Теоретические аспекты информационных рисков Текст научной статьи по специальности «СМИ (медиа) и массовые коммуникации»

УДК 330.46

Гринева Наталья Владимировна,

доцент, канд. экон. наук, доцент

ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННЫХ РИСКОВ

Россия, Москва, ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации», ngrineva @fa. ru

Аннотация. Изучены вопросы сущности и роли информации в современном обществе. Уточнено, что с развитием информационных технологий информация приобрела особое значение для современного бизнеса. Обосновано, что принципиальное значение защита информации имеет для банковского сектора, где конфиденциальность информации гарантируется законом, а большое количество нарушений ее безопасности приводит к значительным финансовым потерям.

Ключевые слова: информация, риски, киреругроза, уязвимость, конфиденциальность, целостность.

Natalia V. Grineva,

Associate Professor, Candidate of Economic Sciences

THEORETICAL ASPECTS OF INFORMATION RISKS

Russia, Moscow, Financial University under the Government of the Russian Federation ,

ngrineva@fa. ru

Abstract The questions of the nature and role of information in modern society are studied. Clarified that with the development of information technology information has gained special importance for modern business. It has been substantiated that the protection of information is of fundamental importance for the banking sector, where the confidentiality of information is guaranteed by law, and a large number of breaches of its security lead to significant financial losses.

Keywords: information, risks, threat of crime, vulnerability, confidentiality, integrity.

Впервые определение «информация» было введено в 1928 г. американским ученым Р. Хартли для обозначения меры количественного измерения сведений, распространяемых по каналам связи [2].

В наше время термин информация употребляется в самых разных значениях. Например, в экономике под информацией понимаются данные, необходимые для принятия решений. В биологии понятие «информация» может быть связано с механизмами наследственности, то есть

употребляться в значении генетической информации. В кибернетике информация связана с процессами управления в сложных системах, а в физике понятие «информация» является мерой упорядоченности и сложности системы.

С юридической точки зрения, согласно Федеральному закону РФ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», информация - это сведения (сообщения, данные) независимо от формы их представления.

В разных науках и сферах жизнедеятельности информация имеет разное значение. Информация всегда играла важную роль в жизни общества, являясь основой его интеллектуального и духовного развития, подтверждением этому могут послужить исследования об информационных революциях.

Информационная революция - это преобразование общественных отношений из-за кардинальных изменений в сфере обработки информации [1].

Среди исследователей принято выделять пять основных информационных революций, каждая из которых оказала значительное воздействие на развитие общества:

• первая информационная революция связана с появлением членораздельной речи;

• вторая информационная революция ознаменовала появление письменности;

• в результате третьей информационной революции было изобретено книгопечатание;

• четвертая информационная революция связана с электричеством, развитием СМИ и новыми информационными технологиями, которые позволили создавать и транслировать информацию в больших объемах - электрические телеграфы, телефоны, радио, телевидение;

• результатом пятой информационной революции стало создание персональных ЭВМ и технологий вычислительной техники, микроэлектроники, телекоммуникаций и. т. п.

Таким образом, по мере интеллектуального развития общества, количество информации, используемой человеком, растет, в связи с чем способы ее сбора, обработки, хранения и передачи усложняются. С появлением информационных технологий, количество информации стало увеличиваться с невероятной скоростью. Проводится множество исследований, подтверждающих непрерывный и стремительный рост количества информации (или данных) в мире. Одним из самых известных и глобальных является исследование «цифровой вселенной» [8].

«Цифровой вселенной» называется проект по количественной оценке и прогнозированию роста объемов данных. Исследование цифровой вселенной, проводимое компанией IDC (International Data Corporation) по заказу компании EMC (DellEMC), является единственным в мире исследованием, в котором дается количественная оценка ежегодного объема созданных данных.

Подобно физической вселенной, цифровая вселенная многообразна - ее образование обусловлено всеми, кто использует цифровую камеру, всеми, кто использует интернет, а также миллионами датчиков и коммуникационных устройств, отправляющих и получающих данные с помощью интернета.

