УДК 658.155
ФИНАНСОВЫЙ АСПЕКТ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
ПРЕДПРИЯТИЙ
© 2011 г. Н.А. Романенко
Анализируются актуальные вопросы управления информационными рисками предприятий. Рассмотрен финансовый аспект этой проблемы и целесообразность вложения инвестиций в информационную систему предприятия, проведен анализ информационных рисков и предложен вариант методики их качественной оценки. Для подтверждения теоретического исследования рассчитаны информационные риски в качественном выражении на примере сервера Web рекламно-производственной компании, и, в заключение, приведено экономическое обоснование затрат на снижение информационных рисков.
Ростовский государственный экономический университет, ул. Б. Садовая, 69, г. Ростов-на-Дону, 344002, [email protected]
Rostov State Economic University,
B. Sadovaya St., 69, Rostov-on-Don, 344002,
Ключевые слова: инвестирование финансовых ресурсов, экономическая безопасность, информационные технологии, ущерб, информационные риски, анализ информационных рисков, качественная оценка риска, экономическая эффе к-тивность.
Examines current issues information risk management companies. We consider the financial aspect of the problem and the feasibility of investments in enterprise information system, analysis of information risk and suggest methods of qualitative assessment. To confirm the theoretical research calculated information risks in terms of quality on the Web server advertising and industrial company, and, in conclusion, the economic substantiation of expenses on reduction of informational risks.
Keywords: investment of financial resources, economic security, information technology, damage, informational risks, analysis of information risks, quality risk assessment, economic efficiency.
Создание и дальнейшее функционирование организации в современном российском бизнесе представляет процесс инвестирования финансовых ресурсов на долгосрочной основе с целью извлечения прибыли. Управление всеми активами, т.е. имущественным потенциалом предприятия направлено на увеличение прибыли и характеризуется понятием производственного и финансового левериджа, для которого характерна взаимосвязь экономических показателей: выручки, расходов производственного и финансового характера и чистой прибыли. Оптимальность этой связи обеспечивает запас финансовой прочности и является фактором экономической безопасности предприятия [1], современная же экономика все больше становится глобальной и информационной, и сферы ее деятельности пронизывают соответствующие IT-технологии и интернет. По данным экспертов Group-IB, оборот преступлений в данной области в мире за 2010 г. составил 7 млрд дол., из них на территорию России приходится 1,3 млрд дол. [2]. В связи с этим особую актуальность приобретают вопросы управления информационными рисками предприятий, обеспечивающими информационную и как следствие -экономическую безопасность компаний в сложившихся условиях. Информационная система предприятия должна быть надежно защищена, так как она непосредственно связана с операционной деятельностью, бухгалтерским учетом, управлением финансами, кадрами и позволяет управлять структурой самым оптимальным способом, но при этом требует материальных и временных затрат на ее внедрение.
Информационная безопасность - один из приоритетов современного российского бизнеса. Ее цель -выявить возможные угрозы, определить их последствия и предполагаемый ущерб, обеспечить необходимые меры и средства защиты и оценить их эффективность.
Информационная система предприятия (ИСП) использует разнообразные ресурсы для хранения, получения, обработки, передачи информации. Особое место занимает здесь специалист, эксплуатирующий ИСП, которая охватывает все сферы его деятельности: административную, производственную, финансовую, выступает связующим звеном при выработке стратегии развития бизнеса и качества управления предприятием и персоналом. В ИСП содержится коммерческая информация, носящая конфиденциальный характер, и ее потеря может оказаться критичной для работы предприятия.
Поскольку анализ всей информационной инфраструктуры далеко не всегда оправдан с экономической точки зрения, целесообразно акцентировать внимание на наиболее важных угрозах и их источниках, выявлять вероятность осуществления последних и рассчитывать потенциальный ущерб, т.е. управлять информационными рисками.
Этот процесс представляет собой системную их идентификацию, оценки и применение соответствующей методики управления ими. Информационные риски могут быть:
- приняты, т.е. пользователь информационной системы согласен на принятие рисков и связанных с ними потерь. Соответственно работа 1Т-систем продолжается в обычном режиме;
- снижены, т.е. для уменьшения величины рисков будут предприняты соответствующие меры;
- переданы, т.е. компенсацию потенциально возможного ущерба и затрат перенесут на страховую компанию, или риск путем использования специальных механизмов трансформируют в другой риск с наименьшим значением;
- «упразднены», т.е. приняты меры по ликвидации источника риска.
Ключевая роль в управлении информационными рисками принадлежит их анализу, оценке защищенности ИСП, определению количественного или качественного показателя рисков.
