ОЦЕНКА МОДЕЛИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: ХАРАКТЕРИСТИКА, ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ Текст научной статьи по специальности «Экономика и бизнес»

ОЦЕНКА МОДЕЛИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: ХАРАКТЕРИСТИКА, ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ

А.В. Минаков, д-р экон. наук, профессор

Московский университет МВД России имени В.Я. Кикотя

(Россия, г. Москва)

DOI:10.24412/2411-0450-2023-10-2-63-69

Аннотация. Быстрое развитие информационных технологий также увеличивает риск утечки информации, призывая к разработке стратегии систематической защиты информации. В современных условиях организации должны разрабатывать и реализовать комплексную стратегию для обеспечения защиты от рисков безопасности и защиты конфиденциальных данных. Проведение оценки рисков с помощью специальных моделей позволяет целостно рассмотреть информационные технологии с точки зрения злоумышленников, принимать обоснованные решения о распределении ресурсов, инструментах и реализации мер безопасности. Целью исследования является оценка модели рисков информационной безопасности, дать характеристику рисков, выявить основные проблемы защиты от их возникновения и рассмотреть перспективы развития процесса управления рисками организации. При проведении исследования применялись различные общенаучные и специальные методы. Были поставлены и успешно решены следующие задачи исследования: проведен анализ существующих механизмов и инструментов защиты от угроз в информационной сфере, рассмотрены основные модели оценки рисков информационной безопасности защиты от угроз в информационной сфере, дана им характеристика и выявлены проблемы оценки информационных рисков, а также названы основные направления в применении моделей оценки рисков.

Ключевые слова: информационная безопасность, информационные технологии, кибер-риски, модель безопасности, защита информации, экономическая безопасность.

Прежде всего, необходимо определить роль и место информационных технологий в современном мире. Так, по мнению У. Эргашева с соавторами, информационные технологии - это область управления и обработки информации с помощью компьютеров и любых других форм цифровых коммуникаций и технологий [11, с. 1]. Информационные технологии используются как в личных, так и в коммерческих целях. В процессе их использования возникает необходимость в обеспечении безопасности обрабатываемых данных.

При этом, важным элементом информационных технологий является информационная безопасность - это стратегическое внедрение инструментов для защиты информации от несанкционированного доступа, связанного с незаконными действиями, для управления рисками [11, с. 1]. С точки зрения А.М. Марачевой, риск состоит из таких элементов: тяжесть возможного ущерба, вероятность потенциального

воздействия, частота и продолжительность влияния, способность избежать или сократить ущерб [6, с. 179]. Риски, связанные с применением информационных технологий, как раз и формируют те киберриски, которые снижают информационную безопасность организации, общества, человека.

Проведение оценки является неотъемлемой частью процесса управления рисками организации. А.И. Шлыков и А.С. Шабуров считают, что оценка риска -процесс обнаружения, составления перечня и описания элементов риска [109, с. 244]. В целом, анализ рисков — это метод, используемый для выявления и оценки факторов, которые могут поставить под угрозу успех проекта или достижение цели. Этот процесс оценивает риски и количественно определяет серьезность каждой потенциальной опасности, чтобы определить наилучший курс действий. Риски оцениваются на предмет их потенциально-

го воздействия и вероятности возникновения, что дает информацию для процесса принятия решений, позволяя планировать и готовиться к потенциальным проблемам, а также снижать их негативное воздействие. Цель оценки рисков - убедиться, что у компании есть планы действий в чрезвычайных ситуациях на случай возникновения определенных сценариев.

А.В. Филимонов считает, что риск причинения вреда информационной системе есть всегда, и это может быть связано как с проблемами случайных утечек и иных нарушений вследствие ошибок при создании информационной системы, так и с намеренными действиями других лиц для похищения или причинения вреда информации. Система информационной безопасности должна быть в состоянии предотвращать угрозы, минимизировать потери, вызванные реализацией определенных угроз [8, с. 125].

Потенциальную опасность для информационных активов могут представлять:

эксфильтрация конфиденциальных или важных данных, скомпрометированные учетные данные, фишинговые атаки, атаки типа «отказ в обслуживании», атаки на цепочку поставок, неправильные настройки, аппаратные сбои, человеческие ошибки.

Оценка рисков безопасности определяет, изучает и реализует ключевые меры безопасности. Она также фокусируется на предотвращении дефектов и уязвимостей безопасности информационной системы.

Оценка рисков информационной безопасности - это не разовый проект по обеспечению безопасности. Скорее, это непрерывная деятельность. Непрерывная оценка предоставляет организации актуальный снимок угроз и рисков, которым она подвергается.

