Краткая характеристика международного стандарта ISO/IEC 27005

Краткая характеристика международного стандарта ISO/IEC 27005

Информационная технология – Методы защиты – Менеджмент рисков информационной безопасности

СОДЕРЖАНИЕ

1. ОБЩАЯ ПРОБЛЕМАТИКА

В современном мире понятие риска широко употребляется в различных сферах деятельности. Это понятие, как правило, используется для описания любого потенциально опасного явления. Задолго до появления пока ещё несовершенной теории рисков и методов  вероятностной оценки отрицательных явлений с термином “риск” обычно связывалось значение (качественное или количественное), которое характеризовало потенциальную степень опасности одной или нескольких угроз.

Совершенствование технологий передачи и обработки информации, ежегодный рост числа киберугроз, необходимость обеспечения информационной безопасности независимо от места ее хранения является причиной особой внимания к проблеме оценки рисков и совершенствование систем управления рисками. К сожалению, по результатам исследования компании “SafeNet” в области информационной безопасности прослеживается удручающее пренебрежение к этой проблеме [1].

По данным исследования всего 19% опрошенных полностью уверены в защите своих данных, в то время как 33% – сомневаются в безопасности информации. Однако 49% участников опроса не верят, что какие-либо технологии защитят компании от возможности взлома их системы.

Осознавая высокие риски взлома периметра компании, 59% опрошенных не отрицают возможность успешной атаки кибермошенников.

Согласно результатам исследования и ответам опрошенных IT-специалистов компания SafeNet разработала основные постулаты для сохранности данных компаний: анализ новых подходов к защите информации; принять факт, что не существует периметра, который невозможно взломать; определить потенциальных киберпреступников и оценить интересующую их информацию; защищать основную ценность компании – данные.

Тем не менее, последствия глобального экономического кризиса заставляют все большее число руководителей крупных международных компаний пересматривать свое отношение к информационной безопасности, в том числе и к процессу управления рисками информационной безопасности.

Управление информационными рисками – это достаточно широкое понятие, которое используется в литературе как вид деятельности, который включает определение угроз безопасности информационной системы, оценку уровня опасности угроз (то есть размера возможных убытков), а также вероятностей реализации этих угроз (то есть проведение полного анализа рисков системы). На основе реализации угроз принимается решение о мероприятиях касающихся снижения общего уровня риска для информационной системы. При этом конкретное содержание этого понятия зависит от решаемой задачи.

В настоящее время в мире для оценки информационных рисков используется стандарт ISO/IEC 27005. Он используется в разнообразных методических рекомендациях, касающихся внедрения систем управления информационной безопасностью, а также в методиках оценки информационных рисков в соответствии с внутренними стандартами различных заинтересованных организаций (например, банков).     

Многие специалисты, занимаясь информационной безопасностью, разрабатываю различные методы оценки информационных рисков в различных конкретных условиях.

Актуальность этого подтверждается тем, что информационная безопасность в настоящее время становится необходимым условием успешного развития хозяйствующего субъекта. Риск компрометирования информации влияет на материальные и нематериальные активы организации и, в конечном счёте, на результаты её производственно-экономической деятельности.

Информационный риск – это опасность появления убытков или потери, связанные с созданием, передачей, хранением и использованием информации. Анализ информационных рисков является инструментом, который позволяет определить:

– какие объекты и в какой степени нуждаются в защите;

– стоимость способов защиты, без использования которых система информационной безопасности не может быть эффективной.

Наиболее важным этапом анализа информационных рисков является идентификация рисков. Общеизвестно, однако, что общепринятой методики количественной оценки информационных рисков не существует. Это связано, в первую очередь, с отсутствием достаточного объема статистических данных о вероятностях реализации того или иного риска.

В настоящее время наибольшеее распространение получила качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает эксперт, осуществляющий анализ информационных рисков. Субъективность экспертных оценок снижает достоверность полученных результатов. Анализ информационных рисков чаще всего требует привлечения большой группы экспертов, которые хорошо знают ситуацию на предприятии или в организации и чётко понимают цель исследования.

2. ТРЕБОВАНИЯ СТАНДАРТА ISO/IEC 27005

Согласно международного стандарта ISO/IEC 27005 общая структуризация процесса оценки информационных рисков состоит в следующем.

Оценка информационных рисков подразделяется на два основных этапа:

– первый этап – анализ информационных рисков;

– второй этап – оценивание информационных рисков.

В свою очередь, анализ информационных рисков подразделяется на идентификацию информационных рисков и на количественную оценку информационных рисков.

Цель идентификации информационных рисков состоит в том, чтобы:

– определить, что может случиться;

– возможные потери;

– получить информацию о том, как, где и почему могли бы случиться потери.

В общем случае идентификация информационных рисков включает идентификацию активов, идентификацию угроз, идентификацию существующих средств контроля, идентификацию слабых звеньев, идентификацию последствий.

