Критика рисков – главный процедура при построении любой Системы управления информационной безопасности в организации. Далее проведения анализа рисков определяются механизмы и взгляды защиты информации, необходимые для обеспечения снижения рисков безопасности, внедряются программные, аппаратно-технические и организационные методы защиты.
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – является методологией анализа рисков, которая включает выполнение всех фаз по определению и оценке критичных активов, угроз и уязвимостей для организации. Проведение анализа рисков с помощью метода OCTAVE разбивается на фазы и отдельные процессы.
Подготовительные мероприятия:
• Поддержка руководства;
• Селекция аналитической группы;
• Выбор области деятельности (Scope) анализа;
• Выбор участников анализа рисков (сотрудники из разных подразделений, которые содействуют процессу).
Период 1. Вычерчивание модели угроз, основанной на активах.
Аналитическая группа определяет критические активы для организации, и определяет внедренные методы защиты.
Протекание 1. Определение знаний высшего руководства.
• определение важных активов – высшее высшие круги определяет, какие авуары важны для организации. Расставляются приоритеты активов, для определения пяти самых важных;
• описываются варианты реализации угроз – для пяти в наибольшей степени важных активов руководство описывает сценарии угроз для сих активов;
• определение свойств безопасности для важных активов;
• нахождение стратегий защиты и уязвимостей организации;
• пересмотр выбранных менеджеров подразделений (участники опросов в подразделениях организации).
Активы делятся на такие категории:
• Материал – в электронном виде и неэлектронном виде;
• Системы;
• Программное порука;
• Физическое приборы;
• Люди.
Список литературы угроз информации:
• преднамеренные действия человека;
• случайные действия человека;
• системные проблемы (уязвимости ИТ структуры);
• кое-кто проблемы.
Последствия реализации угрозы
• раскрытие (disclosure) - нарушение конфиденциальности чувствительной информации;
• модификация (modification) - правонарушение целостности чувствительной информации;
• экоцид или потеря (loss, destruction) важной информации, оборудования, ПО;
• прерывание в работе (interruption) - сбой доступности важной информации, ПО, сервисов.
Свойства безопасности для активов. Свойства безопасности определяют характерная черта актива, которое является важным для защиты:
• Конфиденциальность;
• Целостность;
• Открытость;
Для актива «Человеческое» определяется только Доступность.
Так, для актива определены такие свойства безопасности:
• Толковость – доступ к активу можно зашибить деньгу 24/7;
• Конфиденциальность – подход на считывание имеют только-только авторизированные пользователи.
Спор 2. Определение знаний менеджеров подразделений
Выбранные менеджеры подразделений определяют важные авуары, угрозы, свойства безопасности для активов, текущие практики безопасности, уязвимости.
В результате процесса получаются все нужные данные от менеджеров подразделений.
Процесс 3: Определение знаний персонала
Выбранные сотрудники (ИТ-сотрудники и отдельные люди) организации определяют важные авуары (для их работы), угрозы, свойства безопасности для активов, внедренные контроли безопасности, уязвимости.
Движение 4. Создание модели угроз
Аналитическая союз анализирует полученную информацию после Процессов 1-3, выделяет критичные активы, уточняют относящиеся к ним свойства безопасности, определяет угрозы для активов, создается модель угроз.
Описание процесса:
• Сковать информацию о активах на разных организационных уровнях (высшее командование, подразделения, люди );
• Объединить свойства безопасности по активам и разным организационным уровням;
• Объединить угрозы по активам и разным организационным уровням;
• Выбрать критичные активы – документ «Профиль актива»;
• Воссоздать свойства безопасности для критичных активов;
• Устроить угрозы для критичных активов.
Протокол «Группы активов» состоит из
• Критических активов;
• Причин, в честь чего участники опросов отнесли активы к критическим;
• Оставшиеся активы, которые были определены.
Создается деловая бумага «Профиль актива» для каждого выбранного критического актива. В нем собирается вся рэнкинг по конкретному активу, строиться прототип угроз для актива.
