Управление рисками информационной безопасности в россии. Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

Прародитель международных стандартов управления информационной безопасностью – британский стандарт BS 7799. Его первая часть – BS 7799-1 «Практические правила управления информационной безопасностью» – была разработана Британским Институтом стандартов (BSI) в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта – BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований для сертификации. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO 17799, который впоследствии был переименован в ISO 27002.

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь роль и престижность СУИБ, сертифицированных по стандарту ISO 27001, значительно повысились.

BS 7799 и его международные редакции постепенно стали одними из наиболее важных стандартов для отрасли информационной безопасности. Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам. «Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO», – говорит Жене Трой, представитель США в техническом комитете ISO.

Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать, – говорит Жене Трой. – Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».

Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений, – говорит представитель BSI Стив Тайлер (Steve Tyler). – Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».

Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.Основным достоинством ISO 17799 и родственных ему стандартов является их гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» – этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.

В стандартах серии ISO 27000 нашло отражение все, что требуется для управления информационными рисками. Речь идет прежде всего о выпущенном в 2008 году международном стандарте ISO/IEC 27005:2008, а также о его предшественнике – британском стандарте BS 7799-3:2006, увидевшим свет в 2006 году. Эти стандарты во многих вещах взаимно перекликаются, а в некоторых вопросах дополняют друг друга. Они служат фундаментом для излагаемой в настоящей книге методологии управления рисками и широко цитируются при последующем изложении материала.

Заслуживает также упоминания американский стандарт в области управления рисками NIST 800-30, который, в свою очередь, опирается на ISO Guide 73, ISO 16085, AS/NZS 4360. Основные положения этого стандарта были учтены при разработке ISO 27005.

Вопреки ожиданиям, ISO 27005 вовсе не является международной версией BS 7799-3, в отличие от своих предшественников ISO 27001 и ISO 27002, которые, как известно, являются международными версиями британских стандартов BS 7799-2 и BS 7799-1 соответственно. ISO 27005 пришел на смену международным стандартам ISO 13335-3 и ISO 13335-4, действие которых теперь отменено. Это свидетельствует о позитивном процессе замещения уже слегка устаревшей серии стандартов ИТ безопасности ISO 13335 относительно новой серией стандартов в области управления информационной безопасностью – ISO 27000. В результате данного процесса стандартов становится меньше, а их качество заметно улучшается.

Сопоставляя стандарты BS 7799-3 и ISO 27005, мы обнаруживаем, что они определяют все наиболее важные моменты, связанные с рисками, сходным образом. Это касается процессной модели, элементов управления рисками, подходов к анализу рисков и способам их обработки, а также вопросов коммуникации рисков. Оба стандарта содержат в виде приложений примеры типовых угроз, уязвимостей и требований безопасности.

BS 7799-3 и ISO 27005 определяют:

основные элементы процесса управления рисками;

процессную модель;

общий подход к управлению рисками;

процессы анализа и оценивания рисков;

способы качественного определения величины рисков;

способы обработки рисков;

процесс коммуникации рисков;

примеры рисков, угроз, уязвимостей, активов, ущербов, требований законодательства и нормативной базы.

___________________________________

Однако разные источники разработки обусловили и ряд различий между британским и международным стандартами управления рисками. ISO 27005 более подробно описывает критерии и подходы к оценке рисков, контекст управления рисками, область и границы оценки, а также ограничения, влияющие на уменьшение риска. В то же время BS 7799-3 более тесно связан с ISO 27001 и непосредственным образом отображает процессы управления рисками на процессы жизненного цикла СУИБ. Он также определяет требования к эксперту по оценке рисков и риск-менеджеру и включает в себя рекомендации по выбору инструментария для оценки рисков. BS 7799-3 также содержит примеры законодательных и нормативных требований применительно к США и странам Европы.

_________________________________

Различия стандартов управления рисками информационной безопасности:

ISO 27005

заменяет ISO 13335-3 и ISO 13335-4;

определяет основные критерии для оценки рисков:

область действия и границы;

подходы к оценке рисков;

ограничения, влияющие на уменьшение риска.

