EDUCATION · RISK · ITRMS

⚖️ Riska analīze - IT riska pārvaldības sistēma (ITRMS)

Sešas tēmas par riska analīzi - kā risks rodas, kā to novērtēt un apstrādāt pēc starptautiskās prakses (ISO 31000, ISO/IEC 27005, NIST SP 800-30 un RMF, FAIR). Skaitļi piemēros ir izdomāti, paredzēti apmācībām.

Riska pamatjēdziens

Riska anatomija - no drauda līdz riskam

Riska anatomija Draudi izmanto ievainojamību, kas ietekmē aktīvu; risks ir varbūtības un ietekmes reizinājums; kontroles samazina sākotnējo risku līdz atlikušajam. Riska anatomija Risks = funkcija(draudi, ievainojamība, aktīva vērtība) → varbūtība × ietekme Draudu avots uzbrucējs · kļūda · stihija Ievainojamība vāja vieta · trūkstoša kontrole Aktīva vērtība dati · sistēma · pakalpojums Riska scenārijs "kas var notikt un kā tas notiek" RISKS = Varbūtība × Ietekme (Likelihood × Impact) jo vērtīgāks aktīvs, jo lielāka ietekme Sākotnējais risks inherent - bez kontrolēm Atlikušais risks residual - pēc kontrolēm drošības kontroles ↓ ISO Guide 73 · ISO/IEC 27005:2022 (3. nod. jēdzieni) · NIST SP 800-30 Rev. 1

Pielietojums

Palīdz formulēt risku kā scenāriju, nevis tikai "vājo vietu". Risks pastāv tikai tad, kad ir draudu avots, ievainojamība UN vērtīgs aktīvs.

Atsauce

ISO Guide 73:2009 (vārdnīca) · ISO/IEC 27005:2022 · NIST SP 800-30 Rev. 1.

Drošības piezīme

Vērtē atlikušo (residual), nevis sākotnējo risku - lēmumus pieņem par to, kas paliek pēc kontrolēm. Riska apetīte nosaka, cik daudz atlikušā riska ir pieņemami.

Riska pārvaldības dzīves cikls

ITRMS process - ISO/IEC 27005:2022 & ISO 31000:2018

Riska pārvaldības process Pieci procesa soļi - konteksts, identifikācija, analīze, izvērtēšana, apstrāde - ar nepārtrauktu komunikāciju un pārraudzību un atgriezenisko cilpu. IT riska pārvaldības process (ITRMS) Iteratīvs cikls - atkārto periodiski un pēc būtiskām izmaiņām ↔ Komunikācija un konsultācijas (visā procesā) 1 · Konteksts apjoms · kritēriji riska apetīte aktīvu uzskaite 2 · Identifikācija draudi · ievainoj. scenāriji riska reģistrs 3 · Analīze varbūtība × ietekme kvalit. / kvant. riska līmenis 4 · Izvērtēšana salīdz. ar kritēriju prioritizācija apstrādāt? 5 · Apstrāde 4 T · kontroles atlikušais risks akcepts · SoA ⇢ pārskata un atkārto (PDCA) ↻ Pārraudzība un pārskatīšana (visā procesā) ISO/IEC 27005:2022 (process) · ISO 31000:2018 (6. nod.) · NIST SP 800-39 (programma) · SP 800-37 RMF NIS2 21. panta 2.a) prasa "riska analīzi un informācijas sistēmu drošības politiku" - šis ir tās process

Pielietojums

Viens atkārtojams process visam - der gan ISO 27001 ISMS, gan NIS2 atbilstībai. Identiski soļi, tikai mainās apjoms un kritēriji.

Atsauce

ISO/IEC 27005:2022 · ISO 31000:2018 · NIST SP 800-39 · NIST SP 800-37 Rev. 2 (RMF).

Drošības piezīme

Riska analīze nav vienreizējs dokuments. To pārskata periodiski un pēc katras būtiskas izmaiņas (jauna sistēma, incidents, jauns drauds) - citādi tā novecojot kļūst maldinoša.

