Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Управление рисками информационной безопасности

Цель: выявление и устранение актуальных проблем информационной безопасности.

Общий процесс управления рисками включает следующие подпроцессы:
  1. Оценивание / Risk Assessment
    1. Идентификация / Risk Identification
      Результат: Реестр рисков
    2. Анализ / Risk Analysis
      Результат: оценка параметров рисков (ущерб, вероятность)
    3. Оценка / Risk Evaluation
      Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем
  2. Обработка / Risk Treatment
    Результат: План обработки рисков
Реализация меры означает выполнение в организации всех подпроцессов управления рисками.
Варианты реализации:
Для обеспечения процесса должны быть определены:
  • область оценки рисков (активы или типы активов, для которых оцениваются риски);
  • ценность (приоритет) активов (типов активов), для которых проводится оценка рисков;
  • периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически); 
  • методика оценки, включая:
    • формулы расчета величины риска;
    • критерии для оценки рисков;
    • критерии принятия рисков ( = критерии приемлемости риска);
    • риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск);
  • ответственные и роли в процессе;
  • владельцы рисков;
Результатами процесса являются:
  • Реестр рисков, в т.ч.: 
    • реестр недопустимых рисков;
    • реестр принятых рисков;
  • План обработки рисков
    • включает перечень влияющих на риски защитных мер ( = средств управления, контролей).
Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Детективная ? Детективные меры Эти меры применяются для выявления любых вредоносных действий, нарушений и инцидентов. Эти меры не останавливают и не смягчают попытки вторжения, они только иде...
Реализация
Вручную
Периодичность
Ежеквартально
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: 
- области применения процесса системы защиты информации; - основных принципов и приоритетов в реализации процесса системы защиты информации; 
- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 4 п.п. 4
8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ. 
Р. 8 п. 4 п.п. 7
8.4.7. В организации БС РФ должны быть определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей. 
Р. 8 п. 4 п.п. 5
8.4.5. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Результатом выполнения указанной процедуры является зафиксированный перечень недопустимых рисков нарушения ИБ. 
Р. 8 п. 7 п.п. 2
8.7.2. Все планы внедрения СОИБ, в частности планы реализации требований разделов 7 и 8 настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер, должны быть утверждены руководством. Указанные планы должны определять: 
  • последовательность выполнения мероприятий в рамках указанных планов; 
  • сроки начала и окончания запланированных мероприятий; 
  • должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия. 
Р. 5 п. 5.15
5.15. Риски нарушения ИБ должны быть согласованы и иерархически связаны с рисками основной (бизнес) деятельности организации БС РФ через возможный ущерб.
Допускается оценка рисков информационной безопасности в составе операционных рисков с целью создания единой карты рисков и оценки стоимости ущерба по организации в целом.
Риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесу организации БС РФ или убытков.
Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ.
Р. 8 п. 5 п.п. 4
8.5.4. В организации БС РФ должны быть определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей. 
Р. 8 п. 5 п.п. 1
8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть определен план, устанавливающий один из возможных способов его обработки:
  • перенос риска на сторонние организации (например, путем страхования указанного риска); 
  • уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска); 
  • осознанное принятие риска;
  • формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации. 
Р. 8 п. 4 п.п. 6
8.4.6. В организации БС РФ должны быть определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей. 
Р. 8 п. 7 п.п. 1
8.7.1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется зафиксировать решения руководства:
  • об анализе и принятии остаточных рисков нарушения ИБ;
  • о планировании этапов внедрения СОИБ, в частности требований по обеспечению ИБ, изложенных в разделах 7 и 8 настоящего стандарта;
  • о распределении ролей в области обеспечения ИБ организации БС РФ;
  • о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований разделов 7 и 8 настоящего стандарта и снижение рисков ИБ;
  • о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ. 
Р. 8 п. 8 п.п. 3
8.8.3. В организации БС РФ должны быть определены роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер, и назначены ответственные за выполнение указанных ролей. 
Р. 8 п. 4 п.п. 1
8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ. 
Р. 8 п. 4 п.п. 2
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ. 
Р. 8 п. 4 п.п. 3
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:
  • степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате их воздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);
  • степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов). Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения. 
