Методика оценки рисков информационной безопасности. Вопросы управления рисками информационной безопасности

Основные принципы управления рисками информационной безопасности

Несмотря на разные операции, продукты и услуги, организации используют пять принципов управления рисками информационной безопасности:

· Оценить риск и определить потребности

· Установить централизованное управление

· Внедрить необходимые политики и соответствующие средства контроля

· Содействовать осведомленности сотрудников

· Контролировать и оценивать эффективность политик и механизмов контроля

Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации.

Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается "сама по себе", но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).

Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации. Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слабыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за постоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно точно сравнить стоимость средств контроля с риском потери, чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны полагаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций. Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности. В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет, централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации. Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников, может быть, достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска. Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.

Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

· число проведенных тренингов и встреч;

· число выполненных оценок риска (рисков);

· число сертифицированных специалистов;

· отсутствие инцидентов, затрудняющих работу сотрудников организации;

· снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;

· полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;

· снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.
Важно гарантировать, что (1) специалисты в области информационной безопасности не "отстают" от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

Методы анализа

РЕSТ – это аббревиатура четырех английских слов: Р – Роlitical-legal – политико-правовые, Е – Есопоmiс – экономические, S – Sосioсultural – социокультурные, Т – Тесhnological forces – технологические факторы.

РЕSТ-анализ состоит в выявлении и оценке влияния факторов макросреды на результаты текущей и будущей деятельности предприятия.

Выделяют четыре группы факторов, наиболее существенных для стратегии предприятия:

Политико-правовые;

Экономические;

Социокультурные;

Технологические.

Цель РЕSТ-анализа – отслеживание (мониторинг) изменений макросреды по четырем узловым направлениям и выявление тенденций, событий, не подконтрольных предприятию, но оказывающих влияние на результаты принятых стратегических решений.

Таблица 1. PEST анализ

Политика	Р	Экономика	Е
1. Правительственная стабильность 2. Изменение законодательства 3. Государственное влияние на отрасли 4. Государственное регулирование конкуренции в отрасли 5. Налоговая политика	1. Общая характеристика экономической ситуации (подъем, стабилизация, спад) 2. Курс национальной валюты и ставка рефинансирования 3. Уровень инфляции 4. Уровень безработицы 5. Цены на энергоресурсы
Социум	S	Технология	Т
1. Демографические изменения 2. Изменение структуры доходов 3. Отношение к труду и отдыху 4. Социальная мобильность населения 5. Активность потребителей	1. Государственная техническая политика 2. Значимые тенденции в области НИОКР 3. Новые продукты (скорость обновления и освоения новых технологий) 4. Новые патенты

Политический фактор внешней среды изучается в первую очередь для того, чтобы иметь ясное представление о намерениях органов государственной власти в отношении развития общества и о средствах, с помощью которых государство предполагает претворять в жизнь свою политику.

Анализ экономического аспекта внешней среды позволяет понять, как на уровне государства формируются и распределяются экономические ресурсы. Для большинства предприятий это является важнейшим условием их деловой активности.

Изучение социального компонента внешнего окружения направлено на то, чтобы уяснить и оценить влияние на бизнес таких социальных явлений, как отношение людей к качеству жизни, мобильность людей, активность потребителей и др.

Анализ технологического компонента позволяет предвидеть возможности, связанные с развитием науки и техники, своевременно перестроиться на производство и реализацию технологически перспективного продукта, спрогнозировать момент отказа от используемой технологии.

Порядок проведения РЕ5Т – анализа.

Выделяют следующие этапы проведения внешнего анализа:

1. Разрабатывается перечень внешних стратегических факторов, имеющих высокую вероятность реализации и воздействия на функционирование предприятия.

2. Оценивается значимость (вероятность осуществления) каждого события для данного предприятия путем присвоения ему определенного веса от единицы (важнейшее) до нуля (незначительное). Сумма весов должна быть равна единице, что обеспечивается нормированием.

3. Дается оценка степени влияния каждого фактора-события на стратегию предприятия по 5-балльной шкале: «пять» – сильное воздействие, серьезная опасность; «единица» – отсутствие воздействия, угрозы.

4. Определяются взвешенные оценки, путем умножения веса фактора на силу его воздействия и подсчитывается суммарная взвешенная оценка для данного предприятия.

Суммарная оценка указывает на степень готовности предприятия реагировать на текущие и прогнозируемые факторы внешней среды.

Таблица 2. Результаты анализа внешних стратегических факторов

В данном случае оценка 3,05 показывает, что реакция предприятия на стратегические факторы внешней среды находится на среднем уровне.

Применяемый для анализа среды метод SWOT является широко признанным подходом, позволяющим провести совместное изучение внешней и внутренней среды.

