Важным этапом в рамках построения и поддержания на должном уровне системы обеспечения информационной безопасности (ИБ) предприятия является проведение оценки рисков нарушения информационной безопасности. Оценка рисков позволяет обеспечить своевременное принятие необходимых мер по обеспечению ИБ предприятия, оценить необходимость внедрения средств защиты информации, снизить влияние непредвиденных и неблагоприятных ситуаций.
Оценка рисков нарушения ИБ была проведена в кредитной организации в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [1].
При проведении оценки рисков нарушения ИБ информационные активы кредитной организации, согласно методике, рассматриваются в совокупности с соответствующими им объектам среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды.
Для выполнения оценки рисков нарушения ИБ в кредитной организации была создана рабочая группа, в которую вошли сотрудники отдела информационной безопасности, сотрудники управления автоматизации и риск-менеджер. При необходимости для участия в рабочей группе дополнительно привлекались сотрудники иных подразделений, обладающие необходимыми знаниями и опытом работы.
Сначала были определены типы информационного актива (служба, программный), для которых выполняются процедуры оценки рисков нарушения ИБ. Для каждого из типов информационных активов был определен перечень свойств ИБ (конфиденциальность, целостность, доступность), поддержание которых необходимо обеспечивать в рамках системы обеспечения ИБ кредитной организации.
Затем был составлен перечень типов объектов среды для каждого из выделенных ранее типов информационных активов. Для типа информационного актива «служба» были выделены следующие типы объектов среды: линии связи, аппаратные и технические средства, физические носители информации (физический уровень); маршрутизаторы, коммутаторы, концентраторы (сетевой уровень); программные компоненты передачи данных по компьютерным сетям (уровень сетевых приложений и сервисов); сетевые ресурсы домена, сетей общего пользования, почтовых серверов (уровень операционных систем); базы данных домена, каталогов, web-серверов, почтовых серверов (уровень систем управления базами данных); прикладные программы для доступа к ресурсам сети, web-ресурсам и электронной почте (уровень банковских технологических приложений и сервисов). Для типа информационного актива «программный» типами объектов среды являются линии связи, аппаратные и технические средства, физические носители информации (физический уровень); маршрутизаторы, коммутаторы, концентраторы (сетевой уровень); программные компоненты передачи данных по компьютерным сетям (уровень сетевых приложений и сервисов); файлы данных (уровень операционных систем); базы данных (уровень систем управления базами данных); прикладные программы доступа и обработки данных (уровень банковских технологических приложений и сервисов).
Для каждого из определенных ранее типов объектов среды был составлен перечень источников угроз, воздействие которых может привести к потери свойств ИБ соответствующих типов информационных активов.
Риск нарушения ИБ определяется на основании качественных оценок:
- Степени возможности реализации угроз ИБ выявленными и/или предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;
- Степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов.
Был проведен анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз. Для оценки степени возможности реализации угроз ИБ использовалась следующая шкала степеней: нереализуемая, минимальная, средняя, высокая, критическая. В результате проведенного анализа оценка «высокая» была получена для свойств конфиденциальность и целостность для баз данных домена, каталогов, web-серверов, почтовых серверов (внутренний нарушитель) и прикладных программ для доступа к ресурсам сети, web-ресурсам и электронной почте (внутренний нарушитель) типа информационного актива «служба»; свойств конфиденциальность и целостность для файлов данных (внутренний нарушитель) и баз данных (внутренний нарушитель) и свойств конфиденциальность, целостность, доступность для прикладных программ доступа и обработки данных (внутренний нарушитель) типа информационного актива «программный». Для остальных свойств информационной безопасности информационных активов были получены оценки «минимальная» и «средняя».
Аналогичным образом был проведен анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз. Для оценки степени тяжести последствий нарушения ИБ вследствие реализации угроз ИБ использовалась следующая качественная шкала степеней: минимальная, средняя, высокая, критическая. В результате проведенного анализа оценка «высокая» была получена для свойства доступность для программных компонент передачи данных по компьютерным сетям (внутренний нарушитель, внешний нарушитель); свойства доступность для сетевых ресурсов домена, сетей общего пользования, почтовых серверов (внутренний нарушитель, внешний нарушитель); свойства доступность для баз данных домена, каталогов, web-серверов, почтовых серверов (внешний нарушитель) типа информационного актива «служба»; свойства доступность для программных компоненты передачи данных по компьютерным сетям (внутренний нарушитель, внешний нарушитель); свойства конфиденциальность для файлов данных (внутренний нарушитель, внешний нарушитель); свойства конфиденциальность для баз данных (внутренний нарушитель, внешний нарушитель) типа информационного актива «программный». Для остальных свойств информационной безопасности информационных активов были получены оценки «минимальная» и «средняя».
На основании сопоставления оценок степени вероятности реализации угроз ИБ и степени тяжести последствий нарушения ИБ вследствие реализации соответствующих угроз была проведена оценка рисков нарушения ИБ. Для оценки рисков использовалась следующая качественная шкала: допустимый, недопустимый; оценка определялась на основании таблицы 1. Под допустимым риском нарушения ИБ понимается риск нарушения ИБ, предполагаемый ущерб от которого кредитная организация в данное время и в данной ситуации готова принять.
Таблица 1. Таблица допустимых/недопустимых рисков ИБ
| Степень вероятности реализации угроз ИБ | Степень тяжести последствий нарушения ИБ | |||
| минимальная | средняя | высокая | критическая | |
| нереализуемая | допустимый | допустимый | допустимый | допустимый |
| минимальная | допустимый | допустимый | допустимый | недопустимый |
| средняя | допустимый | допустимый | недопустимый | недопустимый |
| высокая | допустимый | недопустимый | недопустимый | недопустимый |
| критическая | недопустимый | недопустимый | недопустимый | недопустимый |
В результате проведенной оценки рисков нарушения ИБ был получен перечень недопустимых рисков (таблица 2).
Таблица 2. Перечень недопустимых рисков нарушения ИБ
| Тип информационного актива | Тип объекта среды | Источник угрозы ИБ | Свойства ИБ информационного актива |
| Служба | Базы данных домена, каталогов, web-серверов, почтовых серверов | Внутренний нарушитель | Конфиденциальность |
| Целостность | |||
| Доступность | |||
| Внешний нарушитель | Доступность | ||
| Прикладные программы для доступа к ресурсам сети, web-ресурсам и электронной почте | Внутренний нарушитель | Целостность | |
| Программный | Файлы данных | Внутренний нарушитель | Конфиденциальность |
| Целостность | |||
| Внешний нарушитель | Конфиденциальность | ||
| Базы данных | Внутренний нарушитель | Конфиденциальность | |
| Целостность | |||
| Внешний нарушитель | Конфиденциальность | ||
| Прикладные программы доступа и обработки данных | Внутренний нарушитель | Целостность | |
| Доступность |
Рассмотренную методику Банка России легко применять на практике благодаря простоте ее использования и детальной проработанности этапов. Проведение оценки рисков нарушения ИБ помогает определить типы объектов среды и свойства информационных активов, подверженных наибольшему риску со стороны внешних и внутренних нарушителей, и разработать план действий по уходу от выявленных рисков или их снижению. Полученная в результате оценки ИБ информация позволила увидеть полную картину состояния системы информационной безопасности кредитной организации.
По каждому из рисков нарушения ИБ, который является недопустимым, был определен план обработки рисков нарушения ИБ, определяющий один из возможных способов дальнейшей работы с ним: перенос риска на сторонние организации, уход от риска, формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации. Для определения последовательности и сроков реализации и внедрения организационных и технических мер утвержден план мероприятий по снижению рисков информационной безопасности.
Для поддержания необходимого уровня информационной безопасности кредитной организации необходимо проводить периодический анализ и пересмотр оценки рисков нарушения ИБ и планов обработки рисков нарушения ИБ. При пересмотре необходимо принимать во внимание изменения в структуре кредитной организации, бизнес-процессах, используемых информационных технологиях, составе используемых мер обеспечения ИБ, а также в правовой и регулирующей системе.
Список литературы:
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» [Электронный ресурс] – Режим доступа: type=»book» name=»ОПЫТ ПРИМЕНЕНИЯ МЕТОДИКИ БАНКА РОССИИ ДЛЯ ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРЕДИТНОЙ ОРГАНИЗАЦИИ» description=»В статье приведена оценка рисков нарушения информационной безопасности для кредитной организации, полученная по методике Банка России.» author=»Коновалова Юлия Николаевна» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2016-12-18″ edition=»euroasia-science_28.04.2016_4(25)» ebook=»yes» ]