BS 7799-3

отображает процессы управления рисками на модель жизненного цикла СУИБ согласно ISO 27001;

определяет требования к эксперту по оценке рисков и к риск-менеджеру;

содержит примеры соответствия требованиям законодательства и нормативной базы;

__________________________________

Подробная сравнительная таблица стандартов ISO 27001, ISO 27005 и BS 7799-3 приведена в Приложении № 1 . Сведения о лицензионных русских переводах этих стандартов приведены в Приложении № 12 .

Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности (рис. 4.11).

Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценка рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы [Галатенко В. А., 2006]:

• идентификация активов и ценности ресурсов, нуждающихся в защите;
• выбор анализируемых объектов и степени детальности их рассмотрения;
• анализ угроз и их последствий, определение слабостей в защите;
• классификация рисков, выбор методологии оценки рисков и проведение оценки;
• выбор, реализация и проверка защитных мер;
• оценка остаточного риска.

Рис. 4.11. Неопредленнось как основа формирования риска

Политика ИБ включает разработку стратегии управления рисками разных классов.

Краткий перечень наиболее распространенных угроз приводился выше (см. п. 17.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного пользователя или оборудования.

Очевидно, что для противодействия каждому способу нелегального входа нужны свои механизмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации компании, ослабление её позиций на рынке и т. п.

После проведения идентификации и анализа угроз, их возможных последствий имеется несколько подходов к управлению: оценка риска, уменьшение риска, уклонение от риска, изменение характера риска, принятие риска, выработка корректирующих мероприятий (рис. 4.12).

Рис. 4.12. Схема управления рисками

При идентификации активов и информационных ресурсов - тех ценностей, которые нужно защитить - следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Выбор анализируемых объектов и степень детальности их рассмотрения - следующий шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной - следует сосредоточиться на наиболее важных (критичных) сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или неизвестны. Если информационной основой организации является локальная сеть, то в число аппаратных объектов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование.

К программным объектам следует отнести операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать в каких узлах сети хранится программное обеспечение, где и как используется. Третьим видом информационных объектов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.

Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому. По этой шкале можно оценивать приемлемость рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью. Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения серверов различного назначения, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.

Технология оценки рисков должна сочетать формальные метрики и формирование реальных количественных показатели для оценки. С их помощью необходимо ответить на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

Рис. 4.13. Схема оценки и снижения рисков

Методология снижения рисков. Многие риски можно существенно уменьшить путем использования простых и недорогих контрмер. Например, грамотное (регламентированное) управление доступом снижает риск несанкционированного вторжения. От некоторых классов рисков можно уклониться - вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Некоторые риски не могут быть уменьшены до малой величины, однако после реализации стандартного набора контрмер их можно принять, постоянно контролируя остаточную величину риска (рис. 4.13).

Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и/или программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость можно выразить в некоторой шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю средство защиты оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению.

Рис. 4.14. Итерационный процесс управления рисками

Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность - убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.

Управление рисками является многоступенчатым итерационным процессом (рис. 4.14).

Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками - типичная оптимизационная задача, принципиальная трудность состоит в её грамотной постановке на уровне высшего менеджмента, сочетании оптимальных методик и описания исходных данных (рис. 4.15).

Рис. 4.15. Формирование деятельности по управлению ИТ-рисками

Методологии "Оценка рисков" (Risk Assessment) и "Управление рисками" (Risk Management) стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security). Программа реализации ИБ и наборы политик базируются на совокупности системных действий и практических шагов (рис. 4.16-рис. 4.19).

Рис. 4.16. Совокупности системных действий и практических шагов (1)

Рис. 4.17. Совокупности системных действий и практических шагов (2)

Рис. 4.18. Совокупности системных действий и практических шагов (3)

Рис. 4.19. Совокупности системных действий и практических шагов (4)

Подготовлено и активно используются более десятка различных международных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками: ISO 15408: 1999 ("Common Criteria for Information Technology Security Evaluation"), ISO 17799:2002 ("Code of Practice for Information Security Management"), NIST 80030, SAS 78/94, COBIT.

Методика и инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях руководств Британского национального института стандартов (BSI) - PD 3002 ("Руководство по оценке и управлению рисками"), PD 3003 ("Оценка готовности компании к аудиту в соответствии с BS 7799"), PD 3005 ("Руководство по выбору системы защиты").

