Экономический анализ нормативно-технического обеспечения информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

Инновации и инвестиции

УДК 330.47

ЭКОНОМИЧЕСКИЙ АНАЛИЗ НОРМАТИВНО-ТЕХНИЧЕСКОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В. Ю. КАРПЫЧЕВ,

доктор технических наук, профессор, начальник филиала E-mail:kavy@uic. пшу. ги Приволжский филиал ГУ НПО «Специальная техника и связь» МВД России, г. Нижний Новгород

Рассмотрены подходы к обеспечению информационной безопасности, регламентированные современными отечественными и зарубежными нормативно-техническими документами. Особое внимание уделено экономическим аспектам обеспечения информационной безопасности, в частности методу, в основе которого лежит анализ риска. Приведен ряд методик управления риском.

Ключевые слова: инвестиции, анализ, информационная безопасность, риск, угроза, ущерб, уязвимость.

Сущность экономического анализа систем информационной безопасности

Доктрина информационной безопасности Российской Федерации рассматривает экономические методы обеспечения информационной безопасности в качестве приоритетных, в том числе «совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации» [5]. При этом инвестиции в разработку, построение и внедрение систем информационной безопасности1 — направле-

1 Система информационной безопасности — совокупность защитных мер, защитных средств и процессов их эксплуатации,

ние, заслуживающее отдельного исследования. Причиной тому выступает сущностное отличие инвестиций в проекты, связанные с созданием или модернизацией систем информационной безопасности. Инвестиции подобного рода не предполагают потока будущих денежных поступлений, возмещающих вложенные средства. Поэтому в контексте обеспечения информационной безопасности нельзя говорить о непосредственном возврате инвестиций.

Представляется, что экономическую сущность инвестиций в информационную безопасность можно представить следующими утверждениями:

- инвестиции имеют целью предотвращение (снижение) экономического ущерба организации, возможного в результате нарушения информационной безопасности (под нарушением информационной безопасности понимается нарушение конфиденциальности, целостности и доступности информации), а не получение дополнительных экономических выгод;

- инвестиции сами являются для организации специфическим экономическим ущербом;

включая ресурсное и административное (организационное) обеспечение.

- инвестиции экономически

Множество угроз Т

целесообразны, если их размер не превышает размера возможного ущерба.

Обеспечение информационной безопасности должно осуществляться экономически обоснованными средствами. Поэтому большинство современных методов оценки эффективности инвестиций в информационную безопасности используют сопоставление затрат, необходимых для обеспечения безопасности, и ущерба, который может быть причинен организации в случае ее нарушения.

Эти утверждения определяют основные направления инвестиционного анализа систем информационной безопасности, а именно:

- оценку ущерба в случае реализации угроз информационной безопасности;

- оценку затрат на обеспечение информационной безопасности;

- обоснование экономически эффективной системы информационной безопасности.

Однако решение этих актуальных задач ограничивается отсутствием единого и научно обоснованного подхода к формированию инвестиционной политики организаций в области обеспечения информационной безопасности.

Формализация задачи обеспечения информационной безопасности

Для исследования возможных подходов к инвестированию информационной безопасности используем известную формальную модель системы безопасности с полным перекрытием, в которой рассматривается взаимодействие «защищаемой области», «области угроз» и «средств обеспечения безопасности» [13]:

- Т = {¿;.}, /=1, N — множество угроз безопасности (угроза — действие, процесс или явление, создающие потенциальную или реально существующую опасность нарушения целостности, доступности, конфиденциальности информации);

- О = {о}, ]=1,3 — множество объектов безопасности (объект безопасности/защиты — информация или носитель информации, или информационный процесс, которые необходимо защищать);

- М = {тк}, к= 1,К — множество средств обеспечения безопасности.

Множество средств обеспечения безопасности М

Множество объектов О

Рис. 1. Модель безопасности с полным перекрытием

Элементы этих множеств находятся между собой в определенных отношениях, для описания которых обычно используется графовая модель. Множество отношений «угроза — объект» образует двухдольный граф < Т, О>. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора М; в результате получается трехдольный граф < Т, М, О> (рис. 1).

В защищенной системе все ребра модели представляются в виде <t¡, тк> и <тк, о>. Любое ребро <1,, о> определяет незащищенный объект (ребра о2> и <t, о4> на рис. 1).

В модели безопасности с полным перекрытием выполняется условие обеспечения полной защищенности: V е Т, 3 (тк) е М, означающее, что для каждой угрозы из множества угроз Т существует средство обеспечения безопасности тк из множества средств обеспечения безопасности М, перекрывающее путь реализации этой угрозы к объекту защиты о.

Развитие модели предполагает включение набора уязвимостей2 и набора барьеров, представля-

2 Понятие «уязвимость» имеет множество, в том числе нормативно закрепленных определений, например «свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации» (ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»). Вообще говоря, уязвимость — интегральный показатель, поскольку характеризует не только уязвимость объектов (активов), но и уязвимость системы безопасности, инфраструктуры и др. Далее понятие «уязвимость» используется именно в этом смысле.

Множество средств обеспечения безопасности М

Рис. 2. Модель системы безопасности с полным перекрытием учитывающая уязвимость и барьеры

ющих собой пути реализации угроз безопасности, перекрытые средствами безопасности.

Эта модель может быть представлена пяти-кортежным графом S = {О, Т, М, V, В} (рис. 2), где О — набор объектов безопасности; Т — набор угроз; М — набор средств безопасности; V= ТО = =

о>, г= 1,Я} — набор уязвимостей, представляющих собой пути реализации угроз; В = V М = = Т О V= {Ь1 = oJ. т>, 1=1,Ь } — набор барьеров, представляющих собой точки, в которых требуется осуществлять защиту [13].

Для данной модели условие полного перекрытия записывается в виде зависимости: V е V, 3 (Ь1 = <1,, о. т>) е В. Это условие означает, что для каждой уязвимости vr из множества уязвимостей V средством безопасности тк из множества средств безопасности М создается барьер Ь1 из множества барьеров В, устраняющий эту уязвимость.

При этом нетрудно видеть, что данная модель, корректная с формальной точки зрения, имеет существенные ограничения для ее практического применения, из которых отметим следующие:

- трудности идентификации полных множеств угроз и уязвимостей для конкретной организации и конкретных условий деятельности. Очевидно, что естественным требованием к идентификации является ее полнота. Сложность задачи идентификации зависит от требований, предъявляемых к ее детализации. От полноты описания этих множеств зависит адекватность результатов анализа обеспечения информационной безопасности;

- отсутствие механизма количественной

Множество Множество оценки уровня защищенности

уязвимостей V объектов о объектов безопасности, в том чис-

ле невозможность учета изменения защищенности при изменении структуры средств безопасности, например введении дополнительных средств безопасности;

- абстрактность — отсутствие ассоциации с конкретной организацией и, соответственно, учета среды безопасности, структуры организации и вида обрабатываемой информации;

- несоответствие действующим отечественным нормативно-методическим документам в области информационной безопасности;

- невозможность анализа инвестиций в обеспечение безопасности и соотношения затрат на обеспечение безопасности и получаемого результата.

