CC BY
611
МЕТОДИЧЕСКИЙ ПОДХОД К ОЦЕНКЕ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ К.С. Кривякин, канд. экон. наук, доцент e-mail: brad@bk.ru
A.Р. Изотова, студент e-mail: zabortomopasno@gmail.com
B.М. Федоров, студент e-mail: fyodorovlad@yandex.ru
Воронежский государственный технический университет
В статье обоснована актуальность обеспечения информационной безопасности предприятия как одного из основных элементов экономической безопасности предприятия в современных условиях. Определены сущностные характеристики понятий «риск» и «угроза» в контексте экономической и информационной безопасности предприятия. Приведена схема управления информационными рисками предприятия, в основе которой находится процесс идентификации угроз, уязвимости и активов предприятия. Предложена классификация рисков информационной безопасности предприятия, а также рассмотрены достоинства и недостатки методов оценки информационных рисков. Кроме того, авторами разработан методический подход к оценке рисков информационной безопасности предприятия, позволяющий достичь оптимального соотношения между такими аспектами оценки рисков, как точность, надежность, широта применяемости и адекватность. Реализация предложенного методического подхода выполнена с помощью программно-прикладного продукта « VSRisk», позволяющего автоматизировать различные аспекты процесса оценки рисков информационной безопасности
Ключевые слова: информационная безопасность, угрозы информационной безопасности предприятия, методика оценки рисков, автоматизация управления информационной безопасностью предприятия
METHODOLOGICAL APPROACH TO RISK ASSESSMENT THE ENTERPRISE INFORMATION SECURITY K.S. Krivyakin, Candidate of Economic Science, Assistant Professor
e-mail: brad@bk.ru
A.R. Izotova, Student
e-mail: zabortomopasno@gmail.com V.M. Fedorov, Student e-mail: fyodorovlad@yandex.ru Voronezh State Technical University
The article substantiates the relevance of information security of the enterprise, as one of the main elements of economic security of the enterprise in modern conditions. The essential characteristics of the concepts of "risk" and "threat" in the context of economic and information security of the enterprise. The scheme of information risk management of the enterprise, which is based on the process of identification of threats, vulnerabilities and assets of the enterprise. Classification of risks of information security of the enterprise is offered, and also advantages and shortcomings of methods of an assessment of information risks are considered. In addition, the authors have developed a methodological approach to assessing the risks of information security of the enterprise, which allows to achieve an optimal balance between such aspects of risk assessment as accuracy, reliability, breadth of applicability and adequacy. The implementation of the proposed methodological approach is carried out with the help of the software and application product "VSRisk", which allows to automate various aspects of the process of information security risk assessment
Key words: information security, threats to enterprise information security, risk assessment methodology, automation of enterprise information security management
Деятельность организаций функционирующих в Проблемы обеспечения информационной без-
современных условиях, обязательно включает в себя опасности в России сегодня в большей степени рас-информационную составляющую, которой также как сматривается на национальном уровне. Области ис-и любой другой из составляющих экономической без- следования информационной безопасности предприя-опасности присущи определенные риски и угрозы. тий, уделяется меньше внимания, несмотря на то, что
С развитием IT-технологий и ввиду увеличения предприятия являются основным звеном в экономике числа угроз безопасности, актуальной является задача любого государства, которое подвержено информа-по разработке универсального методического подхода ционным рискам. Таким образом, можно констатиро-к оценке рисков информационной безопасности. вать, что вопросы, связанные с подходами к оценке
рисков информационной безопасности предприятия, в
--настоящее время недостаточно проработаны, что еще
более актуализирует тему настоящей работы.
© Кривякин К.С., Изотова А.Р., Федоров В.М., 2018 82 ЭКОНОМИНФО. 2018. Т.15. № 2
Теоретическую и методологическую основу данной работы составили труды отечественных и зарубежных исследователей в предметных областях информационной безопасности, экономики и риск-менеджмента.
Категории «экономическая безопасность» и «информационная безопасность», как и понятие «риск», относительно недавно появились в научной литературе. Данные понятия, как всякое новое, в настоящее время не имеют общепризнанного толкования. Рассмотрим несколько определений понятия «экономическая безопасность предприятия», представленных в современной экономической литературе.
Так, по мнению А. А. Сергеева, под экономической безопасностью предприятия понимается «интегральная оценка потенциала предприятия и степени его защищённости от негативного воздействия внешней и внутренней среды» [14].