Применяя метод SWOT‑анализа, удается установить линии связи между силой и слабостью, которые присущи организации, и внешними угрозами и возможностями. Методология предполагает сначала выявление сильных и слабых сторон, а также угроз и возможностей , и после этого установление цепочек связей между ними, которые в дальнейшем могут быть использованы для формулирования стратегии организации.

Томпсон и Стрикленд предложили следующий примерный набор характеристик, заключение по которым должно позволить составить список слабых и сильных сторон организации, а также список угроз и возможностей для нее, заключенных во внешней среде.

Сильные стороны:

Выдающаяся компетентность;

Адекватные финансовые ресурсы;

Высокая квалификация;

Хорошая репутация у покупателей;

Известный лидер рынка;

Изобретательный стратег в функциональных сферах деятельности организации;

Возможность получения экономии от роста объема производства;

Защищенность (хотя бы где-то) от сильного конкурентного давления;

Подходящая технология;

Преимущества в области издержек;

Преимущества в области конкуренции;

Наличие инновационных способностей и возможности их реализации;

Проверенный временем менеджмент.

Слабые стороны:

Нет ясных стратегических направлений;

Ухудшающаяся конкурентная позиция;

Устаревшее оборудование;

Более низкая прибыльность потому, что…;

Недостаток управленческого таланта и глубины владения проблемами;

Отсутствие некоторых типов ключевой квалификации и компетентности;

Плохое отслеживание процесса выполнения стратегии;

Мучение с внутренними производственными проблемами;

Уязвимость по отношению к конкурентному давлению;

Отставание в области исследований и разработок;

Очень узкая производственная линия;

Слабое представление о рынке;

Конкурентные недостатки;

Ниже среднего маркетинговые способности;

Неспособность финансировать необходимые изменения в стратегии.

Возможности:

Выход на новые рынки или сегменты рынка;

Расширение производственной линии;

Увеличение, разнообразия во взаимосвязанных продуктах;

Добавление сопутствующих продуктов;

Вертикальная интеграция;

Возможность перейти в группу с лучшей стратегией;

Самодовольство среди конкурирующих фирм;

Ускорение роста рынка.

Возможность появления новых конкурентов;

Рост продаж замещающего продукта;

Замедление роста рынка;

Неблагоприятная политика правительства;

Возрастающее конкурентное давление;

Рецессия и затухание делового цикла;

Возрастание силы торга у покупателей и поставщиков;

Изменение потребностей и вкуса покупателей;

Неблагоприятные демографические изменения.

Подзаголовок: Методика проведения анализа и построение матрицы SWOT-анализа

Организация может дополнить каждую из четырех частей списка теми характеристиками внешней и внутренней среды, которые отражают конкретную ситуацию, в которой она находится.

После того как конкретный список слабых и сильных сторон организации, а также угроз и возможностей составлен, наступает этап установления связей между ними. Для установления этих связей составляется матрица СВОТ, которая имеет следующий вид (рис. 1).

Рис. 1. Матрица SWOT‑анализа

Слева выделяется два блока (сильные стороны, слабые стороны), в которые соответственно выписываются все выявленные на первом этапе анализа стороны организации.

В верхней части матрицы также выделяется два блока (возможности и угрозы), в которые выписываются все выявленные возможности и угрозы. На пересечении блоков образуется четыре поля:

СИВ (сила и возможности); СИУ (сила и угрозы); СЛВ (слабость и возможности); СЛУ (слабость и угрозы). На каждом из полей исследователь должен рассмотреть все возможные парные комбинации и выделить те, которые должны быть учтены при разработке стратегии поведения организации.

В отношении тех пар, которые были выбраны с поля СИВ, следует разрабатывать стратегию по использованию сильных сторон организации для того, чтобы получить отдачу от возможностей, которые появились во внешней среде.

Для тех пар, которые оказались на поле СЛВ, стратегия должна быть построена таким образом, чтобы за счет появившихся возможностей попытаться преодолеть имеющиеся в организации слабости.

Если пара находится на поле СИУ, то стратегия должна предполагать использование силы организации для устранения угрозы.

Наконец, для пар, находящихся на поле СЛУ, организация должна вырабатывать такую стратегию, которая позволила бы ей как избавиться от слабости, так и попытаться предотвратить нависшую над ней угрозу.

Вырабатывая стратегии, следует помнить, что возможности и угрозы могут переходить в свою противоположность. Так, неиспользованная возможность может стать угрозой, если ее использует конкурент. Или наоборот, удачно предотвращенная угроза может открыть перед организацией дополнительные возможности в том случае, если конкуренты не смогли устранить эту же угрозу.

