16.11.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 6)

Управление рисками информационной безопасности

Риск - это мера степени, в которой предприятию угрожает потенциальное обстоятельство или событие, и, как правило, функция: (i) неблагоприятных воздействий, которые могут возникнуть в случае возникновения обстоятельства или события; и (ii) вероятность возникновения. Люди управляют рисками каждый день, хотя могут и не осознавать этого. 

Такие рутинные действия, как застегивание автомобильного ремня безопасности, ношение зонтика при прогнозе дождя или составление списка дел, которые нужно сделать, вместо того, чтобы полагаться на память, - все это входит в сферу управления рисками. Люди осознают различные угрозы своим интересам и принимают меры предосторожности, чтобы защититься от них или минимизировать их последствия.

И правительство, и промышленность вынуждены регулярно управлять множеством рисков. Например, чтобы максимизировать отдачу от инвестиций, предприятиям часто приходится выбирать между планами роста инвестиций, которые являются агрессивными и рискованными или медленными и безопасными. Эти решения требуют анализа риска относительно потенциальных выгод, рассмотрения альтернатив и, наконец, реализации того, что руководство определяет как лучший курс действий.

Что касается информационной безопасности, управление рисками - это процесс минимизации рисков для операций организации (например, миссии, функций, имиджа и репутации), активов организации, отдельных лиц, других организаций и страны, возникающих в результате работы системы. NIST SP 800-39 определяет четыре отдельных шага для управления рисками. Управление рисками требует от организаций (i) определения риска, (ii) оценки риска, (iii) реагирования на риск и (iv) мониторинга риска.

(i) Определение риска - описывает, как организации устанавливают контекст риска для среды, в которой принимаются решения, основанные на оценке риска. Целью компонента формирования рисков является разработка стратегии управления рисками, которая определяет, как организации намереваются оценивать, реагировать и отслеживать риски, при этом делая четкие и прозрачные представления о рисках, которые организации обычно используют в принятии как инвестиционных, так и операционных решений.

(ii) Оценка риска - описывает, как организации анализируют риск в контексте организационной структуры риска. Целью компонента оценки риска является выявление: (i) угроз операциям и активам организаций, отдельным лицам и т. д.; (ii) внутренние и внешние уязвимости организаций; (iii) вред (т. е. последствия/воздействие) для организаций, который может возникнуть с учетом потенциала угроз, использующих уязвимости; и (iv) вероятность причинения вреда.

(iii) Реагирование на риск - описывает, как организации реагируют на риск после того, как этот риск определен на основе результатов оценки рисков. Целью компонента реагирования на риск является обеспечение последовательного реагирования на риск в масштабах всей организации в соответствии с организационной структурой риска посредством: (i) разработки альтернативных способов действий для реагирования на риск; (ii) оценка альтернативных вариантов действий; (iii) определение соответствующих способов действий, согласующихся с терпимостью организации к риску; и (iv) реализация мер реагирования на риски на основе избранного курса действий.

(iv) Мониторинг риска - касается того, как организации отслеживают риск с течением времени. Целью компонента мониторинга рисков является: (i) проверка того, что запланированные меры реагирования на риски реализованы, и что требования информационной безопасности, вытекающие из / отслеживаемые для организационных миссий / бизнес-функций, федерального законодательства, директив, положений, политик, стандартов и руководств. довольны; (ii) определить текущую эффективность мер реагирования на риски после их реализации; и (iii) выявлять изменения, влияющие на риски, в организационных системах и среде, в которой эти системы работают.

Чтобы помочь организациям управлять рисками информационной безопасности на системном уровне, NIST разработал структуру управления рисками (RMF). RMF продвигает концепции управления рисками в режиме, близком к реальному времени, и постоянную авторизацию системы посредством внедрения надежных процессов непрерывного мониторинга. RMF также предоставляет высшему руководству необходимую информацию для принятия рентабельных, основанных на оценке рисков решений в отношении организационных систем, поддерживающих их основные миссии и бизнес-функции, и интегрирует информационную безопасность в архитектуру предприятия и жизненный цикл разработки системы (SDLC). См. NIST SP 800-160.

Шесть шагов, которые составляют RMF, включают:

1. Категоризация системы;

2. Выбор контроля безопасности;

3. Внедрение контроля безопасности;

4. Оценка контроля безопасности;

5. Авторизация системы; а также

6. Мониторинг контроля безопасности

7a67c8d6-a876-47f1-80f9-ecfdf82b64e6.jpg

6.1 Категоризация

Первый шаг RMF фокусируется на категоризации системы. Здесь организации классифицируют систему и информацию, обрабатываемую, хранимую и передаваемую этой системой на основе анализа воздействия. Руководство по категоризации безопасности для систем безопасности, не относящихся к национальной, можно найти в FIPS 199 и NIST SP 800-60.

6.2 Выбор

Второй этап процесса RMF включает в себя выбор начального набора базовых мер безопасности для системы на основе категоризации безопасности, а также адаптацию и дополнение базовых мер безопасности по мере необходимости на основе организационной оценки риска и местных условий. Руководство по выбору средств защиты представлено в NIST SP 800-53 и FIPS 200.

6.3 Внедрение

На третьем этапе организация несет ответственность за внедрение средств управления безопасностью и описание того, как средства управления используются в системе и в ее рабочей среде. Многие публикации NIST предоставляют информацию о реализациях контроля безопасности и доступны для справки на веб-сайте Центра ресурсов компьютерной безопасности.

6.4 Оценка

Четвертый шаг гарантирует, что организация оценивает средства управления безопасностью с использованием соответствующих процедур оценки и определяет степень, в которой средства управления реализованы правильно, работают по назначению и дают желаемый результат в отношении выполнения требований безопасности для системы. NIST SP 800-53A предоставляет руководящие принципы для разработки методов и процедур оценки для определения эффективности контроля безопасности в федеральных системах и для представления результатов оценки в отчете об оценке безопасности.

6.5 Авторизация

На пятом этапе старший менеджер официально разрешает системе работать или продолжать работу на основе результатов полной и тщательной оценки мер безопасности. Это решение основано на определении риска для операций и активов организации, отдельных лиц, других организаций и нации, возникающего в результате работы системы, и решения о том, что этот риск является приемлемым.

6.6 Мониторинг

Шестой шаг RMF - это постоянный мониторинг мер безопасности в системе, чтобы гарантировать их эффективность с течением времени по мере того, как в системе и в среде, в которой она работает, происходят изменения. Организации отслеживают меры безопасности в системе на постоянной основе, включая оценку эффективности контроля, документирование изменений в системе или ее операционной среде, проведение анализа воздействия на безопасность связанных изменений и отчетность о состоянии безопасности системы назначенным должностным лицам организации. . Специальное руководство о непрерывном мониторинге можно найти в NIST SP 800-137.


Читайте также


Комментарии 0