Исследования цифровой вселенной проводятся ежегодно, начиная с 2007 года. В седьмом исследовании, результаты которого были опубликованы в 2014 году, компания IDC предприняла попытку спрогнозировать рост «цифровой вселенной» на 7 лет вперед до 2020 года. Согласно исследованию, цифровая вселенная увеличивается в два раза каждые два года, к 2020 году данные, которые мы создаем и копируем ежегодно, достигнут 44 зеттабайт, или 44 триллионов гигабайт.

Исследователи цифровой вселенной также называют ее вселенная для новых бизнес-возможностей. Поскольку чем больше людей и компаний использует интернет, тем больше возможностей появляются у компаний использовать данные в своих целях - узнавание информации о клиентах, ускорение бизнес-процессов, использование облачных вычислений и многое другое. Однако, для использования этих возможностей для бизнеса, организации нуждаются в защите накопленной и используемой ею информации.

Информация стала основным ресурсом любой организации, а достижение бизнес-целей стало напрямую и критично зависеть от области информационных технологий. В связи с этим информация также стала и объектом защиты.

Информация как объект защиты

В связи с тем, что информация стала основным ресурсом, необходимым для развития компаний, у руководств организаций появилась необходимость ее защищать. От других ресурсов информацию отличает то, что она представляет собой набор данных о людях, персонале или клиентах, о бизнес-целях и бизнес-результатах, о коммерческих и других видах тайн, поэтому особенно охраняется государством.

По категории доступа информацию можно разделить на следующие группы. Согласно Федеральному закону РФ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" информация подразделяется на общедоступную информацию

и информацию, доступ к которой ограничен федеральными законами. В свою очередь информация ограниченного доступа подразделяется на конфиденциальную информацию и государственную тайну. К категории конфиденциальной информации относятся персональные данные и различные виды коммерческих тайн. Структура представлена на рисунке 1:

Информация

Общедоступная

Доступ к которой не может быть ограничен

Персональные данные Коммерческая тайна Служебная тайна Профессиональная тайна Тайна следствия и судопроизводства Сведения о сущности изобретения

Рис. 2. Категории информации [7]

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации ограниченного доступа;

• реализацию права на доступ к информации.

В дипломной работе будет изучаться информация ограниченного доступа, так как именно ее нужно защищать. Понятие информационного риска

Проанализируем определения информационного риска, приведенные в ведущих стандартах информационной безопасности. Согласно BS 7799-3:2006 риск определяется как комбинация вероятности события и его последствий. В ISO/IEC 27005:2008 «риск информационной безопасности - это потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации». В комплексе документов Банка России, описывающем подход к построению системы обеспечения ИБ организаций банковской сферы (СТО БР ИББС) риск определяется как неопределенность, предполагающая возможность потерь.

В работе будем ориентироваться на определение из КО/ШС 27005:2008, потому что оно является наиболее полным и отражает две главные особенности любого риска.

1. Риск подразумевает под собой реализацию какого-то неблагоприятного события, которое может произойти или не произойти. Событие заключается в реализации угрозы, использующей уязвимости актива для воздействия на этот актив и нарушения его безопасности.

2. Если событие произошло, то влечет за собой потери.

Безопасность информационного актива определяется тремя свойствами (иногда их называют «тремя китами безопасности информации»): конфиденциальность, целостность и доступность.

Уровень потерь определяется комбинацией вероятности события и размером его последствий. Нарушения информационной безопасности активов приводит к ущербу компании. Величина ущерба и определяет ценность для компании.

Основные определения, связанные с информационными рисками

Информационный актив - информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме (СТО БР ИББС-1.0-2014).

Конфиденциальность - свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса (ГОСТ Р ИСО/МЭК 13335-1-2006).

Целостность - свойство сохранения правильности и полноты активов (ГОСТ Р ИСО/МЭК 13335-1-2006).

Доступность - свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта (ГОСТ Р ИСО/МЭК 13335-1-2006).

Информационная безопасность (ИБ) - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ Р ИСО/МЭК 13335-1-2006).

Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (ГОСТ Р 50922-2006).

Источник угрозы безопасности информации - субъект (физическое лицо, материальный объект или физическое явление), являющийся непо-

средственной причиной возникновения угрозы безопасности информации (ГОСТ Р 50922-2006).

Уязвимость - недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации (ГОСТ Р 56546-2015).

