DOI: 10.24143/2072-9502-2018-2-61-70 УДК 004.942
С. С. Козунова, А. Г. Кравец
ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ПРОЦЕДУРЫ УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
Рассматриваются аспекты управления рисками информационной системы (ИС). На основе анализа работ российских и зарубежных ученых, а также результатов мировой практики в области управления рисками, утверждается, что существует необходимость в повышении эффективности управления рисками ИС и в разработке метода управления рисками ИС. В качестве решения проблемы эффективного управления рисками ИС предложена формализованная процедура управления рисками ИС. Научной новизной такого решения является использование пространства решений и оптимизационного пространства для снижения рисков. Данная процедура позволяет оценить ущерб, риск и эффективность управления рисками ИС. Определены и проанализированы риски ИС, разработана пирамидальная диаграмма рисков, которая позволяет описать взаимосвязь рисков с компонентами ИС. Приведены негативные последствия, к которым могут привести данные риски. Проведен анализ методов и подходов к управлению рисками. По результатам проведенного анализа максимальную оценку набрали методы GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Описаны недостатки этих методов, отмечается сложность применения данных методов на практике. Разработанная формализованная процедура управления рисками ИС может быть использована как элемент системы менеджмента качества информационной безопасности, выполняющей рекомендации ГОСТ Р ИСО/МЭК 27003-2012. В перспективе результаты исследования станут основой для разработки системы управления рисками ИС.
Ключевые слова: информационная система, риск, ущерб, оценка, эффективность управления, оптимизация.
Введение
Разработка методологии обеспечения информационной безопасности (ИБ) предприятия является одним из самых востребованных направлений современной науки. Причиной тому являются стремительное развитие предприятий; высокая численность информационных систем (ИС) различного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельности по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры мониторинга, они решают в основном задачи выявления атак, установления инцидентов, нарушения политики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприятия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1].
Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажму-хамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell.
Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2-7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классификация рисков, отсутствие методики комплексного управления рисками, прогнозирование рисков. В ходе анализа работ [4, 5, 7-10] установлено, что основной локализацией рисков нарушения ИБ являются ИС предприятия. В связи с требованиями российского федерального законодательства РФ и регуляторов в области ЗИ в части правового обеспечения ИБ управление рисками ИС и организация защиты информации (ЗИ), обрабатываемой в ИС, являются актуальными задачами, которые необходимо решать на любом предприятии. Об этом свидетельствуют ФЗ от 27 июля 2006 г. № 149-ФЗ [11], Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. [12], Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 11 февраля 2013 г. № 17 (ред. от 15 февраля 2017 г.) [13] и другие документы [14, 15].
Анализируя результаты исследований [1-10], можно сделать вывод об актуальности разработки метода управления рисками ИС и повышения эффективности управления рисками нарушения ИБ в ИС. Исходя из вышесказанного, сформулируем цель исследования: предложить формализованное описание процедуры управления рисками ИС.
Анализ рисков в информационной системе
Все риски ИС полностью нейтрализовать нельзя, но можно спрогнозировать их периодичность, снизить нанесенный ими ущерб, [4-5, 16]. Для управления рисками необходимо придерживаться определенной методики, алгоритма или управленческой процедуры. Анализ рисков является процессом выявления опасностей и оценки негативных последствий в результате возникновения нарушений в работе ИС [5]. Для ИС характерно двенадцать рисков, которые можно разделить на три типа: бизнес-риски, технические риски и риски нарушения ИБ. Данные риски могут привести к локальным (на уровне ИС) или глобальным (на уровне решения задач автоматизации и поддержки бизнес-процессов предприятия) негативным последствиям.
Основываясь на типовой архитектуре ИС [22] и модели профиля угроз нарушения ИБ ИС [23], мы разработали пирамидальную диаграмму рисков ИС, представленную на рис. 1 (ЛВС - локальная вычислительная сеть; ИТ - информационные технологии).
Риски ИС
Невыполнение производственных задач Остановка деятельности предприятия
Невозможность работы ИС или полного функционирования ее модулей и подсистем из-за несовместимости с ИТ-ландшафтом предприятия
Длительная обработка данных с временными задержками
Отсутствие целостности обрабатываемых данных
Невозможность выполнения всех функций ИС
Неуспешная реализация технических решений Низкая надежность работы ИС Низкая отказоустойчивость или отсутствие организации ИС
Низкий уровень защищенности информационных активов предприятия Несанкционированный доступ к информации, циркулируемой в ИС Потеря доступа к информации, обрабатываемой в ИС из-за атак или попыток взлома
Рис. 1. Пирамидальная диаграмма рисков информационной системы
Пирамидальная диаграмма позволила классифицировать риски ИС на бизнес-риски, технические риски и риски нарушения ИБ.
Бизнес-риски соответствуют компоненту ИС «бизнес-процессы» и связаны они с задачами, которые решает ИС. Бизнес-риски необходимо анализировать и прогнозировать на этапе формирования производственных задач, выбора средств автоматизации производства и стратегии оптимизации.