Kvalitatīvā novērtēšana

Riska matrica - varbūtība × ietekme (5×5)

Riska matrica Piecu reiz piecu siltuma karte: varbūtība uz vertikālās ass, ietekme uz horizontālās; krāsa pieaug no zema (zaļš) līdz kritiskam (sarkans). Riska matrica 5×5 Riska līmenis = varbūtība × ietekme (skaitlis šūnā) VARBŪTĪBA → 5 Ļoti augsta 5 10 15 20 25 4 Augsta 4 8 12 16 20 3 Vidēja 3 6 9 12 15 2 Zema 2 4 6 8 10 1 Ļoti zema 1 2 3 4 5 1 Nenoz. 2 Maza 3 Vidēja 4 Liela 5 Katastr. IETEKME → Riska līmenis Zems (1–4) Vidējs (5–9) Augsts (10–14) Kritisks (15–25) Apstrādes prioritāte Kritisks → nekavējoties Augsts → plānoti Vidējs → uzraugi Zems → pieņem ISO/IEC 27005:2022 (kvalitatīvā skala) · NIST SP 800-30 Rev. 1 (varbūtības, ietekmes un riska skalas)

Skala (3×3, 5×5) un sliekšņi jāpieskaņo organizācijas riska apetītei - matrica ir saziņas rīks, ne precīzs mērījums.

Pielietojums

Ātri sašķiro daudzus riskus pēc nopietnības un parāda, ar kuriem sākt. Vienkārša, saprotama arī vadībai un ne-tehniskām pusēm.

Atsauce

ISO/IEC 27005:2022 · NIST SP 800-30 Rev. 1 (Appendix G/H/I) · ISO/IEC 31010 (tehnikas).

Drošības piezīme

Matrica ir subjektīva: vienādi "augsti" riski var nebūt salīdzināmi. Lieliem lēmumiem (investīcijas, kiberapdrošināšana) papildini ar kvantitatīvo analīzi.

Kvantitatīvā novērtēšana

Naudā izteikts risks - ALE, ROSI un FAIR

Kvantitatīvā riska analīze ALE aprēķina ķēde no aktīva vērtības līdz gada zaudējumam, ROSI formula un FAIR modeļa sadalījums. Kvantitatīvā analīze - risks naudā Skaitļi ir izdomāti - paredzēti metodes ilustrācijai ALE aprēķina ķēde (NIST / faktoru metode) AV · Aktīva vērtība 50 000 € (datubāze + dīkstāve) × EF (ietekmes faktors) = 20 % SLE · viena notikuma zaud. = AV × EF = 10 000 € × ARO (gada biežums) = 0,5 ALE · gada zaudējums = SLE × ARO = 5 000 € / gadā ROSI · drošības atdeve = (ALEpirms − ALEpēc − izmaksas) ÷ izmaksas FAIR modelis (faktoru sadalījums) Risks (gada zaudējums) = LEF × LM LEF notikuma biežums (draudi × ievainoj.) LM zaudējuma apjoms (primārais + sekas) Kvantitatīvā vs kvalitatīvā · Kvalitatīvā: ātra, subjektīva (matrica) · Kvantitatīvā: naudā, prasa datus · FAIR: starptautisks kvant. standarts Bieži lieto abas - matrica triāžai, ALE/FAIR lieliem lēmumiem NIST SP 800-30 Rev. 1 · FAIR (The Open Group O-RT / O-RA) · ISO/IEC 27005:2022

Pielietojums

ALE parāda gaidāmo gada zaudējumu naudā - ar to pamato budžetu kontrolēm un salīdzina, vai kontrole maksā mazāk nekā risks, ko tā novērš (ROSI).

Atsauce

NIST SP 800-30 Rev. 1 (SLE/ARO/ALE) · FAIR / The Open Group O-RT, O-RA · ISO/IEC 27005:2022.

