Записи

Приложение 5. Перечень типовых угроз информационной безопасности

image_pdfimage_print

Следующий перечень содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.

Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.

Физические угрозы

  • Физический несанкционированный доступ в помещения организации, в кабинеты и серверные комнаты, к оборудованию, бумажным документам, запоминающим устройствам, носителям информации и т.п.
  • Кража или повреждение компьютерного оборудования и носителей информации инсайдерами.
  • Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками.
  • Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования либо создания возможности обхода средств защиты.
  • Кража бумажных документов инсайдерами.
  • Кража бумажных документов внешними злоумышленниками.

Нецелевое использование компьютерного оборудования и сети Интернет сотрудниками организации

  • Злоупотребление средствами аудита.
  • Злоупотребление средствами обработки информации.
  • Злоупотребление ресурсами или активами.
  • Несанкционированное использование программного обеспечения.
  • Использование сетевых средств несанкционированным образом.
  • Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения.

Угрозы утечки конфиденциальной информации

  • Утечка конфиденциальной информации из сети по каналам связи (e-mail, web, chat/IM и т.п.).
  • Утечка конфиденциальной информации на мобильных устройствах, носителях информации, ноутбуках и т.п.
  • Прослушивание внешних каналов связи злоумышленниками.
  • Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим вне контролируемой зоны, осуществляемого внешними нарушителями путем пассивного прослушивания каналов связи (подключение к каналам связи и перехват информации возможен во многих местах).
  • Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим внутри контролируемой зоны, осуществляемого внутренними нарушителями путем пассивного прослушивания каналов связи с использованием специализированных программных средств («снифферов»).
  • Аутентификационная информация или конфиденциальные данные могут быть модифицированы либо перехвачены вследствие активного или пассивного прослушивания в системе внешних коммуникаций либо во внутренней сети.
  • Перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика.
  • Замена, вставка, удаление или изменение данных пользователей в информационном потоке.
  • Перехват информации, например пользовательских паролей, передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации.
  • Статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т.п.
  • Неумышленное раскрытие конфиденциальной информации сотрудниками компании.
  • Несанкционированное раскрытие информации о местонахождении площадок/зданий/офисов, содержащих критичные или конфиденциальные средства обработки информации.
  • Раскрытие конфиденциальной информации подрядчиками или партнерами компании.

Угрозы утечки информации по техническим каналам

  • Побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации.
  • Наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны предприятия (учреждения), в том числе на цепи заземления и электропитания.
  • Изменения тока потребления, обусловленные обрабатываемыми техническими средствами информативными сигналами
  • Изменения тока потребления, обусловленные обрабатываемыми техническими средствами, информативными сигналами.
  • Радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств.
  • Электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, и модуляцией их информативным сигналом (облучение, «навязывание»).
  • Радиоизлучения или электрические сигналы от внедренных в технические средства и выделенные помещения специальных электронных устройств перехвата информации («закладок»), модулированные информативным сигналом.
  • Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации.
  • Акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации.
  • Электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации.
  • Вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений.
  • Просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств.
  • Акустическая разведка, обеспечивающая добывание информации, содержащейся непосредственно в произносимой либо воспроизводимой речи (акустическая речевая разведка), с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные излучения и электрические сигналы, возникающие за счет акустоэлектрических преобразований в различных технических средствах под воздействием акустических волн.
  • Разведка побочных электромагнитных излучений и наводок электронных средств обработки информации (ПЭМИН), обеспечивающая добывание информации, содержащейся непосредственно в формируемых, передаваемых или отображаемых (телефонных и факсимильных) сообщениях и документах с использованием радиоэлектронной аппаратуры, регистрирующей непреднамеренные прямые электромагнитные излучения и электрические сигналы средств обработки информации, а также вторичные электромагнитные излучения и электрические сигналы, наводимые прямыми электромагнитными излучениями в токопроводящих цепях различных технических устройств и токопроводящих элементах конструкций зданий и сооружений.
  • Телевизионная, фотографическая и визуальная оптическая разведка, обеспечивающая добывание информации, содержащейся в изображениях объектов, получаемых в видимом диапазоне электромагнитных волн с использованием телевизионной аппаратуры.

Угрозы несанкционированного доступа

  • «Маскарад» (присвоение идентификатора пользователя), использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации.
  • Несанкционированный доступ (НСД) к ресурсам ЛВС компании со стороны внутренних злоумышленников.
  • НСД к ресурсам ЛВС компании со стороны внешних злоумышленников.
  • НДС к журналам аудита.
  • НДС к средствам аудита.
  • Внешний нарушитель может выдавать себя за легального пользователя путем подделывания адресов в заголовках сетевых пакетов либо информации канального уровня.
  • Сбои в работе средств защиты могут предоставить возможность реализации попытки НСД для потенциального нарушителя (переход в небезопасное состояние). Кроме того, при восстановлении системы безопасное состояние может быть восстановлено некорректно либо может быть утеряна часть данных аудита.
  • НСД к веб-сайту компании и внешним хостам со стороны внешних злоумышленников.
  • НСД к беспроводной сети компании.
  • НСД к резервным копиях данных.
  • Использование внутренними и внешними нарушителями уязвимых мест в компонентах системы защиты. Нарушители могут случайно или в результате целенаправленного поиска обнаружить уязвимые места в средствах защиты, которыми можно воспользоваться для получения НСД к информации.
  • Использование ошибок проектирования, кодирования либо конфигурации ПО.
  • Анализ и модификация ПО.
  • Использование недекларированных возможностей в ПО, оставленных для отладки либо умышленно внедренных.
  • Внедрение несанкционированного, непроверенного или вредоносного программного кода (вирусов, троянских программ и т.п.).
  • Логические бомбы, пересылаемые по e-mail.