Модель угроз определяет ряд угроз, которые могут показывать воздействие на каждый кризисный активы. Имитация включает в себя категории, которые сгруппированы по виду источника угрозы:
• Воздействие человека, необходимо вытекающий доступ (преднамеренное или случайное);
• Воздействие человека, физический доступ;
• Системные проблемы (дефекты оборудования, дефекты ПО, вирусы, предумышленный код и т.д.);
• Остальные проблемы (вне контроля организации – природные катастрофы, проблемы электропитания, водоснабжения).
Дополнительно, для каждой угрозы определяются следующие данные:
• Достижения;
• Нарушитель (кто или что нарушает свойства безопасности актива);
• Довод (необязательно – определяет преднамеренно или нет);
• Впуск (рекомендательно – определяет, каким образом нарушитель получит подход к активу – логический, физический);
• Последствия реализации угрозы (раскрытие, модификация, обрушение или утечка, прерывание в работе).
Параметры «Мотив» и «Доступ» включаются только, поздно ли обещание является действием человека.
В «Модели угроз» угрозы могут продолжаться визуально представлены в древовидной структуре. Одно для каждой категории угрозы. Оно будет любить вид дерева рисков, так как будет включать угрозу совершенство результирующее стимулирование этой угрозы.
Каждая угроза характеризуется разными вариантами реализации, которые отображаются в дереве. Выбираем варианты реализации угрозы для каждой угрозы и строим балка.
Пример:
Версия реализации угрозы: Пользователи спорадически вводят неправильные данные в систему АВС. Плод: неправильные записи в системе.
Норма угрозы:
• Актив – исходны данные системы АВС;
• Нарушитель – инсайдер;
• Стимул – нечаянно;
• Доступ – логический;
• Последствия реализации угрозы – модификация.
Получаем следующее дерево для этого варианта угрозы:
В результате, при учете всех вариантов реализации угроз для каждой категории угроз получаем такой ладграф.
Страница 2: Угадывание уязвимостей инфраструктуры
Оценка информационной инфраструктуры. Аналитическая группа определяет ключевые уязвимые компоненты сети (технологическая уязвимость), которые могут привести к неавторизированным действиям с критическими активами.
Процесс 5. Обозначение ключевых компонентов
Определение ключевых информационных систем и компонентов для каждого критического актива.
Для каждой угрозы критического актива определяется «путь доступа» к активу (какие компоненты системы задействованы при реализации угрозы), на который воздействуют, для определения ключевых компонентов критического актива.
Классы ключевых компонентов:
• Сервера;
• Компоненты яма – коммутаторы, маршрутизаторы;
• Компоненты защиты – файерволы, IDS;
• Рабочая сила станции пользователей;
• Свои компьютеры пользователей;
• Ноутбуки;
• Устройства хранения данных;
• Другое.
Замерить информацию о вашей инфраструктуре можно с помощью:
• Сканера архитектуры сети;
• Диаграммы топологии путы;
• Перечня компьютеров и оборудования, которым владеет союз (инвентаризация оборудования).
Проводиться оценка компонентов сети, для чего выбираются компоненты в документе «Выбранный подход для оценки каждого компонента инфраструктуры» определяется:
• Имя выбранного компонента, включая IP адрес и host/DNS имя;
• Пружина выбора;
• Аспект к оценке каждого компонента - кто будет оформлять оценку и с через какого средства нахождения уязвимости.
Типы средств нахождения уязвимостей:
• Сканеры ОС;
• Сканеры сетевой инфраструктуры;
• Специальные, целевые или гибридные сканеры – сканируют разное ПО, БД, Веб-приложения;
• Опросники – не автоматические;
• Скрипты – равно как что и автоматические, имеющие только одну функцию.
Процесс 6: Оценка выбранных компонентов
Аналитическая коалиция проводит обследование ключевых компонентов на технологические недостатки. Используются собственность обнаружения уязвимостей.
Состоит из таких этапов:
• Запустить средство обнаружения уязвимостей на выбранных инфраструктурных компонентах, получить исповедание с результатами;
• Обсудить результаты обнаружения и определить какие из найденных уязвимостей должны быть исправлены сию минуту (высокая критичность), пролететь вихрем (средней критичности) или позже ( малокритичные ). Это зависит как от степени тяжести уязвимости, так и от критичности актива. Последний отчет отражается в «Профиле актива».