Для преодоления отмеченных трудностей в мировой практике используются два нормативно закрепленных подхода: классификационный и основанный на анализе риска.

Классификационный подход к обеспечению информационной безопасности

Исторически в нашей стране сложилась система взглядов на обеспечение информационной безопасности (включая экономическую составляющую), не ассоциированная с моделью с полным перекрытием, и в том числе не оперирующая категориями угроз, уязвимостей и их взаимосвязей.

В частности, в Советском Союзе обеспечение информационной безопасности осуществлялось в основном в отношении государственной и так называемой служебной тайн. При этом защищенность информационных систем должна была соответствовать нормативно установленным требованиям в области обеспечения информационной безопасности. Это неформальный классификационный подход к обеспечению информационной безопасности, в котором используют категориро-вание:

- нарушителей (по целям, квалификации, доступным вычислительным ресурсам);

- информации (по уровням критичности и ограничению доступа);

- средств обеспечения безопасности (по

угроз Т

/©

©1 ty

о; 1 I ©

©^ \ / 4—/

функциональности и гарантированное™ реализуемых возможностей) и т. п. [2].

Сущность классификационного подхода на примере классификации автоматизированных систем в соответствии с Руководящим документом Гостехкомиссии России (ныне — Федеральная служба по техническому и экспортному контролю) поясняет рис. 3 [9].

В этом документе приведена методика, устанавливающая девять классов защищенности автоматизированных систем от несанкционированного доступа к информации, объединенных в три группы в соответствии с особенностями обработки информации в группе. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности автоматизированных систем. Каждому классу поставлен в соответствие набор обязательных организационно-технических средств обеспечения безопасности.

При таком подходе функциональным критерием обеспечения информационной безопасности является выполнение заданного набора требований (гарантированной защиты), а критерием экономической эффективности — минимальные суммарные затраты на их выполнение: min,

где Ск — затраты на k-е средство безопасности.

Классификационный подход обладает следующими достоинствами:

- обеспечивает в соответствующем классе одинаковый уровень безопасности объектов для различных организаций на основе универсальности и возможности реализации типовых организационно-технических решений;

- отвечает требованиям доступности и массового применения для однотипных по виду предметной деятельности и структуре организаций.

Но при этом данный подход не свободен от серьезных недостатков:

- не определяет с функциональной точки зрения точных значений показателей защищенности, хотя и позволяет классифицировать информационные системы по уровню безопасности и сравнивать их между собой;

Множество

безопасности М

Множество барьеров В Множество уязвимостей V

/ \ ©>\

© \ ; © 1

(^ :

Классы автоматизированных систем

Множество объектов О

Рис. 3. Классификационный подход к обеспечению информационной безопасности

- не отвечает требованию экономической эффективности.

Еще один недостаток данного подхода заключается в том, что в случае, когда требуемый уровень безопасности жестко не задан (например, через стандарты), сложно определить наиболее эффективный уровень безопасности информационной системы.

Это замечание актуально для таких видов сведений с ограниченным доступом, как коммерческая тайна, ноу-хау, персональные данные, профессиональные тайны и др., которые в настоящее время приобрели значимость (прежде всего экономическую) и правовой статус. Однако в силу наличия многочисленных ограничений, а также организационных, правовых, экономических и др. особенностей субъектов этих сведений упомянутые типовые решения и подходы к защите государственной тайны не могут быть непосредственно применены для их защиты. В частности, это определяется динамикой рынка и обусловлено тем, что структура и функциональные связи любой негосударственной организации постоянно развиваются и практически никогда полностью не повторяются.

Подход к обеспечению информационной безопасности на основе анализа риска

Приведенные ограничения классификационного подхода объективно предполагают актуализацию иных подходов к обеспечению информаци-

онной безопасности, в том числе базирующихся на очевидной идее соразмерности защиты масштабам угроз [3]. Основная трудность реализации этой идеи заключается в определении степени соразмерности, т. е. в формировании набора количественно измеримых характеристик безопасности и методов нахождения их оптимальных значений по заданным критериям.

Отечественные3 и действующие в России международные стандарты4 в качестве альтернативы классификационному подходу к обеспечению информационной безопасности рассматривают методологию оценки и управления информационными рисками, в рамках которой производится исследование угроз информационной безопасности, степени защищенности информационных систем, разработка и анализ эффективности систем информационной безопасности.

Подход к обеспечению информационной безопасности на основе анализа риска предполагает использование нескольких дополнительных понятий.

Информационные активы. Будем интерпретировать объект информационной безопасности о.е О в экономических терминах, а именно: рассматривать его как актив, который организация использует для достижения целей предметной деятельности.

В общем случае активами является все, что имеет ценность для организации5. Любой актив обладает некоторой ценностью, генерирует доход или сохраняет ресурсы и именно поэтому подлежит защите. Ценность актива определяется его важностью для предметной деятельности организации.

С учетом изложенного под информационным активом можно понимать любой актив, связанный с информационным обеспечением организации, имеющий ценность и подлежащий защите.

Широкий перечень информационных активов приводится в ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и

3 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

4 ГОСТ Р ИСО/МЭК 13335; ГОСТ Р ИСО/МЭК 15408; ГОСТ Р ИСО/МЭК 17779-2005 «Информационная технология. Практические правила управления информационной безопасностью»; ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

5 ГОСТ Р 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

модели менеджмента безопасности информационных и телекоммуникационных технологий», ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»:

- собственно информационные активы (базы и файлы данных, системная документация, научно-исследовательская информация);

- системное и прикладное программное обеспечение;

- материальные активы (вычислительные средства, средства телекоммуникаций и др.);

- программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);

- персонал организации, его квалификация и опыт;

- нематериальные ресурсы (репутация и имидж компании).

Информационные активы каждой организации достаточно уникальны, поэтому в общем случае они являются одним из факторов, определяющих уникальность каждой организации в части обеспечения информационной безопасности.

Ущерб активу. В случае реализации угрозы в отношении некоторого информационного актива можно говорить об ущербе этому активу, под которым руководители организаций традиционно понимают материальные потери (материальный ущерб), оцениваемые в количественном или стоимостном исчислении.

Однако в настоящее время при экономическом анализе принято учитывать также нематериальный ущерб, т. е. ущерб, нанесенный гудвиллу организации: имиджу, репутации, конкурентным преимуществам и т. п.

В современной микроэкономике именно нематериальный ущерб начинает оказывать существенное влияние на состояние экономической безопасности организаций, поскольку рыночная стоимость эффективно работающих организаций существенно превышает их балансовую стоимость.

