ISMS

© Христо Тужаров,  

април 2009

 

СТАНДАРТ ISO/IEC 27005 (BS 7799-3)

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

Основни характеристики на стандарт ISO/IEC 27005 (BS 7799-3)

  • Стандартът има описателен характер и не съдържа конкретни изисквания към начините за управление на риска;

  • Стандартът позволява самостоятелно да се отчетат различните аспекти на СУСИ и на тази база да се организира управлението на риска;

  • Стандартът се придържа към най – общо понятие за риск, под което са резбира комбинация от вероятности за събития и техните последици (стойност на компроментирания ресурс).

  • Стандартът допуска използването както на количествени, така и на качествени методи за оценка на риска;

  • Управлението на риска (risk management)  е формулирано като координирани непрекъснати действия по управление и контрол на риска в организацията.

  • Стандартът не предлага конкретна методика за оценка на риска;

  • В съответствие с подхода приет в серията ISO 27000, непрекъснатия процес на управление  се представя чрез цикълът на Деминг: планиране — реализация — проверка — съвършенстване.

         В контекста на стандарта тези фази се обозначават по следния начин:

 

1)       Оценка на риска -  включва анализ и изчисляване на риска;

2)       Обработка на риска избор и реализация на мерки и средства за безопастност;

3)       Контрол на риска – чрез мониторин, тестване, анализ на механизмите за сигурност, както и аудит на системата;

4)       Оптимизация на риска – чрез модификация и обновяване на правилата, мерките и средствата за сигурност.

 

 

 

 

 

 

Оценка на риска, съгласно стандарт ISO/IEC 27005

Оценка на риска (risk assessment) — първи етап в управлението на СУСИ, предназначен за идентификация на източниците на риск  и определяне на неговото ниво на значимост .

 

    Оценката на риска включва:

  • Анализ на риска;

  • Оценяване на риска.

Анализ на риска, съгласно стандарт ISO/IEC 27005

Провежда се инвентаризация и категоризация на защитаваните ресурси;

  • Изясняват се нормативните, технически и договорни изисквания към ресурсите в областта на информационната сигурност;

  • Опраделя се стойността на тези ресурси. В стойността се включват всички потенциални загуби, свързани с с компроментиране на защитаваните ресурси.

Съставяне на списък със значимите заплахи и уязвимости за всеки ресурс

  • Изчислява се вероятността за тяхната реализация.

Стандартът допуска двустрянно тълкуване на понятието заплаха:

  • Като условие за реализация на уязвимост на ресурса (в този случай уязвимостите и заплахите се идентифицират отделно);

  • Като общо потенциално събитие, което може да доведе до компрометиране на ресурса (когато наличието на възможност за реализация на уязвимост се явава заплаха).

Заплахите могат да бъдат класифицирани по основните категории – цялостност, конфиденциалност, достъпност.

 

           Оценка на риска, съгласно стандарт ISO/IEC 27005

Провежда се чрез неговото изчисляване и съпоставяне със зададена скала.

 

Изчисляването на риска се състои в умножаване на

 

вероятност за компрометиране на ресурса Х величината на загубите

 

В стандарта липсва обосновна препоръка по избор на математически и методически апарат за оценка на риска. Даден е пример, който може да се отнесе към качествените методи за оценка:

 

1.        Оценява се нивото на стойност на идентифицирания ресурс по петбална скала – незначетелен, нисък, среден, висок, много висок;

2.        Оценява се нивото на вероятност на заплахите по трибална скала – ниско, средно, високо;

3.        Оценява се нивото на вероятност на уязвимостите  - ниско, средно, високо;

4.        По зададена таблица се изчисляват нивата на риска;

5.        Извършва се подреждане на инцидентите по ниво на риска.

 

Обработка на риска (risk treatment), съгласно стандарт ISO/IEC 27005

 

Обхваща избора и реализацията на мерките за контрол и средствата за минимизиране на риска.

 

Освен оцененото ниво на риска могат да бъдат включени и разходите по внедряване и съпровождане на механизмите за сигурност, политиката на ръководството, простотата на реализация и други.

 

         Предлага се една от четирите мерки за обработка на риска:

 

1. Намаляване на риска – риска се счита за неприемлив и за минимизирането му се реализират съответни механизми и средства за сигурност;

2. Прехвърляне на риска – риска се счита занеприемлив и при определени условия (например, в рамките на застраховане или аутсорсинг) де преадресира към друга организация;

3. Приемане на риска – риска се счита за осъзнато допустим (организацията приема възможните посредствия ) Обикновено в този случай, стойността на мерките за сигурност превишяват възможните потенциални загуби.

4. Отказ от риска – отказване от бизнес процесите, явяващи се причина за риска (например отказване от електронни плащания по мрежата).

 

Управление на риска, съгласно стандарт ISO/IEC 27005

 

Контрол риска

За контрол на риска се препоръчват:

  • Технически мерки (мониторинг, анализ на системните дневници и извършване на праверки);

  • Анализ от страна на ръководството;

  • Независими вътрешни аудити.

Оптимизация на риска.

Фазата на оптимизация на риска съдържа преоценка на риска и съответно:

  • Преразглеждане на политиката;

  • Ръководството по управление на риска;

  • Коригиране и обновяване на механизмите за сигурност.

  • Процедурите по контрол и оптимизация на риска  са хармонизирани с ISO 27001 и 27002.

 

         Принцип на осведоменост

На всеки етап от управление на риска са предвижда информиране на всички участвици в процедурите по управление на сигурността, както и фиксиране на събитията от СУСИ.