Технические риски относятся к компонентам ИС: ИТ, ЛВС и аппаратной архитектур; топологии данных; программному и техническому обеспечению. Такой вид рисков связан с жизненным циклом ИС. Риск, относящийся к топологии данных, возникает по причине того, что структуризация данных не соответствует общепринятым рекомендациям и отраслевым стандартам. Риск на уровне программного обеспечения (ПО) возникает из-за отсутствия необходимого ПО или когда ПО не совместимо с модулями ИС. Техническое обеспечение и аппаратная архитектура могут осложнять управленческие процессы, это связано с наличием систем хранения данных, кластерами и другими составляющими, что создает необходимость приобретения и внедрения дополнительных средств управления, а также их интеграции в ИС.
Риски нарушения ИБ связаны с архитектурой системы защиты информации (СЗИ) - наличие уязвимостей в СЗИ приводит к возникновению риска попадания критически важной информации к третьим лицам.
Возникновение рисков ИС, описанных на рис. 1, может спровоцировать экономические и управленческие риски, что является глобальными рисками на уровне предприятия. Наступление любого риска ИС может принести инвестиционные, экономические и репутационные потери, а совокупность рисков ИС может остановить непрерывный управленческий процесс - качество управления производственными и бизнес-процессами снижается. В условиях риска возможны производственные задержки и наступление ситуации полной неопределенности, что осложняет принятие качественного решения по управлению рисками и непрерывностью бизнес-процессов.
Методы и подходы к управлению рисками
В настоящее время существует несколько методов и подходов, применяемых к управлению информационными рисками и рисками нарушения ИБ. Данные подходы и методы можно разделить на две группы: стандартизированные и качественно-количественные. Стандартизированные методы и подходы включают в себя управленческую процедуру, основанную на модели PDCA «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)», используемую для структурирования процессов менеджмента. Процедура управления рисками осуществляется в соответствии с определенными этапами и рекомендациями, регламентированными в стандартах. Применение стандартизированных методов и подходов на практике позволяет реализовать «единое окно» системы менеджмента информационной безопасности. Качественно-количественные методы и подходы определяют процедуру управления рисками на основе частной методики, ориентированной на специфику системы (или деятельность предприятия), а также решающей частную задачу.
В связи с тем, что существует большое число исследований по вопросу управления рисками и их оценки [1-6, 10, 16, 19-21], результаты современных исследований порождают определенные противоречия. С одной стороны, существуют противоречия между высокой значимостью методов и моделей управления рисками ИС и ИБ, с другой стороны - практикой оценки рисков и прогнозирования ущербов. В изученных работах предложены некоторые методы и подходы к управлению рисками, основанные на числовых оценках рисков [2, 3, 6, 20], стратегии снижения уровня рисков [2], контура управления рисками [4], «туманных» вычислений [5] и др. Однако рассмотренные работы имеют ряд недостатков: предложенные решения направлены на управление рисками нарушения ИБ и информационных рисков, при этом частная задача управления рисками ИС не исследуется; отсутствует систематизированный подход к оценке эффективности управления рисками; не определен механизм снижения рисков и ущербов, авторами [2] предложена только стратегия снижения уровня риска; отсутствует комплексный подход к управлению рисками.
Основываясь на стандартах [15, 22-24] и научных работах в сфере управления рисками [4, 5, 16, 20, 21, 25], мы проанализировали методы управления рисками. Результаты анализа представлены в таблице (выполнение условия критерия оценки обозначено «1», невыполнение условия критерия оценки принято обозначать «0»).
Анализ методов и подходов к управлению рисками
Метод или подход Идентификация рисков Оценка рисков Анализ рисков Определение степени критичности рисков Возможность построения отчета о рисках Общая оценка
FERMA:2002 1 1 0 0 0 2
COSO:2004 0 1 0 0 0 1
ISO 31000:2009 1 1 1 0 0 3
GRAMM 1 1 0 1 1 4
BS 7799-3:2006 0 1 1 0 1 3
OCTAVE 0 1 1 1 3
RiskWatch 0 1 1 1 3
CORAS 1 1 1 0 1 4
ГОСТ Р ИСО/ МЭК 27005-2010 1 1 1 0 1 4
Экспертный 0 1 1 0 0 2
Процессный подход 1 0 1 0 0 2
По результатам анализа методов и подходов наибольшую оценку набрали GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Общим недостатком этих методов является невозможность их применения для управления рисками ИС и отсутствие в них специальной процедуры
прогнозирования рисков. Также стоит отметить, что применение зарубежных методов и подходов осложняется спецификой российского документооборота и организации взаимодействия ИС (как с другими ИС, так и со средствами защиты информации).
Таким образом, разрабатывая собственную процедуру управления рисками ИС, мы будем опираться на требования ГОСТ Р ИСО/МЭК 27005-2010 и [11-14].
