Tech Recipe Book
My Services
  • Book
    • About the author
    • Architect
      • Algorithms
        • DB index algorithms
          • How does database indexing work
        • Neural network optimization
          • Neural Network Optimization
        • Route search
          • Road network in a database to build a route
          • Traveling Salesman Problem (TSP)
      • Architecture Frameworks
        • DODAF
        • TOGAF
        • Enterprise Architecture (EA) Tools Reviews 2023 | Gartner
      • Zero Trust
      • Billing
        • SHM billing system
      • Bots
        • Discord
        • Telegram
          • Chat GPT Telegram bot
          • Получаем статистику Telegram-канала при помощи api и python или свой tgstat с регистрацией и смс
          • Как хостить телеграм-бота (и другие скрипты на Python) на Repl.it бесплатно 24/7
          • Создание Telegram бота на PHP #1: основные понятия для работы с API
          • Создание Telegram бота на PHP #2: создание первого бота для Telegram
          • Создание Telegram бота на PHP #3: примеры отправки сообщений с кнопками в Telegram
          • Создание Telegram бота на PHP #4: отправка файлов и изображений в Telegram
          • Создание Telegram бота на PHP #5: работа с хуками
      • Business intelligence
      • Cloud Storage
        • Ceph
        • Virtual Distributed File System
      • Cryptography
        • Open Source PKI Software
        • OpenPGP
          • Email Encryption
          • Kleopatra
          • Miscellaneous Tools
          • Server side applications
      • Message broker
        • Kafka
          • Kafka UI-tools
          • Kafka streams ksqlDb
        • RabbitMQ
      • DB
        • MySQL
          • Auto sharding
          • MariaDB Zabbix monitoring
          • MySQL and MariaDB replication with Zabbix monitoring
        • Postgres
          • HA PostgreSQL with Patroni, Haproxy, Keepalived
          • Mass parallel requests - Greenplum
          • PostgreSQL cluster for development and testing
        • Vitess - Scalable. Reliable. MySQL-compatible. Cloud-native. Database.
      • Identity and Access Management (IDM)
        • FreeIPA - Identity, Policy, Audit
        • FreeIPA as an Enterprise solution
        • Keycloak
          • Keycloak HA cluster
        • Open Identity Platform
        • SSO
          • Keycloak for Java app
          • OpenAM
          • OpenIG
      • Firewall
        • nftables
      • Infrastructure As a Code
        • Ansible
        • IaC Packer Ansible Teraform
        • Installing Jenkins using terraform in Kubernetes in Yandex Cloud with letsencypt
        • Teraform Crosplan Pulumi
        • Yandex IaC solutions
      • Kubernetes
        • Installation
          • Install Kubernetes cluster
          • Deploying a Kubespray cluster to OpenStack using Terraform
          • Kube deploy in Yandex cloud
        • Frameworks
          • Deckhouse
            • LDAP authentification
            • On premise Install
            • Yandex Cloud Install
          • K3S
          • OpenShift OKD
          • RKE2
          • Rancher
            • Rancher Install
        • Auth
          • Keycloak in k8s
          • LDAP
        • GUI management Lens
        • Monitoring
          • Monitoring with Falco
          • Network monitoring
          • Nginx ingress
          • Prometheus Graphana for sample Nodejs app
          • Rsource monitoring Avito
        • Exposing services
          • Exposing Kubernetes Services
          • Cilium BGP
        • CNCF
        • Helm
          • Repositories
            • Artifact Hub | official
            • Bitnami | vmware
          • Awesome helm charts and resources
          • Essential Services for Modern Organizations
          • Security and Compliance
          • Additional charts
        • Isolation
          • vcluster - Virtual Kubernetes Clusters
          • Kiosk
          • KubeArmor
          • Control Plane Hardening
          • Hierarchical namespaces
        • Security Center
          • Minesweeper
          • NeuVector by SUSE
          • SOAR in Kubernetes
          • Security Сenter for Kubernetes
        • Terraform CI security
          • Terraform plan analysis with Checkov and Bridgecrew
          • Yandex Terraform scan
        • Vulnerability management
          • Aqua
          • Sysdig
          • Kyverno
          • GitLab
          • NeuVector by SUSE
        • Image scanning
          • Snyk
          • Sysdig
          • Harbor
          • Trivy
        • Signature verification
          • Sigstore
        • Control plane security
          • Gatekeeper
            • Applying OPA Gatekeeper
          • Kyverno
            • Policy as a code. Kyverno
        • Runtime Security
          • Osquery
          • Falco
          • ClamAV
        • Network security
          • Cilium
          • Control Plane Hardening (API restriction)
          • Network policy recipes
          • Service mesh
            • Istio HA, LoadBalance, Rate limit
          • mTLS Autocert
        • Honeypot
          • Building honeypot using vcluster and Falco
        • Backup
          • Kasten K10
        • Secrets
          • Vault CSI Driver
      • Load Balance
        • Nginx
        • HAProxy
          • Proxy methods
          • HAProxy for RDP
          • Payment gateway A/B test with HAProxy
          • HAPRoxy for Percona or Galera
      • Monitoring
        • Zabbix
          • Apache Zabbix
          • Disc Quota
          • Nginx Zabbix
          • SSL certificates Zabix
          • Zabbix notifications
        • Nagios
          • Datacenter monitoring
        • Prometheus and Grafana
      • Windows
        • Sysmon enhanced Windows audit
        • Sysmon to Block Unwanted File
      • Linux
        • Rsync
        • Debian based
          • Apt-Cacher NG
          • Unattended Upgrades in Debian / Ubuntu
        • RedHat basede
          • RPM Server
        • Logs analysis
        • Build armhf qemu
      • NGFW
      • CI/CD
        • DevSecOps
          • DAST
            • Burp
              • Dastardly
            • StackHawk
            • ZAP and GitHub Actions
          • SAST
            • Checkmarx
            • OSV by Google
            • Snyk
            • SonarQube
        • GitLab Runner in Yandex Cloud
        • Dynamic Gitlab Runners in Yandex Cloud
        • GitLab runner in Kubernetes with Werf
        • Kubernetes deploy strategies
        • Kubernetes highload deploy. part 1
        • Kubernetes highload deploy. part 2
        • Kubernetes Argo Rollouts
        • Jenkins in Kubernetes
        • Ansible Semaphore
        • Image storage, scaning and signing
        • Install WireGuard with Gitlab and Terraform
        • CI/CD example fror small web app
        • Threat matrix for CI CD Pipeline
      • SIEM / SOC
        • Datadog
        • Splunk
          • Splunk — general description
        • MaxPatrol
          • MaxPatrol 8 and RedCheck Enterprise
        • QRadar IBM
        • Cloud Native Security Platform (CNAPP) - Aqua
        • OSSIM | AT&T
          • AlienVault (OSSIM) install
        • Wazuh
        • EDR
          • Cortex XDR | Palo Alto Networks
          • Cynet
          • FortiEDR | Fortinet
          • Elastic
        • Elastic
          • Install Elasticsearch, Logstash, and Kibana (Elastic Stack) on Ubuntu 22.04
          • Setting Up Elastic 8 with Kibana, Fleet, Endpoint Security, and Windows Log Collection
        • Threat Intelligence
          • MISP
          • msticpy Microsoft
          • X-Force | IBM
          • Elastic
      • VPN
        • Full-Mesh VPN fastd, tinc, VpnCloud
        • Wireguard
          • WireGuard for Internet access
          • WireGuard on MikroTik and Keenetic
          • WireGuard site to site
        • SoftEther VPN Project
        • Cisco AnyConnect client
        • OpenConnect
        • SSTP python server
      • OS hardening
        • CIS Benchmarks
      • Cloud Providers
      • OpenNebula
        • OpenNebula Edge Cloud - Open Source Cloud & Edge Computing
        • Discover OpenNebula – Open Source Cloud & Edge Computing Platform
        • OpenNebula Multi-Cloud
        • Kubernetes on OpenNebula
        • The Open Source Alternative to Nutanix
        • The Simple Alternative to OpenStack
        • OpenNebula Partner Ecosystem
      • OpenStack
        • Install manual
        • Install with DevStack
      • VM
        • Create a VHD file from a Linux disk
        • Backup / Migration
          • Coriolis
          • Proxmox Backup Server
        • oVirt
        • VMware vCenter
