Bs 7799-3 2006 скачать

Bs 7799-3 2006 скачать.rar
Закачек 1877
Средняя скорость 8011 Kb/s

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

Information security management systems –

Part 3: Guidelines for information security risk management

ICS 35.020; 35.040

NO COPYING WITHOUT BSI PERMISSION EXCEPT AS PERMITTED BY COPYRIGHT LAW

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

Publishing 7 and copyright information

The BSI copyright notice displayed in this document indicates when the document was last issued.

© BSI 17 MARCH 2006

ISBN 0 580 47247 7

The following BSI references relate to the work on this standard: Committee reference BDD/2

Draft for comment 05/30125021 DC

First published March 2006

Amendments issued since publication

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

2 Normative references 4

3 Terms and definitions 4

Information security risks in the organizational context 7

5 Risk assessment 9

6 Risk treatment and management decision-making 16

7 Ongoing risk management activities 21

Annex A (informative) Examples of legal and regulatory compliance 26

Annex B (informative) Information security risks and organizational risks 30

Annex C (informative) Examples of assets, threats, vulnerabilities and risk assessment methods 33

Annex D (informative) Risk management tools 47

Annex E (informative) Relationship between

BS ISO/IEC 27001:2005 and BS 7799-3:2006 48 Bibliography 49

List of figures

Figure 1 – Risk management process model 1 Figure C.1 – Types of assets 33

– Vulnerabilities related to human resources security 41

– Vulnerabilities related to physical and environmental

Table C.3 – Vulnerabilities related to communications and operations management 42

Table C.4 – Vulnerabilities related to access control 43

– Vulnerabilities related to systems acquisition, development

and maintenance 43

– Matrix with risk values 45

– Matrix ranking incidents by measures of risk 46

– Relationship between BS ISO/IEC 27001:2005

and BS 7799-3:2006 48

Summary of pages

This document comprises a front cover, an inside front cover, pages i and ii, pages 1 to 50, an inside back cover and a back cover.

© BSI MARCH 2006 • i

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

This British Standard was published by BSI and came into effect on 17 March 2006. It was prepared by Technical Committee BDD/2,

Information security management.

Relationship with other publications

This British Standard includes and replaces the existing BS 7799 guidance material provided in the BSI publications PD 3002 and PD 3005.

It is harmonized with other ISO/IEC work, in particular

BS ISO/IEC 17799:2005 and BS ISO/IEC 27001:2005 (the revised version of BS 7799-2:2002) to ensure consistency of terminology and methods.

Information about this document

This British Standard provides guidance and support for the implementation of BS 7799-2 and is generic enough to be of use to small, medium and large organizations. The guidance and advice given in this British Standard is not exhaustive and an organization might need to augment it with further guidance before it can be used as the basis for a risk management framework for BS ISO/IEC 27001:2005 (the revised version of BS 7799-2:2002).

As a guide, this British Standard takes the form of guidance and recommendations. It should not be quoted as if it was a specification and particular care should be taken to ensure that claims of compliance are not misleading.

Contractual and legal considerations

This publication does not purport to include all the necessary provisions of a contract. Users are responsible for its correct application.

Compliance with a British Standard cannot confer immunity from legal obligations.

ii • © BSI MARCH 2006

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

Clause 7 Ongoing risk

Maintain management activities

and improve the

Clause 5 Risk evaluate

and operate controls

Clause 7 Ongoing risk

Licensed Copy: na na, University of Bradford, Sun May 07 17:37:41 BST 2006, Uncontrolled Copy, (c) BSI

The risk management process should be applied to the whole ISMS (as specified in BS ISO/IEC 27001:2005), and new information systems should be integrated into the ISMS in the planning and design stage to ensure that any information security risks are appropriately managed. This document describes the elements and important aspects of this risk management process.

