CC BY
1272. Fingramota.org - сайт экспертного совета по защите прав потребителей Банка России
3. Золотарюк А.В., Кузнецов Г.М. Создание и ведение портфеля ценных бумаг [Электронный ресурс] // Новые информационные технологии в образовании: Доклады и выступления участников восьмой международной научно-практической конференции «Использование программных продуктов «1С» в инновационной деятельности учебных заведений» 29-30 января 2008 г. / Под общ. ред. проф. Д.В. Чистова. Ч. 1. - М.: 2008. - С. 296-301. - Режим доступа: http://www.1c.ru/rus/partners/training/edu/theses/?y=2008&s=6&t=104.
4. Trades.starmoney.ru - виртуальная торговая система (торговый терминал) StarMoney.
СОВРЕМЕННЫЕ МЕТОДИКИ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
© Юнкерова Ю.И.*
Белгородский государственный национальный исследовательский университет, г. Белгород
В статье рассматриваются программные комплексы и технологии управления информационными рисками. Целостность взгляда на методологию управления информационными рисками основана на том, что данный инструментарий дает возможность оценить существующий уровень информационных рисков в отечественных компаниях. Наиболее используемыми методами оценки управления информационными рисками выступают следующие системы анализа информационных рисков: Octave, Oracle Crystal Ball, CRAMM, CORAS, RiskWatch, ГРИФ.
Ключевые слова: информационная безопасность, системы анализа, информационные риски, метод, международные стандарты, системы оценки.
В настоящее время в бизнесе активно используются информационные технологии, а сама информация является важнейшим объектом деловых отношений. В связи с этим возник новый класс рисков, присущих деятельности организаций, - риски, связанные с нарушением информационной безопасности (информационные риски).
Наибольшую сложность при управлении информационными рисками организации представляет выбор методики, по которой оценивается риск. С одной стороны, не существует программного комплекса, который бы удовлетворял по всем параметрам, с другой - руководство организации зачастую
* Аспирант кафедры Экономики и управления на предприятии.
не желает выделять на это достаточное количество времени и денег, так как не видит в этом практической пользы.
Информационные технологии совершенствуются с каждым днем, что вызывает необходимость повышения качества управления информационными рисками. Неизбежно устаревают одни методики, другие - возникают и совершенствуются, в связи с чем очень важно работать по максимально актуальной на данный момент. На рынке программ оценивания информационных рисков формируется несколько лидеров, заслоняя собой редко обновляющиеся или неэффективные аналоги, а у самих методик появляются отличия, на которых и основаны все достоинства и недостатки программных комплексов [3].
Так как вычислительная сеть используется в большом количестве организаций, актуальность проблемы информационной безопасности велика [1]. Рассмотрим и сравним основные системы анализа информационных рисков: Octave, Oracle Crystal Ball, CRAMM, CORAS, RiskWatch, ГРИФ.
OCTAVE. Методология разработана в Институте программной инженерии при Университете Карнеги-Меллона в США. Название расшифровывается как «Operatiomlly Critical Threat, Asset, and Vulnerability Evaluation», то есть «Оценка критичных угроз, активов и уязвимостей».
При работе с этой системой происходит активное участие владельцев информации в процессе определения наиболее незащищённых информационных массивов и наиболее вероятных рисков. Методология основана на последовательности специально организованных внутренних семинаров, а оценка рисков производится в три этапа, перед которыми предлагается согласовать график семинаров, распланировать действия участников и назначить им роли.
Первый этап заключается в разработке профилей угроз, соответствующих сети данной организации, а также законодательной базе. На втором этапе происходит анализ уязвимостей систем предприятия по отношению к угрозам, профили которых были составлены на первом этапе. И, наконец, третий этап включает в себя оценивание рисков информационной безопасности, заключающееся в установлении вероятности или степени причинения ущерба в случае осуществления угроз при действующих уязвимостях. По окончании производится принятие решений по обработке рисков.
