Get best of the week

Análise de documentos internacionais sobre gerenciamento de riscos à segurança da informação. Parte 2

Na parte anterior , descrevemos o conceito geral de gerenciamento de riscos e métodos de gerenciamento de riscos divulgados de acordo com os documentos da série NIST SP 800. Nesta parte, continuaremos a revisar documentos internacionais sobre gerenciamento de riscos de segurança da informação: estamos alinhados com os padrões ISO 27005 e 31010. Vamos começar!

imagem

As publicações especiais revisadas anteriormente, NIST SP 800-39, NIST SP 800-37 e NIST SP 800-30, oferecem uma abordagem sistemática coerente para avaliação e processamento de riscos, enquanto NIST SP 800-53, NIST SP 800-53A e NIST SP 800-137 oferecer medidas específicas para minimizar os riscos de segurança da informação. No entanto, deve-se ter em mente que esses documentos são essencialmente de natureza consultiva e não são padrões (por exemplo, diferentemente dos documentos do NIST FIPS), e também que eles foram originalmente desenvolvidos para empresas e organizações dos Estados Unidos. Isso impõe certas restrições ao seu uso: por exemplo, as organizações não podem obter certificação internacional para a implementação das disposições desses documentos, e o uso de todo o conjunto de estruturas relacionadas ao NIST pode revelar-se excessivamente trabalhoso e impraticável.Frequentemente, as empresas escolhem o caminho da certificação de acordo com os requisitos da Organização Internacional de Normalização (ISO), recebendo, por exemplo, o status de "Certificação ISO 27001", reconhecida mundialmente. A série de normas ISO 27000 inclui documentos sobre segurança da informação e gerenciamento de riscos. Considere o documento principal desta série sobre gerenciamento de riscos de SI: norma ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


Norma ISO / IEC 27005: 2018 "Tecnologia da informação - Técnicas de segurança - Gerenciamento de riscos à segurança da informação"("Tecnologia da informação - Técnicas de segurança - Gerenciamento de riscos à segurança da informação") é a terceira revisão: a primeira versão do padrão foi publicada em 2005 e a segunda em 2011. O documento apresenta vários termos específicos de risco. Portanto, um meio de proteção (controle inglês) é uma medida que altera o risco. O conceito de contextos (contexto inglês) inclui o contexto externo, que significa o ambiente externo da empresa (por exemplo, o ambiente político, econômico, cultural, bem como o relacionamento com as partes interessadas externas) e o contexto interno, que significa o ambiente interno da empresa (processos internos, políticas, normas, sistemas, objetivos e cultura da organização, relacionamento com as partes interessadas internas, bem como obrigações contratuais).

Risco- este é o resultado da imprecisão (incerteza inglesa) na consecução de objetivos; no entanto, imprecisão significa um estado de falta de informações relacionadas a um determinado evento, suas conseqüências ou a probabilidade de sua ocorrência. Sob o nível de risco (Eng. Nível de risco) entende-se a magnitude do risco, expressa como um produto dos efeitos de eventos significativos e a probabilidade de ocorrência desses eventos. Risco residual (Eng. Risco residual ) - o risco restante após o procedimento de tratamento de risco. Em avaliação de risco(Avaliação de risco em inglês) entender o processo geral de identificação (ou seja, pesquisa, definição e descrição de risco), análise (ou seja, entender a natureza do risco e determinar seu nível) e avaliação de risco (ou seja, comparar os resultados da análise de risco com critérios de risco para determinar a admissibilidade de seu valor). O tratamento de riscos é um processo de modificação de riscos que pode incluir:

  • evitar riscos, evitando ações que podem levar a riscos;
  • Aceitação ou aumento de risco para atingir as metas de negócios;
  • eliminação de fontes de risco;
  • mudança na probabilidade de ocorrência de risco;
  • mudança nas conseqüências esperadas da implementação do risco;
  • transferência de risco (divisão);
  • preservação de riscos.

O processo de gerenciamento de riscos de SI, do ponto de vista dos autores da norma ISO / IEC 27005: 2018, deve ser caracterizado pelos seguintes recursos:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

O processo de gerenciamento de riscos em si consiste nas seguintes etapas (processos) que estão em conformidade com a abordagem PDCA (Planejar - Fazer - Verificar - Agir) adotada na ISO 27001:

  1. Definição do contexto.
  2. Avaliação de risco.
  3. Desenvolva um plano de tratamento de riscos.
  4. Assunção de riscos
  5. Implementação do plano de tratamento de riscos desenvolvido.
  6. Monitoramento contínuo e revisão de riscos.
  7. Suporte e aprimoramento do processo de gerenciamento de riscos de SI.

