Процессу оценки рисков ИБ отведена одна из ведущих ролей в структуре процессов управления информационной безопасностью в организации. Необходимость и требования к проведению оценки рисков и построению модели угроз определена в российских и международных стандартах по информационной безопасности, в том числе и в нормативных документах государственных регулирующих органов. Основными документами, определяющими процессы и методики по оценке рисков являются:
ISO 27001:2013
В данном международном стандарте предлагается процессный подход к созданию, внедрению, сопровождению и совершенствованию системы управления информационной безопасностью в организации. Для эффективного функционирования системы защиты информации в организации должны быть определены все активы и бизнес-процессы. Подобный процессный подход к управлению информационной безопасностью, представленный в текущем стандарте, акцентрирует свое внимание на необходимости и важности:
- в определении и понимании требований к защите информации в организации;
- в разработке политики информационной безопасности и определения целей данной политики;
- в использовании инструментов и механизмов, обеспечивающих анализ и управление рисками информационной безопасности в организации;
- в периодическом проведении мониторинга и анализа состояния функционирующей системы управления ИБ;
- в непрерывном совершенствовании применяемых подходов к обеспечению ИБ в организации.
152-ФЗ «О персональных данных»
Статься 19 федерального закона «О персональных данных» содержит необходимые меры по обеспечению безопасности персональных данных при их обработке. Пункт 2 статьи определяет, что обеспечение безопасности ПДн достигается определением угроз безопасности ПДн при их обработке в ИСПДн, а также применением организационных и технических мер по обеспечению защиты ПДн, в том числе и СрЗИ прошедших оценку соответсвии.
СТО БР ИББС-1.0-2014
Стандарт Банка России определяет следующие требования к выбору подхода к оценке рисков нарушения ИБ и проведению оценки рисков ИБ, в частности:
«8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:
…
8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.»
PCI DSS
Политика информационной безопасности является одним из главных документов по обеспечению ИБ в любой организации. Строгая политика безопасности регулирует атмосферу безопасности для организации в целом, так и информирует сотрудников об их обязанностях соблюдения требований к защите информации. Требования 12 стандарта PCI DSS определяет:
«12.1 Должна быть разработана, опубликована и распространена поддерживаемая в актуальном состоянии политика безопасности.
12.1.1 Политика безопасности должна пересматриваться по меньшей мере ежегодно и обновляться в случае изменения среды организации.
12.2 Внедрить процесс оценки рисков, который:
- осуществляется не реже, чем раз в год и после значительного изменения среды (например, покупки, слияния, перемещения и т.д.);
- выявляет критические активы, угрозы и уязвимости; и
- авершается официальной оценкой рисков..»
Постановление Правительства № 584 от 13 июня 2012
Постановление Правительства об утверждении Положения о защите информации в платежной системе, вступившее в силу с 1 июля 2012 года определяет:
«4. Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:
…
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками..»
Положение ЦБ № 382-П от 9 июня 2012
Положение ЦБ № 382-П утверждает следующие требования к обеспечению защиты информации при осуществлении переводов денежных средств:
«2.14.2. Для определения порядка обеспечения защиты информации при осуществлении переводов денежных средств оператор платежной системы, оператор по переводу денежных средств, оператор услуг платежной инфраструктуры в рамках обязанностей, установленных оператором платежной системы, могут использовать:
…
результаты анализа рисков при обеспечении защиты информации при осуществлении переводов денежных средств на основе моделей угроз и нарушителей безопасности информации, определенных в национальных стандартах по защите информации, стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с законодательством Российской Федерации о техническом регулировании, или на основе моделей угроз и нарушителей безопасности информации, определенных оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры…»