ID Муаллиф Муҳокамага чиқариш санаси Якунланиш санаси Таклифлар сони
3144 Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан 16/04/2019 01/05/2019 1

Муҳокама якунланди

Ўзбекистон Республикаси Вазирлар Маҳкамасининг Қарори
Об утверждении методики анализа, оценки и управления рисками информационной безопасности
ID-3144

ПРОЕКТ

 

ПОСТАНОВЛЕНИЕ

КАБИНЕТА МИНИСТРОВ РЕСПУБЛИКИ УЗБЕКИСТАН

 

 

 

Об утверждении методики анализа, оценки и управления рисками информационной безопасности

 

В целях совершенствования методической базы по обеспечению информационной безопасности, анализа, оценки, прогнозирования информационных рисков, а также в целях усиления мер, направленных на обеспечение информационной безопасности, Кабинет Министров Республики Узбекистан, постановляет:

  1. Утвердить Методику анализа, оценки и управления рисками информационной безопасности (далее - Методика) согласно приложению.
  2. Государственной инспекции по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан в срок до 1 июня 2019 года создать рабочую группу по проведению анализа, оценки и управления рисками информационной безопасности в органах государственного и хозяйственного управления, органов государственной власти на местах (далее – Рабочая группа).
  3. Основные задачи Рабочей группы:

- определение активов в органах государственного и хозяйственного управления, органов государственной власти на местах;

- определение угроз информационной безопасности;

определение уязвимостей;

- определение мер и средств обеспечения информационной безопасности (определение риска несоответствия требованиям обеспечения информационной безопасности).

Рабочая группа не допускает разглашение сведений, составляющих коммерческую или иную охраняемую законом тайну, ставшую известной при проведении работ по анализу, оценке и управлению рисками информационной безопасности (далее – Оценка и анализ рисков).

  1. Государственной инспекции по контролю в сфере информатизации
    и телекоммуникаций Республики Узбекистан в двухмесячный срок обеспечить условия по внедрению и использованию Методики в органах государственного и хозяйственного управления, органов государственной власти на местах в соответствии с настоящим постановлением.
  2. Установить, что Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан с 1 июня 2019 года на основании Методики проводит оценку и анализ рисков на объектах информатизации органов государственного и хозяйственного управления, органов государственной власти на местах.
  3. Руководителям органов государственного и хозяйственного управления, органов государственной власти на местах для проведения оценки и анализа рисков:

- обеспечить доступ к помещению, оборудованию, техническому и программному обеспечению;

- предоставить необходимую документацию (регламенты, методики, правила и т.д.).

  1. Установить, что по результатам проведенных работ по оценке и анализу рисков на объектах информатизации органов государственного и хозяйственного управления, органов государственной власти на местах Рабочей группе представлять отчет в Кабинет Министров Республики Узбекистан.
  2. Контроль за исполнением настоящего постановления оставляю за собой.

МЕТОДИКА АНАЛИЗА, ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

 

 

Ташкент 2019 год

 

Содержание

 

1. Общие положения……………………………………………………………...3

2. Термины и определения……………………………………………………….3

3. Задачи и процессы управления рисками информационной безопасности…4

4. Определение рисков информационной безопасности……………………….7

4.1. Идентификация рисков информационной безопасности……………….7

4.2. Анализ рисков информационной безопасности…………………………..15

4.2.1. Методики количественного анализа рисков информационной безопасности……………………………………………………………...……...16

4.2.2. Методики качественного анализа рисков информационной безопасности……………………………………………………………...……...18

4.3. Оценка рисков информационной безопасности…………………………..20

5. Обработка рисков информационной безопасности………………………...21

6. Мониторинг, пересмотр и улучшение процессов управления рисками информационной безопасности………………………………………………...23

 

Приложение №1 Процессы и этапы управления рисками информационной безопасности

Приложение №2 Таблица оценки рисков информационной безопасности

 

 

 

 

 

 

1. Общие положения

1.1. Настоящий методический документ устанавливает порядок и метод анализа и оценки рисков информационной безопасности в рамках построения и совершенствования системы обеспечения информационной безопасности (СОИБ) в организации и является основой для выбора практических мероприятий по управлению рисками информационной безопасности.

1.2. Методика анализа, оценки и управления рисками информационной безопасности (далее – Методика) рекомендована для применения путем прямого использования устанавливаемых в ней положений при проведении оценки рисков информационной безопасности и использовании результатов оценки для управления рисками информационной безопасности.

1.3. Основная задача данной Методики заключается в определении количественного показателя и проведении качественной оценки риска информационной безопасности с целью принятия эффективных мер по защите информации, а также описании процедур управления в отношении рисков информационной безопасности.

Результаты оценки рисков информационной безопасности используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков, позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

1.4. Настоящая Методика предназначена для применения организациями всех типов (независимо от ведомственной принадлежности и формы собственности), планирующих осуществлять управление рисками, которые могут скомпрометировать информационную безопасность организации.

1.5. Указанная Методика разработана в соответствии с требованиями Государственного стандарта O‘z DSt ISO/IEC 27005:2013 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности».

