Стратегия создания систем информационной безопасности на основе решения задач управления рисками Михаил Пышкин, CISM Руководитель направления информационной безопасности ЗАО «КРОК инкорпорейтед» Место анализа рисков в общем плане работ аудит тестирование защищенности обследование анализ риска Базовый принцип управления ИБ: • Нельзя управлять тем, что не определено (формализовано) • Нельзя измерить то, что не поддается управлению • Нельзя улучшить то, что невозможно измерить концепция информационной безопасности проектирование эскизный проект организации технический проект рабочая документация политика информационной безопасности информационной системы организационно-распорядительные документы программа (план) защиты помощь в подготовке и обучении персонала сертификация средств защиты подготовка к аттестация объектов информатизации Основные задачи анализа и управления рисками • Планирование экономически обоснованных мероприятий по обеспечению безопасности • Страхование информационных рисков • Сравнительная оценка эффективности контрмер • Бюджетирование • Оценка возврата инвестиций в безопасность • Обеспечение соответствия требованиям стандартов и действующего законодательства Для чего нужен анализ рисков? В конечном итоге - для формирования адекватных требований к СОИБ. Учитывающих как риски финансовых потерь для коммерческих структур, так и риски нарушения законодательства (в т.ч. уголовного и административного) для государственных структур. Методы оценки рисков • Количественный (денежный ущерб, частота проявления) • Качественный (высокий, средний и низкий или бальная шкала) Пример количественных оценок • финансовые издержки от ущерба для здоровья персонала • финансовые издержки по судебным искам от ущерба, связанного с разглашением персональных данных отдельных лиц • финансовые потери от разглашения, модификации или удаления информации • финансовые потери, связанные с восстановлением ресурсов • ущерб связанный с невозможностью выполнения в срок финансовых обязательств Концепция управления рисками NIST 800-30 Результат работы по анализу и оценке рисков •План мероприятий организационного и инженерно-технического характера по снижению рисков •Меры по восстановлению бизнес-процесса (выявление ключевых уязвимых ресурсов и по возможности создание их резерва) •Меры при наступлении риска - меры уменьшения убытка, распределение обязанностей и ответственности, порядок взаимодействия со СМИ и страховой компанией, расследование причины наступления убытка, оценка убытка, создание перспективных мер по недопущению повтроного возникновения угрозы Стадии создания АСЗИ ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизции. Инструментальные средства Основные достоинства продуктов RiskWatch: • Глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков • Количественная и качественная оценка рисков • Обширная база знаний по угрозам, уязвимостям и контрмерам • Возможности редактирования и совершенствования базы знаний • Настраиваемые отчеты • Простота использования • Поддержка стандарта ISO 17799 • 76 предопределенных классов инцидентов Стратегия создания СОИБ Профиль компании Категорирование ресурсов Анализ угроз Разработка Перечень Построение Разработка Перечень Построениемодели модели поименованного потенциально бизнес-процессов поименованного потенциально бизнес-процессов перечня возможных угроз компании; перечня возможных угроз компании; информационных интересам Определение информационных интересам Определение ресурсов предприятия со основных ресурсовиисистем систем предприятия со основныхбизнесбизнес(элементов стороны процессов; (элементовсистем) систем) стороны процессов; компании, информационной Определение компании, информационной Определение уровня уровня классифицированный системы и внешнего автоматизации классифицированный системы и внешнего автоматизациибизнесбизнеспо степени своей окружения, анализ процессов; по степени своей окружения, анализ процессов; значимости вероятности Анализ значимостидля для вероятности Анализперспектив перспектив поддержки бизнесвозникновения таких автоматизации бизнесподдержки бизнесвозникновения таких автоматизации бизнеспроцессов угроз, расчет процессов; процессовкомпании компании угроз, расчет процессов; финансового ущерба Прогноз изменения финансового ущерба Прогноз изменения от реализации таких количества и качества от реализации таких количества и качества угроз бизнес-процессов угроз бизнес-процессов Классификатор ИИт.д. Информационная Классификатор Модель т.д. Информационная Модельугроз угроз ресурсов модель бизнеса ресурсов Прогноз потерь модель бизнеса Прогноз потерь и систем и систем Ключевые факторы успешного управления ИБ 1. Создать группу безопасности или подразделение 2. Провести оценку безопасности существующей ИТ-инфраструктуры (инвентаризация и общая оценка) 3. Выполнить анализ рисков по данным п.2 4. Создать политику безопасности организации 5. Разработать и внедрить схему эксплуатации и стандарты безопасности 6. Внедрить систему оценок подготовленности и компетентности 7. Приступить к постоянно действующему управлению безопасностью Выводы Работы по анализу рисков помогут: • Произвести количественную оценку текущего уровня безопасности • Задать допустимые уровни рисков • Разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств. • Рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков • Соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения. Стратегия создания систем информационной безопасности на основе решения задач управления рисками Михаил Пышкин, CISM Руководитель направления информационной безопасности ЗАО «КРОК инкорпорейтед» Тел. (095) 974-2274 E-mail: MPyshkin@croc.ru