Get best of the week

分析有关信息安全风险管理的国际文件。第2部分

在上一部分中,我们根据NIST SP 800系列文件描述了风险管理的一般概念并公开了风险管理方法,在这一部分中,我们将继续审查有关信息安全风险管理的国际文件:我们符合ISO 27005和31010标准,让我们开始吧!

图片

之前审阅过的特殊出版物NIST SP 800-39,NIST SP 800-37和NIST SP 800-30提供了一种连贯的系统化方法来进行风险评估和处理,而NIST SP 800-53,NIST SP 800-53A和NIST SP 800-137提供具体措施以最大程度地降低信息安全风险。但是,应该记住,这些文件本质上是咨询性的,不是标准的(例如,不同于NIST FIPS文件),并且它们最初是为美国的公司和组织开发的。这对它们的使用施加了一定的限制:例如,组织无法获得实施这些文件规定的国际认证,并且整个相关NIST框架的使用可能过于费力且不切实际。通常,公司会根据国际标准化组织(ISO)的要求选择认证途径,例如,获得国际认可的“ ISO 27001认证”状态。 ISO 27000系列标准包括有关信息安全和风险管理的文档。请考虑本系列有关IS风险管理的主要文件:标准ISO / IEC 27005:2018。

ISO / IEC 27005:2018年


标准ISO / IEC 27005:2018 “信息技术-安全技术-信息安全风险管理”(“信息技术-安全技术-信息安全风险管理”)是第三个修订版:该标准的第一版于2005年发布,第二版于2011年发布。该文档介绍了几个特定于风险的术语。因此,保护​​手段(英语控制)是改变风险的一种措施。上下文的概念(英语上下文)包括外部上下文,这意味着公司的外部环境(例如,政治,经济,文化环境以及与外部利益相关者的关系),以及内部上下文,这意味着公司的内部环境(内部流程,政策,组织的标准,系统,目标和文化,与内部利益相关者的关系以及合同义务)。

风险-这是实现目标不准确(英语不确定性)的结果;但是,不准确性是指缺乏与某一事件,其后果或发生可能性有关的信息的状态。在风险级别(风险级别)下,可以理解风险的大小,表示为重大事件的影响和这些事件发生的概率的乘积。残留风险(Eng。Residual risk)-风险处理程序后剩余的风险。在风险评估(英文风险评估)了解一般识别(即搜寻,定义和描述风险),分析(即了解风险的性质并确定其等级)和危害评估(例如将风险分析结果与确定其价值是否可接受的风险标准)。风险处理是一个风险修改过程,可能包括:

  • 通过避免可能导致风险的措施来规避风险;
  • 接受或增加风险以实现业务目标;
  • 消除风险来源;
  • 风险发生概率的变化;
  • 实施风险的预期后果发生变化;
  • 风险转移(部门);
  • 保持风险。

从ISO / IEC 27005:2018标准作者的角度来看,IS风险管理流程应具有以下特征:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

风险管理流程本身包含以下符合ISO 27001中采用的PDCA(计划-执行-检查-行为)方法的步骤(过程):

  1. 上下文的定义。
  2. 风险评估。
  3. 制定风险处理计划。
  4. 冒险精神
  5. 实施已制定的风险处理计划。
  6. 持续监控和审查风险。
  7. 支持和改进IS风险管理流程。

此外,我们将更详细地考虑每个步骤。

1.上下文的定义


确定上下文时,输入数据是与风险管理相关的公司的所有信息。作为此过程的一部分,选择了一种风险管理方法,其中应包括风险评估标准,评估负面影响(英语影响)的标准以及接受风险的标准。此外,应该评估和分配执行此过程所需的资源。应当制定

风险评估标准以评估公司中的IS风险,并应考虑信息资产的价值,对其保密性,完整性,可访问性,信息业务流程的作用,法规和合同义务的要求,利益相关者的期望,对商誉和声誉的可能负面影响的要求公司。