На практике такие методики управления рисками позволяют:

• создавать модели информационных активов компании с точки зрения безопасности;
• классифицировать и оценивать ценности активов;
• составлять списки наиболее значимых угроз и уязвимостей безопасности;
• ранжировать угрозы и уязвимости безопасности;
• оценивать и отрабатывать риски;
• разрабатывать корректирующие меры;
• обосновывать средства и меры контроля рисков;
• оценивать эффективность/стоимость различных вариантов защиты;
• формализовать и автоматизировать процедуры оценивания и управления рисками.

Отработка рисков включает в себя ряд важных этапов, которые в обязательном порядке включаются в плановую работу по обеспечению информационной безопасности (рис. 4.20).

Применение соответствующих программных средств позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время разработано более десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Примером достаточно простого средства является программный пакет BSS (Baseline Security Survey, UK).

Программные продукты более высокого класса: CRAMM (компания Insight Consulting Limited, UK), Risk Watch, COBRA (Consultative Objective and Bi-Functional Risk Analysis), Buddy System. Наиболее популярный из них - CRAMM (Complex Risk Analysis and Management Method), реализующий метод анализа и контроля рисков. Существенным достоинством метода является возможность проведения детального исследования в сжатые сроки с полным документированием результатов.

Рис. 4.20. Этапы отработка риска

В основе методов, подобных CRAMM, лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора.

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• в основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

Для коммерческих организаций имеется коммерческий профиль стандартов безопасности (Commercial Profile), для правительственных организаций - правительственный (Government Profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта TCSEC ("Оранжевая книга").

Основные принципы управления рисками информационной безопасности

Несмотря на разные операции, продукты и услуги, организации используют пять принципов управления рисками информационной безопасности:

· Оценить риск и определить потребности

· Установить централизованное управление

· Внедрить необходимые политики и соответствующие средства контроля

· Содействовать осведомленности сотрудников

· Контролировать и оценивать эффективность политик и механизмов контроля

Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации.

Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается "сама по себе", но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).

Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации. Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слабыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за постоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно точно сравнить стоимость средств контроля с риском потери, чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны полагаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций. Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности. В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет, централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации. Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников, может быть, достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска. Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.

Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

· число проведенных тренингов и встреч;

· число выполненных оценок риска (рисков);

· число сертифицированных специалистов;

· отсутствие инцидентов, затрудняющих работу сотрудников организации;

· снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;

· полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;

· снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.
Важно гарантировать, что (1) специалисты в области информационной безопасности не "отстают" от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

Методы анализа

РЕSТ – это аббревиатура четырех английских слов: Р – Роlitical-legal – политико-правовые, Е – Есопоmiс – экономические, S – Sосioсultural – социокультурные, Т – Тесhnological forces – технологические факторы.

РЕSТ-анализ состоит в выявлении и оценке влияния факторов макросреды на результаты текущей и будущей деятельности предприятия.

Выделяют четыре группы факторов, наиболее существенных для стратегии предприятия:

Политико-правовые;

Экономические;

Социокультурные;

Технологические.

Цель РЕSТ-анализа – отслеживание (мониторинг) изменений макросреды по четырем узловым направлениям и выявление тенденций, событий, не подконтрольных предприятию, но оказывающих влияние на результаты принятых стратегических решений.

Таблица 1. PEST анализ

Политический фактор внешней среды изучается в первую очередь для того, чтобы иметь ясное представление о намерениях органов государственной власти в отношении развития общества и о средствах, с помощью которых государство предполагает претворять в жизнь свою политику.

Анализ экономического аспекта внешней среды позволяет понять, как на уровне государства формируются и распределяются экономические ресурсы. Для большинства предприятий это является важнейшим условием их деловой активности.

Изучение социального компонента внешнего окружения направлено на то, чтобы уяснить и оценить влияние на бизнес таких социальных явлений, как отношение людей к качеству жизни, мобильность людей, активность потребителей и др.

Анализ технологического компонента позволяет предвидеть возможности, связанные с развитием науки и техники, своевременно перестроиться на производство и реализацию технологически перспективного продукта, спрогнозировать момент отказа от используемой технологии.