 

2. Термины и определения

 

2.1. В настоящей Методике применяются следующие термины и определения:

активы организации – материальные и нематериальные ценности организации, включая информационные активы, бизнес-процессы, финансовые, имущественные средства;

анализ риска – процесс понимания природы риска и определения уровня риска;

информационные активы - информация и средства обработки информации;

критерии риска – правила и признаки, по которым оценивается значимость риска;

оценка риска – процесс сравнения результатов анализа риска с критериями риска для определения, является ли риск и/или его величина допустимыми;

остаточный риск - риск, остающийся после обработки риска;

риск - предполагаемое воздействие на цели;

риск информационной безопасности - возможность использования конкретной уязвимости системы обработки данных при реализации конкретной угрозы информационной безопасности;

система обеспечения информационной безопасности (СОИБ) - совокупность правовых, организационных и технических мероприятий, служб, механизмов и норм, направленных на обеспечение информационной безопасности;

угроза информационной безопасности - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации;

уровень риска - величина риска, выраженная как сочетание последствий и вероятности их возникновения;

уязвимость – недостаток в системе обработки данных, используемый при реализации угрозы.

 

3. Задачи и процессы управления рисками информационной безопасности

3.1. Основной задачей управления рисками информационной безопасности является определение потребности организации, касающиеся требований информационной безопасности и создание эффективной СОИБ.

Управление рисками информационной безопасности является неотъемлемой частью всех мероприятий, связанных с управлением информационной безопасности и применяется для реализации и поддержки функционирования СОИБ организации.

3.2. Управление рисками информационной безопасности является непрерывным процессом, направленным на оценку и обработку рисков, анализ возможных событий информационной безопасности и их последствий для принятия решения о мероприятиях по снижению рисков информационной безопасности.

Управление рисками информационной безопасности должно способствовать:

- определению и оценки рисков с точки зрения последствий для организации и вероятности их возникновения;

- изучению и пониманию вероятности и последствий данных рисков;

- установлению порядка приоритетов в рамках обработки рисков;

- установлению приоритетов для действий по снижению вероятности возникновения рисков;

- проведению регулярного мониторинга и пересмотра процесса управления рисками;

- сбору информации для улучшения подхода к управлению рисками;

- информированию о рисках и принятию необходимых действий для их уменьшения.

3.3. Процесс управления рисками информационной безопасности состоит из установления контекста, определение рисков, обработки рисков (принятия рисков), обмена данными и консультации относительно рисков, мониторинга и пересмотра рисков. Процесс управления рисками информационной безопасности приведен на рисунке 1.

3.4. В задачи установления контекста управления рисками информационной безопасности входят определение критерий рисков и целей управления рисками информационной безопасности.

Критерии рисков информационной безопасности определяются организацией в отношении каждого актива с учетом:

- ценности обработки информации;

- критичности затрагиваемых активов;

- требований договорных обязательств и нормативных актов, включая политику информационной безопасности;

- важности, доступности, конфиденциальности и целостности информации и процессов, включая информационные, производственно-технологические, процессы управления и бизнес-процессы;

- негативных последствий.

Критерии рисков также используются для определения приоритетов при обработке рисков информационной безопасности.

Целями управления рисками информационной безопасности могут являться:

- поддержка СОИБ;

- соответствие требованиям, установленным нормативными актами;

- обеспечение непрерывности процесса;

- подготовка плана реагирования на инциденты;

- описание требований информационной безопасности для продукта, услуги или механизма.

 

 

Рисунок 1 – Процесс управления рисками

 

3.5. В задачи оценки (определения) рисков входит количественное или качественное определение рисков информационной безопасности в отношении каждого актива, то есть, определение уровня риска, а также сравнение оценённого риска (уровня риска) информационной безопасности с критерием риска.

Оценка (определение) уровня риска информационной безопасности включает в себя этапы: идентификация, анализ и оценка рисков информационной безопасности.

3.6. При обработке рисков информационной безопасности организацией принимаются решения по сохранению (принятию), уменьшению (модификации), предотвращению или распределению рисков исходя из целей управления рисками информационной безопасности.

3.7. Процесс управления рисками информационной безопасности должен сопровождаться со сбором и обменом данными между лицами и заинтересованными сторонам, которые должны использоваться при установке контекста, оценки (определения) и обработки рисков.

3.8. Риски и их факторы (ценность активов, воздействия, угрозы, уязвимости, вероятность возникновения) должны подвергаться мониторингу и пересмотру с целью определения любых изменений в контексте организации, включая появление новых активов, угроз, уязвимостей, изменений в нормативных актах или договорных обязательствах и т.д.

3.9. Процессы управления рисками информационной безопасности и этапы выполнения этих процессов приведены в приложении №1.

 

4. Определение рисков информационной безопасности

 

Риски информационной безопасности должны быть идентифицированы, количественно или качественно оценены, сравнены с допустимым уровнем рисков и определены приоритеты в соответствии с целями организации по управлению рисками.

Определение риска информационной безопасности состоит из следующих этапов:

1) идентификация рисков;

2) анализ рисков;

3) оценка рисков.

 

4.1. Идентификация рисков информационной безопасности

 

4.1.1. Целью идентификации рисков информационной безопасности является прогнозирование возможных инцидентов информационной безопасности, влекущих потенциальный ущерб и определение каким образом данный ущерб, мог быть получен.