Количественная оценка информационных рисков – это оценка рисков, результаты которой могут быть выражены в цифрах. 

В общем случае количественная оценка информационных рисков базируется на результатах идентификации последствий, на результатах идентификации уровня риска, на результатах оценки вероятностей инцидентов.

Анализ стандарта в области оценки рисков информационной безопасности показывает, что он предусматривают в качестве обязательного компонента обеспечения режима информационной безопасности создание системы управления информационной безопасностью или ее аналога. Обязательным подсистемой последней является система управления информационными рисками, которая может включать как количественные, так и качественные показатели и должна использовать прозрачные метрики.

Международной организацией по стандартизации (International Organization for Standardization, ISO) разработано около сотни стандартов, касающихся информационной безопасности и, в частности, оценки рисков.

Основной среди них – международный стандарт ISO / IEC 27005 – определяет риск как комбинацию вероятности события и его последствий. Анализ рисков определяется как систематическое использование информации для выявления источников и оценки степени риска, а оценка рисков – как целостный процесс анализа рисков и оценки их критичности.

Стандарт ISO/IEC 27005 включает рекомендации на основе лучших практик мирового опыта в сфере управления информационной безопасностью, рисками и средствами контроля как части общей системы управления информационной безопасностью [2].

Стандарт ISO / IEC 27005 основан на британском стандарте BS-7799. В стандарте определены условия, необходимые для построения, технической поддержки и модернизации системы управления информационной безопасностью. В качестве важнейшего пункта определена оценка рисков, которая выполняется в два основных последовательных этапа: анализ рисков и оценки рисков.

В стандарте приведены основные этапы оценки рисков, а именно:

– определение методики оценки рисков (указывается, что можно применять различные методики, но главными требованиями к ним, являются возможность повторения результата оценки рисков и сравнение его с результатам оценок, полученными с помощью других методик);

– идентификация рисков и их составляющих (активов организации, угроз, уязвимостей системы и их влияния на активы);

– анализ и оценка рисков;

– анализ и оценка возможности минимизации рисков.

В стандарте подробно раскрыты вышеперечисленные пункты. В то же время стандарт не регламентирует выбора конкретной методологии оценки рисков, и организация может сама выбирать подход, который бы обеспечивал необходимые результаты и отвечал описанному в стандарте набору критериев. Стандарт не отдает предпочтение методикам, которые используют количественные или качественные оценки рисков, и в то же время предусматривает возможность использования нескольких методик в процессе оценки рисков.

В нем определяется структурированная и системная последовательность действий от определения границ системы к разработке плана обработки рисков. В приложениях к стандарту приведены ориентировочные перечни активов, угроз, уязвимостей, возможных подходов к оценке рисков, а также возможные ограничения на применение контрмер. Представляет интерес использование рассматриваемого в стандарте подхода по формированию матриц рисков. Перечни активов, угроз, уязвимостей, приведенные в стандарте, могут быть полезными при разработке методики оценки рисков информационной безопасности.

В стандарте описан алгоритм управления рисками, а также приведён справочный материал, необходимый для проведения расчетов на различных этапах процесса управления рисками. Согласно требованиям стандарта существует возможность выбора одной из методик, которая соответствует требованиям документированности, рациональности, всесторонности и стабильности.

На основе анализа международного стандарта ISO / IEC 27005 можно сделать вывод, что методика оценки рисков должна соответствовать общепринятым требованиям. Основными из них являются обоснованность методики, повторяемость результатов и их представления в такой форме, в которой их можно сравнивать с результатами, полученными с использованием других методик.

Стандарт от британского института BSI BS-7799 лежит в основе стандарта ISO/IEC 27005, который его в этот момент и заменил. Большая часть его положений вошла в международный стандарт ISO/IEC 27005.

Не смотря на существование большого количества стандартов, регламентирующих оценку рисков, единой формализованной и общепринятой методики или аппарата оценки рисков не предложено. Методика оценки рисков создается для конкретной информационной системы. Основными требованиями к методике оценки рисков является ее обоснованность и повторяемость результатов методики, а также представление результатов в такой форме, в которой их можно будет сравнивать с результатами, полученными с использованием 
других методик. Этими требованиями следует руководствоваться при разработке аппарата оценки рисков информационной 
безопасности.

3. О МЕТОДИКАХ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ

Любые методики оценки информационных рисков должные предусматривать:

– достаточный уровень простоты;

– снижение зависимости оценки от предпочтений экспертов;

– получение количественной оценки.

В качестве примера можно указать на метод, связанный с анализом иерархий, хорошо известный в теории принятия решений для структуризации оцениваемых факторов.

Использование иерархических структур позволяет разбить сложную задачу на подзадачи или уровни иерархии, оценка которых представляется более простой, а главное, делает понимание задачи менее зависимым от субъективных предпочтений эксперта.

