Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdfПринятые контрмеры должны пройти анализ рентабельности. Анализ рентабельности предлагаемых новых средств управле-
ния или усовершенствования существующих средств охватывает следующее:
—определение воздействия осуществления новых или проведения усовершенствования существующих средств управления;
—определение воздействия неосуществления новых или непроведения усовершенствования существующих средств управления;
—оценка затрат на выполнения перечисленных действий. Затраты могут включать (перечень не полный) следующее: закупки аппаратных средств и программного обеспечения, снижение эксплуатационной эффективности, если характеристики системы или ее функциональные возможности будут уменьшены для увеличения безопасности, затраты на осуществление дополнительных видов политики и процедур, затраты на прием дополнительного персонала служащих, которые должны будут осуществлять предложенную политику, процедуры или услуги, затраты на обучение персонала, затраты на поддержание
èна обслуживание;
—оценка рентабельности реализации по сравнению с критичностью системы и данных, чтобы определить важность осуществления новых средств управления с учетом возникающих затрат и соответствующего воздействия осуществившегося риска.
Возможно анализировать степень сокращения риска, связанного с новыми или усовершенствованными средствами управления с позиции уменьшения вероятности угрозы или степени воздействия, т. е. тех двух параметров, которые определяют уровень допустимого риска для осуществления миссии организации.
Комплекс предлагаемых мер должен быть построен в соответствии с выбранной стратегией управления рисками и структурирован по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Если проводится полный вариант анализа рисков, то эффективность комплекса контрмер оценивается для каждого риска.
Стоимость реализации контрмеры не должна превышать количе- ственную величину риска.
На практике, после того как принимается стандартный набор контрмер, ряд рисков уменьшается, но все же остается значимым. Поэтому необходимо знать остаточную величину риска.
71
2.12. Этап принятия риска
Выбор допустимого уровня риска
После идентификации контрмер требуется принять решение о действии над риском: предотвратить его, ограничить или принять (то есть не предпринимать никаких мер для снижения величины риска).
Первым шагом на данном этапе УИР необходимо определить допустимый, приемлемый уровень риска — с тем, чтобы в дальнейшем, сравнивая вычисленные уровни рисков с приемлемыми их значениями, рассматривать решение о принятии риска.
Риск, остающийся после реализации нового средства управления или проведения усовершенствования существующего средства управления, является остаточным риском.
Выбор допустимого уровня риска связан с затратами на реализацию КСЗИ. Существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты
на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное программное обеспе- чение, межсетевые экраны, криптографическая защита, системы резервного копирования, системы контроля доступа) являются обязательными, целесообразность их использования не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита информационной безопасности либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности.
Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор [3].
Чтобы разделить риски на допустимые и недопустимые, очень часто используют таблицу (табл. 2.15), содержащую символы Ä (риск допустим) и Í (риск недопустим).
Вопрос о том, как и где провести границу между допустимыми и недопустимыми рисками, решается индивидуально.
72
Таблица 2.15
Разделение рисков на допустимые и недопустимые
Показатели угрозы и ресурсов могут быть выражены не только в баллах (количественная оценка), но и с помощью специальных понятий (качественная оценка).
Итак, если имеются списки приемлемых и неприемлемых рисков, то можно теперь предпринимать дальнейшие действия по принятию рисков.
Критерии принятия риска
Не всеми рисками можно управлять с помощью методологии снижения значений рисков. Для каждой угрозы существует определенное количественное значение стоимости контрмеры, после которой риск реализации данной угрозы рекомендуется принять. Кроме того, есть существенная разница между процессом принятия риска и процессом его избегания (то есть построения системы таким образом, чтобы идентифицированный риск в ней отсутствовал).
Подход принятия риска реализует большую гибкость в построении системы, нежели подход избегания риска, так как во втором слу- чае система изначально строится по конфигурациям, которые не обязательно оптимальны для выполнения бизнес операций. В методологии управления рисками подмену понятия принятия риска понятием избегания риска называют иррациональным пессимизмом.
Процесс принятия рисков обязательно должен базироваться на реалистичных прогнозах относительно угроз. В основе данного процесса могут лежать следующие методики:
1. Оценка остаточных рисков подразумевает после проведения первичной оценки рисков и расчета стоимости контрмер переоценку рисков с учетом наложенных контрмер (расчет остаточных рисков).
73
После получения величин снижения рисков эти величины принимаются в согласовательном порядке с руководством организации; данный процесс носит название баланса рисков.
2.Оценка фактора соотношения стоимость/эффективность: если стоимость реализации описанных контрмер (включая передачу риска страховой компании) превышает стоимость самого ресурса или стоимость восстановления ресурса после применения к нему наиболее худшего сценария развития событий, то риск следует принять. В данном случае «худший» сценарий развития событий может включать вариант, при котором ресурс не подлежит восстановлению и потому требуется его полная замена.
