3. Конфиденциальность
Свойство, заключающееся в том, что информация не может стать
доступной или открытой неавторизованным лицам, логическим объектам
или процессам.
Обеспечивается:
• многоуровневой идентификацией и аутентификацией пользователей и
процессов;
• разграничением прав доступа к информации;
• применением средств межсетевого экранирования и разграничения
доступа к информации и функциям управления;
• применением средств криптографической защиты информации;
• применением средств протоколирования и аудита событий безопасности.
4. Целостность
Свойство сохранения точности и полноты информации.
Обеспечивается:
• применением механизмов контроля целостности данных;
• применением средств антивирусной защиты;
• применением средств криптографической защиты информации.
5. Доступность
Свойство нахождения в состоянии готовности и пригодности для
использования по запросу авторизованного логического объекта
Обеспечивается:
• резервированием данных, технических и инженерных средств,
телекоммуникационного оборудования и каналов передачи информации;
• использованием отказоустойчивых технологий и решений.
6. Компоненты безопасности и их взаимосвязь
Актив
Уязвимость
Угроза
Источник угрозы Владелец актива
Защитные меры
Риск
Негативное
воздействие
Порождает
Использует
Вызывает
Для
Воздействует
На
Повышает
Оценивает
Принимает
Уменьшают
Повышает
УменьшаютДля
7. Источники угроз
Сущность которая негативно (отрицательно) влияет на активы.
Субъект
Материальный объект
Явление
СТБ ISO/IEC 27005 (приложение C)
СТБ 34.101.41 (раздел 6)
СТБ 34.101.61 (приложение А, табл. А.1)
СТБ 34.101.70 (приложение А, табл. А.4)
Основные источники угроз:
1) Неблагоприятные события природного,
техногенного и социального характера
2) Террористы и криминальные элементы
3) Зависимость от поставщиков, провайдеров, партнеров, клиентов
4) Сбои, отказы, разрушения/повреждения ПО и технических средств
5) Несоответствие требованиям надзорных и регулирующих органов,
законодательства
6) Внутренние нарушители
7) Внешние нарушители
9. Модель нарушителя
Квалификация РесурсыМотивация
Описание и классификация нарушителей ИБ, включая описание их опыта, знаний,
доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их
действий, а также способы реализации угроз ИБ со стороны указанных нарушителей
Тип Внутренний
Цели Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные,
неосторожные или неквалифицированные действия
Потенциал Низкий
Возможности Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы,
опубликованную в общедоступных источниках. Имеют возможность получить информацию о методах и
средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в
общедоступных источниках, и (или) самостоятельно осуществляет создание методов и средств реализации
атак и реализацию атак на информационную систему
Лица, обеспечивающие
функционирование
инфраструктуры
(администрация, охрана,
уборщики и т.д.)
Пример
10. Перечень типовых уязвимостей
Безопасность кадровых ресурсов
• Недостаточное обучение безопасности
• Не внедрены процедуры, гарантирующие
возврат ресурсов при увольнении
• Не отменяются права доступа при
увольнении
• Немотивированный или недовольный
персонал
• Безнадзорная работа внешнего персонала
• Отсутствие механизмов мониторинга
Ошибка персонала ТП
Кража
НСД
Злоупотребление средствами
обработки информации
Кража
Нелегальная обработка данных
11. Физическая безопасность
• Неадекватное или небрежное использование
механизмов контроля физического доступа в
здание, офис, комнаты
• Незащищенное хранение
• Подверженность оборудования влиянию
влажности, пыли, загрязнению
• Отсутствие схемы периодической замены
оборудования
• Отсутствие физической защиты здания, дверей
и окон
Перечень типовых уязвимостей
Умышленное причинение вреда
Кража
Запыление, потеря свойств
Износ средств хранения информации
Кража
Нелегальная обработка данных
12. Управление коммуникациями
• Сложный пользовательский интерфейс
• Передача средств хранения информации без
надлежащей чистки
• Неадекватное управление сетью
• Нет разделения тестового и рабочего
оборудования
• Неконтролируемое копирование
• Отсутствие обновления ПО, используемого для
защиты от вредоносного кода
Перечень типовых уязвимостей
Ошибка персонала
НСД к информации
Перегрузка трафика
Несанкционированная модификация
действующих систем
Кража
Вирусная атака
13. Перечень типовых уязвимостей
Несанкционированное подключение к
сетям
Потеря или повреждение
информации
НСД к информации, ИС, ПО
Использование ПО
неавторизованными пользователя
Присвоение чужого пользовательского
идентификатора
Контроль доступа
• Неправильное разграничение доступа в сетях
• Отсутствие политик чистых столов и чистых
экранов
• Отсутствие или некорректная политика
контроля доступа
• Отсутствие выхода из системы, когда
покидается рабочая станция
• Плохое управление паролями
14. Перечень типовых уязвимостей
Раскрытие информации
Искажение информации
Использование ПО
неавторизованными пользователями
Ошибки персонала ТП
Ошибки
Приобретение, разработка и
сопровождение ИС
• Недостаточная защита криптографических
ключей
• Отсутствие проверки обрабатываемых
данных
• Невыполнение или выполнение в
недостаточном объеме тестирования ПО
• Плохо документированное ПО
• Отсутствие контроля входных и выходных
данных
15. Модель реализации угроз
Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации
угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например,
нарушение доступности, целостности или конфиденциальности информационных активов); масштабов
потенциального ущерба. (СТБ 34.101.41).