Угрозы недоступности ИТ сервисов и разрушения (утраты) информационных активов

  • Атаки на отказ в обслуживании против внешних хостов компании.
  • Недоступность ИТ сервисов и информации по причине физического или логического сбоя компьютерного или периферийного оборудования (например, электричество, водоснабжение, отопление, вентиляция, кондиционирование и т.п.).
  • Сбой системы кондиционирования воздуха.
  • Запыление.
  • Повреждение носителей информации.
  • Сбой сетевого оборудования.
  • Флуктуации в сети электропитания.
  • Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты.
  • Недоступность внешних ИТ ресурсов и информации по причине технического сбоя в каналах связи.
  • Сбой коммуникационных сервисов.
  • Физическое повреждение сетевого и каналообразующего оборудования внутренними нарушителями.
  • Физическое повреждение линий связи внешними или внутренними нарушителями.
  • Разрушение данных по причине системного сбоя или ошибки ПО, использование непротестированного ПО.
  • Внедрение несанкционированного или непротестированного кода.
  • Сбой в системах безопасности.
  • Внесение случайных или непреднамеренных изменений в программное обеспечение и средства совместного использования данных в вычислительной среде.
  • Неумышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны инсайдеров.
  • Ущерб, наносимый тестами на проникновение.
  • Потеря (уничтожение) записей.
  • Нарушение безопасности по причине несоблюдения операционных процедур.
  • Нарушение безопасности по причине неточных, неполных или неподходящих планов обеспечения непрерывности, недостаточного тестирования или несвоевременного обновления планов.
  • Умышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны инсайдеров.
  • Умышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны внешних злоумышленников.
  • Уничтожение планов обеспечения непрерывности бизнеса.
  • Умышленная порча ПО и резервных копий внутренними нарушителями.
  • Воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности информационного обмена (электромагнитное, через специально внедренные электронные и программные средства («закладки»).

Угрозы нарушения целостности и несанкционированной модификации данных

  • Нарушение целостности данных из-за ошибок пользователей.
  • Нарушение целостности систем и данных, неумышленная модификация системной конфигурации, файлов данных, баз данных, отчетов и т.п. в результате ошибок технического персонала.
  • Ошибка в процессах сопровождения.
  • Ошибка персонала технической поддержки.
  • Изменение конфигурации активного сетевого оборудования.
  • Нарушение целостности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, баз данных, отчетов и т.п. со стороны инсайдеров.
  • Фальсификация записей.
  • Мошенничество.
  • Несанкционированная модификация журналов аудита.
  • Несанкционированная или непреднамеренная модификация.

Угрозы антропогенных и природных катастроф

  • Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба).
  • Бомбардировка.
  • Забастовка.
  • Природные катастрофы (затопление, пожар, ураган, землетрясение и т.п.).
  • Молния.
  • Ураган.

Юридические угрозы

  • Нарушение прав интеллектуальной собственности.
  • Нелегальное использование программного обеспечения.
  • Несанкционированное использование информационных материалов, являющихся интеллектуальной собственностью.
  • Нарушение патентного права.
  • Нарушение (несоответствие требованиям) законодательства и нормативной базы.
  • Нелегальный импорт/экспорт программного обеспечения.
  • Невыполнение контрактных обязательств.

Приложение 4. Базовый опросник для определения степени критичности систем по методу CRAMM

image_pdfimage_print

Этот опросник служит для определения степени критичности обследуемой системы и глубины проводимого обследования. Он заполняется владельцем или пользователем информационной системы, представляющим себе величину ущерба, который может быть нанесен ему, организации, государству или конкретным людям в случае инцидента информационной безопасности.

Для принятия правильного решения относительно глубины проводимого обследования нужны как можно более точные и полные ответы на представленные вопросы с рассмотрением возможных сценариев нарушения информационной безопасности.

Оценка возможного ущерба от нарушений информационной безопасности дается на основе знаний о видах, объеме и степени критичности информации, хранимой и обрабатываемой в системе.

Рассматриваются следующие виды нарушений информационной безопасности:

  • Несанкционированное раскрытие конфиденциальной информации.
  • Нарушение целостности информации (разрушение или несанкционированное изменение).
  • Потеря доступности информации в результате отказа технических средств, приложений и т.п.

Вопросы для оценки возможного ущерба:

  1. Может ли в результате нарушения информационной безопасности быть причинен более-менее значительный ущерб здоровью или личности (моральный, финансовый и т.п.) одного или несколько индивидуумов?
  2. Могут ли ошибки, допущенные при формулировании требований или реализации политики безопасности, нанести более-менее значительный ущерб здоровью или личности (моральный, финансовый и т. п.)  одного или несколько индивидуумов?
  3. Может ли отказ исполнить юридические или договорные обязательства в результате нарушения информационной безопасности повлечь предупреждение, гражданский иск или уголовное расследование или привести к финансовым потерям/штрафу для организации или ответственных лиц?
  4. Может ли нарушение информационной безопасности способствовать совершению преступления или препятствовать расследованию преступления?
  5. Хранятся ли в системе коммерческие или экономические данные, стоимость которых для конкурентов оценивается выше Х руб.?
  6. Может ли компрометация коммерческих или экономических данных привести к финансовым потерям или потери платежеспособности организации или привести к получению выгоды или конкурентных преимуществ для индивидуумов или организаций?
  7. Может ли по причине упущений, допущенных при организации защиты коммерческих или экономических данных, быть нарушена конфиденциальность информации, предоставленной третьими сторонами?
  8. Могут ли прямые или косвенные финансовые потери в результате нарушения информационной безопасности составить более Х руб.?
  9. Может ли снижение работоспособности организации в результате нарушения информационной безопасности прямо или косвенно привести к потерям больше чем Х руб.?
  10. Могут ли проблемы с информационной безопасностью привести к нарушению производственной дисциплины, общественного порядка или вызвать массовые волнения?
  11. Могут ли быть нарушены процессы управления организацией или бизнес-процессы в результате нарушения информационной безопасности?
  12. Может ли нарушение информационной безопасности неблагоприятно повлиять на отношения с акционерами, поставщиками, органами надзора, правительством, другими организациями или общественностью и привести к антирекламе в средствах массовой информации?
  13. Превышает ли стоимость ремонта или замены всех программно-технических средств системы Х руб.?

Приложение 3. Наихудшие сценарии кибератак

image_pdfimage_print

В следующей таблице приведены наихудшие сценарии кибератак на ключевые элементы инфраструктуры США по отраслям промышленности. Для сравнения наряду с наихудшими сценариями приведены также более реалистичные сценарии, сопровождаемые комментариями специалистов из предметных областей.

№ 1. Отрасль: ЭЛЕКТРИЧЕСТВО

Наихудший, но маловероятный сценарий

Атака на системы управления через беспроводные, модемные или интернет-соединения может послужить причиной временного локального отключения электричества.

Более реалистичный сценарий

Физическое разрушение электростанций или линий связи может привести к отключению электричества на несколько дней.

Комментарий специалиста

«Все электрические компании подключены к Интернет тем или иным способом, однако это не означает, что их системы управления доступны из Интернет».

Элен Ванко, представитель Североамериканского совета по безопасности электроэнергетики

№ 2. Отрасль: ТРАНСПОРТ

Наихудший, но маловероятный сценарий

Атакующий может через Интернет подключиться к одной из 500 систем управления железными дорогами и вызвать столкновение электропоездов, направив их на один путь.

Более реалистичный сценарий

Использование на поездах горючего, содержащего опасные вещества, может привести к отравлению окружающей среды.

Комментарий специалиста

«Мы знаем, что имеются возможности для нанесения ущерба, и стараемся ликвидировать все известные дыры в защите наших систем. Рассматриваем ли мы кибертерроризм в качестве более серьезной угрозы, нежели обычный физический терроризм? Однозначно – нет».

Нэнси Вильсон, старший ассистент вице президента Ассоциации американских железных дорог

№ 3. Отрасль: ВОДНЫЕ РЕСУРСЫ

Наихудший, но маловероятный сценарий

Вода может быть заражена путем повышения содержания хлора или других химических веществ в результате осуществления атаки на систему управления через Интернет, по коммутируемому или беспроводному соединению.

Более реалистичный сценарий

Химические или биологические отравляющие вещества могут быть добавлены в воду физически. Однако многочисленные проверки химического состава воды сводят этот риск к минимуму.

Комментарий специалиста

«Большую часть денег, выделенных на обеспечение безопасности водных предприятий, стоило бы потратить на их физическую защиту».

Дайан Ван Де Хей, исполнительный директор Ассоциации столичных водных агентств

№ 4. Отрасль: ЭНЕРГЕТИКА

Наихудший, но маловероятный сценарий

Вывод из строя частей Интернет, используемых системами торговли нефтью, может остановить покупки и продажи и привести к временному отключению источников энергии.

Более реалистичный сценарий

Физическое разрушение нефтеперерабатывающих заводов и трубопроводов может привести к дефициту источников энергии или катастрофе окружающей среды.

Комментарий специалиста

«Мы сильно зависим от Интернет. Любое злоумышленное вмешательство в эту среду может породить проблемы».

Карл Тайанен, председатель Центра сбора и анализа информации энергетики

№ 5. Отрасль: ФИНАНСЫ

Наихудший, но маловероятный сценарий

Сетевой червь может вывести из строя серверы и сети, используемые для осуществления разнообразных финансовых транзакций, что приведет к закрытию финансового рынка.

Более реалистичный сценарий

Кибератака, выводящая из строя компьютерные сети, в сочетании с физическим разрушением оборудования и линий связи может разрушить многие финансовые рынки и сделать их недоступными на значительно большой период.

Комментарий специалиста

«У нас все так взаимосвязано – платежные системы, клиринговые системы и прочие финансовые системы, что сбой в одной системе может оказать влияние на все остальные».

Сташ Джароки, председатель Финансовых служб ISAC

№ 6. Отрасль: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Наихудший, но маловероятный сценарий

Уязвимость в программном обеспечении может быть использована для получения доступа к критичным системам, которые могут использоваться для проведения атак на другие элементы информационной инфраструктуры или для создания широкомасштабных проблем со связью в Интернет.

Более реалистичный сценарий

Уязвимость в программном обеспечении может быть использована для получения доступа к критичным системам, которые могут использоваться для проведения атак на другие элементы информационной инфраструктуры.

Комментарий специалиста

«Сказать, что вы не видите возможности для осуществления разрушительной кибератаки, означало бы обманывать себя и не позволять нации обеспечить свою защиту».