4.1.2. Этапами проведения идентификации рисков информационной безопасности являются:

1) определение активов организации, подлежащих управлению рисками информационной безопасности и их оценивание (определение ценности или значимости);

2) определение угроз информационной безопасности;

3) определение уязвимостей (определение возможности использования организационных и технических уязвимостей СОИБ);

4) определение мер и средств обеспечения информационной безопасности (определение риска несоответствия требованиям обеспечения информационной безопасности).

4.1.3. Актив организации представляет любую материальную и нематериальную ценность в организации, которая требует защиты.
В данном методическом документе при оценке рисков информационной безопасности должны учитываться активы, которые подвержены угрозам информационной безопасности. При этом следует помнить, что информация или система информационно-коммуникационных технологий состоит больше чем из аппаратных средств и программного обеспечения.

Идентификации должны подлежать следующие активы организации (объекты защиты):

1) первичные активы:

- бизнес-процессы, включая информационные, производственно-технологические, управленческие и иные процессы;

- информация, как на бумажном, так и на электронном носителях;

2) активы поддержки всех типов (вторичные активы):

- аппаратные средства, в том числе средства обработки и хранения данных, мобильная и стационарная вычислительная техника, периферийные обрабатывающие устройства, носители информации;

- программное обеспечение, включая прикладное программное обеспечение (приложения), операционные системы и системы управления базами данных;

- сеть, включая сетевое оборудование и линии связи;

- персонал - группа лиц, участвующие в работе информационной системы, пользователи и разработчики информационной системы, лица, принимающие решения;

- информационные ресурсы, включая веб-сайты, порталы, базы данных, файловые хранилища и др.;

- организационная структура – объекты и здания.

4.1.4. Идентификация активов проводится путем сбора информации экспертами. Сбор информации, производится с помощью проведения опроса или инвентаризации.

4.1.5. Ценность актива определяется исходя из следующих критериев оценки:

1) остаточная стоимость актива;

2) стоимость замены или восстановления актива;

3) важность актива в обеспечении выполнения бизнес-процессов, сервисов и услуг;

4) возможные последствия (ожидаемый ущерб), вытекающие из потери конфиденциальности, целостности, доступности, неотказуемости, подотчетности, подлинности или надёжности активов, включая:

- нарушение требований нормативных актов или договорных обязательств;

- ухудшение функционирования бизнеса;

- прерывание сервиса;

- нарушение внутреннего функционирования;

- потеря имиджа/негативное влияние на репутацию, утрата доверия клиентов и/или партнеров;

- нарушения, связанные с личной информацией (персональные данные);

- создание угрозы личной безопасности;

- неблагоприятное влияние на обеспечение правопорядка;

- нарушение конфиденциальности;

- нарушение общественного порядка;

- финансовые потери;

- нарушение деловой активности;

- создание угрозы для безопасности окружающей среды.

При определении ценности актива организацией могут быть использованы все вышеуказанные критерии в комплексе или отдельные из них, исходя из целей по управлению рисками, которые определены организацией при установке контекста.

4.1.6. Численное значение ценности актива определяется в диапазоне от о (самая низкая) до 1 (самая высокая) с использованием критерия или критериев определения ценности актива.

4.1.7. Итоговым результатом данного этапа идентификации рисков информационной безопасности является перечень активов, подлежащих управлению рисками, перечень бизнес-процессов, связанных с активами и их ценность (значимость). Активы имеющие низкую ценность (значимость) могут не включаться в перечень активов, подлежащих управлению рисками.

Результаты определения активов и их оценивания заносятся в таблицу оценки рисков информационной безопасности, приведенную в приложении №2.

4.1.8. На этапе определения угроз информационной безопасности в отношении каждого актива, подлежащего управлению рисками должны быть определены угрозы, которые могут нанести вред активу, источники угроз и измерена вероятность их возникновения.

 

 

Примерами типичных угроз являются:

- физическое повреждение (пожар, повреждение водой, уничтожение, потеря, кража и др.);

- природные явления (землетрясение, наводнение, климатические и метеорологические явления и т.д.);

- потеря необходимых сервисов (потеря связи, отказ системы обеспечения электропитания, кондиционирования и водоснабжения);

- неисправности вследствие излучения (электромагнитное излучение или импульс, тепловое, радиоактивное излучение);

- технические отказы (отказ или сбой оборудования или программного обеспечения, перегрузка, нарушение работоспособности информационной системы);

- компрометация или нарушение конфиденциальности, целостности и доступности информации (перехват, прослушивание, кража, уничтожение, распространение, изменение, определение расположения информации и др.);

- компрометация функций (ошибка действий пользователя или работы программы, злоупотребление правами, отказ от совершения действий, несоблюдение инструкций или штатного расписания и др.);

- несанкционированные действия (несанкционированное использование оборудования, программы или информации, мошенническое копирование программного обеспечения, использование контрафактного или скопированного программного обеспечения, несанкционированная обработка, уничтожение или искажение данных).

Примерами источников угроз являются:

- обусловленные действиями субъекта (антропогенные источники) -хакеры, крекеры (взломщики), компьютерные преступники, террористы, инсайдеры, промышленные шпионы, внутренние сотрудники организации и др.;

- обусловленные техническими средствами (техногенные источники) которые напрямую зависят от свойств техники;

- обусловленные стихийными явлениями (стихийные источники).