Формализованное описание процедуры управления рисками информационной системы
Управление рисками ИС должно обеспечивать снижение и прогнозирование рисков [5, 19, 26]. Поиск минимального риска ИС осуществляется в пространстве решений D. Существуют допустимые риски ИС - риски, которые не являются критическими для функционирования ИС. Множество допустимых рисков ИС определим как А = {ab а2, ..., am}, где m - мощность А, А с D . Если существует конечное число допустимых рисков ИС, то A - перечисление допустимых рисков. Процесс оптимизации рисков ИС поделим на критерии оптимизации N. Критерии N представим как совокупность функций f f2, ..., fN}, заданных на D. Оптимизационное пространство обозначим как D'. Совокупность функций задает некоторое отображение f = f1,/2, ■■, fN), действующее из D в D'. Так, процесс оптимизации рисков ИС можно определить как функцию видаy = f(a) критериального пространства D'.
Выбор наилучшего решения осуществляется с помощью анализа рисков ai е A. Оптимальное значение рисков ИС опишем как Y = f (A) = {y | y = f (a), a е A}. Таким образом, оптимизация рисков ИС представляет собой снижение рисков путем достижения эффективного критерия оптимизации: f(a) ^ max, где a е A.
Для оценки эффективности управления рисками ИС применим функцию B, B = E(U, QR, T), где Qr - оценка рисков ИС; T - время применения управленческого механизма (или время принятия решения); U - ущерб, нанесенный риском; E - правило расчета эффективности.
Для каждой управленческой меры получена взвешенная сумма E критериев, представляющих собой K - комплексный критерий оценки эффективности управления K={kb ..., kk}, где k1, ..., kk - частные критерии оценки эффективности управления, при этом k > 2. Взвешенная сумма E(k\w) = w1k1 + ... + wikk, где wi - весовой коэффициент частного критерия.
На основании E производится стабилизация функционирования ИС. При достигнутом стабильном состоянии ИС производится оценка потенциального ущерба, нанесенного риском ИС. Потенциальный ущерб определяется как
U = piwv, (1)
где р^ - вероятность возникновения i-го риска ИС; w - воздействие риска на ИС (либо на информацию, обрабатываемую в ИС); v - ценность информационного актива (или звена ИС, который подвергся риску). Риск ИС количественно можно определить как
R = PjU , (2)
где Pj - вероятность реализации j-го риска ИС. Оценка рисков ИС проводится методом весовых коэффициентов:
Qr =1 mRR, (3)
где j е [1, r], i е [1, m].
Процедура управления рисками оценивается значением критериев эффективности b е B: counti = bj(q), ..., bm = b(q). Значение критерия counti составляет комплексную оценку процедуры управления рисками ИС:
count = (count1, ..., countm).
Таким образом, было получено формализованное описание процедуры управления рисками ИС. На основе полученных результатов в настоящее время проектируются алгоритмы программного комплекса управления рисками ИС.
Методика снижения рисков информационной системы
Мы предлагаем методику снижения рисков ИС, представленную на рис. 2.
Методика снижения рисков информационной системы
( N
я
s
rt
и
о
я
&
2
я я hQ S
0} Ш Й О Я
& о
Я >Я
>у О
О я
я я о
Ш я
О н я rt
о я S
& о
я
я я
0} я
я
о
rt
я
я
&
\ /
Задачи
Идентификация рисков
Определение факторов рисков
Процессы
Установление рисковых событий. Выявление объектов, на которые направлены риски. Классификация рисков.
Сопоставление рисков с бизнес-процессами, которые ^осуществляет информационная система. Выявление факторов риска.
Факторы риска:
угроза; уязвимость; источник; ущерб.
Анализ потоков рисковых событий.
Анализ источников
рисков Сопоставление рисков с выделенными источниками.
J*
Анализ последствий рисков
Определение степени влияния рисков и их факторов на объекты, подверженные риску.
Источник риска:
информация;
«характер»
рисков;
техническая
система;
среда.
Рис. 2. Методика снижения рисков информационной системы
Методика включает в себя четыре задачи: идентификацию рисков, определение факторов рисков, анализ источников рисков, анализ последствий рисков. Каждой задаче соответствуют уникальные процессы. Данная методика ориентирована на лицо, принимающее решение, которое руководит группой аналитиков, специализирующихся на управлении рисками ИС предприятия.
Идентификация рисков позволяет комплексно выявить и проанализировать риски, характерные для ИС. Результатом определения факторов рисков должен быть список выявленных факторов рисков с уточнением их локализации в ИС. Для ИС в качестве факторов риска выступают угроза, уязвимость, источник риска, ущерб, который может быть нанесен ИС или предприятию в случае возникновения рискового события. Следовательно, важным аспектом является анализ источников рисков и их последствий. Последовательное осуществление процессов (рис. 2) позволит реализовать мероприятия, направленные на повышение эффективности управления рисками ИС.
