Стандарт безопасности

4.2.2 c) внедрить меры управления, выбранные согласно 4.2.1, перечисление д), для достижения целей управления;

Основные понятия

Ключевыми понятиями для понимания стандарта являются: актив, риск, мера безопасности и, конечно же, сама СМИБ.

Под активом в контексте информационной безопасности понимается информация в любой форме и средства ее обработки, то есть все то, что представляет ценность для организации и требует нашей неусыпной защиты.

Под риском официально понимается «следствие влияния неопределенности на достижение поставленных целей» (ГОСТ Р ИСО 31000-2019), но проще всего данное понятие определить через комбинацию вероятности события и его последствий, о чем, впрочем, также сказано в примечаниях к упомянутому определению.

«Мера безопасности» или более многословно — «мера обеспечения информационной безопасности» (из ГОСТ ИСО/МЭК 27001-2021) представляет собой нечто, что может влиять на риск. Меры могут быть организационными (назначение ответственных, принятие политики/процедуры/стандарта), техническими (установка межсетевого экрана, включение авторизации) и физическими (установка металлической двери в серверной).

Система менеджмента информационной безопасности (СМИБ) является совокупностью внутренних организационно-распорядительных документов и ресурсов, необходимых для защиты активов. СМИБ обеспечивает осознанное принятие решений в области ИБ через механизм управления рисками и не позволяет нам слепо следовать традиции, зафиксированной в народной пословице «Пока гром не грянет, мужик не перекрестится».

Еще важно понимать, что стоит за оценкой риской и аудитом, но об этом поговорим ниже.

ISO/IEC 27005:2018

Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» («Информационные технологии – Техники обеспечения безопасности – Управление рисками информационной безопасности») является уже третьей ревизией: первая версия стандарта была опубликована в 2005 году, а вторая — в 2011. Документ вводит несколько риск-специфичных терминов. Так, средством защиты (англ. control) называется мера, изменяющая риск. В понятие контекстов (англ. context) входят внешний контекст, означающий внешнюю среду функционирования компании (например, политическую, экономическую, культурную среду, а также взаимоотношения с внешними стейкхолдерами), и внутренний контекст, означающий внутреннюю среду функционирования компании (внутренние процессы, политики, стандарты, системы, цели и культуру организации, взаимоотношения с внутренними стейкхолдерами, а также договорные обязательства).

Риск — это результат неточности (англ. uncertainty) при достижении целей; при этом неточность означает состояние недостатка информации, относящейся к некому событию, его последствиям или вероятности его наступления. Под уровнем риска (англ. level of risk) понимается величина риска, выраженная в произведении последствий значимых событий и вероятности возникновения этих событий. Остаточный риск (англ. residual risk) — риск, оставшийся после проведения процедуры обработки рисков. Под оценкой риска (англ. risk assessment) понимают общий процесс идентификации (т.е. поиска, определения и описания риска), анализа (т.е. понимания природы риска и определения его уровня) и оценки опасности (т.е. сравнения результатов анализа риска с риск-критериями для определения допустимости его величины) рисков. Обработка рисков — это процесс модификации рисков, который может включать в себя:

• избегание риска путем отказа от действий, которые могут привести к рискам;
• принятие или увеличение риска в целях достижения бизнес-целей;
• устранение источников риска;
• изменение вероятности реализации риска;
• изменение ожидаемых последствий от реализации риска;
• перенос (разделение) риска;
• сохранение риска.

1. Оценка рисков ведется с учетом последствий рисков для бизнеса и вероятности возникновения рисков. Осуществляются идентификация рисков, их анализ и сравнение (с учетом выбранного уровня риск-толерантности).
2. Вероятность и последствия рисков доводятся до заинтересованных сторон и принимаются ими.
3. Устанавливается приоритет обработки рисков и конкретных действий по снижению рисков.
4. В процесс принятия решений по управлению рисками вовлекаются стейкхолдеры, которые затем также информируются о статусе управления рисками.
5. Оценивается эффективность проведенной обработки рисков.
6. Контролируются и регулярно пересматриваются риски и сам процесс управления ими.
7. На основе получаемой новой информации процесс управления рисками непрерывно улучшается.
8. Проводится обучение сотрудников и руководителей относительно рисков и предпринимаемых действий для их снижения.

1. Определение контекста.
2. Оценка рисков.
3. Разработка плана обработки рисков.
4. Принятие рисков.
5. Внедрение разработанного плана обработки рисков.
6. Непрерывный мониторинг и пересмотр рисков.
7. Поддержка и улучшение процесса управления рисками ИБ.

1. Определение контекста

Входными данными при определении контекста являются все релевантные риск-менеджменту сведения о компании. В рамках данного процесса выбирается подход к управлению рисками, который должен включать в себя критерии оценки рисков, критерии оценки негативного влияния (англ. impact), критерии принятия рисков. Кроме этого, следует оценить и выделить необходимые для осуществления данного процесса ресурсы.

Критерии оценки рисков должны быть выработаны для оценки рисков ИБ в компании и должны учитывать стоимость информационных активов, требования к их конфиденциальности, целостности, доступности, роль информационных бизнес-процессов, требования законодательства и договорных обязательств, ожидания стейкхолдеров, возможные негативные последствия для гудвилла и репутации компании.

Критерии оценки негативного влияния должны учитывать уровень ущерба или затрат компании на восстановление после реализованного риска ИБ с учетом уровня значимости ИТ актива, нарушения информационной безопасности (т.е. потери активом свойств конфиденциальности, целостности, доступности), вынужденный простой бизнес-процессов, экономические потери, нарушение планов и дедлайнов, ущерб репутации, нарушение требований законодательства и договорных обязательств.

Критерии принятия рисков можно выразить как отношение ожидаемой бизнес-выгоды к ожидаемому риску. При этом для разных классов рисков можно применять различные критерии: например, риски несоответствия законодательству могут не быть приняты в принципе, а высокие финансовые риски могут быть приняты, если они являются частью договорных обязательств. Кроме этого, следует учитывать и прогнозируемый временной период актуальности риска (долгосрочные и краткосрочные риски). Критерии принятия рисков необходимо разрабатывать, учитывая желаемый (целевой) уровень риска с возможностью принятия топ-менеджментом рисков выше этого уровня в определенных обстоятельствах, а также возможность принятия рисков при условии последующей обработки рисков в течение оговоренного временного периода.

Кроме вышеперечисленных критериев, в рамках процесса определения контекста следует учесть границы и объем (англ. scope) процесса управления рисками ИБ: нужно принять во внимание бизнес-цели, бизнес-процессы, планы и политики компании, структуру и функции организации, применимые законодательные и иные требования, информационные активы, ожидания стейкхолдеров, взаимодействие с контрагентами. Рассматривать процесс управления рисками можно в рамках конкретной ИТ-системы, инфраструктуры, бизнес-процесса или в рамках определенной части всей компании.

2. Оценка рисков

В рамках проведения процесса оценки рисков компания должна оценить стоимость информационных активов, идентифицировать актуальные угрозы и уязвимости, получить информацию о текущих средствах защиты и их эффективности, определить потенциальные последствия реализации рисков. В результате оценки рисков компания должна получить количественную или качественную оценку рисков, а также приоритизацию этих рисков с учетом критериев оценки опасности рисков и целей компании. Сам процесс оценки рисков состоит из действий по идентификации (англ. identification) рисков, анализа (англ. analysis) рисков, оценки опасности (англ. evaluation) рисков.

2.1. Идентификация рисков

Целью идентификации рисков является определение того, что может случиться и привести к потенциальному ущербу, а также получить понимание того, как, где и почему этот ущерб может произойти. При этом следует учитывать риски вне зависимости от того, находится ли источник этих рисков под контролем организации или нет. В рамках данного процесса следует провести:

1. идентификацию (инвентаризацию) активов, получив в итоге список ИТ-активов и бизнес-процессов;
2. идентификацию угроз, при этом следует учитывать преднамеренные и случайные угрозы, внешние и внутренние источники угроз, а информацию о возможных угрозах можно получать как у внутренних источников в организации (юристы, HR, IT и т.д.), так и у внешних (страховые компании, внешние консультанты, статистическая информация и т.д.);
3. идентификацию имеющихся и запланированных к внедрению мер защиты для исключения их дублирования;
4. идентификацию уязвимостей, которые могут быть проэксплуатированы актуальными угрозами и нанести ущерб активам; при этом следует учитывать уязвимости не только в программном или аппаратном обеспечении, но и в структуре организации, её бизнес-процессах, персонале, физической инфраструктуре, отношениях с контрагентами;
5. идентификацию последствий реализации угроз нарушения конфиденциальности, целостности, доступности ИТ-активов.

2.2. Анализ рисков

Анализ рисков может быть проведен с различной глубиной, в зависимости от критичности активов, количества известных уязвимостей, а также с учетом ранее произошедших инцидентов. Методология анализа рисков может быть как качественной, так и количественной: как правило, вначале применяют качественный анализ для выделения высокоприоритетных рисков, а затем уже для выявленных рисков применяют количественный анализ, который является более трудоемким и дает более точные результаты.

При использовании качественного анализа специалисты оперируют шкалой описательной оценки опасности (например, низкая, средняя, высокая) потенциальных последствий неких событий и вероятности наступления этих последствий.

При использовании методов количественного анализа уже применяются численные величины, с учетом исторических данных об уже произошедших инцидентах. Следует при этом иметь ввиду, что в случае отсутствия надежных, проверяемых фактов количественная оценка рисков может дать лишь иллюзию точности.

При непосредственно самом процессе анализа рисков сначала проводится оценка потенциальных последствий инцидентов ИБ: оценивается уровень их негативного влияния на компанию с учетом последствий от нарушений свойств конфиденциальности, целостности, доступности информационных активов. Проводятся проверка и аудит имеющихся активов с целью их классификации в зависимости от критичности, также оценивается (желательно в денежных величинах) потенциальное негативное влияние нарушения свойств ИБ этих активов на бизнес. Оценка стоимости активов проводится в рамках анализа негативного влияния на бизнес (англ. Business Impact Analysis) и может быть рассчитана исходя из стоимости замены или восстановления активов/информации, а также последствий утери или компрометации активов/информации: рассматриваются финансовые, юридические, репутационные аспекты. Следует также учитывать, что угрозы могут затронуть один или несколько взаимосвязанных активов либо затронуть активы лишь частично.

Далее проводится оценка вероятности возникновения инцидента, т.е. всех потенциальных сценариев реализации угроз. Следует учесть частоту реализации угрозы и легкость эксплуатации уязвимостей, руководствуясь статистической информацией об аналогичных угрозах, а также данными о мотивации и возможностях преднамеренных источников угроз (построение модели нарушителя), привлекательности активов для атакующих, имеющихся уязвимостях, примененных мерах защиты, а в случае рассмотрения непреднамеренных угроз — учитывать местоположение, погодные условия, особенности оборудования, человеческие ошибки и т.д. В зависимости от требуемой точности оценки активы можно группировать или разделять с точки зрения применимых к ним сценариев атак.

Наконец, проводится определение уровня рисков для всех сценариев из разработанного списка сценариев атак. Величина ожидаемого риска является произведением вероятности сценария инцидента и его последствий.

2.3. Оценка опасности рисков

В рамках процесса оценки опасности рисков проводится сравнение полученных на предыдущем этапе уровней рисков с критериями сравнения рисков и критериями принятия рисков, полученными на этапе определения контекста. При принятии решений следует учитывать последствия реализации угроз, вероятность возникновения негативных последствий, уровень собственной уверенности в корректности проведенной идентификации и анализа рисков. Следует учесть свойства ИБ активов (например, если потеря конфиденциальности нерелевантна для организации, то все риски, нарушающие данное свойство, можно отбросить), а также важность бизнес-процессов, обслуживаемых определенным активом (например, риски, затрагивающие малозначимый бизнес-процесс, могут быть признаны низкоприоритетными).