4.1.9. Угрозы информационной безопасности в отношении активов определяются из модели угроз (реестр всех возможных угроз безопасности). При этом необходимо понимать постоянное изменение значимых угроз информационной безопасности.

4.1.10. Вероятность возникновения угрозы информационной безопасности определяется на основе экспертной оценки, проводимой экспертом в области информационной безопасности или на основе статистики реализации угроз при возникновении разного рода инцидентов информационной безопасности.

Вероятность реализации угрозы должна показывать, как часто данная угроза реализуется в течение определенного уровня и определяется исходя из:

- возможности реализации угрозы;

- потенциальных возможностей (квалификации) нарушителя;

- интереса, проявляемого нарушителем к активам организации;

- частоты возникновения техногенных и стихийных угроз.

При этом следует не путать вероятность реализации угрозы с вероятностью воздействия угрозы на актив, так как последняя вероятность зависит не только от вероятности реализации угрозы, но и от того приняты или не приняты определенные защитные меры в отношении актива и насколько эти меры эффективны против угрозы.

Для оценки вероятности реализации угрозы может использоваться качественная шкала:

- маловероятная реализация угрозы со значение вероятности от 0 до 0,2;

- низкой вероятностью реализации угрозы со значением вероятности от 0,2 до 0,4;

- средней вероятностью реализации угрозы со значением вероятности от 0,4 до 0,6;

- высокой вероятностью реализации угрозы со значением вероятности от 0,6 до 0,8;

- очень высокой вероятностью реализации угрозы со значением вероятности от 0,8 до 1.

4.1.11. На один актив могут воздействовать одновременно несколько угроз, при этом необходимо определить вероятность того, что хотя бы одна угроза реализуется по отношению к выбранному активу.

Вероятность реализации хотя бы одной угрозы из совокупности вероятностей угроз i=1, i=2, ..., i=n, где n – количество угроз, определяется как произведение вероятности реализации каждой угрозы по следующей формуле:

Pугр=Пi=1nPi                             (1)

 

где Ругр – вероятность реализации хотя бы одной угрозы;

Pi – вероятность реализации i-й угрозы;

n – число угроз.

4.1.12. Итоговым результатом этапа идентификации рисков, связанных с определением угроз информационной безопасности, является определение перечня и источника угроз в отношении каждого актива, подлежащего управлению рисками, и вероятности реализации хотя бы одной угрозы в отношении каждого актива.

Результаты определения угроз заносятся в таблицу оценки рисков информационной безопасности, приведенную в приложении №2.

4.1.13. На этапе определения уязвимостей оценивается наличие уязвимостей и возможность их использования для воздействия угроз информационной безопасности на актив.

Под уязвимостями понимаются слабости защиты в СОИБ, способствующие успешному осуществлению угроз информационной безопасности.

4.1.14. Уязвимости могут быть определены в следующих областях:

- организация работ;

- процессы и процедуры;

- установленный порядок управления;

- персонал;

- физическая среда;

- конфигурация информационной системы;

- аппаратные средства, программное обеспечение и средства телекоммуникаций;

- зависимость от внешних сторон.

Соответственно уязвимости могут иметь организационный или технический характер.

4.1.15. Организационные и технические уязвимости в СОИБ определяются экспертами в области информационной безопасности методами: опроса, анкетирования, физического осмотра, анализа документов.

Для эффективного выявления технических уязвимостей должны применяться профилактические методы, как тестирование, включающие:

- средства поиска уязвимостей – сканеры уязвимостей;

- средства тестирования и контроля защищенности;

- тестирование на проникновение;

- анализ исходного кода.

4.1.16. Наряду с определением уязвимостей в СОИБ на данном этапе идентификации рисков информационной безопасности должна производиться оценка уязвимостей, как возможность использования уязвимости для воздействия угроз информационной безопасности на актив.

Данная оценка уязвимостей (возможности использования уязвимости) проводится экспертным методом, анализируя применяемые организационные и технические меры защиты информации в отношении каждой уязвимости.

4.1.17. Для оценки организационных уязвимостей производится анализ выполнения всех организационных мер по защите от использования уязвимости или организационных мер, направленных на её устранение.
В ходе проведения анализа, всем организационным мерам, которые выполняются организацией в отношении конкретной организационной уязвимости, присваивается значение «1», в  противном случае – «0». Все значения, которым присвоено значение «1», суммируются, остальные значения не учитываются. Коэффициент организационных уязвимостей будет определяться по следующей формуле:

 

Ко=1- Nо выпNо общ                                                                  (2)

 

где Ко – коэффициент организационных уязвимостей;

Nо вып – количество выполненных организационных мер в отношении уязвимости;

Nо общ – общее количество организационных мер в отношении уязвимости.

4.1.18. Для оценки технических уязвимостей производится анализ выполнения всех технических мер по защите от использования уязвимости или технических мер, направленных на её устранение. В ходе проведения анализа, всем техническим мерам, которые выполняются организацией в отношении конкретной технической уязвимости, присваивается значение «1», в  противном случае – «0». Все значения, которым присвоено значение «1», суммируются, остальные значения не учитываются. Коэффициент технических уязвимостей будет определяться по следующей формуле:

 

Кт=1- Nт выпNт общ                                                                  (3)

 

где Кткоэффициент технических уязвимостей;

вып – количество выполненных технических мер в отношении уязвимости;

общ – общее количество технических мер в отношении уязвимости.