The information security risks need to be considered in their business context, and the interrelationships with other business functions, such as human resources, research and development, production and operations, administration, IT, finance, and customers need to be identified, to achieve a holistic and complete picture of these risks. This consideration includes taking account of the organizational risks, and applying the concepts and ideas of corporate governance. This, together with the organization’s business, effectiveness, and the legal and regulatory environment all serve as drivers and motivators for a successful risk management process. These ideas are described in more detail in Clause 4 .

An important part of the risk management process is the assessment of information security risks, which is necessary to understand the business information security requirements, and the risks to

the organization’s business assets. As also described in

BS ISO/IEC 27001:2005, the risk assessment includes the following actions and activities, which are described in more detail in Clause 5 .

• Identification of assets.

• Identification of legal and business requirements that are relevant for the identified assets.

• Valuation of the identified assets, taking account of the identified legal and business requirements and the impacts of a loss of confidentiality, integrity and availability.

• Identification of significant threats and vulnerabilities for the identified assets.

• Assessment of the likelihood of the threats and vulnerabilities to occur.

• Calculation of risk.

• Evaluation of the risks against a predefined risk scale.

The next step in the risk management process is to identify the appropriate risk treatment action for each of the risks that have been identified in the risk assessment. Risks can be managed through a combination of prevention and detection controls, avoidance tactics, insurance and/or simple acceptance. Once a risk has been assessed a business decision needs to be made on what, if any, action to take. In all cases, the decision should be based on a business case which justifies the decision and which can be accepted or challenged by key stakeholders. The different risk treatment options and factors that influence this decision are described in Clause 6 .

Сколько тратить на информационную безопасность? Теория безопасности предлагает искать ответ в использовании абстрактных методов анализа рисков и стандарте BS 7799-3:2006.

Нынешний год оказался революционным для российской организационной базы информационной безопасности — были приняты стандарты ГОСТ ИСО/МЭК 17799 и ГОСТ ИСО/МЭК 27001, являющиеся техническими переводами версий международных стандартов серии ISO 27000, в основе которых лежит авторитетный британский стандарт BS 7799, включающий в себя три составные части:

Первые две части получили международное признание и представляют собой практические рекомендации по построению системы ИБ и оценочные требования (главным образом сертификационные) к системам управления ИБ (СУИБ). Третья часть британского стандарта ожидает получения международного статуса и посвящена анализу, оценке и управлению рисками. К сожалению, несмотря на очевидную методологическую важность этой части стандарта BS 7799, в нашей стране она не получила должного внимания (таблица 1).

Таблица 1. Взаимосвязь стандартов

Необходимость BS 7799-3

Острая необходимость в стандарте, регламентирующем вопросы оценки и управления рисками ИБ, прямо вытекает из введенного с 2007 г. в нашей стране ГОСТ ИСО/МЭК 27001-2005. Согласно российскому стандарту, СУИБ трактуется как часть общей системы управления, основанной на оценке бизнес-рисков и предназначенной для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ. В таблице 2 показаны разделы ГОСТ 27001, в прямой постановке затрагивающие вопросы управления рисками.

Таблица 2. Разделы ГОСТ 27001, касающиеся анализа, оценки и управления рисками

Внедрение стандартов ГОСТ 17799 и ГОСТ 27001 в практику подразумевает наличие в организации как минимум двух документов: политики ИБ и методологии оценки рисков ИБ, однако для последнего документа в российской нормативной базе не отражены вопросы разработки, форма и содержание.

Место и роль стандарта BS 7799-3

Стандарт BS 7799-3:2006 гармонизирован с ISO 17799:2005 (ныне ISO 27002:2007) относительно примеров по компонентам системы защиты и с ISO серии 9000 по требованиям к документам. Стандарт допускает использование любых стратегий организации оценки рисков, в частности изложенных в ISO 13335-3 (Методы менеджмента безопасности информационных технологий). Сравнительный анализ BS 7799-3 с популярным американским стандартом NIST SP 800-30:2002 (Руководство по управлению рисками в системах информационных технологий) показал идентичность по сути изложенных в них подходов к анализу, оценке и управлению рисками. Общая взаимосвязь стандартов в российской нормативной среде проиллюстрирована на рисунке 1.