Для государственных организаций следует рассматривать иные составляющие нематериального ущерба: например для МВД России — нарушение общественного порядка, для органов исполнительной власти — нанесение вреда окружающей среде и т. п.

q_

Тогда вероятность нанесения ущерба и. при реализации угрозы ti может быть определена по следующей формуле: p. = ptp, гдеp. — вероятность ущерба, p. — вероятность актуализации угрозы, p. — вероятность использования уязвимости v.

Риск в этом случае определяется по следующей формуле:

ГУ = Pt Pr Uij. (2)

Такой подход соответствует стандарту США NIST SP 800-30 (National Institute of Standards and Technology. Spécial Publication 800-30. Risk Management Guide for Information Technology Systems) : Risk = R[P ( T, V), I], где риск R — функция вероятности P реализации отдельным источником угрозы T отдельной потенциальной уязвимости V и результирующего влияния I этого враждебного события на организацию или индивида.

Выражение (2) характеризует так называемый остаточный риск, т. е. риск, остающийся после осуществления мер по его модификации (снижению). Остаточный риск, по сути, является мерой незащищенности актива (информационной системы).

В работе [2] остаточный риск применяется в качестве показателя стойкости барьера b¡ = < t,, o. mk>, созданного средством безопасности mk для защи-вероятность осуществления q-го сценария, а ты объекта o¡ от реализации угрозы безопасности

Таким образом, ущерб имеет физический смысл и может быть как размерной, так и безразмерной величиной в зависимости от его характера.

Риск нарушения информационной безопасности

По своей природе актуализация (возникновение) любой угрозы, например, является случайным событием, которое характеризуется вероятностью актуализации (возникновения) р.. Поэтому нанесение ущерба информационному активу о. в результате актуализации угрозы т. е. реализации угрозы, также является случайным событием, существенными характеристиками которого являются величина и. и вероятность р.. ущерба. Для организации, имеющей незащищенные активы, вероятность ущерба равна вероятности актуализации угрозы р. = р...

Углубленный анализ понятия «ущерб» предполагает интегральный учет последствий ряда возможных сценариев развития событий, обусловленных реализацией угрозы I .. Сценарии образуют множество S = {я9}, каждому элементу которого ставится в соответствие двойка <р3, и.9>, где

и,.

q_

характеристика ущерба, причиняемого активу о.угрозой в результате реализации сценария я9. В работе [1] показано, что возможна свертка частных ущербов и.9 в результирующее значение и..

Как известно, деятельность, которая сопровождается вероятным появлением ущерба организации, считается рисковой, а риском в данном контексте является мера, учитывающая вероятность реализации угрозы и величину ущерба (потерь) от ее реализации.

t: Riskj = pt ujj (1 — dk), где pj — вероятность актуализации угрозы t,, для противодействия реализации которой создано средство безопасности mk; Uy—величина ущерба защищаемого актива при реализации угрозы t ; dk — степень стойкости средства безопасности mk, характеризующаяся вероятностью его преодоления.

Через остаточный риск в работе [2] определяется также показатель защищенности информацион-

Для незащищенного актива о.риск нанесения ной системы: W= 1 / ^ р 1 и. (1 — dk). Знаменатель

ущерба и. в результате реализации угрозы принято представлять следующим выражением:

г.. = р..х и.. = р.х и... (1)

У 1 У У 1 . У у '

Тогда обобщенный риск по всему множеству угроз Т в отношении множества активов О будет

*=и *.

' }

В модели безопасности, содержащей фактор уязвимости активов (рис. 2), риск должен учитывать вероятность ее использования р. Поэтому в качестве характеристик системы безопасности в модели должны учитываться не только вероятность актуализации угроз и величина ущерба активу при ее реализации, но и вероятность использования уязвимости.

к=1

этого выражения определяет суммарную величину остаточных рисков, связанных с возможностью осуществления угроз безопасности Т в отношении объектов О при использовании средств безопасности М. Суммарная величина остаточных рисков характеризует общую уязвимость системы безопасности, а защищенность информационной системы определяется как величина, обратная уязвимости.

Интерпретация моделей обеспечения информационной безопасности

Модель безопасности по ГОСТ Р ИСО/МЭК 13335-1-2006. Модель безопасности с полным перекрытием и описываемая пятиэлементным кортежем

в ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» дополнена еще несколькими компонентами и включает:

- окружающую среду, содержащую ограничения и угрозы;

- активы организации;

- уязвимости, присущие активам;

- средства защиты активов;

- приемлемые для организации остаточные риски.

Семантика этой модели представлена на рис. 4.

Модель безопасности интегрирует пять возможных вариантов взаимосвязи компонентов безопасности (рис. 4):

- средство безопасности Сможет быть эффективным для снижения рисков Я, связанных с угрозой Т, способной использовать уязвимость актива V Угроза может быть реализована только при уязвимости активов для данной угрозы (1-й вариант);

- средство безопасности может быть эффективным для снижения риска, связанного с угрозой, использующей группу уязвимостей актива (2-й вариант);

- группа средств безопасности может быть эффективной для снижения рисков, связанных с

Рис. 4. Модель обеспечения информационной безопасности по ГОСТ Р ИСО/МЭК 13335-1-2006: 1—5 — возможные варианты взаимосвязи компонентов безопасности;

Т — окружающая среда, содержащая ограничения и угрозы; ЯЯ — приемлемые для организации остаточные риски; М — средства защиты активов; V — уязвимости, присущие активам

группой угроз, использующих уязвимость актива. Иногда требуется несколько средств безопасности для снижения риска до приемлемого уровня — допустимого остаточного риска ЯЯ (3-й вариант);

- риск считают приемлемым, и никакие средства не применяются, в том числе при наличии угроз и уязвимостей актива (4-й вариант);

- существует уязвимость актива, но неизвестны угрозы, которые могли бы ее использовать (5-й вариант).

Очевидно, что 4-й и 5-й варианты модели не имеют практической значимости при обеспечении информационной безопасности.

В вариантах 1—3 применение средств безопасности не исключает остаточных рисков, поскольку информационная система не может быть абсолютно безопасной. Допустимость остаточных рисков (приемлемые или неприемлемые) должна быть оценена с точки зрения возможных неблагоприятных последствий для предметной деятельности, обусловленных этими рисками, а также имеющихся ограничений (например, инвестиций или возможности обработки рисков).

При неприемлемости остаточных рисков должны быть приняты дополнительные и, возможно, дорогостоящие меры защиты для снижения рисков до приемлемого уровня. В этом случае компромисс между необходимостью и достаточностью может быть достигнут в рамках концепции экономически оптимальной системы информационной безопасности.

Модель безопасности по ГОСТРИСО/ МЭК 15408-2002. Введенные высокоуровневые понятия в области информационной безопасности и их взаимосвязи объединены моделью, приведенной в ГОСТ Р ИСО/МЭК 15408-2002 «Общие критерии оценки безопасности информационных технологий» (рис. 5).