Р.С. Аносов, С.С. Аносов и

И.Ю. Шахалов характерными особенностями оценки риска информационной безопасности считают следующие (рис. 1).

Рис. 1. Характерные особенности оценки риска информационной безопасности [3, с. 2]

Комплексная оценка рисков информационной безопасности позволяет организации:

- определить активы, подлежащие защите (например, сеть, серверы, приложения, центры обработки данных, инструменты и т.д.) внутри организации;

- создать профили рисков для каждого актива;

- определить, какие данные хранятся, передаются и генерируются этими активами;

- оценить критичность активов в отношении бизнес-операций (общее влияние на доходы, репутацию);

- измерить рейтинг рисков для активов и определить их приоритетность для оценки;

- применить смягчающие меры контроля для каждого актива на основе результатов оценки.

Такие факторы, как размер информационной системы, темпы роста, ресурсы и портфель активов, влияют на глубину моделей оценки рисков. Организации могут проводить обобщенные оценки, когда испытывают ограничения по бюджету или времени. Однако обобщенные оценки не обязательно обеспечивают детальное сопоставление активов, связанных с ними угроз, выявленных рисков, воздействия и средств контроля. Если результаты обобщенной оценки не обеспечивают достаточной корреляции между этими областями, необходима более глубокая оценка.

К проблемам оценки информационных рисков М.В. Шаханова, ЕЕ. Швец, Д.С. Шаханова относят ограниченные бюджеты, ограниченные человеческие ресурсы, постоянно меняющуюся бизнес-среду [8, с. 97].

Для подтверждения актуальности задачи обеспечения информационной безопасности, оценки рисков, воспользуемся данными статистики. Количество событий информационной безопасности в РФ во 2 кв. 2023 г. относительно 2 кв. 2023 г. выросло на 38% до 325 тыс. событий (рис. 2).

В 2023 г. наблюдается рост количества атак вредоносных программ, тогда как в 3 и 4 кварталах данный показатель снижался (рис. 3).

350

300

250

ti 200

<j 150

и

100

50

0

236

2 кв.2022 г.

I количество событий IIE -

2 кв.2023 г.

период

подозрений на инцидент, тьтс.ед.

Рис. 2. Динамика количества событий информационной безопасности в РФ во 2 кв. 2022 г.

- 2 кв. 2023 г., тыс. ед. [4]

Рис. 3. Динамика количества атак вредоносных программ (атак шифровальщиков),

ед. [1, 2]

С января по апрель 2023 года в Интернет в результате кибератак попали данные 123 российских организаций. А общий объем украденных данных составил 1,1 терабайта [6].

В структуре атак киберпреступников значительную долю составляют атаки на медучреждения, учреждения науки и образования, госучреждения, промышленность, 1Т-компании. В 2023 г. выросла доля атак

на учреждения науки и образования, 1Т-компании, медучреждения (рис. 4).

В структуре атак на организации преобладает распространение вредоносного программного обеспечения через электронную почту (рис. 5).

Структура похищенных данных у предприятий по типам представлена на рисунке 6.

100%

90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

■ Госучреждения 11Т-компанпп

36 - 34

13 7 17 11

: :

14 _ — _

—

15 20

15 — 11 7 -

2022 г.

период

■ Промышленность

■ Наука II образование

2 кв.2023 г.

Медучреждения Прочие

Рис. 4. Распределение атак киберпреступников по организациям, % [1, 2]

Рис. 5. Структура способов распространения вредоносного программного обеспечения в

кибератаках на организации, % [1, 2]

100%

90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

■ 4 _ 5 3

9

10

18 53

,4

.7

36

период

■ Персональные данные ■ Коммерческая тайна

■ Медицинская информация ■ Переписка Другая информация

Учетные данные Данные платежных карт

Рис. 6. Структура похищенных данных у предприятий по типам, % [1, 2]

В большинстве случаев у организаций злоумышленники похищают персональные данные и сведения составляющие коммерческую тайну.

Таким образом, очевидно, что в настоящее время есть необходимость защиты от угроз в информационной сфере для всех предприятий и организаций.

Для решения данной задачи существуют различные модели, которые можно разделить на три группы:

- модели, оценивающие риски на качественном уровне (FRAP и др.);

- модели, ориентированные на количественную оценку (RiskWatch и др.);

- модели, использующие смешанные оценки (CRAMM и др.) [5, с. 188].

Рассмотрим несколько популярных моделей оценки рисков информационной безопасности.

