среда, 19 марта 2014 г.

Практический риск-менеджмент: часть 1 (методики)

Данной заметкой мы открываем серию публикаций, которые будут посвящены рассмотрению различных аспектов оценки и управления рисками информационной безопасности.  

Прежде чем запускать в организации процесс по управлению рисками, необходимо определиться на какой методике он будет основан. Именно поэтому первое сообщение мы решили посвятить обзору существующих методик и стандартов оценки рисков информационной безопасности. 

В общей сложности в мире существует несколько десятков разного рода методик и подходов к оценке рисков ИБ, но часть из них уже устарела и не развивается, часть не обладает актуальными переводами на английский язык с языка страны происхождения, что делает затруднительным их изучение для широкой аудитории. Мы попытались представить здесь именно те методики, которые содержат развернутый подход, достаточно широко известны и продолжают развиваться (либо еще не утратили своей актуальности) и относительно легко доступны. В данной заметке не представлены методические документы российских регуляторов (ФСТЭК/ФСБ), т.к. в свете последних изменений нормативной базы их применимость в контексте законодательства о персональных данных поставлена под вопрос до выхода новых документов.  

Надо отметить, что большинство из имеющихся нормативных и отраслевых требований (PCI DSS, СТО БР, 152-ФЗ, 382-П, ISO 27001 и др.) не предписывают необходимость использования для оценки рисков какой-то конкретной методологии, оставляя выбор на усмотрение специалистов в организации. 

ISO 27005:2011

ISO 27005 - это стандарт из серии 2700x, описывающий подход к организации всего процесса по управлению рисками информационной безопасности.  Представленная в стандарте методика оценки является, если можно так сказать, классической и обладает лишь одним недостатком (присущим большинству стандартов серии ISO) - излишняя академичность и общность формулировок.  Данный стандарт рекомендуется к ознакомлению с целью формирования общего представления об организации процесса по управлению рисками ИБ.  


NIST SP800-30 

Довольно объемный документ (95 стр.), в котором также представлены подходы не только к оценке рисков, но и к организации деятельности по управлению рисками ИБ на различных уровнях (от стратегического до прикладного на уровне отдельных информационных систем).  В отличие от ISO 27005 данный документ содержит более развернутые описания каждого из элементов,  а также рекомендации по применению на практике в различных ситуациях. 


РС БР ИББС-2.2

Методический документ (рекомендации) Банка России из серии стандартов по информационной безопасности СТО БР ИББС.  Документ содержит описание только процесса проведения оценки рисков ИБ, вопросы управления рисками вынесены на уровень основного стандарта СТО БР ИББС-1.0.  Методика может быть интересна в первую очередь кредитным организациям, внедряющим систему обеспечения ИБ по требованиям Банка России.  Представленный в документе подход, по мнению наших экспертов, носит довольно общий/теоретический характер и требует определенной адаптации при реализации на практике.  


OCTAVE

Методика, разработанная институтом Software Engineering Institute (SEI) | Carnegie Mellon University, изначально ориентированная именно на прикладное использование для оценки рисков. С момента появления было выпущено 3 модификации:  OCTAVE, OCTAVE-S (версия для небольших организаций), OCTAVE: Allegro (ускоренный метод проведения оценки).  Документы содержат детальные пояснения по каждому шагу процесса оценки рисков, с примерами рабочих и отчетных документов, формулами расчета и пр.  

Ссылка на страницу с официальными материалами

F.A.I.R (Factor Analysis of Information Risk)

Методика, разработанная экспертом по информационной безопасности по имени Jack J. Jones, с целью формирования более системного и детального подхода к оценке показателей рисков.  Джека не устраивал классический подход в оценке риска, состоящий из сопоставления всего 2х величин: ущерб и вероятность.  В связи с этим в методике FAIR был сформирован ступенчатый процесс получения и сопоставления различных показателей описывающих все составляющие риска (возможности нарушителя, критичность уязвимостей, слабость защиты и пр.). 

К сожалению в настоящий момент есть основания полагать, что методика уже не развивается в связи с тем, что официальный сайт эксперта со всеми материалами по методике уже более года недоступен.

Ссылка на описание методологии (материал из библиотеки ISM SYSTEMS)

RiskIT

Данная методика разработана ассоциацией ISACA с целью формирования целостного подхода к управлению ИТ-рисками. Идея создания данной методики связана с желанием разработчиков закрыть существующий (по их мнению) пробел между высокоуровневыми методами оценки рисков организации и узкоспециализированными методиками оценки рисков информационной безопасности.  Методика доступна для скачивания только после регистрации на сайте ISACA.

Ссылка на страницу с официальными материалами

Harmonized TRA Methodology

Методика, разработанная Канадским ведомством, обеспечивающим информационную безопасность государственных ресурсов.  Самый объемный из всех представленных документов. По сути представляет собой подробную хрестоматию по всем аспектам оценки и управления рисками информационной безопасности. 

пятница, 14 марта 2014 г.

Обновление модуля Incident Manager (выгрузка в ПТК ПСД, API, интеграция с почтой)

Уважаемые пользователи RVision, хотим сообщить вам о выходе очередного обновления для модуля Incident Manager.  Теперь вам становятся доступны следующие опции: 

1) Выгрузка в формате ПТК ПСД.  Теперь сформированный отчет можно перевести в формат программы ПТК ПСД, что позволит исключить ручной набор данных для тех организаций, которые используют ПТК ПСД для предоставления отчетности в Центральный Банк по форме 0403203.


2) Удобная навигация по отчету.  Теперь вы можете прямо в сформированном отчете выбрать инцидент и перейти на соответствующую форму для уточнения данных по инциденту. 


3) Интеграция с почтовой системой.  Используя данную опцию, теперь есть возможность организовать сбор данных о событиях безопасности через специальный почтовый ящик.  Это может быть использовано как для сбора данных от персонала, так и для получения уведомлений от других средств защиты.  При этом для писем, сформированных по определенным правилам, система автоматически будет выставлять данные в соответствующих полях. 


4) Открытый API для интеграции с другими системами. API предоставляет возможность разработчикам программными средствами получать и записывать данные в базу данных Incident Manager.

API определяет набор функций, к которым разработчики могут совершать запросы и получать ответы. Взаимодействие происходит по протоколу HTTP. Преимуществом такого подхода является широкое распространение протокола HTTP, поэтому REST API можно использовать практически из любого языка программирования.