3.Простое принятие риска подразумевает принятие риска в
том случае, когда количественная оценка риска невозможна либо (другой крайний случай) она очевидна. Нет смысла производить длительные расчеты, достаточно просто принять данный риск.
Фактически не существует ИТ-систем, которые были бы свободными от рисков, и поэтому большинство реализуемых средств управления предназначены главным образом для того, чтобы адресовать или уменьшить уровень рисков.
Если остаточный риск не был уменьшен до приемлемого уровня, то цикл управления рисками должен быть повторен с целью нахождения путей дальнейшего понижения остаточного риска до приемлемого уровня.
Уполномоченное должностное лицо, ответственное за ИТ-инфра- структуру, в конечном итоге принимает решение о достижении приемлемого уровня риска, после чего им подписывается соответствующий документ, разрешающий использование всей системы при достигнутом уровне остаточного риска.
Оценка эффективности контрмер
Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности КСЗИ, включающей контрмеры разных уровней (административные, организационные, программно-технические) в конкретной информационной системе — методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер.
Примером является таблица типичных значений эффективности контрмер, используемых в методе анализа рисков ПО RiskWatch.
74
Следует также обратить внимание на такие методы определения эффективности мер по обеспечению информационной безопасности, как TCO (Total Cost of Ownership — совокупная стоимость владения) и ROI (Return of Investment — возврат вложений)
Указанные в табл. 2.16 значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.
Таблица 2.16
Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI
На основе подобных таблиц делаются качественные оценки эффективности контрмер.
Количественную оценку эффективности контрмер поможет осуществить формула расчета экономического эффекта.
Экономический эффект
Показатель экономического эффекта характеризует превышение результатов управления рисками над затратами в процессе управления:
75
, |
(2.3) |
ãäå PÓÐ — результат управления рисками (прогнозируемое снижение степени воздействия идентифицированных рисков как конечный итог их обработки);
ÌÎi — вероятные потери от проявления i-го идентифицированного риска (без обработки);
Ìi — вероятные потери от проявления i-го идентифицированного риска (после обработки);
N — количество идентифицированных рисков.
Показатель затрат в процессе управления рисками рассчитаем по следующей формуле:
, |
(2.4) |
ãäå ÇÓÐ — затраты в процессе управления рисками;
IÔi — фактические потери от проявления i-го идентифицированного риска;
HÔi — фактические расходы на обработку i-го идентифицированного риска;
IÔy — фактические потери от проявления i-го неидентифицированного риска;
HÔy — фактические расходы на обработку i-го неидентифицированного риска;
K — количество неидентифицированных рисков.
Показатель экономического эффекта управления рисками рас- считаем по следующей формуле:
, |
(2.5) |
|
|
ãäå ÝÓÐ — экономический эффект от управления рисками, показывающий значение вероятной экономии денежных средств вследствие превентивных мероприятий, способствующих снижению степени воздействия рисков до приемлемого уровня.
76
Таким образом, процесс управления и оценки рисков при принятии инвестиционных решений имеет большое значение, поскольку позволяет оценить возможные потери, запланировать процедуры для возможного их снижения, а также определить экономический эффект от управления рисками.
2.13. Этап документирования и контроля
После того как оценка риска закончена (источники угрозы и уязвимости идентифицированы, получены оценки вероятностей рисков и сформированы рекомендации по средствам контроля и управления), полученные результаты должны быть официально представлены в виде отчета или инструктивных указаний. Отчет по оценкам риска должен быть предназначен для использования высшим уровнем руководства, лицами, которые принимают решения по политике, по процедурам, по бюджету, по эксплуатации информационных систем.
В отличие от исследовательских отчетов или отчетов аудиторов, цели которых состоят в поиске новых решений или в анализе существующих просчетов, отчеты по оценкам рисков не должны иметь обличи- тельный характер, наоборот, они должны представлять систематический и аналитический подход к оценкам степени риска таким образом, чтобы высшее руководство организации могло получить полное понимание возможных рисков и их последствий и выделять достаточные ресурсы на их уменьшение и на исправление потенциальных потерь.
Эффективность управления рисками зависит от способов (методов) контроля и своевременного оповещения обо всех изменениях в программе управления рисками организации. Постоянный аудит, как самой системы управления рисками, так и соответствия принятым стандартам, необходим для выявления вопросов, требующих дополнительного вмешательства. Необходимо при этом помнить, что организация находится в постоянном развитии, в динамично развивающемся окружении. Все внутренние и внешние изменения должны выявляться и учитываться в действующей системе управления рисками.
Мониторинг управления рисками
Мониторинг должен обеспечить использование надлежащих методов внутреннего контроля, обеспечить понимание и следование процедурам принятой программы управления рисками.