Além disso, consideraremos cada uma dessas etapas com mais detalhes.

1. Definição do contexto


Ao determinar o contexto, os dados de entrada são todas as informações sobre a empresa que são relevantes para o gerenciamento de riscos. Como parte desse processo, é selecionada uma abordagem para gerenciamento de riscos, que deve incluir critérios para avaliação de riscos, critérios para avaliação de impacto negativo (impacto em inglês) e critérios para aceitação de riscos. Além disso, os recursos necessários para a implementação desse processo devem ser avaliados e alocados.

Os critérios de avaliação de risco devem ser desenvolvidos para avaliar os riscos de SI na empresa e devem levar em consideração o valor dos ativos de informação, os requisitos de confidencialidade, integridade, acessibilidade, o papel dos processos de negócios da informação, os requisitos de legislação e obrigações contratuais, as expectativas das partes interessadas, possíveis consequências negativas para a boa vontade e reputação companhia.

Os critérios para avaliar o impacto negativo devem levar em conta o nível de dano ou despesa da empresa para recuperar-se do risco de segurança da informação realizado, levando em consideração o nível de importância do ativo de TI, violação da segurança da informação (ou seja, perda da privacidade, integridade, propriedades de acessibilidade do ativo), tempo de inatividade forçado do processo de negócios, perdas econômicas , violação de planos e prazos, danos à reputação, violação de requisitos legais e obrigações contratuais.

Critérios de aceitação de riscopode ser expressa como a relação entre os benefícios comerciais esperados e os riscos esperados. Ao mesmo tempo, critérios diferentes podem ser aplicados para diferentes classes de riscos: por exemplo, os riscos de não conformidade com a lei podem não ser aceitos em princípio e altos riscos financeiros podem ser aceitos se fizerem parte de obrigações contratuais. Além disso, o período previsto de relevância do risco (riscos de longo e curto prazo) deve ser levado em consideração. Os critérios para aceitação de riscos devem ser desenvolvidos, levando em consideração o nível de risco desejado (objetivo), com a possibilidade de a alta administração aceitar riscos acima desse nível em determinadas circunstâncias, bem como a possibilidade de aceitar riscos sujeitos ao processamento subsequente de riscos durante o período especificado.

Além dos critérios acima, como parte do processo de determinação do contexto, os limites e o escopo do processo de gerenciamento de riscos de SI devem ser levados em consideração: objetivos de negócios, processos de negócios, planos e políticas da empresa, estrutura e funções da organização, legislação aplicável e outras requisitos, ativos de informação, expectativas das partes interessadas, interação com contrapartes. Você pode considerar o processo de gerenciamento de riscos em um sistema de TI, infraestrutura, processo comercial específico ou em uma parte específica de toda a empresa.

2. Avaliação de risco


Como parte do processo de avaliação de riscos, a empresa deve avaliar o valor dos ativos de informações, identificar ameaças e vulnerabilidades atuais, obter informações sobre as soluções atuais e sua eficácia e determinar as possíveis conseqüências dos riscos. Como resultado da avaliação de riscos, a empresa deve receber uma avaliação quantitativa ou qualitativa dos riscos, bem como a priorização desses riscos, levando em consideração os critérios para avaliar o risco de riscos e os objetivos da empresa. O processo de avaliação de riscos em si consiste na identificação de riscos, análise de riscos, avaliação de riscos.

2.1 Identificação de riscos


O objetivo da identificação de riscos é determinar o que pode acontecer e levar a possíveis danos e entender como, onde e por que esses danos podem ocorrer. Ao mesmo tempo, os riscos devem ser considerados, independentemente de a fonte desses riscos ser controlada pela organização ou não. Como parte desse processo, o seguinte deve ser realizado:

  1. identificação (inventário) de ativos, resultando em uma lista de ativos de TI e processos de negócios;
  2. identificação de ameaças, embora seja necessário levar em consideração ameaças deliberadas e aleatórias, fontes externas e internas de ameaças e informações sobre possíveis ameaças podem ser obtidas tanto de fontes internas da organização (advogados, RH, TI, etc.) quanto de externas (seguros empresas, consultores externos, informações estatísticas, etc.);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


Uma análise de risco pode ser realizada com diferentes profundidades, dependendo da criticidade dos ativos, do número de vulnerabilidades conhecidas e também da consideração de incidentes anteriores. A metodologia da análise de risco pode ser qualitativa e quantitativa: como regra, primeiro uma análise qualitativa é usada para destacar riscos de alta prioridade e, em seguida, uma análise quantitativa é aplicada aos riscos identificados, o que consome mais tempo e fornece resultados mais precisos.

