Современный бизнес  становится более зависим от информационных технологий, качества и непрерывности предоставляемых информационных услуг. Переход на электронную обработку информации создаёт угрозы целостности, доступности информации, а использование Интернет многократно повышает опасность утечки персональных данных и конфиденциальной информации, хакерских и других атак. Поэтому обеспечение информационной безопасности становится одной из важнейших задач менеджмента. Под информационной безопасностью в более общем виде следует понимать совокупность средств, методов и процессов (процедур), обеспечивающих защиту информационных активов и, следовательно, гарантирующих сохранение эффективности и практической полезности как технической инфраструктуры информационных систем, так и сведений, которые в таких системах хранятся и обрабатываются.  Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации бизнес-процессов предприятия и чем больше «интеллектуальная составляющая» в его конечном продукте, т.е. чем в большей степени успешность деятельности зависит от наличия и сохранения определенной информации (технологий, ноу-хау, коммерческих баз данных, маркетинговой информации, результатов научных исследований и т.п.), обеспечения ее конфиденциальности и доступности для владельцев и пользователей.

Обязательным компонентом общей системы обеспечения информационной безопасности компании является система управления информационными рисками.

За последние десятилетия создан ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты как ISO 17799–2002 (BS 7799), ISO/IEC 27002, GAO и FISCAM, SCIP, COBIT, NIST 800–30, SAC, COSO, SAS 55/78 и некоторые другие аналогичные им.

Основной назначением анализа рисков является обоснование выделения финансовых средств на меры по обработке рисков, то есть в результате анализа определяются наиболее критичные ресурсы, угрозы, вероятность реализации которых высока и уже на основании этих данных запрашиваются и распределяются средства, таким образом, повышается эффективность использования бюджета на безопасность.

Стандарт США NIST 800-30 подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес – целей предприятия. Согласно стандарту NIST 800-30 управление рисками состоит из 9 стадий.

1. Описание системы. На данном шаге  определяются границы системы, функции системы, критичные элементы ИС, классификация данных с позиции ИБ.
2. Идентификация угроз. Составляется перечень угроз характерных для данной. ИС на основе имевших место инцидентов в области ИБ, данных по инцидентам в аналогичных системах.
3. Идентификация уязвимостей. На основе  требований в области ИБ и данных по аудиту данной ИС формируется список потенциальных уязвимостей.
4. Анализ системы управления ИС. На данном шаге анализируется система управления с позиции возможного воздействия на выявленные угрозы и уязвимости.
5. Оценка параметров угроз. Определяется  вероятность реализации потенциальной уязвимости, которая приведет к инциденту.
6. Анализ возможных последствий нарушения режимов ИБ. На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий, в результате получается ранжированные по степени опасности последствия нарушения ИБ.
7. Определение рисков. Измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.
8. Выработка рекомендаций по управлению рисками. Рекомендации должны быть комплексными и учитывать возможные меры различных уровней, например, внесение изменений в политику ИБ, изменения в регламентах обслуживания и должностных инструкциях, дополнительные программно-технические средства.
9. Разработка отчётных документов.

На сегодняшний  день консалтинговые компании проводят анализ рисков в рамках услуг по аудиту информационной безопасности,  также российским компаниям доступны инструменты для самостоятельного управления информационными рисками. Однако  зачастую из-за неправильного понимания процесса управления информационными рисками возникают такие проблемы, как, во-первых, излишние сложности при проведении анализа рисков; и во-вторых, неправильная интерпретация результатов и их дальнейшее использование.

При проведении анализа рисков важно придерживаться принципов адекватности в оценках, избирательного анализа и правильной организации. Адекватность в оценках заключается в том, что не стоит  с точностью до копейки и процента оценивать критичность актива и вероятность реализации угроз, поскольку такая детальность увеличит трудоёмкость анализа, а для получения картины состояния объекта защиты достаточно примерных оценок. Избирательный анализ предполагает включение в анализ, особенно на первом этапе, только наиболее критичных ресурсов, так как рассмотрение каждой рабочей станции потребует больших трудовых и временных затрат, не увеличив эффективность исследования. Еще один момент, на который необходимо обратить внимание — организация  оценки критичности, которая в большинстве случаев является самой сложной задачей при проведении анализа рисков. Здесь надо понять, кто эту критичность и для каких ресурсов может оценить, какую методику использовать специалистам для оценки, чтобы результаты были сопоставимы и показательны. Также  для того, чтобы добиться результатов от сотрудников при сборе данных необходимо, чтобы  инициатива исходила от руководства.

В настоящее время в мире существует несколько десятков автоматизированных средств, позволяющих сделать труд специалиста по анализу рисков менее сложным и трудозатратным, реализующих базовые либо расширеннные функции анализ рисков. Наиболее известными реализациями являются  Cobra, CRAMM, Risk Advisor, Risk Watch, BCM-Analyser, система управления информационной безопасностью «АванГард», Digital Security Office 2006 (ГРИФ 2006, КОНДОР 2006).

