Методика оценки рисков информационной безопасности. Основные методы проведения оценки и анализа рисков безопасности

При внедрении системы управления информационной безопасностью (СУИБ) в организации одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны никто из окружающих вроде бы этого не видел и само событие представляется маловероятным, с другой стороны существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные дисциплины и объединения ученых мужей, вовлеченных в данный исследовательский процесс и, как водится, спецслужбы обладают в этой области особым тайным знанием.

Александр Астахов, CISA, 2006

Введение

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко, либо сколько осталось в бюджете.

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно, что в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. В данной статье излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Основные и вспомогательные активы

Говоря о рисках для бизнеса мы имеем ввиду возможность с определенной вероятностью понести определенный ущерб. Это может быть как прямой материальный ущерб, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса, ведь, если риском не управлять, то бизнес можно потерять.

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес целей) несколько основных категорий ресурсов (далее будем использовать непосредственно связанное с бизнесом понятие актива). Актив – это все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства)

Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются имидж и репутация компании. Эти ключевые активы для любой организации, являются ни чем иным как особой разновидностью информационных активов, поскольку имидж и репутация компании – это ни что иное как содержание открытой и широко распространенной информацией о ней. Информационная безопасность занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальной информации крайне негативно влияют на имидж.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

По определению, для организации важны все виды активов. Однако у каждой организации есть основные жизненно важные активы и активы вспомогательные. Определить какие активы являются основными очень просто, т.к. это те активы, вокруг которых построен бизнес организации. Так, бизнес организации может быть основан на владении и использовании материальных активов (например, земли, недвижимости, оборудования, полезных ископаемых), бизнес также может быть построен на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или бизнес может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет). Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Существующие подходы к управлению рисками

Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации не высок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако, существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес процессов очень высок и информационные риски могут существенно повлиять на основные бизнес процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае, рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.

Уровни зрелости

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах:

1. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

Процессная модель управления рисками

В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Ожидает, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), что отражает стандартный цикл любых процессов управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.

В системе управления рисками ИБ на этапе Планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективность контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе Реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе Проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе Действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

Факторы риска

Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков. Таких параметров всего семь:

• Актив (Asset)
• Ущерб (Loss)
• Угроза (Threat)
• Уязвимость (Vulnerability)
• Мехнизм контроля (Сontrol)
• Размер среднегодовых потерь (ALE)
• Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:

• Что является основным активом компании?
• Какова реальная ценность данного актива?
• Какие существуют угрозы в отношении данного актива?
• Каковы последствия этих угроз и ущерб для бизнеса?
• Насколько вероятны эти угрозы?
• Насколько уязвим бизнес в отношении этих угроз?
• Каков ожидаемый размер среднегодовых потерь?

На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос: Какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

Таким образом, по результатам оценки рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:

• Какой вариант обработки риска выбираем?
• Если принимается решение о минимизации риска, то какие механизмы контроля необходимо использовать?
• Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?

На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за реализацию контрмер.

Принятие решения по обработке рисков

Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта:

• Сообщение о проблеме: В чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
• Степень серьезности проблемы: Чем это грозит организации, ее руководству и акционерам?
• Предлагаемое решение: Что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства?
• Альтернативные решения: Какие еще способы решения проблемы существуют (альтернативы есть всегда и у руководства должна быть возможность выбора).

Пункты 1 и 2, а также 3 и 4 могут меняться местами, в зависимости от конкретной ситуации.

Методы управления рисками

Существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время, по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля описанный в международных стандартах и содержащихся в базе знаний CRAMM.

На первом этапе в методе CRAMM строиться модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность ресурсов, исходя из возможного ущерба, который организация может понести в результате их компрометации.

На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM оцениваются «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются и набор рекомендуемых контрмер по минимизации рисков, формируется, исходя из этого предположения.

На заключительном этапе инструментарием CRAMM формируется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.

Инструментарий для управления рисками

В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь на предыдущие этапы, например, переоценивая, определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документация, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с этими разнообразными данными.

Для управления рисками ИБ можно применять инструментарий, например, как в методе CRAMM, либо RA2 (показан на рисунке), однако это не является обязательным. Примерно также об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограмированый алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования СУИБ, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

Выводы

Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации.

При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей программный инструментарий, который реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов (например, RA2).

