К.т.н. Чунарьова А.В.,
Чунарьов А.В.
Національний
авіаційний університет (НАУ), Україна
ОЦІНКА РИЗИКІВ СУЧАСНИХ КОРПОРАТИВНИХ МЕРЕЖ
На сьогоднішній день процес управлінням ризиками організації
є невід’ємною частиною процедури системи менеджменту інформаційної безпеки. Під
поняттям управління ризиками будемо розуміти процеси, пов'язані з ідентифікацією,
аналізом ризиків та прийняттям рішень по їх мінімізації. На даний час процес управління ризиками інформаційної безпеки зазвичай
включає виконання наступних обов’язкових процедур:
1. Планування управління
ризиками – вибір підходів і планування діяльності з управління ризиками.
2. Ідентифікація ризиків
– визначення ризиків, здатних негативно впливати на критичні інформаційні ресурси,
і документування їх характеристик.
3. Якісна оцінка ризиків
– якісний аналіз ризиків і умов їх виникнення з метою визначення їх впливу ні інформаційну
систему.
4. Кількісна оцінка – кількісний
аналіз ймовірності виникнення та впливу наслідків ризиків.
5. Планування реагування
на ризики – визначення процедур і методів з ослаблення негативних наслідків ризикових
подій та використання можливих переваг.
6. Моніторинг та контроль
ризиків – моніторинг ризиків, визначення залишаються ризиків, виконання плану управління
ризиками проекту і оцінка ефективності дій з мінімізації ризиків.
Метою даних досліджень є аналіз основних складових системи менеджменту ризику інформаційної безпеки та розробка узагальненої
структурної схеми процесу оцінки ризиків.
Менеджмент ризику інформаційної безпеки організації має бути
безперервним процесом. В рамках даного процесу
слід проводити оцінку і обробку ризиків, використовуючи для реалізації рекомендації
і планів обробки ризиків. До прийняття рішення
про те, що і коли повинно бути зроблено для зниження ризику до прийнятного
рівня.
Менеджмент ризику інформаційної безпеки має сприяти: ідентифікації ризиків; оцінці ризиків, виходячи з наслідків їх реалізації для бізнесу
та ймовірності їх виникнення; усвідомлення і інформування про ймовірність і наслідки
ризиків; встановлення пріоритетів в рамках обробки
ризиків; встановлення пріоритетів заходів щодо зниження мають місце ризиків; залучення
третіх сторін до прийняття рішень про менеджмент ризику та підтримання їх інформованості
про стан менеджменту ризику; ефективності проведеного моніторингу обробки ризиків;
проведення регулярного моніторингу та перегляду процесу менеджменту ризику; збору
інформації для вдосконалення менеджменту ризику; підготовці менеджерів і персоналу
з питань ризиків і необхідних дій, що вживаються для їх зменшення.
Процес менеджменту ризику та його оцінка може бути застосований
до всієї організації, до будь-якої окремої частини організації (наприклад, підрозділу,
філії, служби), до будь-якої інформаційної системи, до наявних. планованим або специфічним аспектам управління (наприклад,
до планування безперервності бізнесу).
Якісна процедура управління ризиками повинна базуватися на
наступних керівних принципах, а саме: комплексності, системності, інформативності,
інтегрованості, прогнозованості. Виходячи о сформованих принципів виділимо основні
функції системи управління ризиками: ідентифікації, планування, оцінка, обробка,
контроль, документування.
Оцінка ризиків, як частина процесу менеджменту стану інформаційної безпеки – важливе завдання, що пов'язане з системою управління інформаційною безпекою сучасних організацій. Він
є потужним і зручним
інструментом для аналізу захищеності ресурсів інформаційної системи. Процес аналізу
ризиків дозволяє провести повний аналіз стану інформаційної мережі
підприємства - отримати повну картину всіх загроз, актуальних для інформаційної
системи, оцінити, наскільки критичні уразливості і до яких втрат вони можуть привести. Аналіз ризиків інформаційної безпеки здійснюється за допомогою
побудови моделі інформаційної системи організації. Розглядаючи засоби захисту ресурсів,
взаємозв'язок інформаційних ресурсів між собою, вплив прав доступу груп користувачів,
організаційні заходи, модель оцінки ризиків досліджує захищеність кожного виду інформації.