С. А. Арбузов трактует понятие экономическая безопасность предприятия как «состояние его уровня защиты от отрицательного влияния внешних и внутренних угроз и различных факторов, при котором обеспечивается реализация основных целей деятельности предприятия» [1].
В. А. Богомолов полагает, что «экономическая безопасность предприятия - это такое состояние пред-приятия, при котором наиболее эффективно используются его ресурсы для предотвращения внутренних и внешних угроз, а также создаются условий для стабильного функционирования всех его подразделений» [5].
Обобщая мнения авторов, можно сказать, что под экономической безопасностью предприятия можно понимать процесс непрерывного обеспечения на предприятии стабильности его функционирования, защиты от негативного влияния факторов и угроз внутренней и внешней среды, а также его способности к дальнейшему развитию и совершенствованию на различных стадиях жизненного цикла. По мнению авторов, данное определение является наиболее полным и детально раскрывает сущность экономической безопасностью предприятия.
Под информационной безопасностью предприятия, Л. Л. Ефимова понимает защиту информации пред-приятия от случайного или умышленного несанкционированного доступа и тем самым причинения вреда нормальному процессу деятельности [7].
В свою очередь С. В. Петров, трактует информационную безопасность предприятия как «состояние защищенности информации от несанкционированного доступа, модификации, разрушения и раскрытия» [13].
В. Ф. Шаньгин определяет информационную безопасность как «состояние защищенности инфор-
мационной среды предприятия, способное обеспечить его функционирование и устойчивое развитие» [16].
Разнообразие трактовок категории «риск» связано с множеством ситуационных контекстов и с различными сферами применения данного понятия. Рассмотрим различные подходы к определению термина «риск», обусловленные особенностями применения данного понятия. В контексте экономической безопасности предприятия отсутствует единый подход к определению понятия «риск».
Е. Н. Безверхая понимает риск как «угрозу утраты предприятием части своих ресурсов (финансовых, интеллектуальных и др.), появления непредвиденных расходов или недополучения доходов вследствие осуществления производственной и финансовой деятельности» [4].
По мнению А. И. Зариповой «риск - это возможная вероятность потери, характеризующая убытки, связанные с ошибочными управленческими решениями, принимаемыми в результате исследования текущей деятельности предприятия» [9].
Н. Г. Габуниа и К. В. Корелин определяют риск как «опасность возникновения непредсказуемых потерь ожидаемой прибыли, имущества или других ресурсов предприятия в связи со случайной трансформацией условий экономической деятельности, сложившимися неблагоприятными обстоятельствами» [6].
А.Г. Бадалова рассматривает риск как «уровень неопределенности потенциальной возможности получения доходов предприятием» [2].
Проанализируем интерпретации понятия риска применительно к информационной безопасности пред-приятия.
Л.Н. Тепман предлагает понимать под информационным риском меру информационной опасности, которая характеризует вероятность возникновения опасности и размеры ущерба для репутации предприятия [15].
Н.Г. Милославская понимает риск как «вероятность нанесения ущерба предприятию, связанного с нарушением целостности информационной системы» [11].
A.А. Замула полагает, что риск информационной безопасности представляет собой «вероятность того, что некоторая информационная угроза сможет воспользоваться уязвимостью группы активов или отдельно взятого актива предприятия, тем самым нанеся ему значительный ущерб» [8].
B.Ф. Шаньгин рассматривает информационный риск как «возможность возникновения ущерба в виде убытков в результате применения предприятием информационных технологий» [16].
Можно констатировать, что информационные риски, прежде всего, связаны с приемом, получением, обработкой, хранением и дальнейшим использовани-
ем информации предприятия с помощью различных средств связи и электронных носителей. На практике зачастую понятие «риск» принимают за понятие «угроза» или считают, что они являются синонимами.
По мнению О. А. Крыжановского под угрозой в целом понимается «потенциальная возможность наступления неблагоприятного события, которое способно повредить механизмы защиты или воздействовать непосредственно на ценный ресурс, что непременно приведет к негативным последствиям для деятельности предприятия» [10].
В свою очередь под информационной угрозой понимают «вероятное событие, которое с помощью воз-действия на информацию или другие компоненты информационной системы предприятия может привести к нанесению ущерба» [12].
Угрозы информационным активам предприятия могут быть вызваны внутренними (программные и аппаратные сбои в работе оборудования, халатность сотрудников службы экономической безопасности, использование незащищенных каналов связи и т.д.) и
внешними (стихийные бедствия, хакерские атаки, обострение конкуренция и т.д.) факторами [4].