Грег Эйкерс, президент IT-ISAC

Приложение 2. Антология кибератак

image_pdfimage_print

В следующей таблице представлена антология наиболее значимых кибератак на информационную инфраструктуру США в их исторической последовательности. Не все эти атаки носили предумышленный характер, и ни одна из них не привела и не могла привести к массовым разрушениям, катастрофам или гибели людей. Однако все эти события принесли массу неприятностей и финансовых проблем очень большому количеству людей и компаний.

1988Роберт Моррис запустил в Интернет первого сетевого червя, поразившего примерно 3–4 тысячи из 60000 тысяч Интернет-серверов.
1989Хакерская группа «The Legion of Doom» получила контроль над телефонной сетью BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов и маскировку под технический персонал станции.
1990Отказ маршрутизатора AT&T вызвал глобальный сбой сети на большой территории, длившийся 9 часов. Многие думали, что это дело рук хакера.
1994Хакер, известный под кличкой Merc, по модему получил доступ к серверу проекта «Солт Рива» и взломал компьютеры, при помощи которых осуществлялся мониторинг водных каналов в области Фоеникса.
1994Российский хакер Владимир Левин взломал систему управления денежными операциями Ситибанка и перекачал 10 млн. долл. на свои собственные счета. Украденные счета были без криптографической защиты. Все похищенное, за исключением 400 тысяч долларов, было восстановлено, а в 1995 году Левин был арестован и в 1997 году выдан США. В 1998 году он был признан виновным в компьютерном мошенничестве. Судья федерального суда приговорил Левина к трем годам заключения и штрафу в 240 тысяч долларов, выплачиваемым Ситибанку.
1995Это было годом, с которого Митник начал отбывать пятилетний срок тюремного заключения после двух с половиной лет хакерства, в течение которого он взламывал компьютерные системы и крал файлы у ряда корпораций, включая Motorola и Sun Microsystems. Он был арестован после взлома очередной системы одного компьютерного исследователя, который помог ФБР арестовать Митника.
1997Технический работник небольшого Интернет-провайдера Virginia внес в конфигурацию одного из маршрутизаторов неправильные данные. Это привело к отказу большого количества критичных маршрутизаторов сети Интернет.Подросток выводит из строя основной компьютер телефонной компании, обслуживающей маленький аэропорт в городе Ворсестер, из-за чего диспетчерская вышка не смогла выполнять свои функции в течение 6 часов. Однако самолеты получали информацию по радио и из других аэропортов, находившихся поблизости.
2000Крупнейшая атака на отказ в обслуживании поразила серверы Yahoo, eBay, CNN, ZDNet, которые оставались недоступными от 2 до 3 часов.Вирус LoveLetter поразил сети множества компаний по всему миру, нанеся огромный совокупный финансовый ущерб.
2001Вирус Nimda поразил Интернет, нанеся особо ощутимый ущерб финансовым компаниям.
2002Тринадцать корневых DNS-серверов Интернет подверглись распределенной атаке на отказ в обслуживании (DDoS). Только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре сети Интернет, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети.
2004Компьютерный червь Witty Worm (Остроумный червь) атаковал брандмауэр и другие продукты безопасности компании ISS. Согласно Брюсу Шнеиру, старшему менеджеру по технологиям компании «Бритиш Телеком», после объявления об уязвимости распространение червя пошло очень быстро, заражая 12 тыс. компьютеров за 45 минут. По сравнению с предыдущими червями этот червь также инфицировал меньшие и более устойчивые к заражению хосты.
2005Титановый дождь (Titan Rain) – кодовое название, данное правительством США ряду хакерских инцидентов посредством китайских веб-сайтов, начавшихся в 2003. Целями служили вычислительные сети в Министерстве обороны и других правительственных агентств США.
2005ChoicePoint, один из крупнейших накопителей данных и реселлеров в США, объявил, что мошенники смогли получить доступ к базе данных, содержащей информацию о 145 тыс. потребителей. Компания была не в состоянии полностью идентифицировать частные лица и организации, купившие эту информацию, включая личные дела и номера социального страхования.
2006Данные о 26,5 млн. ветеранов и членов действующего резерва национальной гвардии и резервных войск США были украдены у служащего агентства, который отнес свой ноутбук домой. Незашифрованные данные, которые включали номера социального страхования и даты рождения ветеранов и их супруг, были скомпрометированы.
2007Интернет поразил троян Storm Worm (Штормовой червь), который содержит во вложении исполняемый файл. Когда получатель электронной почты открывает вложение, его компьютер становится частью бот-сети (сети зараженных компьютеров), которая используется для распространения вирусов и спама.
2007Розничный гигант (чья торговая сеть включает TJ Maxx, Home Goods и Marshalls) изначально объявил, что данные о 46 млн. его клиентов были рассекречены посредством атаки через беспроводные сети компании. Хакеры были способны проникнуть в сеть и получить доступ к данным, передаваемым между переносными проверяющими цену наладонными устройствами, компьютерами магазина и кассовыми аппаратами. (Первичные атаки, возможно, имели место уже 2005 году, а также в период с мая 2006 года по январь 2007 года.) В октябре 2007 года количество скомпрометированных данных удвоилось. TJX критиковали за сбор избыточной информации, ее слишком долгое хранение и за то, что он был не в состоянии улучшить безопасность своей беспроводной сети, перейдя от WEP-протокола шифрования (старый стандарт) к WPA (который намного более надежен). TJX также подвергся нападкам за то, что долго выжидал перед уведомлением клиентов о нарушениях, а также за несоответствие стандартам безопасности данных индустрии платежных карт (PCI DSS).

