Лекции Толстого / Толстой риски
.pdf
•список оцененных последствий для применимых сценариев инцидентов ИТ,
связанных с активами с учетом критериев оценки последствий
•список рисков ИБ с приоритетами, расставленными в соответствии с критериями оценивания рисков по отношению к сценариям инцидентов ИБ, приводящим к данным рискам
Из каких источников можно получить исходные данные для определения вероятности реализации угрозы ИБ?
• правового департамента
•владельцев активов
|
• |
пользователей |
|
||
• |
специалистов по ИБ |
|
|||
|
|||||
|
• |
страховых компаний |
|||
Что является входными данными процесса обработки рисков ИБ?
•список рисков ИБ с приоритетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ,
ведущим к выделенным рискам
• вся информация об организации, которая важна для установления контекста
•область действия и границы и установленная организация (структура)
процесса управления рисками ИБ
•список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оценивания рисков ИБ
Угроза ИБ - это:
•субъект, реализующий угрозы ИБ организации, нарушая предоставленные ему
полномочия по доступу к активам организации или распоряжению ими
•совокупность условий и факторов, создающих потенциальную или
реально существующую опасность нарушения свойств ИБ
•любая характеристика или свойство ИС, обуславливающее возможность реализации угроз ИБ обрабатываемой в ней информации
Что может включать в себя внешний контекст управления рисками ИБ?
• форму и объем контрактных взаимоотношений организации
• взаимосвязи с заинтересованными сторонами, их восприятие и ценности
•информационные системы, информационные потоки и процессы принятия
решений в организации
•взаимосвязи организации с внутренними заинтересованными сторонами,
их восприятие и ценности
• основные факторы и тенденции, влияющие на цели организации
•стандарты, руководящие указания и модели, принятые организацией
•законодательную, технологическую, экономическую, природную и рыночную
среду на международном, региональном, национальном или локальном уровне
Перенос риска ИБ - это:
• разделение с другой стороной бремени потерь от риска ИБ
•обмен информацией о рисках ИБ или совместное использование этой информации
между лицом, принимающим решение, и другими причастными сторонами
•действия, предпринятые для уменьшения вероятности, негативных последствий
или того и другого вместе, связанных с риском ИБ
•решение принять (взять на себя) риски ИБ, зависящее от критериев рисков ИБ
Анализ рисков ИБ - это:
•процесс сравнения количественного оцененного риска с данными критериями
риска для определения значимости риска ИБ
•систематическое использование информации (исторических данных, результатов теоретического анализа, информированного мнения) для определения источников и количественной оценки рисков ИБ
•деятельность, или процесс по присвоению значений вероятности и
последствий рисков ИБ
•деятельность, процесс по нахождению (выявлению), составлению перечня, исследования и описания элементов рисков ИБ (источников или опасности, событий, последствий и вероятности)
Мониторинг каких аспектов проводится в процессе мониторинга и пересмотра показателей рисков ИБ?
• критерии оценки влияния на бизнес
•изменения в ценности активов
• новые угрозы ИБ
•новые активы
• критерии принятия рисков ИБ
•инциденты ИБ
• критерии оценивания рисков ИБ
•подходы к оценке рисков ИБ
Какие показатели используются для оценки активов?
• количество актуальных угроз для актива
• первоначальная стоимость актива (стоимость приобретения)
•последствия для бизнеса от потери или компрометации актива
• стоимость поддержания актива в процессе решения бизнес-задач
•вероятность компрометации актива
• стоимость замены/восстановления/воссоздания актива
В каких основных международных и национальных стандартах рассматриваются
вопросы, посвященные рискам ИБ?
ISO/IEC 27005:2011 BS 7799–3:2006
ГОСТ Р ИСО/МЭК 27005–2010
Что включается в себя понятие риска ИБ?