Средства обнаружения уязвимостей должны давать такую информацию по в одни руки компоненту:
• Название уязвимости;
• Описание;
• Степень критичности;
• Действия по устранению.
Каталог известных уязвимостей – Common Vulnerabilities and Exposures - http://cve.mitre.org/
Технологические уязвимости группируются в такие категории:
• Уязвимости разработки – уязвимость, которая появилась при разработке оборудования или ПО;
• Уязвимости внедрения;
• Уязвимости конфигурации или администрирования.
Стадия 3: Разработка Стратегии защиты и планов
На этой фазе определяются риски для критических активов организации, и принимается решение по их защите.
Процесс 7: Проведение анализа рисков
Аналитическая учалка определяет воздействие угрозы на зубодробительный достижения, создает критерии оценки для этих рисков, и оценивает воздействия по этому критерию.
Действие охватывает следующие действия:
• Нахождение воздействия угрозы на критический актив – для каждого критического актива, определяется реальное воздействие на организацию (нап. – смерть пациента) для каждого последствия угрозы (нап. – модификация данных пациента). Маневр угрозы и результирующего воздействия на организацию определяет небезопасность для организации, который проставляем для каждого воздействия - высоконький, дюжинный, низкий (High, Medium, Low);
• Создание критерия оценки рисков – Для множественных аспектов определены уровни качественной оценки – перворазрядный, обыкновенный, низкий. Для каждой категории воздействия определяется, какие воздействия попали в высокую, среднюю или низкую шкалу отметка;
• Отдать должное стимулирование на критические актив – базируясь на критерии оценки, каждое последствие каждой угрозы оценивается как высокое, среднее и низкое воздействие (дополняется эрл угроз). Вся репортаж записывается в «Профиль актива».
Категории воздействия угрозы на организацию:
• Репутация / конфиденция клиентов;
• Жизнь / здоровье клиентов;
• Штраф;
• Финансовое.
Действие 8: Исследование стратегии защиты
Делиться на два этапа:
Этап 1
Аналитическая кавалькада разрабатывает стратегию защиты для организации и план по уменьшению риска для критических активов.
Путь делиться на такие действия:
• Разобрать результаты опросов, сделанных на начальных этапах. Создается сводная таблица опросов на всех уровнях организации (высшее пособие, подразделения, аппарат). Выделить внедренные практики и организационные уязвимости, по мнению опрошенных;
• Исследование информации – осуществляется анализ информации, полученной на предыдущих этапах. Включает в себя уязвимости, практики, информация о рисках, свойства безопасности критических активов;
• Разработка стратегии защиты – которая построена на основе Каталога практик OCTAVE (Рис.1). Должны включаться те практики, которые аналитическая корпорация считает важными для внедрения на основе проведенного анализа, и те, которые уже существуют в организации;
• Подготовка плана по уменьшению рисков – для каждого актива создается такой план, который-нибудь служит для предотвращения, обнаружения, восстановления актива от каждого черта и объясняет, как излагать оперативность действий по уменьшению отметка;
• Разрез перечня действий – палитра срочных действий, включающий уязвимости, которые должны по щучьему велению быть устранены. Это поведение, которые возможно отмочить без дополнительного обучения, изменения государственный деятель и т.д.
Производство стратегии защиты
Вначале разрабатывается документ – Стратегия защиты для стратегических практик (Protection Strategy for Strategic Practices), который содержит такие категории практик:
• Security Awareness and Training – Выезживание и осведомленность персонала;
• Security Strategy – Стратегии ИБ;
• Security Management – Заведывание ИБ;
• Security Policies and Regulations – Мировоззрение и политики ИБ;
• Collaborative Security Management – Совместное управление ИБ;
• Contingency Planning/Disaster Recovery – Маруха действий при аварийных ситуациях / Канва восстановления после бедствий.
Для каждой области кажется включаться следующее:
• Внедренные практики, которые общество должна возобновлять пользоваться;
• Новые практики, которые должны быть внедрены.
Далее должен быть разработан документ – Стратегия защиты для оперативных практик (Protection Strategy for Operational Practices), каковой заключает такие категории практик:
• Physical Security – Физическая сохранение;
• Information Technology Security – IT защита;
• Staff Security – Ограда персонала.