Порядок проведения РЕ5Т – анализа.

Выделяют следующие этапы проведения внешнего анализа:

1. Разрабатывается перечень внешних стратегических факторов, имеющих высокую вероятность реализации и воздействия на функционирование предприятия.

2. Оценивается значимость (вероятность осуществления) каждого события для данного предприятия путем присвоения ему определенного веса от единицы (важнейшее) до нуля (незначительное). Сумма весов должна быть равна единице, что обеспечивается нормированием.

3. Дается оценка степени влияния каждого фактора-события на стратегию предприятия по 5-балльной шкале: «пять» – сильное воздействие, серьезная опасность; «единица» – отсутствие воздействия, угрозы.

4. Определяются взвешенные оценки, путем умножения веса фактора на силу его воздействия и подсчитывается суммарная взвешенная оценка для данного предприятия.

Суммарная оценка указывает на степень готовности предприятия реагировать на текущие и прогнозируемые факторы внешней среды.

Таблица 2. Результаты анализа внешних стратегических факторов

В данном случае оценка 3,05 показывает, что реакция предприятия на стратегические факторы внешней среды находится на среднем уровне.

Применяемый для анализа среды метод SWOT является широко признанным подходом, позволяющим провести совместное изучение внешней и внутренней среды.

Применяя метод SWOT‑анализа, удается установить линии связи между силой и слабостью, которые присущи организации, и внешними угрозами и возможностями. Методология предполагает сначала выявление сильных и слабых сторон, а также угроз и возможностей , и после этого установление цепочек связей между ними, которые в дальнейшем могут быть использованы для формулирования стратегии организации.

Томпсон и Стрикленд предложили следующий примерный набор характеристик, заключение по которым должно позволить составить список слабых и сильных сторон организации, а также список угроз и возможностей для нее, заключенных во внешней среде.

Сильные стороны:

Выдающаяся компетентность;

Адекватные финансовые ресурсы;

Высокая квалификация;

Хорошая репутация у покупателей;

Известный лидер рынка;

Изобретательный стратег в функциональных сферах деятельности организации;

Возможность получения экономии от роста объема производства;

Защищенность (хотя бы где-то) от сильного конкурентного давления;

Подходящая технология;

Преимущества в области издержек;

Преимущества в области конкуренции;

Наличие инновационных способностей и возможности их реализации;

Проверенный временем менеджмент.

Слабые стороны:

Нет ясных стратегических направлений;

Ухудшающаяся конкурентная позиция;

Устаревшее оборудование;

Более низкая прибыльность потому, что…;

Недостаток управленческого таланта и глубины владения проблемами;

Отсутствие некоторых типов ключевой квалификации и компетентности;

Плохое отслеживание процесса выполнения стратегии;

Мучение с внутренними производственными проблемами;

Уязвимость по отношению к конкурентному давлению;

Отставание в области исследований и разработок;

Очень узкая производственная линия;

Слабое представление о рынке;

Конкурентные недостатки;

Ниже среднего маркетинговые способности;

Неспособность финансировать необходимые изменения в стратегии.

Возможности:

Выход на новые рынки или сегменты рынка;

Расширение производственной линии;

Увеличение, разнообразия во взаимосвязанных продуктах;

Добавление сопутствующих продуктов;

Вертикальная интеграция;

Возможность перейти в группу с лучшей стратегией;

Самодовольство среди конкурирующих фирм;

Ускорение роста рынка.

Возможность появления новых конкурентов;

Рост продаж замещающего продукта;

Замедление роста рынка;

Неблагоприятная политика правительства;

Возрастающее конкурентное давление;

Рецессия и затухание делового цикла;

Возрастание силы торга у покупателей и поставщиков;

Изменение потребностей и вкуса покупателей;

Неблагоприятные демографические изменения.

Подзаголовок: Методика проведения анализа и построение матрицы SWOT-анализа

Организация может дополнить каждую из четырех частей списка теми характеристиками внешней и внутренней среды, которые отражают конкретную ситуацию, в которой она находится.

После того как конкретный список слабых и сильных сторон организации, а также угроз и возможностей составлен, наступает этап установления связей между ними. Для установления этих связей составляется матрица СВОТ, которая имеет следующий вид (рис. 1).

