Научная статья на тему 'Оценка рисков информационных систем в интересах органов внутренних дел'

Оценка рисков информационных систем в интересах органов внутренних дел Текст научной статьи по специальности «Экономика и бизнес»

CC BY
583
68
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АНАЛИЗ УГРОЗ / ИДЕНТИФИКАЦИЯ / НЕЙТРАЛИЗАЦИЯ РИСКОВ / РЕГУЛЯТОР БЕЗОПАСНОСТИ / УПРАВЛЕНИЕ РИСКАМИ / УЯЗВИМОСТЬ / THREAT ANALYSIS / IDENTIFICATION / MANAGEMENT OF RISK / MITIGATE RISK / SAFETY REGULATOR / SUSCEPTIBILITY

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Старостенко Игорь Николаевич, Шарпан Мария Владимировна

В статье рассматривается оценка рисков информационных систем в сфере обеспечения информационной безопасности. Проанализированы различные методики оценки рисков.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Старостенко Игорь Николаевич, Шарпан Мария Владимировна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Information systems risk assessment in the interests of the bodies of Internal Affairs

The article discusses the information systems risk assessment in the sphere of information security. Different methods of risk assessment are analyzed.

Текст научной работы на тему «Оценка рисков информационных систем в интересах органов внутренних дел»

Старостенко Игорь Николаевич

кандидат физико-математических наук, доцент, начальник кафедры информатики и математики Краснодарского университета МВД России (e-mail: staros80@mail.ru)

Шарпан Мария Владимировна

кандидат физико-математических наук, старший преподаватель кафедры информатики и математики Краснодарского университета МВД России (e-mail: marusi2000@mail.ru)

Оценка рисков информационных систем в интересах органов внутренних дел

В статье рассматривается оценка рисков информационных систем в сфере обеспечения информационной безопасности. Проанализированы различные методики оценки рисков.

Ключевые слова: анализ угроз, идентификация, нейтрализация рисков, регулятор безопасности, управление рисками, уязвимость.

I.N. Starostenko, Master of Physico-Mathematics, Assistant Professor, Head of a Chair of Informatics and Mathematics of the Krasnodar University of the Ministry of the Interior of Russia; e-mail: staros80@mail.ru;

M.V. Sharpen, Master of Physico-Mathematics, Senior Teacher of a Chair of Informatics and Mathematics of the Krasnodar University of the Ministry of the Interior of Russia; e-mail: marusi2000@mail.ru Information systems risk assessment in the interests of the bodies of Internal Affairs The article discusses the information systems risk assessment in the sphere of information security. Different methods of risk assessment are analyzed.

Key words: threat analysis, identification, mitigate risk, safety regulator, management of risk, susceptibility.

В настоящее время одной из глобальных проблем общества является проблема обеспечения безопасности информации. Особую значимость эта проблема находит в деятельности органов, имеющих непосредственное отношение к задачам обеспечения защиты государства от угроз внешнего и внутреннего характера. Важное место в этой проблеме занимают органы внутренних дел, деятельность которых, как части единой государственной структуры - МВД России, неразрывно связана с интересами общества и государства в правоохранительной сфере.

Систематизированная в результате деятельности органов внутренних дел информация представляет огромный интерес как для отдельных криминальных элементов и группировок, так и для организаций антиконституционной направленности, партий, общественно-политических движений и средств массовой информации, стремящихся использовать для своих целей оперативно-служебную информацию органов внутренних дел.

Поэтому оценка и управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений в области защиты информации [1]. Его основная задача - объективно идентифицировать и оценить наиболее значимые информационные риски, а также адекватность используемых средств контроля рисков для увеличения эффективности деятельности органов внутренних дел. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации.

Считается, что качественное управление и оценка рисков позволяют использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам органов внутренних дел.

117

Задача качественного анализа заключается в определении факторов, областей и видов рисков. Эта работа осуществляется экспертным путем на основе опыта работы в конкретной предметной области.

Качественный анализ позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту, также на этом этапе определяются и описываются причины и факторы, влияющие на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации и (или) компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий [2].

Первым шагом в проведении качественного анализа рисков является четкое определение всех возможных рисков.

Существенную практическую помощь в этом вопросе может оказать предлагаемая классификация рисков.

Рассмотрение каждого вида риска можно производить с трех позиций:

с точки зрения истоков, причин возникновения данного типа риска;

обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются: выявление конкретных рисков проекта и порождающих их причин, анализ и количественный (выраженный в виде стоимости) эквивалент гипотетических последствий возможной реализации отмеченных рисков, предложение мероприятий по минимизации ущерба и их стоимостная оценка. К дополнительным, но также весьма значимым результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Качественный анализ рисков условно можно разбить на следующие этапы:

I - идентификация возможных рисков;

II - описание возможного ущерба реализации обнаруженных рисков и их стоимостная оценка;

III - описание возможных мероприятий, направленных на уменьшение негативного влияния выявленных рисков, с указанием их стоимости;

IV - исследования на качественном уровне возможности управления рисками.