Подзаголовок: Построение матрицы «возможностей»

Для успешного анализа окружения организации методом SWOT-анализа важно не только уметь вскрывать угрозы и возможности, но и уметь оценивать их с точки зрения важности и степени влияния на стратегию организации.

Для оценки возможностей применяется метод позиционирования каждой конкретной возможности на матрице возможностей (рис. 2).

Рис. 2. Матрица возможностей

Матрица строится следующим образом:

– сверху по горизонтали откладывается степень влияния возможности на деятельность организации (сильное, умеренное, малое);

– слева по вертикали откладывается вероятность того, что организация сможет воспользоваться возможностью (высокая, средняя, низкая).

Полученные внутри матрицы девять полей возможностей имеют разное значение для организации.

Возможности, попадающие на поля ВС, В, У и СС, имеют большое значение для организации, и их надо обязательно использовать.

Возможности же, попадающие на поля СМ, НУ и НМ, практически не заслуживают внимания организации.

Подзаголовок: Построение матрицы «угроз»

Похожая матрица составляется для оценки угроз (рис. 3):

– сверху по горизонтали откладываются возможные последствия для организации, к которым может привести реализация угрозы (разрушение, критическое состояние, тяжелое состояние, «легкие ушибы»).

– слева по вертикали откладывается вероятность того, что угроза будет реализована (высокая, средняя, низкая).

Рис. 3. Матрица угроз

Те угрозы, которые попадают на поля ВР, ВК и СР, представляют очень большую опасность для организации и требуют немедленного и обязательного устранения.

Угрозы, попавшие на поле ВТ, СК и НР, также должны находиться в поле зрения высшего руководства и быть устранены в первостепенном порядке.

Что касается угроз, находящихся на полях НК, СТ и ВЛ, то требуется внимательный и ответственный подход к их устранению. Хотя при этом не ставится задача их первостепенного устранения. Попавшие на оставшиеся поля угрозы также не должны выпадать из поля зрения руководства организации. Необходимо внимательно отслеживать их развитие.

Подзаголовок: Составление профиля среды

Наряду с методами изучения угроз, возможностей, силы и слабости организации для анализа среды может быть применен метод составления ее профиля. Данный метод удобно применять для составления профиля отдельно макроокружения, непосредственного окружения и внутренней среды. С помощью метода составления профиля среды удается оценить относительную значимость для организации отдельных факторов среды.

Метод составления профиля среды состоит в следующем. В таблицу профиля среды (рис. 4) выписываются отдельные факторы среды. Каждому из факторов экспертным образом дается оценка:

Важности для отрасли по шкале: 3 – большая, 2 – умеренная, 1 – слабая;

Влияния на организацию по шкале: 3 – сильное, 2 – умеренное, 1 – слабое, 0 – отсутствие влияния;

Направленности влияния по шкале: +1 – позитивная, -1 – негативная.

Рис. 4. Таблица профиля среды

Далее все три экспертных оценки перемножаются, и получается интегральная оценка, показывающая степень важности фактора для организации. По этой оценке руководство может заключить, какие из факторов среды имеют относительно более важное значение для их организации и, следовательно, заслуживают самого серьезного внимания, а какие факторы заслуживают меньшего внимания.

Анализ среды – это очень важный для выработки стратегии организации и очень сложный процесс, требующий внимательного отслеживания происходящих в среде процессов, оценки факторов и установления связи между факторами и теми сильными и слабыми сторонами организации, а также возможностями и угрозами, которые заключены во внешней среде.

Очевидно, что, не зная среды, организация не сможет существовать. Однако она не плывет в окружении как лодка, не имеющая руля, весел или паруса. Организация изучает среду, чтобы обеспечить себе успешное продвижение к своим целям. Поэтому в структуре процесса стратегического управления вслед за анализом среды следует установление миссии организации и ее целей.

9.3. Жизненный цикл товара/услуги

Любой товар (услуга) проходит свой жизненный цикл от зарождения (появление на рынке) до прекращения (выпуска последнего образца).

Можно выделить следующие основные стадии жизненного цикла (рис. 5):

Рис. 5. Обычный график жизненного цикла товара во времени

Матрица БКГ

Наиболее популярная процедура анализа положения компании на рынке - построение матриц портфеля. Обычно такие матрицы строятся на основе пары стратегически важных переменных, таких, как скорость роста отрасли, размеры рынка, долговременная привлекательность отрасли, конкурентный статус и т. д. Такие двумерные матрицы относительно просты и дают четкую рыночную обстановку. Наибольшее распространение получили матрицы БКГ (BCG - Boston Consulting Group) и «Дженерал электрик».