Недостаток отечественной нормативной базы ИБ состоит в отсутствии российского ГОСТа по рискам. Иначе говоря, отечественные организации по стандартизации перевели только две части BS 7799 из трех — это ГОСТ 17799 и ГОСТ 27001. Таким образом, имеется ГОСТ 27001, в котором заданы требования к СУИБ, и ГОСТ 17799, где имеются примеры по среде и системам ИБ, но нет руководства по оценке и управлению рискам, что и показано на рис. 1.

По линии международного комитета ПК 27 СТК 1 ИСО/МЭК идет активное обсуждение организационных стандартов ИБ в рамках серии ISO/IEC 27000 ISMS и уже ратифицированы три стандарта. В таблице 3 представлен список задуманных и принятых стандартов 27000-й серии.

Таблица 3. Стандарты серии ISO 27000

Основное содержание BS 7799-3

Стандарт BS 7799-3 содержит вводную часть, разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков. Стандарт придерживается самого общего понятия риска, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса). Управление риском (risk management) сформулировано как скоординированные непрерывные действия по управлению и контролю рисков в организации.

В соответствии с подходом, принятым в серии 27000, непрерывный процесс управления спроецирован на четыре фазы менеджмента: «планирование — реализация — проверка — совершенствование». В контексте стандарта эти четыре фазы (рис. 2) выглядят следующим образом:

1) оценка рисков, включающая анализ и вычисление рисков;
2) обработка риска — выбор и реализация мер и средств безопасности;
3) контроль рисков путем мониторинга, тестирования, анализа механизмов безопасности, а также аудита системы;
4) оптимизация рисков путем модификации и обновления правил, мер и средств безопасности.

Оценка рисков (risk assessment) — первый этап в управлении системы информационной безопасности, предназначенный для идентификации источников рисков и определения его уровня значимости. Оценку разбивают на анализ рисков и оценивание рисков.

В рамках анализа проводится инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договорные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. В стоимость входят все потенциальные затраты, связанные с возможной компрометацией защищаемых ресурсов. Следующим этапом анализа рисков является составление перечня значимых угроз и уязвимостей для каждого ресурса, а затем вычисляется вероятность их реализации. Стандарт допускает двоякое толкование понятия угрозы ИБ: как условие реализации уязвимости ресурса (в этом случае уязвимости и угрозы идентифицируются отдельно) и как общее потенциальное событие, способное привести к компрометации ресурса (когда наличие возможности реализации уязвимости и есть угроза). Не возбраняется разделение угроз ИБ на угрозы целостности, доступности и конфиденциальности.

Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой. Вычисление риска состоит в умножении вероятности компрометации ресурса на значение величины ущерба, связанного с его компрометацией. Сопоставление риска выполняется с целью упрощения процесса использования на практике точечных значений риска.

BS 7799-3 допускает использование как количественных, так и качественных методов оценки рисков, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ. Приложение к стандарту содержит единственный пример, который условно можно отнести к качественному методу оценки. Данный пример использует трех- и пятибалльные оценочные шкалы:

После того как риск оценен, должно быть принято решение относительно его обработки (risk treatment) — точнее, выбора и реализации мер и средств по минимизации риска. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровождение механизмов безопасности, политика руководства, простота реализации, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:

В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа отработки риска. Печально, но в стандарте BS7799:3 ничего не сказано об эффективности мер, средств и сервисов, которые могут быть использованы при обработке риска.

Раздел 7 BS 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает следующие две фазы менеджмента системы: контроль риска и оптимизация риска.

Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ.

Фаза оптимизации риска содержит переоценку риска и, соответственно, пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности.

Процедуры контроля рисков и оптимизации — включая использование политик, мер и средств безопасности, идентификацию ресурсов, угроз и уязвимостей, документирование — гармонизированы с ISO 27001 и 27002.

Отличительной чертой стандарта является принцип осведомленности о процессах оценки, отработки, контроля и оптимизации рисков в организации. На каждом этапе управления рисками предусмотрено информирование всех участников процесса управления безопасностью, а также фиксирование событий СУИБ.

