Risk uchun COBIT metodologiyasining umumiy ko'rinishi
COBIT for Risk metodologiyasi ISACA (Axborot tizimlari auditi va nazorati assotsiatsiyasi) tomonidan 2013 yilda ishlab chiqilgan va eng yaxshi risklarni boshqarish amaliyotlariga (COSO ERM, ISO 31000, ISO\IEC 27xxx va boshqalar) asoslangan. Metodologiya axborot xavfsizligi risklarini tashkilotning asosiy faoliyatining xavflari bilan bog'liq holda o'rganadi, tashkilotda axborot xavfsizligi risklarini boshqarish funktsiyasini amalga oshirishga yondashuvlarni va axborot xavfsizligi risklarini sifatli tahlil qilish va ularni boshqarish jarayonlarini tavsiflaydi.
Tashkilotda risklarni boshqarish funktsiyasi va jarayonini amalga oshirishda metodologiya axborot xavfsizligi xavflariga ham, ularni boshqarish jarayoniga ham ta'sir qiluvchi quyidagi tarkibiy qismlarni aniqlaydi:
Tashkilotning tamoyillari, siyosati, tartiblari;
Jarayonlar;
Tashkiliy tuzilma;
Korporativ madaniyat, axloq va xulq-atvor qoidalari;
Ma `lumot;
AT xizmatlari, IT infratuzilmasi va ilovalari;
Odamlar, ularning tajribasi va vakolatlari.
Axborot xavfsizligi risklarini boshqarish funktsiyasini tashkil etish nuqtai nazaridan metodologiya quyidagi tarkibiy qismlarga qo'yiladigan talablarni belgilaydi va tavsiflaydi:
Kerakli jarayon;
Axborot oqimlari;
Tashkiliy tuzilma;
Odamlar va vakolatlar.
Metodologiyaga muvofiq axborot xavfsizligi risklarini tahlil qilish va boshqarishning asosiy elementi xavf stsenariylari hisoblanadi. Har bir stsenariy "agar sodir bo'lsa, tashkilot maqsadlariga erishishga noaniq (ijobiy yoki salbiy) ta'sir ko'rsatishi mumkin bo'lgan hodisaning tavsifi". Metodologiya quyidagi ta'sir toifalarini qamrab oluvchi 100 dan ortiq xavf stsenariylarini o'z ichiga oladi:
IT-loyihalar portfellarini yaratish va yuritish;
Dastur/loyihaning hayot aylanishini boshqarish;
IT sohasiga investitsiyalar;
IT xodimlarining tajribasi va ko'nikmalari;
Xodimlar bilan ishlash;
Ma `lumot;
Arxitektura;
IT infratuzilmasi;
Dasturiy ta'minot;
AT dan samarasiz foydalanish;
IT yetkazib beruvchilarni tanlash va boshqarish;
Normativ hujjatlarga muvofiqlik;
Geosiyosat;
Infratuzilma elementlarini o'g'irlash;
Zararli dasturiy ta'minot;
Mantiqiy hujumlar;
Texnogen ta'sir;
Atrof muhit;
Tabiiy hodisalar;
Innovatsiya.
Har bir xavf stsenariysi uchun metodologiya uning har bir xavf turiga tegishlilik darajasini belgilaydi:
Strategik risklar - tashkilotning asosiy faoliyati samaradorligini oshirish va rivojlantirish uchun AT dan foydalanish imkoniyatlarini o'tkazib yuborish bilan bog'liq xavflar;
Loyiha risklari - tashkilotning mavjud jarayonlarini yaratish yoki rivojlantirishga AT ta'siri bilan bog'liq xavflar;
AT boshqaruvi va AT xizmatlarini ko'rsatish xavfi - bu foydalanuvchilarga AT xizmatlarining mavjudligi, barqarorligi va talab qilinadigan sifat darajasi bilan taqdim etilishini ta'minlash bilan bog'liq bo'lgan xavflar bo'lib, ular bilan bog'liq muammolar tashkilotning asosiy faoliyatiga zarar etkazishi mumkin.
Har bir xavf stsenariysi quyidagi ma'lumotlarni o'z ichiga oladi:
Tahdid manbai turi - ichki/tashqi.
Tahdid turi - zararli harakat, tabiiy hodisa, xato va boshqalar.
Hodisa tavsifi - axborotga kirish, yo'q qilish, o'zgartirish, ma'lumotni oshkor qilish, o'g'irlik va boshqalar.
Voqea ta'sir ko'rsatadigan tashkilot aktivlari (komponentlari) turlari - odamlar, jarayonlar, IT infratuzilmasi va boshqalar.