У загальному випадку процедура менеджменту ризиків інформаційної
безпеки включає наступні основні дії:
1. Детальна класифікації
інформаційних ресурсів.
2. Перелік всіх уразливостей
та загроз по відношенню до інформації, які стали причиною отриманого значення ризику.
3. Визначення ризику для
кожного цінного ресурсу організації.
4. Визначення ризику для
ресурсів після вжиття контрзаходів (залишковий ризик).
5. Оцінка ефективності використаних контрзаходів з ціллю мінімізації ризику.
6. Моніторинг
та переоцінка ризику інформаційної безпеки.
Оцінка ризику кількісно або якісно характеризує ризики і дає
можливість керівникам призначати для них пріоритети відповідно до усвідомлюваної
ними серйозністю або іншими встановленими критеріями.
Процес оцінки ризику складається з;
- Аналізу ризику, що включає ідентифікацію ризику та встановлення
значення ризику;
- Оцінки ризику.
В процесі оцінки ризику встановлюється цінність інформаційних
активів, виявляються потенційні загрози та уразливості, які існують або можуть існувати,
визначаються існуючі заходи і засоби контролю і управління та їх вплив на ідентифіковані
ризики, визначаються можливі наслідки і нарешті, призначаються пріоритети встановленим
ризикам, а також здійснюється їх ранжування за критеріями оцінки ризику.
Для того, щоб якісно оцінити ризик по відношенню до інформації,
та прийняти міри та засоби по їх мінімізації необхідно проаналізувати захищеність
і архітектуру побудови інформаційної системи та визначити всіх критичні активи. Першочергово власнику інформаційної системи потрібно
спочатку описати архітектуру своєї мережі:
• всі ресурси, на яких зберігається цінна інформація;
• всі мережеві групи, в яких знаходяться ресурси системи (тобто
фізичні зв'язку ресурсів один з одним);
• відділи, до яких відносяться ресурси;
• види цінної інформації;
• шкоду для кожного виду цінної інформації за трьома видами
загроз;
• бізнес-процеси та інформація, яка в них бере участь;
• групи користувачів, які мають доступ до цінної інформації;
• клас групи користувачів;
• доступ групи користувачів до інформації;
• характеристики цього доступу (вид і права);
• засоби захисту інформації;
• засоби захисту робочого місця групи користувачів.
Визначення активів слід проводити з відповідним ступенем деталізації, що забезпечує інформацію, достатню для оцінки ризику. Ступінь деталізації, яка використовується при визначенні активів, впливає на загальний обсяг інформації, зібраної під часоцінки ризику. Ця інформація може бути більш деталізована приподальших ітераціях оцінки ризику.
Не менш важливим етап оцінки ризиків є процедура визначення уразливостей та
загроз інформаційним активам. Необхідно виявити уразливості, які можуть бути використані загрозами для реалізації неправомірних дій по відношенню інформаційних активів
організації. Загроза може заподіяти шкоду важливим активам організації, таким як інформація, процеси і системи. Загрози можуть виникати в результаті природних явищ або
дій людей, вони можуть бути випадковими або навмисними. Повинні бути встановлені
і випадкові, і навмисні джерела загроз.
Уразливості повинні бути виявлені в наступних
областях по відношенню до інформаційного об’єкту, де циркулює критична інформація:
організація робіт по створенню та експлуатації захищеної інформаційної ситсеми;
процеси та процедури; робота з персоналом; фізичне та технологічне середовище;
конфігурація інформаційної системи; апаратні
засоби, програмне забезпечення, апаратура зв'язку, комутаційне та мережеве обладнання.
Наявність уразливості саме по собі не завдає шкоди, оскільки необхідна наявність
певної загрози, яка зможе скористатися нею для реалізації процедури порушення цілісності,
конфіденційності та доступності інформації.