Ao usar a análise qualitativa, os especialistas operam em uma escala de avaliação de risco descritiva (por exemplo, baixa, média, alta) das possíveis consequências de certos eventos e a probabilidade dessas consequências.

Ao usar métodos de análise quantitativavalores numéricos já estão sendo aplicados, levando em consideração dados históricos de incidentes que já ocorreram. Deve-se ter em mente que, na ausência de fatos confiáveis ​​e verificáveis, uma avaliação quantitativa dos riscos pode apenas dar a ilusão de precisão.

No processo de análise de risco, as possíveis conseqüências dos incidentes de SI são avaliadas primeiro: o nível de impacto negativo na empresa é avaliado levando em consideração as consequências de violações da confidencialidade, integridade e acessibilidade dos ativos de informação. Os ativos existentes são verificados e auditados com o objetivo de classificá-los de acordo com sua criticidade, e também é avaliado o potencial impacto negativo das violações à segurança da informação desses ativos nos negócios (preferencialmente em termos monetários). A avaliação de ativos é realizada como parte da análise do impacto negativo nos negócios (Business Impact Analysis) e pode ser calculada com base no custo de substituição ou restauração de ativos / informações, bem como as consequências da perda ou comprometimento de ativos / informações: aspectos financeiros, legais e de reputação são considerados.Também deve-se ter em mente que as ameaças podem afetar um ou vários ativos inter-relacionados ou afetar ativos apenas parcialmente.

Em seguida, uma avaliação da probabilidade de um incidente, ou seja, todos os cenários de ameaças em potencial. É necessário levar em conta a frequência da ameaça e a facilidade de exploração de vulnerabilidades, guiadas por informações estatísticas sobre ameaças semelhantes, além de dados sobre a motivação e as possibilidades de fontes deliberadas de ameaças (construção de um modelo de invasor), a atratividade de ativos para atacantes, vulnerabilidades existentes, medidas de proteção aplicadas e em caso de consideração não intencional ameaças - leve em consideração a localização, condições climáticas, características do equipamento, erros humanos etc. Dependendo da precisão exigida da avaliação, os ativos podem ser agrupados ou divididos em termos de cenários de ataque aplicáveis ​​a eles.

Finalmente, o nível de risco é determinado para todos os cenários da lista desenvolvida de cenários de ataque. A magnitude do risco esperado é um produto da probabilidade do cenário de incidente e de suas conseqüências.

2.3 Avaliação de risco


Como parte do processo de avaliação de risco, os níveis de risco obtidos no estágio anterior são comparados com os critérios de comparação e os critérios de aceitação de risco obtidos no estágio de determinação do contexto. Ao tomar decisões, as consequências da implementação de ameaças, a probabilidade de consequências negativas, o nível de confiança pessoal na correção da identificação e análise dos riscos devem ser levados em consideração. É necessário levar em consideração as propriedades dos ativos de SI (por exemplo, se a perda de confidencialidade não for relevante para a organização, todos os riscos que violam essa propriedade podem ser descartados), bem como a importância dos processos de negócios atendidos por um ativo específico (por exemplo, riscos que afetam um processo de negócios insignificante podem ser reconhecida como de baixa prioridade).

3. tratamento de risco IS


No início deste subprocesso, já possuímos uma lista de riscos priorizados, de acordo com os critérios para avaliar o risco de riscos associados aos cenários de incidentes que podem levar à realização desses riscos. Como resultado do estágio de processamento de riscos, devemos escolher medidas de proteção projetadas para modificar (retenção), manter (evitar) ou transferir (compartilhar) riscos e processar riscos e formas residuais plano de tratamento de riscos.

As opções de tratamento de risco indicadas (modificação, preservação, prevenção ou transferência) devem ser selecionadas dependendo dos resultados do processo de avaliação de risco, da estimativa de custo esperada da implementação de medidas de proteção e dos benefícios esperados de cada opção, e podem ser combinadas (por exemplo, modificar a probabilidade de risco e transferir o risco residual ) Deve-se dar preferência a medidas fáceis de implementar e de baixo orçamento, que ao mesmo tempo proporcionam um grande efeito de redução de riscos e abrangem um número maior de ameaças e, se necessário, o uso de soluções dispendiosas deve fornecer uma justificativa econômica para sua aplicação. Em geral, deve-se procurar minimizar as conseqüências negativas, bem como levar em consideração riscos raros, porém destrutivos.

Como resultado, as pessoas responsáveis ​​devem formular um plano de tratamento de riscos que defina claramente a prioridade e o intervalo de tempo, de acordo com o qual um método de processamento de cada risco deve ser implementado. As prioridades podem ser definidas com base nos resultados da classificação de risco e análise de custo-benefício. Se alguma medida de proteção já tiver sido implementada na organização, será razoável analisar sua relevância e custo de propriedade, levando em consideração a relação entre medidas de proteção e ameaças às quais essas medidas foram aplicadas.

No final do plano de tratamento de riscos, os riscos residuais devem ser determinados. Isso pode exigir a atualização ou recondução de uma avaliação de risco, levando em consideração os efeitos esperados dos métodos de tratamento de risco propostos.

A seguir, consideramos com mais detalhes as opções possíveis para o processamento de riscos.

3.1 Modificação de risco


A modificação do risco implica esse gerenciamento de riscos, aplicando ou alterando medidas de proteção, o que leva à avaliação do risco residual como aceitável. Ao usar a opção de modificação de risco, são selecionadas medidas de proteção justificadas e relevantes que atendem aos requisitos definidos nas etapas de avaliação e processamento de riscos. Uma variedade de restrições deve ser levada em consideração, como o custo de propriedade do equipamento de proteção (levando em consideração a implementação, administração e influência na infraestrutura), o tempo e a estrutura financeira, a necessidade de pessoal para manutenção desses equipamentos de proteção e os requisitos para integração com as medidas de segurança atuais e novas. Também é necessário comparar o custo dos custos indicados com o valor do ativo a ser protegido.As medidas de proteção incluem: correção, eliminação, prevenção, minimização de impacto negativo,prevenção de possíveis infratores; detecção, recuperação, monitoramento e conscientização dos funcionários.

O resultado da etapa "Modificação de risco" deve ser uma lista de possíveis medidas de proteção com custo, benefícios propostos e prioridade de implementação.

3.2 Preservação de risco


Preservação de risco significa que, com base nos resultados da avaliação de risco, foi decidido que não são necessárias outras etapas para seu processamento, ou seja, O nível estimado de risco esperado atende aos critérios de aceitação de risco. Observe que essa opção é significativamente diferente da prática viciosa de ignorar o risco, na qual o risco já identificado e avaliado não é processado de forma alguma, ou seja, a decisão sobre sua adoção não é adotada oficialmente, deixando o risco em um estado "suspenso".

3.3 Prevenção de riscos


Ao escolher esta opção, é tomada a decisão de não realizar uma determinada atividade ou alterar as condições de sua conduta, a fim de evitar o risco associado a essa atividade. Essa decisão pode ser tomada em caso de riscos elevados ou se o custo da implementação de medidas de proteção exceder os benefícios esperados. Por exemplo, uma empresa pode se recusar a fornecer aos usuários determinados serviços on-line relacionados a dados pessoais, com base nos resultados de uma análise dos possíveis riscos de vazamento dessas informações e no custo da implementação de medidas de proteção adequadas.

3.4 Transferência de risco


O risco pode ser transferido para a organização que pode gerenciá-lo com mais eficiência. Assim, com base em uma avaliação de risco, é tomada a decisão de transferir certos riscos para outra pessoa, por exemplo, assegurando riscos cibernéticos (um serviço que está ganhando popularidade na Rússia, mas ainda está várias vezes atrás do tamanho desse mercado, por exemplo, nos EUA) ou transferindo responsabilidades para monitorar e responder a incidentes de SI no MSSP (provedor de serviços de segurança gerenciada) ou MDR (detecção e resposta gerenciada), ou seja, no SOC comercial. Ao escolher a opção de transferência de risco, deve-se observar que a própria transferência de risco pode ser um risco, bem como o fato de que a responsabilidade pelo gerenciamento do risco pode ser transferida para outra empresa, mas a responsabilidade pelas consequências negativas de um possível incidente não pode ser transferida para ela.

4. Aceitação de Risco


Os dados de entrada para esta etapa serão os planos de tratamento de risco desenvolvidos na etapa anterior e a avaliação de riscos residuais. Os planos de gerenciamento de riscos devem descrever como os riscos avaliados serão processados ​​para atender aos critérios de aceitação de riscos. As pessoas responsáveis ​​analisam e concordam com os planos de tratamento de risco propostos e os riscos residuais finais, bem como indicam todas as condições sob as quais essa aprovação é feita. Em um modelo simplificado, é feita uma comparação trivial do risco residual com um nível aceitável definido anteriormente. No entanto, deve-se ter em mente que, em alguns casos, pode ser necessário revisar os critérios de aceitação de riscos que não levam em consideração novas circunstâncias ou condições. Nesse caso, os responsáveis ​​podem ser forçados a aceitar tais riscos,indicando a justificativa e o comentário sobre a decisão de não conformidade com os critérios de aceitação de riscos em um caso específico.

