avaliar os riscos, a frequência esperada de sua implementação deve ser levada em consideração. Ao avaliar a probabilidade de uma ameaça, o estado dos processos de gestão e negócios da organização, pré-condições, a presença e a eficácia das medidas de proteção existentes devem ser levados em consideração. A probabilidade de impacto negativo significa a possibilidade de que qualquer dano seja causado durante a implementação da ameaça, independentemente de sua magnitude. As três etapas a seguir podem ser usadas para determinar a probabilidade geral de ocorrência de eventos de ameaça:As três etapas a seguir podem ser usadas para determinar a probabilidade geral de ocorrência de eventos de ameaça:As três etapas a seguir podem ser usadas para determinar a probabilidade geral de ocorrência de eventos de ameaça:

  1. , - ( ) ( ).
  2. , , , .
  3. .

Além dessa abordagem, o documento recomenda não procurar absolutamente todas as ameaças e vulnerabilidades relacionadas, mas concentrar-se naquelas que realmente podem ser usadas em ataques, bem como nos processos e funções de negócios com medidas de segurança insuficientes.

O nível de impacto negativo (por exemplo, impacto) de um evento de ameaça é a quantidade de dano que se espera da divulgação não autorizada, acesso, alteração, perda de informações ou inacessibilidade dos sistemas de informação. As organizações definem explicitamente:

  1. O processo usado para determinar o impacto negativo.
  2. Premissas usadas para determinar efeitos adversos.
  3. Fontes e métodos de obtenção de informações sobre o impacto negativo.
  4. A lógica usada para determinar o impacto negativo.

Além disso, ao calcular o impacto negativo, as organizações devem levar em consideração o valor de ativos e informações: você pode usar o sistema aceito pela empresa para categorizar informações por nível de significância ou os resultados de avaliações do impacto negativo na confidencialidade.

Ao avaliar riscos, um fator importante é o grau de imprecisão (incerteza em inglês) que ocorre devido às seguintes limitações gerais, em geral, como a incapacidade de prever com precisão eventos futuros; informações disponíveis insuficientes sobre as ameaças; vulnerabilidades desconhecidas; interdependências não reconhecidas.

Com base no exposto, o modelo de risco pode ser descrito como a seguinte estrutura lógica:

fonte de ameaça(com certas características) com um certo grau de probabilidade inicia um evento de ameaça que explora a vulnerabilidade (com um certo grau de perigo, levando em consideração as condições prévias e a contornar com êxito as medidas de proteção), como resultado do qual é criado um efeito negativo (com uma certa quantidade de risco em função da quantidade de dano e probabilidade) dano) que gera risco .

O documento também fornece recomendações sobre o uso do processo de agregação de riscos .(Agregação de risco em inglês) para combinar vários riscos fragmentados ou de baixo nível em um mais geral: por exemplo, os riscos de sistemas de TI individuais podem ser agregados em um risco comum para todo o sistema de negócios que eles suportam. Com essa combinação, deve-se ter em mente que alguns riscos podem ocorrer simultaneamente ou com mais frequência do que o previsto. Também é necessário levar em consideração a relação entre riscos díspares e combiná-los ou, inversamente, desconectá-los.

O NIST SP 800-30 também descreve os principais métodos de avaliação de riscos : quantitativo (quantitativo em inglês), qualitativo (qualitativo em inglês) e semi-quantitativo (semi-quantitativo em inglês).

Quantitativoa análise opera com números específicos (custo, tempo de inatividade, custos etc.) e é mais adequada para a análise de custo-benefício, no entanto, consome bastante recursos.

A análise qualitativa utiliza características descritivas (por exemplo, alta, média, baixa), que podem levar a conclusões incorretas devido ao pequeno número de estimativas possíveis e à subjetividade de sua apresentação.