В основе Бостонской матрицы лежит модель жизненного цикла товара, в соответствии с которой товар в своем развитии проходит четыре стадии: выход на рынок (товар – «дикая кошка»), рост (товар – «звезда»), зрелость (товар – «дойная корова») и спад (товар – «собака»).

Для оценки конкурентоспособности отдельных видов бизнеса используются два критерия: темп роста отраслевого рынка; относительная доля рынка.

Темп роста рынка определяется как средневзвешенное значение темпов роста различных сегментов рынка, в которых действует предприятие, или принимается равным темпу роста валового национального продукта. Темпы роста отрасли 10% и более рассматриваются как высокие.

Относительная доля рынка определяется делением доли рынка рассматриваемого бизнеса на долю рынка крупнейшего конкурента.

Рис. 6. Матрица БКГ для гипотетической фирмы

Значение доли рынка, равное 1, отделяет продукты – рыночные лидеры – от последователей. Таким образом, осуществляется деление видов бизнеса (отдельных продуктов) на четыре различные группы (рис. 6).

В основе матрицы БКГ лежат два предположения:

1. Бизнес, имеющий существенную долю рынка, приобретает в результате действия эффекта конкурентное преимущество в отношении издержек производства. Отсюда следует, что самый крупный конкурент имеет наибольшую рентабельность при продаже по рыночным ценам и для него финансовые потоки максимальны.

2. Присутствие на растущем рынке означает повышенную потребность в финансовых средствах для своего развития, т.е. обновления и расширения производства, проведения интенсивной рекламы и т.д. Если темп роста рынка невелик, например зрелый рынок, то товар не нуждается в значительном финансировании.

В том случае, когда обе гипотезы выполняются, можно выделить четыре группы рынков товара, соответствующие различным приоритетным стратегическим целям и финансовым потребностям:

«Дикие кошки» (быстрый рост / малая доля): товары этой группы могут оказаться очень перспективными, поскольку рынок расширяется, но требуют значительных средств для поддержания роста. Применительно к этой группе продуктов необходимо решить: увеличить долю рынка данных товаров или прекратить их финансирование.

«Звезды» (быстрый рост / высокая доля) – это рыночные лидеры. Они приносят значительную прибыль благодаря своей конкурентоспособности, но также нуждаются в финансировании для поддержания высокой доли динамичного рынка.

«Дойные коровы» (медленный рост / высокая доля): товары, способные принести больше прибыли, чем необходимо для поддержания их роста. Они являются основным источником финансовых средств для диверсификации и научных исследований. Приоритетная стратегическая цель – «сбор урожая».

«Собаки» (медленный рост / малая доля) – это продукты, которые находятся в невыгодном положении по издержкам и не имеют возможностей роста. Сохранение таких товаров связано со значительными финансовыми расходами при небольших шансах на улучшение положения. Приоритетная стратегия – деинвестирование и скромное существование.

В идеале сбалансированный номенклатурный портфель предприятия должен включать:

2–3 товара – «коровы», 1–2 – «звезды», несколько «кошек» в качестве задела на будущее и, возможно, небольшое число товаров – «собак». Избыток стареющих товаров («собак») указывает на опасность спада, даже если текущие результаты деятельности предприятия относительно хорошие. Избыток новых товаров может привести к финансовым затруднениям.

В динамичном корпоративном портфеле выделяют следующие траектории (сценарии) развития (рис. 7).

Рис. 7. Основные сценарии развития

«Траектория товара». Инвестируя в НИОКР средства, получаемые от «дойных коров», предприятие выходит на рынок с принципиально новым товаром, который занимает место звезды.

«Траектория последователя». Средства от «дойных коров» инвестируются в товар – «кошку», на рынке которого доминирует лидер. Предприятие придерживается агрессивной стратегии наращивания доли рынка, и товар – «кошка» превращается в «звезду».

«Траектория неудачи». Вследствие недостаточного инвестирования товар-звезда, утрачивает лидирующие позиции на рынке и становится товаром – «кошкой».

«Траектория посредственности». Товару – «кошке» не удается увеличить свою долю рынка, и он вступает в следующую стадию (товар – «собака»).

В январе 2018 года на Всемирном экономическом форуме в Давосе был представлен «Отчет о глобальных рисках для человечества 2018». Из отчета следует, что значимость рисков информационной безопасности возрастает как в связи с увеличением количества реализованных атак, так и с учетом их разрушительного потенциала.

Одними из самых распространенных в мире методик управления рисками информационной безопасности являются CRAMM, COBIT for Risk, FRAP, Octave и Microsoft. Наряду с определенными преимуществами они имеют и свои ограничения. В частности, перечисленные зарубежные методики могут эффективно использоваться коммерческими компаниями, в то время как государственным организациям при оценке и управлении рисками информационной безопасности необходимо руководствоваться положениями нормативных актов ФСТЭК России. Например, для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах следует руководствоваться приказом ФСТЭК России от 14 марта 2014 г. № 31. Вместе с тем этот документ в качестве дополнительного материала мог бы использоваться и федеральными органами исполнительной власти.

