Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

—различных ошибок;

—нарушения работы информационных технологий из-за естественных, антропогенных воздействий;

—отказов ИТ-систем из-за неверного их внедрения и сопровож-

дения.

Таким образом, информационный риск — это отрицательное следствие наличия уязвимости информации, которое характеризуется, вопервых, вероятностью возникновения негативного события, во-вторых, последствиями при возникновении этого события.

2.6. Управление информационными рисками

Любая система менеджмента, а точнее, любой аспект деятельности предприятия, который охватывает система менеджмента предприятия в целом, обязательно включает в себя элементы оценки и управления рисками.

Использование новых технологий, материалов или технических решений может иметь как положительные, так и отрицательные последствия. Поэтому вопросы управления рисками на сегодняшний день актуальны.

Управление рисками представляет собой процесс идентификации риска, процесс оценки степени риска и процесс осуществления мероприятий, направленных на уменьшение риска до приемлемого уровня [7].

Управление информационными рисками (ÓÈÐ) — процесс, вклю- чающий идентификацию, управление и устранение или уменьшение вероятности событий, которые могут затрагивать информационные ресурсы [4].

УИР является центральной частью стратегического управления предприятием. Это процесс, следуя которому предприятие системно анализирует риски каждого вида деятельности с целью максимальной эффективности каждого шага и, соответственно, всей деятельности в целом.

Öåëü осуществления процессов УИР состоит в том, чтобы дать возможность предприятию, компании, организации выполнить свою миссию или миссии за счет:

1) повышения безопасности ИТ-систем, которые хранят, обрабатывают или передают информацию в пределах и вне организации;

21

2)повышения информированности и осведомленности руководства относительно принятых решений по управлению рисками для получения обоснованных объемов затрат, которые должны становиться неотъемлемой частью общего бюджета, выделяемого на информационные технологии;

3)оказания помощи руководству в авторизации (или в аккредитации) своих систем информационных технологий на базе документированной поддержки результатами, вытекающими из выполнения процессов управления риском [7].

Основные задачи ÓÈÐ:

1)идентификация потенциальных источников опасности и выявление основных видов рисков (идентификация ресурсов, угроз, уязвимостей);

2)определение вероятности наступления рисков и оценки возможных потерь в случае их реализации (оценка ресурсов, угроз, уязвимостей);

3)принятие решений об уменьшении или увеличении выявленных рисков;

4)разработка и реализация процедур контроля рисков;

5)ликвидация негативных последствий влияния рисков на деятельность организации;

6)пресечение выявленных нарушений в деятельности организации, повышающих рискованность проводимых операций;

7)проведение мероприятий по повышению качества управления и контроля рисков.

Принципы ÓÈÐ:

1)комплексность — управление осуществляется всеми доступными законными средствами, методами и мероприятиями;

2)своевременность (упреждающий характер мер) — постановка

задач системы управления рисками осуществляется на основе анализа и прогнозирования обстановки, угроз безопасности, а также разработки эффективных мер предупреждения посягательств на законные интересы организации;

3)непрерывность — управление осуществляется постоянно на протяжении длительного времени;

4)законность — разработка системы управления рисками осу-

ществляется с учетом требований действующего законодательства; 5) обоснованность — обосновывается соответствие предлагае-

мых мер и уровня риска установленным требованиям и нормам;

22

6)экономическая целесообразность — сопоставимость возможного ущерба и затрат на минимизацию рисков;

7)специализация — привлечение к разработке и внедрению мер

èсредств защиты подразделений и сотрудников организации (возможно внешнее сотрудничество), наиболее подготовленных к конкретному виду деятельности;

8)взаимодействие и координация — осуществление мер по

минимизации рисков на основе четкого взаимодействия всех заинтересованных сотрудников, координация их усилий для достижения поставленных целей;

9)совершенствование — совершенствование мер и средств управления рисками на основе собственного опыта, появления новых технических средств и методов с учетом накопленного опыта;

10)централизация управления — самостоятельное функциони-

рование подсистемы управления рисками по единым организационным, функциональным и методологическим принципам с централизованным управлением деятельности;

11)командность — все действия в процессе управления рисками должны проводиться с применением методов командной работы, так как самонадеянность и индивидуализм инженерно-технических работников и административно-управленческого персонала является серьезным препятствием на пути распространения информации обо всех возможных в будущем негативных ситуациях и последствиях. Следовательно, необходима кооперация усилий, талантов, навыков и знаний;