Oracle Crystal Ball. Это приложение к Microsoft Excel для моделирования бизнес-процессов, установления рисков, прогнозирования неопределённых данных и оптимизации результатов. Методика позволяет использовать данные по продажам, на основании чего может быть составлен прогноз. Crystal Ball обеспечивает возможность моделирования и имитации для осуществления «What-If» анализа. Немаловажным преимуществами являются простота в использовании и наглядность выходных данных.
CRAMM. Был разработан в 1985 году в Великобритании Центральным агентством по компьютерам и телекоммуникациям (CCTA) и является
одной из первых методик оценки рисков в рамках информационный безопасности. Название расшифровывается как CCTA Risk Analysis & Management Method [5].
Программное обеспечение является настраиваемым для различных сфер деятельности приложением с использованием встроенных профилей: коммерческий, гражданское государственное учреждение, финансовый сектор и прочее. При анализе рисков происходит идентификация и вычисление уровней рисков на основе оценок, которые были присвоены элементам модели угроз. На выходе получается профиль контрмер, благодаря которому производится контроль рисков.
Исследование безопасности информации проводится в четыре этапа: идентификация и оценка ресурсов, оценивание угроз и уязвимостей, анализ рисков и управление рисками.
CORAS. Разработан в рамках программы Information Society Technologies. Основывается на адаптации, уточнении и комбинировании следующих методов анализа рисков: цепи Маркова, FMECA, Event-Tree-Analysis и Haz-Op. В системе используется технология UML, а базируется она на австралийском / новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practice for Information Security Management [9].
В данной методологии информационные системы представлены как сложный комплекс, учитывающий как используемые технологии, так и человеческий фактор. Правила методологии реализованы в виде Java и Windows приложений.
RiskWatch. Разработана одноимённой американской компанией и включает средства как для информационной безопасности, так и для физических методов защиты. В качестве критериев оценки используются оценка возврата от инвестиций и предсказание годовых потерь. Методика состоит из четырёх этапов. На первом определяют предмет исследования, то есть состав системы в общих чертах, элементы можно выбрать уже из заготовленного списка [6]. На втором этапе вводят данные, подробно описывают ресурсы сети, отвечают на вопросы для выявления уязвимостей. На третьем этапе рассчитывается профиль рисков, выбираются меры по обеспечению безопасности, для чего устанавливают связи между ресурсами, вводят количественную оценку. На четвёртом этапе генерируется отчёт.
ГРИФ. Данный программный комплекс выделяется на рынке российских продуктов в сфере информационной безопасности. Анализируется уровень защиты всех ресурсов организации, оценивается возможный ущерб, предоставляется возможность выбора контрмер для обеспечения эффективного управления рисками [6].
Проведение полного анализа происходит в несколько этапов, на которых менеджеру предлагается ввести список ресурсов компании, виды информации, ущерб по каждой группе информации, доступ пользователей к
ресурсам, средства защиты и ответить на ряд вопросов, предложенных системой. Несмотря на сложность внутренних алгоритмов, программа проста в использовании, и на выходе предлагается наглядный и полный отчёт.
Рассмотренные лидирующие методологии позволяют достаточно ёмко оценить весь ассортимент предлагаемых средств оценки рисков в информационном поле по причине их повсеместного использования. Все они хорошо справляются с оценкой и управлением рисков, но имеют свои недостатки, связанные с мониторингом [8]. Ни в одной системе не предполагается расчёт оптимального баланса способов управления, не производится обработка остаточных рисков, не даётся указаний по дальнейшим анализам рисков в сети, не учитывается непостоянство факторов риска.
Выделим конкретные критерии в рассмотренных программах, которые важно учитывать при выборе методики управления информационными рисками.
Критерию «Простота в использовании» не соответствуют лишь CRAMM и RiskWatch, для успешной и продуктивной работы с которыми необходимо обучение либо привлечение экспертов. К тому же CRAMM предполагает большие сроки для анализа. Остальные рассмотренные комплексы данных проблем не проявляют.
Методология OCTAVE является гибкой, организации могут использовать ряд критериев для адаптации программы под свои нужды. Также данный комплекс может нести информативную функцию благодаря встроенной программе повышения квалификации сотрудников. OCTAVE не использует количественную оценку рисков, но качественная оценка довольно легко описывает количественное отношение.