Риски информационной безопасности в современном обществе

За последнее время число атак на организации удвоилось. Атаки, ведущие к экстраординарному ущербу, становятся обычным явлением. Финансовый ущерб от атак возрастает и одни из самых больших потерь связаны с атаками вирусов-вымогателей. Ярким примером этого являются атаки вирусов-вымогателей WannaCry и NotPetya, затронувшие более 300 тыс. компьютеров в 150 странах мира и приведшие к финансовым потерям более 300 млн долл.

Еще одной тенденцией является увеличение количества атак на объекты критической инфраструктуры и стратегические промышленные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Таким образом, риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности является одним из приоритетных направлений развития организаций по всему миру и абсолютно необходимо для их дальнейшего функционирования.

Цели и подходы к управлению рисками информационной безопасности

Целью любой организации является достижение определенных показателей, характеризующих результаты ее деятельности. Например, для коммерческих компаний это извлечение прибыли, рост капитализации, доли рынка или оборота, а для правительственных организаций – предоставление государственных услуг населению и решение задач управления. В любом случае, независимо от цели деятельности организации, достижению этой цели может помешать реализация рисков информационной безопасности. При этом каждая организация по-своему оценивает риски и возможность инвестирования в их снижение.

Таким образом, целью управления рисками информационной безопасности является поддерживание их на приемлемом для организации уровне. Для решения данной задачи организации создают комплексные системы информационной безопасности (СИБ).

При создании таких систем встает вопрос выбора средств защиты, обеспечивающих снижение выявленных в процессе анализа рисков информационной безопасности без избыточных затрат на внедрение и поддержку этих средств. Анализ рисков информационной безопасности позволяет определить необходимую и достаточную совокупность средств защиты информации, а также организационных мер направленных на снижение рисков информационной безопасности, и разработать архитектуру СИБ организации, максимально эффективную для ее специфики деятельности и направленную на снижение именно ее рисков информационной безопасности.

Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от используемой методики оценки и управления рисками:

1. Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски.
2. Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.
3. Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.
4. Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:
   • Избегание риска;
   • Принятие риска;
   • Передача риска;
   • Снижение риска.
   Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:
   • Ответственный за реагирование;
   • Описание мер реагирования;
   • Оценка необходимых инвестиций в меры реагирования;
   • Сроки реализации этих мер.
5. Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.
6. Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.

Рассмотрим наиболее известные методики управления рисками информационной безопасности: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Обзор методики CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

1. Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.
2. Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:
   • Данные;
   • Программное обеспечение;
   • Физические активы.
   Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.
3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.
4. Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.
5. Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты - для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

• Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;
• Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;
• Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;
• Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

• Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;
• Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;
• Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM.

Обзор методологии COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:
• Принципы, политики, процедуры организации;
• Процессы;
• Организационная структура;
• Корпоративная культура, этика и правила поведения;
• Информация;
• ИТ-сервисы, ИТ-инфраструктура и приложения;
• Люди, их опыт и компетенции.

В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:
• Необходимый процесс;
• Информационные потоки;
• Организационная структура;
• Люди и компетенции.
Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:
• Создание и обслуживание портфелей ИТ-проектов;
• Управление жизненным циклом программы / проекта;
• Инвестиции в ИТ;
• Экспертиза и навыки персонала ИТ;
• Операции с персоналом;
• Информация;
• Архитектура;
• ИТ-инфраструктура;
• Программное обеспечение;
• Неэффективное использование ИТ;
• Выбор и управление поставщиками ИТ;
• Соответствие нормативным требованиям;
• Геополитика;
• Кража элементов инфраструктуры;
• Вредоносное программное обеспечение;
• Логические атаки;
• Техногенное воздействие;
• Окружающая среда;
• Природные явления;
• Инновации.
Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:
• Стратегические риски – риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;
• Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;
• Риски управления ИТ и предоставления ИТ-сервисов – риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.
Каждый рисковый сценарий содержит следующую информацию:
• Тип источника угрозы - внутренний/внешний.
• Тип угрозы - злонамеренное действия, природное явление, ошибка и др.
• Описание события - доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.
• Типы активов (компонентов) организации, на которые влияет событие - люди, процессы, ИТ-инфраструктура и др.
• Время события.
В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:
• Избегание риска;
• Принятие риска;
• Передача риска;
• Снижение риска.
Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:
• Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;
• Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;
• Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;
• Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;
• Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.
При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:
• Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;
• Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;
• Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.
Данный метод применяется как в правительственных, так и в коммерческих организациях по всему миру. Метод является наиболее подходящим для крупных технологических организаций или организаций с высокой степенью зависимости основной деятельности от информационных технологий, для тех, кто уже используют (или планируют использовать) стандарты и методики COBIT для управления информационными технологиями и имеют необходимые для этого ресурсы и компетенции. В этом случае возможна эффективная интеграция процессов управления рисками информационной безопасности и процессов общего управления ИТ и достижение синергетического эффекта, который позволит оптимизировать затраты на реализацию процессов анализа и управления рисками информационной безопасности.

