среда, 8 июля 2009 г.

В двух словах \ РС БР ИББС-2.2-2009

Краткое изложение нового Стандарта Банка России, вступающего в действие с 01.09.2009 г.
С полной версией можно ознакомиться на сайте ABISS.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РС БР ИББС-2.2-2009

Общий подход к оценке рисков нарушения ИБ 

Оценка рисков нарушения ИБ проводится для типов информационных активов, входящих в предварительно определенную область оценки. Также предварительно нужно определить:
  • Полный перечень типов информационных активов, входящих в область оценки (на основе результатов их классификации);
  • Полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки (в соответствии с иерархией уровней информационной инфраструктуры, определенной в СТО БР ИББС-1.0);
  • Модель угроз ИБ, описывающую угрозы ИБ для всех выделенных типов объектов среды на всех уровнях иерархии информационной инфраструктуры.
Оценка риска нарушения ИБ определяется на основании качественных оценок вероятности реализации угрозы (в оригинале СВР – степень возможности реализации угроз ИБ) и потенциального ущерба от ее реализации (в оригинале СТП – степень тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов). Оценка определяется на основе экспертного мнения сотрудников службы ИБ с привлечением сотрудников ИТ. Дополнительно следует привлекать сотрудников профильных подразделений, использующих рассматриваемые типы информационных активов.

Процедуры оценки рисков нарушения ИБ

Для проведения оценки рисков нарушения ИБ выполняются указанные ниже 6 процедур:

1. Определение перечня типов информационных активов, для которых выполняется оценка рисков нарушения ИБ (т.е. области оценки рисков). Может рассматриваться компания в целом, ее отдельное подразделение, либо отдельный процесс. Для каждого типа информационных активов следует определить, какие свойства ИБ (конфиденциальность, целостность, доступность и, при необходимости, другие) должны быть обеспечены для него.

2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов (п.1). Рассматриваемые типы объектов следует разделять по уровням информационной инфраструктуры.

3. Определение перечня актуальных источников угроз для каждого из типов объектов среды (п.2). Перечень актуальных источников угроз формируется на основе модели угроз компании.

4. Определение СВР угроз в отношении типов объектов среды (п.2). Для оценки СВР проводится анализ возможности потери каждого из значимых свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз. Используется следующая качественная шкала степеней: нереализуемая, минимальная, средняя, высокая, критическая. Основными факторами для оценки СВР угроз ИБ являются:
  • информация соответствующих моделей угроз, в частности: 
    • данные о расположении источника угрозы относительно соответствующих типов объектов среды;
    • информация о мотивации источника угрозы;
    • предположения о квалификации и/или ресурсах источника угрозы;
  • статистические данные о частоте реализации угрозы ее источником в прошлом;
  • информация о способах реализации угроз ИБ;
  • информация о сложности обнаружения реализации угрозы рассматриваемым источником;
  • данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих априорных защитных мер.
5. Определение СТП для типов информационных активов (п.1) на основе анализа последствий потери каждого из значимых свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз. Используется следующая качественная шкала степеней: минимальная, средняя, высокая, критическая. Основными факторами для оценки являются:
  • степень влияния на непрерывность деятельности компании;
  • степень влияния на репутацию компании;
  • объем финансовых и материальных потерь;
  • объем затрат на восстановления свойств ИБ информационных активов и ликвидации последствий нарушения ИБ: 
    • финансовых и материальных
    • людских ресурсов
    • временных
  • степень нарушения законодательных требований и/или договорных обязательств компании;
  • степень нарушения требований регулирующих и контролирующих органов в области ИБ, а также требований нормативных актов Банка России;
  • объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды;
  • данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, снижающих тяжесть последствий (апостериорных).
6. Оценивание рисков нарушения ИБ проводится на основании сопоставления СВР угроз и СТП нарушения ИБ вследствие реализации соответствующих угроз. Оценка должна проводиться для всех значимых свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз. Используется следующая качественная шкала рисков: допустимый, недопустимый. Для сопоставления СВР угроз и СТП заполняется таблица допустимых/недопустимых рисков нарушения ИБ.