12)информативность — владение информацией о возможных

инцидентах в ходе деятельности организации не должно быть связано с личной властью. Руководители организации должны доводить всю информацию, связанную с рисками, до каждого работника. А персонал при этом должен выявлять текущие и возможные в будущем проблемы, то есть необходимо обеспечить свободное движение информации между всеми уровнями управления;

13)прогнозируемость — обсуждение будущих событий в ожидании худшего развития сценариев позволяет эффективно идентифицировать потенциальные проблемы и, прежде чем они могут произойти, разработать стратегию действий, увеличивающую вероятность благоприятного исхода;

14)интеграция УИР в общую систему управления информационной безопасностью — осуществляется через повышение стату-

са управления рисками до ежедневных действий по предупреждению

23

кризисных ситуаций. При этом своевременное, постоянное и точное использование технологий управления рисками обеспечивает упорядоченную среду принятия решений и эффективное использование ресурсов;

15) документирование — все аспекты управления рисками подлежат обязательной регистрации: вся информация сохраняется в виде типовых форм документов. Создается база данных рисков, которая является основой разработки последующих действий.

2.7.Обзор процессов управления информационными рисками

Вообще говоря, на сегодняшний день существует несколько подходов в схематическом изображении непрерывного процесса УИР.

Один из подходов отображен в национальном стандарте NIST 800-30 [7], где УИР представляет собой процесс, состоящий из девяти шагов, рассматриваемый относительно фаз жизненного цикла информационных технологий. Согласно рекомендациям этого стандарта система УИР должна быть интегрирована в систему управления жизненным циклом информационной технологии.

Более подробно с данным подходом организации УИР можно ознакомиться при детальном анализе NIST 800-30, а сейчас рассмотрим следующую схему (рис. 2.3) [7], отображающую наиболее распространенный подход к УИР.

Анализируя схему УИР, можно выделить следующие шаги-этапы данного процесса:

1.Инициализация УИР.

2.Анализ риска, который объединяет в себе 2 главных этапа:

2.1.Идентификация риска:

— идентификация и оценка ресурсов;

— идентификация и оценка угроз;

— идентификация и оценка уязвимостей;

— идентификация и оценка ущерба;

— идентификация и оценка существующих или планируемых мер

безопасности.

2.2. Оценка риска:

—качественная оценка;

—количественная оценка.

3. Выбор контрмер, мер безопасности.

24

4.Принятие риска.

5.Документирование и контроль.

Коротко рассмотрим суть каждого из этапов процесса УИР.

1. Инициализация УИР

На этом этапе осуществляется планирование управления рисками — процесс, в рамках которого выясняется:

—каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, определяются методы, которые будут использованы для количественной и качественной оценки рисков и интерпретации уровня риска;

—какие формы отчетных документов будут использоваться;

—необходимо ли создать либо провести предварительную подготовку специальной базы данных рисков;

—кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.

В ходе этапа планирования создается стратегия и план УИР, а также закладывается бюджет для финансирования всех этапов процесса УИР.

2. Анализ риска

Этот этап объединяет в себе два главных шага: идентификация и оценка рисков.

В зависимости от уровня зрелости организации и уровня требований к информационной безопасности выбирается подход к анализу риска: базовый либо полный анализ рисков.

При базовом подходе анализ риска обеспечивает соответствие минимальным требованиям информационной безопасности, а повышенные требования информационной безопасности удовлетворяются

при УИР, включающем в себя полный анализ рисков.

2.1. Идентификация риска

На этом шаге необходимо определить те ситуации или события, которые могут вызвать отрицательные последствия, тем самым причи- няя ущерб.

При полном анализе риска на данном шаге проводится:

— идентификация и оценка ресурсов (в том числе классификация информации по степени критичности и дальнейшее ее ранжирование относительно требований конфиденциальности, целостности, доступности);

26

—идентификация и оценка угроз (составление полного списка угроз, вычисление вероятностей реализации угроз);

—идентификация и оценка уязвимостей (составление полного списка уязвимостей, вычисление возможности, степени легкости использования уязвимости);

—идентификация и оценка ущерба;

—идентификация и оценка существующих или планируемых мер безопасности (составление списка контрмер, их классификация, про-

верка состояния имеющихся средств защиты).