4.1.19. Итоговым результатом этапа идентификации рисков, связанных с определением уязвимостей, является определение перечня организационных и технических уязвимостей в отношении каждого актива, подлежащего управлению рисками, и оценка организационных и технических уязвимостей.

Результаты определения уязвимостей заносятся в таблицу оценки рисков информационной безопасности, приведенную в приложении №2.

4.1.20. Последним этапом идентификации рисков информационной безопасности является определение требуемых и используемых мер и средств обеспечения информационной безопасности и проведение оценки риска несоответствия требованиям обеспечения информационной безопасности. Данный этап идентификации рисков проводится в целях оценка эффективности принимаемых организацией правовых, организационных и технических мер по обеспечению информационной безопасности, направленных на снижение вероятности воздействия угрозы на актив.

4.1.21. Требуемые меры и средства обеспечения информационной безопасности определяются исходя из требований нормативных актов и политики информационной безопасности организации.

Основные требуемые меры и средства защиты для государственных и хозяйственных органов определены Требованиями обеспечения информационной безопасности в органах государственного и хозяйственного управления, государственной власти на местах и принятыми у них политиками информационной безопасности.

4.1.22. Для определения используемых мер и средств защиты должен производиться:

- анализ принятых документов и организационных мер;

- проверка средств защиты информации на предмет их внедрения;

- физический осмотр, сравнение реализованных средств защиты с перечнем тех, которые должны быть использованы, и проверка реализованных средств защиты на предмет правильной и эффективной работы;

- анализ выполнения требований обеспечения информационной безопасности, установленных нормативными актами и внутренними документами организации;

- аудит на соответствие требованиям информационной безопасности.

4.1.23. Перечень требуемых и используемых мер и средств защиты должны определяться в отношении каждого актива, подлежащего управлению рисками.

4.1.24. После определения требуемых и используемых мер и средств защиты должна проводиться оценка риска несоответствия требованиям обеспечения информационной безопасности.

В ходе данной оценки всем мерам и средствам, которые выполняются организацией в отношении конкретного актива, присваивается значение «1», при невыполнении  – «0». Все значения, которым присвоено значение «1», суммируются, остальные значения не учитываются. Риск несоответствия требованиям обеспечения информационной безопасности будет определяться по следующей формуле:

 

Rт=1- T выпT общ                                                                    (4)

 

где Rтриск несоответствия требованиям обеспечения информационной безопасности;

Т вып – количество выполненных мер и средств защиты в отношении актива;

Т общ – общее количество мер и средств защиты в отношении актива.

4.1.25. Итогом данного этапа идентификации рисков является определение требуемых и используемых мер и средств защиты в отношении каждого актива, подлежащего управлению рисками и оценка риска несоответствия требованиям обеспечения информационной безопасности.

 

4.2. Анализ рисков информационной безопасности

 

4.2.1. Цель анализа рисков информационной безопасности является качественная и количественная оценка рисков информационной безопасности или применение их комбинации, то есть определение уровня рисков.

Оцененный риск информационной безопасности (уровень риска) характеризует, на сколько вероятно совершение события, влекущего за собой последствия в отношение актива организации.

4.2.2. При качественном анализе рисков информационной безопасности используется следующая шкала оценки, характеризующая вероятность и масштаб потенциальных последствий (уровень риска):

- низкое;

- среднее;

- высокое.

Количественный анализ риска информационной безопасности использует числовые значения применительно к последствиям и вероятности их возникновения (уровень риска).

4.2.3. Уровень риска информационной безопасности определяется для каждого актива, подлежащего управлению рисками.

Для первичных активов уровень риска определяется исходя из уровня рисков информационной безопасности всех типов вторичных активов, обеспечивающих поддержку первичного актива.

При количественном анализе рисков информационной безопасности уровень риска первичного актива определяется как произведение уровней рисков, оценённых для каждого вторичного актива.

4.2.4. Результатом анализа рисков информационной безопасности является оценённые количественно или качественно уровни риска по каждому активу, подлежащему управлению рисками.

 

4.2.1. Методики количественного анализа рисков информационной безопасности

 

4.2.1.1. При количественном анализе риска информационной безопасности в отношении каждого актива, подлежащего управлению рисками, определяется численная величина риска возникновения негативного последствия (уровень риска) в отношении данного актива.

Для количественного анализа риска информационной безопасности может быть применена следующая формула оценки рисков:

 

R=Pугр*С*100%                                                                   (5)

 

где R – численная величина риска возникновения негативного последствия в отношении актива (уровень риска);

Ругр – вероятность реализации хотя бы одной угрозы в отношении актива;

С – ценность (значимость) актива.

         Согласно формулы (5) для количественной оценки риска применяются два критерия анализа: вероятность реализации хотя бы одной угрозы информационной безопасности Ругр, численное значение которой определяется в соответствии с пунктами 4.1.10 и 4.1.11 настоящей Методики и ценность (значимость) актива С, численное значение которой определяется в соответствии с пунктом 4.1.6 настоящей Методики.