Необходимо отметить, что информационные риски могут переходить в категорию информационных угроз при определенных условиях, что позволяет рассматривать их как потенциальные угрозы для экономической безопасности предприятия.
Таким образом, «риск» является более широким понятием, в отличие от понятия «угроза», и вследствие этого можно с уверенностью сказать, что система экономической безопасности предприятия должна быть риск-ориентированной, направленной на выявление, анализ и оценку рисков, в том числе связанных с ее информационной составляющей.
Изучение термина «риск» применительно к информационной составляющей экономической безопасности предприятия позволило авторам раскрыть особенности управления рисками данной сферы. На рис. 1 представлена схема процесса управления информационными рисками предприятия.
Рис. 1. Схема управления информационными рисками предприятия
Управление информационными рисками предприятия основывается на результатах оценки рисков. В свою очередь, оценка рисков информационной безопасности состоит из трех основных элементов, а именно из идентификации угроз, уязвимостей и активов.
Особенностью процесса управления рисками в области информационной безопасности является то,
что, несмотря на актуальность проблем, решаемых с его помощью, он не может существовать отдельно и должен быть интегрирован в общую систему обеспечения экономической безопасности предприятия [8].
Все риски информационной безопасности предприятия можно классифицировать на различные группы, представленные на рис. 2 [7].
Рис. 2. Классификация рисков информационной безопасности предприятия
Существуют различные методы анализа и оценки информационных рисков предприятия, в том числе с помощью программно-прикладных продуктов. В рамках данного исследования авторами рассмотрены наиболее распространенные из них.
В настоящее время многими иностранными и российскими IT-компаниями, специализирующимися на решении проблем информационной безопасности, разработаны собственные методики оценки информационных рисков. Эти методики различаются, прежде всего, используемыми инструментами, которые положены в основу процессов оценки рисков [3].
Инструмент оценки рисков Microsoft Security Assessment Tool (MSAT), базирующийся на методике Microsoft, был разработан для помощи в идентификации и устранении угроз безопасности в информационной и вычислительной среде предприятия. Оценка риска по данной методике состоит из двух частей: определения профиля риска для бизнеса и оценки индекса эшелонированной защиты.
Существенным недостатком метода MSAT является то, что он предназначен для организаций с численностью персонала менее 1000 человек и небольшим количеством настольных систем. Следует отметить, что данное средство оценки рисков не принимает во внимание специфику отечественных организа-
ций, не учитывает требования российского законодательства.
Программный продукт для анализа и управления рисками COBRA реализует методы количественной оценки рисков, а также содержит в себе инструменты для проведения обзоров безопасности предприятия. Методика COBRA может применяться для работы специалистов службы экономической безопасности, ответственных за обеспечение информационной безопасности, однако она не дает качественной оценки рисков [3].
Одним из первых методов анализа и оценки информационных рисков является правительственный стандарт Великобритании CRAMM, который на сегодняшний день является наиболее распространенным в мире. Данный метод имеет соответствующий программный инструментарий, реализует комплексный подход к оценке рисков, сочетая в себе качественные и количественные методы оценки рисков, а также является универсальным и подходит как для предприятий различных размеров.
Положенная в основу метода CRAMM концепция состоит из двух частей, а именно из анализа рисков и управления рисками. Схема CRAMM представлена на рис. 3.
Анализ рисков Активы Уг£ юзы Уязвимости /
Управление рисками Ри Меры про (превентивные и ьКИ гив о действия восстановительные)
Рис. 3. Концептуальная схема метода CRAMM
Недостаток методики CRAMM с позиции предприятий, функционирующих на территории РФ, заключается в сложности русификации программного обеспечения, представленного только на английском языке, и большом объеме выходных документов. Данный метод подходит для использования в том случае, если требуется провести анализ рисков только на техническом уровне защиты, без учета административных и организационных факторов [16].
Проведя анализ методик и средств оценки рисков информационной среды предприятия, можно сделать вывод о том, что представленные методы дают неполную оценку рисков информационной безопасности предприятия, поэтому, возникает необходимость разработки наиболее совершенного методического подхода.
По мнению авторов, российским предприятиям необходимо использовать не только методику, предоставляющую результаты оценки рисков, но и простое в освоении и использовании программное средство проведения этой оценки.