Для снижения рисков ИС необходимо управлять факторами рисков. В основе управления факторами рисков ИС лежит анализ ресурсов. Поэтому определение значимости ресурсов ИС (программно-технических средств; информационных ресурсов, которые обрабатывает ИС)
СО
формально можно описать в виде Rel = , гДе СО - стоимость ресурса ИС; С - капитал, вложенный в эксплуатацию этого ресурса. Значимость ресурсов позволяет определить ценность информационных активов и других ресурсов ИС.
Управление угрозами основывается на построении частной модели угроз для ИС и контроля защищенности ресурсов [9, 27, 28]. При разработке модели угроз можно руководствоваться базовой моделью угроз безопасности [29] и методикой определения актуальных угроз безопасности [30], разработанными ФСТЭК. Список уязвимостей необходимо формировать исходя из инфраструктуры предприятия, к которой относится ИС [9, 27]. Авторами [18] предложена модель профиля угроз нарушения ИБ ИС корпоративного типа, в которой показана взаимосвязь между угрозами ИС, уязвимостями и источниками угроз. Источник рисков позволяет определить локализацию рисков в ИС. Потенциальный ущерб и оценивается по формуле (1). Риск определяется согласно (2), оценка рисков производится по формуле (3).
Взаимосвязь между факторами рисков и механизмами нейтрализации рисков формализовано опишем как
Mfac\, =
stand
M
factfa
standst
(4)
где factfa, standst - элементы из множества факторов рисков и механизмов нейтрализации рисков
ИС соответственно, при этом factfae.FACT, fa = 1, qf^act (где faf - факторы рисков ИС; FACT - множество факторов рисков ИС; q^ - мощность множества факторов рисков ИС) и stands STAND, st = 1, qst (где standst - единичный механизм нейтрализации рисков; STAND - множество применяемых механизмов нейтрализации рисков ИС; qst - мощность множества STAND).
Значения, которые может принимать (4), опишем как
M-Stand принимает значение «0», если риск ИС устраняется при помощи механизма
нейтрализации рисков. М^Пз принимает значение «1», если риск ИС невозможно устранить,
используя механизм нейтрализации рисков. Контроля обеспечения рисков ИС, а также их снижения можно достичь, управляя рискоустойчивостью. Авторами [31] дано определение риско-
устойчивости. Формально рискоустойчивость ИС опишем в виде
Для управления уровнем рискоустойчивости введем оценочную шкалу. Качественно данную шкалу опишем следующим образом: низкая рискоустойчивость, средняя рискоустойчивость и высокая рискоустойчивость. Таким образом, уровень рискоустойчивости ИС будет складываться исходя из:
Гесли 0 < RT < Aver, то низкая; Lev = < если Aver < RT < 0,7Aver, то средняя; I если 0,7Max < RT < Max, то высокая,
где Aver = maxRT„„ factr , Max = maxRT„„ fac,r .
Г7Mf fa ГГ4st M fa
1 1 fa,st=M stands, 1 11 fa.st =1M stands, 1
Оценка уровня рискоустойчивости ИС позволит сравнивать уровни рискоустойчивости при возникновении различных рисковых событий.
Таким образом, предложенная методика позволяет не только снизить риски ИС, но и анализировать факторы риска ИС.
Заключение
В настоящее время актуальной является проблема ликвидации рисков ИС. Особенности решения сложившейся проблемы заключаются в применении специального подхода или процедуры к управлению рисками ИС. Управленческие подходы или процедуры должны быть ориентированы не только на минимизацию рисков, но и на выполнение требований федерального законодательства РФ и регуляторов в области ЗИ. Формализованная процедура управления рисками ИС, предложенная авторами статьи, соответствует рекомендации ГОСТ Р ИСО/МЭК 27005-2010. Такая процедура позволяет оптимизировать риски ИС, оценить риски, ущерб и эффективность управления.
Разработанная процедура управления рисками ИС может быть использована как часть системы менеджмента качества ИБ, выполняющей рекомендации ГОСТ [32]. В перспективе полученные результаты исследования можно использовать для разработки программного комплекса управления рисками ИС.
СПИСОК ЛИТЕРА ТУРЫ
1. Миков Д. А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной безопасности // Вопр. кибербезопасности. 2014. № 4 (7). С. 49-54.
2. Выборнова О. Н., Ажмухамедов И. М. Синтез управленческих решений по снижению рисков в нечетких условиях при ограниченных ресурсах // Фундаментальные исследования. 2016. № 5. Ч. 1. С. 18-22.
3. Попов Г. А., Попов А. Г. Результирующая оценка при наличии нескольких вариантов оценивания на примере задач информационной безопасности // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. 2017. № 1. С. 48-61.
