| Слушать на Apple Podcasts | Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке | Слушать на Castbox | Слушать на Podcast Addict | Слушать на Pocket cast |
Руслан Рахметов, Security Vision
В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»).
Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.
В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.
Кроме этого, Risk Management Framework:
-
предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;
-
подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;
-
обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;
-
предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;
-
связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.
В документе указаны 7 этапов применения RMF:
-
подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;
-
категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);
-
выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;
-
внедрение мер защиты и описание того, как именно применяются меры защиты;
-
оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;
-
авторизация систем или мер защиты на основе заключения о приемлемости рисков;
-
непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.
Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.
Перечислим далее задачи для каждого из этапов применения RMF.
Задачи этапа «Подготовка» на уровне организации включают в себя:
-
определение ролей для управления рисками;
-
создание стратегии управления рисками, с учетом риск-толерантности организации;
-
проведение оценки рисков;
-
выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;
-
определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)
-
приоритизация ИТ-систем;
-
разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.
Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:
-
определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;
-
идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;
-
определение активов, требующих защиты;
-
определение границы авторизации для системы;
-
выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;
-
идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;
-
проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;
-
определение требований по безопасности и конфиденциальности для систем и сред функционирования;
-
определение местоположения систем в общей архитектуре компании;
-
распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;
-
формальная регистрация ИТ-систем в соответствующих департаментах и документах.
Задачи этапа «Категоризация» включают в себя:
-
документирование характеристик системы;
-
категоризация системы и документирование результатов категоризации по требованиям безопасности;
-
пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.
Задачи этапа «Выбор набора мер защиты» включают в себя:
-
выбор мер защиты для системы и среды её функционирования;
-
уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;
-
распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;
-
документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;
-
создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;
-
пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.
Задачи этапа «Внедрение мер защиты» включают в себя:
-
внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;
-
документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.
Задачи этапа «Оценка внедренных мер защиты» включают в себя:
-
выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;
-
разработка, пересмотр и согласование планов по оценке внедренных мер защиты;
-
проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;
-
подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;
-
выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;
-
подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.
Задачи этапа «Авторизация» включают в себя:
-
сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;
-
анализ и определение риска использования системы или применения мер защиты;
-
определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;
-
определение приемлемости риска использования системы или применения мер защиты;
-
сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.
Задачи этапа «Непрерывный мониторинг» включают в себя:
-
мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;
-
оценка мер защиты в соответствии со стратегией непрерывного мониторинга;
-
реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;
-
обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;
-
сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;
-
пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;
-
разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.