Вы находитесь на странице: 1из 49

Мастер-класс по анализу рисков

информационной безопасности
Александр Дорофеев, CISSP, CISA, CISM
Директор по развитию
2
СОДЕРЖАНИЕ
1. Разберемся с понятиями
2. Узнаем, что такое управление рисками
3. Желающие могут решить кейс (первые 3 получат книжку в
подарок)

npo-echelon.ru
3
Что такое риск?
Риск – влияние неопределенности
на цели*

Риск = вероятность события X последствия

*ГОСТ Р ИСО 31000-2010

npo-echelon.ru
4
Управление рисками
cистематическое применение
политик, процедур и практик
менеджмента к деятельности по
обмену информацией,
консультированию, установлению
ситуации (контекста) и
идентификации, анализу,
оцениванию, воздействию на риск,
мониторингу и пересмотру риска (risk
management process)

[Руководство ИСО 73:2009,


определение 3.1]

npo-echelon.ru
5
Еще несколько важных понятий
Попытка
кражи

Попытка
взлома

Падение
метеорита

Угрозы (threats)
Контрмеры (controls) Активы (assets)
npo-echelon.ru
6
От УГРОЗЫ к РИсКУ Условная граница

Угроза – что-то Риск – что-то конкретное и


абстрактное и далекое осознаваемое с вероятностью
и последствиями

npo-echelon.ru
Управление рисками – ядро системы менеджмента 7

информационной безопасности

npo-echelon.ru
8
ISO 27001 об управлении рисками

1 НЕОБХОДИМО ОПРЕДЕЛИТЬ
КРИТЕРИИ ОЦЕНКИ РИСКОВ 2 ОБЕСПЕЧИТЬ
ПОВТОРЯЕМОСТЬ
ПРОЦЕССА 3 ИДЕНТИФИЦИРОВАТЬ
РИСКИ

4 ПРОВЕСТИ АНАЛИЗ
5 ПРОВЕСТИ ОЦЕНИВАНИЕ

npo-echelon.ru
9
Критерии риска (risk criteria)
Признаки, в соответствии
с которыми оценивают значимость риска.

Примечание 1— Критерии риска основываются на целях организации


и внешней и внутренней ситуации (контекста).

Примечание 2 — Критерии риска могут быть взяты из стандартов,


законов, политик и других требований.

[Руководство ИСО 73:2009, определение 3.3.1.3]

npo-echelon.ru
Для чего нужна информационная
безопасность в организации?

npo-echelon.ru
11
Цели информационной безопасности

Минимизация
Позитивный
Финансовых Выполнение требований
имидж
потерь законодательства и др.

npo-echelon.ru
12
Критерии оценки последствий реализации угрозы
Финансовые Проблемы Удар по
I потери с регулятором имиджу

> 1 млн р. отзыв


Высокий лицензии 1 канал

500 т.р. … 1 млн р. штраф известный


Средний
блогер

< 500 т.р. замечание газета


Низкий

npo-echelon.ru
13

Что влияет на оценку вероятности


реализации угрозы?

npo-echelon.ru
14

Привлекательность Мотивация Доступность


цели злоумышленника инструментов

Наличие Наличие
уязвимостей Информация
контрмер
о прошедших событиях
npo-echelon.ru
15
Критерии оценки вероятности реализации угрозы
Своя Уязвимости Доступность
P статистика инструментов

еженедельно много opensource


Высокий

ежемесячно обнаружены можно купить


Средний
за недорого

Низкий ежегодно отсутствуют очень дорого

npo-echelon.ru
16
R=P*I
Низкий Средний Высокий

P
Низкий

Средний

Высокий

npo-echelon.ru
17
Критерии принятия рисков
Внедряем контрмеры

Постоянно
отслеживаем
ситуацию

Принимаем

npo-echelon.ru
18
Повторяемость процесса

Методика оценки
рисков должна быть
зафиксирована

npo-echelon.ru
19
Оценка риска (assessment)

Идентификация (identification) Анализ (analysis) Оценивание (evaluation)

npo-echelon.ru
20
Идентификация риска (risk identification)
Процесс обнаружения, распознавания и описания рисков.

