КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Загрози інформаційній безпеці банку 2 страница
|
|
|
|
Наслідками реалізації загроз можуть бути втрати ефективності,
бізнес-процесів, зниження репутації тощо. Необхідно проаналізувати
негативні наслідки для банку, які можуть виникати якщо
ідентифіковані загрози будуть використовувати відповідні
вразливості або набір вразливостей і призведуть до інциденту
інформаційної безпеки. Такий інцидент інформаційної безпеки може
впливати на один або більше ресурсів СУІБ / бізнес-процес /
банківський продукт. Таким чином, ресурсам СУІБ можуть бути
приписані значення їх фінансової вартості, а також бізнес
наслідків, якщо ці ресурси будуть пошкоджені або скомпрометовані.
Для отримання якісної оцінки ризиків необхідно розглянути
оцінки наслідків реалізації загроз разом із вразливостями, з
використанням яких ці загрози можуть реалізуватися, та оцінки
ймовірності їх реалізації для кожного бізнес-процесу /
банківського продукту, мережі, обладнання, програмного
забезпечення, які забезпечують функціонування цього
бізнес-процесу / банківського продукту, мережі банку в цілому,
фізичного середовища, персоналу тощо, як описано в додатку 2, з
урахуванням попереднього аналізу.
Для виконання оцінки ризиків необхідно визначити шкалу для
різних параметрів: оцінки величини наслідків реалізації загрози на
сервіси безпеки (цілісність, конфіденційність, доступність,
спостережність), оцінки ймовірності реалізації загрози. Загальний
рівень оцінки величини наслідків реалізації кожної загрози на
сервіси безпеки визначається як максимальна величина з окремих
оцінок впливу на цілісність, конфіденційність, доступність,
спостережність. Звертаємо увагу на те, що оцінка ймовірності не є
математичною величиною вірогідності, яка не може перевищувати 1.
Рівень ризику за окремою парою загроза/вразливість, яка може
використовуватися для реалізації цієї загрози, визначається
перемноженням загального рівня оцінки величини наслідків на оцінку
ймовірності реалізації загрози.
Загальний рівень ризику для бізнес-процесу / банківського
продукту, персоналу, фізичного середовища тощо дорівнює
максимальної величині з усіх ризиків за кожною парою
загроза/вразливість.
Рекомендується використовувати такі шкали для оцінки ризиків:
Для оцінки ймовірності реалізації загроз:
Оцінка ймовірності| Опис |
|------------------+---------------------------------------------|
| 1 |Виникнення інциденту практично неможливо |
|------------------+---------------------------------------------|
| 2 |Виникнення інциденту малоймовірне (не частіше|
| |ніж 1 раз на 1 рік) |
|------------------+---------------------------------------------|
| 3 |Виникнення інциденту ймовірне до 1 разу на |
| |3 місяці |
|------------------+---------------------------------------------|
| 4 |Виникнення інциденту ймовірне до 1 разу на |
| |тиждень |
|------------------+---------------------------------------------|
| 5 |Виникнення інциденту ймовірне до 1 разу на |
| |добу |
Для величини наслідків реалізації загрози: вплив на
цілісність:
------------------------------------------------------------------|Оцінка рівня наслідків| Опис ||----------------------+-----------------------------------------|| 1 |Практично не призводить до наслідків з || |фінансовими втратами ||----------------------+-----------------------------------------|| 2 |Призводить до незначних фінансових втрат || |(визначити суму) та має незначний вплив || |на репутацію банку ||----------------------+-----------------------------------------|| 3 |Призводить до значних фінансових втрат || |(визначити суму) та має значний вплив на || |репутацію банку ||----------------------+-----------------------------------------|| 4 |Призводить до великих фінансових втрат || |(визначити суму), має значний вплив на || |репутацію банку і може призвести до || |зупинки роботи бізнес-процесу / || |банківського продукту ||----------------------+-----------------------------------------|| 5 |Призводить до зупинки бізнес-процесу / || |банківського продукту і порушує || |законодавство України |------------------------------------------------------------------
Для величини наслідків реалізації загрози: вплив на
конфіденційність:
------------------------------------------------------------------|Оцінка рівня наслідків| Опис ||----------------------+-----------------------------------------|| 1 |Практично не призводить до розкриття || |конфіденційної інформації ||----------------------+-----------------------------------------|| 2 |Призводить до розкриття окремих || |документів, які відносяться до || |"банківської таємниці", "комерційної || |таємниці", персональних даних і не || |призводить до фінансових втрат ||----------------------+-----------------------------------------|| 3 |Призводить до розкриття окремих || |документів, які відносяться до || |"банківської таємниці", "комерційної || |таємниці", персональних даних і || |призводить до незначних фінансових втрат || |(визначити суму) ||----------------------+-----------------------------------------|| 4 |Призводить до розкриття документів, які || |відносяться до "банківської таємниці", || |"комерційної таємниці", персональних || |даних і призводить до значних фінансових || |втрат (визначити суму), має значний вплив|| |на репутацію банку і може призвести до || |зупинки роботи бізнес-процесу / || |банківського продукту ||----------------------+-----------------------------------------|| 5 |Призводить до зупинки бізнес-процесу / || |банківського продукту і порушує || |законодавство України |------------------------------------------------------------------
доступність:
------------------------------------------------------------------|Оцінка рівня наслідків| Опис ||----------------------+-----------------------------------------|| 1 |Практично не впливає на доступність ||----------------------+-----------------------------------------|| 2 |Вплив на доступність незначний (не більше|| |1/10 від максимально допустимого часу || |простою для цього бізнес-процесу / || |банківського продукту) ||----------------------+-----------------------------------------|| 3 |Вплив на доступність середній (не більше || |- від максимально допустимого часу || |простою для цього бізнес-процесу / || |банківського продукту) ||----------------------+-----------------------------------------|| 4 |Вплив на доступність значний (до || |максимально допустимого часу простою для || |цього бізнес-процесу / банківського || |продукту) ||----------------------+-----------------------------------------|| 5 |Призводить до зупинки бізнес-процесу / || |банківського продукту на тривалий час, || |який перевищує максимально допустимий || |час простою) |------------------------------------------------------------------
Для величини наслідків реалізації загрози: вплив на
спостережність:
------------------------------------------------------------------|Оцінка рівня наслідків| Опис ||----------------------+-----------------------------------------|| 1 |Практично не впливає ||----------------------+-----------------------------------------|| 2 |Вплив незначний ||----------------------+-----------------------------------------|| 3 |Призводить до неможливості відстежити || |частину дій виконавців бізнес-процесу / || |банківського продукту ||----------------------+-----------------------------------------|| 4 |Призводить до неможливості відстежити дії|| |виконавців і адміністраторів бізнес- || |процесу / банківського продукту / || |програмно-технічного комплексу ||----------------------+-----------------------------------------|| 5 |Призводить до неможливості відстежити дії|| |виконавців і адміністраторів бізнес- || |процесу / банківського продукту / || |програмно-технічного комплексу, може || |призвести до зупинки бізнес-процесу / || |банківського продукту, має вплив на || |репутацію банку і порушує законодавство || |України |------------------------------------------------------------------
Визначення конкретних величин для параметрів оцінки повинно
виконуватися з урахуванням досвіду працівників банку, вимог
нормативно-правових актів Національного банку України, історії
попередніх інцидентів інформаційної безпеки, відомих випадків
порушення інформаційної безпеки, досвіду інших фінансових установ
тощо. Рекомендується оцінку ризиків документувати у вигляді таблиці
для кожного бізнес-процесу / банківського продукту, приклад якої
наданий у додатку 3. Такий підхід до оцінки ризиків дозволить чітко виявити
найбільші ризики у бізнес-процесах / банківських продуктах і
найбільш критичні загрози. Звіт оцінки ризиків
для бізнес-процесу/банківського продукту
_______________________________________________
(назва)
------------------------------------------------------------------| 1 | 2 | 3 | 4 | 5 | 6 | 7 ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||---------+---------+--------+--------+--------+--------+--------|| | | | | | | ||-------------------------------------------------------+--------||Загальний ризик бізнес-процесу / банківського продукту | |------------------------------------------------------------------
Назви стовбців:
1 - Загроза/вразливість; 2 - Оцінка ймовірності реалізації загрози з використанням
вказаної вразливості; 3 - Оцінка впливу реалізації загрози на цілісність; 4 - Оцінка впливу реалізації загрози на конфіденційність; 5 - Оцінка впливу реалізації загрози на доступність; 6 - Оцінка впливу реалізації загрози на спостережність; 7 - Рівень ризику за окремою парою загроза/вразливість. Рівень ризику за окремою парою загроза/вразливість, яка може
використовуватися для реалізації цієї загрози, визначається
перемноженням загального рівня оцінки величини наслідків на оцінку
ймовірності реалізації загрози. Загальний рівень оцінки величини
наслідків реалізації кожної пари загроза/вразливість на сервіси
безпеки визначається як максимальна величина з окремих оцінок
впливу на цілісність, конфіденційність, доступність,
спостережність. Загальний рівень ризику для бізнес-процесу / банківського
продукту дорівнює максимальної величині з усіх ризиків за кожною
парою загроза/вразливість. За наявності використання декількох програмно-технічних
комплексів в одному бізнес-процесі / банківському продукті та
різниці у системах захисту інформації слід у кожної парі
загроза/вразливість вказати докладно місце виникнення
загрози/вразливості. Особливу увагу слід звертати на захищеність
інтерфейсів для обміну інформацією між програмно-технічними
комплексами. Відповідно до пункту 4.2.1 стандарту Національного банку
України СОУ Н НБУ 65.1 СУІБ 1.0:2010 після виконання оцінки
ризиків банк має оцінити альтернативні варіанти оброблення
ризиків. Можливими варіантами оброблення ризиків можуть бути: - зниження ризиків шляхом застосування належних заходів
безпеки; - свідоме та об'єктивне прийняття ризиків за умови, що вони
чітко задовольняють політику організації та критерії прийняття
ризиків; - уникнення ризиків; - перенесення відповідних бізнес-ризиків на інші сторони,
наприклад, страхувальників, постачальників. Для прийняття рішення щодо оброблення конкретних ризиків
рекомендується визначити такі критерії стосовно кожного окремого
ризику: - низький ризик - 1 - 6; - середній ризик - 7 - 14; - високий ризик - 15 - 25. Застосування належних заходів безпеки дозволить зменшити
ризики. Під час вибору цих додаткових заходів безпеки повинні бути
враховані всі вимоги законодавства України, нормативно-правових
актів Національного банку України, внутрішніх документів, політики
та стратегії банку. Крім того, цей вибір також повинен враховувати
вартість додаткових заходів безпеки, час їх впровадження, вплив на
технологію операційної роботи, інтерфейс користувача тощо. З
урахуванням цих факторів складається план оброблення ризиків. У
разі необхідності тривалої підготовки до впровадження додаткових
заходів безпеки деякі ризики можуть бути тимчасово прийняти як
залишкові з включенням до наступного плану оброблення ризиків
після перегляду оцінки ризиків.
|
|
|
|
|
Дата добавления: 2014-12-10; Просмотров: 452; Нарушение авторских прав?; Мы поможем в написании вашей работы!