Те, кто работает в сфере информационной безопасности, живут в мире рисков, угроз и уязвимостей и ежедневно используют эти понятия. Мы часто путаем эти понятия и не всегда различаем риски и угрозы для информационной безопасности. С одной стороны, мы создаем модели угроз в соответствии с национальной нормативной базой, а с другой — реестры и планы рисков, ориентированные на международные стандарты ИСУ. Как риски связаны с угрозами? Разные они или одинаковые? — Узнайте из этой статьи. Если коротко, то угрозы являются частью рисков, но давайте рассмотрим их более подробно. Понятие риска имеет множество определений, но только в российских стандартах и нормативных документах по информационной безопасности мы находим шесть определений. Определения риска информационной безопасности
Риск: сочетание вероятности наступления события и его последствий.
Безопасность сети связи Риск: вероятность того, что конкретная угроза будет реализована в результате конкретной уязвимости в сети связи, что приведет к повреждению сети связи или ее компонентов.
Риск информационной безопасности: возможность угрозы для актива или группы активов в результате использования уязвимости, приводящей к ущербу для организации.
ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Способы и средства обеспечения безопасности. Управление рисками информационной безопасности.
Риск — это влияние неопределенности на цель. Воздействие — это отклонение от ожидаемого — положительное или отрицательное. Неопределенность — это ситуация, хотя и частичная, отсутствие информации о событии, его последствиях или вероятности, понимание или знание. Риск часто характеризуют, ссылаясь на вероятность «событий» и «результатов», или в сочетании с тем и другим. Риск часто выражается как сочетание результата события (включая изменения условий) и относительной «вероятности» его появления. В контексте систем управления информационной безопасностью риск информационной безопасности может быть выражен как влияние неопределенности на цели информационной безопасности. Риски информационной безопасности связаны с вероятностью того, что угроза воспользуется уязвимым местом в информационном активе или группе информационных активов и тем самым нанесет физический ущерб.
ГОСТ ISO/IEC 27000-2012 Информационные технологии (ИКТ). Способы и средства обеспечения безопасности. Системы управления информационной безопасностью. Общий обзор и терминология.
Риск: Потенциальная возможность нанесения ущерба организации в результате угрозы, использующей уязвимость в активе или группе активов. ПРИМЕЧАНИЕ — Определяется как сочетание вероятности события и его последствий.
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИКТ). Пути и средства обеспечения безопасности. Часть 1. Концепции и модели для управления информационными и коммуникационными технологиями.
Риск: Сочетание вероятности ущерба и тяжести этого ущерба.
Угроза: возможная причина нежелательного события, которое может нанести ущерб системе или организации.
Угрозы информационной безопасности: совокупность условий и факторов, создающих потенциальный или фактический риск нарушения информационной безопасности.
Угрозы безопасности персональных данных при их обработке в ИКТ — совокупность условий и факторов, создающих риск мошенничества, в том числе случайного доступа к персональным данным. данных, а также иных мошеннических действий при их обработке в информационных системах персональных данных.
Угрозы: угрозы: возможные источники риска, ущерба и т. д.
Уязвимость: слабое место в одном или нескольких активах, которое может быть использовано одной или несколькими угрозами.
(Информационная система) уязвимость — брешь: информационная система, предоставляющая возможность реализации угрозы безопасности обрабатываемой ею информации.
(Информационная система) уязвимость — вакуум: свойство информационной системы, позволяющее ей реализовать угрозы безопасности в обрабатываемой ею информации.
Уязвимость: недостаток (слабое место) в программном средстве (программном и аппаратном) или системе в целом. Это может быть использовано для реализации угроз безопасности информации.
Из этих определений можно сделать один простой, но важный вывод: общепринятого определения ключевых понятий в сфере информационной безопасности, таких как риск или угроза, не существует. Поэтому правильные или неправильные суждения основываются исключительно на нормативно-правовой базе и терминологии. Однако в целом в определениях прослеживается закономерность, уходящая от формулировок. Выделим и обобщим их. Риск — это потенциальная угроза, которая может возникнуть в результате использования уязвимости актива. Таким образом, технически риск — это комбинация трех сущностей
Риск = Угроза + Уязвимость + Актив
Другими словами, риск — это когда что-то плохое происходит из-за какой-то особенности.
При их анализе все становится на свои места, и связь между угрозами и рисками безопасности становится очевидной.
Угрозы просто описывают, что для нас плохо, а риски рассказывают, почему это плохое происходит.
Некоторые примеры угроз, структурированных таким образом:
Такая формулировка риска не только говорит о том, что произойдет что-то плохое, но и объясняет, почему это может случиться, и указывает на причину проблемы.
Все элементы риска (угрозы, уязвимости и типы активов) могут быть объединены друг с другом в правильной комбинации, чтобы сформировать новый риск безопасности.
Такой подход к оценке рисков безопасности имеет свои преимущества.
Здесь используются Miter ATT & AMP, FSTEC BDU, лучшие практики и личный опыт, которые приведены на рисунке 3. Что мы собрали на данный момент~Ведется работа по заполнению 250 рисков и баз. Если вы обязаны вести реестр рисков, вы можете использовать базу сообщества в качестве базы и участвовать в ее пополнении.
В завершение статьи хотелось бы рассказать о том, как мы рассматриваем проблемы компании, что называем рисками и какие угрозы учитываем. Но нет, это важно. Потому что от этого зависит целостность и эффективность вашей системы PD и ваша способность понимать друг друга в PD-сообществе. Я буду рад, если вы поделитесь своими комментариями о том, как вы храните файлы по проблемам FPS в своей компании и как описываете риски безопасности.
Поэзия В этой статье не рассматриваются такие сущности, как цели атаки/воздействия, агрессоры, нежелательные последствия или сценарии атак. Все они являются ключевыми элементами процесса управления угрозами и рисками. Если интересно, следующая статья посвящена анализу людей.