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

• физические источники;
• нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
• утечка из закрытых источников;
• утечка техническими путями;
• несанкционированное вторжение;
• атака информационных активов;
• нарушение целостности модификации данных;
• чрезвычайные ситуации;
• правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

• преодоление неэффективного использования средств аудита;
• уменьшение степени пользования людьми специальных средств для обработки данных;
• снижение применения ресурсов и активов;
• приучение к получению доступа к сетевым средствам только установленными методами;
• выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

• веб-сайт и внешние хосты;
• беспроводная сеть предприятия;
• резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

• материальные;
• человеческие;
• информационные;
• финансовые;
• процессы;
• бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

• люди;
• стратегия;
• технологии;
• процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

1. Установка целей и способов их достижения.
2. Анализ информации, необходимой для вынесения вердикта.
3. Обработка собранных данных.
4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.

2) Оценивание возможных угроз.

3) Оценивание существующих уязвимостей.

4) Оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

Показателей ценности информационных ресурсов;

Вероятности реализации угроз для ресурсов;

Эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

Привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

Возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

Техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

Степенью легкости, с которой уязвимость может быть использована.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно­правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес­деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800­30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во­первых, определение основных целей и задач защиты информационных активов компании. Во­вторых, создание эффективной системы оценки и управления информационными рисками. В­третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В­четвертых, применение специального инструментария оценивания и управления рисками.

Качественные методики управления рисками

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT­аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799­2002.

Стандарт ISO 17799 содержит две части.

В Части 1: Практические рекомендации по управлению информационной безо­пасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: Политика безопасности. Организация защиты. Классификация и управление информационными ресурсами. Управление персоналом. Физическая безопасность. Администрирование компьютерных систем и сетей. Управление доступом к системам. Разработка и сопровождение систем. Планирование бесперебойной работы организации. Проверка системы на соответствие требованиям ИБ.

Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для IT­аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.

К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмот­рим названные методики.

Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно­регулирующих органов, например, требованиями руководящих документов (РД) Гос­техкомиссии при Президенте РФ.

Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании (рис. 1. - Пример тематического сборника вопросов COBRA ). Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool

Методика и одноименное инструментальное средство RA Software Tool (рис. 2. - Основные модули методики RA Software Tool ) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обу­словлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес­ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют: Создавать модели информационных активов компании с точки зрения безопасности; Классифицировать и оценивать ценности активов; Составлять списки наиболее значимых угроз и уязвимостей безопасности; Ранжировать угрозы и уязвимости безопасности; Обосновывать средства и меры контроля рисков; Оценивать эффективность/стоимость различных вариантов защиты; Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммер­ческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются: Формализация и автоматизация процедур анализа и управления рисками; Оптимизация расходов на средства контроля и защиты; Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; Обоснование эффективности предлагаемых мер защиты и средств контроля; Управление изменениями и инциден­тами; Поддержка непрерывности бизнеса; Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).

На первом этапе инициации - «Initiation» - определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов - «Identification and Valuation of Assets» - четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценивания угроз и уязвимостей - «Threat and Vulnerability Assessment» - идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

Этап анализа рисков - «Risk Analysis» - позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками - «Risk management» - предлагаются меры и средства уменьшения или уклонения от риска.

Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

В этой схеме условно выделим следующие элементы системы: рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира; почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет; сервер обработки, на котором установлена СУБД; сервер резервного копирования; рабочие места группы оперативного реагирования; рабочее место администратора безопасности; рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и ин­формационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End­User­Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис (рис. 5). Построенная модель позволяет выделить критичные элементы.

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение; нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии: ущерб репутации организации; нарушение действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

Ущерб репутации организации: 2 - негативная реакция отдельных чиновников, общественных деятелей; 4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 - негативная реакция отдельных депутатов Думы, Совета Федерации; 8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала: 2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 - гибель людей.

Финансовые потери, связанныес восстановлением ресурсов: 2 - менее $1000; 6 - от $1000 до $10 000; 8 - от $10 000 до $100 000; 10 - свыше $100 000.