Система управления рисками - набор элементов системы управления организацией, предназначенных для управления рисками (ISO Guide 73:2002).

Система управления информационной безопасностью (СУИБ) -это та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности (ISO 27001).

Информационная безопасность в банковской отрасли

В связи со всеобщей информатизацией и компьютеризацией бизнеса, значение информационной безопасности сильно возросло. Этот эффект также характерен и для банковской отрасли.

В результате повсеместного распространения электронных платежей, банковских карт, компьютерных сетей, стремительно растущей популярности услуг, предоставляемых клиентам посредством интернет-технологий, значительно увеличилось количество угроз, целью воздействия которых является влияние на информацию ограниченного доступа. Условно говоря, угрозы, воздействующие на информационные активы банка и приводящие к реализации информационные риска, можно разделить на две категории: угрозы, обусловленные внутренними причинами, и угрозы, обусловленные внешними причинами (подробнее классификация будет рассмотрена во второй главе дипломной работы, пункте «Идентификация риска»).

Информационный риск относится к одним из наиболее распространенных в банковской отрасли и является составной частью операционного риска. Однако, в организациях уделяют недостаточное внимание оценке информационного риска в отдельности от операционного, поскольку считают, что внедрение мер по информационной безопасности является достаточным условием для ее обеспечения. На эту тему был проведен опрос среди пользователей сайта www.iso27000.ru, в котором у специалистов в области информационной безопасности поинтересовались как они оценивают риски ИБ. Согласно опросу, доля людей, оценивающих риски информационной безопасности «на глазок» крайне высока (около 30%), также около 16% людей не оценивают риски или счита-

ют это бессмысленным [6]. Результаты опроса представлены на рисунке

2:

Как вы оцениваете риски И Б"?

• И с пользую кач ественную методологию

• И с пользую количественную методологию

• Применяю специальный инструментарий

• Считаю это бессм =1 сленным занятием

Рис. 3. Результаты опроса

Анализ опроса показал, что специалисты в области ИБ часто не осознают необходимость в оценке и управлении информационным риском, что также является проблемой возникновения нарушений в банках.

Информационный риск необходимо анализировать и оценивать отдельно от операционного риска не только потому, что это приводит к неэффективной системе управления информационной безопасностью (СУИБ), но и потому, что в последние годы количество нарушений информационной безопасности в банках непрерывно растет.

На сегодня кибеугроза является самой актуальной из категории внешних угроз. Под киберугрозой принято понимать незаконное или вредоносное проникновение в виртуальное пространство для достижения политических, социальных или иных целей. Согласно интерактивной карте киберугроз, разработанной Лабораторией Касперского, Россия является первой страной в мире по количеству кибератак [5]. Карта в режиме реального времени отслеживает потоки данных, поступающих из KSN(Kaspersky Security Network) и отображает статистику по странам. График динамики количества киберугроз в России представлен на рисунке 4.

Исходя из графика динамики изменения количества киберугроз в России за последний месяц, можно сказать, что наблюдается нисходящий тренд, однако, сложно сказать, что будет в ближайшем будущем, так как количество киберугроз регулярно увеличивается не только в России, но и во всем мире.

Рис. 4. Динамика изменения количества киберугроз в России за март-апрель

2019 г.

Компьютеризация банковской деятельности позволила значительно повысить производительность, посредством ускорения ведения банковских процессов. Однако с повышением производительности за счёт внедрения специализированных систем и технологий, меры по обеспечению информационной безопасности также должны повышаться.

Управление рисками является неотъемлемым процессом построения системы управления информационной безопасностью (СУИБ), так как с помощью него банки могут определять актуальные угрозы и критичные информационные активы, проводить оценку ущерба и на основании полученных данных строить эффективную политику управления ИБ. Деятельность банка напрямую зависит от того, насколько эффективно работают меры по обеспечению информационной безопасности, именно поэтому управление информационными рисками (рисками информационной безопасности) является первостепенной задачей, стоящей перед руководством банка.

Международные стандарты

При построении системы управления информационными рисками, компании сталкиваются с необходимостью соответствия широкому диапазону нормативных актов, законов, стандартов и методических документов.

