Управление информационными рисками предприятия Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК: 004.891.3 ББК: 32.97

Егорова Г.В., Федосеева О.Ю.

УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЯ

Egorova G. V., Fedoseeva O. Y.

INFORMATION RISK MANAGEMENT OF THE COMPANY

Ключевые слова: управление, информационная безопасность, информационные риски, анализ информационных рисков.

Keywords: management, information security, information risks, information risk analysis.

Аннотация: рассматриваются теоретические и практические аспекты управления информационными рисками, а также подходы к анализу информационных активов и информационных рисков. Приводятся рекомендации по выделению информационных активов предприятий, а также примеры таблицы рисков и политики безопасности.

Annotation: the article considers theoretical and practical aspects of information risk management, as well as approaches to the analysis of information assets and information risks. The author provides guidelines for the allocation of company information assets, as well as examples of risk charts and security policies.

В настоящее время проблема защиты информации приобрела более острый характер в связи с распространением сетевых технологий и мобильных цифровых устройств. Защита конфиденциальных данных и снижение информационных рисков стала одной из главных задач любого бизнеса. Почти каждая компания располагает торговыми или

промышленными секретами, приватными сведениями своих сотрудников, клиентов и партнеров, а в некоторых случаях интеллектуальной собственностью и другими цифровыми активами. Обеспечение информационной безопасности (ИБ) предприятия является одной из важнейших задач руководства, а также важной частью менеджмента всей организации. Управление информационной безопасностью - не просто организация антивирусной защиты, это обеспечение бесперебойности всех бизнес-процессов предприятия.

Учитывая тот факт, что одними из важнейших функций систем управления информационной безопасности предприятия являются анализ информационных рисков предприятия и планирование и реализация мер по минимизации информационных рисков, соответственно, управление рисками является актуальным теоретическим и

практическим направлением исследований.

Изученный опыт управления информационными рисками предприятий [2,3] показывает, что для максимальной минимизации информационных рисков необходимо тщательно изучить

информационные потоки предприятия, угрозы, оценить риски и только потом подбирать оптимальные методы и средства защиты информации, заниматься их внедрением и управлением.

Информационные потоки любого предприятия довольно объемны и разнообразны, так как они охватывают процессы по работе с клиентами, технологические процессы,

производственные, процессы

проектирования, экономические,

финансовые, бухгалтерские и другие [1].

Исходя из основной деятельности практически любого предприятия и изучения информационных потоков, можно выделить следующие типы документации,

сопровождающие процессы предприятия:

1. Технологическая документация (в электронной и бумажной форме).

2. Документация, содержащая коммерческую тайну (в электронной и бумажной форме).

3. Документация, содержащая

персональные данные сотрудников и клиентов (в электронной и бумажной форме).

4. Финансовая и бухгалтерская документация (в электронной и бумажной форме).

5. Экономическая и управленческая документация (в электронной и бумажной форме) и др.

Для выделения угроз и проведения анализа информационных рисков

необходимо составить список активов предприятия (информационных и связанных с ними технических), которые необходимо защитить.

К информационным активам предприятий в соответствии с представленными выше потоками относятся:

1. Базы персональных данных сотрудников и контрагентов (обработка и хранение регулируются Законом РФ «О персональных данных») - тип -конфиденциальная информация.

2. Проектно-сметная документация и техническая документация, в которой хранятся документы, содержащие сведения о ноу-хау, патентную информацию (обработка и хранение регулируется частью 4 Гражданского кодекса РФ) - тип -конфиденциальная информация.

3. Электронные и бумажные архивы документов и договоров, содержащих коммерческую информацию (обработка и хранение регулируются Законом РФ «О коммерческой тайне») - тип -конфиденциальная информация.

4. Финансовая и бухгалтерская отчетность в электронном и бумажном виде - тип - конфиденциальная информация.

5. Вычислительные сети (рабочие станции, серверы, сетевое оборудование, кабельная система) (аппаратные компоненты информационных систем (ИС)).

6. Интернет-сервисы (поисковые системы, электронная почта и др.) (аппаратные и программные компоненты ИС).

7. Программное обеспечение, установленное на клиентских машинах и сервере (программные компоненты ИС) и другие.

Далее необходимо выявить все

возможные типы угроз для предприятия и оценить риски, при этом необходимо также учитывать, что источники угроз безопасности могут находиться как внутри предприятия - внутренние источники, так и вне его - внешние источники. Такое деление оправдано потому, что для одной и той же угрозы (например, кража) методы парирования для внешних и внутренних источников будут разными. Так как перечислить весь список всевозможных угроз и проанализировать его практически невозможно, можно провести анкетирование и интервьюирование руководства и сотрудников предприятия, работающих с информационными активами предприятия. На основе полученных данных выделить основные угрозы информационной безопасности для конкретного предприятия и подобрать меры противодействия.

