Управление ИТ-рисками

Элементы управления рисками

Управление ИТ-рисками — это применение методов управления рисками к информационным технологиям с целью управления ИТ-рисками . Существуют различные методологии управления ИТ-рисками, каждая из которых включает определенные процессы и шаги. ^[1]

Система управления ИТ-рисками (ITRMS) является компонентом более широкой системы управления корпоративными рисками (ERM). ^[2] ITRMS также интегрированы в более широкие системы управления информационной безопасностью (ISMS). Постоянное обновление и поддержка ISMS, в свою очередь, является частью системного подхода организации к выявлению, оценке и управлению рисками информационной безопасности. ^[3]

Определения

В руководстве по проверке сертифицированных аудиторов информационных систем 2006 года, составленном ISACA, дается следующее определение управления рисками: « Управление рисками — это процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры , если таковые имеются, следует предпринять для снижения риска до приемлемого уровня, исходя из ценности информационного ресурса для организации » . ^[4]

По данным NIST, « Управление рисками позволяет ИТ-менеджерам сбалансировать эксплуатационные и экономические затраты на защитные меры с целями миссии путем обеспечения безопасности ИТ-систем и данных » . ^[5]

Взаимоотношения между субъектами ИТ-безопасности

Американский национальный центр обучения и образования в области обеспечения информации определяет управление рисками в сфере ИТ следующим образом: ^[6]

1. Общий процесс выявления, контроля и минимизации влияния неопределенных событий. Целью программы управления рисками является снижение риска и получение и поддержание одобрения DAA. Процесс облегчает управление рисками безопасности на каждом уровне управления на протяжении жизненного цикла системы. Процесс одобрения состоит из трех элементов: анализ риска , сертификация и одобрение.
2. Элемент управленческой науки, связанный с идентификацией, измерением, контролем и минимизацией неопределенных событий. Эффективная программа управления рисками включает следующие четыре фазы:
   1. Оценка риска, полученная на основе оценки угроз и уязвимостей.
   2. Управленческое решение.
   3. Контроль реализации.
   4. Обзор эффективности.
3. Полный процесс идентификации, измерения и минимизации неопределенных событий, влияющих на ресурсы AIS. Он включает анализ рисков , анализ затрат и выгод, выбор мер безопасности, тестирование и оценку безопасности, реализацию мер безопасности и обзор систем.
4. Полный процесс выявления, контроля и устранения или минимизации неопределенных событий, которые могут повлиять на системные ресурсы. Он включает анализ рисков, анализ затрат и выгод, выбор, реализацию и тестирование, оценку безопасности защитных мер и общий обзор безопасности.

Методология

Хотя конкретные методы могут различаться, процессы управления рисками обычно включают установление контекста, проведение оценки рисков и управление рисками. Методологии управления рисками из таких стандартов, как ISO/IEC 27005 , BS 7799 , NIST SP 800-39 и Risk IT, подчеркивают структурированный подход к этим процессам. ^[1] В следующей таблице сравниваются ключевые процессы в ведущих фреймворках:

ENISA: Процесс управления рисками в соответствии со стандартом ISO 13335

Установление контекста

Первым шагом в структуре ISO/IEC 27005 является установление контекста. Этот шаг включает сбор соответствующей информации об организации и определение критериев, области действия и границ деятельности по управлению рисками. Это включает в себя соблюдение правовых требований, обеспечение должной осмотрительности и поддержку создания системы управления информационной безопасностью (ISMS). Область действия может охватывать планы отчетности об инцидентах, планы обеспечения непрерывности бизнеса или сертификацию продуктов.

Ключевые критерии включают оценку риска, принятие риска и оценку воздействия, на которые влияют: ^[7]

• Правовые и нормативные требования
• Стратегическая ценность информационных процессов для бизнеса
• Ожидания заинтересованных сторон
• Негативные последствия для репутации организации

Решающее значение имеет определение миссии, ценностей, структуры, стратегии, местоположений и культурной среды организации, а также документирование ограничений, таких как бюджетные, культурные, политические и технические факторы, которые будут определять процесс управления рисками.

Оценка риска

ENISA: Оценка риска внутри управления рисками

Оценка рисков, критически важный компонент управления ИТ-рисками, выполняется в определенные моменты времени (например, ежегодно или по требованию) и обеспечивает моментальный снимок оцененных рисков. Она формирует основу для постоянного управления рисками, которое включает анализ, планирование, реализацию, контроль и мониторинг мер безопасности.

Оценки рисков могут быть итеративными, начиная с высокоуровневых оценок для определения основных рисков, за которыми следует более подробный анализ в последующих итерациях. Обычно включаются следующие шаги: ^[6]

1. Идентификация рисков — выявление потенциальных источников потерь, таких как активы , угрозы , уязвимости и бизнес-процессы.
2. Оценка риска — оценка вероятности и воздействия выявленных рисков, часто с использованием количественных или качественных методов.
3. Оценка риска — сравнение уровней риска с заранее определенными критериями приемлемости и определение приоритетности рисков для лечения.