Уточним, что риск - это вероятность наступления ущерба и затрат в стоимостном выражении от недостаточной защищенности информационной системы, но сегодня нет общепринятого и закрепленного в нормативном правовом акте понятия «информационный риск». Его можно определить как возможность наступления случайного события, приводящего к нарушениям функционирования ИСП и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения ее во внешней среде, в результате которых наносится ущерб предприятию [3].
Такой подход к пониманию информационного риска позволяет непосредственно связать его с обеспечением конечной цели функционирования предприятия - получением максимальной прибыли и достижением стабильности бизнеса.
Оценивать риски возможно с помощью различных методов моделирования процесса защиты информации и инструментальных средств. Идентифицируют
самые высокие риски, для которых необходимы дополнительные меры защиты.
Пока нет единой общепринятой методики количественного расчета информационных рисков в стоимостной оценке, поскольку отсутствует достаточный необходимый объем статистических данных о вероятности реализации тех или иных угроз. Существующие справочники ссылаются на зарубежный опыт и слабо применимы к российской действительности. Даже определение стоимости информационного ресурса не всегда возможно, поскольку его собственник, как правило, может назвать только точную стоимость оборудования и носителей, но не находящихся в его ведении данных.
Мы предлагаем к использованию качественную методику оценки информационного риска, суть которой заключается в определении факторов риска, установлении потенциальной области возникновения и оценке воздействия.
При расчетах информационных рисков (качественная оценка) выделим следующие факторы:
1. Стоимость ресурса (Asset Value, AV). Данная величина отражает его ценность и может ранжироваться в пределах от 1 до 3, где 1 - минимальная, 2 - средняя и 3 - максимальная стоимость.
2. Мера уязвимости ресурса к угрозе (Exposure Factor, EF). Характеризуется степень уязвимости по отношению к угрозам и может ранжироваться в пределах от 1 до 3, где 1 - минимальная мера уязвимости, т.е. оказывает слабое воздействие, 2 - средняя, т.е. ресурс возможно восстановить, 3 - максимальная, когда ресурс придется полностью заменять.
3. Оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) показывает эту вероятность за конкретный промежуток времени, например год, и ранжируется в пределах от 1 до 3 (слабая, средняя, высокая) [4].
При анализе полученных данных определяется оценка затрат от реализации конкретных угроз за конкрет-
Сводная таблиц
ный промежуток времени (Annual Loss Exposure, ALE), которая и характеризует величину риска. Она рассчитывается по формуле: ALE = (AVEF^ARO).
После первичной оценки полученные значения систематизируются на высокие, средние и низкие уровни рисков.
Далее ранжируем риски и определяем те их них, которые требуют основного внимания. Наиболее эффективным методом управления ими является снижение или передача. Риски среднего уровня также могут передаваться или снижаться наравне с высокими.
Риски низшего ранга должны быть приняты и исключены из последующего анализа.
Пределы ранжирования рисков рассматриваются, исходя из расчета их качественных величин. Например, если величина лежит в диапазоне от 1 до 20, то низкие риски находятся в пределе от 1 до 8, средние -от 9 до 15, высокие - от 16 до 20. Управление можно свести к снижению средних и высоких величин рисков до значений, характерных для низких рисков, при которых станет возможным их принятие.
Снизить величину риска можно за счет уменьшения одной либо нескольких составляющих (AV, EF, SLE) при реализации определенных мер. Как правило, это возможно с EF и SLE, а AV (стоимость ресурса) является фиксированным параметром. Хотя, теоретически, можно и его понизить, уменьшив, например, уровень «конфиденциальности» информации, хранящейся на сервере в силу каких либо причин.
Понижение величины SLE (вероятность реализации угрозы) может быть реализовано техническими мерами. Например, вероятность угрозы отключения электропитания можно снизить, установив источник бесперебойного питания.
Оставшиеся риски используются для экономического обоснования вложения инвестиций в информационную безопасность.
Для рисков, оцененных как средние и высокие, производится перерасчет (табл. 1).
Таблица 1
остаточных рисков
Ресурс AV Угроза Риск
исходный остаточный снижение, %
Пограничный маршрутизатор 3 Разглашение информации 9 3 66,67
Качественная методика оценки рисков не содержит определенных цифр и поэтому не позволяет аргументировать инвестиции. Необходимо идентифицировать затраты, позволяющие снижать данные риски до приемлемых величин для их обоснования. Поскольку меры снижения всегда конкретны (технические, например) можно определить и стоимость, но после составления бюджета. Соответственно, качественная оценка рисков является основанием привлечения инвестиций.
