Автор: Ярофеева Мария Алексеевна
Должность: магистрант
Учебное заведение: ПГАТУ имени академика Д. Н. Прянишникова
Населённый пункт: г. Пермь
Наименование материала: Научная статья
Тема: "Построение системы управления рисками IT–безопасности"
Раздел: высшее образование
УДК 007.3
М.А. Ярофеева – магистрант
ФГБОУ ВО Пермский ГАТУ, г. Пермь, Россия
Построение системы управления рисками IT-безопасности
Безопасность и риски
Для
построения
системы
управления
рисками
информационной
безопасности необходимо ввести следующие понятия:
Угроза — потенциально возможное происшествие, неважно,
преднамеренное или нет, которое может оказать нежелательное воздействие
на бизнес-процессы компании, IT-системы, а также на информационные
активы компании. Иначе говоря, угроза — это нечто плохое, что когда-
нибудь может произойти.
Уязвимость информационной системы — тот или иной ее
недостаток,
из-за
которого
становится
возможным
нежелательное
воздействие на нее со стороны злоумышленников, неквалифицированного
персонала
или
вредоносного
кода
(например,
вирусов
или
программ-
шпионов).
Убыток
—
потенциально
возможные
прямые
и
косвенные
финансовые потери, которые произошли вследствие реализации угрозы и
уязвимости.
Риск
—
возможность
возникновения
некоторой
угрозы,
связанной
с
текущей
деятельностью
компании.
Также
риск
—
это
комбинация вероятности события и его последствий (ISO/IEC 27001:2005).
Риск отражает возможные прямые или косвенные финансовые потери.
С точки зрения процессного подхода, систему управления рисками
можно
представить
как
процесс
управления
рисками.
На
рисунке
1
прямоугольниками показаны процессы, а стрелками — их взаимосвязи.
Рисунок 1 – Система управления рисками
Для построения системы управления рисками IT-безопасности можно
предложить метод CRAMM (UK Goverment Risk Analysis and Managment
Method), который был разработан Службой безопасности Великобритании
(UK Security Service) по заданию британского правительства и взят на
вооружение в качестве государственного стандарта.
Один из наиболее
важных
результатов
применения
метода
CRAMM
—
получение
возможности
экономического
обоснования
расходов
организации
на
обеспечение
информационной
безопасности.
В
конечном
итоге
экономически
обоснованная
стратегия
управления
рисками
информационной
безопасности
позволяет
минимизировать
издержки
и
избегать неоправданных расходов.
На этапе разработки и внедрения системы управления IT-безопасностью,
помимо моделей критических бизнес-процессов, может быть использован
инструментарий Process Risk Assistant, относящийся к семейству продуктов
ARIS, предназначенный для методологического обеспечения и содержащий
детальное руководство по построению системы управления рисками. Для
структурированного описания, анализа, последующего совершенствования
бизнес-процессов предприятия и управления ими, а также подготовки к
внедрению
сложных
информационных
систем
организации
может
понадобиться платформа ARIS — методология и базирующееся на ней
семейство программных продуктов, разработанных компанией IDS Scheer
AG (Германия).
После
более
подробного
изучения
процесса
и
выявления
потенциальных
угроз следует
сформировать
перечень
рисков,
которые
необходимо минимизировать. Цель процесса сбора (идентификации) рисков
— выяснить, в какой степени организация подвержена угрозам, способным
нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-
процессов
компании
и
опрос
экспертов
предметной
области.
По
результатам проделанной работы перечень всех потенциальных рисков
классифицируется. Причем для проверки полноты перечня выделенных
рисков необходимо построить классификацию рисков по определенному
принципу, например, по этапам жизненного цикла документа.
Два подхода к определению рисков
Первый основан на описании процессов и их анализе на предмет
нахождения
рисков
IT-безопасности.
Обычно
его
применение
требует
больших затрат как на описание, так и на анализ бизнес-процессов, но
неоспоримым преимуществом данного метода является гарантированная
полнота определения перечня рисков.
