SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

  |  Слушать на Apple Podcasts  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   Слушать на Castbox  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  


Руслан Рахметов, Security Vision


В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»). 


Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.


В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.


Кроме этого, Risk Management Framework:

  • предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;

  • подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;

  • обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;

  • предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;

  • связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.


В документе указаны 7 этапов применения RMF:

  1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;

  2. категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);

  3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;

  4. внедрение мер защиты и описание того, как именно применяются меры защиты;

  5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;

  6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;

  7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.


Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.


Перечислим далее задачи для каждого из этапов применения RMF.


Задачи этапа «Подготовка» на уровне организации включают в себя:

  • определение ролей для управления рисками;

  • создание стратегии управления рисками, с учетом риск-толерантности организации;

  • проведение оценки рисков;

  • выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;

  • определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)

  • приоритизация ИТ-систем;

  • разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.


Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

  • определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;

  • идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;

  • определение активов, требующих защиты;

  • определение границы авторизации для системы;

  • выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;

  • определение требований по безопасности и конфиденциальности для систем и сред функционирования;

  • определение местоположения систем в общей архитектуре компании;

  • распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;

  • формальная регистрация ИТ-систем в соответствующих департаментах и документах.


Задачи этапа «Категоризация» включают в себя:

  • документирование характеристик системы;

  • категоризация системы и документирование результатов категоризации по требованиям безопасности;

  • пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.


Задачи этапа «Выбор набора мер защиты» включают в себя:

  • выбор мер защиты для системы и среды её функционирования;

  • уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;

  • распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;

  • документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;

  • создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;

  • пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.


Задачи этапа «Внедрение мер защиты» включают в себя:

  • внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;

  • документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.


Задачи этапа «Оценка внедренных мер защиты» включают в себя:

  • выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;

  • разработка, пересмотр и согласование планов по оценке внедренных мер защиты;

  • проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;

  • подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;

  • выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;

  • подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.


Задачи этапа «Авторизация» включают в себя:

  • сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;

  • анализ и определение риска использования системы или применения мер защиты;

  • определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;

  • определение приемлемости риска использования системы или применения мер защиты;

  • сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.


Задачи этапа «Непрерывный мониторинг» включают в себя:

  • мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;

  • оценка мер защиты в соответствии со стратегией непрерывного мониторинга;

  • реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;

  • обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;

  • сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;

  • пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;

  • разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.



NIST Киберриски (Cyber Risk, RM) Подкасты ИБ Стандарты, ГОСТы и документы ИБ

Похожие статьи

Технология дипфейк и вопросы безопасности
Технология дипфейк и вопросы безопасности
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Процесс поиска, анализа и оценки уязвимостей
Процесс поиска, анализа и оценки уязвимостей
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)

Похожие статьи

Технология дипфейк и вопросы безопасности
Технология дипфейк и вопросы безопасности
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Процесс поиска, анализа и оценки уязвимостей
Процесс поиска, анализа и оценки уязвимостей
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)