Рис. 1. Матрица SWOT‑анализа

Слева выделяется два блока (сильные стороны, слабые стороны), в которые соответственно выписываются все выявленные на первом этапе анализа стороны организации.

В верхней части матрицы также выделяется два блока (возможности и угрозы), в которые выписываются все выявленные возможности и угрозы. На пересечении блоков образуется четыре поля:

СИВ (сила и возможности); СИУ (сила и угрозы); СЛВ (слабость и возможности); СЛУ (слабость и угрозы). На каждом из полей исследователь должен рассмотреть все возможные парные комбинации и выделить те, которые должны быть учтены при разработке стратегии поведения организации.

В отношении тех пар, которые были выбраны с поля СИВ, следует разрабатывать стратегию по использованию сильных сторон организации для того, чтобы получить отдачу от возможностей, которые появились во внешней среде.

Для тех пар, которые оказались на поле СЛВ, стратегия должна быть построена таким образом, чтобы за счет появившихся возможностей попытаться преодолеть имеющиеся в организации слабости.

Если пара находится на поле СИУ, то стратегия должна предполагать использование силы организации для устранения угрозы.

Наконец, для пар, находящихся на поле СЛУ, организация должна вырабатывать такую стратегию, которая позволила бы ей как избавиться от слабости, так и попытаться предотвратить нависшую над ней угрозу.

Вырабатывая стратегии, следует помнить, что возможности и угрозы могут переходить в свою противоположность. Так, неиспользованная возможность может стать угрозой, если ее использует конкурент. Или наоборот, удачно предотвращенная угроза может открыть перед организацией дополнительные возможности в том случае, если конкуренты не смогли устранить эту же угрозу.

Подзаголовок: Построение матрицы «возможностей»

Для успешного анализа окружения организации методом SWOT-анализа важно не только уметь вскрывать угрозы и возможности, но и уметь оценивать их с точки зрения важности и степени влияния на стратегию организации.

Для оценки возможностей применяется метод позиционирования каждой конкретной возможности на матрице возможностей (рис. 2).

Рис. 2. Матрица возможностей

Матрица строится следующим образом:

– сверху по горизонтали откладывается степень влияния возможности на деятельность организации (сильное, умеренное, малое);

– слева по вертикали откладывается вероятность того, что организация сможет воспользоваться возможностью (высокая, средняя, низкая).

Полученные внутри матрицы девять полей возможностей имеют разное значение для организации.

Возможности, попадающие на поля ВС, В, У и СС, имеют большое значение для организации, и их надо обязательно использовать.

Возможности же, попадающие на поля СМ, НУ и НМ, практически не заслуживают внимания организации.

Подзаголовок: Построение матрицы «угроз»

Похожая матрица составляется для оценки угроз (рис. 3):

– сверху по горизонтали откладываются возможные последствия для организации, к которым может привести реализация угрозы (разрушение, критическое состояние, тяжелое состояние, «легкие ушибы»).

– слева по вертикали откладывается вероятность того, что угроза будет реализована (высокая, средняя, низкая).

Рис. 3. Матрица угроз

Те угрозы, которые попадают на поля ВР, ВК и СР, представляют очень большую опасность для организации и требуют немедленного и обязательного устранения.

Угрозы, попавшие на поле ВТ, СК и НР, также должны находиться в поле зрения высшего руководства и быть устранены в первостепенном порядке.

Что касается угроз, находящихся на полях НК, СТ и ВЛ, то требуется внимательный и ответственный подход к их устранению. Хотя при этом не ставится задача их первостепенного устранения. Попавшие на оставшиеся поля угрозы также не должны выпадать из поля зрения руководства организации. Необходимо внимательно отслеживать их развитие.

Подзаголовок: Составление профиля среды

Наряду с методами изучения угроз, возможностей, силы и слабости организации для анализа среды может быть применен метод составления ее профиля. Данный метод удобно применять для составления профиля отдельно макроокружения, непосредственного окружения и внутренней среды. С помощью метода составления профиля среды удается оценить относительную значимость для организации отдельных факторов среды.

