Методические основы оценки информационных рисков в предпринимательстве Текст научной статьи по специальности «Экономика и бизнес»

ББК 65.292-21

И. А. Митченко Астраханский государственный технический университет

МЕТОДИЧЕСКИЕ ОСНОВЫ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ

В ПРЕДПРИНИМАТЕЛЬСТВЕ

Предпринимательство является сложно организованным процессом, представляющим собой последовательность действий креативного, инновационного, социального, экономического характера. Важнейшей особенностью предпринимательства является его рисковый характер, что подчеркнуто при определении сущности предпринимательской деятельности в Гражданском кодексе РФ.

Сегодня, как никогда, предприятия нуждаются в грамотном управлении, в том числе и в управлении рисками. Особое значение имеет проблема создания систем управления рисками в среднем и малом предпринимательстве. Зачастую это связано прежде всего с недостаточным финансовым обеспечением, отсутствием опыта работы в данной области, организационными проблемами, большими затратами времени и других ресурсов.

Управление риском - это совокупность определенных методов, приемов и мероприятий, с помощью которых производится выявление, оценка и, при необходимости, воздействие на риск с целью уменьшения убытка или увеличения прибыли предприятия.

Информационные технологии значительно расширили возможности бизнеса, но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Любое современное предприятие не обходится без использования информационных технологий, что обусловливает наличие информационных рисков (ИР).

Анализ информационных рисков

При постановке целей управления рисками важно определить, для чего и в каких условиях проводится оценка. Целью может быть минимизация рисков, оптимизация рисковой ситуации, полное исключение риска и др. На данном этапе важно учитывать общие цели организации, текущее состояние дел, перспективы развития и в соответствии с этой информацией устанавливать цели управления рисками.

Оценка рисков тесно связана с таким этапом управления предпринимательскими рисками, как выявление предполагаемых рисков. Нельзя точно определить количество методов оценки рисков, потому что нельзя точно определить количество видов риска. Тем не менее на рисунке представлены наиболее известные в настоящее время методы, характеризующиеся распространенностью и проработанностью.

На сегодняшнем этапе развития экономики в целом и предпринимательства в частности не представляется возможным их успешное функционирование без применения современных информационных технологий: персональных компьютеров, программных продуктов, средств связи и телекоммуникаций и т. д. Чем сложнее информационная система, эксплуатируемая на предприятии, тем выше для нее риск различных угроз: например, проникновения в систему извне или несанкционированного доступа изнутри компании с целью финансового мошенничества или хищения коммерческой информации. Именно поэтому ИР стали неотъемлемой частью функционирования бизнеса.

Все методы, представленные на рисунке, носят как качественный, так и количественный характер и могут применяться для оценки различных видов риска.

В настоящее время различают качественную и количественную оценку рисков.

Качественный анализ предполагает выявление:

- источников риска;

- этапов и работ, при выполнении которых возникает риск (установление потенциальных зон риска, изменение риска в динамике, выявление всех положительных и отрицательных моментов, связанных с реализацией решения, содержащего риск).

Основные методы оценки предпринимательских рисков

Количественная оценка позволяет:

- выявить математическую вероятность возникновения выявленных рисков;

- определить значения потерь (или прибыли) от действий в рисковой ситуации, которые будут являться объектом дальнейшего анализа для принятия решения об управлении данными рисками;

- определить степень влияния различных факторов на рисковую ситуацию;

- подготовить оптимальный план поведения предприятия в рисковой ситуации;

- получить другую информацию количественного характера относительно оцениваемых рисков.

Для оценки ИР применимы также качественные и количественные методы с использованием средств автоматизации, различных программных продуктов.

Считается, что качественная оценка и дальнейшее управление рисками позволяют использовать средства контроля рисков, оптимальные по эффективности и затратам, и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Для того чтобы можно было оценить текущее состояние защищенности информационных систем предприятия, а также оптимизировать затраты на построение систем защиты, необходимо провести оценку текущего состояния защищенности информационной системы предприятия с использованием специализированных методик, основанных на международных стандартах безопасности, выявить существующие риски и провести их анализ.

Информационный риск складывается из нескольких составляющих:

- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

- риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации ИР заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации ИР следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Для выявления возможных проблем проводится анализ ИР, т. е. определение угроз информации, уязвимости информационной системы и возможного ущерба.

