Современные подходы к оценке рисков информационных технологий Владимир Ткаченко Сысоев Валерий Директор ООО “Агентство активного аудита” г. Киев- 2010 г. Управление рисками ИТ Зачем? Что? Как? • Обеспечивает базовую основу для всей деятельности в сфере информационной безопасности • Помогает адекватно и своевременно реагировать на требования регуляторов рынка • Помогает определить ущерб и своевременно реагировать на угрозы и уязвимости • Дает оценку возможных убытков и потенциальных последствий нарушения свойств информации ( информационных активов) • Обеспечивает фундамент для разработки стратегии снижения рисков • Помогает определить приоритеты про внедрении мероприятий по защите • Путем определения существующих рисков • Путем документирования возможных рисков и последствий от их реализации • Путем подготовки спеуиалистов в области ИТ рисков Подходы к управлению рисками ИТ ОСНОВНЫЕ ПОДХОДЫ к управлению рисками информационных технологий основаны на требованиях: • Стандарта управления и аудита информационных технологий Cobit v.4.1; • Руководства по управлению рисками в информационных технологиях NIST 800-30; • Семейства стандартов по управлению рисками ISO 3100 (готовятся к утверждению); • Стандарта управления рисками информационных технологий ISO 27005; • Стандарта управления рисками AS/NZS 4360:2005; • Других стандартов и руководств по управлению информационной безопасностью и рисками ИТ ( Federal Office of Information Security in Germany (IT Grundschutz)). Методологии оценки рисков ИТ Методология оценки рисков Национального Института Стандартов и Технологий США (National Institute of Standards and Technology – NIST) Методология анализа факторов рисков информационных технологий (Factor Analysis of Information Risk - FAIR) Метод анализа рисков на основе Руководства по ИТ безопасности Федерального Агентства по информационной безопасности Германии (Federal Office for Information Security – BSI) (IT- Grundschutz) Метод оценки операционно критичних угроз, активов и уязвимостей (Operationally critical threats, assets and vulnerability evaluation – OCTAVE) Методология анализа информационных рисков Международного Форума по информационной безопасности (Information Risk Analysis Methodology – IRAM) Методика оценки рисков NIST Оценка рисков ИТ по методу NIST Исходные данные Аппаратное та программнное обеспечение; Интерфейсы системы; Обрабатываемые данные; Персонал; Назначение системы (актива). История возникновения системы; Данные от авторитетных источников (исследовательские агентства, NIPC, SANS, CIRT, масс- медиа). Отчеты предыдущих оценок рисков; Аудиторские рекомендации; Требования к безопасности; Результаты тестов мероприятий безопасности. Существующие меры безопасности; Запланированные меры. Мотивация источника угрозы; Возможность реализации угрозы; Природа уязвимости; Эффективность имеющихся мероприятий безопасности. Процесс оценки рисков Характеристика системы (актива) Результаты Границы применения системы (актива); Функции системы (актива); Критичность обрабатываемых ; Чувствительность системы к внешним воздействиям. Идентификация угроз Текущее состояние угроз. Идентификация уязвимостей Перечень потенциальных уязвимостей. Анализ мероприятий по защите Список имеющихся и запланированных мероприятий безопасности. Вероятность реализации угроз Рейтинг вероятности реализации угроз. Оценка рисков ИТ по NIST Исходные данные Процесс оценки рисков Анализ влияния потерь (КЦД); Определение критичности актива; Оцінка критичності інформації. Вероятность эксплуатации угрозы; Величина убытка; Адекватность запланированных или имеющихся мероприятий по бехопасности. Анализ влияния на актив Оценка рисков Рекомендованные меры безопасности Отчетная документация Результат Рейтинг активуа (ценность для банка). Риски с определенными уровнями. Рекомендованные меры безопасности. Отчет по оценке рисков. Методика оценки рисков FAIR Методика оценки рисков IT-Grundschutz І етап ІІ етап ІІІ етап Методика оцінки ризиків MESARI І етап Спрощений аналіз Опис та визначення проблемних питань Аналіз поточного рівня захищеності (існуючі заходи безпеки) Рішення ІІ етап Детальний аналіз ризиків ІІІ етап Вибір заходів захисту Детальний аналіз ризиків (можливі сценарії реалізації ризиків) Оцінка ризиків Оцінка можливості застосування заходів безпеки Покриття ризиків (усунення причин виникнення та перелік можливих заходів безпеки) Вибір адекватних заходів безпеки Прийняття ризиків (ризик усунуто, знижено або залишковий ризик) Впровадження заходів захисту та моніторинг ефективності Методика оценки рисков OCTAVE Установить критерии для оценки рисков Создать перечень информационных активов Идентифицировать содержание информационных активов Определить область применения Определить сценарии угроз Определить риски Проанализировать риски Выбрать подходы по снижению рисков Методика оцінки ризиків IRAM Обобщение процесса анализа рисков ИТ Идентификация активов и определение их ценности Оценка угроз и уязвимостей Оценка уязвимостей План защиты Оценка риска Остаточный риск Анализ защищенности Сравнение методов оценки Метод оценки Преимущества Недостатки NIST Детально описывает все возможные риски для информационных активов; Подходит для предприятий различного размера – Долговременный процесс анализа – Некоторые функции не автоматизированы FAIR Дает количественный анализ рисков Предоставляет симуляционную модель системы – Слишком “научный” метод – Подходит только крупным банкам и предприятиям ITGrundschutz Гибкость метода позволяет проводить анализ для любой организации Подходит как для новых (создаваемых) , так и для существующих активов – Требуются навыки для правильного анализа рисков – Инструментарий платный OCTAVE Быстро внедряется Хорошо применим для предприятий малого и среднего бизнеса – Отсутствие автоматизации – Не учитывает специфику банковской сферы IRAM Относительная простота внедрения Понятность для менеджеров банковских учреждений Есть примеры успешного применения – Инструментарий на платной основе – Хорошо применим для существующих информационных активов Риски ИТ. Границы обитания • Стандарты и наставления имеются в наличии, но: – Либо ориентированы на базовое управление рисками предприятия – Либо ориентированы на информационную безопасность • ОТСУТСТВУЕТ ориентированная на риски ИТ понятная система оценки рисков Выводы • Методики оценки рисков ИТ должны учитывать специфику предприятий • Отдельные этапы процесса оценки рисков ИТ автоматизированы: - разработаны системные утилиты или ПО для оценки рисков; - имеются утилиты для моделирования угроз и уязвимостей; - есть программное обеспечение и шаблоны документов для проведения оценки и определения мероприятий по защите. • Необходимо готовить персонал для анализа рисков и регулярно проводить аудит информационной безопасности (как внутренний так и внешний) • Необходимо обеспечить внедрение методики и постоянное использование оценки рисков в повседневной деятельности Вопросы [email protected] www.auditagency.com.ua 044 228 15 88