Semi-quantitativoo método é uma opção intermediária, oferecendo o uso de uma faixa maior de classificações possíveis (por exemplo, em uma escala de 1 a 10) para uma avaliação e análise mais precisas dos resultados da comparação. A aplicação de um método específico de avaliação de risco depende tanto do campo de atividade da organização (por exemplo, uma análise quantitativa mais rigorosa pode ser aplicada no setor bancário) quanto do estágio do ciclo de vida do sistema (por exemplo, apenas uma avaliação qualitativa de risco pode ser realizada nos estágios iniciais do ciclo, mas nos mais maduros) - já quantitativo).

Por fim, o documento também descreve três maneiras principais de analisar fatores de risco: centrado em ameaças (orientado a ameaças), orientado a ativos (orientado a ativos / impactos) ou vulnerabilidades (orientado a vulnerabilidades).

Centrado em ameaçaso método se concentra na criação de cenários de ameaças e começa com a determinação das fontes de ameaças e eventos de ameaças; além disso, as vulnerabilidades são identificadas no contexto de ameaças e o impacto negativo está associado às intenções do invasor. O

método orientado a ativos envolve a identificação de eventos de ameaças e fontes de ameaças que podem ter um impacto negativo nos ativos; possíveis danos aos ativos estão na vanguarda.

Aplicando um método baseado em vulnerabilidadecomeça com uma análise de um conjunto de pré-condições e fraquezas / fraquezas que podem ser exploradas; Além disso, possíveis eventos de ameaças e as conseqüências da exploração de suas vulnerabilidades são determinados. O documento contém recomendações para combinar os métodos de análise descritos para obter uma imagem mais objetiva das ameaças na avaliação de riscos.

Portanto, como já indicamos acima, de acordo com o NIST SP 800-30, o processo de avaliação de risco é dividido em 4 etapas:

  • preparação para avaliação de risco;
  • avaliação de risco;
  • comunicar resultados da avaliação e transferir informações dentro da organização;
  • mantendo os resultados alcançados.

Vamos considerar com mais detalhes as tarefas executadas em cada estágio.

1. Preparação para avaliação de risco.

Na preparação da avaliação de riscos, são executadas as seguintes tarefas:

1.1. Identificação do objetivo da avaliação de riscos: quais informações são esperadas como resultado da avaliação, quais decisões serão ditadas pelo resultado da avaliação.
1.2 Identificação do escopo da avaliação de riscos no contexto de aplicabilidade a uma organização específica, período de tempo, informações sobre a arquitetura e tecnologias utilizadas
1.3 Identificação de premissas e limitações específicas, levando em consideração a avaliação de risco realizada. Como parte dessa tarefa, premissas e limitações são definidas em elementos como fontes de ameaças, eventos de ameaças, vulnerabilidades, pré-condições, probabilidade de ocorrência, impacto negativo, tolerância a riscos e nível de imprecisão, bem como o método de análise escolhido.
1.4 Identificação de fontes de informações preliminares, fontes de ameaças e vulnerabilidades, bem como informações de impacto negativo que serão usadas na avaliação de riscos. Nesse processo, as fontes de informação podem ser internas (como relatórios de incidentes e auditorias, logs de segurança e resultados de monitoramento) ou externas (por exemplo, relatórios CERT, resultados de pesquisas e outras informações relevantes disponíveis ao público).
1.5 Identificação do modelo de risco, método de avaliação de riscos e abordagem de análise a serem utilizados na avaliação de riscos.

2. Realização de uma avaliação de risco.

Como parte da avaliação de riscos, são executadas as seguintes tarefas:

