Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdfОсновными функциями риск-менеджера являются:
—разработка общей программы управления рисками и общих положений стратегии предприятия в вопросах управления рисками;
—реализация программы управления рисками на стратегическом
èоперационном уровне;
—работа по повышению уровня осведомленности по вопросам управления рисками среди работников предприятия;
—разработка внутренней системы управления рисками и организационной структуры;
—мониторинг эффективности реализации программы управления рисками и внесение соответствующих изменений;
—координация взаимодействия различных структурных подразделений предприятия;
—разработка программ снижения внеплановых потерь и мероприятий по поддержанию непрерывности бизнес-процессов;
—подготовка отчетов для руководства и внешних контрагентов. Планирование управления рисками — процесс, в рамках которо-
го выясняется, каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.
2.10.Этап анализа информационных рисков
2.10.1.Идентификация рисков
На предприятиях, достигнувших определенной степени зрелости, проведение анализа рисков, управление рисками на всех стадиях жизненного цикла информационной технологии, являются обязательными элементами в системе мероприятий по обеспечению режима информационной безопасности [42].
При выполнении полного анализа рисков уже на первом шаге приходится решать ряд сложных проблем:
1.Как определить ценность ресурсов и оценить их параметры?
2.Как составить полный список угроз информационной безопас-
ности?
3.Как правильно выбрать контрмеры и оценить их эффектив-
ность?
Ответам на поставленные выше вопросы посвящены дальнейшие этапы УИР.
41
Идентификация рисков подразумевает идентификацию и первич- ную оценку основных элементов функции риска, а именно:
1)ресурсов (с последующим определением негативного воздействия — ущерба — для организации);
2)угроз;
3)уязвимостей;
4)существующих и предполагаемых средств обеспечения информационной безопасности, мер защиты.
Идентификация и первичная оценка ресурсов
Ресурсом называется то, что представляет собой ценность для предприятия, а значит, ресурс должен быть защищен. Понятие ресурсов объединяет под собой как информацию, так и все прочее, в которых предприятие нуждается для выполнения своих бизнес-задач. Ресурсы обладают таким свойством, как ценность.
Ценность определяет размер потенциального ущерба при реализации угрозы, использующей существующую уязвимость.
Ценность может быть оценена с точки зрения нанесения ущерба:
1)репутации предприятия;
2)бизнес-процессам предприятия;
3)другим жизненно важным финансовым, организационным и социальным интересам.
Ущерб определяет финансовые затраты на восстановление ресурсов, на уменьшение последствий ущерба, на восстановление репутации предприятия.
Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. д. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом предприятия.
При выполнении этапа идентификации ресурсов обычно используют следующую методологию идентификации и оценки ресурсов:
1)выделение классов информационных ресурсов;
2)выбор системы критериев;
3)измерение ценности ресурсов в выбранной системе критериев;
42
4)комплексная оценка ценности ресурсов;
5)документирование результатов.
Рассмотрим эти этапы подробнее.
Классификация ресурсов
Âпроцессе идентификации информационных ресурсов должен быть составлен общий макет информационной инфраструктуры предприятия.
Âэтом аспекте в раздел информационных ресурсов будут входить: 1) данные и информация — различные данные, в том числе фи-
нансового характера, отображенные в текстовом, графическом, звуковом форматах, как в электронном виде, так и в бумажном;
2)вычислительная техника, оборудование — компьютеры (серверы, рабочие станции, персональные компьютеры), периферийные устройства, внешние интерфейсы, кабельные системы, активное сетевое оборудование (мосты, маршрутизаторы и т. п.);
3)программное обеспечение — операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами и т. п.;
4)услуги;
5)помещения;
6)другие значимые для компании информационные ресурсы;
7)люди и их знания (в области техники, финансов, маркетинга, и т. д.);
8)репутация предприятия.
Эти ресурсы должны быть выявлены с определенным уровнем обобщенности (не слишком детализировано, но и не полностью обобщенно) и с избежанием совмещения информационных ресурсов.
В большинстве случаев целесообразно группирование ресурсов (например, рабочие станции, принтеры, документация). Может быть полезной информация о лице, ответственном за каждый обозначенный ресурс (для консультаций с данным лицом).
После того как все информационные ресурсы предприятия классифицированы и занесены в соответствующие списки, очень важно определить взаимосвязи ресурсов между собой. Например, какая система, на каком сервере, какими услугами пользуется.