Модель FRAP ориентирована на качественную оценку рисков информационной безопасности с точки зрения их влияния на достижение бизнес-целей предприятия.

Модель включает в себя анализ одной системы, приложения или сегмента бизнес-операций за раз и создание группы людей, в которую входят специалисты, знакомые с потребностями бизнес-информации, и технический персонал, который имеет детальное представление о потенциальных уязвимостях системы и связанных с ними мерах контроля. Совещания, которые организуются по стандартной повестке дня, проводятся сотрудником офиса проекта или сотрудником по защите информации, который отвечает за обеспечение эффективного общения членов команды и соблюдения повестки дня.

В ходе общения команда проводит мозговой штурм для выявления потенциальных угроз, уязвимостей и, как следствие, негативного воздействия на целостность, конфиденциальность и доступность данных. Затем команда анализирует влияние такого воздействия на бизнес-операции и классифицирует риски в соответствии с уровнем их приоритетности.

После выявления и классификации рисков члены команды определяют средства контроля, которые можно использовать

для нивелирования риска, уделяя особое внимание наиболее экономически эффективным средствам контроля. Выводы команды о том, какие риски существуют, каков их приоритет и какие меры контроля необходимы, документируются и предоставляются руководителю проекта и бизнес-менеджеру для завершения плана действий. Здесь специалист по безопасности может помочь менеджеру бизнес-подразделения выяснить, какие средства контроля являются экономически эффективными и отвечают потребностям организации. После того как каждому риску присвоена мера контроля или он принят в качестве риска ведения бизнеса, старший бизнес-менеджер и участвующий технический эксперт подписывают заполненный документ. Основной документ и все связанные с ним дополнительные документы принадлежат спонсору бизнес-

подразделения и хранятся в течение периода, определяемого процедурами управления записями.

СЯАММ - это хорошо зарекомендовавшая себя модель оценки рисков, широко используемая в сфере безопасности информационных технологий. Она предоставляет организациям систематический подход к выявлению, оценке и управлению рисками для их критически важных активов [12].

Целью СЯАММ является выявление и оценка рисков, связанных с внедрением и эксплуатацией информационно-

технологических систем, путем изучения потенциальных угроз, уязвимостей, воздействий и контрмер.

Ключевыми особенностями модели СЯАММ являются:

- структурированный подход: модель следует четко определенному процессу, который систематически охватывает все аспекты оценки рисков;

- целостный подход: при оценке рисков учитываются внутренние и внешние факторы, обеспечивая комплексное представление;

- индивидуальные оценки: модель можно адаптировать в соответствии с конкрет-

ными требованиями организации, что обеспечивает гибкость;

- поддержка принятия решений: предлагает рекомендации по принятию обоснованных решений относительно вариантов обработки рисков на основе выявленных уязвимостей.

Оперативно-критическая оценка угроз, активов и уязвимостей (OCTAVE) - это модель, используемая для оценки среды организации и определения информационно-технологических рисков. Поскольку данная модель отличается гибкостью, ее можно адаптировать под нужды практически любой организации, при этом для совместной работы потребуется лишь небольшая группа специалистов по кибер-безопасности, информационным технологиям и эксплуатации.

Использование модели OCTAVE имеет ряд преимуществ: эффективность, быстрота, практические действия, комплексность.

В целом реализация модели угроз OCTAVE потребует трехэтапного подхода:

1. Создание профиля всех активов и связанных с ними угроз.

2. Выявление уязвимости в инфраструктуре организации.

3. Определение стратегии управления рисками безопасности.

Заключение. Таким образом, информационные технологии в настоящее время являются важными ресурсами для общества, помогая решать задачи в разных сферах социальных и экономических отношений. В современном мире информационные системы не являются замкнутыми, и поскольку через Интернет сохраняются или отправляются значительные объемы данных, их защита становится важной со-

ставляющей разработки информационных технологий. Оценка рисков информационной безопасности жизненно важна для каждой организации, так как согласно статистике риски с каждым годом растут (рост количества кибератак), растет в то же время и ущерб, причиненный в результате незаконных действий. Своевременно выявляя и оценивая угрозы информационно-технологическим системам, данным и другим ресурсам и понимая их потенциальное влияние на бизнес, можно расставить приоритеты в усилиях по смягчению последствий, чтобы избежать дорогостоящих сбоев в работе бизнеса, утечек данных, штрафов и другого ущерба, улучшить меры безопасности для предотвращения нарушения работы важных систем.