Метод составления профиля среды состоит в следующем. В таблицу профиля среды (рис. 4) выписываются отдельные факторы среды. Каждому из факторов экспертным образом дается оценка:

Важности для отрасли по шкале: 3 – большая, 2 – умеренная, 1 – слабая;

Влияния на организацию по шкале: 3 – сильное, 2 – умеренное, 1 – слабое, 0 – отсутствие влияния;

Направленности влияния по шкале: +1 – позитивная, -1 – негативная.

Рис. 4. Таблица профиля среды

Далее все три экспертных оценки перемножаются, и получается интегральная оценка, показывающая степень важности фактора для организации. По этой оценке руководство может заключить, какие из факторов среды имеют относительно более важное значение для их организации и, следовательно, заслуживают самого серьезного внимания, а какие факторы заслуживают меньшего внимания.

Анализ среды – это очень важный для выработки стратегии организации и очень сложный процесс, требующий внимательного отслеживания происходящих в среде процессов, оценки факторов и установления связи между факторами и теми сильными и слабыми сторонами организации, а также возможностями и угрозами, которые заключены во внешней среде.

Очевидно, что, не зная среды, организация не сможет существовать. Однако она не плывет в окружении как лодка, не имеющая руля, весел или паруса. Организация изучает среду, чтобы обеспечить себе успешное продвижение к своим целям. Поэтому в структуре процесса стратегического управления вслед за анализом среды следует установление миссии организации и ее целей.

9.3. Жизненный цикл товара/услуги

Любой товар (услуга) проходит свой жизненный цикл от зарождения (появление на рынке) до прекращения (выпуска последнего образца).

Можно выделить следующие основные стадии жизненного цикла (рис. 5):

Рис. 5. Обычный график жизненного цикла товара во времени

Матрица БКГ

Наиболее популярная процедура анализа положения компании на рынке - построение матриц портфеля. Обычно такие матрицы строятся на основе пары стратегически важных переменных, таких, как скорость роста отрасли, размеры рынка, долговременная привлекательность отрасли, конкурентный статус и т. д. Такие двумерные матрицы относительно просты и дают четкую рыночную обстановку. Наибольшее распространение получили матрицы БКГ (BCG - Boston Consulting Group) и «Дженерал электрик».

В основе Бостонской матрицы лежит модель жизненного цикла товара, в соответствии с которой товар в своем развитии проходит четыре стадии: выход на рынок (товар – «дикая кошка»), рост (товар – «звезда»), зрелость (товар – «дойная корова») и спад (товар – «собака»).

Для оценки конкурентоспособности отдельных видов бизнеса используются два критерия: темп роста отраслевого рынка; относительная доля рынка.

Темп роста рынка определяется как средневзвешенное значение темпов роста различных сегментов рынка, в которых действует предприятие, или принимается равным темпу роста валового национального продукта. Темпы роста отрасли 10% и более рассматриваются как высокие.

Относительная доля рынка определяется делением доли рынка рассматриваемого бизнеса на долю рынка крупнейшего конкурента.

Рис. 6. Матрица БКГ для гипотетической фирмы

Значение доли рынка, равное 1, отделяет продукты – рыночные лидеры – от последователей. Таким образом, осуществляется деление видов бизнеса (отдельных продуктов) на четыре различные группы (рис. 6).

В основе матрицы БКГ лежат два предположения:

1. Бизнес, имеющий существенную долю рынка, приобретает в результате действия эффекта конкурентное преимущество в отношении издержек производства. Отсюда следует, что самый крупный конкурент имеет наибольшую рентабельность при продаже по рыночным ценам и для него финансовые потоки максимальны.

2. Присутствие на растущем рынке означает повышенную потребность в финансовых средствах для своего развития, т.е. обновления и расширения производства, проведения интенсивной рекламы и т.д. Если темп роста рынка невелик, например зрелый рынок, то товар не нуждается в значительном финансировании.

В том случае, когда обе гипотезы выполняются, можно выделить четыре группы рынков товара, соответствующие различным приоритетным стратегическим целям и финансовым потребностям:

«Дикие кошки» (быстрый рост / малая доля): товары этой группы могут оказаться очень перспективными, поскольку рынок расширяется, но требуют значительных средств для поддержания роста. Применительно к этой группе продуктов необходимо решить: увеличить долю рынка данных товаров или прекратить их финансирование.

