Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

Руслан Рахметов, Security Vision

В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»). 

Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.

В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.

Кроме этого, Risk Management Framework:

• предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;

• подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;

• обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;

• предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;

• связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.

В документе указаны 7 этапов применения RMF:

1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;

2. категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);

3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;

4. внедрение мер защиты и описание того, как именно применяются меры защиты;

5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;

6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;

7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.

Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.

Перечислим далее задачи для каждого из этапов применения RMF.

Задачи этапа «Подготовка» на уровне организации включают в себя:

• определение ролей для управления рисками;

• создание стратегии управления рисками, с учетом риск-толерантности организации;

• проведение оценки рисков;

• выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;

• определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)

• приоритизация ИТ-систем;

• разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.

Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

• определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;

• идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;

• определение активов, требующих защиты;

• определение границы авторизации для системы;

• выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;

• идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;

• проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;

• определение требований по безопасности и конфиденциальности для систем и сред функционирования;

• определение местоположения систем в общей архитектуре компании;

• распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;

• формальная регистрация ИТ-систем в соответствующих департаментах и документах.

Задачи этапа «Категоризация» включают в себя:

• документирование характеристик системы;

• категоризация системы и документирование результатов категоризации по требованиям безопасности;

• пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.

Задачи этапа «Выбор набора мер защиты» включают в себя:

• выбор мер защиты для системы и среды её функционирования;

• уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;

• распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;

• документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;

• создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;

• пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.

Задачи этапа «Внедрение мер защиты» включают в себя:

• внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;

• документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.

Задачи этапа «Оценка внедренных мер защиты» включают в себя:

• выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;

• разработка, пересмотр и согласование планов по оценке внедренных мер защиты;

• проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;

• подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;

• выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;

• подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.

Задачи этапа «Авторизация» включают в себя:

• сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;

• анализ и определение риска использования системы или применения мер защиты;

• определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;

• определение приемлемости риска использования системы или применения мер защиты;

• сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.

Задачи этапа «Непрерывный мониторинг» включают в себя:

• мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;

• оценка мер защиты в соответствии со стратегией непрерывного мониторинга;

• реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;

• обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;

• сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;

• пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;

• разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.