4. Kravets А. The Risk Management Model of Design Department's PDM Information System // Creativity in Intelligent Technologies and Data Science. Second Conference, CIT&DS 2017 (Volgograd, Russia, September 12-14, 2017): Proceedings (Ser. Communications in Computer and Information Science. Vol. 754) / ed.
by A. Kravets, M. Shcherbakov, M. Kultsova, Peter Groumpos. Volgograd State Technical University [et al.]; [Germany]: Springer International Publishing AG, 2017. P. 490-500.
5. Финогеев А. А., Финогеев А. Г., Нефёдова И. С., Финогеев Е. А., Камаев В. А. Анализ информационных рисков в системах обработки данных на основе «туманных» вычислений // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. 2015. № 4. С. 38-46.
6. Аткина В. С., Воробьёв А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов предприятия // Информационные системы и технологии. 2015. № 1 (87). С. 125-131.
7. Киселева И. А., Искаджян С. О. Информационные риски: методы оценки и анализа. URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/ (дата обращения: 03.12.2017).
8. Белозёрова А. А., Оладько В. С., Микова С. Ю., Нестеренко М. А. Архитектура программы оценки рисков информационной безопасности в ERP-системах // Вестн. науки и образования. 2016. № 9 (21). С. 31-33.
9. Гнеушев В. А., Кравец А. Г., Козунова С. С., Бабенко А. А. Моделирование сетевых атак злоумышленников в корпоративной информационной системе // Промышленные АСУ и контроллеры. 2017. № 6. С. 51-60.
10. Вахрамеев Я. М., Богатенков Д. С. Управления рисками и проблемами на проектах по внедрению отечественных ERP-систем // Науч.-метод. электрон. журн. «Концепт». 2016. Т. 17. С. 103-108. URL: http://e-koncept.ru/2016/46184.htm (дата обращения: 03.12.2017).
11. Об информации, информационных технологиях и о защите информации: Федеральный Закон от 27 июля 2006 г. № 149-ФЗ. URL: http://fstec.ru/component/attachments/download/277 (дата обращения 03.12.2017).
12. Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»: Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. URL: http://fstec.ru/component/attachments/download/283 (дата обращения: 03.12.2017).
13. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (ред. от 15.02.2017). URL: http://fstec.ru/component/attachments/download/567 (дата обращения: 03.12.2017).
14. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента РФ от 05 декабря 2016 г. № 646. URL: http://base.garant.ru/71556224/ (дата обращения: 11.04.2017).
15. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. М.: Стандартинформ, 2011. URL: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (дата обращения: 03.12.2017).
16. Баранова Е., Мальцева А. Анализ рисков информационной безопасности для малого и среднего бизнеса // Директор по безопасности. 2015. Вып. 9. С. 58-63.
17. Суркова Н. Е., Остроух А. В. Методология структурного проектирования информационных систем: моногр. Красноярск: Науч.-инновац. центр. 2014. 190 с. URL: http://lib.madi.ru/fel/fel1/fel16S061.pdf (дата обращения: 06.12.2017).
18. Козунова С. С., Бабенко А. А. Модель построения защищенной информационной системы корпоративного типа // Информационные системы и технологии. 2016. № 3 (95). С. 112-120.
19. Ажмухамедов И. М., Князева О. М. Комплексная оценка качества информационных систем на основе нечеткого когнитивного моделирования // Научные тенденции: Вопросы точных и технических наук: сб. науч. тр. по материалам X Междунар. науч. конф. (Санкт-Петербург, 12 октября 2017 г.). СПб.: Изд-во ЦНК МНИФ «Обществ. наука». С. 10-12.
20. Поморцев А. С. Методика оценки рисков нарушения информационной безопасности организации с учетом квалификации экспертов // Докл. ТУСУРа. 2014. № 2 (32). С. 167-169.
21. Ажмухамедов И. М., Выборнова О. Н. Формализация понятий приемлемого и толерантного риска // Инженерный вестник Дона. 2015. Т. 37. № 3. С. 63.
22. BS 7799-3. Information security management systems. Guidelines for information security risk management.
23. COSO 2004. Enterprise Risk Management — Integrated Framework.
24. ISO 31000:2009. Risk management - Principles and guidelines.
25. Ажмухамедов И. М., Князева О. М. Оценка состояния защищенности данных организации в условиях возможности реализации угроз информационной безопасности // Прикаспийский журнал: управление и высокие технологии. 2015. № 3 (31). С. 24-39.
26. Campbell T. The Information Security Manager // Practical Information Security Management. 2016. P. 31-42.
27. Аникин И. В., Емалетдинова Л. Ю., Кирпичников А. П. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях // Вестн. Казан. технолог. ун-та. 2015. Т. 18. № 6. С. 195-197.
28. Аникин И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях: моногр. Казань: Редакц.-издат. центр «Школа», 2015. 224 с.
29. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утв. зам. директора ФСТЭК России 15 февраля 2008 г.). URL: https://fstec.ru/component/attachments/download/289 (дата обращения: 06.02.2018).
30. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. зам. директора ФСТЭК России 14 февраля 2008 г.). URL: https://fstec.ru/component/attachments/download/290 (дата обращения: 06.02.2018).
31. Козунова С. С., Кравец А. Г. Управление рискоустойчивостью информационной системы конструкторского бюро // Управление информационной безопасностью в современном обществе: материалы Всерос. молодежной науч. школы-конф. по проблемам информац. безопасности (Волгоград, 26-28 апреля 2017 г.). Волгоград: Волгогр. гос. ун-т, 2017. C. 203-207.
32. ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. М.: Стандартинформ, 2014.
URL: http://docs.cntd.ru/document/1200103165 (дата обращения: 06.12.2017).
Статья поступила в редакцию 14.12.2017
ИНФОРМАЦИЯ ОБ АВТОРАХ
Козунова Светлана Сергеевна — Россия, 400005, Волгоград; Волгоградский государственный технический университет; аспирант кафедры систем автоматизированного проектирования и поискового конструирования; [email protected].
Кравец Алла Григорьевна — Россия, 400005, Волгоград; Волгоградский государственный технический университет; д-р техн. наук, профессор; профессор кафедры систем автоматизированного проектирования и поискового конструирования; [email protected].
S. S. Kozunova, A. G. Kravets
FORMALIZED DESCRIPTION OF THE PROCEDURE OF INFORMATION SYSTEM RISK MANAGEMENT
Abstract. The article highlights the aspects of risk management in the information system. According to the analysis of the work of Russian and foreign scientists and world practices in the field of risk management, it is stated that there is a need to improve the effectiveness of risk management of information system and to develop a method for managing the risks of the information system. As a solution to the problem of effective risk management of the information system, there has been proposed a formalized procedure for managing the risks of the information system. The scientific novelty of this solution is the use of decision space and optimization space to reduce risks. This procedure allows to assess the damage, risk and effectiveness of risk management of the information system. The risks of the information system are determined and analyzed; a pyramidal risk diagram is developed. This diagram allows you to describe the relationship of risks with the components of the information system. The negative consequences to which these risks can lead are given. The analysis of methods and approaches to risk management has been carried out. Based on the results of the analysis, the methods GRAMM, CORAS, GOST R ISO / IEC scored to the maximum. The weak points of these methods and the difficulty of applying these methods in practice are described. The developed formalized risk management procedure to control the risks of information system can be used as management system's element of the information security quality that complies with the recommendations of GOST R ISO / IEC 27003-2012. The prospect of further development of the research results is the development of management systems of risk of information system.
Key words: information system, risk, damage, evaluation, management effectiveness, optimization.
REFERENCES
1. Mikov D. A. Analiz metodov i sredstv, ispol'zuemykh na razlichnykh etapakh otsenki riskov infor-matsionnoi bezopasnosti [Analysis of methods and means used at different stages of evaluating information security risks]. Voprosy kiberbezopasnosti, 2014, no. 4 (7), pp. 49-54.
2. Vybornova O. N., Azhmukhamedov I. M. Sintez upravlencheskikh reshenii po snizheniiu riskov v nechetkikh usloviiakh pri ogranichennykh resursakh [Synthesis of managerial decisions on risk decreasing in fuzzy environment and limited resources]. Fundamental'nye issledovaniia, 2016, no. 5, part 1, pp. 18-22.
3. Popov G. A., Popov A. G. Rezul'tiruiushchaia otsenka pri nalichii neskol'kikh variantov otsenivaniia na primere zadach informatsionnoi bezopasnosti [Resulting assessment with several variants of assessment with the example of the problems of information security]. Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriia: Upravlenie, vychislitel'naia tekhnika i informatika, 2017, no. 1, pp. 48-61.
4. Kravets A. The Risk Management Model of Design Department's PDM Information System. Creativity in Intelligent Technologies and Data Science. Second Conference, CIT&DS 2017 (Volgograd, Russia, September 12-14, 2017): Proceedings (Ser. Communications in Computer and Information Science, vol. 754). Ed. by A. Kravets, M. Shcherbakov, M. Kultsova, Peter Groumpos. Volgograd State Technical University [et al.]; [Germany]: Springer International Publishing AG, 2017. P. 490-500.
5. Finogeev A. A., Finogeev A. G., Nefedova I. S., Finogeev E. A., Kamaev V. A. Analiz infor-matsionnykh riskov v sistemakh obrabotki dannykh na osnove «tumannykh» vychislenii [Analysis of information risks in data processing systems using fog computing]. Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriia: Upravlenie, vychislitel'naia tekhnika i informatika, 2015, no. 4, pp. 38-46.
6. Atkina V. S., Vorob'ev A. E. Podkhod k otsenke riskov narusheniia informatsionnoi bezopasnosti s ispol'zovaniem ierarkhicheskogo podkhoda k ranzhirovaniiu resursov predpriiatiia [Approach to assessment of risks of breaking information security using hierarchical approach to ranking resources of the enterprise]. In-formatsionnye sistemy i tekhnologii, 2015, no. 1 (87), pp. 125-131.
