Мастер-класс по анализу рисков

информационной безопасности
Александр Дорофеев, CISSP, CISA, CISM
Директор по развитию
 2
СОДЕРЖАНИЕ
1. Разберемся с понятиями
2. Узнаем, что такое управление рисками
3. Желающие могут решить кейс (первые 3 получат книжку в
подарок)

npo-echelon.ru
 3
Что такое риск?
Риск – влияние неопределенности
на цели*

Риск = вероятность события X последствия

*ГОСТ Р ИСО 31000-2010

npo-echelon.ru
 4
Управление рисками
cистематическое применение
политик, процедур и практик
менеджмента к деятельности по
обмену информацией,
консультированию, установлению
ситуации (контекста) и
идентификации, анализу,
оцениванию, воздействию на риск,
мониторингу и пересмотру риска (risk
management process)

[Руководство ИСО 73:2009,

определение 3.1]

npo-echelon.ru
 5
Еще несколько важных понятий
Попытка
кражи

Попытка
взлома

Падение
метеорита

Угрозы (threats)
Контрмеры (controls) Активы (assets)
npo-echelon.ru
 6
От УГРОЗЫ к РИсКУ Условная граница

Угроза – что-то Риск – что-то конкретное и

абстрактное и далекое осознаваемое с вероятностью
и последствиями

npo-echelon.ru
 Управление рисками – ядро системы менеджмента 7

информационной безопасности

npo-echelon.ru
 8
ISO 27001 об управлении рисками

1 НЕОБХОДИМО ОПРЕДЕЛИТЬ
КРИТЕРИИ ОЦЕНКИ РИСКОВ 2 ОБЕСПЕЧИТЬ
ПОВТОРЯЕМОСТЬ
ПРОЦЕССА 3 ИДЕНТИФИЦИРОВАТЬ
РИСКИ

4 ПРОВЕСТИ АНАЛИЗ
5 ПРОВЕСТИ ОЦЕНИВАНИЕ

npo-echelon.ru
 9
Критерии риска (risk criteria)
Признаки, в соответствии
с которыми оценивают значимость риска.

Примечание 1— Критерии риска основываются на целях организации

и внешней и внутренней ситуации (контекста).

Примечание 2 — Критерии риска могут быть взяты из стандартов,

законов, политик и других требований.

[Руководство ИСО 73:2009, определение 3.3.1.3]

npo-echelon.ru
 Для чего нужна информационная
безопасность в организации?

npo-echelon.ru
 11
Цели информационной безопасности

Минимизация
Позитивный
Финансовых Выполнение требований
имидж
потерь законодательства и др.

npo-echelon.ru
 12
Критерии оценки последствий реализации угрозы
Финансовые Проблемы Удар по
I потери с регулятором имиджу

> 1 млн р. отзыв

Высокий лицензии 1 канал

500 т.р. … 1 млн р. штраф известный

Средний
блогер

< 500 т.р. замечание газета

Низкий

npo-echelon.ru
 13

Что влияет на оценку вероятности

реализации угрозы?

npo-echelon.ru
 14

Привлекательность Мотивация Доступность

цели злоумышленника инструментов

Наличие Наличие
уязвимостей Информация
контрмер
о прошедших событиях
npo-echelon.ru
 15
Критерии оценки вероятности реализации угрозы
Своя Уязвимости Доступность
P статистика инструментов

еженедельно много opensource

Высокий

ежемесячно обнаружены можно купить

Средний
за недорого

Низкий ежегодно отсутствуют очень дорого

npo-echelon.ru
 16
R=P*I
Низкий Средний Высокий

P
Низкий

Средний

Высокий

npo-echelon.ru
 17
Критерии принятия рисков
Внедряем контрмеры

Постоянно
отслеживаем
ситуацию

Принимаем

npo-echelon.ru
 18
Повторяемость процесса

Методика оценки
рисков должна быть
зафиксирована

npo-echelon.ru
 19
Оценка риска (assessment)

Идентификация (identification) Анализ (analysis) Оценивание (evaluation)

npo-echelon.ru
 20
Идентификация риска (risk identification)
Процесс обнаружения, распознавания и описания рисков.