Наряду с планом обеспечения непрерывности бизнеса, к основным документам по управлению рисками в британском стандарте отнесены: описание методологии оценки рисков, отчет об оценке рисков, план обработки рисков. Кроме того, в непрерывном цикле управления рисками задействовано огромное множество рабочей документации: реестры ресурсов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и др.

Стандарт задает перечисляет обязанности и задает требования к категории лиц, непосредственно участвующих при управлении рисками, а именно: экспертам по оценке рисков, менеджерам по безопасности, менеджерам рисков безопасности, а также владельцам ресурсов и даже руководству организации.

На рис. 3 изображена модель управления рисками, предложенная в проекте ISO 27005, которая, по сути, соответствует концепции BS 7799-3, а также NIST SP 800-30:2002. В целом, и BS 7799-3 и проект 27005 имеют описательный характер и не содержат конкретных требований к способам управления рисками. Стандарты позволяют самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни риска, определить критерии для принятия риска, идентифицировать приемлемые уровни риска и т.д. Стандарты придерживаются непрерывного 4-процессного подхода к менеджменту систем качества, включают аналогичные этапы анализа, оценки и управления, правила и рекомендации, носят итеративный характер, не предъявляют конкретных требований к методам, содержат требования по информативности каждого этапа. Можно отметить некоторую тенденцию в детализации этапов и добавлении примеров в очередных версиях проекта 27005.

Все современные стандарты в области безопасности — NIST SP 800-30, BS 7799-3 и проект ISO 27005 отражают сложившийся в международной практике общий процессный подход к организации управления рисками. При этом управление рисками представляется как базовая часть системы менеджмента качества организации. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также по синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, что снижает полезность стандартов как технологических документов.

Потребность в соответствующем национальном стандарте по управлению рисками определяется не только популяризацией экономически оправданных подходов к ИБ, но и требованиями и рекомендациями, заданными ГОСТ 27001:2005 и ГОСТ 17799:2005, а также вытекает из требований к организации бизнес-процессов, определенных в актуальных стандартах серии 9000. Недостатки ISO 27005 или BS 7799-3 (отсутствие конкретных методик) можно исправить путем выпуска руководящего документа ФСТЭК России.

Учитывая отдельные некорректности переводов стандартов серии 27000 и опыт международного признания ГОСТ ИСО 15408, хочется надеяться, что развитие нормативной базы в нашей стране будет двигаться по пути принятия ГОСТ, аутентичного ISO 27005 или BS 7799-3.

Реальными стимулами для развития нормативного направления, связанного с управлением рисками может быть становление системы национальной сертификации СУИБ либо развитие принциповсертификации систем менеджмента качества в направлении выполнения требований по ИБ.

Алексей Марков (a.markov@npo-echelon.ru), Валентин Цирлов — сотрудники компании ЗАО «НПО «Эшелон», (Москва).

Поделитесь материалом с коллегами и друзьями

В то время как ISO / IEC 27001:2005 описывает общий непрерывный цикл управления ИБ, в британском стандарте BS 7799–3 содержится его проекция на процессы управления рисками ИБ.

BS 7799–3:2006 включает разделы по оценке рисков ИБ, их обработке, непрерывным действиям по управлению рисками ИБ и приложения с примерами активов, угроз ИБ и уязвимостей, а также методов оценки рисков ИБ [6].

Стандарт BS 7799–3:2006 придерживается самого общего понятия риска ИБ, под которым понимают комбинацию вероятности события и его последствий (стоимости компрометируемого ресурса) .

Управление риском ИБ определено как скоординированные непрерывные действия по управлению и контролю рисков в организации .

Непрерывный процесс управления делится на четыре фазы:

1) оценка рисков ИБ, включающая анализ и вычисление рисков;

2) обработка риска ИБ (выбор и реализация мер и средств защиты);

3) контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и аудита ИБ системы;

4) оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.


Статьи по теме