Р. 8 п. 5 п.п. 2
 8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством. 
Р. 5 п. 5.18
5.18. Идентификация, анализ и оценивание рисков нарушения ИБ должны основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БС РФ, на моделях угроз и нарушителей ИБ организации БС РФ.
Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011 "Good Manufacturing Practice. Annex 11: Computerised Systems":
Косвенно Р. 2 п. 1 п.п. 1
Risk management should be applied throughout the lifecycle of the computerised system taking into account patient safety, data integrity and product quality. As part of a risk management system, decisions on the extent of validation and data integrity controls should be based on a justified and documented risk assessment of the computerised system. 
NIST Cybersecurity Framework (RU):
ID.RM-3
ID.RM-3: Определение отношения (степени принятия риска) к риску организации основывается на ее роли в  критической инфраструктуре и анализе рисков для конкретных секторов 
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации 
ID.SC-1
ID.SC-1: Идентфицированы, устанавлены, оцениваются, управляются и согласовываются заинтересованными сторонами организации все процессы управления рисками в кибер-цепочке 
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности 
ID.RM-2
ID.RM-2: Определен и четко выражен критерий принятия риска в организации 
ID.RA-5
ID.RA-5: Угрозы, уязвимости, вероятности и воздействия используются для определения риска 
ID.RA-6
ID.RA-6: Для рисков определены и расставлены по приоритетам ответные меры
ID.RA-3
ID.RA-3: Идентифицированы и задокументированык внутренние и внешние угрозы
Косвенно ID.RA-1
ID.RA-1: Идентифицированы и задокументированы уязвимости активов 
Косвенно ID.RA-4
ID.RA-4: Определены потенциальные последствия и их вероятности для бизнеса  
Косвенно RS.CO-3
RS.CO-3: Информация передается в соответствии с планами реагирования 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
8.3 8.3 Обработка рисков информационной безопасности Организация должна осуществлять план обработки рисков информационный безопасности. Организация должна сохранять результаты обработки рисков информационной безопасности как документированную информацию.
6.1.3 6.1.3 Обработка рисков информационной безопасности Организация должна определить и выполнять процесс обработки рисков информационной безопасности с целью:
a) выбрать соответствующие методы обработки рисков информационной безопасности с учетом результатов оценки рисков;
b) определить любые средства управления, которые необходимы для реализации выбранных методов обработки рисков информационной безопасности; ПРИМЕЧАНИЕ Организации могут самостоятельно разрабатывать средства управления или взять их из любого источника.
c) сравнить средства управления, определенные при выполнении требований п. 6.1.3 b), с приведенными в приложении A, и удостовериться, что никакие из необходимых средств управления не были упущены из виду; ПРИМЕЧАНИЕ 1 Приложение A содержит полный перечень задач управления и соответствующих средств для их реализации. Пользователи Настоящего Международного Стандарта обязаны использовать Приложение A с тем, чтобы гарантировать, что никакие необходимые средства управления не были пропущены. ПРИМЕЧАНИЕ 2 Задачи управления неявным образом включены в выбранные средства управления. Задачи управления и средства их реализации, перечисленные в Приложении A, не являются исчерпывающими и могут потребоваться дополнительные задачи и средства управления.
d) сформировать Заявление о применимости, которое содержит:
- необходимые средства управления (см.6.1.3 b) и c));
- обоснование их применения;
- применяются ли эти средства управления в данный момент или нет; а также
- обоснование исключения любых средств управления, приведенных в Приложении A;
e) разработать план обработки рисков информационной безопасности; и
f) получить одобрение плана от владельцев риска и подтверждение принятия остаточных рисков информационной безопасности. Организация должна сохранять данные процесса обработки рисков информационной безопасности как документированную информацию. ПРИМЕЧАНИЕ Процессы оценки и обработки рисков информационной безопасности в Настоящем Международном Стандарте согласуются с принципами и общими руководящими указаниями, приведенными в ISO 31000.