Учитывая вышесказанное и недостатки рассмотренных методик, проведем оценку рисков информационной безопасности с применением программного обеспечения для оценки информационных рисков «VSRisk».
Предложенный методический подход к оценке рисков информационной безопасности предприятия включает в себя пять основных этапов, представленных на рис. 4.
Рис. 4. Основные этапы оценки рисков информационной безопасности предприятия
Первым шагом в оценке рисков является определение объекта оценки, а именно границ анализируемой информационной системы, а также ресурсов и
информации, образующих информационную систему. Вторым этапом методического подхода к оценке рисков является анализ процесса обеспечения инфор-
мационной безопасности предприятия. На основании проведенного анализа, на третьем этапе определяется перечень информационных активов предприятия, чаще всего, к ним относится: системное и программное обеспечение, технологическое и сетевое оборудование, информация, обрабатываемая персоналом пред-
приятия, база данных системы контроля и управления доступом (СКУД).
На четвертом этапе для дальнейшей оценки рисков может быть использован программный продукт «VSRisk», общий вид интерфейса которого, представлен на рис. 5.
Рис. 5. Интерфейс программного продукта «VSRisk»
В данной программе создадим перечень возможных информационных активов предприятия (рис. 6).
VSRISK 2 RISK ASSESSMENT
ISMS - IB О
View by: Owner
Filter lefm
¿Tim
В Сетевое и технологическое оборудование Ш» Прикладное и системное программное обеспечение S Системная документация = База данных СКУД £ Персонал
Рис. 6. Список возможных информационных активов предприятия
Затем для каждого их информационных активов выберем уязвимости и угрозы, а также проведем оценку вероятности возникновения данных угроз и
величины ущерба. На рис. 7 для актива «Технологическое и сетевое оборудование» представлен пример описания угрозы «Кража оборудования».
Ах&еЬ Сетевое и технологическое оборудование С^) '.Ч^..1 СьпПс^пиаЬгу 1пЬ?дмгу ДийП аЫНТу
1 трасС ^ © ©
Кёб^ь / 5сепапоз. {Ц*..! ( ш )
@ @ Сопй-ЬвпйзН 1п1е<дп(у | АиаН<аЬ№1у
У?1^ ипаийюпмс! асй оге; изе о? едЫртегИ н v К
^ йатаде: и и: ь ---я йГ йди^ггйШ ■аг те-^а 1 1 га
Согпргогтпзе о! \ п!отпайоп: ТЬ еР1 оГ ери!ргпеп1 БсГог* егечЛтсгЛ СопПйспйзПСу 1п(сдг15у Дъ-зНвЬнНТу
Ах5«£ С степа« и тинод4гним1йг о пдныс 1 трасС © © ©
СопКго!»: (+) Сш) ©
Пдг^ | ТгвэЬтел!:/ Соп1го1?
Р1ьк пятд 6 6 С
А П *ц-йй 1 Ь Р!е^с!иг>1 1плрасЕ Сспп Зепй 5ЬI:,1 © шьедпсу © А"Ц'5|Е ПТу" ©
икеипсоз © Е д Е А в А
Рис. 7. Описание угрозы «Кража оборудования»
После ввода информации по всем угрозам необходимо для каждой из них описать контрмеры и задать величину ущерба. В результате рядом с наименованием угрозы появится иконка, говорящая о неприемлемости (красный треугольник) либо приемлемости (зеленая галочка) риска, связанного с данной угрозой, что наглядно проиллюстрировано на рис. 8.
На завершающем этапе оценки рисков информационной безопасности предприятия производится количественная оценка рисков и формируется отчет в виде результирующей документации. Для каждого риска рассчитывается
математическое ожидание потерь за год в стоимостном выражении по следующей формуле: М = у * р
где v - стоимость информационного актива, который подвергается угрозе,
р - частота возникновения угрозы в течение года. Например, внедрение вредоносного вируса на сервер предприятия повлечет за собой выведение сервера из строя на один час, что обойдется предприятию в 300000 тыс.р., а вероятность совершения данной атаки в течение года равна 0,02. Таким образом, ожидаемые потери составят 300000*0,02 = 6000 тыс.р.
