Нынешний год оказался революционным для российской организационной базы информационной безопасности — были приняты стандарты ГОСТ ИСО/МЭК 17799 и ГОСТ ИСО/МЭК 27001, являющиеся техническими переводами версий международных стандартов серии ISO 27000, в основе которых лежит авторитетный британский стандарт BS 7799, включающий в себя три составные части:
-
BS 7799-1:2005. Information security management. Code of practice for information security management (Практические правила управления информационной безопасностью);
-
BS 7799-2:2005. Information security management. Specification for information security management systems (Требования к системам управления информационной безопасностью);
-
BS 7799-3:2006. Information security management systems. Guidelines for information security risk management (Руководство по управлению рисками информационной безопасности).
Первые две части получили международное признание и представляют собой практические рекомендации по построению системы ИБ и оценочные требования (главным образом сертификационные) к системам управления ИБ (СУИБ). Третья часть британского стандарта ожидает получения международного статуса и посвящена анализу, оценке и управлению рисками. К сожалению, несмотря на очевидную методологическую важность этой части стандарта BS 7799, в нашей стране она не получила должного внимания (таблица 1).
Таблица 1. Взаимосвязь стандартов
Необходимость BS 7799-3
Острая необходимость в стандарте, регламентирующем вопросы оценки и управления рисками ИБ, прямо вытекает из введенного с 2007 г. в нашей стране ГОСТ ИСО/МЭК 27001-2005. Согласно российскому стандарту, СУИБ трактуется как часть общей системы управления, основанной на оценке бизнес-рисков и предназначенной для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ. В таблице 2 показаны разделы ГОСТ 27001, в прямой постановке затрагивающие вопросы управления рисками.
Таблица 2. Разделы ГОСТ 27001, касающиеся анализа, оценки и управления рисками
Внедрение стандартов ГОСТ 17799 и ГОСТ 27001 в практику подразумевает наличие в организации как минимум двух документов: политики ИБ и методологии оценки рисков ИБ, однако для последнего документа в российской нормативной базе не отражены вопросы разработки, форма и содержание.
Место и роль стандарта BS 7799-3
Стандарт BS 7799-3:2006 гармонизирован с ISO 17799:2005 (ныне ISO 27002:2007) относительно примеров по компонентам системы защиты и с ISO серии 9000 по требованиям к документам. Стандарт допускает использование любых стратегий организации оценки рисков, в частности изложенных в ISO 13335-3 (Методы менеджмента безопасности информационных технологий). Сравнительный анализ BS 7799-3 с популярным американским стандартом NIST SP 800-30:2002 (Руководство по управлению рисками в системах информационных технологий) показал идентичность по сути изложенных в них подходов к анализу, оценке и управлению рисками. Общая взаимосвязь стандартов в российской нормативной среде проиллюстрирована на рисунке 1.
Недостаток отечественной нормативной базы ИБ состоит в отсутствии российского ГОСТа по рискам. Иначе говоря, отечественные организации по стандартизации перевели только две части BS 7799 из трех — это ГОСТ 17799 и ГОСТ 27001. Таким образом, имеется ГОСТ 27001, в котором заданы требования к СУИБ, и ГОСТ 17799, где имеются примеры по среде и системам ИБ, но нет руководства по оценке и управлению рискам, что и показано на рис. 1.
По линии международного комитета ПК 27 СТК 1 ИСО/МЭК идет активное обсуждение организационных стандартов ИБ в рамках серии ISO/IEC 27000 ISMS и уже ратифицированы три стандарта. В таблице 3 представлен список задуманных и принятых стандартов 27000-й серии.
Таблица 3. Стандарты серии ISO 27000
Основное содержание BS 7799-3
Стандарт BS 7799-3 содержит вводную часть, разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков. Стандарт придерживается самого общего понятия риска, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском (risk management) сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации.
В соответствии с подходом, принятым в серии 27000, непрерывный процесс управления спроецирован на четыре фазы менеджмента: «планирование — реализация — проверка — совершенствование». В контексте стандарта эти четыре фазы (рис. 2) выглядят следующим образом:
1) оценка рисков, включающая анализ и вычисление рисков;
2) обработка риска — выбор и реализация мер и средств безопасности;
3) контроль рисков путем мониторинга, тестирования, анализа механизмов безопасности, а также аудита системы;
4) оптимизация рисков путем модификации и обновления правил, мер и средств безопасности.
Оценка рисков
Оценка рисков (risk assessment) — первый этап в управлении системы информационной безопасности, предназначенный для идентификации источников рисков и определения его уровня значимости. Оценку разбивают на анализ рисков и оценивание рисков.
В рамках анализа проводится инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договорные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. В стоимость входят все потенциальные затраты, связанные с возможной компрометацией защищаемых ресурсов. Следующим этапом анализа рисков является составление перечня значимых угроз и уязвимостей для каждого ресурса, а затем вычисляется вероятность их реализации. Стандарт допускает двоякое толкование понятия угрозы ИБ: как условие реализации уязвимости ресурса (в этом случае уязвимости и угрозы идентифицируются отдельно) и как общее потенциальное событие, способное привести к компрометации ресурса (когда наличие возможности реализации уязвимости и есть угроза). Не возбраняется разделение угроз ИБ на угрозы целостности, доступности и конфиденциальности.
Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой. Вычисление риска состоит в умножении вероятности компрометации ресурса на значение величины ущерба, связанного с его компрометацией. Сопоставление риска выполняется с целью упрощения процесса использования на практике точечных значений риска.
BS 7799-3 допускает использование как количественных, так и качественных методов оценки рисков, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ. Приложение к стандарту содержит единственный пример, который условно можно отнести к качественному методу оценки. Данный пример использует трех- и пятибалльные оценочные шкалы:
-
Оцениваются уровни стоимости идентифицированного ресурса по пятибалльной шкале: «незначительный», «низкий», «средний», «высокий», «очень высокий».
-
Оцениваются уровни вероятности угрозы по трехбалльной шкале: «низкий», «средний», «высокий».
-
Оцениваются уровни вероятности уязвимости: «низкий», «средний», «высокий».
-
По заданной таблице рассчитываются уровни риска.
-
Проводится ранжирование инцидентов по уровню риска.
Обработка риска
После того как риск оценен, должно быть принято решение относительно его обработки (risk treatment) — точнее, выбора и реализации мер и средств по минимизации риска. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровождение механизмов безопасности, политика руководства, простота реализации, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:
-
Уменьшение риска. Риск считается неприемлемым, и для его уменьшения выбираются и реализуются соответствующие меры и средства безопасности.
-
Передача риска. Риск считается неприемлемым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации.
-
Принятие риска. Риск в конкретном случае считается осознанно допустимым — организация должна смириться с возможными последствиями. Обычно это означает, что стоимость контрмер значительно превосходит финансовые потери в случае реализации угрозы либо организация не может найти подходящие меры и средства безопасности.
-
Отказ от риска. Отказ от бизнес-процессов организации, являющихся причиной риска. Например, отказ от электронных платежей по Сети.
В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа отработки риска. Печально, но в стандарте BS7799:3 ничего не сказано об эффективности мер, средств и сервисов, которые могут быть использованы при обработке риска.
Управление рисками
Раздел 7 BS 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает следующие две фазы менеджмента системы: контроль риска и оптимизация риска.
Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ.
Фаза оптимизации риска содержит переоценку риска и, соответственно, пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности.
Процедуры контроля рисков и оптимизации — включая использование политик, мер и средств безопасности, идентификацию ресурсов, угроз и уязвимостей, документирование — гармонизированы с ISO 27001 и 27002.
Принцип осведомленности
Отличительной чертой стандарта является принцип осведомленности о процессах оценки, отработки, контроля и оптимизации рисков в организации. На каждом этапе управления рисками предусмотрено информирование всех участников процесса управления безопасностью, а также фиксирование событий СУИБ.
Наряду с планом обеспечения непрерывности бизнеса, к основным документам по управлению рисками в британском стандарте отнесены: описание методологии оценки рисков, отчет об оценке рисков, план обработки рисков. Кроме того, в непрерывном цикле управления рисками задействовано огромное множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и др.
Стандарт задает перечисляет обязанности и задает требования к категории лиц, непосредственно участвующих при управлении рисками, а именно: экспертам по оценке рисков, менеджерам по безопасности, менеджерам рисков безопасности, а также владельцам ресурсов и даже руководству организации.
Развитие стандарта
На рис. 3 изображена модель управления рисками, предложенная в проекте ISO 27005, которая, по сути, соответствует концепции BS 7799-3, а также NIST SP 800-30:2002. В целом, и BS 7799-3 и проект 27005 имеют описательный характер и не содержат конкретных требований к способам управления рисками. Стандарты позволяют самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни риска, определить критерии для принятия риска, идентифицировать приемлемые уровни риска и т.д. Стандарты придерживаются непрерывного 4-процессного подхода к менеджменту систем качества, включают аналогичные этапы анализа, оценки и управления, правила и рекомендации, носят итеративный характер, не предъявляют конкретных требований к методам, содержат требования по информативности каждого этапа. Можно отметить некоторую тенденцию в детализации этапов и добавлении примеров в очередных версиях проекта 27005.
***
Все современные стандарты в области безопасности — NIST SP 800-30, BS 7799-3 и проект ISO 27005 отражают сложившийся в международной практике общий процессный подход к организации управления рисками. При этом управление рисками представляется как базовая часть системы менеджмента качества организации. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также по синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, что снижает полезность стандартов как технологических документов.
Потребность в соответствующем национальном стандарте по управлению рисками определяется не только популяризацией экономически оправданных подходов к ИБ, но и требованиями и рекомендациями, заданными ГОСТ 27001:2005 и ГОСТ 17799:2005, а также вытекает из требований к организации бизнес-процессов, определенных в актуальных стандартах серии 9000. Недостатки ISO 27005 или BS 7799-3 (отсутствие конкретных методик) можно исправить путем выпуска руководящего документа ФСТЭК России.
Учитывая отдельные некорректности переводов стандартов серии 27000 и опыт международного признания ГОСТ ИСО 15408, хочется надеяться, что развитие нормативной базы в нашей стране будет двигаться по пути принятия ГОСТ, аутентичного ISO 27005 или BS 7799-3.
Реальными стимулами для развития нормативного направления, связанного с управлением рисками может быть становление системы национальной сертификации СУИБ либо развитие принциповсертификации систем менеджмента качества в направлении выполнения требований по ИБ.
Алексей Марков (a.markov@npo-echelon.ru), Валентин Цирлов — сотрудники компании ЗАО «НПО «Эшелон», (Москва).