Взаимосвязь между ресурсами может выглядеть следующим образом: Информация (ресурс 1) хранится и обрабатывается в базе данных (ресурс 2), которая управляется специальным программным обеспечением (ресурс 3), это программное обеспечение установлено на
сервере (ресурс 4), к серверу подключен источник бесперебойного
43
питания (ресурс 5), а также в серверной постоянно работает кондиционер (ресурс 6).
Вообще говоря, определение взаимосвязей между ресурсами очень ответственное задание, требующее внимательного и кропотливого труда, но эти усилия помогут в дальнейшем идентифицировать связанные между собой угрозы и уязвимости, а значит, данная работа по выявлению взаимосвязей является залогом адекватных результатов оценки рисков — максимально приближенных к реальным значениям.
Кроме того, чем выше качество выполнения данной задачи, тем выше вероятность того, что принятые меры защиты информации будут обеспечивать необходимый уровень информационной безопасности, исключая необоснованные и избыточные затраты, результатом чего станет возрастание эффективности мер защиты информации.
При классификации ресурсов, учитывая взаимосвязи между ними, необходимо выполнять следующие условия:
Если ценность зависимого ресурса (например, данных) не больше ценности рассматриваемого ресурса (например, ПО), то их ценности остаются прежними. Но если ценность зависимого ресурса больше ценности рассматриваемого ресурса, то их ценности выравниваются по максимальному уровню.
Впоследствии полученный список информационных ресурсов организации необходимо будет проанализировать, чтобы провести ранжирование ресурсов по степени их критичности для организации. Но прежде, необходимо определить и выбрать систему критериев, по ко-
торой в дальнейшем будет осуществляться оценка всех ресурсов.
Система критериев оценки ресурсов
Система критериев оценки ресурсов должна обладать следующими свойствами:
—полноты — система должна включать достаточное количество критериев;
—операциональности — простота использования критериев;
—размерности — определяет качественный либо количественный характер оценки ресурсов.
Возможными критериями могут являться:
—критичность ресурсов;
—причиненный ущерб в связи с недоступностью ресурса;
—стоимость ресурса;
—компрометация конфиденциальности и целостности информации. Обычно ресурсы подразделяют на:
44
—критичные — ресурсы, без которых предприятие или подразделение не могут продолжать свою деятельность;
—основные — ресурсы, без которых предприятие или подразде-
ление могут продолжать свою деятельность, но очень ограниченное время (несколько часов, дней), данные ресурсы должны быть обязательно восстановлены;
— нормальные — ресурсы, без которых предприятие или подразделение могут продолжать свою деятельность длительный период времени, но некоторые пользователи будут частично ущемлены, будут вынуждены искать альтернативные выходы.
Но при необходимости и возможности можно разработать более детальную шкалу для ранжирования ресурсов по уровню их критич- ности. Примером служит табл. 2.2, классифицирующая ресурсы по уровням их критичности [1].
Таблица 2.2
Классификация ресурсов по уровням их критичности
45
Продолжение табл. 2.2
46
Окончание табл. 2.2
Измерение ценности ресурсов
Определение ценности ресурсов относительно их уровней критич- ности является общей оценкой ресурсов, которая проводится чаще всего на первоначальном этапе. Но существуют такие понятия, как каче- ственная è количественная оценки. Более подробно данные виды оценок будут рассмотрены далее, а пока будет достаточно отметить следующее.
Оценки производятся с точки зрения потенциального воздействия на бизнес-процессы при возможном несанкционированном ознакомлении с информацией (нарушении конфиденциальности), изменении информации (нарушении целостности), отказе в выполнении обработки информации, недоступности на различные сроки и/или уничтожение.
Процесс получения оценочных показателей дополняется методиками оценивания информационных ресурсов с учетом таких факторов, как:
—безопасность персонала;
—разглашение персональной информации;
—требования по соблюдению законодательных и нормативных положений;
—ограничения, вытекающие из законодательства;
—коммерческие и экономические интересы;
—финансовые потери и нарушения в производственной деятель-
ности;
—общественные отношения;
—коммерческая политика и коммерческие операции;
—потеря репутации предприятия.
Äëÿ качественной оценки подходит система уровней критичности ресурсов, рассмотренная выше, где элементами оценочной шкалы
47
являются понятия: очень высококритичный, высококритичный, среднекритичный, низкокритичный ресурс.
Количественная оценка, как правило, требует к себе большего внимания и сил, так как в данном случае оценка выражается в денежных, временных, процентных, числовых формах.