2.2. Оценка риска

При оценке риска используются полученные результаты предыдущего шага.

Сначала выбираются наиболее подходящие методы оценки рисков. Это могут быть математические, экспертные, инструментальные методы, но чаще — их сочетание.

Затем необходимо определить шкалы и критерии, по которым будет проводится качественная либо количественная оценка.

Результаты данного этапа могут быть отображены в виде графиков, диаграмм, таблиц, матриц и т. п.

Полученные результаты анализируются, и затем проводится оценка приоритетности рисков, учитывая их вычисленный уровень.

Далее составляется карта рисков, в которую вносят все полученные данные по каждому из рисков, а также, в соответствии с приоритетом риска, выбирают наиболее эффективные контрмеры.

3. Выбор контрмер, мер безопасности

Для каждого риска определяются действия, необходимые для снижения вероятности проявления риска и его последствий.

Для борьбы с рисками можно планировать не только действия, но и соответствующие резервы (деньги, время, люди).

На этом этапе разрабатывается ключевой документ — стратегияплан по управлению рисками, которая должна постоянно корректироваться и оставаться актуальной, то есть соответствовать текущим уровням рисков.

Также на данном этапе выбираются стратегии управления выявленными рисками: уменьшение, отказ, принятие, передача и др.

Кроме того, на данном этапе производится оценка эффективности контрмер по существующим методологиям: TCO (Total Cost of Ownership), ROI (Return of Investments).

27

При выборе контрмер руководствуются следующей целью: найти эффективный комплекс контрмер с минимальной стоимостью, который максимально снижал бы уровень риска.

4. Принятие риска

На данном этапе устанавливается уровень риска, который организация может принять на себя, то есть не предпринимать контрмер для дальнейшего его снижения (так называемый остаточный риск).

Кроме того, производится анализ соотношения стоимости и эффективности контрмер. Как правило, стоимость контрмер не должна превышать 20% от стоимости информационных технологий. А уровень рисков по всем классам не должен быть больше, чем «очень низкий уровень».

5. Документирование и контроль

Все результаты на каждом из этапов УИР должны быть четко документированы, а также внесены в специальную базу данных рисков, которая должна непрерывно поддерживаться в актуальном состоянии с учетом изменений рисков.

Ответственность сотрудников в обязательном порядке фиксируется в соответствующих документах.

Целями данного этапа являются:

—своевременное выявление новых рисков;

—актуализация данных по рискам;

—постоянная корректировка планов и стратегий УИР с учетом изменений как в бизнес-среде, так и в области информационных рисков;

—контроль правильности и повышение эффективности выполняемых шагов УИР;

—повышение качества всего процесса УИР.

Контроль рисков представляет собой повторение шагов выявления и анализа рисков. Данный этап может проводиться в форме информационного аудита [27].

Использование эффективных процессов УИР, которые поддерживают принятие решений, основанных на учете возможных рисков, позволяет своевременно и эффективно обнаружить все проблемы, связанные:

—с угрозами безопасности критичных инфраструктур;

—с рентабельностью обеспечения безопасности;

—с необходимостью поддержания непрерывности деятельности.

28

Управление риском является процессом, который позволяет ИТменеджерам сбалансировать эксплуатационные и экономические затраты предпринимаемых мер по защите и достигать улучшений в осуществлении миссии, обеспечивая защиту тех систем информационных технологий и тех данных, которые поддерживают выполнение миссии предприятия.

2.8.Уровни зрелости предприятия и подходы к управлению информационными рисками

Выбор подхода к проведению УИР зависит от уровня зрелости предприятия и от уровня требований информационной безопасности. В зависимости от выбранного подхода становится ясным, необходимо ли включать в процесс УИР полный (детальный) анализ риска или достаточно будет лишь обеспечить базовый уровень информационной безопасности с минимальными требованиями к защите информации.

Основным фактором, определяющим отношение предприятия к вопросам информационной безопасности, является степень его зрелости.

В соответствии с моделью предприятия с позиции их зрелости, предлагаемой Carnegie Mellon University, выделяется 5 уровней зрелости, которым, как правило, соответствует различное понимание проблем информационной безопасности предприятия.

Соответствия уровней зрелости предприятия и его потребностей в области информационной безопасности отражены в табл. 2.1.

Таблица 2.1

Соответствие уровня зрелости предприятия и его потребностей в области информационной безопасности

29