пятница, 24 июня 2011 г.

Оценка рисков нарушения ИБ (РС БР ИББС-2.2-2009)

Раз уж тема пошла про финансовый сектор, то стоит отдельно рассмотреть документ - рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" (РС БР ИББС-2.2-2009).

Оценку рисков предлагается проводить в соответствии со следующими процедурами:
1. Определение перечня типов информационных активов (к типам информационного актива относится конкретная информация, например информация о кредитуемых лицах, информация о вкладчиках, информация о стратегическом развитии организации и т.д., стоит отметить что в этой же процедуре предлагается определить какое свойство нарушения ИБ актуально для каждого типа информационного актива, т.е. нарушение конфиденциальности целостности, доступности, аутентичности и т.д.).
2. Определение типов объектов среды, соответствующих каждому из типов информационных активов (типы объектов среды определяются в стандарте СТО БР ИББС-1.0-2010 и включают в себя в себя такие типы как физический, уровень ОС, уровень СУБД и т.д. Довольно правильный подход с учетом того, что угрозы на уровне ОС и угрозы на уровне СУБД - различные).
3. Определение источников угроз для каждого из типов объекта среды (источники угроз определяются на основании модели угроз, получается что построение модели угроз выпадает из процесса оценки рисков :( ).
4. Оценка степени возможности реализации (СВР) угрозы ИБ (предлагается оценивать СВР по качественно-количественной шкале, т.е. "нереализуемая угроза" -0%, "средняя - от 21% до 50%" и т.д.).
5. Определение степени тяжести последствий для типов информационных активов (так же как и в п.4 предлагают оценивать с использованием качественно-количественной шкалы, т.е. "минимальное - 0,5% от величины капитала банка", "высокое - от 1,5% до 3% от величины капитала банка". Тут я и задумался!? А сколько это "в граммах"? На сайте http://www.cbr.ru/ нашел величину уставного капитала Сбербанка - 67 млрд., берем 0,5% получаем минимальное значение степени тяжести - 335 млн. У меня такое впечатление, что эта сумма "немного" завышена).
6. Оценка рисков нарушения ИБ (если оцениваем риск качественно, то используем обычную табличку соответствия степени тяжести и вероятности, а если хотим получить количественную оценку, то перемножаем вероятность на степень тяжести - ни чего нового :) ).

Преимущества:
1. Можно получить как качественные оценки, так и количественные оценки.
2. Наличие шаблонов, которые регламентирую результат работы каждой процедуры оценки рисков.

Недостатки:
1. Модель угроз формируется отдельно от процесса оценки,
2. Узкая направленность стандарта на банковский сектор, что не позволяет применить стандарт к другим областям деятельности (3% от уставного капитала среднестатистической компании составляет 300 руб. ;) ).
3. Некоторые аспекты проясняются только в приложениях к стандарту, например о необходимости определения защитных мер и способов реализации угрозы ИБ;
4. Методика направлена на оценку рисков только информационных активов, но не стоит забывать что в организации есть и физические активы и программные, которые также влияют на ИБ всей организации ;).

Комментариев нет: