2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.
Примечание - Следует заметить, что понятие "защитная мера"может считаться синонимом понятию "контроль" (см. 2.7).
2.25 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.
2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
3 Концепции безопасности и взаимосвязи
3.1 Принципы безопасности
Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:
- менеджмент риска - активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
- обязательства - важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;
- служебные обязанности и ответственность - руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;
- цели, стратегии и политика - управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации.
- управление жизненным циклом - управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
Ниже с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характеристики каждого компонента и указаны основные сопряженные с ним факторы.
3.2 Активы
Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не ограничиваются):
- материальные активы (например вычислительные средства, средства связи, здания);
- информацию (данные) (например документы, базы данных);
- программное обеспечение;
- способность производить продукт или предоставлять услугу;
- людей;
- нематериальные ресурсы (например престиж фирмы, репутацию).
Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифицированы активы организации. Во многих случаях процесс идентификации активов и установления их ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длительной процедуры. Степень детализации данной процедуры должна определяться отношением величины временных и финансовых затрат к ценности активов. Во всех случаях степень детализации должна быть установлена, исходя из целей безопасности.
Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины: ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особенности в упомянутых условиях могут иметь существенное значение для международных организаций и трансконтинентального использования ИТТ.
Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы.
3.3 Угрозы
Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом. Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере. Ущерб активам может быть нанесен только при наличии у них уязвимости. Угрозы могут быть естественного происхождения или связаны с человеческим фактором. В последнем случае угрозы могут быть случайными или целенаправленными. Примеры угроз приведены в таблице 1. Угрозы, как случайные, так и преднамеренные, должны быть идентифицированы, а их уровень и вероятность возникновения должны быть оценены. По многим видам угроз среды собраны статистические данные. Эти данные могут быть использованы организацией при оценке угроз.
Таблица 1 - Примеры угроз | |||
Угрозы, обусловленные человеческим фактором | Угрозы среды | ||
целенаправленные | случайные | ||
| Подслушивание/перехват.Модификация информации.Атака хакера на систему.Злонамеренный код.Хищение | Ошибки и упущения.Удаление файла.Ошибка маршрутизации.Материальные несчастные случаи | Землетрясение.Молния.Наводнение.Пожар | |
Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств. Некоторые угрозы могут быть общими для всей организации, например ущерб зданиям от урагана или молнии. Угроза может исходить как изнутри организации, например забастовка сотрудников, так и снаружи, например атаки хакеров или промышленный шпионаж. Размер ущерба от угрозы может варьироваться при каждом ее возникновении. Ущерб, наносимый нежелательным инцидентом, может быть временным или постоянным, как в случае разрушения актива.
Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими компонентами безопасности:
- источник, внутренний или внешний;
- мотивация, например финансовая выгода, конкурентное преимущество;
- частота возникновения;
- правдоподобие;
- вредоносное воздействие.
Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие.
Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды.
При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий.
3.4 Уязвимости
Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы. Следует рассматривать уязвимости, возникающие из различных источников, например внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.
Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов.
В конкретных системе или организации не все уязвимости соответствуют угрозам. В первую очередь следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силу того, что окружающая среда может непредсказуемо меняться, необходимо вести мониторинг всех уязвимостей для того, чтобы вовремя выявлять те из них, которые могут использовать вновь появляющиеся угрозы.
Оценка уязвимостей - это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб.
При оценке уровень уязвимости может быть определен как высокий, средний или низкий.
3.5 Воздействие
Воздействие - это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.
Количественное и качественное измерение воздействия могут быть проведены:
- определением финансовых потерь;
- использованием эмпирической шкалы серьезности воздействия, например от 1 до 10;
- использованием заранее оговоренных уровней (высокий, средний и низкий).
3.6 Риск