4.2.1.2. Другой формулой количественного анализа риска информационной безопасности (уровня риска) с учетом вероятности наличия уязвимости является:

 

R=Pугр*С*Руяз*100%                                              (6)

 

где R – численная величина риска возникновения негативного последствия в отношении актива (уровень риска);

Ругр – вероятность реализации хотя бы одной угрозы в отношении актива;

С – ценность (значимость) актива;

Руяз – вероятность наличия уязвимости.

При этом вероятность наличия уязвимости определяется по формуле:

 

Руяз= Ко+Кт2                                                                      (7)

 

где Руяз – вероятность наличия уязвимости;

Кокоэффициент организационных уязвимостей;

Кткоэффициент технических уязвимостей.

Исходя из формулы (7) формула (6) запишется в следующем виде:

 

R=Pугр*С* Ко+Кт2 *100%                                                        (8)

 

где R – численная величина риска возникновения негативного последствия в отношении актива (уровень риска);

Ругр – вероятность реализации хотя бы одной угрозы в отношении актива;

С – ценность (значимость) актива;

Кокоэффициент организационных уязвимостей;

Кткоэффициент технических уязвимостей.

В соответствии с формулой (8) для количественной оценки риска применяются следующие критерии анализа: вероятность реализации хотя бы одной угрозы информационной безопасности Ругр, ценность (значимость) актива С и коэффициенты организационных Ко и технических уязвимостей Кт, численное значение которых определяются в соответствии с пунктами 4.1.17 и 4.1.18 настоящей Методики.

4.2.1.3. Полной формулой количественного анализа риска информационной безопасности (уровня риска) является:

 

R=Pугр*С* Rт*Ко+Кт2  *100%                                     (9)

 

где R – численная величина риска возникновения негативного последствия в отношении актива (уровень риска);

Ругр – вероятность реализации хотя бы одной угрозы в отношении актива;

С – ценность (значимость) актива;

риск несоответствия требованиям обеспечения информационной безопасности;

Кокоэффициент организационных уязвимостей;

Кткоэффициент технических уязвимостей.

В формуле (9) для количественной оценки риска дополнительно применяется критерий анализа, как риск несоответствия требованиям обеспечения информационной безопасности Rт, численное значение которой определяется в соответствии с пунктом 4.1.24 настоящей Методики.

4.2.1.4. Организацией может применяться любая из формул (5), (8), (9) количественного анализа рисков информационной безопасности, исходя из имеющихся критериев анализа, полученных по результатам идентификации рисков.

Последняя формула (9) количественного анализа риска позволяет корректно оценить значение риска информационной безопасности и скалькулировать несколько критериев анализа.

 

4.2.2. Методики качественного анализа рисков информационной безопасности

 

4.2.2.1. При качественном анализе риска информационной безопасности в отношении каждого актива, составляется матрица в табличной форме, куда заносятся значения критерий анализа, полученных по результатам идентификации рисков информационной безопасности.

В качестве критерий качественного анализа рисков используются вероятность реализации угроз, ценность (значимость) актива, наличие уязвимости, риск не соответствия требованиям обеспечения информационной безопасности, которые должны быть определены при выполнении этапа идентификации рисков информационной безопасности.

Исходя из значений критериев качественного анализа в таблице (матрице) проставляются соответствующие баллы риска возникновения негативного последствия (уровня рисков) в отношении актива, подлежащего управлению рисками. По набранному баллу качественно оценивается риск возникновения негативного последствия (уровень риска) в отношении актива, как «низкое», «среднее» или «высокое».

4.2.2.3. В таблицах №1, №2 и №3 приведены матрицы качественного анализа рисков информационной безопасности с применением определенных критериев анализа.

4.2.2.4. Организацией может быть использована одна из трех матриц качественного анализа рисков информационной безопасности. При этом наиболее корректная качественная оценка производится при составлении матрицы, согласно Таблицы №3, так как в ней учитываются все критерии анализа.

Указанные в Таблицах №1, №2 и №3 матрицы качественного анализа риска информационной безопасности составляются отдельно для каждого актива, подлежащего управлению рисками.

4.2.2.5. Согласно матрицам качественного анализа риска информационной безопасности, приведенных в таблицах №1 и №2, при наборе баллов от 0 до 3 уровень риска оценивается как низкий, от 3 до 6 баллов уровень риска оценивается как средний, а от 6 до 8 баллов – высокий уровень риска информационной безопасности.

Согласно матрице качественного анализа риска информационной безопасности, приведенной в таблице №3, при наборе баллов от 0 до 3 уровень риска оценивается как низкий, от 3 до 6 баллов уровень риска оценивается как средний, а от 6 до 10 баллов – высокий уровень риска информационной безопасности.

