Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37



Руслан Рахметов, Security Vision

В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»). 

Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.

В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.

Кроме этого, Risk Management Framework:

  • предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;

  • подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;

  • обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;

  • предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;

  • связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.

В документе указаны 7 этапов применения RMF:

  1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;

  2. категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);

  3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;

  4. внедрение мер защиты и описание того, как именно применяются меры защиты;

  5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;

  6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;

  7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.

Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.

Перечислим далее задачи для каждого из этапов применения RMF.

Задачи этапа «Подготовка» на уровне организации включают в себя:

  • определение ролей для управления рисками;

  • создание стратегии управления рисками, с учетом риск-толерантности организации;

  • проведение оценки рисков;

  • выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;

  • определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)

  • приоритизация ИТ-систем;

  • разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.

Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

  • определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;

  • идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;

  • определение активов, требующих защиты;

  • определение границы авторизации для системы;

  • выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;

  • определение требований по безопасности и конфиденциальности для систем и сред функционирования;

  • определение местоположения систем в общей архитектуре компании;

  • распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;

  • формальная регистрация ИТ-систем в соответствующих департаментах и документах.

Задачи этапа «Категоризация» включают в себя:

  • документирование характеристик системы;

  • категоризация системы и документирование результатов категоризации по требованиям безопасности;

  • пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.

Задачи этапа «Выбор набора мер защиты» включают в себя:

  • выбор мер защиты для системы и среды её функционирования;

  • уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;

  • распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;

  • документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;

  • создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;

  • пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.

Задачи этапа «Внедрение мер защиты» включают в себя:

  • внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;

  • документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.

Задачи этапа «Оценка внедренных мер защиты» включают в себя:

  • выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;

  • разработка, пересмотр и согласование планов по оценке внедренных мер защиты;

  • проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;

  • подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;

  • выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;

  • подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.

Задачи этапа «Авторизация» включают в себя:

  • сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;

  • анализ и определение риска использования системы или применения мер защиты;

  • определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;

  • определение приемлемости риска использования системы или применения мер защиты;

  • сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.

Задачи этапа «Непрерывный мониторинг» включают в себя:

  • мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;

  • оценка мер защиты в соответствии со стратегией непрерывного мониторинга;

  • реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;

  • обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;

  • сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;

  • пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;

  • разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.