МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКЕ М.В. Лекомцева, Н.А. Нестерова, В.А. Семенов Научный руководитель - доктор технических наук, профессор А.Г. Коробейников
В статье рассматривается метод анализа рисков в банке, предлагается способ их качественной оценки.
Введение
Риск - возможность возникновения у банка финансовых потерь (убытков), незапланированных расходов или снижения планируемых доходов, возникающий в результате недостатков в организации системы безопасности банка, используемых технологиях, функционировании информационных систем, неадекватных действий или ошибок сотрудников, а также в результате внешних событий.
Анализ рисков состоит в том, чтобы выявить существующие риски и предложить способ их оценки.
В самом широком смысле мера риска может рассматриваться в дальнейшем как описание видов неблагоприятных действий, воздействию которых может подвергнуться система или организация, и вероятностей того, что эти действия могут произойти. Результат этого процесса должен указать банку степень риска, связанного с определенными ценностями. Этот результат важен, потому что он является основой для дальнейшего выбора средств защиты и решений по минимизации риска.
Потенциальный нарушитель
Любое лицо, имеющее логический или физический доступ к информационным активам и компонентам соответствующих информационных технологий (программному обеспечению и данным, средствам вычислительной техники, коммуникационному оборудованию и каналам связи), может являться потенциальным злоумышленником. При этом предполагается возможность сговора сотрудника банка с внешним злоумышленником, но не сговор двух и более сотрудников банка.
Целью злоумышленника является получение контроля над информационным активом, приводящего к нарушению его доступности, целостности или конфиденциальности. Для достижения целей злоумышленник может использовать все экономически соизмеримые с потенциальным ущербом способы проведения атак на всех уровнях архитектуры информационных систем.
Идентификация рисков
Источниками угроз информационным активам банка являются: внешние и внутренние злоумышленники, ошибочные действия персонала банка, вирусные атаки, отказы и сбои оборудования и программного обеспечения, техногенные и природные катастрофы, террористические угрозы.
В зависимости от сферы возникновения источников угроз в банке существенными следующие являются следующие типы рисков. 1. Внутренние:
• риск бизнес-процессов (технологический риск) - риск неадекватности/неэффективности внутренних процессов и процедур, включая внедренче-
ский риск, бухгалтерский риск, риск неэффективности системы контроля за совершением операций и т.п.;
• риск автоматизации процессов - риск, связанный с использованием информационных технологий, неудовлетворительным состоянием автоматизированных систем банка (риск ошибок и сбоев в программном обеспечении, электронных технологиях и системах коммуникации и т.п.);
• риск персонала - риск ошибок, превышения установленных полномочий, операционных лимитов и ограничений, некорректного исполнения операций (нарушения действующих регламентов и процедур), недобросовестного исполнения сотрудниками своих служебных обязанностей, злоупотреблений и противоправных действий (хищений, несанкционированного доступа, утечки информации и т. п.) со стороны сотрудников, риск недостаточной квалификации персонала.
2. Внешние:
• риск противоправных действий, включая преступные посягательства (риск мошенничества- риск противоправных действий извне (хищения (кражи, ограбления, разбойные нападения, акты вандализма и т.п.), несанкционированное проникновение в электронные системы Банка), риск отрицательной репутации контрагентов;
• риск утраты или повреждения имущества Банка вследствие возникновения форс-мажорных обстоятельств.
3. Комбинированный:
• правовой риск - риск прямых или косвенных потерь вследствие правовых ошибок при осуществлении банковской деятельности из-за ошибочной интерпретации или нарушения законодательства и иных нормативных правовых актов; несоответствия им внутренних нормативных документов банка; нечеткого формулирования взаимных прав и обязанностей сторон в договорных отношениях; неверно составленной документации, в том числе при решении спорных вопросов в судебных органах; несовершенства законодательства; нарушения нормативных правовых актов и условий заключенных договоров контрагентами.
Расчет информационных рисков
Имеется большое количество способов измерения и представления риска. Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные подходы рассматривают только ограниченные компоненты. Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие как надежность, безопасность, производительность. Одним из наиболее важных аспектов меры риска является то, что представление должно быть понятным и логичным для тех, кто должен выбирать средства защиты и решать вопросы минимизации риска. Формула, используемая при расчете рисков, представляет собой произведение трех параметров.
1. Стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 - минимальная стоимость ресурса, 2 - средняя стоимость ресурса и 3 -максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе.
2. Мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе.
1 в терминологии Нового соглашения по оценке достаточности капитала Базельского комитета по банковскому надзору
Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 - минимальная мера уязвимости (слабое воздействие), 2 - средняя (ресурс подлежит восстановлению), 3 - максимальная (ресурс требует полной замены после реализации угрозы). 3. Оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года), и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
1. оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле: SLE = AV xEF;
2. итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле: ALE = SLE х ARO.
Четкой методики количественного расчета величин рисков предложить на данном этапе не представляется возможным. Это связано, в первую очередь, с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы в банке, так как данная информация конфиденциальна и для каждого конкретного банка сугубо индивидуальна [3].
Заключение
Оценка и прогнозирование уровня консолидированного (совокупного) риска банка должна осуществляется на основе использования статистической информации, объединенной в базу данных о фактах реализованных рисков. Банком должна проводиться работа по сбору и систематизации соответствующей информации, формированию базы данных для последующего анализа, оценки и прогнозированияю с использованием современных математических методов.
На первоначальном этапе одновременно с формированием базы данных должна производиться комплексная оценка, ранжирование по уровню потерь и определение степени значимости идентифицированных рисков банка.
Управление риском нацелено на максимально возможное его предотвращение и вследствие этого основано на применении качественных и количественных методов анализа. Необходимо всегда помнить, что состояние безопасности информации определяется отсутствием недопустимых рисков.
Литература
1. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (утвержден распоряжением Банка России от 18 ноября 2004 № Р-609).
2. ISO/IEC IS 17799-2000. Information Technology. Code of practice for information security management.
3. http://www.ot.ru/press20041106.html