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности конфиденциальной информации (КИ) для данной ИС. Далее приведен пример таблицы рисков (таблица 1), которую необходимо построить на основе полученной информации. Таблицы рисков строятся в соответствии с выбранной методикой анализа рисков, анализ рисков можно также провести с помощью программных средств.

В приведенном примере таблицы рисков коэффициент реализуемости угрозы Y определен соотношением Y = + Y2)/20. По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если О < У < 0,3, то возможность реализации угрозы признается низкой;

если 0,3 < 7 < 0,6, то возможность реализации угрозы признается средней;

если 0,6 < 7< 0,8, то возможность реализации угрозы признается высокой;

если У > 0,8, то возможность реализации угрозы признается очень высокой.

Далее на основе выделенных угроз и полученных показателей рисков мы можем подобрать методы и средства защиты

информации для конкретного предприятия, реализации выделенных угроз. максимально снижающие возможность

аблица 1 - Таблица рисков

Коэффи циент Вероятн ость реализац ии угрозы (У2) Коэффи циент реализуе мости угрозы (У)

Описание атаки исходно й защище нности (У1) Пояснение

Угроза 1. Преднамеренное удаление Возможность

(искажение) информации реализации угрозы

(персональных данных, коммерческой 10 10 1 признается очень

информации) неавторизованным высокой

пользователем

Угроза 2. Случайное или Возможность

преднамеренное удаление (искажение, реализации угрозы

нарушение) доступности информации 10 10 1 признается очень

(персональных данных, коммерческой высокой

информации) авторизированным

пользователем

Угроза 3. Потеря (искажение, Возможность

нарушение) доступности информации в результате сбоев в работе (выход из 5 2 0,35 реализации угрозы признается средней

строя аппаратных компонентов ИС)

Угроза 4. Потеря (искажение, Возможность

нарушение) доступности информации 10 5 0,75 реализации угрозы

в результате сбоев в работе признается высокой

программных компонентов ИС

Угроза 5. Потеря (искажение, Возможность

нарушение) доступности информации в результате воздействия 5 5 0,5 реализации угрозы признается средней

вредоносного ПО

Угроза 6. Хищение документации Возможность

посторонними лицами 5 2 0,35 реализации угрозы признается средней

Угроза 7. Нарушение доступности Возможность

информации в результате сбоев в работе активного сетевого оборудования 5 2 0,35 реализации угрозы признается средней

В рамках управления

информационными рисками предприятия рекомендуется внедрять и использовать существующие политики безопасности. Политика безопасности - это качественное или качественно-количественное выражение свойств защищенности в терминах, представляющих систему. Описание

политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки. Существуют два типа политики безопасности: дискреционная и мандатная.

Основу мандатной политики безопасности составляет мандатное управление доступом, которое подразумевает,

что все субъекты и объекты системы должны быть однозначно идентифицированы и задан линейно упорядоченный набор меток секретности.

Основная цель мандатной политики безопасности - предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа. Основой дискреционной политики является дискреционное управление доступом, которое определяется двумя свойствами:

- все субъекты и объекты должны быть

идентифицированы;

- права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

Руководителями предприятий в рамках управления рисками можно использовать неформальное описание политики безопасности [4], пример которого представлен в таблице 2. Всех сотрудников предприятия можно разделить на группы, например администраторы и пользователи информационной системой организации.

Таблица 2 - Неформальное описание политики информационной безопасности предприятия

Операции Коммерческая информация Технологическая Общедоступная

и персональные данные документация информация

Формирование базы данных Администратор формирует информацию Администратор формирует информацию Пользователь формирует информацию

Создание Администратор создает Пользователь, Пользователь,

документов информацию, отвечает за её создающий создающий

немедленную классификацию информацию, отвечает за её классификацию информацию, отвечает за её классификацию

Маркировка Документ должен Нет специальных Документ должен

документов идентифицировать владельца и быть отмеченным как «Конфиденциально» на обложке или титульном листе требований быть отмеченным как «Общедоступный» на обложке или титульном листе

Размножение Осуществляется Размножение Нет специальных

документов администратором информации только для деловых целей требований

Посылка Метка Требования Нет специальных

документов по «Конфиденциально» на определяются требований

почте обложке или титульном листе. Подтверждение о получении по требованию владельца информации администратором

Уничтожение Администратор Контролируется Нет специальных

документов уничтожает документы, которые необходимо удалить, и реализует невозможность их восстановления физическое разрушение требований

Хранение Заперты, если не Оригинал Оригинал

документов используются охраняется от уничтожения охраняется от уничтожения

Доступ к Администратор организует Администратор Нет специальных

документам правила доступа к организует правила требований

документу, обычно сильно ограниченные доступа к документу, обычно широкодоступные

Рассмотрение уровня классификации документа Администратор определяет дату пересмотра классификации документа Администратор определяет дату пересмотра классификации документа Нет специальных требований

На основе разработанной политики информационной безопасности

разрабатываются организационно-

методические документы по защите информации, которые являются важной частью управления информационными рисками.