Риск ИБ: потенциальная возможность использования уязвимостей активов организации угрозами ИБ для причинения ущерба организации, измеряемая с учетом вероятности реализации угроз ИБ и величины ущерба от реализации угроз ИБ.
Как можно определить термин «управление рисками ИБ»?
Управление рисками ИБ (англ. information security risk management): скоординированная непрерывная деятельность по руководству и управлению организацией в отношении рисков ИБ на основе политики управления рисками ИБ и плана обработки рисков ИБ, обычно включающая в себя установление контекста управления рисками ИБ, оценку, обработку, принятие, мониторинг, пересмотр и коммуникацию рисков ИБ.
Каковы основные задачи управления рисками ИБ?
снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией
Перечислите и дайте определения всем основным составляющим процесса управления рисками.
(пере)оценка рисков ИБ; выбор эффективных защитных средств для требуемой обработки рисков ИБ (в идеале для
полного устранения или нейтрализации рисков ИБ).
Дайте определение системы управления рисками ИБ.
Набор элементов системы управления организации в отношении средств управления рисками ИБ на всех уровнях, включая стратегическое планирование, принятие решений и другие процессы, затрагивающие риски ИБ. Это часть общей системы управления организацией. Внедрение такой системы основано на комплексном подходе к решению проблемы контроля над рисками ИБ.
Что входит в СУРИБ?
СУРИБ объединяет
•организационную структуру управления рисками ИБ и квалифицированные кадры,
состоящую из нескольких уровней
•совокупность формализованных взаимосвязанных процессов, обеспечивающих все
этапы управления рисками
•международные, национальные, ведомственные и иные стандарты, технологии, методики управления рисками ИБ, представленные в виде документального
обеспечения
Вкаких режимах должна работать СУРИБ?
• обычный, действующий по умолчанию в обычных условиях ведения бизнеса
•контроля, применяемый к отдельному подразделению, при накоплении сигналов о
концентрации рисков ИБ, по особым решениям руководства и т. д.;
•чрезвычайный, реализуемый по отношению ко всей организации при сигнале
о превышении допустимого уровня концентрации рисков;
•отладки – режим испытания СУРИБ, внедрения новых продуктов и процедур,
устанавливаемый по решению руководства
Вчем суть применения системного подхода к СУРИБ?
Все процессы и явления, связанные с рисками ИБ, рассматриваются в их системной связи, учитывается влияние отдельных решений и элементов на систему в целом [20]
Назовите этапы цикла PDCA применительно к СУРИБ.
«оценка рисков ИБ – обработка рисков ИБ – контроль рисков ИБ (путем мониторинга, тестирования, анализа защитных мер, а также аудита ИБ ИС) – оптимизация рисков ИБ (путем модификации и обновления правил политики и защитных мер для каждого из рисков ИБ)»[21]
Как определяется контекст управления рисками ИБ?
В процесс установления контекста управления рисками ИБ входит определение базовых критериев принятий решений, области действия и границ и соответствующей деятельности организации по процессу управления рисками ИБ.
Каковы возможные критерии оценивания рисков ИБ?
Кбазовым относятся следующие критерии:
•оценивания рисков ИБ (для сравнения количественно оцененного риска с данными
критериями риска для определения значимости риска ИБ)
• оценки последствий (влияния);
•принятия рисков ИБ.
Также организация должна оценить, хватит ли ей ресурсов для выполнения следующих действий:
• выполнить оценку рисков и разработать план обработки рисков ИБ;
•определить и внедрить политики и процедуры, включая реализацию выбранных
средств управления
•осуществлять мониторинг средств управления рисками ИБ
•проводить мониторинг процесса управления рисками ИБ
Вчем различие между областью действия и границами управления рисками ИБ?
Областью действия управления рисками ИБ может быть примененная ИТ, информационная инфраструктура, бизнес-процесс или определенная часть организации. Граница управления рисками ИБ определяет те части области действия, которые будут рассматриваться.