 

Таблица №1

Матрица качественного анализа риска на основе ценности (значимости) актива и вероятности реализации угрозы информационной безопасности
в отношении данного актива

 

Ценность актива

0

1

2

3

 

4

 

Значения вероятности

 

 

 

 

 

маловероятная

0

1

2

3

4

низкой вероятностью

1

2

3

4

5

средней вероятностью

2

3

4

5

6

высокой вероятностью

3

4

5

6

7

очень высокой вероятностью

4

5

6

7

8

 

 

 

 

 

 

 

 

 

 

 

 

Таблица №2

 

Матрица качественного анализа риска на основе ценности (значимости) актива, уровня уязвимости и вероятности реализации угрозы информационной безопасности в отношении данного актива

 

Вероятность реализации угрозы

Низкая (Н)

Средняя (С)

Высокая (В)

Уровень уязвимости

Н

С

В

Н

С

В

Н

С

В

Ценность актива

 

 

 

 

 

 

 

 

 

0

0

1

2

1

2

3

2

3

4

1

1

2

3

2

3

4

3

4

5

2

2

3

4

3

4

5

4

5

6

3

3

4

5

4

5

6

5

6

7

4

4

5

6

5

6

7

6

7

8

 

 

Таблица №3

 

Матрица качественного анализа риска на основе ценности (значимости) актива, риска несоответствия требованиям, уровня уязвимости, вероятности реализации угрозы информационной безопасности в отношении данного актива

 

Вероятность реализации угрозы

Риск несоответствия требованиям

Низкая (Н)

Средняя (С)

Высокая (В)

Уровень уязвимости

 

Н

С

В

Н

С

В

Н

С

В

Ценность актива

 

 

 

 

 

 

 

 

 

 

0

Н

0

1

2

1

2

3

2

3

4

С

1

2

3

2

3

4

3

4

5

В

2

3

4

3

4

5

4

5

6

1

Н

1

2

3

2

3

4

3

4

5

С

2

3

4

3

4

5

4

5

6

В

3

4

5

4

5

6

5

6

7

2

Н

2

3

4

3

4

5

4

5

6

С

3

4

5

4

5

6

5

6

7

В

4

5

6

5

6

7

6

7

8

3

Н

3

4

5

4

5

6

5

6

7

С

4

5

6

5

6

7

6

7

8

В

5

6

7

6

7

8

7

8

9

4

Н

4

5

6

5

6

7

6

7

8

С

5

6

7

6

7

8

7

8

9

В

6

7

8

7

8

9

8

9

10

 

 

4.3. Оценка рисков информационной безопасности

 

4.3.1. Оценка рисков информационной безопасности заключается в сравнении результатов анализа риска с критериями риска для определения, является ли риск и/или его величина (уровень риска) приемлемыми или допустимыми.

4.3.2. Сравнение уровня риска, оценённого по результатам анализа рисков информационной безопасности, с критерием риска, определённым при установке контекста управления рисками, производится по каждому активу, подлежащему управлению рисками.

4.3.3. Допустимый уровень риска информационной безопасности, не требующий принятия мер, принято считать риск, который для организации является приемлемым при существующих ценностях (значимостях) активов.

Допустимый уровень риска информационной безопасности и является критерием риска, который определяется организацией для каждого актива, подлежащего управлению рисками.

4.3.4. Для организации рекомендованное значение риска информационной безопасности (критерий риска) не должно превышать 5% при количественном определении риска или быть не более среднего уровня при качественной оценке рисков.

Организацией могут быть определены иные критерии риска информационной безопасности (допустимые значения риска) в отношении активов исходя из ценности (значимости) актива и целей организации
по управлению рисками информационной безопасности.

4.3.5. Оценка рисков основывается на понимании сути рисков, полученном на этапе анализа рисков, для принятия решений о будущих действиях.

Решения должны включать в себя следующее:

- должны ли быть предприняты какие-либо действия;

- приоритеты при обработке риска, учитывающие измеренные уровни рисков.

4.3.6. Результатом оценки рисков информационной безопасности является перечень рисков в соответствии с присвоенными им приоритетами
и критериями оценки рисков в соответствии со сценариями соответствующих инцидентов.

 

 

 

5. Обработка рисков информационной безопасности

 

5.1. По результатам оценки рисков информационной безопасности проводятся мероприятия по обработке рисков: модификация, сохранение, предотвращение и распределение рисков информационной безопасности.

Мероприятия по обработке рисков в рамках процесса управления рисками информационной безопасности показаны на рисунке 2.

5.2. Мероприятия обработки риска информационной безопасности должны выбираться на основе:

уровня отклонения оценённого риска от критерия риска по итогам оценки рисков;

ожидаемой стоимости реализации этих мероприятий;

ожидаемой выгоды от реализации мероприятий.

5.3. При модификации риска управление уровнем риска должно быть осуществлено посредством принятия мер, после реализации которых остаточный риск мог быть повторно оценён как допустимый.

Должны быть выбраны соответствующие и обоснованные меры для того, чтобы удовлетворять требованиям, определенным с помощью определения рисков и процесса обработки рисков.

 

Рисунок 2 – Мероприятия по обработке риска

5.4. Организацией могут быть приняты следующие меры для снижения уровня риска:

выполнение невыполненных требований по обеспечению информационной безопасности, определенных в нормативных актах и/или в требованиях и политиках информационной безопасности организации;

устранение уязвимостей;

обеспечение условий невозможности реализации угроз информационной безопасности;

внедрение соответствующих средств защиты информации, направленных на снижение вероятности воздействия угрозы на активы организации, то есть возникновения негативных последствий.

5.5. При сохранении риска организацией принимается решение сохранить риск, не предпринимая дальнейших действий. Указанное решение в основном принимается, если после оценки риска её уровень окажется меньше или равно значению критерия риска.