Drošības piezīme

Kvantitatīvie skaitļi izskatās precīzi, bet ir tikai tik labi, cik dati aiz tiem. Reti notikumi ar milzu ietekmi (tail risks) ALE nenovērtē - papildini ar scenārijiem.

Riska apstrādes opcijas

Četras iespējas (4 T) un atlikušā riska akcepts

Riska apstrāde Četras apstrādes opcijas - mazināt, pārnest, pieņemt, izvairīties - un sākotnējā riska samazināšana līdz atlikušajam riskam, ko akceptē riska īpašnieks. Riska apstrāde - 4 T ISO/IEC 27005: modificēt · dalīties · saglabāt · izvairīties Mazināt (Treat) ievieš kontroles, kas samazina varbūtību vai ietekmi ISO: "modify" piem.: MFA, šifrēšana Pārnest (Transfer) nodod risku citai pusei daļēji (neizzūd pavisam) ISO: "share" piem.: apdroš., līgums Pieņemt (Tolerate) apzināti akceptē, ja risks ir apetītes robežās ISO: "retain" piem.: zems risks Izvairīties (Terminate) pārtrauc darbību vai atsakās no aktīva, kas rada risku ISO: "avoid" piem.: atmet funkciju Sākotnējais risks inherent Atlikušais risks residual → akceptē riska īpašnieks apstrāde (4 T) ↓ Riska reģistrs: ID · scenārijs · īpašnieks · varbūtība · ietekme · līmenis · apstrāde · kontroles · atlikušais · termiņš. Kontroļu izvēli dokumentē piemērojamības deklarācijā (SoA, ISO/IEC 27001 6.1.3) - kāpēc katra Annex A kontrole iekļauta/nē. Atlikušo risku formāli akceptē riska ĪPAŠNIEKS (ne IT) - tā ir biznesa, ne tehniska atbildība.

Pielietojums

Katram riskam virs apetītes izvēlas vienu vai vairākas no 4 T opcijām un fiksē to riska reģistrā ar atbildīgo un termiņu.

Atsauce

ISO/IEC 27005:2022 (apstrādes opcijas) · ISO/IEC 27001:2022 6.1.3 + Annex A (SoA) · NIST SP 800-37 Rev. 2 (Authorize).

Drošības piezīme

"Pārnest" nenozīmē atbrīvoties: apdrošināšana sedz daļu zaudējuma, bet reputācija un atbildība paliek. Pieņemšana derīga tikai apzināti un dokumentēti.

Standartu un atbilstības karte

Riska pārvaldības standarti un NIS2 / ISO / MK 397 sasaiste

Riska pārvaldības standartu ainava Astoņas standartu grupas: vispārējais ietvars, infosec risks, NIST, kvantitatīvais, stratēģiskais, riska tehnikas, nozaru regulējums un ES/LV atbilstība. Riska pārvaldības standartu ainava ISO 27005 ir ISO 31000 infosec-specifiskā versija - tās bieži pārklājas Vispārējais ietvars ISO 31000:2018 principi · process ISO Guide 73 riska vārdnīca COSO ERM uzņēmuma riska pārv. Informācijas drošība ISO/IEC 27005:2022 infosec riska pārv. ISO/IEC 27001 6.1 riska prasības ISMS ISO/IEC 27002 kontroļu katalogs NIST SP 800-30 Rev. 1 riska novērtēšana SP 800-37 (RMF) 7 soļu ietvars SP 800-39 riska programma Kvantitatīvais FAIR (Open Group) O-RT / O-RA OCTAVE Allegro CERT/SEI metode ALE / ROSI naudā izteikts risks Stratēģiskais NIST CSF 2.0 Govern · Identify ISACA Risk IT COBIT riska domēns riska apetīte padomes līmenis Riska tehnikas ISO/IEC 31010 31+ novērt. tehnikas FMEA · bowtie cēloņu/seku analīze scenāriji tail / "what-if" Nozaru regulējums DORA finanšu IKT risks TIBER-EU draudu vadīti testi GDPR 35. p. DPIA - datu risks ES / LV atbilstība NIS2 21.2.a) riska analīze (prasība) MK noteikumi Nr. 397 LV īstenošana Reg. 2024/2690 ES tehniskā specifik. Izvēlies metodi pēc mērķa: ISO 27005 ISMS-am, NIST RMF sistēmu autorizācijai, FAIR naudas lēmumiem - process paliek tas pats.