Обеспечение информационной безопасности заключается в защите активов от угроз (рис. 5). Активы имеют ценность для владельцев, которые обеспечивают безопасность активов. Нарушители также могут, во-первых, придавать значение этим активам и, во-вторых, стремиться нарушить их безопасность.

Владельцы могут рассматривать угрозы с точки зрения понижения ценности активов и, соответственно, анализировать эти угрозы. В результате анализа определяются риски и набор возможных

Рис. 5. Понятия безопасности и их взаимосвязь в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 (процессный подход)

средств безопасности от угроз (снижения рисков до приемлемого уровня).

Однако после принятия контрмер могут сохраняться остаточные уязвимости, которые могут использоваться нарушителями, сохраняя остаточный риск для активов. Владельцы будут пытаться минимизировать этот риск, задавая дополнительные ограничения.

Оптимизация инвестиций в информационную безопасность

Из формулы (2) следуют возможные направления повышения состояния информационной безопасности, а именно: уменьшение вероятности реализации угроз (при р^ 0 безопасность абсолютна) и размера возможного ущерба Uj.

Целенаправленный процесс снижения риска до уровня, приемлемого для конкретной организации, является процессом управления риском. При этом комплекс мероприятий, реализующих этот процесс, невозможен без определенных инвестиций в обеспечение информационной безопасности, диапазон которых ограничен двумя частными предельными решениями.

Первое решение — отказаться от инвестиций в информационную безопасность, т. е. отказаться от использования каких-либо средств безопасности

Mи допустить тем самым максимальный риск активу O в случае реализации угроз T.

Второе решение — максимизировать инвестиции в информационную безопасность, ограниченные только платежеспособностью организации, комплексно реализовав возможности всех средств безопасности, т. е. максимизировать защищенность активов (W ^ max). Однако комплексные решения имеют очень высокую стоимость. В таких случаях основной ущерб может быть связан уже не с потерями от нарушения информационной безопасности U = u, а с чрезмерно высокой стоимостью системы безопасности (избыточно защищенные активы).

Такой качественный анализ позволяет предполагать, что в инвестиционном диапазоне существует множество промежуточных решений, одно из которых предполагает оптимальное значение инвестиций в обеспечение информационной безопасности, а именно: минимизирует общий ущерб при нарушениях информационной безопасности. Поэтому задача оптимизации инвестиций в безопасность с экономических позиций может рассматриваться именно в этом смысле.

Взаимосвязь между ущербом от нарушения ин -формационной безопасности, затратами на ее обеспечение, общим ущербом и уровнем защищенности информационной системы организации обычно имеет вид функции, приведенной на рис. 6 [4].

Из приведенных зависимостей следует, что применение даже недорогих средств безопасности резко снижает общий ущерб. Таким образом, относительно небольшие инвестиции в обеспечение информационной безопасности очень эффективны. При некотором их значении общий ущерб имеет наименьшее значение, которое можно считать оптимальным.

Рост инвестиций в обеспечение информационной безопасности сверх оптимального значения ведет к увеличению общего ущерба. В этом случае снижение ущерба от нарушения информационной безопасности и соответствующее повышение защищенности активов нивелируются чрезмерно высокой стоимостью самой системы инфор-

Рис. 6. Зависимости затрат от уровня обеспечения информационной безопасности

PtiOK

Уровень наименьших потерь

ти определяется не только абсолютным размером ущерба, но и вероятностями актуализации угроз p., использования уяз-вимостей p, осуществления q-го сценария реализации угроз pq, т. е. риском. Поэтому в другом частном случае инвестиции могут быть направлены на снижение (в любом сочетании) перечисленных вероятностей при сохранении неизменным значения возможного ущерба Uj = const.

Исходя из изложенных аргументов, более корректной представляется зависимость уровня риска от стоимости системы информационной безопасности [3], в которой в качестве меры риска понимается ожидаемый суммарный ущерб.

Типовая зависимость уровня риска от инвестиций в информационную безопасность, полученная при условии умень-

шения вероятности нанесения ущерба pj и ущерба üj в результате реализации ком-

j

Оптимальное значение

Стоимость СЗИ

Рис. 7. Зависимость уровня риска от стоимости системы информационной безопасности

мационной безопасности. Поэтому наилучшей стратегией, видимо, является создание системы информационной безопасности, обеспечивающей минимум общего ущерба. При этом экономически оптимальное решение не является самым безопасным. Более того, вероятность ущерба от нарушения информационной безопасности может существенно превышать минимально возможные значения. Поэтому при наличии требования обеспечения гарантированной защищенности концепция экономически оптимальной системы информационной безопасности неприменима.

На практике нахождение оптимального значения общего ущерба представляется труднореализуемым. Речь в этом случае, видимо, может идти о некоторой зоне допустимых значений общего ущерба.

Широко тиражируемые в современных работах по экономике информационной безопасности зависимости, представленные на рис. 6, по мнению автора, отражают лишь частный случай инвестирования в информационную безопасность, результатом которого является снижение именно уровня ущерба информационным активам (min ^ и).

Однако, как было отмечено ранее, в общем случае состояние информационной безопаснос-

плекса соответствующих мероприятий, представлена на рис. 7.

Основные стратегии обеспечения информационной безопасности

Исследования показали, что в общем случае постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Для конкретной организации отношение к обеспечению информационной безопасности определяется ценностью ее информационных активов (экономический фактор) и степенью ее организационной зрелости (организационный фактор). Рассмотрим механизм влияния данных факторов на выбор стратегии обеспечения информационной безопасности.

С экономической точки зрения для организаций важны все виды активов. Однако любая организация обладает критически важными активами, которые используются для генерации основного потока доходов или выполнения целевых функций, и при нанесении ущерба которым время и стоимость их восстановления превышают допустимые значения. Именно на этих активах в первую очередь сосредоточено внимание руководства организаций, в том числе и в части обеспечения информационной безопасности.

Реализация угроз в отношении иных, менее важных (в том числе информационных), активов обычно приводит к восполнимому ущербу. По-

этому их безопасность, как правило, не входит в перечень приоритетных проблем для руководства организаций.

Таким образом, обеспечение информационной безопасности актуально не для всех организаций, и это обусловливает существование нескольких подходов к решению задачи обеспечения информационной безопасности. Так, ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» предлагает четыре подхода к обеспечению безопасности, отличающихся глубиной и уровнем формализма анализа риска:

- базовый подход (базовый уровень безопасности) для всех активов, независимо от уровня их риска;

- неформальный подход, предусматривающий обеспечение безопасности экспертно определенных активов, которые подвергаются наибольшему риску;

- формальный подход, основанный на детальном анализе риска всех активов;

- комбинированный подход, включающий две стадии — выявление активов с высоким уровнем риска и/или имеющих критическое значение для предметной деятельности, а также детальный анализ риска для выявленных активов и применение базового подхода для остальных активов.