Приложение 1. Взаимосвязь между стандартами ISO/IEC 27001:2005, BS 7799-3:2006 и ISO/IEC 27005:2008

image_pdfimage_print

В таблице выделены курсивом те разделы стандартов, которые являются уникальными и взаимодополняющими.

Разделы из ISO/IEC 27001:2005Разделы из BS 7799-3:2006Разделы из ISO/IEC 27005:2008
 0. Введение0.1. Общие положения0.2. Процессный подходВведение5. Исходные положения6. Обзор процесса управления рисками
1. Область действия1. Область действия1. Содержание
2. Нормативные ссылки2. Нормативные ссылки2. Нормативные ссылки
3. Термины и определения3. Термины и определения3. Термины и определения
 4. Структура настоящего Международного стандарта
4. Система управления информационной безопасностью
4.1. Общие требования
4.2. Создание и управление СУИБ
 4. Риски информационной безопасности в контексте организации 7. Определение контекста
 4.1. Область действия и политика системы управления информационной безопасностью7.1. Общие соображения
 4.1.1. Деловая аргументация
 7.2. Основные критерии
 4.1.2. Область действия СУИБ7.3. Область и границы
 4.1.3. Политика СУИБ7.4. Организационная структура управления рисками информационной безопасности
 4.2. Подход/философия риска
4.2.1 Создание СУИБ5. Оценка рисков 8. Оценка рисков информационной безопасности
 5.1. Процесс оценки рисков8.1. Общее описание оценки рисков информационной безопасности
 5.2. Идентификация ресурсов5.3. Идентификация требований законодательства и бизнеса5.4. Определение ценности активов5.5. Идентификация и оценка угроз и уязвимостей5.6. Оценка угроз и уязвимостей5.7. Вычисление и оценивание рисков8.2. Анализ рисков8.2.1. Идентификация рисков8.2.2. Расчет рисков
 5.7 Вычисление и оценивание рисков8.3. Оценивание рисков
 5.8. Эксперт по оценке рисков
 6. Принятие решений по обработке и управлению рисками9. Обработка рисков информационной безопасности
 6.1. Общие положения6.2. Принятие решения9.1. Общее описание обработки рисков
 6.3. Уменьшение риска9.2. Уменьшение риска
 6.4. Осознанное и объективное принятие риска9.3. Сохранение риска
 6.5. Передача риска9.4. Избежание риска
 6.6. Избежание риска9.5. Передача риска
 6.4. Осознанное и объективное принятие риска10. Принятие рисков информационной безопасности
 6.7. Остаточный риск10. Принятие рисков информационной безопасности
 6.8. План обработки рисков10. Принятие рисков информационной безопасности
4.2.2. Внедрение и эксплуатация СУИБ6. Принятие решений по обработке и управлению рисками 
4.2.3. Мониторинг и анализ СУИБ7. Непрерывная деятельность по управлению рисками12. Мониторинг и пересмотр рисков информационной безопасности
 7.1. Непрерывное управление рисками безопасности
 7.2. Сопровождение и мониторинг
 7.4. Пересмотр и переоценка риска12.1. Мониторинг и пересмотр факторов риска
4.2.4. Сопровождение и  совершенствование СУИБ7. Непрерывная деятельность по управлению рисками12.2. Мониторинг, пересмотр и совершенствование управления рисками
4.3. Требования к документации
4.3.1. Общие положения
4.3.2. Управление документами7.6. Механизмы контроля документации
4.3.3. Управление записями
5. Ответственность руководства
5.1. Приверженность руководства
5.2. Управление ресурсами
5.2.1. Предоставление ресурсов
5.2.2. Обучение, осведомленность и компетенция
6. Внутренние аудиты СУИБ7.5. Аудиты
7. Анализ СУИБ руководством7.3. Анализ со стороны руководства
7.1. Общие положения
7.2. Входные данные для анализа
7.3. Выходные данные анализа
8. Совершенствование СУИБ7. Непрерывная деятельность по управлению рисками12.1. Мониторинг и пересмотр факторов риска
8.1. Непрерывное совершенствование
8.2. Корректирующие меры7.7. Корректирующие и превентивные меры
8.3. Превентивные меры7.7. Корректирующие и превентивные меры
 7.8. Отчеты и коммуникации7.8.1. План коммуникаций7.8.2. Обратная связь и вовлеченность11. Коммуникация рисков информационной безопасности
 7.9. Менеджер рисков безопасности
 Приложение А. Определение областидействия и границ процесса управления рисками информационной безопасности
 Приложение А. Примеры соответствия требованиям законодательства и нормативной базы
 Приложение В. Риски информационной безопасности и риски организации
 Приложение С. Примеры ресурсов, угроз, уязвимостей и методов оценки рисковПриложение В. Идентификация и оценка активов и оценка воздействияПриложение С. Примеры типичных угрозПриложение D. Уязвимости и методы их оценки
 Приложение D. Инструменты управления рисками 
  Приложение E. Подходы к оценке рисков информационной безопасности
  Приложение F. Ограничения, оказывающие влияние на уменьшение рисков

Приложение 0. Термины и определения в области управления информационными рисками

image_pdfimage_print

В данной книге используются термины и определения, приведенные в русских редакциях стандартов ISO 27001, ISO 27002, ISO 27005 и BS 7799-3, а также перечисленные ниже.

Актив (ресурс)– все, что имеет ценность для организации [ISO/IEC 13335-1:2004].