        • Proxmox
      • Docker
        • Container optimization
        • Ubuntu RDP container
      • LXC
        • LXD on Ubuntu 18.04
        • Install, Create and Manage LXC in Ubuntu/Debian
    • Big Data
      • OLAP data qubes
      • Storage and autoscale in Lerua
    • Machine Learning
      • Yandex YaLM 100B. GPT model
      • Kaggle Community Datasts Models
      • AI in video production
      • Image search
      • Chat bots
        • You.com
        • Chat GPT
          • Implementing GPT in NumPy
        • Jailbreak Chat
      • Coding plugins CodeWhisperer
    • Malware
      • Isiaon/Pitraix: Modern Cross-Platform Peer-to-Peer Botnet over TOR
      • theZoo A repository of LIVE malwares
    • Pentest
      • Red Team
        • MITRE ATT&CK matrix
        • C2 Frameworks
          • Brute Ratel C4
          • Cobalt Strike
          • Covenant
          • Havoc Framework
          • Merlin
          • Metasploit
          • Sillenttrinity
          • Sliver
        • Manage and report
          • Dradis Framework
          • Hexway
        • Underground
      • Social engineering
        • Social Engineer Toolkit setoolkit
      • OSINT
        • OSINT for comapny
        • Instagram fishing
      • Forensics
        • Forensics tools
      • Pentesting Methodology
      • Web
      • CI/CD Methodology
      • Cloud Methodology
        • Hacking The Cloud
      • Kubernetes Pentesting
      • Android
        • SSL Unpinning for Android applications
      • iOS
        • SSL unpinning iOS and macOS applications
      • HackBar tool
      • CyberChef Tools
      • Python virtualenv
      • IppSec - YouTube
      • Hacktricks.xyz
    • Compliance
      • 152 ФЗ. Personal data
      • PCI DSS and ГОСТ Р 57580.1-2017
      • Cloud compliance
      • ГОСТ Р 57580.1-2017 для Kubernetes
      • Kubernets as DevSecOps and NIST compliance
      • NIST SP 800-61 cyberincidece control
      • CIS Kubernetes Benchmark v1.6 - RKE2 v1.20
      • CIS Kubernetes Benchmark v1.23 - RKE2
      • Requirements for Russian Banks
      • Tools
        • Chef InSpec
        • Elastic SIEM
    • Asset management
      • CMDBuild
    • Project management
    • Incident management SRE
    • Risk management
      • IT risk management
      • BSI-Standard 200-3
    • Web Dev
      • Cookie security
      • OWASP Top 10 2021
      • Docker nginx php mysql
      • Docker tor hiddenservice nginx
      • Docker Compose wp nginx php mariadb
      • Dependency Checking
        • Nexus Analyzer
        • OWASP dependency-check
      • Yii skeeks cms
      • YiiStudio
    • Art
      • GTK Themes
      • Themes for Xfce Desktop
      • XFCE / Xubuntu Windows 95
      • Moscow events
      • Photo goods
      • Russian style gifts
    • Cryptocurrency
      • News
      • Arbitrage
      • Stocks
      • Exchange aggregators
      • Where to use
      • Prepaid cards
        • BitFree
        • Pyypl Your Money at Your Fingertips
    • IT magazines
      • WIKI and Writeups tools
        • BookStack
        • GitBook
        • MkDocs
        • Wiki.js
        • DokuWiki
    • Languages
    • Learning
      • (ISC)2
        • CISSP
      • Offensive Security
        • OSCP
        • OSEP
        • OSED
      • DevSecOps
        • Certified DevSecOps Professional (CDP)
        • Certified DevSecOps Expert (CDE)
      • Web Security Academy: PortSwigger
    • Relocation
      • London experience
      • IT visas in 2022
      • Remote work
      • Running business in UAE
    • Freenet
      • Independent online services: the philosophy of a free Internet
      • Tor Project Anonymity Online
      • I2P Anonymous Network
    • Services
      • SMS Registration
        • Registering ChatGPT in Russia
      • Local and regional eSIMs for travellers - Airalo
      • Digital busines cards
      • No KYC services and exchanges
Powered by GitBook
On this page
  • Предварительные действия
  • Анализ рисков
  • Этап 1 – Формирование обзора угроз
  • Этап 2 – Классификация рисков
  • 2.1 Оценка рисков
  • 2.2 Матрица и реестр рисков
  • Этап 3 – Обработка рисков
  • 3.1 Варианты обработки рисков
  • 3.2 Мониторинг рисков
  • Консолидация концепции безопасности и связь с процессом обеспечения ИБ
  • Риск-аппетит
  • Выводы
  • Плюсы:
  • Минусы:

Was this helpful?

  1. Book
  2. Risk management

BSI-Standard 200-3

Last updated 1 year ago

Was this helpful?

//-- BSI-200-3 standard for risk management

//-- pre risk management work needed to be done BSI-200-2

Автор: Евгений Баклушин, руководитель направления аудитов и соответствия требованиям ИБ УЦСБ

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

  • обнаружение и защита от атак на государственную ИТ-инфраструктуру;

  • тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

  • информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

  • разработка единых и обязательных стандартов по ИБ;

  • и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим (BSI 200-3).

Предварительные действия

Перед началом фактического анализа рисков ИБ по BSI 200-3 должна быть выполнена работа в соответствии с (BSI 200-2), включающая в себя:

  • регламентацию и внедрение процесса обеспечения ИБ в организации, в том числе путем утверждения концепции безопасности;

  • определение области применения концепции безопасности и формирование соответствующего перечня ценных информационных активов;

  • определение и внедрение базовых и стандартных мер по обеспечению ИБ данных активов.

Результатом этой работы должен стать перечень информационных активов, в отношении которых необходимо выполнить анализ рисков. При этом с целью сохранения адекватности и разумности оценки информационные активы могут быть объединены в группы. В случае, если после объединения активов в группы их количество для оценки остается крупным, то следует расставить приоритеты такой оценки:

  • cтандартная защита – приоритет отдается высокоуровневой оценке бизнес-процессов и всей ИТ-инфраструктуры. Такая оценка в дальнейшем служит ориентиром для оценки рисков в отношении активов более низких уровней;

  • защита ядра – приоритет отдается оценке ключевых активов, которым должны быть предъявлены самые высокие требования к защите;

  • базовая защита – сначала выполняются базовые требования из BSI 200-2, и только затем выполняются мероприятия по оценке рисков.

Анализ рисков

Анализ рисков по BSI 200-3 предусматривает следующие этапы:

  1. формирование обзора угроз;

  2. классификация рисков;

  3. обработка рисков;

  4. консолидация концепции безопасности.

Давайте рассмотрим их подробнее.

Этап 1 – Формирование обзора угроз

По факту этот этап является моделированием угроз, но не только с целью формирования самого реестра угроз, но и для определения конкретных объектов воздействия информационного актива, в отношении которых проводится анализ рисков и последующее формирование дополнительных мер обеспечения ИБ.

BSI 200-3 при определении угроз использует двухэтапный подход. Сначала идентифицируются элементарные угрозы и на их основе определяются дополнительные угрозы, выходящие за рамки элементарных. При этом перечень элементарных угроз (У) уже определен в IT-Grundschutz и включает в себя 47 позиций, которые оцениваются для каждого объекта или информации в составе информационного актива по уровню возможного воздействия:

  • непосредственное – напрямую может повлиять на целевой объект;

  • косвенное – может повлиять на целевой объект, но не выходит за рамки эффекта непосредственных угроз;

  • не применимо – не может повлиять на целевой объект.

Далее осуществляется оценка применимости элементарных угроз к объектам воздействия, например:

Если в качестве объекта проверяется конкретная серверная операционная система, то элементарная угроза У 0.25 «Отказ устройств или систем (Failure of devices or systems)» будет применимой, и против этой угрозы должны быть приняты соответствующие меры безопасности. Однако угроза У 0.1 «Пожар (Fire)» не может нанести ущерб конкретной операционной системе, поэтому ее рассмотрение в отношении операционной системы будет лишним.