[Руководство ИСО 73:2009, определение 3.5.1]

npo-echelon.ru
21
Специализированные
Своя статистика
каталоги

Идентификация угроз/рисков

Экспертное мнение Новости



5 000 ₽

npo-echelon.ru
Для идентификации рисков необходимо владеть 22

информацией об источниках угроз и активах

Попытка
кражи

Попытка
взлома

Падение
метеорита

npo-echelon.ru
23
Каталоги угроз от специальных служб

БДУ ФСТЭК России Каталог угроз и контрмер от Федеральной службы


информационной безопасности Германии

http://bdu.fstec.ru/threat https://download.gsb.bund.de/BSI/ITGSKEN/IT-GSK-13-EL-en-all_v940.pdf
npo-echelon.ru
24
Можно рассмотреть
Плохой примервсего три риска,
идентификации но будет
рисков
ли в этом смысл?

npo-echelon.ru
25
При желании можно утонуть в деталях…

npo-echelon.ru
26
Ищем золотую середину в детализации рисков

Детализация
Абстрактные рисков, Детальные
соответствующая
риски ситуации
риски

npo-echelon.ru
27
Анализ риска
Анализ риска (risk analysis): Процесс понимания природы риска и
определения уровня риска

Примечание 1 — Анализ риска обеспечивает основу для


оценивания риска и решений, касающихся воздействия на риск.

Примечание 2 — Анализ риска включает определение степени


риска.
[Руководство ИСО 73:2009, определение 3.6.1]

npo-echelon.ru
28
Анализ риска внешнего проникновения

Инцидентов не было Используются межсетевые экраны, НОУ-ХАУ, которые в


системы обнаружения вторжений, случае попадания
В ходе внешнего тестирования антивирусное ПО… в руки конкурентов
на проникновение доступ повлекут потери в доходах
получен не был миллионы рублей.

P I R
Риск внешнего проникновения

npo-echelon.ru
29
Оценивание риска
Оценивание риска (risk evaluation): Процесс сравнения результатов
анализа риска с установленными критериями риска для
определения, является ли риск и/или его величина приемлемыми
или допустимыми.

Примечание — Оценивание риска способствует принятию решения


относительно воздействия на риск

[Руководство ИСО 73:2009, определение 3.7.1]

npo-echelon.ru
30
Критерии принятия рисков
Внедряем контрмеры

Постоянно
отслеживаем
ситуацию

Принимаем

npo-echelon.ru
31

Варианты обработки рисков


(risk treatment)

npo-echelon.ru
32

Минимизировать Избежать

Что можно с риском сделать?

Передать Принять
5 000 ₽

npo-echelon.ru
33

Минимизация риска путем внедрения контрмер – самый


любимый менеджерами ИБ
способ обработки риска

npo-echelon.ru
34
Контрмеры можно классифицировать по характеру:

Физическая Техническая Организационная

npo-echelon.ru
35
а можно по целевому назначению

Превентивная – «не допустить!»

Детектирующая – «обнаружить и зафиксировать!»

Корректирующая – «остановить!»
Восстанавливающая – «восстановить, как было!»

npo-echelon.ru
36

Открываем ночной клуб

npo-echelon.ru
37

Оцениваем риск нападения со стороны хулиганов как высокий

npo-echelon.ru
38
Внедряем контрмеры

Физическая охрана Система видеонаблюдения Инструктаж сотрудников

npo-echelon.ru
39

Система безопасности в действии…

npo-echelon.ru
40

Превентивная мера не
сработала.

npo-echelon.ru
41
Детектирующая мера

npo-echelon.ru
42
Корректирующая мера

Корректирующая мера

npo-echelon.ru
43
Восстанавливающая мера

npo-echelon.ru
44
Примеры из чудесного мира ИБ

Превентивная – межсетевой экран

Детектирующая – система обнаружения вторжений

Корректирующая – система предотвращения вторжений


Восстанавливающая – резервное копирования

npo-echelon.ru
Некоторые контрмеры 45

могут быть отнесены к любому типу

npo-echelon.ru
46
Резюме Идентификация

Оценка Анализ

Оценивание
Управление
рисками Минимизация

Передача
Обработка
Избежание

Принятие

npo-echelon.ru
47
Что почитать?
1. ISO 27001
2. ISO 31000
3. ISO 31010
4. «7 безопасных информационных технологий»
5. https://habrahabr.ru/company/echelon/

npo-echelon.ru
48

СПАСИБО ЗА ВНИМАНИЕ!

Александр Дорофеев
CISSP, CISA, CISM
Директор по развитию
+7 (915) 056 95 74
a.dorofeev@npo-echelon.ru

npo-echelon.ru
49