Практический риск-менеджмент: часть 1 (методики)

Данной заметкой мы открываем серию публикаций, которые будут посвящены рассмотрению различных аспектов управления и методов оценки рисков информационной безопасности.
Прежде чем запускать в организации процесс по управлению рисками, необходимо определиться на какой методике он будет основан. Именно поэтому первое сообщение мы решили посвятить обзору существующих методик и стандартов оценки рисков информационной безопасности.
В общей сложности в мире существует несколько десятков разного рода методик и подходов к оценке рисков ИБ, но часть из них уже устарела и не развивается, часть не обладает актуальными переводами на английский язык с языка страны происхождения, что делает затруднительным их изучение для широкой аудитории. Мы попытались представить здесь именно те методики, которые содержат развернутый подход, достаточно широко известны и продолжают развиваться (либо еще не утратили своей актуальности) и относительно легко доступны. В данной заметке не представлены методические документы российских регуляторов (ФСТЭК/ФСБ), т.к. в свете последних изменений нормативной базы их применимость в контексте законодательства о персональных данных поставлена под вопрос до выхода новых документов.
Надо отметить, что большинство из имеющихся нормативных и отраслевых требований (PCI DSS, СТО БР, 152-ФЗ, 382-П, ISO 27001 и др.) не предписывают необходимость использования для оценки рисков какой-то конкретной методологии, оставляя выбор на усмотрение специалистов в организации.
ISO 27005:2011
ISO 27005 — это стандарт из серии 2700x, описывающий подход к организации всего процесса по управлению рисками информационной безопасности.  Представленная в стандарте методика оценки является, если можно так сказать, классической и обладает лишь одним недостатком (присущим большинству стандартов серии ISO) — излишняя академичность и общность формулировок.  Данный стандарт рекомендуется к ознакомлению с целью формирования общего представления об организации процесса по управлению рисками ИБ.
NIST SP800-30
Довольно объемный документ (95 стр.), в котором также представлены подходы не только к оценке рисков, но и к организации деятельности по управлению рисками ИБ на различных уровнях (от стратегического до прикладного на уровне отдельных информационных систем).  В отличие от ISO 27005 данный документ содержит более развернутые описания каждого из элементов,  а также рекомендации по применению на практике в различных ситуациях.
РС БР ИББС-2.2
Методический документ (рекомендации) Банка России из серии стандартов по информационной безопасности СТО БР ИББС.  Документ содержит описание только процесса проведения оценки рисков ИБ, вопросы управления рисками вынесены на уровень основного стандарта СТО БР ИББС-1.0.  Методика может быть интересна в первую очередь кредитным организациям, внедряющим систему обеспечения ИБ по требованиям Банка России.  Представленный в документе подход, по мнению наших экспертов, носит довольно общий/теоретический характер и требует определенной адаптации при реализации на практике.
OCTAVE
Методика, разработанная институтом Software Engineering Institute (SEI) | Carnegie Mellon University, изначально ориентированная именно на прикладное использование для оценки рисков. С момента появления было выпущено 3 модификации:  OCTAVE, OCTAVE-S (версия для небольших организаций), OCTAVE: Allegro (ускоренный метод проведения оценки).  Документы содержат детальные пояснения по каждому шагу процесса оценки рисков, с примерами рабочих и отчетных документов, формулами расчета и пр.
Ссылка на страницу с официальными материалами

F.A.I.R (Factor Analysis of Information Risk)

Методика, разработанная экспертом по информационной безопасности по имени Jack J. Jones, с целью формирования более системного и детального подхода к оценке показателей рисков.  Джека не устраивал классический подход в оценке риска, состоящий из сопоставления всего 2х величин: ущерб и вероятность.  В связи с этим в методике FAIR был сформирован ступенчатый процесс получения и сопоставления различных показателей описывающих все составляющие риска (возможности нарушителя, критичность уязвимостей, слабость защиты и пр.).

К сожалению в настоящий момент есть основания полагать, что методика уже не развивается в связи с тем, что официальный сайт эксперта со всеми материалами по методике уже более года недоступен.

Ссылка на описание методологии (материал из библиотеки ISM SYSTEMS)

RiskIT
Данная методика разработана ассоциацией ISACA с целью формирования целостного подхода к управлению ИТ-рисками. Идея создания данной методики связана с желанием разработчиков закрыть существующий (по их мнению) пробел между высокоуровневыми методами оценки рисков организации и узкоспециализированными методиками оценки рисков информационной безопасности.  Методика доступна для скачивания только после регистрации на сайте ISACA.
Ссылка на страницу с официальными материалами

Harmonized TRA Methodology
Методика, разработанная Канадским ведомством, обеспечивающим информационную безопасность государственных ресурсов.  Самый объемный из всех представленных документов. По сути представляет собой подробную хрестоматию по всем аспектам оценки и управления рисками информационной безопасности.
Поделиться записью:

Добавить комментарий

Scroll Up