пятница, 19 августа 2011 г.

Практика ИБ \ Систематизация операционных рисков, связанных с ИБ

Частично перевел документ Software Engineering Institute "Систематизация операционных рисков, связанных с ИБ". Авторы документа - James J. Cebula и Lisa R. Young (Университет Карнеги-Меллон). В документе систематизированы источники операционных рисков, которым подвержены информационные и технологические активы, реализация которых может оказать влияние на конфиденциальность, доступность и целостность этих активов. Все источники рисков разделены на 4 основных класса: 1) действия людей; 2) сбои ПО и оборудования; 3) недостатки внутренних процессов; 4) внешние события. Каждый класс делится на подклассы и отдельные элементы.

Документ может быть полезен при выявлении применимых к компании рисков ИБ. В конце документа приведены таблицы его взаимосвязи с FISMA, NIST SP800-53 Rev.3 и OCTAVE (эти таблицы не переводил, их можно посмотреть в оригинальном документе).



1. Действия людей2. Сбои ПО и оборудования3. Недостатки внутренних процессов4. Внешние события
1.1. Неумышленные действия
1.1.1. Ошибка
1.1.2. Незнание
1.1.3. Несоблюдение


1.2. Умышленные действия
1.2.1. Мошенничество
1.2.2. Саботаж
1.2.3. Кража
1.2.4. Вандализм


1.3. Бездействие
1.3.1. Отсутствие навыков
1.3.2. Недостаток знаний
1.3.3. Отсутствие инструкции
1.3.4. Недоступность людей
2.1. Сбои оборудования
2.1.1. Недостаток емкости
2.1.2. Недостаток производительности
2.1.3. Ненадлежащее обслуживание
2.1.4. Устаревание оборудования


2.2. Сбои ПО
2.2.1. Несовместимость
2.2.2. Ненадлежащее управление конфигурациями
2.2.3. Ненадлежащее управление изменениями
2.2.4. Неправильные настройки безопасности
2.2.5. Небезопасные практики программирования
2.2.6. Ненадлежащее тестирование


2.3. Проектирование системы
2.3.1. Проблемы проектирования
2.3.2. Проблемы спецификации
2.3.3. Проблемы интеграции
2.3.4. Сложность системы
3.1. Проектирование и выполнение процесса
3.1.1. Ненадлежащий технологический процесс
3.1.2. Ненадлежащая документация по процессу
3.1.3. Непонимание ролей и обязанностей
3.1.4. Ненадлежащие уведомления и предупреждения
3.1.5. Неправильные информационные потоки
3.1.6. Ненадлежащая эскалация проблем
3.1.7. Отсутствие соглашений об уровне сервиса
3.1.8. Неэффективная передача задач


3.2. Контроль процесса
3.2.1. Отсутствие мониторинга состояния
3.2.2. Отсутствие метрик
3.2.3. Отсутствие периодического анализа
3.2.4. Ненадлежащее владение процессом


3.3. Поддержка процесса
3.3.1. Проблемы кадрового обеспечения
3.3.2. Проблемы финансирования
3.3.3. Недостатки обучения и развития
3.3.4. Проблемы закупок
4.1. Катастрофы
4.1.1. Погодные явления
4.1.2. Пожар
4.1.3. Наводнение
4.1.4. Землетрясение
4.1.5. Беспорядки
4.1.6. Карантин


4.2. Правовые проблемы
4.2.1. Несоответствие требованиям
4.2.2. Изменения законодательства
4.2.3. Судебные споры


4.3. Бизнес-проблемы
4.3.1. Проблемы с поставщиками
4.3.2. Неблагоприятные рыночные условия
4.3.3. Неблагоприятные экономические условия


4.4. Зависимость от услуг
4.4.1. Проблемы снабжения
4.4.2. Зависимость от экстренных служб
4.4.3. Проблемы с поставками топлива
4.4.4. Транспортные проблемы


Класс 1. Действия людей

Действия людей (actions of people) – это класс операционных рисков, связанных с проблемами, вызванными действиями (или бездействием) людей в определенных ситуациях. Этот класс охватывает действия как инсайдеров, так и внешних, по отношению к компании, людей. Этот класс делится на следующие подклассы: неумышленные действия (в основном инсайдеры), умышленные действия (инсайдеры или внешние люди) и бездействие (в основном инсайдеры).