Стандарт ISO 27005 делит процесс на следующие этапы: ^[7]

Идентификация риска

Этот процесс определяет активы (как основные, так и вспомогательные), угрозы и уязвимости , которые могут повлиять на организацию. Кроме того, он включает определение бизнес-процессов и существующих или планируемых мер безопасности. Результатом этого шага является список рисков, угроз и потенциальных последствий, связанных с активами и бизнес-процессами. ^[7]

OWASP: связь между источником угрозы и влиянием на бизнес

Оценка риска

Оценка риска оценивает вероятность и последствия выявленных рисков. Два распространенных подхода:

• Количественная оценка риска — математический расчет, основанный на показателях безопасности, таких как ожидаемая продолжительность единичного убытка (SLE) и ожидаемая продолжительность годового убытка (ALE).
• Качественная оценка риска – описательные методы, такие как интервью и экспертные оценки, которые являются более быстрыми и требуют меньше данных, но и менее точными. ^[8]

В обоих методах значения риска рассчитываются для каждого актива, а результаты документируются в реестре рисков .

Оценка риска

На этом этапе результаты анализа рисков сравниваются с критериями принятия рисков организации. Список рисков расставляется по приоритетам, и даются рекомендации по обработке рисков. Риски, смягчение которых слишком затратно, могут быть приняты или переданы (например, через страхование).

Оценка риска согласно NIST SP 800-30 Рисунок 3-1

Снижение риска

Смягчение риска включает в себя определение приоритетов и реализацию мер по снижению риска, рекомендованных в ходе оценки риска. Поскольку устранение всех рисков нецелесообразно, организации должны применять наиболее экономически эффективные средства контроля, чтобы снизить риск до приемлемого уровня, одновременно минимизируя влияние на другие операции.

Обычно рассматриваются следующие стратегии: ^[5]

• Принятие риска – принятие потенциального риска и продолжение деятельности.
• Избегание риска – устранение риска путем избегания рискованных видов деятельности.
• Ограничение риска – внедрение мер контроля для минимизации воздействия рисков.
• Передача риска — использование других вариантов, таких как приобретение страховки, для передачи риска.

Остаточные риски, которые сохраняются после лечения, оцениваются с целью обеспечения адекватной защиты, и при необходимости могут быть приняты дополнительные меры.

Информирование о рисках

Информирование о рисках — это непрерывный двунаправленный процесс, который обеспечивает общее понимание риска всеми заинтересованными сторонами. Эффективное общение влияет на принятие решений и способствует формированию культуры осведомленности о рисках в организации. Одним из методов достижения этого является метод обзора снижения рисков ^[9] , который представляет риски, меры и остаточные риски в понятной форме.

Мониторинг и обзор рисков

Управление рисками — это непрерывный процесс, требующий регулярного мониторинга и обзора для обеспечения эффективности внедренных мер безопасности при изменении условий ведения бизнеса, угроз и уязвимостей. Регулярные аудиты и обзоры безопасности необходимы для проверки контроля безопасности и оценки остаточных рисков. ^[1]

Новые уязвимости, такие как атаки нулевого дня , должны устраняться посредством постоянного мониторинга, управления исправлениями и обновления элементов управления. Сопоставление с лучшими практиками и участие в мероприятиях по профессиональному развитию важны для поддержания современных методов управления рисками.

Оценка и анализ ИТ

Для обеспечения эффективности мер безопасности необходимо постоянно тестировать и проверять элементы управления, включая как технические системы, так и процедурные элементы управления. Тесты на проникновение и оценки уязвимости являются распространенными методами проверки эффективности элементов управления безопасностью. Регулярные проверки и повторная авторизация систем необходимы при внесении существенных изменений. ^[5]

Управление рисками также должно быть интегрировано в жизненный цикл разработки систем (SDLC), чтобы гарантировать, что риски рассматриваются на протяжении всего жизненного цикла ИТ-систем. Каждая фаза SDLC выигрывает от определенных видов деятельности по управлению рисками, от первоначального планирования до утилизации системы. ^[10]

Интеграция в жизненный цикл разработки системы

Эффективное управление рисками полностью интегрировано в жизненный цикл разработки систем (SDLC). SDLC обычно включает пять фаз: инициирование, разработка или приобретение, внедрение, эксплуатация или обслуживание и утилизация. Действия по управлению рисками остаются последовательными на протяжении всех этих фаз, гарантируя, что потенциальные риски идентифицированы, оценены и смягчены на каждом этапе. ^[11]

