CC BY
139
Н.И. Глухов, А.А. Краснощек
Глухов Николай Иванович — заведующий кафедрой информационной безопасности Иркутского государственного
университета путей сообщения, кандидат экономических наук
E-mail: gni1953@mail.ru
Краснощек Анатолий Анисимович — начальник Восточно-Сибирской железной дороги, кандидат экономических
наук
E-mail: gni1953@mail.ru
Методические вопросы оценки информационных рисков предприятий железнодорожного транспорта
В статье представлена усовершенствованная методика оценки информационных рисков предприятия, состоящая из ряда этапов, а также разработана многофакторная модель оценки рисков информационной безопасности хозяйствующего субъекта, включающая предложенные авторами дополнительные критерии оценки.
Рассматривается проблема оценки защищенности информационных активов предприятия с учетом информационных рисков. На основе комплексного подхода исследования учтены уязвимости в защите информационных активов предприятий.
The problem under consideration is the assessment of enterprise information assets protection taking into account informational risks. Vulnerability in enterprise information assets protection is regarded by means of a complex survey technique.
The paper represents an improved method of enterprise informational risks assessment consisting of a number of stages. Multifactor model of information security risks assessment at an enterprise has been developed. The authors introduce complementary assessment criteria within the model.
В современном деловом мире возрастающая зависимость деятельности предприятий железнодорожного транспорта от информационных систем и технологий приводит к тому, что предприятия транспортной инфраструктуры становятся уязвимыми по отношению к угрозам различного рода. Все чаще реализуются такие угрозы на транспорте, как террористический акт, мошенничество, вредительство, промышленный шпионаж, компьютерные взломы, заражения компьютерных информационных систем вредоносными программами и др.
Следует отметить, что возрастает скорость изменений и сложность информационных рисков, что мешает поддержанию непрерывной деятельности предприятий, проявляются тенденции возрастания количества внутренних угроз, исходящих от сотрудников организаций (инсайдеров). Поэтому информационные активы предприятий транспортной инфраструктуры, подобно любым другим активам, нуждаются в обеспечении безопасности.
Информационные риски определяются вероятностью причинения ущерба и величиной ущерба, наносимого предприятиям железнодорожного транспорта в случае осуществления угрозы безопасности информационным активам. В общей структуре рисков объектов транспортной инфраструктуры информационные риски пронизывают
все остальные риски, поскольку они рассматриваются в результате применения предприятиями информационных технологий, то есть связаны с созданием, передачей, хранением и использованием информации.
Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала предприятий. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60—80% от их общего числа.
Оценка информационных рисков представляет собой одно из главных направлений достижения информационной безопасности предприятий. На современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков и оценке эффективности деятельности по защите информационных активов предприятий железнодорожного транспорта.
Деятельность по оценке информационных рисков включает в себя идентификацию информационных активов, оценку угроз и уязвимостей, возможного ущерба с учетом уровня защищенности информационных активов. Существуют различные подходы к оценке информационных рисков, выбор которых зависит от уровня требований, предъявляемых в организации к системе инфор-
мационной безопасности. От полученной оценки выявленного риска зависит ответственное принятие решения о стратегии, форме защиты, финансировании, страховании, структуре капитала, создании резервного фонда и т. п.
Учитывая многообразие методов и подходов, применяемых при оценке информационных рисков предприятий транспортной инфраструктуры, представляется целесообразным использовать метод моделирования как один из основных методов исследования сложных динамических систем, к которым относятся предприятия железнодорожного транспорта. Следует отметить, что эффективность оценки рисков зависит от понимания и моделирования взаимосвязей между составляющими элементами системы защищенности информационных активов (см. рис. 1).
На сегодняшний день существует ряд моделей измерения рисков информационной безопасности экономического субъекта, среди которых наиболее распространенными являются двухфактор-ная и трехфакторная модели оценки рисков1.
Авторами предлагается многофакторная модель оценки информационных рисков на предприятиях железнодорожного транспорта (см. рис. 2) и формула для определения уровня риска информационным активам
2.
Р = Ущ х Ву х [ Уп +
Уте + Упас + Уорг
3
] (1),
где Р—уровень риска информационным активам; Ущ — ущерб от реализации угрозы информационному активу;
Ву — вероятность реализации угрозы на информационный актив; Уп — коэффициент степени уязвимости персонала;
Уте — коэффициент степени уязвимости технических средств;
Упас — коэффициент степени уязвимости программно-аппаратных средств;
Уорг — коэффициент степени уязвимости организационных мер.
Использование многоступенчатого обратного факторного анализа позволяет исследовать причинно-следственные связи между ценностью информации, вероятностью реализации угроз (Ву) и степенью уязвимости информационных активов (Уи) индуктивным способом (от частных, отдельных факторов к обобщающим) на основе детализации факторов Ву и Уи на составные элементы с целью изучения их сущности и влияния на результативный показатель риска. Фактор Ву включает в себя объективные и субъективные факторы, умышленность — непреднамеренность действий.