Подкласс 1.1. Неумышленные действия

К подклассу неумышленных (inadvertent) действий относятся ненамеренные действия, выполняемые без злого умысла и желания нанести ущерб. Неумышленные действия обычно (но не всегда) связаны с людьми внутри компании. Этот подкласс состоит из следующих элементов: ошибка, незнание, несоблюдение.
  • 1.1.1. Ошибка (mistake) – случайное выполнение неправильного действия человеком, знающим правильную процедуру.
  • 1.1.2. Незнание (error) – выполнение неправильного действия человеком, который не знает правильной процедуры.
  • 1.1.3. Несоблюдение (omission) – выполнение неправильного действия человеком, который не принимает правильную процедуру; часто это связано с попыткой побыстрее закончить процедуру.
Подкласс 1.2. Умышленные действия

К подклассу умышленных (deliberate) действий людей относятся действия, выполняемые намеренно, с осознанием нанесения ущерба. Этот подкласс состоит из следующих элементов: мошенничество, саботаж, кража и вандализм. Умышленные действия могут выполняться как людьми внутри компании, так и вне ее.
  • 1.2.1. Мошенничество (fraud) – умышленное действие, направленное на получение собственной выгоды (возможно участие сообщников) за счет нанесения ущерба компании.
  • 1.2.2. Саботаж (sabotage) – умышленное действие, направленное на нарушение какого-либо (обычно одного из ключевых) актива или процесса компании, выполняемое лицом, обладающим внутренними сведениями о функционировании компании или имеющим доступ к таким сведениям.
  • 1.2.3. Кража (theft) – намеренный захват активов (в частности, информационных активов) компании, совершенный без разрешения.
  • 1.2.4. Вандализм (vandalism) – намеренное нанесение вреда активам компании, часто совершаемое случайно, беспорядочно.
Подкласс 1.3. Бездействие


К подклассу Бездействие (inaction) относится невыполнение нужных действий (или выполнение недостаточных действий) в определенной ситуации. В состав этого подкласса входит бездействие, вызванное отсутствием необходимых навыков, недостатком знаний, отсутствием соответствующих инструкций (руководств), недоступность нужных людей для выполнения необходимых действий.
  • 1.3.1. Отсутствие навыков (skills) – человек не может выполнить необходимые действия.
  • 1.3.2. Недостаток знаний (knowledge) – человек не знает, какие действия необходимо выполнить.
  • 1.3.3. Отсутствие инструкции (guidance) – человек обладает нужными знаниями, но не имеет соответствующей инструкции или указания к действию.
  • 1.3.4. Недоступность людей (availability) – недоступность или отсутствие людей (или ресурсов), необходимых для выполнения действия.


Класс 2. Сбои программного обеспечения и оборудования


Класс Сбои программного обеспечения и оборудования (systems and technology failures) относится к классу операционных рисков, связанных с неправильным или неожиданным функционированием технологических активов. Он состоит из подклассов, связанных со сбоями оборудования, программного обеспечения и недостатками проектирования систем.

Подкласс 2.1. Сбои оборудования


Подкласс Сбои оборудования (hardware) учитывает риски существенных нарушений работы физического оборудования, вызванных проблемами с недостатком емкости, производительности, ненадлежащим обслуживанием и устареванием оборудования.
  • 2.1.1. Недостаток емкости (capacity) – невозможность обработать данную загрузку или объем информации.
  • 2.1.2. Недостаток производительности (performance) – невозможность закончить выполнение команд или обработку информации в рамках приемлемых характеристик (время, потребление энергии, тепловая нагрузка и т.п.).
  • 2.1.3. Ненадлежащее обслуживание (maintenance) – невыполнение требуемых или рекомендуемых действий по уходу (обслуживанию) за оборудованием для его поддержания в рабочем состоянии.
  • 2.1.4. Устаревание оборудования (obsolescence) – использование оборудования после окончания его срока службы.
Подкласс 2.2. Сбои программного обеспечения


Подкласс Сбои программного обеспечения (software) учитывает риски, связанные с программными активами всех видов, включая программы, приложения и операционные системы. Элементами сбоев ПО являются: несовместимость, ненадлежащее управление конфигурациями, ненадлежащее управление изменениями, неправильные настройки безопасности, небезопасные практики программирования и ненадлежащее тестирование.
  • 2.2.1. Несовместимость (compatibility) – невозможность совместной работы двух или более частей ПО так, как это ожидалось.
  • 2.2.2. Ненадлежащее управление конфигурациями (configuration management) – неправильное применение или управление настройками и параметрами.
  • 2.2.3. Ненадлежащее управление изменениями (change control) – выполнение изменений в приложении или его конфигурации без соответствующего разрешения или без предварительного проведения анализа изменения, либо недостаточно строгое выполнение соответствующих процедур.
  • 2.2.4. Неправильные настройки безопасности (security settings) – неправильное применение настроек безопасности программы или приложения, использование небезопасных настроек или, наоборот, установка излишних ограничений.
  • 2.2.5. Небезопасные практики программирования (coding practices) – сбои, вызванные ошибками при написании программы, включая синтаксические и логические проблемы, применение небезопасных практик программирования.
  • 2.2.6. Ненадлежащее тестирование (testing) – неадекватное или выполненное с нарушениями тестирование программного обеспечения или конфигурации.
Подкласс 2.3. Проектирование системы

Подкласс Проектирование системы (systems) связан с нарушениями работы систем, вызванные проблемами на этапах их проектирования и создания. Этот подкласс описывается следующими элементами: проблемы проектирования, проблемы спецификации, проблемы интеграции и сложность системы.
  • 2.3.1. Проблемы проектирования (design) – непригодность системы для конкретной области применения или использования.
  • 2.3.2. Проблемы спецификации (specifications) – неправильное или неадекватное определение требований или несоблюдение этих требований в процессе создания системы.
  • 2.3.3. Проблемы интеграции (integration) – сбои при совместной работе различных компонентов системы или при организации их связи друг с другом.
  • 2.3.4. Сложность системы (complexity) – запутанность системы или наличие в ней большого числа связанных компонентов.


Класс 3. Недостатки внутренних процессов


Класс Недостатки внутренних процессов (failed internal processes) описывает класс операционных рисков, связанных с проблемами выполнения внутренних процессов, в результате которых они работают не так, как нужно, либо не так, как ожидалось. В состав этого класса входят следующие подклассы: проектирование и выполнение процесса, управление процессом и поддержка процесса.

Подкласс 3.1. Проектирование и выполнение процесса

Подкласс Проектирование и выполнение процесса (process design or execution) относится к проблемам процессов, которые не позволяют получить нужные результаты, и которые вызваны проектированием процесса, не соответствующим поставленным задачам, либо некорректным выполнением правильно спроектированного процесса. Элементами этого подкласса являются: ненадлежащий технологический процесс, ненадлежащая документация по процессу, непонимание ролей и обязанностей, ненадлежащие уведомления и предупреждения, неправильные информационные потокиненадлежащая эскалация проблем, отсутствие соглашений об уровне сервиса и неэффективная передача задач.
  • 3.1.1. Ненадлежащий технологический процесс (process flow) – неудовлетворительная организация передачи результатов процесса их потребителю.
  • 3.1.2. Ненадлежащая документация по процессу (process documentation) – недостаточная документация по входам и выходам процесса, самому процессу, а также участникам процесса.
  • 3.1.3. Непонимание ролей и обязанностей (roles and responsibilities) – недостаточное определение или понимание ролей и обязанностей участников процесса.
  • 3.1.4. Ненадлежащие уведомления и предупреждения (notifications and alerts) – ненадлежащее уведомление о потенциальной проблеме в процессе.
  • 3.1.5. Неправильные информационные потоки (information flow) – неправильная организация передачи информации процесса заинтересованным сторонам и/или участникам.
  • 3.1.6. Ненадлежащая эскалация проблем (escalation of issues) – ненадлежащая организация или отсутствие возможности эскалации ненормальных или неожиданных ситуаций для принятия решений о действиях соответствующим персоналом.
  • 3.1.7. Отсутствие соглашений об уровне сервиса (SLA, service level agreements) – отсутствие соглашений между участниками процесса об ожидаемом уровне сервиса, что не позволяет завершить ожидаемые действия.
  • 3.1.8. Неэффективная передача задач (task hand-off) – ошибки, вызванные неэффективной передачей выполняющихся задач от одного исполнителя другому.
Подкласс 3.2. Контроль процесса

Подкласс Контроль процесса (process controls) учитывает проблемы процессов, вызванные ненадлежащим контролем за выполнением процесса. Элементами этого подкласса являются: отсутствие мониторинга состояния, отсутствие метрик, отсутствие периодического анализа и ненадлежащее владение процессом.
  • 3.2.1. Отсутствие мониторинга состояния (status monitoring) – не проведение анализа информации о текущем функционировании процесса, либо несвоевременное реагирование на отклонения.
  • 3.2.2. Отсутствие метрик (metrics) – не проведение анализа измерений статуса выполнения процесса за определенные промежутки времени с целью определения изменений производительности.
  • 3.2.3. Отсутствие периодического анализа (periodic review) – не проведение периодического полного анализа операций, выполняемых в рамках процесса, с целью выявления потребности во внесении изменений в процесс.
  • 3.2.4. Ненадлежащее владение процессом (process ownership) – не получение на выходе процесса ожидаемых результатов, вызванное неправильным определением владения или плохими практиками управления.
Подкласс 3.3. Поддержка процесса

Подкласс Поддержка процесса (supporting processes) связан с операционными рисками, вызванными недостатками в организации поддержки процессов, необходимой для предоставления соответствующих ресурсов. Этот подкласс делится на следующие элементы: проблемы кадрового обеспечения, проблемы финансирования, недостатки обучения и развития, проблемы закупок.
  • 3.3.1. Проблемы кадрового обеспечения (staffing) – отсутствие подходящего персонала для поддержки выполнения процесса.
  • 3.3.2. Проблемы финансирования (funding) – отсутствие необходимых финансовых ресурсов для поддержки выполнения процесса.
  • 3.3.3. Недостатки обучения и развития (training and development) – недостаточная поддержка необходимых навыков у сотрудников.
  • 3.3.4. Проблемы закупок (procurement) – не предоставление закупаемых услуг и товаров, необходимых для поддержки функционирования процесса.