3. Обработка рисков ИБ

К началу осуществления данного подпроцесса у нас уже имеется список приоритизированных рисков в соответствии с критериями оценки опасности рисков, связанных со сценариями инцидентов, которые могут привести к реализации этих рисков. В результате прохождения этапа обработки рисков мы должны выбрать меры защиты, предназначенные для модификации (англ. modification), сохранения (англ. retention), избегания (англ. avoidance) или передачи (англ. sharing) рисков, а также обработать остаточные риски и сформировать план обработки рисков.

Указанные опции обработки рисков (модификацию, сохранение, избегание или передачу) следует выбирать в зависимости от результатов процесса оценки рисков, ожидаемой оценки стоимости внедрения мер защиты и ожидаемых преимуществ каждой опции, при этом их можно комбинировать (например, модифицировать вероятность риска и передавать остаточный риск). Предпочтение следует отдавать легкореализуемым и низкобюджетным мерам, которые при этом дают большой эффект снижения рисков и закрывают большее количество угроз, а в случае необходимости применения дорогостоящих решений следует давать экономическое обоснование их применению. В целом, следует стремиться максимально снизить негативные последствия, а также учитывать редкие, но разрушительные риски.

В итоге ответственными лицами должен быть сформирован план обработки рисков, который чётко определяет приоритет и временной интервал, в соответствии с которыми следует реализовать способ обработки каждого риска. Приоритеты могут быть расставлены по результатам ранжирования рисков и анализа затрат и выгод (англ. cost-benefit analysis). В случае, если в организации уже были внедрены какие-либо меры защиты, будет разумно проанализировать их актуальность и стоимость владения, при этом следует учитывать взаимосвязи между мерами защиты и угрозами, для защиты от которых данные меры применялись.

В окончании составления плана обработки рисков следует определить остаточные риски. Для этого могут потребоваться обновление или повторное проведение оценки рисков с учетом ожидаемых эффектов от предлагаемых способов обработки рисков.

Далее рассмотрим подробнее возможные опции обработки рисков.

3.1. Модификация рисков

Модификация рисков подразумевает такое управление рисками путём применения или изменения мер защиты, которое приводит к оценке остаточного риска как приемлемого. При использовании опции модификации рисков выбираются оправданные и релевантные меры защиты, которые соответствуют требованиям, определенным на этапах оценки и обработки рисков. Следует учитывать разнообразные ограничения, такие как стоимость владения средствами защиты (с учетом внедрения, администрирования и влияния на инфраструктуру), временные и финансовые рамки, потребность в обслуживающем эти средства защиты персонале, требования по интеграции с текущими и новыми мерами защиты. Также нужно сравнивать стоимость указанных затрат со стоимостью защищаемого актива.К мерам защиты можно отнести: коррекцию, устранение, предотвращение, минимизацию негативного влияния, предупреждение потенциальных нарушителей, детектирование, восстановление, мониторинг и обеспечение осведомленности сотрудников.

Результатом шага «Модификация рисков» должен стать список возможных мер защиты с их стоимостью, предлагаемыми преимуществами и приоритетом внедрения.

3.2. Сохранение риска

Сохранение риска означает, что по результатам оценки опасности риска принято решение, что дальнейшие действия по его обработке не требуются, т.е. оценочный уровень ожидаемого риска соответствует критерию принятия риска. Отметим, что эта опция существенно отличается от порочной практики игнорирования риска, при которой уже идентифицированный и оцененный риск никак не обрабатывается, т.е. решение о его принятии официально не принимается, оставляя риск в «подвешенном» состоянии.

3.3. Избегание риска

При выборе данной опции принимается решение не вести определенную деятельность или изменить условия её ведения так, чтобы избежать риска, ассоциированного с данной деятельностью. Это решение может быть принято в случае высоких рисков или превышения стоимости внедрения мер защиты над ожидаемыми преимуществами. Например, компания может отказаться от предоставления пользователям определенных онлайн-услуг, касающихся персональных данных, исходя из результатов анализа возможных рисков утечки такой информации и стоимости внедрения адекватных мер защиты.