5.6. Для предотвращения рисков организацией следует отказаться от действий или условий, вызывающих конкретный риск.

Указанное решение принимается, когда определенные риски считаются слишком высокими или расходы на реализацию других мероприятий обработки рисков превышают выгоду. При этом отменяются и аннулируются запланированные или существующие действия или совокупности действий или изменения условий, при которых проводятся эти действия.  Например,
в отношении рисков, вызываемых природными факторами, наиболее экономически выгодной альтернативой может быть физическое перемещение средств обработки информации туда, где эти риски не существуют или находятся под контролем.

5.7. Риски могут быть распределены (переданы) той стороне, которая может наиболее эффективно осуществлять управление конкретными рисками в зависимости от их оценки.

Распределение рисков включает в себя решение разделение определённых рисков с внешними сторонами. Распределение рисков может создавать новые риски или модифицировать существующие определенные риски. Поэтому необходимо проведение дополнительной обработки рисков.

5.8. Распределение может быть осуществлено посредством страхования последствий или с помощью заключения договора субподряда с партнёром, чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению инцидента, прежде чем он приведёт к определённому уровню ущерба.

 

6. Мониторинг, пересмотр и улучшение процессов управления рисками информационной безопасности

 

6.1. Риски и их факторы (ценность активов, воздействия, угрозы, уязвимости, вероятность возникновения) должны подвергаться мониторингу и пересмотру с целью определения любых изменений в контексте организации на ранней стадии и пересмотра всей картины риска.

6.2. Риски не статичны. Угрозы, уязвимости, вероятность, требования по обеспечению информационной безопасности или последствия могут изменяться неожиданно, без каких-либо признаков, поэтому для обнаружения таких изменений необходим непрерывный мониторинг. Мониторинг может быть организован с использованием внешних сервисов, которые предоставляют информацию о новых угрозах или уязвимостях.

6.2. Организации должны быть уверены в проведении непрерывного мониторинга следующих факторов:

- новые активы, которые были включены в область действия управления рисками;

- необходимая модификация ценности активов, например, вследствие изменившихся деловых требований;

- новые угрозы, которые могут быть активными вне и внутри организации, и вследствие этого ещё не оцененные;

- вероятность того, что новые или увеличившиеся уязвимости могут способствовать реализации угроз посредством этих уязвимостей;

- идентифицированные уязвимости для определения тех, которые становятся подверженными новым или повторно возникающим угрозам;

- неприемлемый уровень риска следует из объединения повышенного воздействия или последствия оценённых угроз, уязвимостей и рисков;

- инциденты информационной безопасности.

6.2. Мероприятия по мониторингу рисков должны регулярно повторяться и выбранные мероприятия обработки рисков должны периодически пересматриваться.

6.3. В случае выявления изменений в рисках или их факторов по итогам мониторинга рисков организацией должна проводиться повторная оценка и обработка рисков.

6.3. После проведения мониторинга рисков организацией могут быть пересмотрены риски и процессы управления рисками в целях улучшения их управления. Например, могут быть пересмотрены критерии риска, критерии оценки, цели управления рисками, методы и способы сбора и обмена информации, методик оценки, мероприятия обработки рисков и т.д.

Приложение №1

 

Процессы и этапы управления рисками информационной безопасности

 

Наименование процесса и этапа

Действия

1. Установление контекста

1.1. Установление критерий риска

определение допустимого уровня рисков для каждого актива, подлежащего управлению рисками

1.2.Установление целей управления рисками

определение перечня задач, которые должны быть достигнуты по результатам управления рисками

2. Определение (оценка) рисков

2.1. Идентификация рисков

1) определение активов, подлежащих управлению рисками и их оценивание (определение ценности или значимости);

2) определение угроз для каждого актива;

3) определение уязвимостей для каждого актива;

4) определение мер и средств обеспечения информационной безопасности (определение риска не соответствия требованиям обеспечения информационной безопасности) для каждого актива.

2.2. Анализ рисков

качественная и/или количественная оценка рисков - определение уровня рисков для каждого актива

2.3. Оценка рисков

сравнение уровня риска, полученного по результатам анализа, с критерием риска (допустимым уровнем риска)

3. Обработка рисков

Реализация мероприятий по обработке рисков

1) модификация рисков;

2) сохранение рисков;

3) предотвращение рисков;

4) распределение рисков информационной безопасности

4. Мониторинг и пересмотр процессов управления рисками

4.1. Мониторинг рисков

определение любых изменений в контексте организации (активы, угрозы, уязвимости, требования по ИБ и их выполнение, вероятность возникновения и др.)

4.2. Пересмотр процессов управления

1) изменение критерий риска, целей управления рисками, методов и способов сбора информации, методик оценки и т.д.

2) повторная обработка рисков в связи  с изменениями, выявленными при мониторинге и/или пересмотра процессов

 

 

 

Приложение №2

 

Таблица оценки рисков информационной безопасности

 

Наименование актива

Ценность (значимость) актива

Перечень угроз

Вероятность реализации угроз

Ругр

Перечень уязвимостей

Ко

Кт

Требования ИБ,

всего

Требования ИБ, выполненные

Риск несоответствия требованиям Rn

Уровень риска

R

Критерий риска

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Умумий таклифлар

996