Важным критерием при выборе методики является наличие «What-If» анализа, то есть оценки ситуации при использовании профиля защиты. Это позволяет предприятию заглянуть вперёд и оценить возможные выгоды при использовании специальных средств и действий по защите информации. Такую оценку дают лишь Crystal Ball и RiskWatch [7].
В методологии CRAMM отсутствуют: интеграция способов управления и описания назначения этих способов; перерасчёт максимально допустимых величин рисков; реагирование на инциденты. При работе с рисками CRAMM использует только методы их снижения, а такие способы управления рисками, как «обход» или «принятие», не затрагиваются.
Одним из преимуществ для предприятий с ограниченными финансовыми возможностями является бесплатность использования. Таким критерием обладают лишь CORAS и OCTAVE, первый из которых не требует значительных ресурсов при применении.
В отличие от CRAMM программа RiskWatch более ориентирована на количественную оценку. С недавних пор она имеет русскую локализацию, что является несомненным плюсом на российском рынке. RiskWatch позво-
ляет производить анализ только на программно-техническом уровне, но не учитывает административных факторов, а значит, получаемая оценка не является полной и не учитывает комплексный подход к безопасности.
Программный комплекс ГРИФ является сильной отечественной разработкой, что является несомненным преимуществом для русскоязычных компаний. Но в этой методологии отсутствует возможность сравнения отчётов на различных стадиях внедрения мер по обеспечению защищённости.
Если требуется оценить риски одноразово, то уместно применить методологию CORAS, а в случае периодического использования целесообразнее система CRAMM. OCTAVE будет актуальной в крупных организациях, где постоянная оценка рисков является неотъемлемой частью работы.
По целому ряду критериев невозможно установить превосходство того или иного средства оценки рисков, но каждое предприятие определяет для себя приоритетные направления, по которым и выбирает методику [2]. В идеале необходимо получить не только удовлетворительные результаты оценивания, но и удобный в использовании программный комплекс, который бы являлся инструментом при таком оценивании. Естественно желание получить ясные результаты исследования, а также рекомендации по снижению рисков. Инструмент обязан проследить связь между рисками и причинами, приводящими к этим рискам.
Описанные выше программы достаточно популярны среди организаций, причиной чего является целый ряд достоинств каждой методологии, но даже несмотря на это, невозможно выделить какую-то одну из них. Это можно объяснить тем, что достоинства каждой программы выделяются по совершенно разным критериям, и каждая организация выбирает средство под свои нужды [9]. Но это же говорит и о том, что у каждого комплекса есть и свои недостатки. Поэтому проблема актуальна до сих пор: нет универсальной методологии, которая бы решила все нужды. А наличие таковой важно, так как до сих пор некоторые руководители не понимают важность работ по оценке рисков в их сетях, в том числе и по причине неполного совершенства фигурируемых на рынке программ.
Список литературы:
1. Астахов А.М. Аудит безопасности информационных систем // Конфидент. - 2003. - № 2. - С. 90-96.
2. Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. - 2003. - № 5. - С. 56-59.
3. Егорова Е.Е. Системный подход оценки риска // Управление риском. -2008. - № 2. - C. 12-13.
4. Клейнер Г.Б. Предприятия в нестабильной экономической среде: риски, стратегия, безопасность / Г.Б. Клейнер, В.П. Тамбовцев, Р.М. Качалов; под общей ред. С.А. Панова. - М.: ОАО Экономика, 1997. - С. 193.
5. CRAMM [Электронный ресурс]. - Режим доступа: http://www.cramm. com/overview/expert.htm/
6. ГРИФ [Электронный ресурс]. - Режим доступа: http://www.dsec.ru/ products/grif/overview/start.
7. Оголюк А.А., Щеглов А.В. Технология и программный комплекс зашиты рабочих станций. - М.: Изд-во Финансы и статистика, 2007. - 280 с.
8. Турский А., Панов С. Зашита информации при взаимодействии корпоративных сетей в Internet // Конфидент. Зашита информации. - 2008. -№ 5. - С. 38-43.
9. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - 2000. - № 1. -С. 75-86.