3.4. Передача риска

Риск можно передать той организации, которая сможет управлять им наиболее эффективно. Таким образом, на основании оценки рисков принимается решение о передаче определенных рисков другому лицу, например, путем страхования киберрисков (услуга, набирающая популярность в России, однако до сих пор в разы отстающая от объема этого рынка, например, в США) или путем передачи обязанности по мониторингу и реагированию на инциденты ИБ провайдеру услуг MSSP (Managed Security Service Provider) или MDR (Managed Detection and Response), т.е. в коммерческий SOC. При выборе опции передачи риска следует учесть, что и сама передача риска может являться риском, а также то, что можно переложить на другую компанию ответственность за управление риском, но нельзя переложить на нее ответственность за негативные последствия возможного инцидента.

4. Принятие риска

Входными данными этого этапа будут разработанные на предыдущем шаге планы обработки рисков и оценка остаточных рисков. Планы обработки рисков должны описывать то, как оцененные риски будут обработаны для достижения критериев принятия рисков. Ответственные лица анализируют и согласовывают предложенные планы обработки рисков и финальные остаточные риски, а также указывают все условия, при которых данное согласование выносится. В упрощенной модели проводится банальное сравнение величины остаточного риска с ранее определенным приемлемым уровнем. Однако следует учитывать, что в некоторых случаях может потребоваться пересмотр критериев принятия рисков, которые не учитывают новые обстоятельства или условия. В таком случае ответственные лица могут быть вынуждены принять такие риски, указав обоснование и комментарий к решению о невыполнении критериев принятия рисков в конкретном случае.

В итоге, формируется список принимаемых рисков с обоснованием к тем, которые не соответствуют ранее определенным критериям принятия рисков.

5. Внедрение разработанного плана обработки рисков. Коммуницирование рисков ИБ

На данном этапе осуществляется непосредственное претворение в жизнь разработанного плана обработки рисков: в соответствии с принятыми решениями закупаются и настраиваются средства защиты и оборудование, заключаются договоры кибер-страхования и реагирования на инциденты, ведется юридическая работа с контрагентами. Параллельно до руководства и стейкхолдеров доводится информация о выявленных рисках ИБ и принимаемых мерах по их обработке в целях достижения всеобщего понимания проводимой деятельности.
Разрабатываются планы коммуникации рисков ИБ для ведения скоординированной деятельности в обычных и экстренных ситуациях (например, на случай крупного инцидента ИБ).

6. Непрерывный мониторинг и пересмотр рисков

Следует учитывать, что риски могут незаметно меняться со временем: изменяются активы и их ценность, появляются новые угрозы и уязвимости, изменяются вероятность реализации угроз и уровень их негативного влияния. Следовательно, необходимо вести непрерывный мониторинг происходящих изменений, в том числе с привлечением внешних контрагентов, специализирующихся на анализе актуальных угроз ИБ. Требуется проводить регулярный пересмотр как рисков ИБ, так и применяемых способов их обработки на предмет актуальности и адекватности потенциально изменившейся ситуации. Особое внимание следует уделять данному процессу в моменты существенных изменений в работе компании и осуществляющихся бизнес-процессов (например, при слияниях/поглощениях, запусках новых сервисов, изменении структуры владения компанией и т.д.).

7. Поддержка и улучшение процесса управления рисками ИБ

Аналогично непрерывному мониторингу рисков следует постоянно поддерживать и улучшать сам процесс управления рисками для того, чтобы контекст, оценка и план обработки рисков оставались релевантными текущей ситуации и обстоятельствам. Все изменения и улучшения требуется согласовывать с заинтересованными сторонами. Критерии оценки и принятия рисков, оценка стоимости активов, имеющиеся ресурсы, активность конкурентов и изменения в законодательстве и контрактных обязательствах должны соответствовать актуальным бизнес-процессам и текущим целям компании. В случае необходимости нужно менять или совершенствовать текущий подход, методологию и инструменты управления рисками ИБ.