Конфиденциальность– свойство, заключающееся в недоступности информации или нераскрытии ее содержания для неавторизованных лиц, субъектов или процессов [ISO/IEC 13335-1:2004].

Целостность– свойство, заключающееся в обеспечении точности и полноты ресурсов [ISO/IEC 13335-1:2004].

Доступность– свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется [ISO/IEC 13335-1:2004].

Информационная безопасность– обеспечение конфиденциальности, целостности и доступности информации; дополнительно также могут подразумеваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность [ISO/IEC 17799:2005].

Событие информационной безопасности– идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности [ISO/IECTR18044:2004].

Инцидент информационной безопасности– одно или серия нежелательных или неожиданных событий информационной безопасности, имеющих значительную вероятность нарушения бизнес-операций или представляющих угрозу для информационной безопасности [ISO/IECTR18044:2004].

Угроза– потенциальная причина инцидента, который может нанести ущерб системе или организации [ISO/IEC 13335-1:2004].

Уязвимость– слабость ресурса или группы ресурсов, которая может использоваться при реализации одной или более угроз [ISO/IEC 13335-1:2004].

Воздействие– неблагоприятное изменение уровня достижения целей бизнеса.

Риск– комбинация вероятности события и его последствий[ISO Guide 73:2002].

Риск информационной безопасности– потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.

ПРИМЕЧАНИЕ. Определяется в терминах комбинации вероятности события и его последствий.

Остаточный риск– риск, остающийся после обработки риска[ISO Guide 73:2002].

Идентификация риска– процесс, направленный на нахождение, перечисление и описание элементов риска [ISO/IECGuide73:2002].

Анализ риска– систематическое использование информации для идентификации источников и оценки величины риска[ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Анализ рисков служит основой для оценивания рисков, обработки рисков и принятия рисков.

ПРИМЕЧАНИЕ 2. Информация может включать в себя исторические данные, теоретический анализ, компетентные мнения и интересы владельцев бизнеса.

Расчет риска– процесс присвоения значений вероятности и последствиям риска [ISO/IECGuide73:2002].

ПРИМЕЧАНИЕ В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihood» вместо математического термина «probability».

Оценивание риска– процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска [ISO Guide 73:2002].

Оценка риска– общий процесс анализа и оценивания риска [ISO Guide 73:2002].

Обработка риска– процесс выбора и реализации мер по модификации риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Термин «обработка риска» иногда используется для обозначения самих мер.

ПРИМЕЧАНИЕ 2. Меры по обработке риска могут включать в себя избежание, уменьшение, передачу или сохранение риска.

ПРИМЕЧАНИЕ 3. В BS 7799-3 термин «механизм контроля» используется в качестве синонима для  термина «мера».

Избежание риска – решение не принимать участия в ситуации, сопряженной с риском, или действие, направленное на выход из нее [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Решение может быть принято на основании результатов оценивания риска.

Уменьшение риска – меры, принимаемые для снижения вероятности или негативных последствий, связанных с риском, или того и другого [ISO/IECGuide73:2002].

ПРИМЕЧАНИЕ. В ISO 27005 при описании расчета рисков для обозначения термина «вероятность» в английской версии используется термин «likelihoo»” вместо математического термина «probability».

Сохранение (принятие) риска– принятие бремени убытка или извлекаемой выгоды от конкретного риска [ISO/IECGuide73:2002].

ПРИМЕЧАНИЕ. В контексте рисков информационной безопасности при описании сохранения риска учитываются только негативные последствия (убытки).

Передача риска– разделение с другой стороной бремени убытка или извлекаемой выгоды, связанной с риском [ISO/IECGuide73:2002].

ПРИМЕЧАНИЕ 1. В контексте рисков информационной безопасности при описании передачи риска учитываются только негативные последствия (убытки).

ПРИМЕЧАНИЕ 2. Требования законодательства или нормативной базы могут ограничивать, запрещать или предписывать передачу определенного риска.

ПРИМЕЧАНИЕ 3. Передача риска может осуществляться путем заключения договоров страхования или других договоров.

ПРИМЕЧАНИЕ 4. Передача риска может порождать другие риски или модифицировать существующий риск.

ПРИМЕЧАНИЕ 5. Перемещение источника не является передачей риска.

Контроль риска– действия, реализующие решения по управлению риском [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Контроль риска может включать в себя мониторинг, повторное оценивание и исполнение принятых решений.

Критерии риска– показатели, при помощи которых оценивается значимость риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Критерии риска могут включать в себя связанные с ним расходы и извлекаемые выгоды, требования законодательства и нормативной базы, социально-экономические аспекты и аспекты, связанные с окружающей средой, интересы владельцев бизнеса, приоритеты и другие входные данные для оценки.

Управление риском– скоординированные действия по управлению и контролю организации в отношении риска [ISO Guide 73:2002].

ПРИМЕЧАНИЕ. Управление риском обычно включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Система управления рисками– набор элементов системы управления организацией, предназначенных для управления рисками [ISO Guide 73:2002].

ПРИМЕЧАНИЕ 1. Элементы системы управления могут включать в себя стратегическое планирование, принятие решений и другие процессы, имеющие дело с рисками.

ПРИМЕЧАНИЕ 2. Культура организации отражается в ее системе управления рисками.

Коммуникация риска– обмен или совместное использование информации о риске между лицом, принимающим решения, и другими заинтересованными сторонами [ISO/IECGuide73:2002].

ПРИМЕЧАНИЕ: Информация может относиться к существованию, природе, форме, вероятности, опасности, приемлемости, обработке или другим аспектам риска.