Результаты анализа рисков могут послужить:

- руководством к формированию экономически обоснованной стратегии обеспечения информационной безопасности (ИБ), которая будет учитывать не только технологические риски, но и риски организационного характера, связанные с основными бизнес-процессами предприятия.

- конкретными рекомендациями по усовершенствованию существующей системы информационной ИБ, учитывающими как текущее состояние предприятия, так и возможности его дальнейшего развития.

Анализ методов оценки риска разными авторами [1, 2] показал, что процедура предварительного анализа практически у всех одна и та же и состоит из следующих этапов.

1. Определение в первом приближении границ предметной области объектов технического регулирования, для которых необходимо подобрать подходящую методику оценки риска.

2. Сбор всех видов документов, определяющих потенциальную опасность выбранных объектов.

3. Сбор статистических данных о несчастных случаях, происшествиях и авариях, относящихся к выбранным объектам технического регулирования.

4. Анализ документов (по результатам сбора всех видов документов) и статистических данных (по результатам статистики несчастных случаев и происшествий).

5. Определение всех видов потенциальных опасностей, характерных для выбранных объектов, для которых оценивается риск.

6. Формирование списка потенциальных опасностей для рисковых объектов, определенных в результате анализа.

Анализ ИР заключается в идентификации информационных ресурсов, определении их ценности и возможного ущерба при реализации угроз ИБ. При анализе ИР используются модели информационной системы, построенные в ходе информационного и технического обследования системы управления предприятием, ориентированные на проблему обеспечения безопасности информации.

Существуют различные подходы к анализу рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму ИБ, характера угроз, принимаемых во внимание, и эффективности потенциальных контрмер.

В зависимости от уровня требований к режиму ИБ выделяют два варианта анализа рисков: базовый и полный. Базовый вариант анализа рисков является менее трудоемким и применяется в системах, не обрабатывающих особо ценную информацию. Полный вариант анализа рисков применяется для систем, обрабатывающих критичную информацию.

Этапами анализа ИР являются:

- классификация информационных ресурсов по критериям безопасности;

- определение угроз информации в автоматизированной системе и их характеристик с описанием объектов этих угроз, механизмов их реализации для различных элементов системы и источников угроз;

- оценка опасности потенциальных угроз, возможности их реализации и ущерба;

- формирование перечня, классификация и определение характеристик ИР, оценка эффективности существующих методов управления рисками;

- выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.

В ходе оценки защищенности проводятся:

- определение класса защищенности автоматизированной системы;

- анализ состояния ИБ в автоматизированной системе, достаточности и корректности реализации организационных, нормативно-правовых и технических мер защиты;

- формирование требований по защищенности информации на основе видов и критичности обрабатываемой информации, требований нормативных и законодательных документов по защите информации, а также информационных и технических характеристик автоматизированной системы;

- подготовка исходных данных и рекомендаций для формирования политики ИБ, создания или модернизации подсистемы защиты информации от угроз безопасности информации, идентифицированных при проведении обследования системы и анализе рисков;

- аудит ИБ.

Анализ и оценка защищенности информации позволяют получить исходные данные для разработки политики ИБ предприятия и построения эффективной системы защиты информации, удовлетворяющей требованиям по функциональности, стоимости и соответствию нормативноруководящим документам по защите информации ограниченного доступа.

В настоящее время наблюдается повсеместное усиление зависимости успешной бизнес-деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления ИР разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI, а также национальных стандартов NIST 800-30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.

В соответствии с этими методиками управление ИР любой компании предполагает следующее:

- определение основных целей и задач защиты информационных активов компании;

- создание эффективной системы оценки и управления ИР;

- расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса;

- применение специального инструментария оценки и управления рисками.

Качественные методики управления информационными рисками в предпринимательстве

Качественные методики управления рисками, разработанные, как правило, на основе требований международного стандарта ISO 17799-2002, приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних информационных аудиторов.

История развития ISO 17799-2002 началась в 1993 г., когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения ИБ.

Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 2000 г. был принят международный стандарт ISO 17799, в основу которого был положен BS7799. В сентябре 2002 г. основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий. В настоящее время это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.