Безопасность в SDLC

Включение безопасности в SDLC необходимо для предотвращения дорогостоящих уязвимостей, которые могут возникнуть на более поздних этапах жизненного цикла системы. Ранняя интеграция мер безопасности на этапах инициирования и разработки может значительно снизить стоимость устранения уязвимостей безопасности. Это также позволяет повторно использовать установленные стратегии и инструменты безопасности, что приводит к повышению безопасности и эффективности затрат. ^[12]

В SDLC интегрированы следующие соображения безопасности:

• Требования безопасности к информационным системам: требования безопасности заложены в проект системы с самого начала.
• Корректная обработка в приложениях: защита от ошибок и обеспечение целостности данных.
• Криптографический контроль: обеспечение шифрования данных как при хранении, так и при передаче для предотвращения несанкционированного доступа.
• Безопасность системных файлов: реализация контроля версий, ограничений доступа и тщательного тестирования системных файлов.
• Управление техническими уязвимостями: мониторинг уязвимостей и применение своевременных исправлений для защиты от возникающих угроз.

Внедряя эти практики, организации могут гарантировать безопасность своих ИТ-систем с самого начала, снижая вероятность возникновения уязвимостей и дорогостоящих инцидентов безопасности на поздних этапах жизненного цикла системы.

Критика управления рисками как методологии

Управление рисками как методология подвергалось критике за свою субъективность, особенно при оценке стоимости активов, вероятности и воздействия угроз. Часто используемые вероятностные модели могут чрезмерно упрощать сложные риски. Несмотря на эту критику, управление рисками остается важным инструментом для управления ИТ-рисками. ^[1]

Методы управления рисками

Различные методы поддерживают процесс управления ИТ-рисками. Некоторые из наиболее широко используемых включают: ^[1]

• CRAMM – разработан британским правительством, соответствует ISO/IEC 17799 и другим стандартам.
• EBIOS – разработан французским правительством, соответствует основным стандартам безопасности.
• Факторный анализ информационного риска (FAIR) – строгий подход к определению и анализу факторов ИТ-риска.
• Octave — разработанный Университетом Карнеги-Меллона , он широко используется для оценки безопасности на основе рисков.

Стандарты

Различные стандарты содержат рекомендации по управлению ИТ-рисками, включая серию ISO/IEC 27000 и NIST SP 800-30.

Смотрите также

• Портал бизнеса и экономики

• Управление информационной безопасностью
• ИСО/МЭК 27001
• Оценка уязвимости (вычислительная техника)
• Тест на проникновение
• Угроза
• Уязвимость (вычисления)

Ссылки

1. Katsicas, Sokratis K. (2009). "35". В Vacca, John (ред.). Computer and Information Security Handbook . Morgan Kaufmann Publications. Elsevier Inc. стр. 605. ISBN 978-0-12-374354-1.
2. "ISACA THE RISK IT FRAMEWORK (требуется регистрация)" (PDF) . Архивировано из оригинала (PDF) 2010-07-05 . Получено 2010-12-14 .
3. Управление рисками Enisa, Инвентарь оценки рисков, стр. 46
4. ISACA (2006). Руководство по обзору CISA 2006. Ассоциация аудита и контроля информационных систем. стр. 85. ISBN 978-1-933284-15-6.
5. Feringa, Alexis; Goguen, Alice; Stoneburner, Gary (1 июля 2002 г.). «Руководство по управлению рисками для систем информационных технологий». doi : 10.6028/NIST.SP.800-30 – через csrc.nist.gov. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
6. "Глоссарий терминов". www.niatec.iri.isu.edu .
7. ISO/IEC, "Информационные технологии -- Методы обеспечения безопасности - Управление рисками информационной безопасности" ISO/IEC FIDIS 27005:2008
8. Официальное (ISC)2 руководство по CISSP CBK . Управление рисками: Auerbach Publications. 2007. стр. 1065.
9. «Обзор снижения риска». rro.sourceforge.net .
10. Гулик, Джессика; Фальсинг, Джим; Россман, Харт; Шолл, Мэтью; Стайн, Кевин; Киссель, Ричард (16 октября 2008 г.). «Вопросы безопасности в жизненном цикле разработки системы». doi : 10.6028/NIST.SP.800-64r2 – через csrc.nist.gov. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
11. Феринга, Алексис; Гоген, Элис; Стоунбёрнер, Гэри (1 июля 2002 г.). «Руководство по управлению рисками для систем информационных технологий». NIST. doi : 10.6028/NIST.SP.800-30 – через csrc.nist.gov. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
12. Гулик, Джессика; Фальсинг, Джим; Россман, Харт; Шолл, Мэтью; Стайн, Кевин; Киссель, Ричард (16 октября 2008 г.). «Вопросы безопасности в жизненном цикле разработки системы». NIST. doi : 10.6028/NIST.SP.800-64r2 – через csrc.nist.gov. {{cite journal}}: Цитировать журнал требует |journal=( помощь )