Как уже хорошо известно всем, кто работает в сфере информационной безопасности, краеугольным камнем каждой СМИБ (системы управления информационной безопасностью) является проведение соответствующего анализа рисков, связанных с нашими активами. информации.
Важность анализа рисков проистекает из того факта, что это инструмент, который позволит нам определить угрозы, которым подвержены эти активы, оценить частоту материализации таких угроз и оценить влияние, которое такая материализация может оказать на нашу организацию.
В области анализа рисков в Испании у нас есть неоспоримый ориентир, когда мы рассматриваем методологию, которой нужно следовать. Да, это ссылка MAGERIT: Методология анализа рисков и управления для информационных систем. В настоящее время версия 2.0 имеет отличное состояние и признана ENISA (Европейское агентство сетевой и информационной безопасности) наряду с другими европейскими и международными методологиями. Это общедоступная методология, разработанная Высшим советом электронного управления (CSAE), органом Министерства государственного управления (MAP), отвечающим за подготовку, разработку, развитие и применение политики правительства Испании в области ИТ.
Если до сих пор это господство MAGERIT было бесспорным - за интересным исключением тех профессионалов, которые решили разработать свои «собственные» методологии, учитывая, что они были лучше адаптированы к своим организациям, - в течение относительно короткого времени у нас был конкурент-конкурент. Этим новым игроком на сцене анализа рисков стал, как многие могли представить, международный стандарт ISO / IEC 27005: 2008, озаглавленный «Информационные технологии - Методы безопасности - Управление рисками информационной безопасности».
ISO 27005 «отменил» стандарты ISO / IEC TR 13335-3: 1998 и ISO / IEC TR 13335-4: 2000, и с момента его публикации в июне 2008 года предоставляет набор руководящих принципов для правильного проведения анализа. рисков.
Обратите внимание, однако, что ISO 27005 не предоставляет конкретной методологии анализа рисков, а скорее описывает рекомендуемый процесс анализа, включая этапы, которые его составляют, в своем пункте:
- Установление контекста (Раздел 7.) Оценка риска (Раздел 8.) Обработка риска (Раздел 9.) Принятие риска (Раздел 10.) Сообщение о рисках (Раздел 11.) Мониторинг и анализ рисков (Раздел 12.)
Короче говоря, стандарт помогает нам не сомневаться в элементах, которые должна включать каждая хорошая методология анализа рисков, поэтому, с этой точки зрения, его можно рассматривать как методологию сама по себе.
Кроме того, стандарт включает шесть Приложений (AF) информативного и ненормативного характера с указаниями, которые варьируются от идентификации активов и воздействий, примеров уязвимостей и связанных с ними угроз до различных подходов к анализу, различающих анализ высокого риска. уровень и детальный анализ.
Но какие аргументы есть у ISO 27005 против MAGERIT или других существующих методологий? Что ж, правда в том, что есть ощутимое разделение в секторе, даже на европейском уровне (в этом случае, логично, сравнивая стандарт ISO с методологиями каждой страны).
С одной стороны, есть те, кто с большим энтузиазмом воспринял новый стандарт, понимая, что он подразумевает официализацию на международном уровне требований, которым должна отвечать методология анализа рисков, и, следовательно, вносит ясность в область, которая, несомненно, была нуждаясь в этом. Эта позиция часто встречается среди тех, кто занимается внедрением систем управления в соответствии с ISO 27001 - абсолютным эталоном в управлении безопасностью, поскольку ISO 27005 явно был создан для поддержки задачи анализа и управления рисками в рамках СМИБ.
С другой стороны, мы находим тех, кто не совсем понимает вклад этого стандарта для профессионалов в области анализа рисков, учитывая множество существующих методологий. С этих позиций, более консервативных в отношении управления рисками, критика сосредоточена на указании на то, что новый стандарт на самом деле не углубляется в управление рисками, а, скорее, остается в простой декларативной структуре определенных рисков, и что эта структура он связан с циклом PDCA (планирование, выполнение, проверка, действие) для анализа этих рисков.
Критики ISO 27005 добавляют еще один аспект, который их не совсем убеждает, и именно это подчинение - для них, несомненно, чрезмерное - стандарта по отношению к СМИБ. Они считают, что заявление, сделанное в подпункте 7.1 стандарта, неприемлемо, в котором в качестве целей анализа рисков, среди прочего, указывается поддержка СМИБ. Это утверждение оспаривается тем, что в действительности внедрение СМИБ является результатом предварительного анализа рисков, а не наоборот. Это последнее мнение вовсе не кажется неуместным, так как именно СМИБ имеет своей целью (и в данном случае стоит избыточность) всегда управлять информационной безопасностью с исходной точки анализа рисков.
Независимо от разногласий, которые не обязательно должны быть бесплодными, правда в том, что чуть больше года профессионалы, посвятившие себя информационной безопасности, получили новую поддержку для этой сложной и важной задачи - анализа. и Управление рисками информационных активов в организациях. Надо сказать, что чем больше вкладов, тем лучше.
Среди этих вкладов стоит выделить испанскую публикацию через месяц после выхода стандарта ISO 27005, в которой - в данном случае да - методология анализа рисков в форме стандарта UNE. Мы, конечно же, ссылаемся на UNE 71504, о котором, несомненно, будет интересно поговорить в другой раз и сравнить его с тем бесспорным упоминанием в Испании, которым является MAGERIT.
Предоставил: Елена Ортега де Николас