Стандарт ISO 17799 содержит две части. В первой части - «Практические рекомендации по управлению информационной безопасностью», 2002 г., определены основные аспекты организации режима ИБ в компании: политика безопасности; организация защиты; классификация и управление информационными ресурсами; управление персоналом; физическая безопасность; администрирование компьютерных систем и сетей; управление доступом к системам; разработка и сопровождение систем; планирование бесперебойной работы организации; проверка системы на соответствие требованиям ИБ.

Вторая часть - «Спецификации», 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима ИБ компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для информ-аудитора и позволяет оперативно проводить внутренний или внешний аудит ИБ любой компании.

К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool, КОНДОР+.

Во второй половине 90-х гг. XX в. компания C & A Systems Security Ltd. разработала одноименные методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA. Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания ИР любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

Методика и одноименное инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335, а также на требованиях некоторых руководств британского национального института стандартов (BSI), например PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Эта методика позволяет выполнять оценку ИР в соответствии с требованиями ISO 17799, а при желании - в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Программный продукт КОНДОР + позволяет специалистам проверить политику ИБ компании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов, ответив на которые специалист получает подробный отчет о состоянии существующей политики безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799. Данная система реализует метод качественной оценки рисков по уровневой шкале рисков: высокий, средний, низкий.

Количественные методики управления информационными рисками в предпринимательстве

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни.

Можно выделить следующие подходы разработчиков программных средств анализа рисков к решению поставленной задачи:

- получение оценок рисков только на качественном уровне;

- вывод количественных оценок рисков на базе качественных, полученных от экспертов;

- получение точных количественных оценок для каждого из рисков;

- получение оценок механизмом нечеткой логики.

Ценность инструментального средства анализа рисков определяется в первую очередь той методикой, которая положена в его основу. В настоящее время определенную известность получили такие программные продукты, как Risk Watch (США), CRAMM (Великобритания), «АванГард» (Россия), ГРИФ (Россия) и ряд других. Эти программные продукты базируются на различных подходах к анализу рисков и решению различных аудиторских задач.

Основными целями методики CRAMM являются:

- формализация и автоматизация процедур анализа и управления рисками;

- оптимизация расходов на средства контроля и защиты;

- комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;

- сокращение времени на разработку и сопровождение корпоративной системы защиты информации;

- обоснование эффективности предлагаемых мер защиты и средств контроля;

- управление изменениями и инцидентами;

- поддержка непрерывности бизнеса;

- оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СКАММ осуществляется в несколько этапов. На первом

этапе инициации определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций. На этапе идентификации и оценки ресурсов четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты. На этапе оценки угроз и уязвимостей идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап анализа рисков позволяет получить качественные и количественные оценки рисков. На этапе управления рисками предлагаются меры и средства уменьшения или уклонения от риска. Для наглядности возможности CRAMM предлагаем рассмотреть следующий пример.

Пусть проводится оценка ИР следующей корпоративной информационной системы.

В свое время компания Methodware разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим инструментальным средствам управления рисками MethodWare относятся:

- программное обеспечение анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO 17799;

- программное обеспечение управления жизненным циклом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками;

- программное обеспечение для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Программное обеспечение RiskWatch является мощным средством анализа и управления рисками, более ориентированным на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно. В семейство RiskWatch входят следующие программные продукты: для физических методов защиты, для ИР, для оценки требований к стандарту ISO 17799.

В основу продукта RiskWatch положена методика анализа рисков, которая состоит из четырех этапов:

- определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы, базовые требования в области безопасности;

- ввод данных, характеризующих основные параметры системы. На этом этапе подробно описываются ресурсы, потери и классы инцидентов, которые используются в дальнейшем для расчета эффекта от внедрения средств защиты;

- количественная оценка. Фактически риск оценивается с помощью математического ожидания потерь за год. Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment - отдача от инвестиций), который показывает отдачу от инвестиций за определенный период времени;

- генерация отчетов.

Наибольшее распространение получила методика «матрицы рисков». Это достаточно простая методика анализа рисков. В процессе оценки эксперты определяются вероятность возникновения каждого риска и размер связанных с ним потерь (стоимость риска). Оценивание производится по шкале с тремя градациями: «высокая», «средняя», «низкая». На базе оценок для отдельных рисков выставляется оценка системе в целом (в виде клетки в такой же матрице), а сами риски ранжируются. Данная методика позволяет быстро и корректно произвести оценку. Но, к сожалению, дать интерпретацию полученных результатов не всегда возможно [3].