Существует множество международных стандартов управления информационной безопасностью, такие как BS 7799, КОЛЕС 27000, PaDSS, 1Т1Ь, СОВ1Т, РКШСЕ2, ОРМ3 и другие. Ограничимся примером рассмотрением первого стандарта, так как он является важным для построения эффективной системы управления информационной безопасности в банке. BS 7799

Документы BS 7799-1, BS 7799-2 и BS 7799-3являются одними из наиболее распространённых стандартов по управлению информационной безопасностью. Стандарт BS7799 был разработан Британским институтом стандартов (BSI - British Standards Institution) и включает в себя три документа.

Для нас наиболее важным документом является последняя часть стандарта, поскольку она представляет собой руководство по управлению рисками: BS 7799-3: 2006. Information security management systems. Guidelines for information security risk management (Руководство по управлению рисками информационной безопасности).Стандарт определяет процесс оценки и управления рисками как составной элемент системы управления организации.

В России с каждым годом количество документов и нормативных актов увеличивается, это объясняется желанием государства регулировать сферу информационной безопасности. Основными причинами для этого являются:

1) забота о национальной безопасности, в связи с возрастанием угрозы кибертерроризма. Согласно отчету об уязвимостях промышленных автоматизированных систем, опубликованному Лабораторией Касперского, во второй половине 2017 года процент атакованных систем в России составил 46.8%. По сравнению с отчетом за первую половину 2017 года, Россия поднялась на 7 позиций, с 21 до 13 места [3]. защита интеллектуальной собственности;

2) охрана здоровья и безопасности личности;

3) защита государственной и других видов тайн.

Основными федеральными законами, регулирующими отношения в сфере информационной безопасности, являются [4] :

• ФЗ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• ФЗ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

• Закон РФ от 21 июля 1993 г. N 5485-1 «О государственной тайне».

В банковской отрасли наиболее важными стандартами являются документы Банка России, в которых отображены все аспекты по построению системы обеспечения информационной безопасности организаций банковской сферы(СТО БР ИББС). Комплекс документов определяет общие положения, аудит, методики оценки информационной безопасности и другие положения, определяющие уровень информационной безопасности банка.

Также Банком России разработан и введен комплекс документов, содержащих рекомендации по обеспечению информационной безопасности в банках (РС БС ИББС). Этот комплекс содержит различные рекомендации и руководства: руководство по проведению оценки соответствия организаций требованиям информационной безопасности, методика оценки рисков нарушений ИБ, руководство по предотвращению нарушений ИБ и другие рекомендации по обеспечению информационной безопасности организаций банковской отрасли.

Изучены вопросы сущности и роли информации в современном обществе. Уточнено, что с развитием информационных технологий информация приобрела особое значение для современного бизнеса, так как представляет собой незаменимый ресурс, открывающий перед

В работе обосновано, что принципиальное значение защита информации имеет для банковского сектора, где конфиденциальность информации гарантируется законом, а большое количество нарушений ее безопасности приводит к значительным финансовым потерям.

В качестве основной проблемы современных систем защиты информации выделены тренды быстрого развития информационных технологий в мире, используемых для сбора, хранения и передачи информации, и необходимости наличия соответствующих инструментов защиты информации и предотвращения реализации тех или иных угроз. В качестве важного фактора отмечено, что управление информационными рисками является составной частью системы управления информационной безопасностью (СУИБ), а компании при внедрении СУИБ должны учитывать необходимость соответствия широкому диапазону законов, нормативных актов и стандартов, формирующих политику информационной безопасности.

Список литературы

1. Гафнер В.В. Информационная безопасность: учеб. пособие /. - Ростов н/Д: Феникс, 2010.

2. Hartley R.V.L. Transmission of Information // Bell System Technical Journal. 1928. № 7.

3. https://ics-cert.kaspersky.ru/reports/2018/03/26/threat-landscape-for-industrial-automation-systems-in-h2-2017.

4. https://fstec.ru.

5. https://cybermap.kaspersky.com/ru.

6. http://www.iso27000.ru/golosovaniya/plonepopoll.2007-02-01.0594390779.

7. https://www.securitylab.ru/blog/personal/aguryanov/29908.php.

8. https://www.emc.com/leadership/digital-universe/2014iview/digital-universe-of-opportunities-vernon-turner. htm.