Для подтверждения теоретического исследования, мы предлагаем расчет информационных рисков в качественном выражении на примере сервера Web реклам-но-производственной компании, занимающейся про-
дажей рекламно-полиграфической продукции, в том числе и через сайт, т.е. свой internet-магазин. Годовой торговый его оборот составляет 8 400 тыс. р. в год.
В качестве сервера Web используются: операционная система FreeBSD, HTTP-сервер Apache, интерпретатор PHP и СУБД MySQL.
Для упрощения расчета выделяем две основные категории нарушителей: хакер и легальный пользователь (внешний). Первого соответственно назовем A1, а другого - A2.
Обозначим свойственные им черты нарушителей: - для категории А1:
1) соответствующая техническая квалификация для использования возможностей Internet-магазина;
2) опыт использования необозначенных возможностей и уязвимостей операционных систем, прикладного программного обеспечения;
3) опыт взлома соответствующих систем;
4) желание нанести ущерб предприятию.
- для категории А2:
1) соответствующая квалификация для использования возможностей Intemet-магазина;
2) отсутствие заданной цели нанесения ущерба предприятию.
Для сервера Web можно выделить и обозначить следующие угрозы:
- повреждение и разрушение целостности информации, находящейся в СУБД Internet-магазина;
- повреждение доступности сервера Web;
- повреждение и срыв конфиденциальности информации, хранящейся в СУБД Internet-магазина.
Каждая из перечисленных угроз может реализоваться в результате проведения атак SQL Injection и Cross-Site Scripting и увеличения, расширения привилегий злоумышленника в системе из-за переполнения буфера операционной системы или СУБД.
Атака в виде SQL Injection может быть осуществлена намеренно A1, но не может быть реализована - A2.
Атака Cross-Site Scripting может быть реализована A1, но не - A2.
Увеличение и расширение привилегий прав злоумышленника в системе может реализоваться в случае преднамеренных действий A1 и непреднамеренных действий злоумышленника категории А2.
Создание шторма сетевых пакетов, которые направлены на сервер Web, также может реализоваться в результате преднамеренных действий злоумышленника категории A1 и непреднамеренных действий -
Расчет качественного значения исход
А2 (например, при частом нажатии кнопки «Обновить» в обозревателе Internet).
Формирование некорректных пакетов, направленных на сервер Web, повлекших крах службы, может реализоваться в результате преднамеренных действий A1, но ни при каком условии не произойдет в результате действий A2. Сведем в табл. 2 идентификации угроз и построение модели нарушителя.
Ресурс сервера Web является особенно важным и критичным для функционирования предприятия, поэтому ему можно присвоить значение AV = 3. Мера уязвимости ресурса к угрозе повреждения целостности (EF) тоже будет иметь самое большое значение (3), поскольку повреждение целостности хранимых в СУБД данных влечет за собой убытки, полученные, например, из-за срыва поставок, если удалены сведения об оформленных заказах, но еще не проведенных. Вероятность реализации угрозы повреждения целостности может быть оценена как средняя из-за того, что не исключается использование общеизвестных недостатков уязвимостей программирования.
Ресурс сервера Web является особенно важным и критичным для функционирования предприятия, поэтому ему можно присвоить значение AV = 3. Мера уязвимости ресурса к угрозе повреждения целостности (EF) тоже будет иметь самое большое значение (3), поскольку повреждение целостности хранимых в СУБД данных влечет за собой убытки, полученные, например, из-за срыва поставок, если удалены сведения об оформленных, но еще не проведенных заказах. Вероятность реализации угрозы повреждения целостности может быть оценена как средняя из-за того, что не исключается использование общеизвестных недостатков уязвимостей программирования.
Таблица 2
1х рисков в отношении Internet-магазина
Угроза повреждения (механизм реализации) Оценка
Ресурс Ценность ресурса (AV) Модель нарушителя меры уязвимости ресурса к угрозе (EF) вероятности реализации угрозы (ARO) возможного ущерба от реализации угрозы (SLE) Величина риска (ALE)
Сервер Web Internet- целостности A2 3 2 9 20
3 конфиденциальности A2 3 2 9 20
магазина доступности A1, А2 2 3 6 20
Параметры ARO и EF в части угроз повреждения конфиденциальности и доступности аналогично считаются. Большая их часть (кроме AV), принимается, исходя из экспертного мнения аудитора. Все обозначенные риски являются высокими. Реализация угроз, вызывающих эти риски, приведет к существенным затратам предприятия. Таким образом, дальнейшие действия подразумевают снижение выявленных рисков.
Для уменьшения меры уязвимости (EF) в части реализации угрозы повреждения доступности возможно пересмотреть исходный код сценариев Internet-магазина и подправить его, добавить функцию фильтрации запросов. Аналогичные меры могут
быть предприняты и в случае атаки Cross-Site Scripting.