Угроза
Источник – Модель нарушителя
Метод реализации
Актив
Уязвимость
Вероятность
Ущерб
16. Риск
• Воздействие неопределенности на цели
• Отклонение от ожидаемого
• Сочетание вероятности события и его последствия
положительное
или
отрицательное
Риск информационной безопасности – это потенциальная возможность того, что угроза
использует уязвимость актива или группы активов и тем самым является причиной
ущерба организации
17. Сравнение стандартов в области управления рисками
ISO 31000, ISO/IEC 31010
ISO 9001
ISO/IEC 20000-1
ISO/IEC 27005
Первый, по-настоящему, глобальный и
универсальный документ, описывающий в деталях,
как нужно управлять рисками
Применение риск-ориентированного мышления на
уровне управления всей компанией
Управление рисками ИБ
Управление рисками в области непрерывности и
доступности услуг (без детального описания)
СТБ 34.101.70
СТБ 34.101.61
Управление рисками ИБ в банках
Управление рисками ИБ (основан на ISO)
18. Процесс менеджмента рисков в рамках PDCA цикла
Процесс
менеджмента
риска
1 Установление
контекста
2 Оценка риска
3 Обработка риска
4 Принятие риска
5 Мониторинг и
пересмотр риска
6 Обмен информацией
и консультирование по
рискам
1. Установление контекста
2.1 Идентификация риска
2.2 Анализ риска
2.3 Оценивание риска
3 Обработка риска
4 Принятие риска
6.Коммуникацияиконсультированиепорискам
Оценка
удовлетвори
тельная
Оценка
удовлетвори
тельная
5.Мониторингипересмотрриска
Да
Да
Нет
20. Оценка рисков
Этапы
Риски должны быть идентифицированы, оценены
(количественно или качественно), приоритизированы.
1 Идентификация 2 Анализ 3 Оценивание
1.1 Активов
1.2 Угроз
1.3 Уязвимостей
1.4 Средств управления
1.5 Последствий (ущерба)
Качественный
Количественный
Комбинированный
Сравнение с критериями
21. Качественный анализ
• Определить ценность актива (уровень воздействия).
• Оценить вероятность реализации угрозы этому
активу (вероятность воздействия).
Вероятность
воздействия
Уровень воздействия
Низкий (1) Средний (2) Высокий (3)
Низкая (1) 2 3 4
Средняя (2) 3 4 5
Высокая (3) 4 5 6
Вероятность
воздействия
Уровень воздействия
Низкий (10) Средний (50) Высокий (100)
Низкая (0,1) 1 5 10
Средняя (0,5) 5 25 50
Высокая (1,0) 10 50 100
2-х факторный
22. Качественный анализ
3-х факторный
• Определить ценность
активов (вероятные потери)
• Оценить вероятность
возникновения угрозы.
• Оценить уязвимость
активов по отношению к
данной угрозе.
• Вычислить по матрице
уровень риска.
• Вычислить суммарный
уровень риска от
реализации угрозы.
• Ранжировать угрозы.
Вероятность возникновения
угрозы
Низкая Средняя Высокая
Уязвимость актива Н С В Н С В Н С В
Ценность актива 0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
23. Количественный анализ
Шаг 1: Определить ценность активов
Шаг 2: Рассчитать ожидаемый ущерб от единичного инцидента для каждого актива и каждой угрозы
SLE (Single Loss Expectancy) = Ценность актива х EF (Exposure Factor)
EF (фактор воздействия) – это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения
(ценности), которую актив потеряет в результате инцидента.
Шаг 3: Рассчитать среднегодовую частоту возникновения инцидентов, которая показывает сколько
инцидентов может произойти за год (ARO – Annualized Rate of Occurrence)
Шаг 4: Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss Expectancy) на угрозу
ALE = SLE х ARO
Выбрать контрмеры для противодействия каждой угрозе.
Выполнить анализ затрат/выгод выбранных контрмер.
24. Количественный анализ
Пример
Ценность актива "хранилище данных" составляет $150,000. В случае пожара может быть
повреждено 25% хранилища (но не более, т.к. установлена система пожаротушения, поблизости
находится пожарная часть и т.д.). В этом случае SLE будет составлять $37,500.
Таким образом, если SLE для хранилища данных компании при пожаре равно $37,500, а пожары в
аналогичных условия случаются примерно раз в 10 лет (ARO равно 0,1).
Значение ALE используется при оценке целесообразности внедрения тех или иных мер защиты
соответствующего актива от соответствующей угрозы – годовая стоимость защитных мер,
обеспечивающих необходимый уровень безопасности актива, не должна превышать значение ALE.
а ALE будет равна $3,750 ($37,500 х 0,1 = $3,750).