Вчем состоит необходимость учета требований по ОИБ при управлении рисками ИБ? Как они учитываются?
Требования по ОИБ в любой организации, независимо от ее размера, вырабатываются с учетом трех основных факторов и обязательно документируются в СУИБ. Эти источники таковы:
•уникальная совокупность уязвимостей и угроз ИБ, реализация которых может привести к значительным потерям для бизнеса;
•законодательные и нормативные требования и договорные обязательства, которые должны выполняться организацией, ее партнерами, подрядчиками и поставщиками
услуг
•уникальный набор принципов, целей и требований по обработке информации, разработанный организацией для поддержки бизнес-процессов и применения к ИС организации
Какие этапы включает в себя процесс оценки рисков ИБ?
1.Анализ рисков
2.Оценивание рисков
При этом анализ рисков состоит из идентификации рисков и количественной оценки рисков.
Идентификация рисков:
•идентификация активов
• идентификация угроз ИБ
•идентификация существующих средств управления рисками ИБ
• идентификация уязвимостей
•идентификация последствий
Количественная оценка рисков ИБ:
•оценка последствий
• оценка вероятностей
•определение уровня рисков ИБ
Оценка рисков проходит за две или более итераций:
•высокоуровневая оценка для выявления наивысших рисков, которая служит
основой для дальнейшей оценки
•более глубокое рассмотрение рисков, обнаруженных ранее
Каковы основные методологические недостатки традиционных подходов к оценке рисков ИБ? Применение каких инновационных подходов позволит устранить эти недостатки?
Основные недостатки:
• субъективный выбор экспертами уровней рисков
•использование исторических данных
Использование методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов, сетей Петри-Маркова, имитационном моделировании позволит устранить эти недостатки.
Какие этапы включает в себя процесс анализа рисков ИБ?
•идентификация (инвентаризация), категоризация и определение ценности
подлежащих защите активов с их подробным документированием
•идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и
уязвимости, законодательные и бизнес-требования
•оценка вероятности проявления угроз ИБ и простоты использования уязвимостей,
важности правовых и бизнес-требований и ожидаемых размеров потерь;
•расчет (количественная оценка) рисков ИБ, возникающих в результате сочетания указанных факторов.
На каких этапах оценки рисков ИБ может потребоваться участие владельцев бизнеспроцессов и почему?
идентификация рисков ИБ, т.к. могут проводиться индивидуальные интервью в том числе и с руководством идентификация активов
Какое место процесс оценки рисков ИБ занимает в СУИБ?
В результате данного этапа(оценки рисков) для всех активов, находящихся в области действия рассматриваемой СУИБ, должен быть составлен ранжированный список оцененных рисков ИБ для каждого из возможных воздействий на этот актив
Какие подходы к анализу рисков ИБ выделяются в стандартах?
•базовый (англ. baseline risk analysis) с низкой степенью риска и выбором
стандартных защитных мер;
•неформальный (англ. informal risk analysis) для активов организации, которые, как
представляется, подвергаются наибольшему риску;
•детальный (англ. detailed risk analysis) с использованием формального подхода ко
всем активам организации;
•комбинированный (англ. combined risk analysis) – сначала высокоуровневый анализ для выбора подхода к анализу рисков ИБ с последующим проведением детального анализа для наиболее критичных выделенных систем (если прекращение их функционирования может причинить ущерб или принести убытки организации, отрицательно повлиять на ее бизнес или активы) и базового для всех остальных
Какие подходы к оценке рисков ИБ выделяются в стандартах?
• высокоуровневая (англ. high-level IS risk assessment)
• детальная (англ. detailed IS risk assessment)
Вчем суть процесса оценивания рисков ИБ?
Суть процесса оценки рисков ИБ заключается в их идентификации, количественном или качественном описании и приоритезации согласно критериям и задачам оценивания рисков ИБ, применимым к организации
На основании каких оценок риск ИБ определяется в РС БР ИББС-2.2–2009?