6.1.2 6.1.2 Оценка рисков информационной безопасности Организация должна определить и применять процесс оценки рисков информационной безопасности, который:
a) устанавливает и обеспечивает применение критериев оценки информационной безопасности, включающие в себя:
1) критерии приемлемости риска; и
2) критерии для оценки рисков информационной безопасности;
b) гарантирует, что производимые оценки рисков информационной безопасности дают непротиворечивые, обоснованные и сопоставимые результаты;
c) обеспечивает выявление рисков информационной безопасности:
1) включает в себя процесс оценки рисков информационной безопасности, направленный на идентификацию рисков, связанных с потерей конфиденциальности, целостности и возможности применения информации в рамках области действия системы менеджмента информационной безопасности; и
2) обеспечивает определение владельцев риска;
d) обеспечивает анализ рисков информационной безопасности:
1) оценку потенциальных последствий в том случае, если бы риски, идентифицированные при выполнении требований п. 6.1.2. c) 1) реализовались;
2) оценку реальной вероятности реализации рисков, идентифицированных при выполнении требований п. 6.1.2. c) 1); и
3) определение величины риска;
e) обеспечивает оценку рисков информационной безопасности:
1) сравнение результатов анализа рисков с критериями риска, установленными при выполнении требований п. 6.1.2. а); и
2) расстановку рисков по приоритетам для последующей обработки рисков. Организация должна сохранять данные процесса оценки рисков информационной безопасности как документированную информацию.
8.2 8.2 Оценка рисков информационной безопасности Организация должна выполнять оценку рисков информационной безопасности с учетом критериев, установленных в 6.1.2 а), через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.
Косвенно 9.3 9.3 Анализ менеджмента Высшее руководство должно анализировать систему менеджмента информационной безопасности организации через запланированные интервалы времени, чтобы гарантировать ее постоянную пригодность, соответствие и результативность. При анализе менеджмента необходимо учитывать следующее:
a) статус мероприятий, предусмотренных предыдущим анализом;
b) изменения в состоянии внешних и внутренних проблем, которые существенны для системы менеджмента информационной безопасности;
c) информацию о функционировании системы менеджмента информационной безопасности, включая тенденции в:
1) несоответствиях и корректирующих действиях;
2) результатах мониторинга и измерений;
3) результатах аудитов; и
4) достижении целей в области информационной безопасности;
d) обратную связь от заинтересованных сторон;
e) результаты оценки рисков и статус выполнения плана обработки рисков; и
f) возможности для постоянного улучшения. Результаты анализа должны включать решения, связанные с возможностями непрерывного улучшения и любыми потребностями в изменениях системы менеджмента информационной безопасности. Организация должна сохранять документированную информацию как подтверждение результатов анализа системы менеджмента.
Косвенно 6.1.1 6.1.1 Общие положения Планируя систему менеджмента информационной безопасности, организация должна принять во внимание проблемы, упомянутые в разделе 4.1 и требования, установленные в разделе 4.2, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы:
a) гарантировать, что система менеджмента информационной безопасности может достигать ожидаемых результатов;
b) предотвратить или уменьшить нежелательные эффекты; и
c) достичь непрерывного совершенствования. Организация должна планировать:
d) действия по обработке этих рисков и реализации возможностей; и
e) каким образом
  • 1) встраивать эти действия в процессы системы менеджмента информационной безопасности и выполнять их;
  • 2) оценивать результативность этих действий.
Косвенно 6.2 6.2 Цели в области информационной безопасности и планирование их достижения Организация должна установить цели в области информационной безопасности для соответствующих функций и уровней. Цели в области информационной безопасности должны:
a) быть согласованными с политикой информационной безопасности;
b) быть измеримыми (если возможно);
c) учитывать действующие требования к информационной безопасности, а также результаты оценки и обработки рисков;
d) быть сообщены персоналу; и
e) соответствующим образом обновляться. Организация должна сохранять данные по целям в области информационной безопасности как документированную информацию. При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет ответственным;
i) когда цели будут достигнуты;
j) как результаты будут оцениваться.
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
Косвенно A.15.2.2 A.15.2.2 Управление изменениями в услугах поставщика
Средства реализации: Необходимо управлять изменениями в предоставлении услуг поставщиками, включая поддержание и улучшение существующих политик информационной безопасности, процедур и средств управления, с учетом критичности бизнес-информации, используемых систем и процессов и повторной оценки рисков.