Como resultado, uma lista de riscos aceitos é formada com uma justificativa para aqueles que não atendem aos critérios definidos anteriormente para aceitar riscos.

5. Implementação do plano de tratamento de risco desenvolvido. Comunicação de risco de SI


Nesse estágio, o plano de tratamento de risco desenvolvido é implementado diretamente: de acordo com as decisões tomadas, os equipamentos e equipamentos de proteção são adquiridos e configurados, os contratos de seguro cibernético e de resposta a incidentes são concluídos e o trabalho legal é realizado com os contratados. Ao mesmo tempo, as informações sobre os riscos de SI identificados e as medidas tomadas para resolvê-los, a fim de alcançar um entendimento comum das atividades, são comunicadas à gerência e às partes interessadas.
Estão sendo desenvolvidos planos de comunicação de risco à segurança da informação para atividades coordenadas em situações normais e de emergência (por exemplo, no caso de um grande incidente de segurança da informação).

6. Monitoramento e revisão contínuos dos riscos


Deve-se ter em mente que os riscos podem mudar silenciosamente ao longo do tempo: ativos e seus valores mudam, novas ameaças e vulnerabilidades aparecem, a probabilidade de ameaças e o nível de seu impacto negativo muda. Portanto, é necessário realizar um monitoramento contínuo das mudanças que estão ocorrendo, inclusive com o envolvimento de contratados externos especializados na análise de ameaças reais de SI. É necessário realizar uma revisão regular dos riscos de SI e dos métodos usados ​​para tratá-los quanto à relevância e adequação de uma situação potencialmente em mudança. Atenção especial deve ser dada a esse processo no momento de mudanças significativas no trabalho da empresa e nos processos de negócios em andamento (por exemplo, durante fusões / aquisições, lançamento de novos serviços, mudanças na estrutura de propriedade da empresa, etc.).

7. Suporte e aprimoramento do processo de gerenciamento de riscos de SI


Semelhante ao monitoramento contínuo de riscos, o próprio processo de gerenciamento de riscos deve ser constantemente mantido e aprimorado, para que o contexto, a avaliação e o plano de tratamento permaneçam relevantes para a situação e as circunstâncias atuais. Todas as alterações e melhorias precisam ser acordadas com as partes interessadas. Os critérios para avaliar e aceitar riscos, avaliar o valor dos ativos, recursos disponíveis, atividade dos concorrentes e mudanças na legislação e obrigações contratuais devem corresponder aos processos comerciais atuais e aos objetivos atuais da empresa. Se necessário, é necessário alterar ou melhorar a abordagem atual, a metodologia e as ferramentas de gerenciamento de riscos de SI.

IEC 31010: 2019


Agora, revisamos brevemente o padrão IEC 31010: 2019 "Gerenciamento de riscos - Técnicas de avaliação de riscos" .

Esse padrão faz parte de uma série de padrões de gerenciamento de risco comercial que não estão especificamente vinculados aos riscos de SI. O padrão de "título" é a ISO 31000: 2018, "Gerenciamento de riscos - Diretrizes", que descreve a estrutura, os princípios e o próprio processo de gerenciamento de riscos. O processo de gerenciamento de riscos descrito neste documento é semelhante ao discutido acima: o contexto, os limites e os critérios são determinados, uma avaliação de risco é realizada (consistindo em identificação, análise, avaliação de risco) e, em seguida, o risco é processado, seguido de comunicação, relatório, monitoramento e revisão.

O padrão IEC 31010: 2019 é digno de nota, pois fornece mais de 40 técnicas diferentes de avaliação de riscos, cada uma fornece uma explicação, um método de aplicação para todos os subprocessos de avaliação de riscos (identificação de riscos, identificação de fontes e causas de risco, análise de medidas de proteção, análise consequências, probabilidades, relacionamentos e interações, medindo e avaliando o nível de risco, escolha de medidas de proteção, relatórios) e, para algumas técnicas, também são apresentados exemplos práticos de uso. Além disso, para este padrão em sua versão doméstica, GOST R ISO / IEC 31010-2011 “Gerenciamento de riscos. Métodos de avaliação de risco ”refere-se ao 607-P do Banco Central da Federação Russa“ Sobre requisitos para o procedimento para garantir a operação ininterrupta do sistema de pagamento, indicadores de operação ininterrupta do sistema de pagamento e métodos de análise de risco no sistema de pagamento, incluindo perfis de risco ”.

More articles:


All Articles