Базовый подход к обеспечению информационной безопасности характерен для организаций, имеющих относительно низкий уровень информатизации и, соответственно, малоценные информационные активы, которые практически не влияют на критические бизнес-процессы. При нанесении ущерба этим активам на их восстановление не требуются больших затрат времени и средств. Поэтому таким организациям достаточно некоторого базового уровня информационной безопасности, определяемого:

- существующими нормативами и стандартами (например, методиками Федеральной службы по техническому и экспортному контролю, устанавливающими требования безопасности к системам, обрабатывающим персональные данные четвертой категории);

- лучшими практиками (best practice) и опытом (например, стоимость системы информационной безопасности должна составлять 10—20 % от стоимости корпоративной информационной системы, в зависимости от конкретных требований к режиму информационной безопасности. Данные

получены на основе практического опыта [7]).

Обеспечение информационной безопасности на основе базового подхода состоит в подборе минимального (стандартного) набора средств безопасности для всех или отдельных активов. При этом отсутствует необходимость в проведении оценки угроз, рисков и уязвимости активов.

Перечни (каталоги) могут содержать описание рекомендуемых средств безопасности и рекомендации по их применению. В частности, такие справочные материалы размещены в приложениях А — Н ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер». Кроме того, в некоторых случаях базовые решения можно заимствовать у организаций со схожими условиями предметной деятельности.

Использование базового подхода позволяет:

- минимизировать (исключить) затраты (в том числе временные) на проведение анализа и контроля за информационными рисками;

- повысить эффективность обеспечения информационной безопасности в структурно однородных информационных системах, функционирующих в близких условиях за счет унификации использования базовых средств безопасности.

В этом заключаются достоинства подхода.

В то же время базовый подход не исключает возможности завышения или занижения базового уровня обеспечения информационной безопасности по сравнению с реальными потребностями организации. В этом видится недостаток подхода.

Неформальный подход. В организациях, в которых информационные активы не являются основными, но уровень информатизации очень высок, наличие проблем в области информационной безопасности может существенно влиять на критически важные бизнес-процессы. Поэтому целесообразно применять оценку информационных рисков, но ограничиться неформальными подходами к решению этой задачи.

Неформальный анализ риска основан на знаниях и практическом опыте специалистов (экспертов). Этот подход требует меньших затрат средств или времени на анализ риска по сравнению с детальным подходом. В этом его достоинство. Однако он также имеет ряд недостатков:

- результаты анализа носят субъективный характер;

- не исключены трудности обоснования перед руководством защитных мер, предлагаемых экспертом;

- не исключена зависимость организации от возможности эксперта продолжать выполнение соответствующих функций.

Приведенные недостатки неформального подхода к анализу риска ограничивают его применение для многих организаций.

Формальный подход. При высокой ценности информационных активов информационные риски являются основными. Поэтому организациям для их оценки целесообразно проводить детальный анализ риска, в основе которого лежат количественные методы оценки.

Детальный анализ риска предполагает подробную идентификацию всех рисков и оценку их уровня на основе идентификации и оценки активов, угроз активам и их уязвимостей. Результаты детального анализа риска позволяют проводить выбор обоснованных мероприятий по обеспечению информационной безопасности как части процесса управления риском.

Формальный подход позволяет:

- определить для каждого актива адекватные угрозам средства обеспечения информационной безопасности;

- использовать результаты детального анали -за при управлении изменениями в системе обеспечения информационной безопасности.

В этом достоинства подхода.

При этом реализация формального подхода требует значительных материальных и временных затрат, а также квалифицированного труда. Поэтому использование детального анализа риска не может быть рекомендовано для всех организаций.

Комбинированный подход. В соответствии с комбинированным подходом для конкретной предметной деятельности экспертно определяют активы, имеющие высокую значимость для предметной деятельности и/или высокий риск. Принятие ре-

шения по каждому активу проводится на основе следующих данных:

- цели предметной деятельности, для достижения которых используется актив;

- степень зависимости критически важных функций организации от актива, в том числе от обеспечения конфиденциальности, целостности, доступности информации;

- стоимость актива, включая затраты на его разработку, обслуживание или замену.

Для активов, оцениваемых как критически важные или высокорисковые, проводят детальный анализ риска. Для остальных активов достаточно использования базового подхода.

Комбинированный вариант сочетает достоинства базового и детального подходов, позволяет минимизировать затраты времени и усилий на идентификацию защитных мероприятий, обеспечить требуемую безопасность активов с высоким уровнем риска.

Недостатком данного варианта подхода является возможность ошибочного отнесения некоторых активов к активам, не требующим проведения детального анализа риска.

Организационные аспекты выбора стратегии анализарисков. Выбор стратегии обеспечения информационной безопасности организации зависит также от уровня ее организационной зрелости, которому, как правило, соответствует соответствующее понимание проблем информационной безопасности. В международной и отечественной практике известны модели зрелости (maturity model) организаций в области информационной безопасности, предлагаемые консалтинговыми компаниями (Gartner Group), корпорацией Microsoft, стандартом Банка России СТО БР ИББС-1.0-2010 [11] (модель основана на стандарте CoBIT) и др. В качестве примера приведем пятиуровневый подход [7] (табл. 1).

Таблица 1

Уровни зрелости организации в области обеспечения информационной безопасности

Уровень зрелости Характеристика организации в области информационной безопасности

1 Руководство не видит необходимости обеспечения информационной безопасности и как следствие: - политика в области информационной безопасности не формализована; - обеспечением информационной безопасности сотрудники могут заниматься инициативно в соответствии со своим пониманием задач

2 Руководство имеет определенное понимание необходимости обеспечения информационной безопасности, однако не ставит задач формализации обеспечения информационной безопасности. Существуют стихийно сложившиеся процедуры обеспечения информационной безопасности, их полнота и эффективность не анализируются. Процедуры не документированы и полностью зависят от отношения к информационной безопасности конкретных сотрудников

Окончание табл. 1

Уровень зрелости Характеристика организации в области информационной безопасности

3 Руководство осознает необходимость: - обеспечения в той или иной мере базового уровня информационной безопасности в соответствии со стандартами; - соответствующего оформления документации; - управления режимом информационной безопасности на всех стадиях жизненного цикла 1Т В организации имеется документация (возможно неполная). На третьем уровне реализуются базовый или неформальный подходы к анализу риска (ГОСТ Р ИСО/МЭК

4 Руководство осознает значение обеспечения информационной безопасности и как следствие: - актуализирует измерение параметров, характеризующих режим информационной безопасности, в том числе угроз и уязвимостей, потенциального ущерба; - принимает ответственность за выбор определенных величин остаточных рисков. Имеется полный комплект документов, необходимых для обеспечения информационной безопасности и оформленных в соответствии с каким-либо стандартом. Действующие инструкции соблюдаются. Регулярно проводится внутренний и, возможно, внешний аудит информационной безопасности. На четвертом уровне реализуются детальный или комбинированный подходы к анализу риска (ГОСТ Р ИСО/МЭК ТО 13335-3-2007)

5 Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизационные задачи обеспечения информационной безопасности

Анализ распределения организаций по уровням зрелости показывает, что в зарубежных странах более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в какой-либо стратегии управления информационными рисками. Около 40 % организаций соответствуют третьему уровню зрелости и не более 7 % организаций используют разнообразные углубленные методики анализа рисков (т. е. соответствуют 4—5-му уровням зрелости) [10].