После того, как проанализировали все элементарные угрозы для каждого возможного объекта воздействия, организация переходит к идентификации и оценке дополнительных угроз (Уд). Эти угрозы не входят в перечень элементарных и существуют отдельно, при этом чаще всего возникают для конкретного объекта воздействия (например, операционной системы или приложения). Если в результате идентификации дополнительных угроз организация выявила совершенно новую угрозу, не описанную ни в одном буклете или рекомендации от BSI, то авторы методики просят сообщать о ней в агентство с целью информирования других организаций о новой возможной угрозе.

Приведем пример дополнительной угрозы:

Уд 1 «Манипуляции со стороны членов семьи или посетителей» - так как члены семьи или посетители имеют временный доступ в некоторые помещения компании, существует риск того, что они используют эту возможность для внесения несанкционированных изменений в аппаратное или программное обеспечение, или информацию.

При этом такая угроза определяет элементарные угрозы, которые организация могла не учесть на предыдущем этапе: У 0.21 «Манипулирование аппаратным или программным обеспечением» и У 0.22 «Манипулирование информацией».

Этап 2 – Классификация рисков

По завершению идентификации всех элементарных и дополнительных угроз переходим к непосредственной классификации рисков. Данный этап включает две задачи, которые необходимо выполнить: оценка рисков и составление матрицы и реестра рисков.

2.1 Оценка рисков

Оценка рисков по BSI 200-3 имеет качественный характер, т.е. необходимо оценить частоту возникновения риска и степень ущерба, а затем присвоить риску уровень. При этом частоту возникновения можно определить не только на основе собственного опыта, но также с помощью анализа статистической информации в области работы организации и опыта внешних экспертов или комьюнити. BSI 200-3 предлагает 4 категории частоты возникновения:

  • редко – событие может происходить не чаще 1 раза в 5 лет

  • средне – событие происходит 1 раз в 5 лет или 1 раз в год

  • часто – событие происходит 1 раз в год или 1 раз в месяц

  • очень часто – событие происходит несколько раз в месяц.

Степень ущерба же может быть в полной мере оценена только самой организацией, при этом к оценке должны быть привлечены профильные специалисты по промышленной, экологической безопасности, бизнес-подразделения и высшее руководство организации. BSI 200-3 предлагает 4 категории степени ущерба:

  • незначительный – последствия ущерба невелики и ими можно пренебречь;

  • ограниченный – последствия ущерба ограничены и ими можно управлять;

  • значительный – последствия ущерба могут быть существенными;

  • угроза существованию организации – последствия ущерба могут достичь катастрофического уровня, который угрожает существованию организации.

2.2 Матрица и реестр рисков

На основе определенных на предыдущем этапе категорий потенциального ущерба и частоты возникновения, BSI 200-3 определяет матрицу рисков, которая используется для наглядной иллюстрации категорий рисков.

Описание уровней рисков по BSI 200-3 выглядит следующим образом:

  • низкий – реализованные меры безопасности обеспечивают адекватную защиту, при этом на практике обычно принято принимать низкие риски и продолжать их мониторинг;

  • средний – реализованные меры безопасности могут оказаться недостаточными;

  • высокий – реализованные меры безопасности не обеспечивают адекватной защиты;

  • очень высокий – реализованные меры безопасности не обеспечивают адекватной защиты (при этом очень высокие риски принимаются очень редко).

Приведем пример того, как BSI 200-3 предлагает фиксировать результаты оценки рисков в соответствующем реестре:

| Объект оценки | Угроза | Частота возникновения | Степень ущерба | Уровень риска (без дополнительных мер ИБ) | | --- | --- | --- | --- | --- | | База данных | У 0.28 «Уязвимости или ошибки программного обеспечения» | Часто | Значительный | Высокий |

Используя вышеописанные сведения, организация в завершении этого этапа должна сформировать реестр рисков и перейти к следующим действиям.

Этап 3 – Обработка рисков

3.1 Варианты обработки рисков

По методике BSI 200-3 возможны различные варианты обработки рисков в зависимости от уровня риск-аппетита организации. На практике большинство рисков с низким уровнем принимаются. Для рисков с уровнем средний, высокий и очень высокий должны быть оценены способы их обработки: избегание, уменьшение, передача, принятие. При этом такую оценку предполагает выполнить для каждой угроз, вызывающей риск, путем ответов на вопросы:

  • избегание – имеет ли смысл избегать риска путем реструктуризации бизнес-процесса или информационной системы?

