их факторы (ценность активов, угрозы, уязвимости, вероятность риска) должны подвергаться мониторингу и пересмотру с целью идентификации любых изменений на ранней стадии.
Руководство по реализации: Пересмотр рисков должен проводиться регулярно, согласно расписанию, составленному на этапе планирования. В процессе мониторинга рисков может возникать необходимость в проведении идентификации новых рисков, пересмотре состояния известных рисков и планировании дополнительных мероприятий по обработке рисков.
Выходные данные: Непрерывное согласование управления рисками с бизнес-целями и критериями принятия риска.
6.2. Анализ и улучшение
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Процесс управления рисками должен постоянно подвергаться анализу и улучшению.
Руководство по реализации: Постоянный анализ необходим для обеспечения уверенности в том, что результаты оценки и обработки рисков, а также план обработки рисками соответствуют реальным обстоятельствам. Необходимо регулярно проверять, что критерии измерения риска и его элементов по-прежнему остаются действительными и согласующимися с бизнес-целями, стратегиями и политиками ИБ.
Эта деятельность должна уделять внимание:
— правовой сфере и условиям окружающей среды;
— сфере конкуренции;
— подходу к оценке риска;
— ценности и категориям активов;
— критериям влияния на активы и процессы;
— критериям оценки риска;
— критериям принятия риска;
— полной стоимости эксплуатации активов;
— необходимым ресурсам.
Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.
Анализ должен обеспечить изменение или улучшение подхода, методологии или инструментальных средств, используемых в зависимости от:
— идентифицированных изменений;
— итерации оценки риска;
— цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);
— объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).
Выходные данные
Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.
6. Управление инцидентами иб
(стандарт ISO/IEC 27035:2011)
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В дальнейшем на его базе подкомитетом SC 27 «Методы защиты» совместного технического комитета ISO/IEC JTC 1 «Информационная технология» был разработан международный стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ», который был опубликован в 2011 году.
Событие ИБ — это определенное состояние ИС (услуги или сети), указывающее на возможное нарушение ИБ, отказ защитных мер, а также неизвестная ситуация, связанная с ИБ.
Инцидент ИБ — нежелательное событие, которое может нарушить бизнес-процесс и угрожать ИБ.
Возникновение события ИБ не обязательно означает, что попытка была успешна или что оказано какое-либо влияние на конфиденциальность, целостность и/или доступность, т. е. не все события ИБ классифицируются как инциденты ИБ.
Инциденты ИБ могут быть преднамеренными (например, вредоносное ПО или злоумышленные действия) или случайными (например, человеческие ошибки или стихийные бедствия), а также создаваться техническими или физическими средствами. Их последствиями могут быть несанкционированное разглашение, модификация, уничтожение или недоступность информации, или повреждение или воровство активов, содержащих информацию.
Угроза путем использования уязвимости ИС (сервисов или сетей) вызывает возникновение события ИБ и как результат инцидента по отношению к активу (подставленного под угрозу этой уязвимостью).
Рисунок показывает эти отношения объектов в цепи инцидента ИБ. Затемненные объекты существуют изначально и воздействуют на остальные объекты в цепи, которая приводит к инциденту ИБ.
Цели управления инцидентами
Ключевой частью стратегии ИБ организации должны стать процедуры, которые будут обеспечивать структурный плановый подход к управлению инцидентами ИБ. В принципе главная цель — это предотвращение или снижение воздействия инцидентов ИБ, чтобы сократить вызванные ими прямые и косвенные затраты.
Для минимизации воздействия инцидентов ИБ необходимо по отношению к ним сделать следующие первоначальные шаги:
— остановить и задержать,
— уничтожить,
— анализировать и оповестить, и
— последующие шаги.
Цели структурного планового подхода к управлению инцидентами ИБ должны гарантировать следующее:
— события ИБ обнаружены и эффективно анализируются, в частности, определяется, нужно ли их классифицировать как инциденты ИБ или нет;
— идентифицированные инциденты ИБ были оценены и подвергнуты реагированию в самой соответствующей и эффективной форме;
— негативные последствия инцидентов ИБ на организации и ее бизнес-процессах минимизируют соответствующие средства защиты как часть реагирования на инциденты, возможно в соединении с соответствующими элементами плана кризисного управления;
— известные уязвимости ИБ оценены и обработаны соответствующим образом;
— быстро извлечены уроки из инцидентов, уязвимостей ИБ и соответствующего управления. Это должно увеличить возможности предотвращения появления будущих инцидентов ИБ, улучшить внедрение и использование мер защиты и всю схему управления инцидентами ИБ.
Чтобы достичь этого, организация должна гарантировать, что инциденты документируются в соответствии со стандартами категоризации и классификации инцидентов ИБ и разделяются в соответствии с метриками, выведенными из совокупности данных на протяжении определенного времени. Это дает ценную информацию, чтобы помочь стратегическому процессу принятия решения, инвестируя в меры и средства ИБ.
Выгоды от структурного подхода
Первоначальные действия организации с учетом структурного подхода к управлению инцидентами ИБ, могут группироваться следующим образом:
— обеспечение осведомленности в вопросах ИБ;
— сокращение негативного влияния на бизнес;
— оправдание расхода бюджета и ресурсов;
— усиление внимания к предотвращению инцидентов ИБ;
В дальнейшем выполняются корректирующие действия, которые могут группироваться следующим образом:
— усиление приоритетности;
— усиление правовой экспертизы;
— улучшение состояния ИБ;
— улучшение управления рисками ИБ;
— обеспечение вклада в политику ИБ.
Обеспечение осведомленности в вопросах ИБ
Структурный подход к управлению инцидентами ИБ предоставляет узконаправленную информацию о программах обеспечения осведомленности в вопросах ИБ. Эта информация является источником реальных примеров, на которых можно показать, что инциденты ИБ действительно происходят именно в данной организации, а не где-либо еще. Таким образом, можно продемонстрировать выгоды быстрого получения информации о решениях. Более того, подобная осведомленность в вопросах ИБ позволяет снизить вероятность ошибки, возникновения паники и (или) растерянности у людей в случае появления инцидента ИБ.
Сокращение неблагоприятного воздействия на бизнес
Структурный подход к управлению инцидентами ИБ может способствовать снижению уровня негативных воздействий, связанных с инцидентами ИБ, на бизнес. Последствия этих воздействий могут включать в себя немедленные финансовые убытки, а также долговременные потери, возникающие от ущерба, нанесенного репутации и кредитоспособности организации.
Оправдание расхода бюджета и ресурсов
Хорошо продуманный структурный подход к управлению инцидентами ИБ способствует обоснованию и упрощению распределения бюджетов и ресурсов внутри подразделений организации. Кроме того, выгоды получает и сама система управлению инцидентами ИБ. Такие выгоды связаны со следующими условиями;
— использование менее квалифицированного персонала для идентификации и фильтрации ложных сигналов тревоги;
— обеспечение лучшего руководства действиями квалифицированного персонала;
— привлечение квалифицированного персонала только для тех процессов, где требуются его навыки, и только на той стадии процесса, где его содействие необходимо.
Кроме того, структурный подход к управлению инцидентами ИБ может включать в себя процедуру приостановки «отметки времени» с целью возможности выполнения «количественных» оценок обработки инцидентов ИБ в организации. Это делает возможным,