Ж V
Ж Ж
А
Compromise of information: Eavesdropping due to Network; Unprotected sensitive traffic
Compromise of functions: Error in use due to Software: Incorrect dates
Compromise of functions: Forging of rights due to Software: Poor password management
Compromise of information: Theft of media or documents due to Hardware: Unprotected storage
Compromise of functions: Error in use due to Personnel: Lack of security awareness
Compromise of functions: Error in use due to Personnel; Insufficient security training
Compromise of information: Eavesdropping due to Network: Unprotected communication Tines
Compromise of information: Theft of media or documents due to Hardware: Uncontrolled copying
Loss of essential services: Loss of power supply due to Hardware: Susceptibility to voltaçre variations
Physical damage: Dust, corrosion, freezing due to Hardware: Susceptibility to humidity, dust, soiling
Рис. 8. Отчет по результатам оценки рисков с помощью «VSRisk»
После предоставления отчета о проведенной оценке рисков информационной безопасности руководством предприятия принимаются решения по выбору средств, которые смогут обеспечить желаемый уровень информационной безопасности.
По итогам оценки рисков с помощью предложенного методического подхода, включающего использование программного продукта «VSRisk», авторами сформирован типовой перечень приемлемых рисков информационной безопасности предприятия:
- угрозы кражи системного и прикладного ПО (физический несанкционированный доступ);
- кража системной документации;
- вывод из строя сервера предприятия;
- угроза вывода из строя персонала предприятия.
Кроме того, авторами сформирован перечень
неприемлемых рисков информационной безопасности предприятия:
- угрозы кражи или разрушения сетевого и технологического оборудования;
- внедрение вредоносного вируса на сервер предприятия;
- кража или копирование сетевого и прикладного программного обеспечения.
Таким образом, предложенный методический подход позволит достичь оптимального соотношения между такими аспектами оценки рисков, как точность, надежность, широта применимости для различных организаций и адекватность оценки рисков. Применение в качестве программного продукта «VSRisk» позволит автоматизировать различные аспекты оценки рисков информационной безопасности предприятия. Использование данного методического подхода, позволит руководству предприятия принимать достаточно обоснованные решения по управле-
нию рисками, поскольку он сможет учитывать связь информационных активов с основными процессами, происходящими на предприятии.
Литература
1. Арбузов С. А. Методологические основы оценки уровня экономической безопасности предприятия // Общество и экономика. - 2017. - №6. - С.28-37.
2. Бадалова А. Г. Управление рисками деятельности предприятия / А.Г. Бадалова, А.В. Пантелеев. -М.: Вузовская книга, 2015. - 236 а
3. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности //Вестник Московского университета им. С.Ю. Витте. - 2015. -№ 1. - С. 73-79.
4. Безверхая Е. Н. Информационная безопасность предприятия: сущность и факторы / Е. Н. Безверхая, И. И. Губа, К. А. Ковалева. — Краснодар: Традиция, 2015 — 157 с.
5. Богомолов В. А. Введение в специальность «Экономическая безопасность»: Учебное пособие / В.А. Богомолов. - М.: ЮНИТИ, 2015. - 279 а
6. Габуниа Н. Г. Экономическая безопасность предприятия и управление рисками / Н.Г. Габуниа, К.В. Корелин // Известия Санкт-Петербургского государственного экономического университета. - 2015. -№ 4. - С. 79-81
7. Ефимова Л. Л. Информационная безопасность. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ-ДАНА, 2013. — 239 а
8. Замула А.А. Методы оценивания и управления информационными рисками / Прикладная радиоэлектроника. - 2015. - № 3. - С.182-187.
9. Зарипова А. И. Финансовые риски при обеспечении экономической безопасности предприятий // Молодой ученый. — 2018. — №1. — С. 61-63.
10. Крыжановский О. А., Попова Л. К. Анализ современных подходов к пониманию терминов «риск» и «финансовый риск» // Молодой ученый. — 2016. — №19. — С. 467-471.
11. Милославская Н. Г. Управление рисками информационной безопасности: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. - М.: РиС, 2014. - 130 а
12. Петренко С. А. Управление информационными рисками. Экономически оправданная безопас-
ность / С.А. Петренко, С.В. Симонов. - М.: Академия АйТи, 2004. - 384 с.
13. Петров С. В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 с.
14. Сергеев А.А. Критерии оценки экономической безопасности предприятия / Финансы и кредит. -2013. - №15. - С. 67-69
15. Тепман Л. Н. Управление информационными рисками: Учебное пособие / Л.Н. Тепман, Н.Д. Эриа-швили. - М.: ЮНИТИ, 2016. - 215 с.
16. Шаньгин В. Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. — М.: ДМК, 2014. — 702 с.
