CC BY-NC-ND
28
Н.А. Тарасова
СТРУКТУРИЗАЦИЯ ОРГАНИЗАЦИОННЫХ РИСКОВ В СИСТЕМАХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ
Рассмотрены содержание и причины возникновения организационных рисков в системах информационной безопасности предприятий. Приведена классификация организационных рисков. В соответствии с существующими методологиями анализа деревьев отказов и факторного анализа информационных рисков проведена структуризация организационных рисков в системах информационной безопасности.
Ключевые слова: система информационной безопасности, организационные риски, структура рисков.
Характерной особенностью современного этапа развития предприятий различных видов является широкое применение современных информационных систем (ИС) для организации протекающих в них бизнес-процессов. При этом актуальной проблемой является обеспечение информационной безопасности предприятия.
Под информационной безопасностью предприятия будем понимать совокупность условий, в которых оно функционирует при воздействии неблагоприятных факторов на информационную инфраструктуру (информационные ресурсы, информационные процессы, программно-технические компоненты, пользователей, обслуживающий персонал, а также поддерживающие системы) без недопустимого снижения качества реализуемых бизнес-процессов.
Для реализации совокупности таких условий предназначена система обеспечения информационной безопасности (СОИБ). СОИБ может недостаточно эффективно реализовывать условия безопасности из-за возможных недостатков в своей организации.
© Тарасова Н.А., 2014
Какие это недостатки и что они могут порождать? Для ответа на данный вопрос сначала рассмотрим понятие «обеспечение».
Оно раскрывается в современной технической литературе двояко - и как вид, и как средство деятельности. Как вид деятельности обеспечение означает совокупность действий, предпринимаемых для того чтобы сделать нечто «вполне возможным, действительным, реально выполнимым», а как средство деятельности - «то, чем обеспечивают кого-нибудь или что-нибудь»1.
Обеспечение безопасности как вид деятельности есть процесс создания или поддержания безопасных условий функционирования информационной инфраструктуры предприятия, а обеспечение безопасности как средство деятельности - совокупность материальных объектов, людских ресурсов, финансовых, правовых и организационных средств, которые реализуют безопасные условия ее функционирования. Другими словами, СОИБ представляет собой систему деятельности, элементы которой (средства деятельности) реализуют определенный процесс (вид деятельности) поддержания безопасных условий функционирования. При организации такой системы деятельности могут быть недостатки, связанные как со средствами деятельности, так и видом деятельности.
К недостаткам, связанным со средствами деятельности, относятся, например, неоптимальный выбор номенклатуры механизмов обеспечения информационной безопасности, различные проектные ошибки и недочеты при создании СОИБ, нерациональные настройки программно-технических средств защиты информационной инфраструктуры, использование несовершенных методов и средств обеспечения информационной безопасности и др.
К недостаткам второго типа будем относить недостатки, связанные с несовершенством построения и организации функционирования СОИБ. Это несовершенство может проявляться в отсутствии формализованных методик проектирования деятельности по обеспечению информационной безопасности предприятия, в наличии ошибок планирования и проектирования деятельности, в низкой координации работ и регулирования процессов поддержания безопасных условий функционирования, в неправильном подборе и расстановке кадров, в недостаточном участии высшего руководства в обеспечении информационной безопасности, в организационной неготовности предприятия к внедрению СОИБ, в негативных проявлениях человеческого фактора, в частности сопротивлении персонала, психологической усталости, в изъянах политики информационной безопасности предприятия и т. д.
Все эти недостатки могут вызвать события, приводящие к недопустимому снижению качества бизнес-процессов предприятия.
Для анализа таких событий в контексте информационной безопасности предприятия и последствий их наступления в настоящее время широко применяется риск-ориентированный подход. В его рамках нежелательные события связываются с рисками нарушения информационной безопасности предприятия, причем источником этих рисков является сама СОИБ, вернее недостатки ее организации. Данные риски будем называть организационными. Определим их как риски, обусловленные недостатками в организации деятельности по поддержанию безопасных условий функционирования информационной инфраструктуры2. При этом под риском будем понимать возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери (ущерб). Такие события (функциональные отказы СОИБ) порождаются отклонением от целенаправленной деятельности по поддержанию безопасных условий функционирования информационной инфраструктуры предприятия, которое, в свою очередь, определяется необходимостью решения задачи выбора соответствующих стратегий поведения СОИБ в условиях неопределенности.
Неопределенность вызвана неполнотой или неточностью информации об условиях функционирования информационной инфраструктуры предприятия, в частности угрозах нарушения информационной безопасности и сценариях их реализации; неизвестностью точных значений некоторых параметров сценариев протекания процесса поддержания безопасных условий функционирования, например неполнотой политик безопасности, невозможностью с точностью до 100 % спрогнозировать значение того или иного фактора, непредсказуемостью поведения участников процесса обеспечения безопасных условий функционирования информационной инфраструктуры в ситуации возможного конфликта интересов, например, при децентрализованной схеме администрирования информационной безопасности и др.