Задача каждой организации применять наилучшие модели оценки рисков безопасности (количественные, качественные, смешанные), которые позволят разработать более качественные и эффективные меры защиты, с целью снижения потерь бизнеса за счет повышения информационной безопасности. Перспективными направлениями в применении моделей оценки рисков являются: профессиональное развитие команды по управлению рисками в организациях, регулярная модернизация системы информационной безопасности, привлечение внешних консультантов, которые разработают необходимую организационно-распорядительную документацию, адаптируют методологию оценки рисков и проведут обучение сотрудников организации, совершенствование нормативной базы, сотрудничество государства и бизнеса в достижении наибольшей эффективности по защите информации.

Библиографический список

1. Актуальные киберугрозы: II квартал 2023 года // Positive Technologies. - 2023. -[Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2023-q2/.

2. Актуальные киберугрозы: итоги 2022 года // Positive Technologies. - 2022. - [Электронный ресурс]. - Режим доступа: ttps://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/.

3. Аносов Р.С., Аносов С.С., Шахалов И.Ю. Концептуальная модель анализа риска безопасности информационных технологий // Вопросы кибербезопасности. - 2020. - №2. -С. 2-10.

4. Атаки на российские компании во II квартале 2023 года // РТК-Солар. - 2023. - Ре-

жим доступа: https://rt-

solar.ru/upload/iblock/956/s6a6rc6gs9usip5xdp8vq27419khu4hx/Otchet_Ataki_na_rossiyskie_k

ompanii_vo_II_kvartale_2023_g.pdf.

5. Магеррамов З.Т., Амирасланов Х.В., Алишов М.С. Применение модели рисков информационной безопасности // В кн.: Современная наука, общество и образование: актуальные вопросы, достижения и инновации. - Пенза, 2022. - С. 188-201.

6. Марачева А.М. Построение модели оценки рисков информационной безопасности организации // Информационные технологии в науке, бизнесе и образовании. - Москва: Московский государственный лингвистический университет, 2020. - С. 179-185.

7. Отчет о ключевых внешних цифровых угрозах для российских компаний // РТК-Солар. - 2023. - Режим доступа: https://rt-solar.ru/upload/iblock/93a/bx4m3tr2s79ubeoeanop5vuu6clm1zi7/Otchet_o_klyuchevykh_vnesh nikh_tsifrovykh_ugrozakh_dlya_rossiyskikh_kompaniy.pdf.

8. Филимонов А.В. Модели оценки систем защиты персональных данных в информационных комплексах // В сб.: Информационно-вычислительные технологии и их приложения. - Пенза, 2020. - С. 125-128.

9. Шаханова М.В., Швец Е.Е., Шаханова Д.С. Обеспечение информационной безопасности на предприятии // Международный журнал информационных технологий и энергоэффективности. - 2022. -№ 4-1 (26). - С. 97-103.

10. Шлыков А.И., Шабуров А.С. Разработка модели определения критичных ресурсов и связанных с ними рисков информационной безопасности // Инновационные технологии: теория, инструменты, практика. - 2019. - Т. 1. - С. 244-248.

11. Эргашев У. Особенности информационных технологий в обществе XXI века // Общество и инновации. - 2020. - №1. - С. 1-6.

12. Ekai C. Cramm risk assessment // Risk Management. - 2023. - [Электронный ресурс]. -Режим доступа: https://riskpublishing.com/cramm-risk-assessment/.

ASSESSMENT OF THE INFORMATION SECURITY RISK MODEL: СHARACTERISTICS, PROBLEMS AND PROSPECTS

A.V. Minakov, Doctor of Economic Sciences, Professor

Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikotya (Russia, Moscow)

Abstract. The rapid development of information technology also increases the risk of information breaches, calling for the development of a strategy for systematic information protection. In today's environment, organizations must develop and implement a comprehensive strategy to protect against security risks and protect sensitive data. Conducting risk assessments using special models allows you to holistically consider information technology from the point of view of attackers, make informed decisions about resource allocation, tools, and the implementation of security measures. The purpose of the study is to assess the information security risk model, characterize the risks, identify the main problems of protection against their occurrence and consider the prospects for the development of the organization's risk management process. During the study, various general scientific and special methods were used. The following tasks of the study were set and successfully solved: an analysis of existing mechanisms and tools for protection against threats in the information sphere was carried out, the main models for assessing information security risks of protection against threats in the information sphere were considered, a description was given to them and problems of assessing information risks were identified, and the main directions in the application of risk assessment models were named.

Keywords: information security, information technology, cyber risks, security model, information protection, economic security.