Pielietojums

Palīdz izvēlēties metodi pēc mērķa - sertifikācijai (ISO 27005), sistēmu autorizācijai (NIST RMF) vai naudas lēmumiem (FAIR) - nesākot no nulles.

Atsauce

ISO 31000 · ISO/IEC 27005 · ISO/IEC 31010 · NIST SP 800-30/37/39 · NIST CSF 2.0 · FAIR · NIS2 · MK noteikumi Nr. 397 · GDPR.

Drošības piezīme

NIS2 21. panta 2.a) tieši prasa riska analīzi. Latvijā to detalizē MK noteikumi Nr. 397 un ES Īstenošanas regula 2024/2690 - sasaisti riska reģistru ar tiem.

Saīsinājumi

Visu ceļvedī lietoto saīsinājumu atšifrējumi (oriģināls un nozīme).

ITRMS
IT Risk Management System — IT riska pārvaldības sistēma.
ISO/IEC
International Organization for Standardization / International Electrotechnical Commission — starptautiskās standartu organizācijas.
NIST SP
NIST Special Publication — ASV Nacionālā standartu institūta publikāciju sērija.
RMF
Risk Management Framework — NIST riska pārvaldības ietvars (SP 800-37).
CSF
Cybersecurity Framework — NIST kiberdrošības ietvars (2.0).
ISMS
Information Security Management System — informācijas drošības pārvaldības sistēma (ISO/IEC 27001).
SoA
Statement of Applicability — piemērojamības deklarācija (ISO/IEC 27001 6.1.3).
PDCA
Plan-Do-Check-Act — plāno–dari–pārbaudi–rīkojies (nepārtrauktas pilnveides cikls).
AV
Asset Value — aktīva vērtība.
EF
Exposure Factor — ietekmes faktors (zaudētā aktīva daļa).
SLE
Single Loss Expectancy — viena notikuma zaudējums (AV × EF).
ARO
Annualized Rate of Occurrence — notikuma gada biežums.
ALE
Annualized Loss Expectancy — gada zaudējums (SLE × ARO).
ROSI
Return on Security Investment — drošības investīciju atdeve.
FAIR
Factor Analysis of Information Risk — kvantitatīvs riska modelis.
LEF
Loss Event Frequency — zaudējumu notikuma biežums (FAIR).
LM
Loss Magnitude — zaudējuma apjoms (FAIR).
O-RT / O-RA
Open Group Risk Taxonomy / Risk Analysis — FAIR standarti.
4 T
Treat, Transfer, Tolerate, Terminate — mazināt, pārnest, pieņemt, izvairīties.
NIS2
Network and Information Security Directive 2 — ES tīklu un informācijas drošības direktīva.
DORA
Digital Operational Resilience Act — ES digitālās noturības regula (finanšu nozare).
TIBER-EU
Threat Intelligence-based Ethical Red Teaming — draudu izlūkdatos balstīti testi.
GDPR
General Data Protection Regulation — Vispārīgā datu aizsardzības regula.
DPIA
Data Protection Impact Assessment — datu aizsardzības ietekmes novērtējums (GDPR 35. p.).
MK 397
Ministru kabineta noteikumi Nr. 397 (NIS2 īstenošana Latvijā).
COSO ERM
Committee of Sponsoring Organizations · Enterprise Risk Management.
COBIT
Control Objectives for Information and Related Technologies (ISACA).
OCTAVE
Operationally Critical Threat, Asset and Vulnerability Evaluation (CERT/SEI).
FMEA
Failure Mode and Effects Analysis — kļūdu veidu un seku analīze.
IKT
informācijas un komunikācijas tehnoloģijas (ICT).