Изменения в стандарте PCI DSS и применимость стандарта в целом

Кратко: стандарт PCI DSS действует и продолжает быть нужным. Усложнились требования на соответствие ему, однако, значительная их часть выполняется достаточно легко.

Подробнее: стандарт PCI DSS не является государственным или национальным, он разработан Советом (PCI Council), и к нему присоединяются разнообразные платежные системы: Visa, Master, UnionPay, «Мир» и т.д.

Стандарт широко распространенный и зрелый, с понятными и привычными принципами, четкими правилами проверки и налаженной системой обучения и аккредитации аудиторов. Поэтому для платежных систем достаточно выгодно и удобно присоединиться к существующему стандарту, а не создавать свой.

Цепочка применения стандарта выглядит так: платежные системы, приходя в новую страну, подключают несколько крупных банков или процессинговых центров, и требуют от них:

• Соответствовать PCI DSS.
• Требовать соответствия PCI DSS от собственных клиентов (получающих доступ к платежной системе через эти крупные процессинговые центры).

В России подключение к платежным системам осуществляется через процессинг НСПК. НСПК еще и является оператором платежной системы «Мир», которая присоединилась к PCI DSS.

Таким образом, на территории России решения о соответствии PCI DSS принимает НСПК. И официальная позиция НСПК – необходимо продолжать соответствовать PCI DSS.

Кроме того, так как НСПК требует подтверждения соответствия клиентов от крупных банков и процессинговых центров, то и они в свою очередь продолжают требовать соответствия от своих клиентов и могут приостановить подключение к платежным системам при несоответствии.

Сложности в обеспечении соответствия стандарту такие:

1. Для успешной сертификации необходимо пройти ASV-сканирование на уязвимости. ASV-сканирование – это сервис, при оказании которого вендор (имеющий статус ASV) подтверждает корректность и применимость отчета. Абсолютное большинство сканирований производилось с помощью услуги от компании Qualys, которая ушла с рынка РФ. Но ASV-вендоров много, и найти другого – можно. Например, с помощью вашего PCI-аудитора.
2. Для успешной сертификации необходимо регулярно устанавливать обновления безопасности и обновления сигнатур средств защиты (антивируса, IPS, WAF и т.д.) Некоторые производители ушли с рынка, и обновления для них теперь не достать. Способ тут один – обновить сигнатурные средства защиты на что-то, для чего доступны обновления. В качестве временной меры можно перейти на публичные фиды сигнатур в snort-формате.

Источники:

https://www.pcisecuritystandards.org/minisite/ru-ru/&rut=196000823a8f6dc9d7cbace92c2e776cc05a56424a2d3fa09ddc01d70a10da36
https://ru.wikipedia.org/wiki/ISO/IEC_27001&rut=07edc73d95c955847bbddeb15d80aedb370bb8832f818af1e47f54a8d7b15e35
https://habr.com/ru/articles/661407/&rut=7185ce2f0fbcfc28fb82444b58ea5d13d1a86ba54b9997b92f221a591d6373a1
https://ru.wikipedia.org/wiki/%D0%A1%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82%D1%8B_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8&rut=fe95923d11eeca662b98dcef46bc495637f65452aa45b3cd2dd24a274880db18
https://www.iso.org/ru/contents/news/2022/10/new-iso-iec-27001.html&rut=c508c32b03e1deda128a809e2d3ab438bfed6f9459cd747b54b6427dc98341cb
https://www.iso.org/ru/standard/27001&rut=420eddfb48817433ecde1c057c8c65f722ab43c4a63ae9f4ead33eb52e932a68
https://habr.com/ru/articles/495986/&rut=4cb2dea437af52dd2e6ebe859d1d80cdd851d0ca1b5fcdeeeb5fe228455ca56b
https://habr.com/ru/companies/nubes/articles/681536/&rut=58683d704ca5be7463b09fc060a2201622cb0ad788a4ed59655aa4c8dfa7aa5c
https://ru.wikipedia.org/wiki/ISO/IEC_27002&rut=29d2bd645813d7933664eba01a0ed2d5d81b02418648da744ce88eee1cd8bfeb