Таблица 1 – Таблица допустимых/недопустимых рисков нарушения ИБ:

Оценка рисков нарушения ИБ в количественной (денежной) форме

Риски нарушения ИБ могут быть оценены в количественной (денежной) форме на основании количественных оценок СВР угроз ИБ (например, в процентах) и СТП (например, в денежном виде). Количественные оценки также производятся экспертными способами.
При необходимости, могут использоваться следующие шкалы соответствия качественных и количественных оценок СВР угроз (Таблица 2) и СТП (Таблица 3):

Таблица 2. Шкала соответствия качественной и количественной оценки СВР угрозы:

Таблица 3. Шкала соответствия качественной и количественной оценки СТП нарушения ИБ:

Количественные оценки рисков нарушения ИБ вычисляются путем перемножения количественных оценок СВР угроз и СТП для каждого из значимых свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз.
Суммарная оценка риска нарушения ИБ компании вычисляется как сумма количественных оценок по отдельным рискам нарушения ИБ.

Приложение 1. Рекомендуемый перечень классов и основных источников угроз ИБ
  • Неблагоприятные события природного, техногенного и социального характера 
    • Пожар
    • Природные катастрофы, чрезвычайные ситуации и стихийные бедствия
    • Техногенные катастрофы
    • Нарушение внутриклиматических условий
    • Нарушение электропитания
    • Нарушение функционирования систем жизнеобеспечения
    • Угроза здоровью персонала
  • Террористы и криминальные элементы 
    • Нарушения общественного порядка, общественная нестабильность
    • Террористические действия
    • Шпионаж
    • Запугивание и шантаж
    • Социальный инжиниринг
  • Зависимость от поставщиков/провайдеров/партеров/клиентов 
    • Зависимость от партнеров/клиентов
    • Ошибки, допущенные при заключении контрактов с провайдерами внешних услуг
    • Нарушения договорных обязательств сторонними (третьими) лицами
    • Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла
    • Разработка и использование некачественной документации
    • Использование программных средств и информации без гарантии источника
  • Сбои, отказы, разрушения/повреждения программных и технических средств 
    • Превышение допустимой нагрузки
    • Разрушение/повреждение, аварии технических средств и каналов связи
    • Сбои и отказы программных средств
    • Сбои и отказы технических средств и каналов связи
    • Нарушения функциональности криптографической системы
    • Нарушения функциональности архивной системы
  • Внутренние нарушители ИБ 
    • Саботаж
    • Халатность
    • Вредительство
    • Ошибка персонала
    • Хищение
    • Выполнение вредоносных программ
    • Использование информационных активов не по назначению
    • Нарушения персоналом организационных мер по обеспечению ИБ
    • Ошибки кадровой работы
  • Внешние нарушители ИБ 
    • Действия злонамеренного неавторизованного субъекта
    • Ложное сообщение об угрозе
    • Неконтролируемое уничтожение информационного актива
    • Неконтролируемая модификация информационного актива
    • Несанкционированный логический доступ
    • Несанкционированный физический доступ
  • Несоответствие требованиям надзорных и регулирующих органов, действующему законодательству 
    • Несоответствие внутренних документов действующему законодательству
    • Изменчивость и несогласованность требований надзорных и регулирующих органов, вышестоящих инстанций

1 комментарий:

eagle комментирует...

Термины и определения:

Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.

Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфра-структуры организации или другой вред активам и (или) инфраструктуре организации БС РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ.

Риск нарушения ИБ: Риск, связанный с угрозой ИБ.

Оценка риска нарушения ИБ: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации БС РФ на всех стадиях их жизненного цикла.

Обработка риска нарушения ИБ: Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.

Остаточный риск нарушения ИБ: Риск, остающийся после обработки риска нарушения ИБ.

Допустимый риск нарушения ИБ: Риск нарушения ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуации готова принять.

Объект среды информационного актива: Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

Модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.