CC BY
21
Nevsky Alexander, professor, chif of the department of information and economic security, of National Research University MPEI
Baronov Oleg, professor of the department of information and economic security, of National Research University MPEI
In the article features of creation of information security systems in digital economy for cyberphysical systems are considered. Based on the analysis of NIST standards, various conditions for the application ofprimitives of cyberphysical systems to their properties and possible threats are explored. The content of the program "information security" in the digital economy is analyzed. Keywords: digital economy, information security, cyberphysical systems, CPS, IoT. NoT
УДК 004.056.5
РАСПРЕДЕЛЕНИЕ РИСКОВ ИТ-СЕРВИСА ПО СТАДИЯМ ЖИЗНЕННОГО ЦИКЛА НА ОСНОВЕ АНАЛИЗА ИЗВЕСТНЫХ СПОСОБОВ КЛАССИФИКАЦИИ
Тамара Васильевна Киселева, д-р техн. наук, проф. каф. прикладных информационных
технологий и программирования E-mail: kis@siu.sibsiu.ru ФГБОУВО «СибГИУ» www.sibsiu.ru
Елена Владимировна Маслова, вед. программист отдела информации E-mail: elenamaslova1805@yandex.ru ФКУ «ГБ МСЭ по Кемеровской области» Минтруда России
www.mse42.ru
Рассмотрен процесс управления рисками ИТ-сервиса, для обобщения опыта в этой области проведен обзор известных программных средств для оценки рисков, а также представлена разработанная классификация возможных рисков ИТ-сервиса в привязке к стадиям его жизненного цикла.
Ключевые слова: информационный риск, управление рисками, ИТ-сервис, классификация рисков, оценка рисков, анализ рисков.
Ситуации, с которыми сталкивается любой человек в своей профессиональной деятельности, сложные, часто процесс принятия решений проводится в условиях неопределенности, а также связан с большой вероятностью возникновения рисков в ходе работы. Для того, чтобы уменьшить ущерб, который могут принести реализовавшиеся риски, а также для снижения самой вероятности возникновения рисков, Киселёва т.в. | все чаще проводят предварительный ана- маслова е.в.
лиз и оценку возможных рисков, после чего вырабатываются различные защитные меры. Весь этот процесс от описания предметной области до проверки целесообразности внедрения тех или иных контрмер называется управлением рисками или риск-менеджментом. Это циклический процесс, состоящий из следующих этапов [1, с. 76]:
1. Выбор анализируемых объектов и уровня детализации их рассмотрения;
2. Выбор методологии оценки рисков;
3. Идентификация активов;
4. Анализ угроз и их последствий, выявление уязвимых мест в защите;
5. Оценка рисков;
6. Выбор защитных мер;
7. Реализация и проверка выбранных мер;
8. Оценка остаточного риска.
Управление информационными рисками - это процесс циклический, и к тому же все его операции связаны между собой; после завершения любой из них может возникнуть необходимость вернуться к предыдущей операции, особенно если анализ и оценка рисков проводится в организации впервые. Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность, поэтому переоценка информационных рисков должна проводиться регулярно. Часто целью обработки рисков является их уменьшение до приемлемого уровня. Но не всегда принятие такого решения целесообразно. Возможна ситуация, при которой у предприятия недостаточно активов для внедрения той или иной защитной меры, тогда можно временно допустить риск или избежать его, отказавшись от рискованных действий. Существует четыре способа обработки рисков: принятие (сохранение), уменьшение, передача и избежание. На решение о принятии риска влияют два основных фактора: расходы организации в случае реализации риска и частота его возникновения. Существуют также субъективные факторы, к которым можно отнести готовность к принятию риска, имеющиеся ресурсы, политика предприятия и др. Следует выбрать критерии принятия рисков, которые будут устанавливать допустимый уровень риска. Все риски, превышающие допустимый уровень, будут считаться неприемлемыми, а остальные могут быть приняты без обработки. Уменьшить риск можно разными способами, например, ликвидировав уязвимость, уменьшив вероятность воздействия угрозы на уязвимость или вероятность использования уязвимости. Каждая организация сама определяет способ уменьшения рисков с учетом его эффективности и экономической целесообразности. Если риск уменьшить невозможно по каким-либо причинам, может быть выбрана передача риска двумя способами: страхование от него и передача на аутсорсинг компании, специализирующейся в решении данных проблем. Избежание риска - это действия, изменяющие способы ведения бизнеса для того, чтобы избежать осуществления риска совсем без нарушения требований и потребностей бизнеса [3].
Для облегчения проведения анализа и оценки рисков, с которыми может столкнуться предприятие, разработаны инструментальные средства. Но существует мнение [2, с. 197], что специализированное программное обеспечение профессиональному менеджеру зачастую не нужно, а новичку в этом вопросе оно может усложнить принятие решений. Автор [2] рекомендует разработать политику управления рисками, выбрав методологию оценки рисков, и в первый раз провести ее вручную. Только после этого можно определиться с тем программным продуктом, который более всего подходит для нужд организации.