Показатель Уи является обобщающим показателем таких факторов, как:
— коэффициент риска, исходящий от персонала (включает в себя степень надежности персонала, который рассчитывается на основании ряда факторов — профессиональная подготовка, отрицательные увлечения, отрицательные черты характера);
— коэффициенты уязвимости технических, программно-аппаратных средств обработки информации и организационных мер.
Авторами предлагается методика оценки и управления информационными рисками предприя-
Угрозы
Рис. 1. Модель взаимосвязей в системе защиты информационных активов предприятия
тий железнодорожного транспорта, состоящая из следующих этапов:
1 этап. Подготовительный этап, в ходе реализации которого для получения необходимой первичной информации для ее последующей обработки предлагается следующий перечень мероприятий:
1.1. Создание и организация деятельности общей экспертной группы, состоящей из внешних аналитиков и экспертов из числа сотрудников службы безопасности, отдела информационных технологий, экономической службы. В круг обязанностей данной экспертной группы входит проведение аудита информационной безопасности.
1.2. Включение руководителей подразделений (заместителей) в деятельность по анализу информационных рисков в качестве экспертов по кругу вопросов, относящихся к данному подразделению.
1.3. Обучение экспертов методике оценки угроз и рисков информационной безопасности.
1.4. Сбор первичной информации о системе защиты информационных активов. Использование аналитиками метода анкетирования управленческого персонала и проведение интервью с персоналом каждого подразделения.
2 этап. Оценка рисков информационной безопасности предприятия. Состоит из следующих под-этапов:
2.1. Идентификация и классификация информационных активов.
2.2. Оценка информационных угроз безопасности предприятию, построение модели нарушителя и других источников нарушения информационной безопасности.
2.3. Определение ценности информационных активов (ущерба от реализации угроз безопасности).
2.4. Оценка уязвимостей информационных активов предприятия.
2.5. Анализ уровней информационных рисков в каждой подсистеме корпоративной информационной системы.
3 этап. Управление информационными рисками предприятия.
4этап. Создание комплексной системы защиты информационных активов предприятия.
5 этап. Реализация программы обеспечения информационной безопасности предприятия.
6 этап. Анализ эффективности вложений в информационную безопасность предприятия.
Так, на этапе проведения идентификации и классификации информационных активов алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание, а также взаимодействие с внешними элементами по следующим категориям:
1) человеческие ресурсы (надежность персонала);
2) информационные активы (открытая, конфиденциальная информация компании);
3) программные ресурсы (ОС, СУБД, КИС, например, ERP MRP OCR, 1С, Флагман, Банк-клиент и др.);
4) физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
5) сервисные ресурсы (электронная почта, www и т. д.);
6) помещения (в которых обрабатывается, хранится информация).
При проведении оценки информационных угроз безопасности предприятию железнодорожного транспорта, построении модели нарушителя и других источников нарушения информационной безопасности предлагается классифицированный перечень угроз безопасности информационным активам по нескольким критериям (умышленность— непреднамеренность дей-
Рис. 2. Многофакторная модель оценки информационных рисков на предприятиях железнодорожного транспорта
ствий, организационный — технический уровни, естественные — искусственные угрозы), включающий в себя 3 группы, в каждой из которых содержится по 8 видов основных угроз. Это следующие группы:
1. Непреднамеренные искусственные угрозы (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла), а также угрозы на организационном уровне.
2. Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала (с корыстными целями, по принуждению, из желания отомстить и т. п.)
3. Непреднамеренные естественные угрозы и угрозы, связанные с техникой (источниками случайных воздействий являются окружающая среда, надежность оборудования и др.).
Вероятность реализации каждого вида угрозы предлагается определять методом экспертных оценок с учетом имеющейся некоторой статистики по видам угроз, затем преобразовать вероятности угроз к ежегодной частоте. Показатель вероятной частоты наступления угрозы в дальнейшем используется для расчета уровня рисков. Шкала вероятности наступления угроз разделена на пять уровней — очень низкий, низкий, средний, высокий, очень высокий.
На этапе определения ценности информационных активов проводится категорирование корпоративной информации, то есть выделение защищаемой информации из всего объема информационных активов, далее из категории защищаемых информационных активов — выделение конфиденциальной информации. Категорирова-ние заключается в определении уровня ценности информации, его критичности (под этим понимается степень влияния информации на эффективность функционирования хозяйственных процессов предприятия).
Представляется необходимым рассматривать ценность информационных активов как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации предприятия, дезорганизации его деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Таким образом, ценность актива определяется экспертами путем оценки степени возможного нанесения ущерба предприятию при неправомерном использовании рассматриваемой информации (то есть в случае нарушения его конфиденциальности, целостности и/или доступности).
Чтобы избежать избыточного суммирования по ущербу (затрат на ликвидацию последствий), необходимо анализировать возможность реализации угроз безопасности по видам информационных активов организации.