Для обеспечения информационной безопасности используются следующие виды программного обеспечения: антивирусы, корпоративные брандмауэры и средства обнаружения атак. Но программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила применения компьютеров, сети и данных, а также процедуры, предназначенные для предотвращения нарушения этих правил и для реакции на подобные нарушения, если таковые возникнут. Полезные рекомендации на этот счет содержатся в международных стандартах, в частности в международном стандарте безопасности информационных систем ISO 17799. Выбор аппаратных и программных средств обеспечения безопасности во многом определяется политикой, выработанной конкретной компанией.

Предложенные нами рекомендации могут быть использованы менеджерами и специалистами по защите информации на любом предприятии в процессе управления информационными рисками и при разработке системы управления

информационной безопасностью

предприятия.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Альшанская, Т.В. Проблемы информационной безопасности на предприятиях [Текст] / Т.В. Альшанская, Е.А. Гурьянова, Ю.В. Королькова // Развитие науки и образования в соврем. мире : сб. тр. Междунар. науч.-практ. конф. - Люберцы: АР-Консалт, 2014. - Ч. 3. - С. 97-99.

2. Атаманов, Г.А. Азбука безопасности. Методология обеспечения информационной безопасности субъектов информационных отношений [Текст] / Г.А. Атаманов // Защита информации. - 2014. - № 5. - С. 8-13.

3. Башмачникова, Е.В. Исследование условий достижения системой состояния максимальной эффективности [Текст] / Е.В. Башмачникова, Л.А. Абрамова // В мире научных открытий. - 2011. - № 10-2. - С. 810.

4. Вестервельт, Р. Разработка критериев для принятия решений по управлению ИТ-рисками [Текст] / Р. Вестервельт // Безопасность ИТ-инфраструктуры. - № 1. - М.: Инфопресс, 2012. - 23 с.

5. Глухова, Л.В. Информационно-аналитическая деятельность по обеспечению экономической безопасности [Электронный ресурс] / Л.В. Глухова // Наука -промышленности и сервису. VIII междунар. науч.-практ. конф. - Тольятти: ПВГУС, 2013.

- Ч. 1. - С. 78-80. - Документ Adobe Acrobat. - Библиогр. в конце ст. - Режим доступа: http://elib.tolgas.ru.

6. Грибунин, В.Г. Комплексная система защиты информации на предприятии [Текст] / В.Г. Грибунин, В.В. Чудовский. - М.: Академия, 2009. - 412 с.

7. Егорова, Г.В. Информационная безопасность ERP-систем [Текст] / Г.В. Егорова, А.В. Шляпкин // Информационные системы и технологии: управление и безопасность. -Тольятти: ПВГУС, 2014.

8. Егорова, Г.В. Проектирование педагогического исследования как современный метод обучения при формировании компетенций в области использования информационных технологий в профессиональной деятельности [Текст] / Г.В. Егорова // Найновите научни постижения - 2014. X Международна научна практична конференция.

- София, 2014.

9. Информационные системы и технологии: управление и безопасность [Электронный ресурс] = II International Scientific-Practical Conference. Infomation Systems and Technology: Management and Security: II междунар. заоч. науч.-практ. конф.: сб. ст.: дек. 2013, Поволж. гос. ун-т сервиса, Русенск. ун-т "Ангел Кънчев" (Болгария); [пред. редкол. Л.И. Ерохина]. - Тольятти-Русе: ПВГУС. - Документ Adobe Acrobat, 2013. - 7,54 МБ, 191 с.: ил. - Библиогр. в конце ст. - Режим доступа: http://elib.tolgas.ru.

10. Корт, С.С. Теоретические основы защиты информации [Текст] / С.С. Корт. - М.: Гелиос АРВ, 2004.

11. Митрофанова, Я.С. Разработка и внедрение системы управления информационной безопасностью на промышленном предприятии [Электронный ресурс] / Я.С. Митрофанова // Наука - промышленности и сервису. VIII междунар. науч.-практ. конф. - Тольятти: ПВГУС, 2013. - Ч. 1. - С. 93-96. - Документ Adobe Acrobat. - Библиогр. в конце ст. - Режим доступа: http://elib.tolgas.ru.