CRAMM - инструментальное средство, реализующее одноименную методику, которая была разработана компанией BIS Applied Systems Limited no заказу британского правительства. Метод CRAMM позволяет производить анализ рисков и решать ряд других аудиторских задач: обследование информационной системы, проведение аудита в соответствии с требованиями стандарта BS 7799, разработка политики безопасности.

Данная методика опирается на оценки качественного характера, получаемые от экспертов, но на их базе строит уже количественную оценку. Метод является универсальным и подходит и для больших, и для мелких организаций как правительственного, так и коммерческого сектора. Грамотное использование метода CRAMM позволяет получить очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обеспечения организации для обеспечения ИБ непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном итоге избегать неоправданных расходов [3].

ГРИФ - это программный комплекс анализа и контроля рисков информационных систем компаний. В нем разработано гибкое и, несмотря на скрытый от пользователя сложнейший алгоритм, учитывающий более 100 параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании. Данный комплекс делает оценку рисков по различным информационным ресурсам, подсчитывает суммарный риск по ресурсам компании, а также ведет подсчет соотношения ущерба и риска и выдает недостатки существующей политики безопасности. В основу продукта ГРИФ заложена методика анализа рисков, которая состоит из пяти этапов:

1) определение полного списка информационных ресурсов, представляющих ценность;

2) осуществление ввода в систему всех видов информации, представляющей ценность для информационной системы;

3) определение всех видов пользовательских групп, определение, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей;

4) указывается, какими средствами защиты информации защищены ценная информация на ресурсах и рабочие места групп пользователей, вводится информация о затратах на приобретение всех применяющихся средств защиты информации;

5) на завершающем этапе необходимо ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок рисков, существующих в системе.

Комплексная экспертная система управления информационной безопасностью «АванГард» является программным продуктом, предназначенным для решения задач управления безопасностью в больших территориально-распределенных автоматизированных информационных системах. Данный комплекс является одним из самых мощных инструментов анализа и контроля рисков отечественного производства. Основные возможности комплекса: гибкая система ввода и редактирования модели предприятия, возможность построения модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение вариантов комплексов мер защиты и оценка остаточного риска.

Заключение

Рассмотренные методики позволяют оценить или переоценить уровень текущего состояния ИБ автоматизированной системы, снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности автоматизированной системы, а также предложить планы защиты от выявленных угроз и уязвимых мест. Важно заметить, что в настоящее время существуют многообразные и сложные по своей структуре автоматизированные системы, для которых невозможно подобрать конкретную методику оценки рисков, поэтому для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценкам рисков на основе уже существующих методик.

Таким образом, методику проведения анализа рисков предприятия и инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения ИБ, точной количественной оценки или достаточной оценки на качественном уровне.

Разработка и реализация политики по минимизации ИР не принесут пользы, если рекомендуемые стандарты и правила неверно используются, например если сотрудники не обучены их применению и не понимают их важности. Именно поэтому работа по обеспечению ИБ должна быть комплексной и продуманной.

В настоящее время управление ИР представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса ИР компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании.

СПИСОК ЛИТЕРАТУРЫ

1. Ермасова Н. Б. Риск-менеджмент организации. - М.: Альфа-Пресс, 2005. - С. 54-79.

2. Лапуста М. Г., Шаршукова Л. Г. Риски в предпринимательской деятельности. - М.: ИНФРА-М, 1998. - 238 с.

3. Александрович Г. Я., Нестеров С. Н., Петренко С. А. Автоматизация оценки информационных рисков компании // Безопасность компьютерных систем. Конфидент. - 2003. - № 2. - С. 78-81.

Статья поступила в редакцию 21.12.2006

METHODICAL PRINCIPES OF ESTIMATION OF INFORMATION RISKS IN BUSINESS

I. A. Mitchenko

The risks of businesses in modem conditions are considered in this article. The particular attention is paid to the information risks as a major component of the risks of application of various information technologies in business. The information risks are the integral part of business risks so they can be analyzed and estimated with the help of qualitative and quantitative methods. The considered methods allow to estimate or overestimate the level of the current condition of information safety of an enterprise, to reduce potential losses by increasing the stability of functioning of corporative network, to suggest a plan of protection from revealed threats and vulnerable points. To get exact satisfactory results of the estimation it is necessary to use complex approach to the estimation of the risks on the basis of the given methods.