Сочетание этих факторов создает в практике организации процесса поддержания безопасных условий функционирования обширный спектр различных видов неопределенностей. Это порождает совокупность различных видов организационных рисков, которые отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, по способу их анализа и методам описания.
Эффективное противодействие организационным рискам -многоэтапный процесс, одним из этапов которого является анализ рисков. Анализ может быть качественным или количественным.
Качественный анализ рисков проводится с целью определения их приоритетов. Для этого риски структурируют, ранжируют, оценивают их влияние на бизнес-процессы и оперативность реагирования.
Количественный анализ направлен на получение числовых характеристик штатной реализации бизнес-процессов предприятия.
Количественный анализ, как правило, проводится после качественного анализа в отношении тех рисков, которые выделены в процессе качественного анализа как наиболее значимые.
Одной из первых задачей анализа рисков является их структуризация, хотя в принципе она может решаться еще на этапе идентификации.
В рамках структуризации организационные риски прежде всего классифицируются. Рассмотрим одну из возможных классификаций организационных рисков в СОИБ (рис. 1). При этом основными классификационными признаками будем считать следующие: время возникновения, факторы возникновения, отношение к СОИБ, характер последствий.
По времени возникновения риски подразделяются на ретроспективные, текущие и перспективные риски. Анализ ретроспективных рисков, их характера и способов снижения дает возможность более точно анализировать текущие и прогнозировать перспективные риски.
По факторам возникновения организационные риски могут быть подразделены на сценарные, структурные и параметрические.
Сценарные риски - это риски, обусловленные несовершенством сценариев проведения мероприятий по обеспечению информационной безопасности.
Структурные риски - риски, обусловленные недостатками проектирования структуры СОИБ и ее элементов.
Параметрические риски - риски, обусловленные недостаточностью значений параметров процессов поддержания безопасных условий функционирования информационной инфраструктуры предприятия.
По отношению к СОИБ организационные риски делятся на внешние и внутренние. К внешним рискам относятся риски, непосредственно не связанные с деятельностью в рамках конкретной СОИБ. Это риски доэксплуатационной, проектной природы. К внутренним рискам относятся риски, обусловленные деятельностью в рамках конкретной СОИБ.
По характеру последствий риски подразделяются на допустимые, критические, катастрофические. Данные риски отличаются зонами потерь (ущербов), возникающих при принятии различных по качеству решений по обеспечению информационной безопасности.
Все виды организационных рисков оказывают влияние на деятельность в рамках СОИБ. Данное влияние можно зафиксировать (и в дальнейшем исследовать) при помощи таких структурных конструкций, как деревья отказов (неблагоприятных событий, решений, рисков), а процедура ее исследования содержательно представляет собой метод анализа дерева отказов (Fault Tree Analysis, FTA).
Он описан в отечественных стандартах ГОСТ Р 51901.13-2005 «Менеджмент риска. Анализ дерева неисправностей» и ГОСТ Р 27.302-2009 «Надежность в технике. Анализ дерева неисправностей», а также в ряде зарубежных: NUREG СРН-0492 для атомной энергетики (ориентированная на космос версия этого стандарта используется NASA), стандарте SAE ARP4761 для гражданской аэрокосмической отрасли, MIL-HDBK-338 - для военных систем.
Организационные риски
Рис. 1. Классификация организационных рисков
При анализе дерева отказов нежелательные состояния системы - отказы - анализируются с помощью методов булевой алгебры, объединяя последовательность нижестоящих событий (отказов низшего уровня), которые приводят к нежелательному состоянию, интерпретируемому как системный отказ. Дерево отказов (рис. 2) состоит из последовательностей и комбинаций нарушений и неисправностей, и таким образом оно представляет собой много-
уровневую графологическую структуру причинных взаимосвязей, полученных в результате прослеживания опасных ситуаций в обратном порядке, для того чтобы отыскать возможные причины их возникновения.
Отказ системы Отказ составных частей Отказ элементов События, порождающие отказ Виды воздействий
Рис. 2. Условная схема построения дерева отказов
Для построения дерева отказов используются два типа символов, отражающих и логически связывающих некоторые события: символы событий и логические символы (табл. 1)3.
Анализ дерева отказов эффективно используется в аэрокосмической отрасли, атомной энергетике, химической и перерабатывающих отраслях, в фармацевтической, нефтехимической и других, связанных с высокой степенью риска, чтобы понять, как система может выйти из строя, выявить способ уменьшения рисков или определить вероятность системного отказа.
Деревья отказов содержат структурные элементы, отражающие события, причины наступления которых не исследуются часто по причине отсутствия детальной структуры причинно-следственных связей. Данное обстоятельство порождает задачу разложения рисков на составные части (факторы, обусловливающие риск). Полученная в результате ее решения структура явилась бы хорошим основанием для анализа рисков и реальной базой для объяснения результатов анализа.