Риски можно оценивать качественными и количественными методами. Качественная оценка предполагает присвоение риску значение в соответствии с выбранной шкалой, качественные методы просты для понимания и использования, но они не могут дать конкретную оценку, насколько выгодно применение комплекса контрмер и выгодно ли вообще. С помощью количественных методов с заданной точностью можно сказать о необходимых средствах и мерах защиты.

CRAMM  — инструментальное средство, реализующее одноименную методику, которая была разработана компанией BIS Applied Systems Limited пo заказу британского правительства. Метод CRAMM позволяет производить анализ рисков и решать ряд других аудиторских задач: обследование информационной системы, проведение аудита в соответствии с требованиями стандарта BS 7799, разработка политики безопасности.

Данная методика опирается на оценки качественного характера, получаемые от экспертов, но на их базе строит уже количественную оценку. Метод является универсальным и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является определение достаточности для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимость проведения более детального анализа. На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Для каждого этапа определяются набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Достоинства метода CRAMM: хорошо структурированный и широко опробованный метод анализа рисков, может использоваться на всех стадиях проведения аудита безопасности информационных систем, объемная база знаний по контрмерам в области ИБ, гибкость и универсальность метода позволяют его использовать для аудита информационной системы любого уровня сложности и назначения, позволяет разрабатывать план непрерывности бизнеса. К недостаткам метода CRAMM можно отнести следующее: для его использования требуется высококвалифицированный аудитор; аудит по данному методу процесс достаточно трудоемкий и может потребовать месяцы непрерывной работы; генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; невозможно внести дополнения в базу знаний CRAMM, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации .

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc.,фактически является американским стандартом в области анализа и управления рисками. Продукт  предназначен для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и «физической» безопасности предприятия. Аналогично методу CRAMM, RiskWatch использует в качестве критериев для оценки и управления рисками предсказания годовых потерь (Annual Loss Expectancy – ALE) и оценку возврата от инвестиций (Return on Investment – ROI). RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

Первая фаза — определение предмета исследования, на данном этапе описываются параметры организации (тип организации, состав исследуемой системы, базовые требования в области безопасности). Вторая фаза — ввод данных, описывающих конкретные характеристики системы (ресурсы, потери и классы инцидентов, частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов).  Третья фаза — оценка рисков на основе связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Дополнительно рассматриваются сценарии «что если…», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Четвертая фаза — генерация отчетов (отчет о стоимости защищаемых ресурсов, отчет об угрозах и мерах противодействия т.д). Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас [5].

COBRA –  Consultative Objective and Bi-Functional Risk Analysis является средством анализа рисков и оценки соответствия стандарту BS7799, реализующим методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем и oбширная база знаний по угрозам и уязвимостям и большое количество вопросников. В семейство программных продуктов COBRA входят также COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant. Анализ рисков, выполняемый данным методом, соответствует базовому уровню безопасности, т.е. уровни рисков не определяются. Достоинством методики является простота. Необходимо ответить на несколько десятков вопросов, затем автоматически формируется отчет.

Risk Advisor позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. В нём реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Есть возможность получать информацию о новых и актуальных угрозах с миллионов точек сбора информации, установленных нашим широко известным аналитическим подразделением — McAfee Labs.Данный инструмент позволяет документировать всевозможные аспекты, связанные с управлением риском, на верхних уровнях — административном и организационном. Программно-технические аспекты описывать в данной модели не очень удобно. Оценки даются в качественных шкалах, подробного анализа факторов рисков не предусмотрено. Сильной стороной данного метода является возможность описания разноплановых взаимосвязей, адекватного учета многих факторов риска.

Комплексная экспертная система управления информационной безопасностью «Авангард», разработанная  институтом системного анализа РАН, является программным продуктом, предназначенным для решения задач управления безопасностью в больших территориально-распределенных автоматизированных информационных системах, и призвана облегчать задачи контроля за центральными структурами уровня обеспечения информационной безопасности на местах. Данный комплекс является одним из самых мощных инструментов анализа и контроля рисков отечественного производства. Основные возможности комплекса: гибкая система ввода и редактирования модели предприятия, возможность построения модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение вариантов комплексов мер защиты и оценка остаточного риска. Программный комплекс «Авангард» призван играть вспомогательную роль в решении задач управления информационной безопасности, а именно обеспечивать полноценный всесторонний анализ, позволяющий сформулировать обоснованный набор целей безопасности, обосновать политику безопасности, гарантировать полноту требований безопасности, контроль выполнения которых нужно осуществлять.