В России рассмотренное распределение имеет еще большее смещение в сторону организаций 1—2-го уровней. Пользователями количественных методик анализа рисков являются в основном финансовые организации, для которых информационные ресурсы представляют большую ценность. В частности, Банк России принял серию ведомственных стандартов в области информационной безопасности, один из которых приводит методику оценки рисков нарушения информационной безопасности [8].

Детальный анализ рисков

Детальный анализ риска включает идентификацию и оценку факторов риска: активов (ущерба), угроз, уязвимостей, существующих и планируемых мероприятий по обеспечению информационной безопасности, а также оценку рисков на основе полученных результатов.

Данные для идентификации и оценки факторов риска можно получать от владельцев или пользователей активов, персонала отдела кадров, службы

информационной безопасности, 1Т-специалистов и др. Кроме того, возможно также использование источников, содержащих специальные справочные сведения.

Идентификация активов, угроз и уязвимостей в любой организации не является тривиальной задачей. Трудности обусловлены уникальностью организаций в части предметной деятельности, структуры, значимости информационных технологий, корпоративной культуры и др. Тем не менее существуют общие рекомендации, которые приводятся в нормативных документах, специальной литературе и других источниках.

Оценка активов. В некоторых случаях ценность информационного актива может быть определена количественно, например в стоимостном исчислении. Однако наиболее характерный вариант — качественная (экспертная) оценка ценности актива, например низкая, средняя, высокая. Или более детально: очень низкая, низкая, средняя, высокая, очень высокая. Обычно число уровней оценки находится в диапазоне от трех до десяти.

Для определения ценности активов могут быть использованы критерии: значимость актива для предметной деятельности (в том числе первоначальная стоимость актива), стоимость его обновления или воссоздания. Пример такой оценки приведен в табл. 2.

Кроме того, ценность актива может быть определена на основе оценки затрат, которые возможны в случае нарушения информационной

Таблица 2

Оценка ценности актива в зависимости от характеристик предметной деятельности

Ценность актива Семантическая характеристика ценности актива

Малоценный От актива не зависят критически важные задачи. При нанесении ущерба активу на его восстановление не требуются больших затрат времени и средств

Средний От актива зависит ряд важных задач. При нанесении ущерба активу время и стоимость его восстановления не превышают критически допустимых значений

Ценный От актива зависят критически важные задачи. При нанесении ущерба активу время и стоимость его восстановления превышают критически допустимые значения

безопасности (конфиденциальности, целостности или доступности информации).

Предлагаемый подход к оценке ценности информационных активов применим практически для любой предметной деятельности. Это следует из ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий», в соответствии с которым негативными результатами нарушения информационной безопасности могут быть:

- нарушение предметной деятельности;

- снижение эффективности предметной деятельности;

- нарушение общественного порядка;

- негативные последствия для деятельности правоохранительных органов;

- финансовый ущерб;

- возникновение угрозы личной безопасности;

- возникновение угрозы окружающей среде;

- нарушение конфиденциальности персональных данных, бизнес-информации и др.

Для оценки активов должны быть выбраны критерии, соответствующие предметной деятельности и установленным требованиям по обеспечению безопасности. Поэтому для конкретной организации некоторые из приведенных критериев оценки могут быть неприемлемы, но при этом могут существовать иные критерии.

Результатом данного этапа является перечень активов и их оценка, учитывающая конфиденциальность, целостность, доступность и стоимость восстановления (замены) активов.

Оценка ущерба. С экономической точки зрения ущерб активам удобно представлять в терминах финансовых потерь (в рублях, долларах). Однако на практике получение точных количественных значений ущерба часто затруднено или вообще невозможно, например в случае ущерба, возникающего в результате несанкционированного доступа к информации политического и военного характера. Кроме того, при количественной оценке, как правило, игнорируются иные отрицательные

результаты, которые обязательно присутствуют при реализации какой-либо угрозы. Поэтому более корректно выделение не только материального, но и нематериального ущерба.

Расчет нематериального ущерба обычно очень сложен, поскольку нематериальные потери оцениваются субъективными (качественными) показателями. Тем не менее большинство не поддающихся количественному описанию потерь можно представить в численном виде путем использования:

- эмпирической шкалы уровня ущерба, например от одного до десяти;

- заранее оговоренных уровней (лингвистическая переменная): высокий, средний, низкий.

Может быть введен качественный показатель величины ущерба и для него определяются лингвистические и тождественные им балльные значения (табл. 3).

При наличии стоимостных количественных значений также возможен их перевод в лингвистические или балльные оценки.

Оценка угроз. Оценка угроз заключается в оценке вероятности их актуализации. При этом целесообразно учитывать:

- частоту появления угрозы при наличии статистических данных;

- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю (имеющиеся в распоряжении);

- степень привлекательности и уязвимости активов с точки зрения потенциального нарушителя и источника умышленной угрозы и др.

На практике получение точных количественных значений вероятностей актуализации угроз затруднено, поскольку, как правило, не может основываться на статистическом анализе. По этим причинам для множества угроз количественные значения вероятности (так же, как и ущерба) задаются, как правило, путем прямого экспертного оценивания, т. е. в данном контексте под вероятностью понимается мера уверенности человека или группы экспертов в том, что какое-либо событие произойдет в действительности.

Таблица 3

Оценка величины ущерба активам и его семантическая характеристика [12]

Ущерб Показатель величины ущерба, баллы Семантическая характеристика значения показателя величины ущерба

Ничтожный 1 Ущербом (угрозой) можно пренебречь

Незначительный 2 Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно

Умеренный 3 Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важных задач. Положение на рынке ухудшается. Потеря части клиентов

Серьезный 4 Затрудняется выполнение критически важных задач. Утрата на длительный период (например до года) положения на рынке. Ликвидация последствий реализации угрозы связана со значительными финансовыми инвестициями, в том числе займами

Критический 5 Реализации угрозы приводит к невозможности решения критически важных задач. Организация прекращает существование

Субъективно оцениваемую вероятность (уверенность) можно измерять в баллах (например, по шкалам 1—10 или 1—100) и лингвистически (например, высокая, ничтожная и т. п.).

Наиболее просто субъективную оценку вероятности интерпретировать через частоту реализации угрозы за определенный период времени. Пример эвристически оцениваемой частоты актуализации угрозы и поставленные ей балльное и лингвистическое значения вероятности приведен в табл. 4.

Такого рода оценка часто приводит к высокому уровню субъективной ошибки в получаемых оценках параметров.