Наиболее известными и распространенными являются следующие инструменты:
1. OCTAVE: эта методология была разработана в США, ее основным достоинством является то, что оценку рисков делают сами сотрудники организации, не привлекая экспертов со стороны.
2. CRAMM: программный продукт, разработанный в 1985 году по заданию правительства Великобритании и использующийся в качестве национального стандарта. В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа.
3. RiskWatch: методика американской компании и основанное на ней программное обеспечение, которое использует в качестве критериев оценки рисков ожидаемые годо-
вые потери и оценку возврата инвестиций (ROI). В результате получается точная количественная оценка соотношения потерь от угроз безопасности и затрат на создание системы защиты.
4. ГРИФ: разработанный продукт от российской компании DigitalSecurity использует алгоритм, анализирующий модель информационных потоков и оценивающий на основе этого анализа реальную защищенность информационной системы.
5. АвангардАнализ: методология, разработанная в Институте системного анализа РАН, которая предоставляет возможность построить структурную модель АИС и выявить с ее помощью неприемлемые риски, а также разработать систему защиты АИС.
У каждого из вышеперечисленных программных средств есть ряд существенных недостатков, которые могут ограничивать их применение в работе. Первое и самое главное: высокая сложность в использовании. Кроме этого, зачастую программное обеспечение существует только на английском языке (исключая ПО российского производства), а следовательно, могут возникать проблемы с отображением русского языка, помимо очевидной невозможности использовать его человеку, не владеющему этим языком. Также большинство продуктов охватывают только ИТ-активы, полностью игнорируя все остальные, не менее важные для обеспечения требуемого уровня информационной безопасности. Немаловажным является неполная совместимость с международными стандартами информационной безопасности, в которых прописаны требования к анализу и оценке рисков. И, наконец, стоимость некоторых из этих программных средств достаточно высока.
ИТ-сервис - это комплекс взаимодействующих ИТ-активов, цель которого состоит в производстве ценности для потребителя, определяемой полезностью, доступностью, мощностью, непрерывностью и безопасностью сервиса. Если говорить кратко, это совокупность активов [3].
Каждый ИТ-сервис имеет жизненный цикл, который согласно ITIL (библиотеке лучших руководств по управлению ИТ-сервисами) включает стадии стратегии, проектирования, внедрения, эксплуатации.
Лицу, принимающему решения (ЛИР), часто требуется классифицировать те или иные риски для облегчения процесса управления ими. Но до сих пор в литературе нет единой четкой классификации.
Ио мнению Батовой И.В. [4] в основу классификации в первую очередь должны быть положены такие факторы, как время, сфера, место, уровень возникновения рисков, степень определенности и опасности. В работе [5] указывается, что классификация рисков может быть проведена по двум принципам, внутри которых риски группируются по определенным признакам. Иервая классификация носит название предметной, поскольку риски классифицируются по внутреннему содержанию и разбиваются на группы, виды, разновидности и т.д. Второй принцип - разбиение по источнику и этапу возникновения, такая классификация называется управленческой, так как часто используется при выборе стратегии управления рисками.
В работе [6] приводится авторская классификация информационных рисков по следующим признакам:
1. Функциональные риски, которые определяются той или иной частью ИС предприятия, то есть риски сбора, обработки, представления информации и т.д.;
2. Структурные риски характеризуются структурой предприятия, к ним относятся риски бухгалтерского или управленческого учета, планирования, контроля и т.д.;
3. Временные риски, определяющиеся тем или иным этапом жизненного цикла проекта, то есть риски разработки, согласования, реализации, эксплуатации;
4. Риски влияния, которые обуславливаются человеческим фактором и подразделяются на случайные и вынужденные.
Для более качественного управления рисками ИТ-сервисов следует знать, на какой из стадий его жизненного цикла они чаще возникают. Знание этого поможет при
выборе защитных мер. Но классификации рисков, в основу которой положен принцип распределения рисков по стадиям и процессам жизненного цикла нигде в литературе, посвященной этим вопросам, не освещается, ее попросту не существует. На основе анализа работы крупного металлургического предприятия с привлечением месячных, квартальных и годовых отчетов, содержащих сведения о количестве реализованных ИТ-инцидентах, времени, затраченном на их устранение, а также с учетом мнений экспертов, в качестве которых выступали специалисты ИТ-службы этого предприятия, были определены те риски, которые возникают наиболее часто и на устранение которых затрачено больше всего времени. Далее было установлено, на какой стадии они возникают чаще, и в соответствии с этим была разработана классификация возможных рисков ИТ-сервисов в зависимости от стадии жизненного цикла [7]. Она приведена в таблице ниже.