[Руководство ИСО 73:2009, определение 3.5.1]

npo-echelon.ru
 21
Специализированные
Своя статистика
каталоги

Идентификация угроз/рисков

Экспертное мнение Новости

…
5 000 ₽

npo-echelon.ru
 Для идентификации рисков необходимо владеть 22

информацией об источниках угроз и активах

Попытка
кражи

Попытка
взлома

Падение
метеорита

npo-echelon.ru
 23
Каталоги угроз от специальных служб

БДУ ФСТЭК России Каталог угроз и контрмер от Федеральной службы

информационной безопасности Германии

http://bdu.fstec.ru/threat https://download.gsb.bund.de/BSI/ITGSKEN/IT-GSK-13-EL-en-all_v940.pdf
npo-echelon.ru
 24
Можно рассмотреть
Плохой примервсего три риска,
идентификации но будет
рисков
ли в этом смысл?

npo-echelon.ru
 25
При желании можно утонуть в деталях…

npo-echelon.ru
 26
Ищем золотую середину в детализации рисков

Детализация
Абстрактные рисков, Детальные
соответствующая
риски ситуации
риски

npo-echelon.ru
 27
Анализ риска
Анализ риска (risk analysis): Процесс понимания природы риска и
определения уровня риска

Примечание 1 — Анализ риска обеспечивает основу для

оценивания риска и решений, касающихся воздействия на риск.

Примечание 2 — Анализ риска включает определение степени

риска.
[Руководство ИСО 73:2009, определение 3.6.1]

npo-echelon.ru
 28
Анализ риска внешнего проникновения

Инцидентов не было Используются межсетевые экраны, НОУ-ХАУ, которые в

системы обнаружения вторжений, случае попадания
В ходе внешнего тестирования антивирусное ПО… в руки конкурентов
на проникновение доступ повлекут потери в доходах
получен не был миллионы рублей.

P I R
Риск внешнего проникновения

npo-echelon.ru
 29
Оценивание риска
Оценивание риска (risk evaluation): Процесс сравнения результатов
анализа риска с установленными критериями риска для
определения, является ли риск и/или его величина приемлемыми
или допустимыми.

Примечание — Оценивание риска способствует принятию решения

относительно воздействия на риск

[Руководство ИСО 73:2009, определение 3.7.1]

npo-echelon.ru
 30
Критерии принятия рисков
Внедряем контрмеры

Постоянно
отслеживаем
ситуацию

Принимаем

npo-echelon.ru
 31

Варианты обработки рисков

(risk treatment)

npo-echelon.ru
 32

Минимизировать Избежать

Что можно с риском сделать?

Передать Принять
5 000 ₽

npo-echelon.ru
 33

Минимизация риска путем внедрения контрмер – самый

любимый менеджерами ИБ
способ обработки риска

npo-echelon.ru
 34
Контрмеры можно классифицировать по характеру:

Физическая Техническая Организационная

npo-echelon.ru
 35
а можно по целевому назначению

Превентивная – «не допустить!»

Детектирующая – «обнаружить и зафиксировать!»

Корректирующая – «остановить!»
Восстанавливающая – «восстановить, как было!»

npo-echelon.ru
 36

Открываем ночной клуб

npo-echelon.ru
 37

Оцениваем риск нападения со стороны хулиганов как высокий

npo-echelon.ru
 38
Внедряем контрмеры

Физическая охрана Система видеонаблюдения Инструктаж сотрудников

npo-echelon.ru
 39

Система безопасности в действии…

npo-echelon.ru
 40

Превентивная мера не
сработала.

npo-echelon.ru
 41
Детектирующая мера

npo-echelon.ru
 42
Корректирующая мера

Корректирующая мера

npo-echelon.ru
 43
Восстанавливающая мера

npo-echelon.ru
 44
Примеры из чудесного мира ИБ

Превентивная – межсетевой экран

Детектирующая – система обнаружения вторжений

Корректирующая – система предотвращения вторжений

Восстанавливающая – резервное копирования

npo-echelon.ru
 Некоторые контрмеры 45

могут быть отнесены к любому типу

npo-echelon.ru
 46
Резюме Идентификация

Оценка Анализ

Оценивание
Управление
рисками Минимизация

Передача
Обработка
Избежание

Принятие

npo-echelon.ru
 47
Что почитать?
1. ISO 27001
2. ISO 31000
3. ISO 31010
4. «7 безопасных информационных технологий»
5. https://habrahabr.ru/company/echelon/

npo-echelon.ru
 48

СПАСИБО ЗА ВНИМАНИЕ!

Александр Дорофеев
CISSP, CISA, CISM
Директор по развитию
+7 (915) 056 95 74
a.dorofeev@npo-echelon.ru

npo-echelon.ru
49