Digital Security Office 2006 – система управления информационными рисками и оценки соответствия системы управления ИБ международным, национальным и корпоративным стандартам в области информационной безопасности. Продукт состоит из системы анализа рисков ГРИФ и системы  для оценки соответствия системы управления ИБ требованиям стандартов КОНДОР. Система ГРИФ позволяет построить приближенную модель информационной системы, содержащую наиболее критичные ресурсы и основные угрозы и уязвимости, с учетом вероятности их реализации. Полученная модель показывает наиболее уязвимые места ИС, уровень ущерба, к которому может привести каждая уязвимость, а также позволяет принять решение о том, какие контрмеры будут наиболее эффективны. В нем разработано гибкое и, несмотря на скрытый от пользователя сложнейший алгоритм, учитывающий более 100 параметров, максимально простое в использовании программное решение, основная задача которого дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании. Данный комплекс делает оценку рисков по различным информационным ресурсам, подсчитывает суммарный риск по ресурсам компании, а также ведет подсчет соотношения ущерба и риска и выдает недостатки существующей политики безопасности. В системе есть модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Здесь можно задать контрмеры, их стоимость и влияние на уровень риска.

Система КОНДОР включает в себя базы стандартов управления информационной безопасностью (ISO 17799:2000, ISO 17799:2005, ISO 27001, СТО БР ИББС-1.0-2006), представленных в виде перечня требований. Анализируя выполнение каждого требования, система, формируя отчёт,  позволяет получить полную картину – какие положения стандартов выполняются, а какие нет. Также в системе предусмотрена возможность создавать свои базы требований, чтобы провести оценку соответствия, например, корпоративному стандарту безопасности. В отчете отражаются все положения политики безопасности, которые соответствуют и не соответствуют стандарту, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Элементам, которые не выполняются, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, могут быть выбраны генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству. Все варианты отчетов для большей наглядности сопровождаются диаграммами. КОНДОР дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта. Существует возможность сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности. Данная система реализует метод качественной оценки рисков по уровневой шкале рисков: высокий, средний, низкий .

В таблице  представлена сравнительная характеристика рассмотренных программных средств, за исключением средств Cobra и Кондор, поскольку они предназначены для оценки соответствия требования стандартов в области ИБ, а не анализа и оценки конкретных угроз и уязвимостей безопасности.

Таблица 4. Сравнительная характеристика инструментальных средств анализа и управления информационными рисками.

Как видно из таблицы в таких системах, как RiskWatch,  «Авангард», Risk Advisor ущерб задаётся как следствие реализации угроз. Такой способ имеет недостаток,  поскольку основная причина ущерба есть прямое следствие нарушения свойств активов (конфиденциальности, целостности и т.п., а не реализации угроз), то, задав ущерб как следствие реализации угроз, каждая из которых может влиять на несколько свойств активов, можно получиться, что один и тот же ущерб может быть учтен несколько раз. Возможность определения рисков по модели информационной системы есть только у Risk Advisor и ГРИФ, что является необходимым, поскольку учитывается угрозы для информации при доступе различных пользователей и существующих средствах защиты.  В Гриф можно задавать собственные уязвимости и угрозы, опираясь на заложенную в программу классификацию. Только отечественные  программные средства ГРИФ и «Авангард» не требуют специальной подготовки и высокой квалификации аудитора и имеют русскоязычный интерфейс. При этом стоимость минимальной лицензии на одну рабочую станции у  ГРИФ гораздо ниже, чем у «Авангард». Руководствуясь данными преимуществами, для проведения анализа рисков нами был выбран программный комплекс Digital Security Office 2006.

Подводя итог, нужно отметить, управление информационными рисками это затратный, сложный и трудоёмкий процесс, требующий привлечения экспертов,  однако преимущества, которые он даёт значительно перевешивают затраченные усилия и средства. К тому же сегодня разработано большое количество методик и программных средств, призванных значительно упростить и автоматизировать этапы управления рисками. Так же, хотелось бы не упускать такой не мало важный вопрос, как контроль и разграничение доступа, мониторинга персонала и, в первую очередь, защиты конфиденциальных данных от утечки.

1. Поликарпов А.К. Обзор существующих методов оценки рисков и управления  информационной безопасностью – Режим доступа:http://is.isa.ru/PolikOtc.html
2. Лопарев С. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия/, А. Шелупанов – Режим доступа: http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/analiz-instrumentalnyh-sredstv-ocenki-riskov-utechki-informacii-v-kompyuternoi-seti-predpriyatiya
3. Куканова Н. − Режим доступа: Практические аспекты применения международного стандарта безопасности информационных систем ISO 27001:2005 – Режим доступа: http://www.dsec.ru/about/articles/practice_iso_27001/
4. Астахов А.  Как управлять рисками информационной безопасности? − Режим доступа: http://iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/kak-upravlyat-riskami-informacionnoi-bezopasnosti/

Все статьи автора «ILYA»