7. Kiseleva I. A., Iskadzhian S. O. Informatsionnye riski: metody otsenki i analiza [Information risks: methods of assessment and analysis]. Available at: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/ (accessed: 03.12.2017).
8. Belozerova A. A., Olad'ko V. S., Mikova S. Iu., Nesterenko M. A. Arkhitektura programmy otsenki riskov informatsionnoi bezopasnosti v ERP-sistemakh [Architecture of the program of risk assessment in ERP-systems of information security]. Vestnik nauki i obrazovaniia, 2016, no. 9 (21), pp. 31-33.
9. Gneushev V. A., Kravets A. G., Kozunova S. S., Babenko A. A. Modelirovanie setevykh atak zloumyshlennikov v korporativnoi informatsionnoi sisteme [Simulating net attacking of corporate information system by hackers]. Promyshlennye ASUi kontrollery, 2017, no. 6, pp. 51-60.
10. Vakhrameev Ia. M., Bogatenkov D. S. Upravleniia riskami i problemami na proektakh po vnedreniiu otechestvennykh ERP-sistem [Managing risks and problems on the projects of domestic ERP-systems introduction]. Nauchno-metodicheskii elektronnyi zhurnal «Kontsept», 2016, vol. 17, pp. 103-108. Available at: http://e-koncept.ru/2016/46184.htm (accessed: 03.12.2017).
11. Ob informatsii, informatsionnykh tekhnologiiakh i o zashchite informatsii. Federal'nyi Zakon № 149-FZ ot 27 iiulia 2006 g. [On information, information technologies and information defence. Federal Law No.149-F3 dated July 27, 2006]. Available at: http://fstec.ru/component/attachments/download/277 (accessed: 03.12.2017).
12. Ob utverzhdenii Trebovanii o zashchite informatsii, soderzhashcheisia v informatsionnykh sistemakh obshchego pol'zovaniia. Prikaz FSB RF № 416, FSTEK RF № 489 ot 31 avgusta 2010 g. [On the approval of Requirements to defense of information contained in public information systems. Order of the Federal Security Service of the Russian Federation No. 416, the Federal Service for Technical and Export Control No.489 dated August 31, 2010]. Available at: http://fstec.ru/component/attachments/download/283 (accessed: 03.12.2017).
13. Ob utverzhdenii Trebovanii o zashchite informatsii, ne sostavliaiushchei gosudarstvennuiu tainu, soderzhashcheisia v gosudarstvennykh informatsionnykh sistemakh. Prikaz FSTEK Rossii ot 11 fevralia 2013 g. № 17 [On approval of Requirements to defense of information not classified as state secret and contained in state information systems. Order of Federal Service of Technical and Export Control of Russia of February 11, 2013]. Available at: http://fstec.ru/component/attachments/download/567 (accessed: 03.12.2017).
14. Ob utverzhdenii Doktriny informatsionnoi bezopasnosti Rossiiskoi Federatsii: Ukaz Prezidenta RF ot 05 dekabria 2016 g. № 646 [On approval of the Doctrine of Information security of the Russian Federation: Decree of the RF President No.646 of December 05, 2016]. Available at: http://base.garant.ru/71556224/ (accessed: 11.04.2018).
15. GOST R ISO/MEK 27005-2010. Informatsionnaia tekhnologiia. Metody i sredstva obespecheniia bezopasnosti. Menedzhment riska informatsionnoi bezopasnosti [GOST R ISO/IEC 27005-2010. Information technology. Security techniques. Information security risk management]. Moscow, Standartinform Publ., 2011. Available at: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (accessed: 03.12.2017).
16. Baranova E., Mal'tseva A. Analiz riskov informatsionnoi bezopasnosti dlia malogo i srednego biznesa [Analysis of information security risks for small and medium-sized entities]. Direktor po bezopasnosti, 2015, iss. 9, pp. 58-63.
17. Surkova N. E., Ostroukh A. V. Metodologiia strukturnogo proektirovaniia informatsionnykh sistem: monografiia [Methodology of structural design of information systems: monograph]. Krasnoyarsk, Nauchno-innovatsionnyi tsentr, 2014. 190 p. Available at: http://lib.madi.ru/fel/fel1/fel16S061.pdf (accessed: 06.12.2017).
18. Kozunova S. S., Babenko A. A. Model' postroeniia zashchishchennoi informatsionnoi sistemy korpora-tivnogo tipa [Model of building the secure corporate information system]. Informatsionnye sistemy i tekhnologii, 2016, no. 3 (95), pp. 112-120.