Косвенно A.15.1.1 A.15.1.1 Политика информационной безопасности в отношениях с поставщиками
Средства реализации: Требования по информационной безопасности для снижения рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиками и документированы.
Косвенно A.15.1.3 A.15.1.3 Цепочка поставок информационно-коммуникационных технологий
Средства реализации: Соглашения с поставщиками должны включать требования, учитывающие риски информационной безопасности, связанные с цепочкой поставок услуг и продуктов в сфере информационно-коммуникационных технологий.
Косвенно A.15.1.2 A.15.1.2 Решение вопросов безопасности в соглашениях с поставщиками
Средства реализации: Все существенные требования по информационной безопасности должны быть установлены и согласованы с каждым поставщиком, который может получать доступ, обрабатывать, хранить, передавать информацию организации или поставлять компоненты для ИТ-инфраструктуры.
Косвенно A.15.2.1 A.15.2.1 Мониторинг и анализ услуг поставщика
Средства реализации: Организации должны регулярно отслеживать, анализировать и проводить аудит предоставления услуги поставщиком.
Косвенно A.12.6.1 A.12.6.1 Управление техническими уязвимостями
Средства реализации: Должна своевременно получаться информация о технических уязвимостях в используемых информационных системах, должно оцениваться влияние этих уязвимостей на организацию и приниматься соответствующие меры для обработки связанных с этим рисков.
Косвенно A.16.1.6 A.16.1.6 Излечение уроков из инцидентов информационной безопасности
Средства реализации: Знания, полученные из анализа и разрешения инцидентов информационной безопасности, должны использоваться для уменьшения вероятности инцидентов в будущем или их воздействия.
Косвенно A.18.2.1 A.18.2.1 Независимый анализ информационной безопасности
Средства реализации: Подход организации к управлению информационной безопасностью и его реализация (т. е. задачи управления, средства управления, политики, процессы и процедуры по обеспечению информационной безопасности) должны подвергаться независимому анализу через запланированные интервалы времени или в тех случаях, когда происходят существенные изменения.
Постановление Правительства РФ № 584 от 13.06.2012 "Положение о защите информации в платежной системе":
п. 4 п.п. г)
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
CIS Critical Security Controls v7.1 (SANS Top 20):
Косвенно CSC 3.7 CSC 3.7 Utilize a Risk-Rating Process
Utilize a risk-rating process to prioritize the remediation of discovered vulnerabilities.
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 2 п. 1 п.п. 1
Управление рисками должно применяться в течение жизненного цикла компьютеризированной системы и принимать во внимание безопасность пациентов, целостность данных и качество продукции. В рамках системы управления рисками решения по объему валидационных испытаний и проведению контролей целостности данных должны основываться на обоснованной и документально оформленной оценке рисков компьютеризированной системы. 
SWIFT Customer Security Controls Framework v2022:
7 - 7.4A Scenario Risk Assessment
7.4A Scenario Risk Assessment
Косвенно 2 - 2.8A Critical Activity Outsourcing
2.8A Critical Activity Outsourcing
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
Косвенно АУД.10 АУД.10 Проведение внутренних аудитов
Косвенно АУД.11 АУД.11 Проведение внешних аудитов
NIST Cybersecurity Framework (EN):
ID.RM-3 ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis
ID.RA-5 ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk
ID.RM-2 ID.RM-2: Organizational risk tolerance is determined and clearly expressed
ID.RA-6 ID.RA-6: Risk responses are identified and prioritized
ID.RM-1 ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders
ID.GV-4 ID.GV-4: Governance and risk management processes address cybersecurity risks
Косвенно ID.RA-1 ID.RA-1: Asset vulnerabilities are identified and documented
Косвенно ID.RA-3 ID.RA-3: Threats, both internal and external, are identified and documented
Косвенно ID.RA-4 ID.RA-4: Potential business impacts and likelihoods are identified
Косвенно ID.SC-1 ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders
Косвенно RS.CO-3 RS.CO-3: Information is shared consistent with response plans
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
Косвенно АУД.10 АУД.10 Проведение внутренних аудитов
Косвенно АУД.11 АУД.11 Проведение внешних аудитов

Связанные риски

Ничего не найдено