Поэтому количественные показатели используются там, где это допустимо и оправданно, а качественные показатели — там, где коли- чественные оценки затруднены, например при угрозе авторитету и доброму имени предприятия.
При количественной оценке ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Стоит отметить, что стоимостные, количественные величины при необходимости можно преобразовать в качественные, и наоборот. Но в этом случае необходимо четко определить соответствия и границы между количественными и качественными показателями.
Оценочные показатели информационных ресурсов могут быть получены следующими способами.
1.Экспертным путем — например в форме опросов компетентных сотрудников предприятия, то есть тех, кто может определить ценность информации, ее характеристики и степень критичности исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий.
2.Путем анализа статистических данных, то есть обработки дан-
ных, собранных за определенный период времени.
Комплексная оценка ценности ресурсов (ранжирование)
Ранжирование, èëè иерархизация, информационных ресурсов необходимы для определения приоритетов их защиты (например, если существуют два сервера и только один блок бесперебойного питания, для какого из серверов его использовать).
Когда ценности ресурсов определены, задача проставления приоритетов защиты намного упрощается. Совершенно логично уделять повышенное внимание тем ресурсам, ценность которых высока для предприятия, то есть ущерб данным ресурсам может привести к критичным последствиям для бизнеса. Однако, забегая немного вперед, необходимо заметить, что кроме ценности ресурсов определяющим фактором также является степень подверженности данного ресурса к угрозам.
48
Таблица 2.3 |
Результаты этапа идентификации и первичной оценки ресурсов |
Документирование результатов
Результаты этапа идентификации и первичной оценки ресурсов могут быть зафиксированы в форме, приведенной в табл. 2.3.
Итак, этап идентификации и первичной оценки ресурсов необходим для дальнейшего составления списка ресурсов, ранжированных по степени чувствительности к нарушению их конфиденциальности, целостности и доступности, а также по степени критичности для бизнеса.
Кроме того, при анализе составленного списка можно определить, какие ресурсы нуждаются в обеспечении базовой защиты, а какие — в реализации повышенных требований информационной безопасности.
Таким образом, при завершении данного этапа должны быть четко определены приоритеты информационной защиты, что в конечном итоге повысит эффективность вложения как денежных, так и временных и людских ресурсов.
В результате этапа идентификации и первичной оценки ресурсов получены списки ресурсов, перечисленных с учетом уровня их критичности, значимости для этапа идентификации и первичной оценки ресурсов. Теперь легче определить приоритеты защиты информации.
Но для полноты сведений и повышения достоверности результатов по анализу рисков, необходимо выявить:
—возможные угрозы и учесть вероятности возникновения этих угроз по отношению к перечисленным ресурсам;
—определить простоту использования существующих уязвимостей для реализации выявленных угроз;
—вычислить размер ущерба при реализации угроз.
49
Для решения обозначенных выше задач предназначен следующий этап идентификации рисков — этап идентификации и первичной оценки угроз, уязвимостей и ущерба.
Данный этап объединяет ряд важных шагов:
1)составление полных списков угроз и уязвимостей;
2)определение связей между угрозами и уязвимостями (при использовании каких уязвимостей какие угрозы будут реализованы);
3)определение шкал и методик оценки угроз и уязвимостей;
4)комплексная оценка угроз и уязвимостей согласно выбранным шкалам и методикам, а также последующее вычисление ущерба;
5)ранжирование угроз и уязвимостей с учетом значений вероятности реализации угроз и размера наносимого ущерба;
6)документирование результатов.
Прежде чем перейти к описанию этих шагов, напомним основные определения.
Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Вероятность — мера возможности того, что событие может произойти.
Математическое определение вероятности — действительное число в интервале от 0 до 1, относящееся к случайному событию. Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.
Уязвимость — слабость в системе защиты, которая делает возможной реализацию угрозы.
Ущерб — последствия нежелательного инцидента, вызванные преднамеренными или случайными действиями.
2.10.2. Составление полных списков угроз и уязвимостей
Как уже ранее отмечалось, в случае базового подхода к УИР при анализе рисков нет необходимости составлять подробные списки угроз и уязвимостей, учитывая при этом специфику предприятия. В этом случае достаточно определить базовый, общеизвестный набор угроз. Поэтому очень часто на данном этапе используют такие каталоги угроз и уязвимостей, как:
—общедоступные каталоги;
—специализированные базы данных;
—ведомственные каталоги.
50