С этой целью метод анализа иерархий предусматривает:

– последовательную декомпозицию проблемы на все более простые составные части с помощью построения иерархической структуры, состоящей из альтернатив и критериев;

– экспертную оценку каждого элемента иерархии;

– дальнейшую обработку экспертных оценок.

В стандарте ISO/IEC 27005 описан циклический процесс обеспечения информационной безопасности, в котором этап оценки рисков и принятия решений занимает основное место. В целом все это представляет собой комплексную систему защиты информации, реализующую следующие основные функции:

– определения и анализа угроз;

– разработку плана защиты информации;

– реализацию плана защиты информации;

– контроль функционирования и управление системой защиты информации.

При этом анализ и оценка рисков (определение и анализ угроз) является основной подсистемой комплексной системы защиты информации. Циклическое проведение оценки рисков системы дает возможность проводить контроль ее функционирования и оптимизировать систему в целом по установленным критериями. Такой механизм оценки рисков позволяет принимать наиболее эффективные решения, выбирая оптимальные механизмы защиты от угроз и расставляя приоритеты при создании системы защиты [2]. Адекватная оценка рисков для любой информационно-коммуникационной системы является основным условием построения экономически обоснованной системы защиты информации.

Актуальность задачи исследования метрик безопасности (одной из которых является риск) всегда отмечалась как зарубежными, так и отечественными специалистами [3-6]. Исследования по этой теме ведутся уже несколько десятилетий, но следует отметить, что получено относительно мало результатов, которые оказались полезными для практического использования, в то время как метрики безопасности являются важнейшим фактором при принятии решений в области информационной безопасности.

Так, научно-исследовательский совет по информационной безопасности правительства США включил проблему метрик безопасности на корпоративном уровне в свой последний список проблем. Институтом защиты информационной инфраструктуры США метрики безопасности определены как один из четырех научно-исследовательских приоритетов на последующие пять-десять лет. В аналитическом обзоре Национального института стандартов и технологий США “Направления исследований метрик безопасности” приведен перечень условий, которые необходимо учитывать при разработке метрик информационной безопасности. Этот перечень определяет широкий диапазон проблем от исследования экономических индикаторов различного типа до особенностей измерения показателей информационной безопасности в системах разной мощности.

На сегодняшний день предложено много методик оценки рисков, которые отражены в стандартах, изложены в отчетах научно-исследовательских работ и комплексных работ, выполненных по заказу коммерческих организаций [7-9]. В этих методиках рассмотрены вопросы анализа и управления информационными рисками, но они имеют ряд недостатков: недостаточно эффективны, сложны, оторваны от практики или, наоборот, приспособлены к конкретной организации и конкретной информационно-коммуникационной системе. Как указано в работах [10,11], в настоящее время отсутствует универсальная методика, которая была бы одинаково пригодной для организаций и компаний различных типов.   

Целью анализа требований и рекомендаций, изложенных в международном стандарте ISO/IEC 27005 [12] в отношении методик оценки рисков информационной безопасности является выделение условий соответствия методик оценки рисков информационной безопасности реальной ситуации.

ЛИТЕРАТУРА

1. SafeNet анонсировала результаты глобального исследования “Новые реалии информационной безопасности” [Электронный ресурс] — Режим доступа:

http://www.pcweek.ru/security/news-company/detail.php?ID=161711

(26.03.2014). — Название с экрана.

2. Астахов А. Искусство управления информационными рисками. – М.: ДМК Пресс, 2010. – 312 c.

3. Замула О.А., Черниш В.І. Аналіз міжнародних стандартів в галузі оцінювання ризиків інформаційної безпеки // Системи обробки інформації: збірник наукових праць ХУПС. – Вип. 2(92). – Харків: ХУПС, 2011. – С. 53-56.

4. Марка Д., Мак-Гоуэн К. Методология структурного анализа и проектирования. Пер. с англ. – М.: Мета Технология, 1993. – 240 с.

5. Могилевский В.Д. Методология систем. – М.: Экономика, 1999. – 251 с.

6. Саати Т. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. – 278 с.

7. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий: ГОСТ Р ИСО/МЭК ТО 13335-3-2007. — [От 01-09-2007]. — М.: ФГУП “СТАНДАРТИНФОРМ”, 2007. — 84 с. — (Национальные стандарты Российской Федерации).

8. Корченко А.Г. Построение систем защиты информации на нечетких множествах. – К.: “МК-Пресс”, 2006. – 316 с.

9. Балашов П.А. Оценка рисков информационной безопасности на основе нечеткой логики // Конфидент – 2003. – 53, №4. – C. 56-60; 54, №6. – C. 60-66.

10. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с. – (Информационные технологии для инженеров).

11. Петренко С.А. Новые инициативы российских компаний в области защиты конфиденциальной информации // Конфидент – 2003. – 49, № 1. – C. 56-62.

12. Information technology — Security techniques — Information security risk management: ISO/IEC 27005:2008. – [от 15-06-2008]. – Женева: 2008. – 64 с. – (Международные стандарты ISO/IEC).