Для уразливості, відповідно до якої не відповідає
певна загроза, може не знадобитися впровадження засоби контролю і управління, але
вона повинна усвідомлюватися і піддаватися моніторингу на предмет змін. Слід зазначити,
що невірно реалізований засіб контролю та управління стану інформаційної безпеки
саме може стати уразливістю інформаційної системи. Заходи і засоби контролю і управління
можуть бути ефективними або неефективними в залежності від середовища, в якому вони
функціонують.
Уразливості повинні бути пов’язані з властивостями
активу. При класифікацій уразливостей необхідно враховувати ті уразливості, які
виникають з різних джерел, наприклад ті, які є зовнішніми або внутрішніми по відношенню
до інформаційного активу.
Далі аналіз ризику виконується з різним ступенем деталізації в залежності від критичності активів, відомих уразливостей і інцидентів, що стосуються організації. Методологія встановлення значення ризику може бути якісною, кількісної, або комбінованою. На практиці встановлення якісного значення часто використовується спочатку для отримання загальних відомостей про рівень ризику і виявлення основних значень ризиків. Пізніше може виникнути необхідність у здійсненні більш специфічного встановлення кількісного аналізу основних значень ризиків, оскільки зазвичай виконання якісного аналізу в порівнянні з кількісним є менш складним і витратним.
Для встановлення якісного значення використовується
шкала кваліфікації атрибутів, за допомогою якої описуються величини можливих наслідків
(наприклад низький, середній і високий) та ймовірності виникнення цих наслідків
від реалізації загроз по відношенню до інформаційного активу.
Для встановлення кількісної оцінки використовується
шкала з числовими значеннями як наслідків, так і ймовірності. із застосуванням даних з різних джерел. Якість аналізу залежить від точності і повноти
числових значень і від обґрунтованості моделей. В більшості випадків для встановлення кількісного
значення використовуються фактичні дані за минулий період. Перевага полягає в тому, що встановлення кількісного
значення може бути прямо пов'язане з цілями інформаційної безпеки та проблемами
організації. Спосіб
вираження наслідків ризику та ймовірності його виникнення, а також способи їх комбінування
для одержання інформації про рівень ризику змінюються в залежності від виду ризику
і цілі, для досягнення якої повинні використовуватися вихідні дані оцінки ризику.
Після проведення процедури оцінки ризиків
вибираються критерії оцінки ризиків. Критерії оцінки ризику, що використовуються
для прийняття рішень на етапі оцінці ризиків, повинні узгоджуватися з
визначеним зовнішнім і внутрішнім контекстом менеджменту ризику інформаційної
безпеки і враховувати цілі організації. Рішення, пов'язані з оцінкою ризику, зазвичай
ґрунтуються на прийнятному рівні ризику. Однак також повинні враховуватися наслідки,
ймовірність, ступінь впевненості при ідентифікації і аналізі ризику. Сукупність безлічі ризиків низького і середнього рівня в підсумку
може мати результатом загальний ризик більш високого рівня.
При оцінці ризиків необхідно враховувати: властивості
інформаційної безпеки (конфіденційність, цілісність та доступність); значимість
бізнес-процесу або діяльності, які підтримуються конкретним активом або сукупністю
активів, якщо процес визначений як має низьку значимість, пов'язаним з ним
ризиків потрібно приділяти менше уваги, ніж ризикам, що впливає на більш
важливі процеси або діяльність.
Узагальнена схема процедури оцінки ризиків, як невід’ємної складової
системи менеджменту ризику інформаційної безпеки представлена на рис.1
Рис.1. Структурна схема процесу оцінки ризику
Висновки. На основі
проведеного аналізі основних складових системи менеджменту ризику інформаційної безпеки розроблена
узагальнена структурна схема процесу оцінки ризиків.
Література
1.
Information Security Management — Specification With Guidance for Use : ISO/IEC 27001:2005.
2.
Information technology — Security techniques
— Code of practice for information
security management : ISO/IEC 27002: 2005.
3.
Information technology — Security techniques
— Information security risk Magement :
ISO/IEC 27005: 2008.