«Звезды» (быстрый рост / высокая доля) – это рыночные лидеры. Они приносят значительную прибыль благодаря своей конкурентоспособности, но также нуждаются в финансировании для поддержания высокой доли динамичного рынка.

«Дойные коровы» (медленный рост / высокая доля): товары, способные принести больше прибыли, чем необходимо для поддержания их роста. Они являются основным источником финансовых средств для диверсификации и научных исследований. Приоритетная стратегическая цель – «сбор урожая».

«Собаки» (медленный рост / малая доля) – это продукты, которые находятся в невыгодном положении по издержкам и не имеют возможностей роста. Сохранение таких товаров связано со значительными финансовыми расходами при небольших шансах на улучшение положения. Приоритетная стратегия – деинвестирование и скромное существование.

В идеале сбалансированный номенклатурный портфель предприятия должен включать:

2–3 товара – «коровы», 1–2 – «звезды», несколько «кошек» в качестве задела на будущее и, возможно, небольшое число товаров – «собак». Избыток стареющих товаров («собак») указывает на опасность спада, даже если текущие результаты деятельности предприятия относительно хорошие. Избыток новых товаров может привести к финансовым затруднениям.

В динамичном корпоративном портфеле выделяют следующие траектории (сценарии) развития (рис. 7).

Рис. 7. Основные сценарии развития

«Траектория товара». Инвестируя в НИОКР средства, получаемые от «дойных коров», предприятие выходит на рынок с принципиально новым товаром, который занимает место звезды.

«Траектория последователя». Средства от «дойных коров» инвестируются в товар – «кошку», на рынке которого доминирует лидер. Предприятие придерживается агрессивной стратегии наращивания доли рынка, и товар – «кошка» превращается в «звезду».

«Траектория неудачи». Вследствие недостаточного инвестирования товар-звезда, утрачивает лидирующие позиции на рынке и становится товаром – «кошкой».

«Траектория посредственности». Товару – «кошке» не удается увеличить свою долю рынка, и он вступает в следующую стадию (товар – «собака»).

Риск информационной безопасности (information security risk) - «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации» .

В соответствии с ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001-2013 «Система управления информационной безопасностью» - процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Базовый уровень безопасности (baseline security) - обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - ССТА Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI.

Существуют критерии ряда организаций - NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.

Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.

Базовый (baseline ) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

Полный (full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ состоит из этапов, представленных на рис. 1.

Оценка риска

Анализ риска

Идентификация риска

Количественная оценка риска

• 0 х:
  • (Ъ о;

Оценка риска

Вторая точка принятия решения. . Результат обработки риска удовлетворительный?

Рис. 1.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.

Анализ риска включает: идентификацию риска (определение активов, определение угроз, определение существующих мер и средств контроля и управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, установление значений уровня рисков).

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации.

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012 оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, компания должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста .

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

• - определить угрозы и их источники;
• - определить существующие и планируемые меры и средства контроля и управления;
• - определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
• - определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;
• - оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
• - оценить вероятность чрезвычайных сценариев;
• - оценить уровень риска;
• - сравнить уровни риска с критериями оценки и приемлемости рисков.

Применяемая для оценки риска методология должна предусматривать действия, указанные ниже.

• 1. Определение активов.
• 2. Определение угроз.
• 3. Выявление уязвимостей.
• 4. Определение последствий.
• 5. Оценка вероятности инцидента.
• 6. Установление значений уровня рисков.
• 7. Соотнесение рисков с критериями.
• 8. Определение мер обработки риска.

Схема деятельности по обработке риска показана на рис. 2.

Удовлетворительная

Первая точка принятия решения. Результат оценки риска удовлетворительный?

ОБРАБОТКА РИСКА

Рис. 2.

с ГОСТ Р ИСО/МЭК 27005-2010

Помимо указанных действий в организации должен предусматриваться и мониторинг рисков.

Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.

При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:

• - снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;
• - сохранен (принят), как приемлемый для рассматриваемого объекта оценки;
• - предотвращен, за счет отказа от использования подверженного угрозе ресурса;
• - перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса.

Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска .

На рис. 3 схематично изображен процесс оценки рисков информационной безопасности . Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.

Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей.

В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

• - возможного ущерба, наносимого организации в результате нарушений безопасности активов;
• - вероятности наступления такого нарушения;
• - величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются

Рис. 3.

все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После того, как были определены величина возможного ущерба и вероятность реализации угроз, определяется величина риска.

Вычисление рисков производится путем комбинирования возможного ущерба, выражающего вероятные последствия нарушения безопасности активов, и вероятности реализации угроз.

Такое комбинирование часто осуществляется при помощи матрицы, где в строках размещаются возможные значения ущерба, а в столбцах - вероятности реализации угрозы, на пересечении - величина риска.

Далее производится сравнение вычисленных уровней риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Результаты оценки рисков используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков, позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

Существует множество методик анализа и оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие наоборот, активно его используют.

Несмотря на повышение интереса к управлению рисками, большинство из используемых в настоящее время методик относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

Для решения задачи оценки рисков информационной безопасности классическими являются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других. Все известные методики можно классифицировать следующим образом :

• - методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»), к таким методикам, в частности, относится FRAP;
• - количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь), к этому классу относится методика RiskWatch;
• - методики, использующие смешанные оценки (такой подход используется в CRAMM, методике MSAT).

До принятия решения о внедрении той или иной методики управления рисками ИБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В табл. 1 представлен сравнительный анализ классических методик (CRAMM, ГРИФ, RiskWatch, CORAS, MSAT).

Таблица 1

Сравнение программного инструментария для управления рисками ИБ

Примечание: Таблица сравнения программного инструментария для анализа и оценки рисков приводится по материалам статьи: Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. -

2014.-№4.- С. 160-168.

Оценка С RAMM

Данная методика не учитывает сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам рисков. В отношении стратегии работы с рисками, CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как обход или принятие, не рассматриваются. В методике отсутствуют:

процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.

Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков. Кроме того, следует отметить высокую стоимость лицензии.

Оценка ГРИФ

Методика ГРИФ использует количественные и качественные способы оценки рисков, а также определяет условия, при которых последние могут быть приняты компанией, включает в себя расчет возврата инвестиций на внедрение мер безопасности. В отличие от других методик анализа рисков, ГРИФ предлагает все способы снижения рисков (обход, снижение и принятие). Данная методика учитывает сопроводительную документацию, такую как описание бизнес-процессов или отчетов по проведенным оценкам рисков ИБ.

Оценка RiskWatch

Эта методика использует количественные и качественные способы оценки рисков. Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Существенным достоинством RiskWatch является интуитивно понятный интерфейс и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д.

Оценка CORAS

CORAS не предусматривает такой эффективной меры по управлению рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки рисков и обновление их величин, что свидетельствует о том, что методика пригодна для выполнения разовых оценок и не годится для регулярного использования.

Положительной стороной CORAS является то, что программный продукт, реализующий эту методику, распространяется бесплатно и не требует значительных ресурсов для установки и применения.

Оценка MSA Т

Ключевыми показателями для данного программного продукта являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценке уровня защищенности системы в организациях разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности). MS АТ не дает количественной оценки уровня рисков, однако, качественные оценки могут быть привязаны к ранговой шкале.

MS АТ позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, но не дает возможности найти оптимальный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов.

Рассмотренные методики хорошо соответствуют требованиям групп «Риски» и «Процессы (Использование элементов риска)», но некоторые из них (CRAMM, CORAS) имеют недостатки в соответствии с разделами «Мониторинг» и «Управление», а также со многими подразделами «Процессы». Немногие (ГРИФ, RiskWatch, MSAT) дают подробные рекомендации по поводу составления расписания проведения повторных оценок рисков.

В тех случаях, когда требуется выполнить только разовую оценку уровня рисков в компании среднего размера, целесообразно рекомендовать использование методики CORAS. Для управления рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методики Microsoft Security Assessment Tool и RiskWatch предпочтительны для использования в крупных компаниях, где предполагается внедрение управления рисками ИБ на базе регулярных оценок, на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.

ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.