评估负面影响的标准应考虑到公司从已实现的信息安全风险中恢复的损害或费用水平,并考虑了IT资产的重要性水平,违反信息安全性(即资产隐私,完整性,可访问性资产的损失),业务流程的强制停机,经济损失,违反计划和期限,损害声誉,违反法律要求和合同义务。

风险接受标准可以表示为预期业务收益与预期风险之比。同时,可以对不同类别的风险采用不同的标准:例如,原则上不接受不遵守法律的风险,如果高风险属于合同义务,则可以接受。此外,应考虑到风险相关性的预测时间段(长期和短期风险)。在制定风险接受标准时,必须考虑到期望的(目标)风险水平,在某些情况下高层管理人员有可能接受高于该水平的风险,并且有可能接受在商定的时间段内接受后续风险处理的风险。

除上述标准外,在上下文确定过程中,还应考虑IS风险管理过程的边界和范围:业务目标,业务过程,公司的计划和政策,组织的结构和职能,适用的立法及其他需求,信息资产,利益相关者的期望,与交易对手的互动。您可以考虑特定IT系统,基础架构,业务流程中或整个公司特定部分中的风险管理流程。

2.风险评估


作为风险评估过程的一部分,公司必须评估信息资产的价值,识别当前的威胁和漏洞,获取有关当前补救措施及其有效性的信息,并确定风险的潜在后果。作为风险评估的结果,公司应接受定量或定性的风险评估,并应根据评估风险风险的标准和公司的目标对这些风险进行优先级排序。风险评估过程本身包括风险识别,风险分析,风险评估。

2.1。风险识别


识别风险的目的是确定可能发生的情况并导致潜在的损害,并了解这种损害的发生方式,地点和原因。同时,无论这些风险的来源是否由组织控制,都应考虑风险。作为此过程的一部分,应执行以下操作:

  1. 识别(库存)资产,从而产生IT资产和业务流程的列表;
  2. 识别威胁,虽然有必要考虑到蓄意和随机的威胁,但可以从组织的内部来源(律师,人力资源,IT等)和外部(保险)获得威胁的外部和内部威胁来源,以及有关可能威胁的信息公司,外部顾问,统计信息等);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


可以根据资产的关键程度,已知漏洞的数量以及考虑到先前的事件来对风险进行不同深度的分析。风险分析的方法既可以是定性的也可以是定量的:通常,首先使用定性分析来突出显示高优先级风险,然后对所识别出的风险进行定量分析,这将更加耗时并且得出更准确的结果。

在使用定性分析时,专家会根据描述性危害评估的规模(例如,低,中,高)对某些事件的潜在后果以及这些后果的可能性进行评估。

使用定量分析方法时考虑到已经发生的事件的历史数据,已经应用了数值。应该牢记的是,在缺乏可靠,可验证的事实的情况下,定量风险评估只能给出准确性的假象。

在进行风险分析过程本身时,首先要评估IS事件的潜在后果:要考虑到违反保密性,完整性和信息资产可用性的后果,来评估其对公司的负面影响。对现有资产进行检查和审计,以便根据其重要性对其进行分类,并且还评估了违反这些资产的信息安全性对业务的潜在负面影响(最好以货币形式)。资产评估是对业务造成负面影响的分析(业务影响分析)的一部分,可以根据更换或恢复资产/信息的成本以及资产/信息丢失或损害的后果进行计算:考虑财务,法律和声誉方面。还应牢记,威胁可以影响一个或多个相互关联的资产或仅部分影响资产。

接下来,评估事件发生的可能性,即所有潜在的威胁场景。有必要在有关类似威胁的统计信息以及故意威胁源的动机和可能性的数据(建立入侵者模型),资产对攻击者的吸引力,现有漏洞,已应用的保护措施以及在考虑了无意的情况下,以考虑到威胁发生的频率和利用漏洞的难易程度为指导威胁-考虑到位置,天气条件,设备功能,人为错误等。根据评估所需的准确性,可以根据适用于资产的攻击方案对资产进行分组或划分。