Оригинальный подход к оцениванию вероятности возникновения угрозы предложен в работе [1]. Для этого используется соотношение, позволяющее в первом приближении полагать

р1 = 1 — С/ с, (3)

где С. — общая стоимость затрат нарушителя на реализацию угрозы

с. — полученный при этом «выигрыш», определяемый ценностью защищаемого актива о. для нарушителя.

Очевидно, что при очень высокой ценности актива oJ. для нарушителя он будет готов идти на значительные затраты для реализации угрозы I.. Поэтому в случае с. > С. вероятность р. ^ 1. При малых значениях с. мотивированность нарушителя к реализации угрозы I . низка, в частности при с. = С. теоретически р1 = 0, а при с. < С. формула (3) теряет смысл.

Оценка уязвимостей. При оценке уязвимости определяют степень уязвимости — показатель, характеризующий, насколько легко угроза может использовать уязвимость. Степень уязвимости должна быть оценена по отношению к каждой угрозе, которая может использовать эту уязвимость в конкретной ситуации. Степень уязвимости можно интерпретировать через вероятность использования уязвимости р.

Вероятность (степень) использования уязвимости также можно оценивать в баллах или лингвистически, например высокая, средняя или низкая. Тогда:

- низкая уязвимость Н — защищенность системы очень высока, возникшие угрозы крайне редко реализуются (приводят к ущербу);

Таблица 4

Экспертная оценка вероятности реализации угрозы [12]

Значение показателя частоты реализации угрозы Вероятность Значение вероятности (уверенности), баллы Семантическая характеристика значения показателя частоты реализации угрозы

Ни разу Отсутствует 0 Угроза практически никогда не реализуется

Один раз в несколько лет Очень низкая 1 Угроза реализуется редко

Один раз в год Низкая 2 Скорее всего, угроза не реализуется

Один раз в месяц Средняя 3 Скорее всего, угроза реализуется

Один раз в неделю Выше средней 4 Угроза почти обязательно реализуется

Один раз в день Высокая 5 Шансов на положительный исход практически нет

Вероятность угрозы УЩЕРБ

Ничтожный (1) Незначительный (2) Умеренный (3) Серьезный (4) Критический (5)

-и XX РИСК XX XX XX

1 ■=> Низкий (1) Низкий (2) Низкий (3) Низкий (4) Средний (5)

2 1=> Низкий (2) Низкий (4) Средний (6) Средний (8) Высокий (10)

3 1=> Низкий (3) Средний (6) Средний (9) Средний (12) Высокий (15)

4 ■=> Низкий (4) Средний (8) Средний (12) Средний (16) Высокий (20)

5 Средний (5) Высокий (10) Высокий (15) Высокий (20) Высокий (25)

Рис. 8. Определение риска в зависимости от факторов вероятности угрозы и ущерба (в скобках даны оценки факторов в баллах)

- средняя уязвимость С — защищенность системы средняя, например 30 % возникших угроз реализуются;

- высокая уязвимость В — защищенность системы низкая, возникшие угрозы практически всегда реализуются (приводят к ущербу).

Оценка рисков. В общем случае величина риска определяется следующими факторами:

- ценностью подвергающихся риску активов;

- вероятностью актуализации угроз, способных нанести ущерб активам;

- наличием действующих или планируемых средств обеспечения информационной безопасности, применение которых снижает уровень риска;

- вероятностью использования уязвимостей угрозами.

В настоящее время для качественной оценки риска обычно используются табличные методы.

В простейшем случае (см. формулу (1)) используется субъективная оценка двух факторов: вероятности реализации угрозы и величины ущерба. Для этого определяется качественная шкала оценки рисков, например с тремя значениями: низкий риск (0—4 балла); средний риск (5—12 баллов); высокий риск (13—25 баллов).

Тогда определение риска в зависимости от факторов вероятности угрозы (на основе данных

Степень возможности СТЕПЕНЬ ТЯЖЕСТИ ПОСЛЕДСТВИИ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

реализации угроз Минимальная Средняя Высокая Критическая

XX РИСК -О- Л1. Л

Нереализуемая Допустимый Допустимый Допустимый Допустимый

Минимальная Допустимый Допустимый Допустимый Недопустимый

Средняя Допустимый Допустимый Недопустимый Недопустимый

Высокая Допустимый Недопустимый Недопустимый Недопустимый

Критическая Недопустимый Недопустимый Недопустимый Недопустимый

Рис. 9. Оценка рисков в соответствии со стандартом Банка России [8]

табл. 4) и ущерба (на основе данных табл. 3) может быть определено в соответствии с рис. 8. Балльные значения риска получены на основе формулы (1).

Достаточно очевидно, что шкалы факторов могут быть определены иначе, иметь другое число градаций в зависимости от условий конкретной организации.

Двухфакторная оценка хорошо моделирует ситуацию при отсутствии в организации какой-либо системы информационной безопасности. В этом случае реализованная угроза ведет к нанесению ущерба активу. Однако этот подход может быть применен и при наличии системы информационной безопасности. В качестве примера практического использования двухфакторной оценки может быть приведен стандарт Банка России [8]. Этот же документ стандартизует еще более простой (удобный) способ измерения рисков, который предусматривает только разграничение допустимых и недопустимых рисков. В соответствии с этим подходом матрица рисков содержит не числовые, а лингвистические (допустимые/недопустимые) значения рисков (рис. 9).

Следует отметить, что ГОСТ Р ИСО/МЭК ТО 13335-3-2007, допускающий такой подход к оценке рисков, специально отмечает, что обозначение границы между допустимыми и недопустимыми рисками предполагается по усмотрению пользователя.

При наличии в организации системы информационной безопасности для более точных оценок в модели риска необходимо учитывать способность системы противодействовать реализации угрозы в отношении защищаемого актива, а также уязвимость актива. Для этого рассмотренный двухфак-торный подход может быть дополнен фактором уязвимости (см. формулу (2)).

В приложении Е ГОСТ Р ИСО/МЭК ТО 13335-3-2007 приведен пример построения матрицы риска по трем факторам (табл. 5).

Ценность данного метода состоит в возможности использования для ранжирования соответствующих рисков.

Определение риска в зависимости от факторов вероятностей угрозы, уязвимости и ущерба*

Ущерб Вероятность угрозы, уязвимости и ущерба

Низкая Средняя Высокая

Н С В Н С В Н С В

Ничтожный 0 1 2 1 2 3 2 3 4

Незначительный 1 2 3 2 3 4 3 4 5

Умеренный 2 3 4 3 4 5 4 5 6

Серьезный 3 4 5 4 5 6 5 6 7

Критический 4 5 6 5 6 7 6 7 8

* Показатель риска измеряется в баллах по шкале от 0 до 8 с последующим лингвистическим определением уровней риска.