Класс 4. Внешние события

Внешние события (external events) – это класс операционных рисков, связанных с событиями, обычно вызванными внешними, неконтролируемыми компанией, факторами. В большинстве случаев такие события нельзя предвидеть и запланировать. Этот класс делится на следующие подклассы: катастрофы, правовые проблемы, бизнес-проблемы, зависимость от услуг.

Подкласс 4.1. Катастрофы

Подкласс Катастрофы (hazards) связан с рисками, вызванными событиями как природного, так и рукотворного происхождения, над которыми у компании нет контроля и которые происходят без предупреждения. Элементами этого подкласса являются: погодные явления, пожар, наводнение, землетрясение, беспорядки и карантин.
  • 4.1.1. Погодные явления (weather event) – неблагоприятные погодные условия, такие как ливни, снежные бури, торнадо и ураганы.
  • 4.1.2. Пожар (fire) – пожар в здании или разрушения, вызванные пожаром вне здания.
  • 4.1.3. Наводнение (flood) – затопление здания или разрушения, вызванные наводнением вне здания.
  • 4.1.4. Землетрясение (earthquake) – нарушение работы компании, вызванное землетрясением.
  • 4.1.5. Беспорядки (unrest) – нарушение работы, вызванное массовыми беспорядками, акциями протеста или террористическими актами.
  • 4.1.6. Карантин (pandemic) – прерывание работы компании по медицинским причинам.
Подкласс 4.2. Правовые проблемы

Подкласс Правовые проблемы (legal issues) связан с рисками, которые потенциально могут оказать влияние на компанию, элементами которых являются: несоответствие требованиям, изменения законодательства и судебные споры.
  • 4.2.1. Несоответствие требованиям (regulatory compliance) – изменения в процедурах надзора или несоответствие действующим требованиям.
  • 4.2.2. Изменения законодательства (legislation) – новые законодательные акты, которые влияют на компанию.
  • 4.2.3. Судебные споры (litigation) – правовые действия, предпринятые против компании любыми заинтересованными лицами, включая сотрудников и клиентов.
Подкласс 4.3. Бизнес-проблемы

Подкласс Бизнес-проблемы (business issues) состоит из таких элементов, как проблемы с поставщиками, неблагоприятные рыночные и экономические условия. Этот подкласс связан с операционными рисками, вызванными изменениями в бизнес-окружении компании.
  • 4.3.1. Проблемы с поставщиками (supplier failure) – временная или постоянная потеря поставщиком возможности предоставлять компании необходимые продукты или услуги.
  • 4.3.2. Неблагоприятные рыночные условия (market conditions) – сокращение возможностей компании по продаже своих продуктов и услуг на рынке.
  • 4.3.3. Неблагоприятные экономические условия (economic conditions) – невозможность компании получить необходимое для своей работы финансирование.
Подкласс 4.4. Зависимость от услуг

Подкласс Зависимость от услуг (service dependencies) связан с рисками, вызванными зависимостью функционирования компании от внешних сторон. Этот подкласс делится на следующие элементы: проблемы снабжения, зависимость от экстренных служб, проблемы с поставками топлива и транспортные проблемы.
  • 4.4.1. Проблемы снабжения (utilities) – отсутствие у компании электроснабжения, водоснабжения или телекоммуникационных услуг.
  • 4.4.2. Зависимость от экстренных служб (emergency services) – зависимость от общественных экстренных служб, таких как пожарные, полиция, скорая помощь.
  • 4.4.3. Проблемы с поставками топлива (fuel) – проблемы с внешними поставщиками топлива, например, топлива для резервного генератора.
  • 4.4.4. Транспортные проблемы (transportation) – проблемы с транспортной системой, например, невозможность сотрудников добраться до работы или невозможность принимать и отправлять товары.

3 комментария:

Alexey Volkov комментирует...

Нехилый отжитм IT GRUNDSHUTZ ИМХО. Но все равно интересно.

eagle комментирует...

IT GRUNDSHUTZ - насколько я помню, там только методология, классификации рисков там нет. Или уже есть?

Vgninyuk@gmail.com комментирует...

Подходы к анализу рисков у них есть и содержаться в BSI-Standard 100-3.