2.1. Identificação e caracterização das fontes atuais de ameaças, incluindo os recursos, intenções e objetivos de ameaças intencionais, bem como os possíveis efeitos de ameaças não intencionais.
2.2 Identificação de possíveis eventos de ameaça, a relevância desses eventos, bem como as fontes de ameaças que podem desencadear eventos de ameaça.
2.3 Identificação de vulnerabilidades e pré-condições que afetam a probabilidade de que os eventos de ameaças atuais levem a um impacto negativo. Seu objetivo é determinar a vulnerabilidade dos processos e sistemas de negócios às fontes de ameaças previamente identificadas e como as ameaças identificadas podem realmente ser desencadeadas por essas fontes de ameaças.
2.4 Determinar a probabilidade de que os eventos de ameaças atuais levem a um impacto negativo, levando em consideração as características das fontes de ameaças, vulnerabilidades e condições prévias, bem como a exposição da organização a essas ameaças, levando em consideração as medidas de proteção implementadas.
2.5 Determinação do impacto negativo gerado pelas fontes de ameaças, levando em consideração as características das fontes de ameaças, vulnerabilidades e condições prévias, bem como a exposição da organização a essas ameaças, levando em consideração as medidas de proteção implementadas.
2.6 Determinação do risco da implementação dos eventos de ameaças atuais, levando em consideração o nível de impacto negativo desses eventos e a probabilidade de ocorrência desses eventos. O apêndice "I" desta norma contém a Tabela I-2 para calcular o nível de risco, dependendo dos níveis de probabilidade e impacto negativo.

3. Comunicar os resultados da avaliação de riscos e transmitir informações.

No âmbito da comunicação dos resultados da avaliação de riscos e transferência de informações, são executadas as seguintes tarefas:

3.1 Comunicar os resultados da avaliação de risco aos tomadores de decisão para responder aos riscos.
3.2 Transmissão às partes interessadas de informações sobre riscos identificados como resultado da avaliação.

4. Manutenção dos resultados alcançados.

No âmbito da manutenção dos resultados alcançados, são executadas as seguintes tarefas:

4.1. Realização de monitoramento contínuo dos fatores de risco que afetam os riscos nas atividades operacionais da organização, seus ativos, funcionários e outras organizações. Esta tarefa é dedicada ao padrão NIST SP 800-137, que consideraremos mais adiante.
4.2 Atualização da avaliação de riscos usando os resultados do processo de monitoramento contínuo dos fatores de risco.

Como você pode ver, o documento NIST SP 800-30 oferece uma abordagem bastante detalhada para modelagem de ameaças e cálculo de riscos. Os apêndices deste padrão, contendo exemplos de cálculos para cada uma das subtarefas da avaliação de riscos, bem como listas de possíveis fontes de ameaças, eventos de ameaças, vulnerabilidades e pré-condições, também são valiosos.

NIST SP 800-137


Passamos agora à revisão do documento NIST SP 800-137 "Monitoramento contínuo da segurança da informação para sistemas e organizações federais de informação" ("Monitoramento contínuo da segurança da informação para sistemas e organizações federais de informação").

A tarefa de construir uma estratégia para o monitoramento contínuo da segurança da informação é avaliar a eficácia das medidas de segurança e o status de segurança dos sistemas, a fim de responder às constantes mudanças nos desafios e tarefas no campo da segurança da informação. O sistema de monitoramento contínuo de segurança da informação ajuda a fornecer conhecimento situacional do estado de segurança dos sistemas de informação da empresa com base nas informações coletadas de vários recursos (como ativos, processos, tecnologias, funcionários), bem como nos recursos disponíveis para responder a mudanças na situação. Esse sistema é uma das táticas na estratégia geral de gerenciamento de riscos.

Como outros documentos da série SP, esta publicação fornece a abordagem de processo recomendada para a construção de um sistema de monitoramento de segurança da informação, consistindo em:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

O documento também fornece as seguintes recomendações para a escolha de ferramentas para garantir o monitoramento contínuo da segurança da informação:

  • o suporte a um grande número de fontes de dados;
  • o uso de especificações abertas e públicas (por exemplo, SCAP - Security Content Automation Protocol);
  • integração com outros softwares, como sistemas de suporte técnico, sistemas de gerenciamento de inventário e configuração, sistemas de resposta a incidentes;
  • apoiar o processo de análise de conformidade com as leis aplicáveis;
  • processo de relatório flexível, a capacidade de "falhar" (detalhamento em inglês) na profundidade dos dados em consideração;
  • Suporte para sistemas de informações de segurança e gerenciamento de eventos (SIEM) e sistemas de visualização de dados.


UPD: A continuação deste artigo está aqui .

More articles:


All Articles