19. Azhmukhamedov I. M., Kniazeva O. M. Kompleksnaia otsenka kachestva informatsionnykh sistem na osnove nechetkogo kognitivnogo modelirovaniia [Integrated assessment of quality of information systems using fuzzy cognitive modelling]. Nauchnye tendentsii: Voprosy tochnykh i tekhnicheskikh nauk: sbornik nauchnykh trudov po materialam X Mezhdunarodnoi nauchnoi konferentsii (Sankt-Peterburg, 12 oktiabria 2017 g.). Saint-Petersburg, Izd-vo TsNK MNIF «Obshchestv. nauka». Pp. 10-12.
20. Pomortsev A. S. Metodika otsenki riskov narusheniia informatsionnoi bezopasnosti organizatsii s uchetom kvalifikatsii ekspertov [Technique of evaluating risks in breaking information security of the enterprise taking into account qualification of specialists]. Doklady TUSURa, 2014, no. 2 (32), pp. 167-169.
21. Azhmukhamedov I. M., Vybornova O. N. Formalizatsiia poniatii priemlemogo i tolerantnogo riska [Formalization of concepts of acceptable and tolerant risks]. Inzhenernyi vestnikDona, 2015, vol. 37, no. 3, p. 63.
22. BS 7799-3. Information security management systems. Guidelines for information security risk management.
23. COSO 2004. Enterprise Risk Management - Integrated Framework.
24. ISO 31000:2009. Risk management - Principles and guidelines.
25. Azhmukhamedov I. M., Kniazeva O. M. Otsenka sostoianiia zashchishchennosti dannykh organizatsii v usloviiakh vozmozhnosti realizatsii ugroz informatsionnoi bezopasnosti [Assessment of the degree of data security of the entity in the environment of possible threats to information security]. Prikaspiiskii zhurnal: upravlenie i vysokie tekhnologii, 2015, no. 3 (31), pp. 24-39.
26. Campbell T. The Information Security Manager. Practical Information Security Management, 2016, pp. 31-42.
27. Anikin I. V., Emaletdinova L. Iu., Kirpichnikov A. P. Metody otsenki i upravleniia riskami infor-matsionnoi bezopasnosti v korporativnykh informatsionnykh setiakh [Methods of evaluating and managing risks of information security in corporate information network]. VestnikKazanskogo tekhnologicheskogo universiteta, 2015, vol. 18, no. 6, pp. 195-197.
28. Anikin I. V. Metody otsenki i upravleniia riskami informatsionnoi bezopasnosti v korporativnykh informatsionnykh setiakh: monografiia [Methods of evaluating and managing risks of information security in corporate information network: monograph]. Kazan, Redaktsionno-izdatel'skii tsentr «Shkola», 2015. 224 p.
29. Bazovaia model' ugroz bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh (vypiska): utverzhdena 15 fevralia 2008 g. [Basic model of threats to personal data security in the process of their processing in information systems of personal data (abstract): adopted on February 15, 2008]. Available at: https://fstec.ru/component/attachments/download/289 (accessed: 06.02.2018).
30. Metodika opredeleniia aktual'nykh ugroz bezopasnosti personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh: utverzhdena 14 fevralia 2008 g. [Methods of detecting pressing threats to personal data security during their processing in the information systems of personal data]. Available at: https://fstec.ru/component/attachments/download/290 (accessed: 06.02.2018).
31. Kozunova S. S., Kravets A. G. Upravlenie riskoustoichivost'iu informatsionnoi sistemy kon-struktorskogo biuro [Managing risk tolerance of the information system of a design engineering bureau]. Uprav-lenie informatsionnoi bezopasnost'iu v sovremennom obshchestve: materialy Vserossiiskoi molodezhnoi nauchnoi shkoly-konferentsii po problemam informatsionnoi bezopasnosti (Volgograd, 26-28 aprelia 2017 g.). Volgograd, Volgogradskii gosudarstvennyi universitet, 2017. Pp. 203-207.
32. GOST R ISO/MEK 27003-2012. Informatsionnaia tekhnologiia (IT). Metody i sredstva obespecheniia bezopasnosti. Sistemy menedzhmenta informatsionnoi bezopasnosti. Rukovodstvo po realizatsii sistemy menedzhmenta informatsionnoi bezopasnosti [GOST R ISO/IEC 27003-2012. Information technology. Security techniques. Information security management systems. Guidelines for information security risk management.]. Moscow, Standartinform Publ., 2014. Available at: http://docs.cntd.ru/document/1200103165 (accessed: 06.12.2017).
The article submitted to the editors 14.12.2017
INFORMATION ABOUT THE AUTHORS
Kozunova Svetlana Sergeevna - Russia, 400005, Volgograd; Volgograd State Technical University; Postgraduate Student of the Department of Computer Aided Design and Search Design Systems; [email protected].
Kravets Alla Grigorievna - Russia, 400005, Volgograd; Volgograd State Technical University; Doctor of Technical Sciences, Professor; Professor of the Department of Computer Aided Design and Search Design Systems; [email protected].