Для оценки рисков ИБ в РС БР ИББС-2.2–2009 используется следующая качественная шкала «допустимый – недопустимый».
Что изменяется в процедурах качественной оценки риска ИБ для получения оценки риска ИБ в денежной форме согласно РС БР ИББС-2.2–2009?
Риски ИБ могут быть оценены в количественной (денежной) форме. Это определяется на основании количественных оценок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.
Какие основные способы обработки рисков ИБ? В чем основная цель каждого из них?
•применение надлежащих защитных мер для снижения/уменьшения рисков ИБ,
которые считаются неприемлемыми
•сознательное и намеренное принятие/сохранение рисков ИБ, при условии, что они соответствуют политикам организации и критериям принятия рисков ИБ; риск ИБ в конкретном случае считается осознанно допустимым, если организация должна смириться с возможными последствиями (стоимость защитных мер значительно превосходит потери в случае реализации сценария инцидента ИБ или организация
не может найти подходящие защитные меры);
•избежание/предотвращение рисков ИБ (например, отказ от активов или
бизнеспроцессов, являющихся причиной риска ИБ);
•передача/перенос рисков ИБ другим сторонам – риск ИБ считается неприемлемым и на определённых условиях (например, в рамках страхования или аутсорсинга) переадресуется сторонней организации.
Что такое «коммуникация рисков ИБ»? Каковы цели осуществления деятельности по коммуникации рисков ИБ?
Коммуникация (обмен информацией относительно) рисков ИБ – деятельность, направленная на достижение соглашения в области управления рисками ИБ путем обмена и/или совместного использования информации о рисках между принимающими решения
и другими причастными сторонами. Информация включает (но не ограничивается) наличие, характер, форму, вероятность, серьезность, обработку и приемлемость рисков ИБ.
Назовите документы процесса управления рисками ИБ операционного уровня.
•«План обеспечения непрерывности бизнеса»; ·
• «Определение приоритетов аварийного восстановления»; ·
•«План обработки рисков ИБ»; ·
•«План оценки рисков ИБ»; ·
• «План аудита и мониторинга ИБ»; ·
•«Реестр (классификатор) рисков ИБ»; ·
• «Реестр требований по ОИБ»; ·
•«Реестр (классификатор) активов»;
• «Определение ценности активов»; ·
•«Модель угроз ИБ»; ·
• «Оценка уровней угроз ИБ и уязвимостей»; ·
•«Критерии оценки ущерба для организации»; ·
• «Декларация (заявление) о применимости средств управления рисками ИБ»
(описывает применимые к организации требования по ОИБ, идентифицированных во время оценки рисков ИБ, и текущее состояние выполнения этих требований);
·
• «Отчет об оценке рисков ИБ»; ·
•«Роли и обязанности участников процесса управления рисками ИБ» и т. д.
Что отражается в плане обработки рисков ИБ?
действия по реализации решений по обработке рисков ИБ и скоординированный с другими бизнес-планами организации.
На каких этапах оценки рисков ИБ использование инструментальных средств управления рисками ИБ наиболее выгодно?
детальной оценки
1. Из скольких шагов после обследования организации состоит планирование СУИБ?
|
• |
5 |
|
|
• 410
|
• |
8 |
|
|
|
|
|
|
2.От чего из перечисленного зависит эффективность процесса ОИБ в организации?
ПолИБ, учитывающая бизнес-цели организации;
правильное понимание требований ПолИБ, оценки и управления
рисками ИБ
|
внедрение системы измерения, которая позволяет оценить |
|
|
|
деятельность по ОИБ, и выработать предложения по ее улучшению |
|
|
финансирование деятельности по ОИБ |
|
||
создание результативных процессов управления инцидентами ИБ
методы и структура реализации, поддержания в рабочем состоянии,
постоянного контроля и улучшения деятельности по ОИБ, которые соответствуют общей культуре организации
обеспечение надлежащей осведомленности, подготовки и образования
вобласти ИБ сотрудников организации
3.Какие важнейшие компоненты из перечисленных входят
всостав СУИБ?