最后,从已开发的攻击方案列表中确定所有方案的风险级别。预期风险的大小是事件场景及其后果的可能性的乘积。

2.3。风险评估


作为风险危害评估过程的一部分,将在前一阶段获得的风险水平与在上下文确定阶段获得的风险比较标准和风险接受标准进行比较。在做出决策时,应考虑实施威胁的后果,负面后果的可能性,个人对识别和分析风险的正确性的信心水平。有必要考虑IS资产的属性(例如,如果保密损失与组织无关),则可以丢弃所有违反此财产的风险),以及特定资产所服务的业务流程的重要性(例如,可能会影响无关紧要的业务流程的风险)。被认为是低优先级)。

3. IS风险处理


在此子流程开始之前,我们已经根据评估与事件场景相关的风险的标准来确定了优先风险清单,这些事件可能导致这些风险的实现。由于经过了风险处理阶段,我们必须选择旨在修改(保留),保持(避免)或转移(分担)风险以及处理剩余风险和形式的保护措施。风险处理计划。

应根据风险评估过程的结果,实施保护措施的预期成本估算以及每种选择的预期收益来选择所指示的风险处理选项(修改,保存,避免或转移),并且可以将它们组合在一起(例如,修改风险的可能性并转移剩余风险)应优先考虑易于实施且预算低的措施,这些措施在降低风险和覆盖更多威胁方面具有很大的作用,并且在必要时使用昂贵的解决方案应为其应用提供经济上的理由。总的来说,应该努力减少负面影响,并考虑到罕见但具有破坏性的风险。

因此,负责人应制定风险处理计划,明确定义优先级和时间间隔,并据此确定处理每种风险的方法。可以根据风险排名和成本效益分析的结果来设置优先级。如果组织中已经实施了任何保护措施,则在考虑保护措施与应用这些保护措施的威胁之间的关系时,分析其相关性和拥有成本是合理的。

在风险处理计划结束时,应确定剩余风险。这可能需要考虑拟议风险处理方法的预期效果来更新或重新进行风险评估。

接下来,我们将更详细地考虑处理风险的可能选择。

3.1。风险修改


风险修改意味着通过应用或更改保护性措施进行风险管理,从而可以将残余风险评估为可接受的。使用风险修改选项时,应选择符合风险评估和处理阶段定义的要求的合理且相关的保护措施。应考虑多种限制,例如保护设备的拥有成本(考虑到实施,管理和对基础设施的影响),时间和财务框架,对这些保护设备进行维修的人员的需求以及与当前和新的安全措施集成的要求。还需要将指示成本与受保护资产的价值进行比较,保护措施包括:纠正,消除,预防,最小化负面影响,预防潜在的违规者;对员工进行检测,恢复,监控和提高认识。

“风险修改”步骤的结果应是可能采取的保护措施的清单,包括其成本,提议的收益和实施优先级。

3.2。风险防范


风险保留意味着根据风险危害评估的结果,决定不需要进一步的处理步骤,即 预期风险的估计水平符合风险接受标准。请注意,此选项与忽略风险的恶性做法大不相同,在这种做法中,已识别和评估的风险不会以任何方式处理,即 采纳该决定的决定未得到正式采纳,从而使风险处于“已暂停”状态。

3.3。规避风险


选择此选项时,将决定不进行某项活动或更改其行为的条件,从而避免与此活动相关的风险。如果存在高风险或实施保护措施的成本超过预期收益,则可以做出此决定。例如,根据对此类信息泄漏的可能风险以及实施适当保护措施的成本的分析结果,公司可能拒绝向用户提供某些与个人数据有关的在线服务。