Ранжирование рисков. Для принятия решения по обработке (устранение, снижение, перенос, принятие) рисков целесообразно произвести их ранжирование (расположить по значимости) на основе проведенной оценки. Эту задачу удобно решать на основе таблицы рисков, которая представляет собой матрицу угроз и поставленных им в соответствие рисков. Пример ранжирования рисков (по ГОСТ Р ИСО/МЭК ТО 13335-3-2007) приведен в табл. 6.

Матрица ранжированных рисков позволяет сформировать последовательность убывающих значений рисков (в баллах). Это угрозы С, А, В и Е Е, D (табл. 8).

Таблица и последовательность рисков могут быть использованы для последовательного выявления угроз (уязвимостей), которые обеспечивают наибольший вклад в значение интегрального риска.

Таким образом, после процедуры спецификации и оценки риска аудит информационной безопасности может быть ограничен теми рискам, которые реальны для этой организации.

Выбор допустимого уровня риска. В целом стандартизированные подходы к оценке рисков показали работоспособность. Тем не менее, как отмечают специалисты, стандарты носят откровенно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые методы, средства и технологии оценки, отработки и управления рисками. С другой стороны, стандарты не содержат рекомендаций по выбору какого-либо аппарата оценки риска, а также по синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, что снижает полезность стандартов как технологических документов [6].

Экспертам также передается решение одной из самых сложных задач управле-

Таблица 5 ния рисками — выбор допустимого уровня риска. Актуальность этой задачи обусловливается зависимостью уровня риска от затрат на обеспечение информационной безопасности (см. рис. 7). При этом конкретные условия деятельности организации предполагают базовый, повышенный или комбинированный подходы (уровни безопасности) к ее решению.

В современных условиях базовый (минимальный) уровень информационной безопасности обязателен для любой организации. Как правило, он достаточен при невысокой ценности информационных активов. В этом случае предполагается стандартный набор наиболее распространенных угроз информационной безопасности (вирусы, сбои оборудования, несанкционированный доступ и т. д.), а для противодействия этим угрозам принимается типовой набор решений по обеспечению безопасности вне зависимости от вероятности их осуществления и уязвимости объектов. Поэтому характеристики факторов риска не оцениваются и, соответственно, анализа рисков не проводится. Это означает, что остаточный риск принимается по факту.

Эффективность обеспечения информационной безопасности на базовом уровне также не оценивается. Затраты на аппаратно-программные средства информационной безопасности и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное программное обеспечение, межсетевые экраны, системы резервного копирования, системы контроля доступа), являются обязательными. При этом возможные дополнительные затраты, обоснованные результатами аудита информационной безопасности, не должны превышать 5—15 % средств, необходимых

Таблица 6

Матрица ранжированных рисков

Обозначение (дескриптор) угрозы Ущерб Вероятность реализации угрозы Риск Ранг риска

А В С D Е

Угроза А 5 2 10 2

Угроза В 2 4 8 3

Угроза С 3 5 15 1

Угроза D 1 3 3 5

Угроза Е 4 1 4 4

Угроза F 2 4 8 3

Итого риск организации 48

для обеспечения работоспособности информационной системы [12].

Для обеспечения повышенного уровня безопасности необходим анализ рисков в полном объеме. В зависимости от степени готовности к совершенствованию информационной безопасности и характера основной деятельности организации обоснование выбора допустимого уровня риска может проводиться разными способами. Например, вводится допущение, что текущее значение интегрального риска превышает максимально допустимое на 25—30 %, и проводятся мероприятия по его снижению.

Также возможен анализ нескольких вариантов обеспечения информационной безопасности по критерию «эффективность—затраты». В лучшем случае могут предприниматься попытки оптимизации риска путем итеративного и во многом случайного поиска в зоне допустимых значений риска. Однако при отсутствии нормативно закрепленных методик оптимизации риска эта процедура становится скорее искусством, чем инженерной работой.

Отечественные консалтинговые компании также отмечают особенности и недостаточную эффек-

тивность применения существующих методологий управления рисками в российских организациях:

- большая трудоемкость процесса оценки риска;

- трудности русификации зарубежных стандартов;

- несовершенство моделей угроз и уязвимостей;

- отсутствие четкой связи между уровнями риска и величинами среднегодовых потерь и затрат на обеспечение информационной безопасности;

- необходимость применения дорогостоящего программного инструментария и т. п. [14].

Трудности усугубляются отсутствием необходимого числа специалистов, способных эффективно применять конкретные методы в современных организациях. Эти обстоятельства определяют актуальность дальнейших исследований, направленных на разработку научно-методологической базы, прикладных методов и инструментальных средств оптимизации информационных рисков, разработки научно обоснованных подходов к созданию безопасных информационных систем, а также подготовки специалистов в области управления рисками.

Список литературы

1. Архипов А. Е. Экспертно-аналитическое оценивание информационных рисков и уровня эффективности системы защиты информации // Радюелектрошка. 1нформатика. Управлшня. 2009. № 2. URL: http:// journal. zntu. edu. ua/ric/files/RIU22009/RIU (2) _2009.pdf.

2. Астахов А. Анализ защищенности корпоративных систем // Открытые системы. 2002. № 7—8. URL: http://www. osp. ru/os/2002/07-08/181720.

3. Батутов А. Экономический взгляд на проблемы информационной безопасности // Открытые системы.

2002. № 2. URL: http://www. osp. ru/os/2002/02/034.htm.

4. Герасименко В. А., Малюк А. А. Основы защиты информации. М.: Инкомбук, 1997.

5. Доктрина информационной безопасности Российской Федерации: утв. Президентом РФ от 09.09.2000 № Пр-1895.

6. Марков А., Цирлов В. Управление рисками: нормативный вакуум информационной безопасности // Открытые системы. 2007. № 3. URL: http://www. osp. ru/os/2007/08/4492873/.

7. Петренко С., Симонов С., Кислов Р. Информационная безопасность: экономические аспекты // JetInfo. 2003. № 10. URL: http://www. jetinfo. ru/Sites/info/Uploads/2003_10.319A4A356B684F33A06E15C657633935.pdf.

8. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности РС БР ИББС-2.2-2009»: распоряжение Банка России от 11.11.2009 № Р-1190.

9. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: решение председателя Гостехкомиссии России от 30.03.1992.

10. Симонов С. В. Современные концепции управления информационными рисками // УСП Компьюлинк.

2003. № 7. URL: http://www. pmprofy. ru/content/rus/85/850-article. asp/.

11. Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»: распоряжение Банка России от 21.06.2010 № Р-705.

12. Технологии анализа рисков // CIO. URL: http://old. cio-world. ru/it-market/e-safety/24117/.

13. Хоффман Л. Д. Современные методы защиты информации. М.: Сов. радио, 1980.

14. Global Trust Solutions. URL: http://www. globaltrust. ru/arhiv-novostei/vtoraya-redakciya-metodologii-upravleniya-riskami-informacionnoi-bezopasnosti-ot-globaltrust.