Система управления информационной безопасностью (СУИБ)– та часть общей системы управления, основанной на оценке бизнес рисков, которая  предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.

ПРИМЕЧАНИЕ: Система управления включает в себя организационную структуру, политики, действия по планированию, распределение ответственности, практики, процедуры, процессы и ресурсы.

Декларация о применимости– документированное заявление, описывающее цели и механизмы контроля, которые имеют отношение и применимы к СУИБ организации.

ПРИМЕЧАНИЕ: Цели и механизмы контроля базируются на результатах и выводах, полученных в процессе оценки рисков и обработки рисков, законодательных требованиях и требованиях нормативной базы, договорных обязательствах и бизнес-требованиях организации к информационной безопасности.

Приложения

image_pdfimage_print

Приложение № 0. Термины и определения в области управления информационными рисками

Приложение № 1. Взаимосвязь между стандартами ISO/IEC 27001:2005, BS 7799-3:2006 и ISO/IEC 27005:2008

Приложение № 2. Антология кибератак

Приложение № 3.Наихудшие сценарии кибератак

Приложение № 4. Базовый опросник для определения критичности систем по методу CRAMM

Приложение № 5. Примерный перечень типовых угроз информационной безопасности

Приложение № 6. Примерный перечень типовых уязвимостей информационной безопасности

Приложение № 7. Оценка угроз по методу CRAMM

Приложение № 8.Оценка уязвимостей по методу CRAMM

Приложение № 9. Законодательные и нормативные акты Российской Федерации в области защиты информации

Приложение № 10.Программные продукты для управления рисками информационной безопасности

Приложение № 11. Комплект типовых документов для управления рисками информационной безопасности

Приложение № 12. Русские редакции международных стандартов по информационной безопасности

Приложение № 13. GlobalTrust – искусство управления информационной безопасностью

Приложение № 14. Услуги GlobalTrust в области информационной безопасности

Приложение № 15. Мастер-класс по управлению рисками информационной безопасности

Приложение № 16.  Практикум по анализу рисков информационной безопасности

Полезные ссылки

image_pdfimage_print
  1. http://www.ISO27000.ru – авторитетный информационно-аналитический ресурс и виртуальная площадка для общения менеджеров и экспертов по информационной безопасности, а также всех, кто интересуется вопросами защиты информации, компьютерной и сетевой безопасности, современным информационным законодательством и стандартами, риск-менеджментом, аудитом безопасности и смежными технологиями.
  2. http://www.iso27000.ru/forum – форум сообщества менеджеров информационной безопасности на портале ISO27000.ru.
  3. http://www.gtrust.ru – интернет-магазин GlobalTrust.ru, единый источник для приобретения программного обеспечения, книг, руководств, типовых документов, стандартов и инструментальных комплектов для управления рисками.
  4. http://www.globaltrust.ru – корпоративный сайт компании GlobalTrust Solutions, содержит информацию о компании, а также описание разрабатываемых GlobalTrust продуктов и услуг по управлению рисками информационной безопасности.
  5. BSI/IT Baseline Protection Manual, немецкий стандарт в области ИТ безопасности. Содержит наиболее полное описание угроз и уязвимостей информационной безопасности. Доступен на английском языке.
  6. http://www.bsi-global.com – Британский институт стандартов.
  7. http://www.sans.org – Институт SANS (System Administration, Networking, and Security Institute).
  8. http://www.cert.org – CERT (Координационный центр реагирования на компьютерные инциденты).
  9. http://www.cisecurity.org – Центр безопасности Интернет, некоммерческая организация, в состав которой входят ведущие разработчики стандартов и средств защиты информации.
  10. http://csrc.nist.gov – подразделение Национального института стандартов и технологий США (NIST), занимающееся вопросами компьютерной безопасности.
  11. http://www.iso.org – Международная организация по стандартизации (ISO).
  12. IT Compliance Institute (Первый независимый проект по поддержке соответствия в области ИТ, в рамках которого осуществляется анализ существующих стандартов, законодательных и нормативных актов, разрабатываются методы и инструменты для обеспечения соответствия в области ИТ).

Библиография

image_pdfimage_print
  1. Астахов А. Как управлять рисками информационной безопасности? – ISO27000.ru, 2006, http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/kak-upravlyat-riskami-informacionnoi-bezopasnosti/.
  2. Астахов А. Особенности обеспечения информационной безопасности промышленных систем. – ISO27000.ru, 2006, http://www.iso27000.ru/chitalnyi-zai/kiberugrozy-i-kiberterrorizm/osobennosti-obespecheniya-informacionnoi-bezopasnosti-promyshlennyh-sistem/.
  3. Астахов А. Реалии и мифы кибертерроризма. – ISO27000.ru, 2003, http://www.iso27000.ru/chitalnyi-zai/kiberugrozy-i-kiberterrorizm/realii-i-mify-kiberterrorizma.
  4.  Астахов А. Анализ защищенности корпоративных автоматизированных систем. – ISO27000.ru, 2002, http://iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/analiz-zaschischennosti-korporativnyh-avtomatizirovannyh-sistem/.
  5. Астахов А. Аудит безопасности информационных систем. – ISO27000.ru, 2002, http://iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnosti-informacionnyh-sistem.
  6. Астахов А. Что мешает развитию ИБ в России? – ISO27000.ru, 2006, http://iso27000.ru/chitalnyi-zai/mneniya/chto-meshaet-razvitiyu-ib-v-rossii/.
  7. Астахов А. История стандарта BS 7799. – ISO27000.ru, 2006, http://iso27000.ru/chitalnyi-zai/standarty-informacionnoi-bezopasnosti/istoriya-standarta-bs-7799.
  8. Кэтрин Уолш. Хаки, фрики и черви: события, которые изменили безопасность Интернет. – ISO27000.ru, http://www.iso27000.ru/chitalnyi-zai/kiberugrozy-i-kiberterrorizm/haki-friki-i-chervi-sobytiya-kotorye-izmenili-bezopasnost-internet.
  9. ISO/IEC27001:2005.ru. Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования.
  10. BS 7799-3:2006.ru. Системы управления информационной безопасностью – Руководство по управлению рисками информационной безопасности.
  11. BSISO/IEC27005:2008.ru. Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности.
  12. BS25999-1:2006.ru. Управление непрерывностью бизнеса. Часть 1: Практические правила.
  13. Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007.
  14. Статья «Что такое CRAMM (What is CRAMM?)» – gammassl.co.uk.