Таким образом, в процессе качественного анализа рисков необходимо исследовать причины возникновения рисков и факторы, способствующие их динамике, затем необходимо описать возможный ущерб от проявления рисков и их стоимостную оценку.

Методы экспертной оценки включают комплекс логических и математико-статистических методов и процедур, связанных с деятельностью эксперта по переработке необходимой для анализа и принятия решений информации. Центральной «фигурой» экспертной процедуры является сам эксперт - это специалист, использующий свои способности (знания, умения, опыт, интуицию и т.п.) для нахождения наиболее эффективного решения.

Эксперты, привлекаемые для оценки рисков, должны:

иметь доступ ко всей имеющейся в распоряжении разработчика информации;

обладать достаточным уровнем креативности мышления и необходимыми знаниями в соответствующей предметной области;

быть свободными от личных предпочтений в отношении конкретного программного продукта, обеспечивающего информационную безопасность.

Количественный анализ призван дать возможность численно определить вероятный объем потерь по каждому виду рисков.

Количественный анализ рисков предполагает численное определение величин отдельных рисков и риска проекта в целом. Количественный анализ базируется на теории вероятностей, математической статистике, теории исследований операций.

Для осуществления количественного анализа рисков необходимы два условия: наличие проведенного базисного расчета и проведение полноценного качественного анализа. При качественном анализе выявляются и идентифицируются возможные виды рисков, также определяются и описываются причины и факторы, влияющие на уровень каждого вида риска.

В теории количественной оценки рисков выделяют следующие виды математических моделей: прямые, обратные и задачи исследования чувствительности. В прямых задачах оценка риска, связанная с определением его уровня, происходит на основании априори известной информации. В обратных задачах устанавливаются ограничения на один или несколько варьируемых исходных параметров с

118

ВЕСТНИК КРАСНОДАРСКОГО УНИВЕРСИТЕТА МВД РОССИИ • 2014 • № 2 (24)

целью удовлетворения заданных ограничений на уровень приемлемого риска. Основная идея метода исследования чувствительности, применяемого в связи с неизбежной неточностью исходной информации, состоит в анализе уязвимости, степени изменяемости результативных показателей по отношению к варьированию параметров моделей (распределение вероятностей, областей изменения тех или иных величин и т.п.). Выводы исследования чувствительности отражают степень достоверности полученных при анализе проектных результатов. В случае их недостоверности аналитик будет вынужден реализовать одну из следующих возможностей: уточнить параметры, неточность которых является наиболее существенной в искажении результата;

изменить методы обработки исходных данных с целью уменьшения чувствительности ответа;

изменить математическую модель анализа проектных рисков;

отказаться от проведения количественного анализа рисков проекта.

Широко применяются для анализа рисков информационной безопасности следующие классы математических моделей, учитывающие неопределенность и различающиеся по способам ее описания: стохастические модели; лингвистические модели; игровые (нестохастические) модели. Также классифицировать существующие количественные методы анализа риска и связанные с ними модели можно по следующим направлениям.

I. В зависимости от привлечения вероятностных распределений:

методы без учета распределений вероятностей; методы с учетом распределений вероятностей.

1. Карпеев Д. О. Анализ динамики рисков информационных систем // Информация и безопасность. 2008. № 2.

2. URL: http://bussinesrisk.ru/lektsii-po-teme-ekonomicheskij-risk-i-metody-ego-izmereniya/222-metody-analiza-riska.html, 20.02.2014.

II. В зависимости от учета вероятности реализации каждого отдельного значения переменной и проведения всего процесса анализа с учетом распределения вероятностей:

вероятностные методы;

выборочные методы.

III. В зависимости от способов нахождения результирующих показателей по построению модели:

аналитический метод;

имитационный метод.

Признаком подхода методов I группы является то, что для каждой стохастической величины берется лишь одно ее значение. Целью данного метода является получение возможности применения методов, разработанных для анализа в ситуации определенности без каких-либо изменений.

Результатом расчетов по модели, сконструированной для подхода II, будет не отдельное значение результирующей переменной, а распределение вероятностей. Вероятностные методы предполагают, что построение и расчеты по модели осуществляются в соответствии с принципами теории вероятностей, тогда как в случае выборочных методов все это делается путем расчетов по выборкам.

Характерной чертой подхода II является использование методов моделирования принятия решений. Здесь можно выделить целевой, оптимизационный и системный подходы. Целевому подходу свойственно четкое задание целей при конструировании модели. Любое изменение целевых показателей ведет к реконструкции самой модели и требует новых расчетов, что связано с дополнительными затратами. Применение данного подхода наиболее целесообразно в случае необходимости постоянно принимать решения в аналогичных ситуациях с точно заданными целями.

1. Karpeev D.O. Risk analysis of the dynamics of information systems // Information and security. 2008. № 2.

2. URL: http://bussinesrisk.ru/lektsii-po-teme-ekonomicheskij-risk-i-metody-ego-izmereniya/222-metody-analiza-riska.html, 20.02.2014.

119

i Надоели баннеры? Вы всегда можете отключить рекламу.