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Ссылки

• Астахов А.М., «История стандарта BS 7799», http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
• Астахов А.М., «Как построить и сертифицировать систему управления информационной безопасностью?»,

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Природа банковской деятельности. Понятие и причины возникновения банковских рисков. Характеристика основных банковских рисков. Основные методы минимизации банковских расходов. Анализ минимизации банковских рисков на примере АО "Народный Банк Казахстана".

курсовая работа , добавлен 06.12.2008


Понятие системных рисков в банковской сфере, критерии их идентификации и оценка. Основные классификационные признаки группирования банковских рисков. Влияние системных рисков на стабильность, устойчивость, надежность и равновесие банковской сферы.

реферат , добавлен 22.02.2017


Проблемы оценки и снижения рисков в деятельности коммерческих банков. Внедрение скоринг-модели оценки кредитоспособности клиентов банка. Увеличение ресурсов за счет создания нового депозита "Успех". Выдача кредитов под обеспечение ценными бумагами.

дипломная работа , добавлен 21.01.2015


Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".

дипломная работа , добавлен 07.05.2014


Функции и состав собственных и привлеченных средств кредитной организации. Изучение ресурсной базы российских коммерческих банков. Анализ собственного капитала, вкладов, долговых обязательств ЗАО "ЮниКредит Банк". Проблемы привлечения финансовых ресурсов.

курсовая работа , добавлен 20.02.2013


Риски в банковской деятельности. Уровень банковских рисков. Классификация рисков в банковском деле. Система оптимизации банковских рисков. Банковская система России - основные тенденции и перспективы развития.

реферат , добавлен 28.09.2006


Характеристика банка АО "ЮниКредит Банк". Структура и динамика активов и пассивов баланса. Факторный анализ процентных доходов и расходов от операций с ценными бумагами. Анализ платежеспособности, финансовой устойчивости банка и перспектив его развития.

курсовая работа , добавлен 21.03.2016

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

• физические источники;
• нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
• утечка из закрытых источников;
• утечка техническими путями;
• несанкционированное вторжение;
• атака информационных активов;
• нарушение целостности модификации данных;
• чрезвычайные ситуации;
• правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

• преодоление неэффективного использования средств аудита;
• уменьшение степени пользования людьми специальных средств для обработки данных;
• снижение применения ресурсов и активов;
• приучение к получению доступа к сетевым средствам только установленными методами;
• выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

• веб-сайт и внешние хосты;
• беспроводная сеть предприятия;
• резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

• материальные;
• человеческие;
• информационные;
• финансовые;
• процессы;
• бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

• люди;
• стратегия;
• технологии;
• процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

1. Установка целей и способов их достижения.
2. Анализ информации, необходимой для вынесения вердикта.
3. Обработка собранных данных.
4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

Для выбора нужных методов защиты ИС нужно реализовывать системных подход. Для начала нужно провести анализ уязвимости и угроз безопасности. Процедура анализа включает:

• Анализ разрешимых потерь из-за конкретной технологии АИС
• Осмотр возможных угроз системы и уязвимых мест, которые могут повлечь возможные потери
• Выбор оптимальных методов защиты по показателю цена/качество, при уменьшении риска к конкретному уровню

Анализ уязвимости и рисков может проводится по следующим направлениям:

• Объекты ИС
• Процессов, процедур и ПО обработки данных
• Для каналов связи
• Для побочных излучений

Зачастую бывает, что анализ всей ИС структуры с экономической точки зрения не всегда оправдан, Поэтому проще уделять внимание критическим узлам, учитывая оценку рисков. Защита ИС должна всегда учитывать интересы предприятия.

Аспекты, которые нужно учитывать при анализе защищенности ИС:

• Ценность — что нужно защищать
• Средства защиты — какие действия нужны
• Угрозы — вероятность реализации угрозы влияет на степень реализации защиты
• Воздействие — последствия после реализации угрозы
• Риск — переоценка угрозы с реализованной защитой
• Последствие — результат реализации угрозы

Мера риска может быть представлена в следующих терминах. Количественные — денежные потери. Качественные — шкала ранжирования. Одномерные — величина потери * частота потери. Многомерные — входят компоненты надежности, производительность и безопасность.