Создание плана по уменьшению рисков
План по уменьшению рисков фокусируется на:
• Определение и детектирование угроз, при их возникновении;
• Ограждение угроз;
• Реставрация после совершенной атаки на критический актив.
План по уменьшению рисков реализуется для каждой категории угроз критического актива, определяются конкретные административные, физические и технические практики для уменьшения риска.
Разработка перечня действий
При построении стратегии защиты и плана по уменьшению рисков, надо быть определено любое краткосрочное действие, которое поможет внедрить стратегии и мероприятия.
Для каждого действия определяется ответственный сослуживец, дата выполнения и требуемые действия руководства.
Фаза 2
Разборка высшим руководством разработанной стратегии, уточнение, одобрение стратегии и планов.
• Подкованность презентационного материала для высшего руководства – может быть необязательным, зависит от того каким образом проводиться презентация;
• Обзор анализа рисков – аналитическая систематизирование представляет всю информацию по критическим активам. Эта извещение дает высшему руководству понимание, на чем основывался выбор стратегии защиты и планов защиты;
• Обзор и конкретизация стратегии защиты, плана по уменьшению рисков, перечня краткосрочных действий – аналитическая страта представляет стратегии, планы и образ действий. Высшее верхушка может вносить изменения, дополнения или удаления;
• Проходка следующих шагов – высшее руководство решает, как вводить стратегии, планы и поведение. Определяется, что должно проводиться, кем и когда.
Разрез актива
Результирующим документом по анализу рисков является справка «Профиль актива», который должен вовлекать такие разделы:
1. Информация про актив:
• Имя актива;
• Причина выбора актива как критического;
• Краткое инструкция (кто контролирует патент, ответственный за актив, и т.д.).
2. Свойства безопасности актива – определяются какие то-то и есть свойства безопасности нужно сообразоваться для конкретного критического актива:
• Конфиденциальности;
• Целостность;
• Доступность;
• Другое.
3. Проплазма угроз для актива. Для каждой категории угроз отображается ебеновое дерево возможных вариантов реализации угроз.
4. Ключевые компоненты системы, связанные в критическим активом:
• Обсерватория системы интереса для критического актива;
• Намечание конкретных ключевых компонентов.
5. Выбор компонентов для оценки на уязвимости – для каждой категории компонентов определяются конкретные компоненты для проверки.
6. Результаты проверки выбранных компонентов:
• Род уязвимости;
• Побуждение на актив;
• Действия и рекомендации по закрытию уязвимости.
7. Профиль риска. Для каждой категории последствий угрозы (открывание, модифицирование, разрушение или афония, прерывание в работе) определено:
• Набор конкретных воздействий на актив при реализации этой угрозы. При этом рассматриваются все категории воздействия;
• Оценка сего воздействия.
Для категории воздействия разобрать какие угрозы относятся к какому уровню критичности (High, Medium, Low).
8. Состряпывание плана по уменьшению метка для каждой категории угрозы.
Впоследствии оценки рисков
Построение должна насадить выбранную стратегию защиты и план уменьшения рисков для улучшения состояния защиты информации в организации. Но сфера информационной защиты постоянно развивается, планы и практики, внедренные сегодняшний день могут быть недостаточными посредством слегка месяцев. Информационные технологию будут продолжать развиваться с пиздец скоростью, и нарушители будут думать новые пути взлома безопасности вашей организации. Посему информационная защищенность организации должна постоянно улучшиться.
Плод анализа рисков методом OCTAVE дает становая жила для процесса улучшения ИБ. Как на все про все процесс анализа завершен, должны совершаться следующие действия:
• Прослеживание процесса внедрения стратегий защиты и плана по уменьшению рисков;
• Отслеживание рисков ИБ, отбор новых рисков, изменения в существующих;
• Непрерывная проверка внедренных практик ИБ.
В помощь для дальнейших действий по развитию системы информационной безопасности OCTAVE предоставляет опросники (для проверки уже сделанных действий) и примеры действий после оценки (для помощи во внедрении и разработке документации).
Дроздова Ольга,
аналитик по безопасности
Промо-сайт Почему вам лучше подумать о своем бизнесе уже сейчас? План «Путинка» победа России! Тайны Древних Льдов Как изготовить наглядные пособия по сельхоз технике