Система постоянного мониторинга позволяет:
77
—анализировать эффективность используемых мероприятий по изменению степени риска;
—обеспечить надлежащий уровень достоверности информации;
—накапливать необходимые знания (опыт) для последующих шагов (принятия решений) при анализе и оценке риска и, соответственно, методов и способов управления.
Управление рисками — это не одноразовое мероприятие. Вероятность и последствия однажды выявленных рисков и оценка их приоритетности могут в дальнейшем измениться; могут появиться и новые риски. Например, по мере накопления сведений об определенных инструментах и методах у исполнителей растет уверенность, что работы могут быть выполнены в срок. Или, наоборот, опыт сборки и тестирования предварительных версий системы, возможно, заставляет усомниться в достаточной ее производительности. Это значит, что данные о рисках должны регулярно обновляться.
Обязательным условием успешного управления рисками в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.
Специальный случай мониторинга — анализ показателей (мет-
рик), которые могут указывать на приближение или скрытую реализацию одного из выявленных ранее рисков.
Метрики должны вычисляться достаточно часто. Изменение зна- чений свыше установленного предела должно быть поводом к внеоче- редному анализу и оценке рисков [27].
Метрики обычно вводятся на основании трех вопросов:
1)что случится прямо перед реализацией риска;
2)есть ли измеримые показатели, с помощью которых можно понять, что событие, связанное с риском — риск, вот-вот должно произойти;
3)есть ли способ немедленно распознать, когда реализуется риск. Естественно, недостаточно лишь разработать подобные метрики —
их необходимо постоянно отслеживать и анализировать — только тогда процесс мониторинга рисков станет более эффективным.
Стандартные задачи стадии мониторинга и контроля — приведение плана противодействия рискам в соответствие с текущим состоянием объекта исследования, количественные и качественные анализы рисков, дополнительные идентификации рисков в ходе проекта.
78
Здесь необходимо ввести понятие аудита работы с рисками.
Аудит работы с рисками
Аудит работы с рисками (risk response audit, RRA) связан с анализом уже случившегося и того, как происходило управление рисками. Он никак не связан с планированием того, что только должно произойти.
Аудит работы с рисками включает в себя проверку таких моментов:
—был ли приписан риску правильный владелец риска (то есть тот, кто ответственен за управление определенным риском);
—является ли данный владелец риска достаточно эффективным;
—какова эффективность разработанных планов по устранению последствий рисков и расходования резервов проекта.
При работе с данными методиками важно помнить следующие аксиомы:
1. Уровень риска и предпринимаемые меры должны соответствовать друг другу. Как ни странно, но часто происходит так, что меры по предотвращению риска приводят к большим затратам, чем сам риск, если он возникает.
2. Действия желательно планировать таким образом, чтобы каждое мероприятие работало на снижение вероятности или упразднение более чем одного риска.
В заключении данного раздела хотелось бы отметить некоторые факторы успешного управления информационными рисками:
1) наличие обязательств со стороны высшего руководства предприятия о предоставлении необходимых ресурсов и времени;
2) полная поддержка и участие со стороны подразделения, ответственного за информационные технологии;
3) компетентность специалистов, проводящих оценки риска; специалисты должны обладать опытом применения методологии оценки риска для отдельных участков и всей системы в целом, по идентификации рисков для выполнения миссии организации и по обеспечению рентабельных мер предосторожности, которые удовлетворяют имеющиеся потребности предприятия;
4) достаточный уровень осведомленности и сотрудничество всех членов сообщества пользователей, которые должны строго следовать установленным процедурам и выполнять все требования по контролю соблюдения мер предосторожности по охране миссии своего предприятия;
5) непрерывно продолжающееся определение и оценка ИТ-рис- ков, имеющих отношение к выполнению миссии.
79
3.НОРМАТИВНО-ТЕХНИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
3.1.Стандартизация в области защиты информации. Обзор основных документов
Любой вид организованной деятельности должен подчиняться действующему законодательству и нормативно-технической документации. По отношению к деятельности в области информационных технологий это требование особенно актуально, но в то же время вызывает ряд серьезных проблем, главные из которых состоят в следующем:
1.Быстрые темпы развития информационных технологий значи- тельно опережают темпы формирования нормативной базы.
2.Недостаточно освещается вопрос разработки системы показателей информационной безопасности, в том числе показателей эффективности системы защиты информации.
3.Нормативные документы по оценке безопасности информационных технологий не содержат конкретных методик по проведению этой оценки.
Тем не менее, в настоящее время в международной практике действуют и применяются около 50 стандартов, содержащих рекомендации по использованию средств и методов защиты информации, а также критерии оценки безопасности информационных технологий.
Наиболее известные стандарты, затрагивающие вопросы УИР и содержащие методики управления информационными рисками, перечислены в табл. 3.1. Наиболее полные сведения о нормативно-технической базе управления информационной безопасностью приводятся в [28].
Таблица 3.1
Обзор нормативно-технической базы УИР
80