  • снижение – имеет ли это смысл и возможно ли снизить риск путем внедрения дополнительных мер безопасности?

  • передача – имеет ли смысл передавать риск другой организации, например, с помощью страхования риска или аутсорсинга?

  • принятие – можно ли принять риск на основе понятных и однозначно трактуемых фактов?

Также в BSI 200-3 даны комментарии, раскрывающие данные вопросы, в том числе причины действия по выбранному сценарию, например, для принятия это:

«Причины принятия рисков могут включать:

  • соответствующая угроза приводит к ущербу только в очень особых обстоятельствах;

  • в настоящее время неизвестны эффективные контрмеры для соответствующей угрозы;

  • усилия и затраты на эффективные контрмеры превышают стоимость защищаемого актива.»

Приведем пример из реестра рисков с дополнительными столбцами, описывающими варианты его обработки:

| Объект оценки | Угроза | Частота возникновения | Степень ущерба | Уровень риска (без дополнительных мер ИБ) | Обработка риска | Уровень риска (с внедренными мерами ИБ) | | --- | --- | --- | --- | --- | --- | --- | | База данных (БД) | У 0.32 «Неправомерное использование разрешений» | Средне | Значительный | Средний | Снижение: Внедрение системы управления БД для предотвращения административного доступа к критическим данным БД, а также регистрация и оповещение о действиях администраторов | Низкий |

3.2 Мониторинг рисков

BSI 200-3, как и многие другие методики, говорит о том, что по завершению анализа часть рисков и приводящие к ним угрозы принимаются, т.к. на текущий момент они не несут существенной опасности для организации. Однако эти угрозы и риски могут возрасти в будущем. Это означает, что в отношении этих рисков и угроз необходимо производить мониторинг. При этом особенностью BSI 200-3 является то, что организация должна заранее определить и задокументировать меры безопасности, которые могут быть введены в действие, как только принятые риски станут неприемлемыми.

В целом же мониторинг рисков должен проводиться для всех рисков, находящихся в соответствующем реестре, с установленной периодичностью. Организация самостоятельно устанавливает периодичность данного мониторинга:

  • по времени (раз в месяц/три/полгода/год);

  • по степени обновления информационной инфраструктуры (обновление программного обеспечения на информационных ресурсах; добавление нового информационного ресурса и т.д.).

На этом основные базовые этапы оценки рисков по BSI 200-3 завершены. Но данная методика предлагает еще несколько действий, рассмотрим и их.

Консолидация концепции безопасности и связь с процессом обеспечения ИБ

Напомним, что в рамках подготовительного этапа, перед проведением оценки рисков, в организации должна быть разработана концепция безопасности в соответствии с BSI 200-2. По завершению оценки рисков по BSI 200-3 разработанную концепцию требуется доработать, т.е. оценить текущие меры безопасности и при необходимости дополнить их новыми.

При анализе существующей концепции безопасности BSI 200-3 рекомендует оценить следующие критерии (параметры):

  • пригодность мер безопасности для противодействия угрозам;

  • взаимодействие мер безопасности друг с другом;

  • удобство применения (использования) мер и средств безопасности;

  • соответствие/гарантия качества мер безопасности;

  • интеграция содержания (обеспечение согласованности содержания концепции безопасности и методологии IT-Grundschutz).

После консолидации концепции безопасности в соответствии с BSI 200-2 процесс безопасности может быть возобновлен, т.е. обновленная концепция станет основной для выполнения следующих работ:

  • аудит по IT-Grundschutz (эти работы выполняются в рамках предварительных действий, а после оценки рисков могут быть завершены);

  • внедрение концепции безопасности (должен быть запущен процесс выполнения требований безопасности, указанных в концепции);

  • анализ процесса ИТ-безопасности на всех уровнях (процесс ИТ-безопасности должен быть внедрен и регламентирован на всех уровнях);

  • управление потоком информации в процессе ИБ (должны быть сформированы и внедрены четкие правила управления информационными потоками и каналами информации);

  • сертификация по ISO 27001 на основе IT-Grundschutz (для независимого подтверждения внедрения IT-Grundschutz может быть пройдена сертификация по ISO 27001).