Для экспертной оценки возможного ущерба от реализации угроз используются следующие категории: стоимость восстановления и ремонта ком-
пьютеров, сетей и другой техники; упущенная прибыль; ущерб от разглашения конфиденциальной информации; судебные издержки; потеря производительности труда; потери,связанные с простоем и выходом из строя оборудования.
На этапе оценки уязвимостей информационных активов устанавливаются возможные уязвимости в информационной системе предприятия. Степень уязвимости информации является интегральным показателем, для определения которого учитываются следующие аспекты, относящиеся к организационному и техническому направлениям деятельности по защите информации:
1) количество персонала;
2) коэффициент риска, исходящий от персонала (включает в себя степень надежности персонала);
3) коэффициент уязвимости технических средств обработки информации;
4) коэффициент уязвимости программно-аппаратных средств обработки информации;
5) коэффициент уязвимости организационно-режимных мер.
Уровень информационных рисков предприятия железнодорожного транспорта оценивается по каждому активу (или каждой подсистеме корпоративной информационной системы — КИС), затем добавляется оценка по общим аспектам (сервера, инфраструктуры, помещения и т. д.).
Для определения уровня риска по каждому ценному информационному активу предлагается использовать метод ожидаемых потерь (ALE — Annua-lised Loss Expectency), показывающий возможные финансовые потери предприятия в результате несоответствующей защиты информации)3.
С применением формулы 1 производится вычисление уровня риска, то есть показателя возможных потерь (ущерба), при учете таких аспектов, как вероятность и частота проявления той или иной угрозы в течение года, возможный ущерб от ее реализации, степень уязвимости информации. Результаты анализа рисков информационной безопасности отражаются в таблице.
На этапе отбора информационных активов с наиболее высоким уровнем риска и расстановки приоритетов в деятельности по оценке и управлению рисками проводится анализ экспертной информации по каждому исследуемому активу с целью определения уровня риска, составление сводных аналитических отчетов, формирование заключений экспертной группы об уровне информационных рисков предприятия и состоянии информационной безопасности. Объединение рисков по всем активам дает общую величину риска информационной безопасности предприятия с учетом внедренных в информационную систему элементов защиты информации.
Угрозы ранжируются по значениям их фактора риска, что позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации. Далее на основании полученных данных отбираются инфор-
Таблицу
Анализ рисков информационной безопасности предприятия (расчет показателя ожидаемых финансовых потерь)
Активы Потен-циаль-ные угрозы Частота угрозы в год Возможный ущерб от угрозы, руб ^уязвим. персона-га Ожидае-мые потери, с учетом Куязвим.персона-ла (ALE1), руб Куязвим. техн., пр-апп. средств, орг. мер Ожидае-мые потери с учетом Куязвим. техн., пр-апп. ср., орг (ALE2), руб Общий показатель ожидаемых потерь (ALE), руб
Актив 1 НО 1 4 30 000 0,4 48 000 0,25 30 000 78 000
НО 2 12 50 000 0,4 240 000 0,25 150 000 390 000
ИТОГО по п. 1: 288 000 180 000 468 000
Актив 2 У 4 12 1000 0,37 4 440 0,2 2 400 6 840
ЕТ 3 2 50 000 0,37 37 000 0,2 20 000 57 000
ИТОГО по п. 2: 41 440 22 400 63 840
мационные активы с наиболее высоким уровнем риска, при которых ущерб от реализации угроз существенный. Угрозы ранжируются по значениям их фактора риска. Выбор допустимого уровня риска связан с затратами на реализацию информационной безопасности.
В результате такого рассмотрения для определенного количества угроз, наносящих основной ущерб (актуальных угроз), принимается решение о необходимости введения организационных и технических мероприятий. При расстановке приоритетов в снижении неприемлемого уровня риска остается так называемый «остаточный риск» — риск, имеющий приемлемый уровень, в отношении которого не принимается решение о применении защитных мер.
Использование моделирования в деятельности по оценке информационных рисков на предприятиях железнодорожного транспорта позволяет проанализировать взаимосвязи между используемыми показателями, увидеть наиболее уязвимые активы, иметь более полное представление о существующих информационных рисках, для того чтобы принять решение об остаточных рисках и рисках, требующих внимания и средств для их уменьшения или нейтрализации.
Таким образом, использование рассматриваемого подхода позволяет сосредоточить процесс управления риском на областях, отличающихся наивысшим уровнем риска или требующих наибольшего внимания. Только после этого разрабатывается программа создания комплексной системы защиты информационных активов, характеризующаяся оптимальными временными, материальными и финансовыми затратами, реализация которой позволит обеспечить требуемый уровень информационной безопасности предприятия железнодорожного транспорта.
Примечания
1. См.: Симонов C.B. Методология анализа рисков в информационных системах // Защита информации. Конфидент. — 2001. — № 1. — C. 72—76; Технологии и инструментарий для управления рисками // Информационный бюллетень «Jet Info». — 2003. — № 2. — С. 4—8.
2. См.: Глухов Н.И. Оценка информационных рисков: теория и практика / Н.И. Глухов, Б.Г Туренко. — Иркутск, 2010.
3. См.: Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. — М., — 2004.