Tadbir vaqti.
Agar xavf stsenariysi yuzaga kelsa, tashkilot zarar ko'radi. Shunday qilib, COBIT for Risk metodologiyasiga muvofiq axborot xavfsizligi risklarini tahlil qilishda tashkilotga tegishli xavf stsenariylari aniqlanadi va xavflarni kamaytirish choralari ushbu stsenariylarning yuzaga kelish ehtimolini kamaytirishga qaratilgan. Aniqlangan xavflarning har biri uchun uning tashkilotning tavakkalchilik ishtahasiga muvofiqligi tahlili o'tkaziladi, so'ngra quyidagi qarorlardan biri qabul qilinadi:
Xatarlardan qochish;
Tavakkalchilik;
Xavfni uzatish;
Xavfni kamaytirish.
Xatarlarni keyingi boshqarish xavflarning qoldiq darajasini tahlil qilish va xavflarni kamaytirish bo'yicha qo'shimcha chora-tadbirlarni amalga oshirish zarurati to'g'risida qaror qabul qilish orqali amalga oshiriladi. Metodologiya har bir tashkiliy komponent turi uchun xavfni kamaytirish choralarini qo'llash bo'yicha tavsiyalarni o'z ichiga oladi.
3. Axborot xavfsizligi risklarini boshqarish bo'yicha xalqaro hujjatlarni tahlil qilish.
Oldingi bo'limda biz NIST SP 800 seriyali hujjatlarga muvofiq xavflarni boshqarishning umumiy kontseptsiyasini va oshkor qilingan xavflarni boshqarish usullarini tasvirlab berdik va 31010 standartlari.
Oldin muhokama qilingan NIST SP 800-39, NIST SP 800-37 va NIST SP 800-30 maxsus nashrlari xavflarni baholash va davolashda izchil tizimli yondashuvni taklif qiladi, NIST SP 800-53, NIST SP 800-53A va NIST SP 800- 137 axborot xavfsizligi xavflarini minimallashtirish bo'yicha aniq chora-tadbirlarni taklif qiladi. Ammo shuni yodda tutish kerakki, ushbu hujjatlar tabiatan maslahat xarakteriga ega va standartlar emas (masalan, NIST FIPS hujjatlaridan farqli o'laroq) va ular dastlab Qo'shma Shtatlardagi kompaniyalar va tashkilotlar uchun ishlab chiqilgan. Bu ulardan foydalanishga ma'lum cheklovlar qo'yadi: masalan, tashkilotlar ushbu hujjatlar qoidalariga rioya qilish uchun xalqaro sertifikat ololmaydilar va tegishli NIST ramkalarining butun to'plamidan foydalanish juda ko'p mehnat talab qiladigan va amaliy bo'lmasligi mumkin. Ko'pincha kompaniyalar, masalan, butun dunyoda tan olingan "ISO 27001 sertifikatlangan" maqomini olgan holda, Xalqaro standartlashtirish tashkiloti (ISO) talablariga muvofiq sertifikatlash yo'lini tanlaydilar. ISO 27000 seriyali standartlar axborot xavfsizligi va risklarni boshqarishga bag'ishlangan hujjatlarni o'z ichiga oladi. Axborot xavfsizligi risklarini boshqarish bo'yicha ushbu seriyadagi asosiy hujjatni ko'rib chiqaylik: ISO/IEC 27005:2018 standarti.
ISO/IEC 27005:2018
ISO/IEC 27005:2018 “Axborot texnologiyalari — Xavfsizlik texnikasi — Axborot xavfsizligi risklarini boshqarish” standarti allaqachon uchinchi tahrirda: standartning birinchi versiyasi 2005-yilda, ikkinchisi esa 2011-yilda nashr etilgan. Hujjatda bir nechta xavflar mavjud. - o'ziga xos shartlar. Shunday qilib, chora (inglizcha nazorat) xavfni o'zgartiradigan choradir. Kontekst tushunchasi tashqi kontekstni, ya'ni kompaniyaning tashqi muhitini (masalan, siyosiy, iqtisodiy, madaniy muhit, shuningdek, tashqi manfaatdor tomonlar bilan munosabatlarni) va kompaniyaning ichki muhitini (ichki jarayonlarni) anglatuvchi ichki kontekstni o'z ichiga oladi. , siyosatlar, standartlar, tizimlar, tashkilotning maqsadlari va madaniyati, ichki manfaatdor tomonlar bilan munosabatlar va shartnoma majburiyatlari).