Современные подходы к решению этой задачи реализуются в рамках методологии факторного анализа информационных рисков. Риск в соответствии с ней определяется как сочетание частоты наступления неблагоприятного события (Loss Event Frequency, LEF) и возможной величины ущерба (Probable Loss Magnitude, PLM), вызванного его наступлением (рис. 3).
Рис. 3. Основные компоненты риска
Для того чтобы произошло неблагоприятное событие, необходимо существование некоторой уязвимости в организации СОИБ, связанной с ней угрозы, механизма ее реализации, а также срабатывание этого механизма (оно и вызывает наступление события). Это приводит нас к выделению следующих двух факторов: частоты проявления угрозы неблагоприятного события (Threat Event Frequency) и уязвимости (Vulnerability) (рис. 4).
Таблица 1
Символы, используемые при построении дерева отказов
Символ Название символа Сущностная характеристика
Символы событий
— — Событие, вводимое логическим элементом Возникает в результате взаимодействия событий, происходящих через логическую ячейку
Л Первичное, базовое исходное событие Обеспечено достаточными данными, не требует дальнейшего исследования
6 Событие, недостаточно детально разработанное (нераз-лагаемое первичное событие) Причины события не исследуются
Окончание таблицы 1
Символ Название символа Сущностная характеристика
Логические символы
ГРТ И Выходное событие происходит, когда имеют место все входные события
ТР? Приоритетное И Выходное событие происходит, когда все входные события осуществляются в строгом порядке слева направо
ИЛИ Выходное событие происходит, если имеются одно или несколько входных событий
1 «т из п» (голосование) Выходное событие происходит, если поступает не менее т из п входных событий
I Исключающее ИЛИ Выходное событие происходит, если случается одно (но не оба) из входных событий
Сь Запрет Входное событие вызывает выходное, если происходит условное событие
Рис. 4. Факторы частоты наступления неблагоприятного события
Термин «частота проявления угрозы неблагоприятного события» не указывает явно на факт успешного или неуспешного действия субъекта угрозы. Это приводит к необходимости введения двух факторов, которые связаны с частотой проявления угрозы неблагоприятного события: контакт (Contact) и действие (Action) (рис. 5).
Рис. 5. Факторы частоты проявления угрозы неблагоприятного события
Контакт определяется как вероятная частота на интервале времени, на котором субъект угрозы может войти в контакт с объектом нарушения безопасности.
Контакты могут быть трех видов: случайные, регулярные и преднамеренные. Каждый из этих типов контактов связан с различными факторами.
Действие (воздействие) определяется как вероятность того, что субъект угрозы будет воздействовать на объект нарушения безопасности, когда происходит контакт.
Факторы, определяющие способность противодействовать субъекту угрозы, связаны с уязвимостью - вероятностью того, что объект нарушения безопасности не сможет оказать сопротивления действиям субъекта угрозы - возможность угрозы (Threat Capability) и управление силой (Control Strength)4.
Рис. 6. Факторы, связанные с уязвимостью
Рассмотренные выше факторы определяют частоту наступления неблагоприятного события и являются основой для анализа этого компонента риска.
Анализ другого компонента - возможной величины ущерба -связан с решением достаточно сложной задачи определения допустимых уровней деградации существенных свойств СОИБ при возникновении неблагоприятных состояний (функциональных отказов СОИБ) и ранжирование этих уровней по вкладу в сохранение качества системы. Данная задача включает в себя следующие основные этапы:
- ранжирование функций, выполняемых системой по важности, анализ динамики выполнения функций (время выполнения функций, логика выполнения: цикличность выполнения функций, связь функций между собой, алгоритмы выполнения и т. п.);
- анализ связи элементов СОИБ с выполняемыми функциями;
- формирование системы критериев для оценки критичности функциональных отказов элементов СОИБ;
- разработка соответствующих шкал;
- оценка критичности функциональных отказов элементов СОИБ по выбранным критериям (расчеты, испытания, моделирование, экспертизы и т. п.);
- ранжирование элементов СОИБ по степени критичности их функциональных отказов.
Примечания
i
См.: Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. М.: МЦНМО, 2002. 296 с.
См.: Тарасова Н.А. Организационные риски в системе обеспечения информационной безопасности предприятия // Современные проблемы и задачи обеспечения информационной безопасности: Труды Всероссийской научно-практической конференции «СИБ-2014». М.: МФЮА, 2014. С. 73-80. См.: ГОСТ Р 51901.13-2005 «Менеджмент риска. Анализ дерева неисправностей». М.: Стандартинформ, 2005.
См.: Jones J.A. An Introduction to Factor Analysis of Information Risk (FAIR). A framework for understanding, analyzing, and measuring information risk [Электронный ресурс] // CXOWare. URL: http://www.cxoware.com/wp-con-tent/uploads/2013/10/FAIR_Introduction.pdf (дата обращения: 27.01.2014).
2
3