Дезорганизация деятельностив связи с недоступностью данных: 2 - отсутствие доступа к информации до 15 минут; 4 - отсутствие доступа к информации до 1 часа; 6 - отсутствие доступа к информации до 3 часов; 8 - отсутствие доступа к информации от 12 часов; 10 - отсутствие доступа к информации более суток.

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой­либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 8. -Оценка уровня угрозы безопасности по косвенным факторам ).

Уровень угроз оценивается, в зависимости от ответов, как: очень высокий; высокий; средний; низкий; очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как: высокий; средний; низкий; отсутствует.

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Управление рисками. Основные шаги стадии управления рисками представлены на рис. 9.

На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям: Обеспечение безопасности на сетевом уровне. Обеспечение физической безопасности. Обеспечение безопасности поддерживающей инфраструктуры. Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируется несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

Методика MethodWare

Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. ПО управления жизненным цик­лом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Давайте кратко рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях. Давайте рассмотрим перечисленные этапы подробнее. Описание рисков. Задается матрица рисков (рис. 10. - Идентификация и определение рисков в Risk Advisor ) на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (рис. 11. - Разделение рисков на приемлемые и неприемлемые в Risk Advisor ). Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа­рисков.

Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

Заключение

Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE­средств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность­стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно­ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес­транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективность­стоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.

Риск информационной безопасности (information security risk) - «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации» .

В соответствии с ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001-2013 «Система управления информационной безопасностью» - процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Базовый уровень безопасности (baseline security) - обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - ССТА Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI.

Существуют критерии ряда организаций - NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.

Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.

Базовый (baseline ) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

Полный (full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ состоит из этапов, представленных на рис. 1.

Оценка риска

Анализ риска

Идентификация риска

Количественная оценка риска

• 0 х:
  • (Ъ о;

Оценка риска

Вторая точка принятия решения. . Результат обработки риска удовлетворительный?

Рис. 1.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.

Анализ риска включает: идентификацию риска (определение активов, определение угроз, определение существующих мер и средств контроля и управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, установление значений уровня рисков).

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации.

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012 оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, компания должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста .

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

• - определить угрозы и их источники;
• - определить существующие и планируемые меры и средства контроля и управления;
• - определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
• - определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;
• - оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
• - оценить вероятность чрезвычайных сценариев;
• - оценить уровень риска;
• - сравнить уровни риска с критериями оценки и приемлемости рисков.

Применяемая для оценки риска методология должна предусматривать действия, указанные ниже.

• 1. Определение активов.
• 2. Определение угроз.
• 3. Выявление уязвимостей.
• 4. Определение последствий.
• 5. Оценка вероятности инцидента.
• 6. Установление значений уровня рисков.
• 7. Соотнесение рисков с критериями.
• 8. Определение мер обработки риска.

Схема деятельности по обработке риска показана на рис. 2.

Удовлетворительная

Первая точка принятия решения. Результат оценки риска удовлетворительный?

ОБРАБОТКА РИСКА

Рис. 2.

с ГОСТ Р ИСО/МЭК 27005-2010

Помимо указанных действий в организации должен предусматриваться и мониторинг рисков.

Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.

При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:

• - снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;
• - сохранен (принят), как приемлемый для рассматриваемого объекта оценки;
• - предотвращен, за счет отказа от использования подверженного угрозе ресурса;
• - перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса.

Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска .

На рис. 3 схематично изображен процесс оценки рисков информационной безопасности . Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.

Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей.

В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

• - возможного ущерба, наносимого организации в результате нарушений безопасности активов;
• - вероятности наступления такого нарушения;
• - величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются

Рис. 3.

все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После того, как были определены величина возможного ущерба и вероятность реализации угроз, определяется величина риска.

Вычисление рисков производится путем комбинирования возможного ущерба, выражающего вероятные последствия нарушения безопасности активов, и вероятности реализации угроз.

Такое комбинирование часто осуществляется при помощи матрицы, где в строках размещаются возможные значения ущерба, а в столбцах - вероятности реализации угрозы, на пересечении - величина риска.

Далее производится сравнение вычисленных уровней риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Результаты оценки рисков используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков, позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

Существует множество методик анализа и оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие наоборот, активно его используют.

Несмотря на повышение интереса к управлению рисками, большинство из используемых в настоящее время методик относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

Для решения задачи оценки рисков информационной безопасности классическими являются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других. Все известные методики можно классифицировать следующим образом :

• - методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»), к таким методикам, в частности, относится FRAP;
• - количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь), к этому классу относится методика RiskWatch;
• - методики, использующие смешанные оценки (такой подход используется в CRAMM, методике MSAT).