Таблица
Классификация рисков по стадиям жизненного цикла ИТ-сервиса
Стадия Название риска Комментарий (причины)
Стратегия Риск, связанный с неправильной оценкой востребованности сервиса Требования к сервису изменились
Неверно определены активы, цели, планы, бюджет
Проектирование Риск, обусловленный неправильной оценкой активов Нехватка активов
Риск, связанный с несвоевременным запуском ИТ-сервиса Ненадежный поставщик оборудования
Риск нарушения сроков Неверно определены сроки и сложность работы, следовательно, срок внедрения затянут
Риск непринятия ИТ-сервиса заказчиком по причине изменения требований к сервису со стороны заказчика Изменения внешних условий, изменение ситуаций у заказчика
Внедрение Технический риск Программное/аппаратное обеспечение устарело
Риск полной или частичной потери ИТ-сервиса Форс-мажорные обстоятельства: пожар, наводнение, землетрясение, вирусные атаки
Эксплуатация Длительное время отсутствия доступа к ИТ-сервису Время восстановления работоспособности после сбоя больше ожидаемого
Риски, связанные с нарушением целостности, конфиденциальности и доступности данных Несанкционированный доступ
Риск, связанный с невыполнением соглашений между заказчиком и ИТ-провайдером Отсутствие поддержки со стороны провайдера
Риск полной или частичной потери ИТ-сервиса Форс-мажорные обстоятельства: пожар, наводнение, землетрясение, вирусные атаки
Несомненным достоинством данной классификации является ее универсальность и гибкость. В случае обнаружения новых видов рисков, которые возникают довольно часто и наносят существенный ущерб предприятию, их легко включить в соответствующую стадию. Кроме того, такая классификация поможет избежать двойного учета рисков, который неизбежно возникнет в случае использования других принципов разбиения, а значит и ненужных затрат.
Авторы считают, что в данной работе новыми являются следующие положения и результаты:
На основе анализа известных признаков распределения рисков предложена классификация рисков ИТ-сервисов в привязке к стадиям его жизненного цикла, что позволит точнее определить меры защиты от ущерба, который понесет предприятие в случае реализации любого из этих рисков.
Литература
1. Киселева Е.В. Анализ информационных рисков / Т.В. Киселева, Е.В. Маслова // Моделирование, программное обеспечение и наукоемкие технологии в металлургии: сборник трудов III Всероссийской научно-практической конференции. - Новокузнецк: изд. СибГИУ, 2011. С. 75-80.
2. Астахов А.М. Искусство управления информационными рисками / А.М. Астахов. - М.: ДМК Пресс, 2010. 312 с.
3. Киселева Т.В. Способ оценивания вероятности реализации рисков ИТ-сервиса при помощи методов нечеткой логики / Т.В. Киселева, Е.В. Маслова // Системные проблемы надежности, качества, информационно-телекоммуникационных и электронных технологий в инновационных проектах (Инноватика-2015): сборник трудов Международной конференции и Российской научной школы. - М., 2015. С. 42-44.
4. Батова И.В. Классификация рисков и причины их возникновения [Электронный ресурс] / И.В. Батова // Электронный научный журнал «Международный студенческий научный вестник». - 2015. № 1. - Режим доступа: https://www.eduherald.ru/pdf/2015/1/25.pdf (дата обращения: 09.09.2016).
5. Панягина А.Е. Подходы к пониманию и классификации рисков [Электронный ресурс] / А.Е. Панягина // Современная экономика: проблемы, тенденции, перспективы. 2012. № 6. - Режим доступа: http://www.mivlgu.ru/site_arch/educational_activities/ journal_ec/journal_arch/N6/panyagina.pdf (дата обращения: 09.09.2016).
6. Гасанов, Г.М. Основы классификации рисков информационного обеспечения бизнес-планирования деятельности промышленных предприятий / Г.М. Гасанов // ТДР. 2009. № 3. С. 151-153.
7. Киселева Т.В. Классификация рисков ИТ-сервисов и возможные способы защиты / Т.В. Киселева, Е.В. Маслова // Современные методы прикладной математики, теории управления и компьютерных технологий (ПМТУКТ-2015): сборник трудов VIII Международной конференции. - Воронеж: Научная книга, 2015. С. 180-182.
The distribution of IT service risks by life cycle stages based on the analysis of known classification methods
Kiseleva Tamara Vasilievna, Doctor of Technical Sciences, Professor, Department of Applied Information Technologies and Programming, FBBOU VO "SibGIU"
Maslova Elena Vladimirovna, Leading Programmer of the Information Department of the FCU "GBE of the Kemerovo Region" of the Ministry of Labor of Russia
The process of IT service risk management is reviewed, a review of known software tools for risk assessment was conducted to summarize the experience in this area, and a developed classification of possible IT service risks in relation to the stages of its life cycle is presented.
Keywords: information risk, management of risks, IT service, risk classification, risk assessment, risk analysis.
УДК 519.8
ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ НАЦИОНАЛЬНОЙ СИСТЕМЫ ИНФОРМАЦИОННОГО УПРАВЛЕНИЯ
Владимир Викторович Цыганов, д-р техн. наук, проф., глав. науч. сотр.
E-mail: bbc@ipu.ru Институт проблем управления им.В.А. Трапезникова РАН
www ipu.ru
Чтобы адаптироваться к новым вызовам и модернизировать систему национальной безопасности, России требуется национальная система информационного управления. В докладе описывается теоретический и методологический фундамент исследования и разработки этой системы на основе теории безопасности больших социально-экономических систем и теории информационного управления.
Ключевые слова: национальная безопасность, система, информация, управление
