CC BY
17
УДК 004.056.55
Храмцов И.А. аспирант 1 курса
кафедры безопасности информационных технологий
Россия, г. Красноярск Научный руководитель: Колесников С.Г., д.ф-м.н.
профессор кафедры БИТ.
Сибирский государственный университет науки и технологий
имени академика М.Ф. Решетнева Россия, г. Красноярск ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА АНАЛИЗА И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Аннотация: Рассматриваются вопросы, связанные со средствами анализа и управления информационными рисками на предприятии. Показанные методы позволяют выделить основные методики алгоритмы построения информационной безопасности на предприятии с учетом выбора направления политики информационной безопасности.
Ключевые слова: Информационные риски, безопасность, информационные ресурсы, шифрование, Средства информационной безопасности.
Khramtsov I.A.
Graduate student
1st year, Department of Information Technology Security Siberian State
Scientific adviser: Kolesnikov SG Doctor of Physical and Mathematical Sciences, Professor of the Department BIT.
Siberian State University of Science and Technology named after academician M.F. Reshetnyova
Russia, Krasnoyarsk INFORMATION RISK ANALYSIS AND MANAGEMENT TOOLS
Abstract: The issues related to the means of analysis and management of information risks in the enterprise are considered. The shown methods make it possible to identify the main methods of algorithms for building information security in the enterprise, taking into account the choice of the direction of information security policy.
Keywords: Information risks, security, information resources, encryption, Information security tools
Введение. В современном мире вопрос защиты информации является актуальным и приоритетным в его решении. Поскольку информация в большой части предприятий храниться в электронном виде. Поэтому для решения принятия мер в выборе инструментов по защите информации и данных предприятий, основной составляющей в данном процессе будет
являться оценка и прогноз возможных информационных рисков для предприятия.
Сейчас существуют целые комплексы автоматизированных средств для оценки информационных рисков предприятия и их управлению. Такие как - CRAMM (Central Computer and Telecommunications Agency.) созданный Великобритании, RiskWatch созданный в США, и пакет Гриф (Digital Securit) созданный в России.
Основные используемые методики. Данные примеры программного обеспечения позволяют полностью спрогнозировать и составить информационную модель предприятия и оценить, рассчитать возможные информационные риски.
A) Метод CRAMM.
При разработке данного метода было основной целью было проектирование алгометрической процедуры которая бы позволила:
1) Подтвердить, что предложенные требования по обеспечению безопасности были целиком и полностью проанализированные и записанные документально.
2) Минимизировать дополнительные расходы на излишки по мерам безопасности предложенные при анализе и оценке рисков.
3) Существенно облегчить процесс планирования при реализации мер по защите на протяжении всего жизненного цикла всей информационной системы предприятия.
Основной концепцией, которая легла в данный метод включала в себя идентификацию и вычисление мер выявленных рисков по результатам оценки используемых ресурсов (угроз и уязвимостям ресурсов). По результатам контроля риска представлял собой идентификацию и выбор контрмер, по результатам которого получиться минимизировать риски до приемлемого допустимого уровня.
Данные метод анализа и управления информационных рисков востребовано используется на западе, а так же широко используется на предприятиях России.
Б) Метод RiskWatch.
Данное средство анализа и управления информационным рисками позволяет провести анализ рисков и принять решению по выбору средств и мер защиты информации предприятия. Сам метод разбит на 4 стадии.
Программное обеспечение RiskWatch позволяет оценить не только те риски, которые сейчас существуют у предприятия, но позволяет выявить выгоду, при реализации физических, технических, программных и прочих средств и механизмов защиты информации. По выявленным отчетам графикам в результате использования данного метода - позволяет придти к решению об улучшении системы обеспечения безопасности предприятия.
B) Метод ГРИФ
Далее рассмотрим метод ГРИФ - где анализ рисков формируется с помощью создания модели информационной системы предприятия. Здесь
рассматриваются средства защиты информационных ресурсов, их взаимосвязь, а так же воздействие прав доступа к защищенным ресурсам. При реализации данного инструментария происходит анализ защищенности и архитектуры построения используемой предприятием информационной системы. Так же происходит анализ архитектуры используемой сети, которая включает в себя все используемые ресурсы которые включают в себя информационную ценность.
В результате используемых данных данное программное обеспечение формирует полную и объективную модель информационной системы предприятия, на которой в дальнейшем формируется анализ защищенности по каждому виду информации на используемых ресурсах.
Проблемы и недостатки методов. Данные методы имеют как общие недостатки характерные каждому, так и отличительные с учетом специфики анализа оценки и управления информационными рисками.
К недостаткам метода СКЛММ можно отнести следующее:
1) Применение метода требует специализированной подготовки и высокой квалификации.
2) Метод СЯЛММ в гораздо большей степени подходит для уже существующих информационных систем, чем для систем находящихся в разработке.
3) Проверка по методу СКЛММ — достаточно сложный и трудоемкий процесс и может занять до несколько месяцев непрерывной работы
4) Инструментарий метода СКЛММ создает огромное количество бумажной документации, которая в дальнейшем практике не всегда оказывается актуальной
5) В методе СКЛММ не реализовано создание шаблоны отчетов или редактирование уже существующих.
6) Возможность внесения дополнений в базу знаний СКЛММ недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
7) Программное обеспечение СКЛММ имеет поддержку только английского языка.
8) Достаточно высокая стоимость лицензии.
К недостаткам RiskWatch можно отнести:
1) Данный метод применим, при проведении анализ рисков на программно-техническом уровне защиты, без учета организационных факторов и так же административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — так как сам метод не позволяет учесть комплексный подход к информационной безопасности.
2) Программное обеспечение RiskWatch имеет поддержку только английского языка.
3) Высокая стоимость лицензии — от $15 000 за одну единицу рабочего места и примерно $125 000 за корпоративную лицензию. К недостаткам ГРИФ можно отнести:
1) В данном методе отсутствует привязка к бизнес-процессам.
2) Не реализована возможность оценки и сравнения полученных отчетов на разных этапах внедрения и реализации планируемых мер по обеспечению информационной безопасности.
3) Отсутствует возможность добавления специфичных и расширенных требований политики безопасности при оценке и реализации системы информационной безопасности.
Выводы. Можно сделать вывод что единой "универсальной" методики, по которой можно было бы определить количественную величину информационного риска предприятия, на сегодняшний день не существует. Но, Во-первых, это обусловлено отсутствием необходимого объема статистической информации о возможности возникновения какой-либо конкретной угрозы. Во-вторых, играет немаловажную роль тот факт, что определить величину стоимости конкретного информационного ресурса на предприятии порой очень трудно.
Использованные источники:
1) АйТи Управление информационными рисками // [Электронный ресурс] Режим доступа: http://www.it.ru/press_center/publications/3818
2) Методики и программные продукты для оценки рисков // [Электронный ресурс] Режим доступа: http://www.intuit.ru/studies/courses/531/387/lecture/8996?page=1
3) Успехи современного естествознания//Управление рисками при внедрение ИТ проектов // [Электронный ресурс] Режим доступа:http://www.econf.rae.ru/pdf/2007/10/Pesotskaya.pdf
4) Чернышева Т.Ю., Жуков А.Г. Программный модуль учета рисков проекта на основе дерева решений // Ползуновский вестник. 2012. № 3-2. -С. 70-73.
5) Чернышева Т.Ю., Удалая Т.В. Оценка риска проекта информатизации на основе продукционных правил // Научное обозрение. 2013. № С. 169-172.
А Р1
1591