Типичные ошибки при управлении рисками

image_pdfimage_print

Типичные ошибки в управлении рисками ИБ, которые автору приходилось наблюдать, обычно, сводятся к следующему:

  1. Для оценки рисков за большие деньги приобретается какой-либо программный инструментарий, а потом выясняется, что он не подходит, не соответствует требованиям стандартов, не интегрируется в систему управления бизнес-рисками организации (ERM), не удобен в использовании, не позволяет количественно оценить риски, не позволяет стоить приемлемые модели активов, угроз, нарушителей и уязвимостей, не учитывает силу имеющихся механизмов контроля, не позволяет создавать нужных отчетов, не предоставляет возможностей представителям бизнеса классифицировать информационные активы и оценивать их ценность, вместо информационных активов почему-то оперирует любыми другими активами (помещения, оборудование, кадры, процессы, рабочие задачи), ни с чем не совместим и использует закрытые интерфейсы и т.п.
  2. Проводится слишком высокоуровневая оценка рисков, не предоставляющая достаточного объема достоверной информации для принятия управленческих решений по вопросам ИБ. Вместо отдельных бизнес-процессов рассматриваются лишь общие направления деятельности (продажи, производство, бухгалтерский учет и т.п.), вместо информационных активов, рассматриваются лишь классы активов (например, проектная документация, бухгалтерская документация, клиентская информация и т.п.), вместо конкретных угроз безопасности рассматриваются классы угроз (например, НСД к информации, атаки на отказ в обслуживании, выход их строя технических средств и т.п.). На выходе получается примерно следующее: «в случае НСД к клиентской информации компания может понести значительный ущерб в результате потери части клиентов». А кто-то в этом сомневался? На выходе такой оценки рисков получается информация, которая итак всем была известна еще до начала данного процесса. Делается вывод о том, что оценка рисков лишена смысла, т.к. не дает никакой полезной информации.
  3. Проводится слишком детализированная оценка рисков, которая бросается на полпути, из-за невозможности ее практической реализации. Например, делается попытка оценить риски для каждой порции информации (файла, записи в БД, бумажного документа) или рассматривается сотня различных сценариев реализации НСД к файловому серверу с использованием различных уязвимостей TCP/IP стека. Бессмысленность подобных стараний довольно скоро становится очевидной для всех участников процесса и делается вывод о том, что оценка рисков вообще слишком сложна и не имеет практического смысла.
  4. Оцениваются риски не информационных активов, а любых других активов, прямо или косвенно связанных с информационными либо являющиеся комбинацией информационных активов и прочих активов (например, люди, помещения, оборудование, приложения, задачи, процессы, рабочие места, системы и т.п.). В результате весь анализ уходит немного в сторону от ИБ в вопросы делопроизводства, управления кадрами, физическую и экономическую безопасность, организацию бизнес-процессов и куда угодно еще. Вместо информационной безопасности получается системная безопасность, процессная безопасность, физическая безопасность, кадровая безопасность и т.д. Риски ИБ перемешиваются с остальными бизнес-рисками и вопрос становится слишком сложными, а выводы делаются те же, что и в предыдущих случаях — о практической нецелесообразности применения риск-ориентированного подхода.
  5. Бизнес-подразделения не вовлекаются в процесс оценки рисков, либо к ним обращаются с бессмысленными вопросами о том, сколько стоит их информация (вместо того, чтобы обсуждать с ними конкретные понятные им бизнес-ситуации, возникающие как следствие инцидентов ИБ). Поскольку дать разумный ответ на подобные вопросы невозможно, на этом участие представителей бизнеса в оценке рисков заканчивается и остается только раздражение. Далее делается вывод о том, что стоимость информационного актива объективно оценить нельзя, а значит нельзя оценить соответствующие риски.
  6. Оценкой рисков занимается исключительно служба ИБ без привлечения представителей бизнес-подразделений (которые не могут сказать сколько стоит их информация). Все риски ИБ при этом завышаются, что вызывает иронию, либо негодование у руководства компании, которое чувствует, что его пытаются развести на деньги.
  7. Используется слишком упрощенный подход к оценке рисков, например, учитывается только вероятность угрозы и размер ущерба (причем только качественные оценки), при этом уязвимости и механизмы контроля отдельно не рассматриваются и не учитываются их взаимосвязи и относительная сила.
  8. Процессы оценки и обработки рисков ИБ оторваны от реальных процессов принятия управленческих решений руководством организации, не влияют на внутренние политики, не учитываются при бюджетировании и т.п.