Для минимизации увеличения и расширения привилегий злоумышленника необходимо установить и периодически проводить обновления безопасности службы сервера Web и на системном уровне - систематический аудит и пересмотр учетных записей пользователей и прав доступа. При реализации указанных действий снизится параметр ARO, установка обновлений безопасности минимизирует вероятность реализации описанных угроз.
Уменьшение вероятности реализации угрозы и степени уязвимости в части повреждения конфиденциальности достигается аналогично.
Риск повреждения доступности минимизируется, во-первых, путем размещения межсетевого экрана перед сервером Web, который должен учитывать топологии сети и ограничения количества одновременных соединений со службой сервера Web с одного IP-адреса, и, во-вторых, установкой обновлений безопасности.
После идентификации указанных мер рассчитаем остаточные риски. Их величина снизится от 83 до 66 %, что является приемлемым уровнем (табл. 3). Расходы на внедрение указанных мер составят: доработка сце-
Сводная таблица остаточных pi
нариев сервера Web 168 чел. час. и финансовых вложений 420 тыс. р., установка межсетевого экрана: трудозатраты в 224 чел./час. и 560 тыс. р. Общая сумма затрат на внедрение предложенных мер составит 392 чел./час. и 980 тыс. р.
Затраты на снижение информационных рисков будут экономически оправданы, если уровень экономической безопасности предприятия позволит сохранить стабильность рентабельности анализируемого предприятия.
Таблица 3
сов в отношении Internet-магазина
Ресурс AV Угроза повреждения Риск
исходный остаточный снижение, %
Сервер Web Internet-магазина 3 целостности 20 6 66,67
конфиденциальности 20 6 66,67
доступности 20 3 66,67
Оценим эти затраты с учетом экономического аспекта, используя следующий порядок расчета:
1. По данным бухгалтерской отчетности анализируемого предприятия («Отчет о прибылях и убытках» форма № 2) как минимум за 2 последних года из того периода, в течение которого на предприятии используются оцениваемые информационные системы, определяется рентабельность за каждый i-й год (R) и средняя рентабельность по всем годам (Rcp): R^ = П / ВР, где П - прибыль до выплаты процентов и налогов (стр. 050); ВР -нетто-выручка от реализации (стр. 010).
2. Вычисляется дисперсия рентабельности предприятия: = 1/n^ (R, -Rcp)2, где n > 2.
Если информация за 2 года отсутствует, можно использовать поквартальную информацию за истекший год.
3. Вычисляется среднее квадратичное отклонение рентабельности предприятия: aR = -Ja2Rv .
4. Вычисляется коэффициент вариации рентабельности (Кв) анализируемого предприятия: К =aR / Rcp .
5. По данным ГК РФ по статистике или информационно-аналитических агентств (типа АК&М) определяется рентабельность и коэффициент вариации (Кво) крупнейших по рыночной стоимости компаний (среднеотраслевые показатели): Кво =aRo /R .
6. Подсчитывается допустимый уровень надбавки за риск, обеспечивающий стабильный уровень рентабельности (CDR):
CDR = { 2,5 • Кв / Кео, при К : К^ < 2 { 5, при Ке : Ко > 2
В приведенном примере, где годовой оборот предприятия с использованием Internet-магазина составляет 8 400 тыс. р. и среднегодовой уровень рентабельности 37 %, затраты на информационные риски в размере 980 тыс.р. хотя и высоки, но вполне экономически оправданы и поэтому целесообразны.
Нами рассмотрен финансовый аспект управления информационными рисками. Поскольку анализ информационных рисков в конечном итоге сводится к количественному или качественный показателю, предложен вариант методики их качественной оценки, как наиболее реальной в современных российских условиях, с целью аргументации привлечения инвестиций. Для подтверждения теоретического исследования приведен расчет информационных рисков в качественном выражении на примере сервера Web рекламно-производственной компании и рассчитана экономическая обоснованность затрат предприятия на снижение информационных рисков.
Литература
1. Забродский В., Капустин Н. Теоретические основы оценки экономической безопасности отрасли и фирмы // Бизнес-информ. 2009. № 15 - 16. С. 36.
2. «Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции. URL: http://www.group-ib.ru (дата обращения: 20.04.2011).
3. Завгородний В.И. Концепция создания ЭВМ защищенной структуры // Безопасность информационных технологий (МИФИ). 2006. № 1. С. 16.
4. См.: Покровский П. Оценка информационных рисков // Журнал сетевых решений / LAN. 2010. № 10. URL: http://www. osp.ru/lan/2010/10/139689/ (дата обращения: 20.04.2011).
Поступила в редакцию
12 мая 2011 г.