Риск-аппетит

BSI 200-3 первая из методик в рамках нашего цикла, которая вводит понятие риск-аппетит – это склонность или готовность организации идти на риск. При этом на риск-аппетит влияют различные условия, такие как:

  • культурные (в зависимости от страны и менталитета склонность к риску различается)

  • внутренние факторы (организационная культура, отношение руководства и т.д.)

  • рыночная среда (например, консервативная или инновационная)

  • способность нести риски (финансирование организации, ответственность, покрытие капитала и т.д.).

Методика также явно проговаривает, что количественно риск-аппетит сложно оценить, и чаще всего на практике его оценивают качественно. Такая оценка выполняется высшим руководством на основе матрицы, о которой рассказали ранее. Выглядит она следующим образом:

Как мы видим, на данном варианте матрицы, появились линии с низким и высоким риск-аппетитом, а также цифровые обозначения. Что же они означают:

  • организация с высоким риск-аппетитом (верхняя линия) будет нести риски № 1 и 3

  • организация с низким риск-аппетитом (нижняя линия) будет нести риски № 4, 5, 6

  • ни одна из организация не пойдет на риск № 2.

Однако разные организации могут иметь разную склонность к разным типам рискам, например, организация может иметь низкий риск-аппетит к рискам нанесения ущерба репутации, но быть готовой к высоким финансовым рискам. В принципе, это не меняет процедуру как таковую, но различные категории (репутация, финансы и т.д.) в таком случае должны рассматриваться отдельно.

В заключительной части BSI 200-3 вводит типы организаций по отношению к тому, как они справляются с рисками. Подобное видим впервые в рамках нашего цикла. И так, давайте посмотрим на них:

  • «Ковбой» - легко берет на себя риски.

  • «Пожиратель рисков» - берет на себя высокие риски при условии, если они компенсируются высокими возможностями.

  • «Консервативный» - пытается минимизировать все риски, насколько это возможно.

На этом мы закончим наш обзор BSI 200-3 и перейдем к выводам.

Выводы

Можно заметить, что методика BSI 200-3 одновременно похожа на популярные методики и, с другой стороны, совсем не похожа на них. Есть типовые сущности «частота возникновения», «степень ущерба», «реестр рисков», а есть новые – «элементарные угрозы», «риск-аппетит» и «типы организаций (ковбой и т.д.)». Потратив немало времени на анализ BSI 200-3, давайте выделим итоги.

Плюсы:

  • Глубина. Весь процесс оценки рисков по BSI 200-3 проходит в отношении конкретных информационных активов (аппаратная серверная платформа, операционная система, программное обеспечение и т.д.), чтобы упустить что-то из виду.

  • ИТ-риски. BSI 200-3 является одной из немногих методик, которые в том числе ориентированы на оценку ИТ-рисков, дополнительно приводя примеры ИТ-рисков в тексте.

  • ISO. Как уже было сказано ранее внедрение в организации IT-Grundschutz готовит организацию к успешной сертификации по ISO 27001. Помимо этого, в качестве подтверждения в BSI 200-3 есть отдельное приложение по ее соотношению с ISO/IEC 31000.

  • Каталог угроз. BSI 200-3 уже содержит полный каталог элементарных угроз, а также приводит примеры дополнительных угроз, что существенно сокращает время пользователю методики.

Минусы:

  • Сложность. Оценка рисков по BSI 200-3 требует высокого уровня зрелости организации и специалистов всех направлений, участвующих в процессе. При этом перед началом работы по BSI 200-3 необходимо выполнить достаточное количество сложных и масштабных подготовительных действий, а также дополнительно учитывать при оценке рисков другие стандарты BSI, такие как BSI 200-2. Все это занимает много времени, для сокращения времени желательно использовать средства автоматизации.

  • ИТ-риски. Да, эта особенность одновременно является и недостатком методики. Склонность BSI 200-3 к оценке ИТ-рисков снижает релевантность ее применения при оценке рисков по процессной части, не связанной с ИТ.

https://habr.com/ru/articles/688968/
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/International/bsi-standard-2003_en_pdf.pdf?__blob=publicationFile&v=2
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/International/bsi-standard-2002_en_pdf.pdf?__blob=publicationFile&v=2
BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz
BSI-Stardard 200-2 IT-Grundschutz Methodology