деятельность по планированию, реализации, проверке и
совершенствованию СУИБ с соответствующими средствами выполнения конкретной деятельностивидимая поддержка и обязательства всех уровней руководства
документальное обеспечение функционирования СУИБ
|
|
средства управления ИБ |
|
|
|
|
||
|
|
|
|
|
|
|||
|
организационная структура с поддерживающими ее |
|
||||||
|
|
подсистемами автоматизации функционирования СУИБ, |
|
|
||||
|
|
|
|
|||||
|
|
|
|
|
|
|
||
|
|
организации управления и собственной защиты |
|
|
|
|
||
|
|
ответственность всех участвующих в процессе управления ИБ, и |
||||||
|
|
|||||||
|
|
тех, кто попадает в область действия СУИБ |
|
|
|
|
|
|
методики и методы управления ИБ модель функционирования |
||||||||
|
|
|||||||
|
|
СУИБ |
|
|
|
|
||
процессы управления ИБ, выполняемые на основе СУИБ
необходимые ресурсы
4.Что обычно входит в область действия СУИБ организации?
активы
расположение
технологии
|
|
обоснование выбора данной области действия |
|
||
|
|
бизнес-процессы |
• автоматизированные системы
5.Что из перечисленного необходимо учитывать при разработке ПолИБ организации?
необходимость сертификации по стандартам
|
|
|
|
|
|
|
устранение замечаний аудиторов |
||||
|
|
|
|
||
|
требования клиентов и партнеров |
||||
|
|
|
|
||
|
|
требования законодательства и отраслевых стандартов |
|||
|
|
|
|
||
|
|
требования руководства |
|||
6. В каких случаях проводится внеплановый пересмотр ПолИБ?
в случае внесения существенных изменений в информационные системы и сети организации
• в случае проведения аудита ИБ
в случае возникновения инцидентов ИБ
в случае существенных изменений в национальной законодательной базе в области ИБ
• в случае увольнения руководителя подразделения ИБ
7. Что из перечисленного является выходными данными этапа планирования СУИБ?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
инструкции для пользователей |
процессов и исполнителей ролей в |
|||||
|
рамках процессов |
|
|
|
|
|
||
|
|
|
|
|
|
|
||
|
|
• |
результаты обследования организации |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
процедуры, поддерживающие и обеспечивающие работу |
||||||
|
|
разработанных процессов |
|
|
|
|||
|
|
|
|
|
|
|||
|
разработанные процессы управления ИБ |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8.На какой стадии жизненного цикла ПолИБ осуществляется этап «коммуникация»?
• применение
•аннулирование
внедрение
•разработка
9.Влияют ли на результаты оценки ПолИБ со стороны руководства имевшие место инциденты ИБ?
• нет
да
10. При каком подходе к построению и внедрению СУИБ могут с большей вероятностью возникнуть сложности с взаимосвязью процессов управления ИБ?
• построение и внедрение процессов управления ИБ по отдельности с последующим объединением их в единую СУИБ
построениеи внедрение СУИБ в целом ->(СУИБ для большой области действия)
11. Кто принимает участие в разработке и организации выполнения корректирующего или предупреждающего действия в отношении процесса СУИБ?
• владелец актива администратор процесса СУИБ
• владелец процесса СУИБ и руководитель структурного подразделения, в процессе (подразделении) которого возможно возникновение или возникло несоответствие
владелец процесса СУИБ или руководитель структурного подразделения, в процессе (подразделении) которого возможно возникновение или возникло несоответствие
12. В какой ПолИБ описываются правила анализа сетевого трафика и разграничения доступа к информационным ресурсам организации?
• административной
технической