До принятия решения о внедрении той или иной методики управления рисками ИБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В табл. 1 представлен сравнительный анализ классических методик (CRAMM, ГРИФ, RiskWatch, CORAS, MSAT).

Таблица 1

Сравнение программного инструментария для управления рисками ИБ

Критерии сравнения		ГРИФ	RiskWatch
Риски
Использование понятия максимально допустимого риска
Подготовка плана мероприятий по снижению рисков
Управление
Информирование руководителя
План работ по снижению рисков
Включает проведение тренингов, семинаров, собраний
Оценка бизнес-рисков/операционных рисков/ИТ-рисков
Оценка рисков на организационном уровне
Оценка рисков на техническом уровне
Предлагаемые способы снижения рисков
Обход (предотвращение) риска
Снижение риска
Принятие риска
Процессы
Использование элементов риска
Материальные активы
Нематериальные активы
Ценность активов
Уязвимости
Меры безопасности
Потенциальный ущерб
Вероятность реализации угроз

Критерии сравнения
Рассматриваемые типы рисков
Бизнес-риски
Риски, связанные с нарушением законодательных актов
Риски, связанные с использованием технологий
Коммерческие риски
Риски, связанные с привлечением третьих лиц
Риски, связанные с привлечением персонала
Способы измерения величин рисков
Качественная оценка
Количественная оценка
Способы управления
Качественное ранжирование рисков
Использование независимой оценки
Расчет возврата инвестиций
Расчет оптимального баланса между различными типами мер безопасности, такими как:
Меры предотвращения
Меры выявления
Меры по исправлению
Меры по восстановлению
Интеграция способов управления
Описание назначения способов управления
Процедура принятия остаточных рисков
Управление остаточными рисками
Мониторинг рисков
Применение мониторинга эффективности мер ИБ
Проведение мероприятий по снижению рисков
Использование процесса реагирования на инциденты в области ИБ
Структурированное документирование результатов оценок рисков

Примечание: Таблица сравнения программного инструментария для анализа и оценки рисков приводится по материалам статьи: Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. -

2014.-№4.- С. 160-168.

Оценка С RAMM

Данная методика не учитывает сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам рисков. В отношении стратегии работы с рисками, CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как обход или принятие, не рассматриваются. В методике отсутствуют:

процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.

Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков. Кроме того, следует отметить высокую стоимость лицензии.

Оценка ГРИФ

Методика ГРИФ использует количественные и качественные способы оценки рисков, а также определяет условия, при которых последние могут быть приняты компанией, включает в себя расчет возврата инвестиций на внедрение мер безопасности. В отличие от других методик анализа рисков, ГРИФ предлагает все способы снижения рисков (обход, снижение и принятие). Данная методика учитывает сопроводительную документацию, такую как описание бизнес-процессов или отчетов по проведенным оценкам рисков ИБ.

Оценка RiskWatch

Эта методика использует количественные и качественные способы оценки рисков. Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Существенным достоинством RiskWatch является интуитивно понятный интерфейс и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д.

Оценка CORAS

CORAS не предусматривает такой эффективной меры по управлению рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки рисков и обновление их величин, что свидетельствует о том, что методика пригодна для выполнения разовых оценок и не годится для регулярного использования.

Положительной стороной CORAS является то, что программный продукт, реализующий эту методику, распространяется бесплатно и не требует значительных ресурсов для установки и применения.

Оценка MSA Т

Ключевыми показателями для данного программного продукта являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценке уровня защищенности системы в организациях разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности). MS АТ не дает количественной оценки уровня рисков, однако, качественные оценки могут быть привязаны к ранговой шкале.

MS АТ позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, но не дает возможности найти оптимальный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов.

Рассмотренные методики хорошо соответствуют требованиям групп «Риски» и «Процессы (Использование элементов риска)», но некоторые из них (CRAMM, CORAS) имеют недостатки в соответствии с разделами «Мониторинг» и «Управление», а также со многими подразделами «Процессы». Немногие (ГРИФ, RiskWatch, MSAT) дают подробные рекомендации по поводу составления расписания проведения повторных оценок рисков.

В тех случаях, когда требуется выполнить только разовую оценку уровня рисков в компании среднего размера, целесообразно рекомендовать использование методики CORAS. Для управления рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методики Microsoft Security Assessment Tool и RiskWatch предпочтительны для использования в крупных компаниях, где предполагается внедрение управления рисками ИБ на базе регулярных оценок, на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.

ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. - 2009. - № 1(49). - С. 15-26.

Баранова Е. К. Методики анализа и оценки рисков информационной безопасности// Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. - 2015. - № 1(9). - С. 73-79.