3.4。风险转移


风险可以转移到可以最有效地管理风险的组织。因此,在风险评估的基础上,我们决定将某些风险转移给他人,例如,通过确保网络风险(一种服务在俄罗斯越来越受欢迎,但仍比该市场的规模低了好几倍,例如在美国)或通过转移责任用于监视和响应对MSSP(Managed Security Service Provider)或IS MDR(Managed Detection and Response)的IS事件,即 在商业SOC中。在选择风险转移选项时,应注意的是,风险转移本身可能是一种风险,也可以将管理风险的责任转移给另一家公司,但是对可能发生的事件的负面后果的责任则不能转移到该公司。

4.风险承担


此阶段的输入数据将是在上一步中制定的风险处理计划以及对剩余风险的评估。风险管理计划应描述如何处理评估的风险以满足接受风险的标准。负责人对拟议的风险处理计划和最终的残留风险进行分析并达成一致,并指出进行此批准的所有条件。在简化模型中,将残留风险与先前定义的可接受水平进行了比较。但是,应该记住,在某些情况下,可能有必要审查不考虑新情况或条件的接受风险的标准。在这种情况下,责任者可能被迫接受此类风险,说明在特定情况下不遵守风险的决定的依据和评论。

结果,形成了可接受风险的列表,并为那些不符合先前定义的可接受风险标准的风险提供了理由。

5.实施已制定的风险处理计划。IS风险沟通


在此阶段,直接执行已制定的风险处理计划:根据做出的决定,购买和配置保护设备和设备,签订网络保险和事件响应合同,并与承包商进行法律工作。同时,已将有关已确定的信息系统风险的信息以及为达成对活动的共识而采取的应对措施的信息传达给了管理层和利益相关者。
正在制定信息安全风险沟通计划,以在正常和紧急情况下(例如,在重大信息安全事件中)协调活动。

6.持续的风险监控和审查


应当牢记,风险会随时间悄悄变化:资产及其价值发生变化,出现新的威胁和漏洞,威胁发生的可能性及其负面影响的程度都会发生变化。因此,有必要持续监视持续的变化,包括专门研究当前IS威胁的外部交易方的参与。需要对IS风险及其用于潜在风险变化情况的相关性和充分性的处理方法进行定期审查。在公司的工作和正在进行的业务流程发生重大变化时(例如,在合并/收购,新服务的发布,公司所有权结构的变化等),应特别注意此过程。

7.支持和改进IS风险管理流程


与持续风险监控类似,风险管理流程本身应得到不断维护和改进,以使环境,评估和治疗计划与当前情况保持一致。所有更改和改进都需要与相关方达成协议。评估和接受风险,评估资产价值,可用资源,竞争对手的活动以及法律和合同义务变更的准则应与公司当前的业务流程和当前的目标相对应。如有必要,有必要更改或改进IS风险管理的当前方法,方法和工具。

IEC 31010:2019


现在,我们简要回顾一下IEC 31010:2019 标准“风险管理-风险评估技术”

该标准是与IS风险无关的一系列业务风险管理标准的一部分。 “标题”标准是ISO 31000:2018,“风险管理-准则”,它描述了框架,原则和风险管理流程本身。本文档中描述的风险管理过程与上述讨论的过程类似:确定了背景,边界和标准,进行了风险评估(包括识别,分析,风险危害评估),然后处理风险,然后进行沟通,报告,监控和审查。

IEC 31010:2019标准值得注意,因为它提供了40多种不同的风险评估技术,每种技术都提供了解释,适用于所有风险评估子过程的方法(风险识别,风险来源和风险原因识别,保护措施分析,分析结果,概率,关系和相互作用,测量和评估风险水平,选择保护措施,报告),并提供了一些技术的实际使用示例。此外,对于本标准的国内版本,GOST R ISO / IEC 31010-2011“风险管理。风险评估方法“参考俄罗斯联邦中央银行607-P”,关于确保支付系统不间断运行的程序,支付系统不间断运行的指标以及支付系统中的风险分析方法(包括风险概况)的要求。

More articles:


All Articles