Второй подход к определению рисков базируется на экспертных
знаниях,
информации
по
инцидентам
IT-безопасности
и
понесенному
компанией
убытку
от
произошедших
инцидентов.
Этот
подход
имеет
меньшую трудоемкость, но не гарантирует полноты перечня рисков и
требует большого экспертного опыта при выделении рисков без анализа
описания процессов.
В связи с тем, что последствия от различных угроз неравноценны,
недостаточно лишь идентифицировать риск. Необходимо оценить величину
угрозы и возможность реализации риска (уязвимость), а также убыток в
виде прямых или косвенных потерь в денежном выражении. Если говорить
об оценке рисков, то на первом этапе следует использовать качественные
критерии, поскольку они просты в применении.
Примером качественных критериев оценки может быть куб (четыре
на четыре на четыре):
угроза — низкая, средняя, высокая, критическая;
уязвимость — низкая, средняя, высокая, критическая;
ущерб — низкий, средний, высокий, критический;
Суммарную оценку риска можно определить путем перемножения
или взвешенного суммирования полученных качественных коэффициентов.
Затем
определятся
порог
или
уровень
существенности
для
рисков.
Фактически перечень рисков делится уровнем существенности на две части.
Во-первых,
риски,
по
которым
в
данном
цикле
системы
будет
производиться предотвращение или минимизация последствий. Во-вторых,
риски,
по
которым
в
данном
цикле
системы
не
будет
производиться
предотвращение или минимизация последствий.
Результат
Основным результатом (выходом) процесса оценки рисков является
перечень
всех
потенциальных
рисков
с
их
количественными
и
качественными
оценками
ущерба
и
возможности
реализации.
Данный
перечень рисков имеет большой объем, поэтому необходимо определить
перечень
особо
опасных
рисков,
к
минимизации
которых
следует
приступить
немедленно,
и
минимизация
которых
повысит
уровень
безопасности организации. То есть речь идет лишь о понимании, сколько
риска организация готова взять на себя и какому риску она подвергается в
действительности.
Оставшиеся
риски
минимизировать
не
требуется,
поскольку
стоимость мероприятий по их минимизации может превысить убытки от
данных рисков. Вот почему основной задачей становится определение
логической
границы
между
рисками,
требующими
минимизации,
и
остаточными рисками.
В начале построения системы IT-безопасности данная граница может
иметь высокий уровень, дальнейшее понижение границы возможно при
проведении
работ
по
IT-безопасности,
но
необходимо
определить
тот
момент,
когда
ее
дальнейшее
понижение
станет
убыточным
для
организации.
Иначе
нельзя
исключить
переход
в
состояние,
когда
мероприятия по защите информации будут работать сами на себя. Для
оценки
данной
границы
необходимо
четко
оценивать
свои
ресурсы и
возможные расходы.
Дополнительным
результатом
процесса
оценки
рисков
является
перечень
рисков
информационной
безопасности,
которые
не
будут
отслеживаться в организации, но на следующем цикле анализа рисков будут
оценены.
Все
данные,
важные
с
точки
зрения
управления
рисками,
моделируются,
например,
с
помощью
упомянутого
программного
обеспечения ARIS.
Инструментарий под названием «Портал рисков» (Process risk portal)
обеспечивает пользователю проведение графического анализа и оценки
рисков процессов.
Кроме
того,
процессы внутри компании
становятся
прозрачными, а данные по управлению рисками — общедоступными, что и
помогает сотрудникам выполнять постоянный мониторинг существующих
рисков
и
выявлять
новые.
Как
правило,
цикл
управления
рисками
информационной безопасности имеет квартальный период, что, с одной
стороны, обеспечивает реакцию системы на изменение внешних условий, а
с другой — сокращает затраты на данные работы.
Цель процесса планирования мероприятий по минимизации рисков —
определение сроков и перечня работ по исключению или сведению к
минимуму ущерба в случае реализации риска. Данный процесс позволяет
сформулировать кто, где, когда и какими ресурсами будет минимизировать
определенные
риски.
Результатом
(выходом)
процесса
планирования
является план-график работ по исключению или минимизации ущерба от
реализованного риска.