Управление рисками

Оценка рисков как часть направленя информационной безопасности — управлениями рисками по сути огромный механизм в создании защиты. Для эффективной реализации такого механизма нужно реализовать ряд требований, к примеру перейти от качественных понятий к количественным. К примеру: получения доступа к критичной информации приведет предприятие в убыток — это качественное понятие, а «доступ к критичной информации потребует выплаты суммы n 1 конкурентам, n 2 клиентам и тд» — это количественное понятие.

Управление рисками — процесс реализации анализа и оценки, снижения или перенаправления риска, где процесс над риском нуждается в ответе на следующие вопросы:

• Что может произойти?
• Есть это произойдет, каков будет ущерб?
• как часто это может происходить?
• Насколько мы уверенны в ответах на вышеуказанные вопросы? (вероятность)
• Сколько будет стоять то, что бы устранить или понизить это?

Информационный актив — набор данных, которые нужны для работоспособности предприятия, и может включать более мелкие наборы. При оценке должна анализироваться информация отдельно от физического носителя. При оценки стоимости ущерба, рассматривают следующие аспекты:

• цена замены информации
• цена замены ПО
• цена нарушения целостности, конфиденциальности и доступности

Методики оценки рисков

Стандартный подход по управлению рисками следующий:

• определение политики управления рисками
• определения сотрудников, которые будут управлять оценкой и анализом рисков
• определить методику и средства, на основе которых будет проводиться анализ рисков
• Идентификация и измерения риска
• Установка рамок допустимости рисков
• мониторинг работы управления рисков

Здесь будут рассмотрены три метода оценки рисков, это модель качественной оценки , количественная модель рисков , модель обобщенного стоимостного результата Миоры .

Модель качественной оценки

Качественная оценка традиционно сводится к реализации таблицы которая показана на рис.1. Таблица заполняется разными версиями информационных активов или какой либо информации. Положительные моменты этой модели заключаются в:

• Вычисления упрощаются и ускоряются.
• Нету нужды давать денежную стоимость активу.
• Не требуется соответствия эффективности соответствующим мерам .
• Не нужно считать частоту точного размера ущерба и проявления угрозы.

Отрицательными параметрами является субъективность подхода и отсутствия точного соответствия затрат угрозам.

Рисунок 1

Количественная модель рисков

Эта модель предполагает такими предположениями как:

• Годовая частота происшествия, вероятность появления ущерба. ARO .
• Ожидаемый единичный ущерб — цена ущерба от одной результативной атаки.SLE
• Ожидаемый годовой ущерб — ALE = ARO * SLE;

SLE = AV * EF, где AV — значение актива, а EF — фактор воздействия. Это размер ущерба от 0 до 100%. Это часть значения, где теряется результат события. Следующий вопрос это определение стоимости активов. Они бывают осязаемые и неосязаемые. Осязаемые — это средства обслуживания ИТ — аппаратное/сетевое обеспечение, и тд. Цена таких активов легко вычисляются. Цена неосязаемых активов учитывает два варианта расходов: расходы при нарушении целостности/конфиденциальности/доступности и расходы на восстановление/замену ПО или данных. Нужно произвести канал между уязвимостью, влиянием и угрозой на актив. Это показано на рис.2.

Рисунок 2

Модель Миоры (GCC)

Эта модель реализована как альтернатива Количественной модели рисков для облегчения и улучшения вычислений и расчетов. Эта модель не учитывает вероятности катастрофических событий, она учитывает понятие ущерба от простоя, как средством от времени после начала события. Что в свою очередь частично решает .

Ниже наведена традиционная методика организации средств по управлению рисками:

• Уяснение политики управления рисками которая реализуется на общепринятых понятиях реализации информационной безопасности (GASSP), которая должна быть описана в . Политика дает избежать субъективного подхода.
• Нужно назначить персонал, который будет заниматься этим вопросом и нужно финансирование отдела. Также возможное обучение персонала в некоторых вопросах.
• Выбор и средства, с помощью которых реализуется оценка риска.
• Идентификация и уменьшение риска. На первой ступени нужно определить область применения работ, которые имеют угрозы.
• Определение критериев допустимых рисков. К примеру неприемлемый риск на эквивалент 100 000$ это 3/100.
• Неприемлемые риски нужно уменьшать. Нужно выбрать средство для снижения риска и описать оценку эффективности средства.
• Нужно периодически мониторить риска. Чтобы вовремя их выявлять и уменьшать или ликвидировать.