Xavf - bu maqsadlarga erishishdagi noaniqlik natijasi; noaniqlik - hodisa, uning oqibatlari yoki uning yuzaga kelish ehtimoli bilan bog'liq ma'lumotlarning etishmasligi holati. Xavf darajasi deganda muhim voqealar oqibatlari va bu hodisalarning yuzaga kelish ehtimoli mahsuli sifatida ifodalangan xavf miqdori tushuniladi. Qoldiq xavf - bu xavfni davolash jarayonidan keyin qolgan xavf. Xavfni baholash umumiy identifikatsiyalash (ya'ni, xavfni qidirish, aniqlash va tavsiflash), tahlil qilish (ya'ni, xavfning mohiyatini tushunish va uning darajasini aniqlash) va xavfni baholash (ya'ni, xavfni tahlil qilish natijalarini xavf mezonlari bilan taqqoslash) bilan bog'liq. uning kattaligi) xavflari. Xatarlarni davolash - bu xavflarni o'zgartirish jarayoni bo'lib, quyidagilarni o'z ichiga olishi mumkin:
xavf-xatarga olib kelishi mumkin bo'lgan harakatlardan qochish orqali xavf-xatarlardan qochish;
biznes maqsadlariga erishish uchun xavfni olish yoki oshirish;
xavf manbalarini yo'q qilish;
xavfni amalga oshirish ehtimolining o'zgarishi;
xavfni amalga oshirishning kutilayotgan oqibatlarining o'zgarishi;
tavakkalchilikni o‘tkazish (bo‘lish);
xavfni saqlab qolish.
ISO/IEC 27005:2018 standarti mualliflari nuqtai nazaridan axborot xavfsizligi risklarini boshqarish jarayoni quyidagi xususiyatlar bilan tavsiflanishi kerak:
Xatarlarni baholash biznes uchun xavflarning oqibatlari va yuzaga kelishi ehtimolini hisobga olgan holda amalga oshiriladi. Xatarlar aniqlanadi, tahlil qilinadi va taqqoslanadi (tanlangan xavf tolerantlik darajasini hisobga olgan holda).
Xatarlarning ehtimoli va oqibatlari manfaatdor tomonlarga etkaziladi va ular tomonidan qabul qilinadi.
Xavflarni davolash va xavfni kamaytirish bo'yicha maxsus harakatlar ustuvor hisoblanadi.
Xatarlarni boshqarish bo'yicha qarorlar qabul qilish jarayonida manfaatdor tomonlar ishtirok etadilar, keyinchalik ular risklarni boshqarish holati to'g'risida xabardor qilinadi.
Amalga oshirilgan xavfni davolash samaradorligi baholanadi.
Xatarlar va risklarni boshqarish jarayonining o'zi nazorat qilinadi va muntazam ravishda ko'rib chiqiladi.
Qabul qilingan yangi ma'lumotlarga asoslanib, risklarni boshqarish jarayoni doimiy ravishda takomillashtiriladi.
Xodimlar va menejerlar xavflar va ularni kamaytirish bo'yicha ko'rilgan choralar haqida o'qitilmoqda.
Xatarlarni boshqarish jarayonining o'zi ISO 27001 standartida qabul qilingan PDCA (Plan - Bajar - Tekshirish - Harakat) yondashuviga mos keladigan quyidagi bosqichlardan (jarayonlardan) iborat:
Kontekstni aniqlash.
Xavf-xatarni baholash.
Xavfni davolash rejasini ishlab chiqish.
Tavakkal qilish.
Rivojlangan xavfni davolash rejasini amalga oshirish.
Doimiy monitoring va xavflarni ko'rib chiqish.
Axborot xavfsizligi risklarini boshqarish jarayonini qo'llab-quvvatlash va takomillashtirish.
Keling, ushbu bosqichlarning har birini quyida batafsilroq ko'rib chiqaylik.
1. Kontekstni aniqlash
Kontekstni aniqlashda kiritilgan ma'lumotlar kompaniya haqida barcha tegishli risklarni boshqarish ma'lumotlaridir. Ushbu jarayonning bir qismi sifatida risklarni boshqarish bo'yicha yondashuv tanlanadi, bu xavfni baholash mezonlarini, salbiy ta'sirni baholash mezonlarini va xavfni qabul qilish mezonlarini o'z ichiga olishi kerak. Bundan tashqari, ushbu jarayonni amalga oshirish uchun zarur bo'lgan resurslarni baholash va ajratish kerak.
Xatarlarni baholash mezonlari kompaniyadagi axborot xavfsizligi risklarini baholash uchun ishlab chiqilishi kerak va axborot aktivlarining narxini, ularning maxfiyligi, yaxlitligi, mavjudligi talablari, axborot biznes-jarayonlarining roli, qonuniy talablar va shartnoma majburiyatlari, manfaatdor tomonlarning taxminlari, yaxshi niyat va obro'li kompaniyalar uchun mumkin bo'lgan salbiy oqibatlar.