25. Обработка рисков
Выбор средств управления
Варианты обработки рисков
Изменение Сохранение Предотвращение Разделение
Остаточные
риски
26. Система менеджмента
информационной безопасности
Часть общей системы менеджмента для разработки, внедрения, обеспечения функционирования,
мониторинга, анализа, поддержки и улучшения информационной безопасности, использующая
подход, основанный на бизнес-рисках
Наличие СМИБ позволяет:
1) выявить слабые места ИБ и существующие угрозы ИБ действующих бизнес-процессов;
2) определить возможные риски и принимать необходимые управленческие решения;
3) обеспечить эффективную защиту информации в критических ситуациях;
4) оптимизировать затраты, связанные с поддержкой системы безопасности;
5) повысить авторитет организации;
6) улучшить отношения с органами надзора, упростить процедуру получения необходимых
разрешительных документов.
27. Стандарты серии 27000
СТБ ISO/IEC 27002-2012
Кодекс практики для МИБ
СТБ ISO/IEC 27003-2016
Руководства по внедрению СМИБ
СТБ ISO/IEC 27004-2014
Измерения
СТБ ISO/IEC 27000-2012
Общий обзор и словарь
СТБ ISO/IEC 27006-2014
Требования к органам, проводящим аудит и
сертификацию СМИБСТБ ISO/IEC 27005-2012
Менеджмент рисков ИБ
СТБ ISO/IEC 27001-2016
Требования
28. Структура стандарта СТБ ISO/IEC 27001
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
PLAN
DO
CHECK
ACT
29. Контекст
организации
Должны:
1) Определить внешние и внутренние факторы, которые
оказывают воздействие на СМИБ
2) Определить заинтересованные стороны и их
требования (которые имеют отношение к СМИБ)
3) Определить область применения СМИБ
4) Разработать, внедрить, поддерживать и постоянно
улучшать СМИБ
ДИ
30. Лидерство
Должны:
1) Установить Политику ИБ и Цели ИБ
2) Определить и довести обязанности и полномочия лиц,
имеющих отношение к ИБ, включая назначение
обязанностей за соответствие СМИБ требованиям
стандарта и предоставления отчетов о пригодности
СМИБ руководству
3) Продемонстрировать лидерство и приверженность
руководства к СМИБ
ДИ
31. Планирование
Должны:
1) Планировать действия по рассмотрению рисков и
возможностей и оценивать результативность этих
действий (для функционирования СМИБ)
2) Определить и применять процесс оценки риска ИБ
3) Определить и применять процесс обработки риска ИБ
4) Разработать Положение о применимости
(обязательное сравнение с приложением А)
5) Разработка плана обработки рисков
ДИ
ДИ
ДИ
ДИ
32. Поддержка
Должны:
1) Определить и предоставить ресурсы, необходимые для
СМИБ
2) Определить необходимую компетентность персонала
3) Обеспечить осведомленность персонала о Политике
ИБ, его вкладе, выгодах от улучшения пригодности и
последствиях несоответствий требованиям СМИБ.
4) Определить требования к управлению
документированной информацией
ДИ
33. Операционная
деятельность
Должны:
1) Определить процессы, необходимые для выполнения
требований ИБ и управления рисками ИБ. Сохранять
информацию о выполнении процессов.
2) Определить и управлять аутсорсинговыми процессами
3) Управлять запланированными изменениями
4) Выполнять оценку и обработку рисков через
запланированные интервалы времени
ДИ
ДИ
34. Оценивание
пригодности
Должны:
1) Определить объекты и методы мониторинга и
измерений, периодичность, ответственность,
сохранять результаты.
2) Проводить через запланированные временные
интервалы внутренние аудиты СМИБ
3) Проводить через запланированные временные
интервалы анализ СМИБ
ДИ
ДИ
ДИ
36. Заявление о применимости
А.5 Политики
информационной
безопасности
А.6 Организация
информационной
безопасности
А.7 Безопасность,
связанная с
персоналом
А.8 Управление
активами
А.9 Управление
доступом
А.10 Криптография
А.11 Физическая
безопасность и защита
от окружающей среды
А.12 Операционная
деятельность по
обеспечению
безопасности
А.13 Безопасность сети
А.14 Приобретение,
разработка и
сопровождение систем
А.15 Взаимоотношения
с поставщиками
А.16 Управление
инцидентами в
области
информационной
безопасности
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.18 Соответствие
37. Работа с приложением А (пример)
Сравнение со всеми СУ в приложении + применение ISO/IEC 27002 для детального описания
39. 10 шагов к подготовке и сертификации СМИБ
1.Выбираем процессы (область деятельности), которые будем сертифицировать.
2. Собираем команду; если необходимо, то привлекаем специалистов.
3. Проводим внутренний аудит с целью определить текущее состояние СМИБ компании.
4. Проводим идентификацию ресурсов, которые входят в выбранную область деятельности.
5. Определяем ценность ресурсов.
6. Считаем риски.
7. Готовим пакет документов: политики, стандарты, положения, процедуры и т. п.
8. Внедряем политики, стандарты, положения, процедуры и т. п.
9. Проводим внутренний аудит и анализ СМИБ
10. Выбираем орган по сертификации и подаем заявку.