Salbiy ta'sirni baholash mezonlari IT aktivining ahamiyatlilik darajasini, axborot xavfsizligi buzilishini (ya'ni, aktivning maxfiyligini yo'qotish) hisobga olingan holda, kompaniyaning amalga oshirilgan axborot xavfsizligi xavfini qoplash uchun zarar darajasini yoki xarajatlarini hisobga olishi kerak. , yaxlitlik, mavjudlik xususiyatlari), biznes jarayonlarining majburiy to'xtab qolishi, iqtisodiy yo'qotishlar , rejalar va muddatlarning buzilishi, obro'ga putur etkazish, qonuniy talablar va shartnoma majburiyatlarini buzish.
Xatarlarni qabul qilish mezonlari biznesdan kutilayotgan foydaning kutilgan xavfga nisbati sifatida ifodalanishi mumkin. Shu bilan birga, risklarning turli sinflari uchun turli mezonlar qo'llanilishi mumkin: masalan, qonun hujjatlariga rioya qilmaslik risklari printsipial jihatdan qabul qilinishi mumkin emas, lekin yuqori moliyaviy risklar, agar ular shartnoma majburiyatlarining bir qismi bo'lsa, qabul qilinishi mumkin. Bundan tashqari, tavakkalchilikning bashorat qilingan vaqti (uzoq muddatli va qisqa muddatli xavflar) ham hisobga olinishi kerak. Tavakkalchilikni qabul qilish mezonlari yuqori rahbariyatning ma'lum sharoitlarda ushbu darajadan yuqori risklarni qabul qilish imkoniyati bilan, shuningdek, ma'lum bir muddat ichida xavflarni keyinchalik qayta ishlash sharti bilan xavfning istalgan (maqsadli) darajasini hisobga olgan holda ishlab chiqilishi kerak. vaqt davri.
Yuqoridagi mezonlarga qo'shimcha ravishda, kontekstni aniqlash jarayonining bir qismi sifatida axborot xavfsizligi risklarini boshqarish jarayonining chegaralari va ko'lamini hisobga olish kerak: biznes maqsadlari, biznes jarayonlari, kompaniya rejalari va siyosati, tuzilma va funktsiyalar. tashkilot, amaldagi qonunchilik va boshqa me'yoriy hujjatlar talablar, axborot aktivlari, manfaatdor tomonlarning taxminlari, kontragentlar bilan o'zaro munosabatlari hisobga olinishi kerak. Xatarlarni boshqarish jarayoni ma'lum bir IT tizimi, infratuzilma, biznes jarayoni yoki butun kompaniyaning ma'lum bir qismida ko'rib chiqilishi mumkin.
Xulosa
Xatarlarni baholash jarayonining bir qismi sifatida kompaniya axborot aktivlarining qiymatini baholashi, mavjud tahdidlar va zaifliklarni aniqlashi, joriy xavfsizlik choralari va ularning samaradorligi to'g'risida ma'lumot olishi va xavflarning mumkin bo'lgan oqibatlarini aniqlashi kerak. Xatarlarni baholash natijasida kompaniya xavflarni miqdoriy yoki sifat jihatidan baholashni, shuningdek, xavflarni baholash mezonlari va kompaniyaning maqsadlarini hisobga olgan holda ushbu xavflarning ustuvorligini olishi kerak. Xatarlarni baholash jarayonining o'zi xavfni aniqlash, xavfni tahlil qilish va xavfni baholashdan iborat.
Foydalanilgan adabiyotlar.
1. Rossiya Federatsiyasining milliy standarti GOST R ISO/IEC 15408: 2012. Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari.
2. ISO/IEC 27005:2008 xalqaro standarti. Axborot texnologiyalari - Himoya usullari - Axborot xavfsizligi risklarini boshqarish.
3. Xoffman L.J. Axborotni himoya qilishning zamonaviy usullari // Tarjima. ingliz tilidan - M.: Sovet radiosi, 1980. - 264 b.
4. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Klements-Xoffman modeli asosida muhandislik va texnik axborot xavfsizligi vositalarining tarkibini tanlashni optimallashtirish // Bryansk davlat texnika universitetining axborotnomasi, 2008. - No 1. - P. 61-67.
5. Rossiya Federatsiyasining milliy standarti GOST R ISO/IEC 31010:2009. Risklarni boshqarish. Xatarlarni baholash usullari.
|
