ОЦІНКА ІНФОРМАЦІЙНИХ РИЗИКІВ
Левадний С.М.
Національний авіаційний університет(НАУ), Україна
Порушення основних
властивостей інформації може стати серйозною загрозою для організацій в даний
час. Інформацію важче контролювати і вона піддається зростаючому числу загроз і
вразливостей, в тому числі комп'ютерного шахрайства, шпигунству, саботажу,
вандалізму, пожежі або повені. Інформаційні ресурси, як і матеріальні,
володіють якістю та кількістю, мають собівартість і ціну. Оцінка ризиків є
важливою частиною будь-якого процесу інформаційної безпеки. Її використовують
для визначення масштабу загроз безпеці інформації та ймовірності реалізації
загрози.
Процес оцінки ризику оцінює ймовірність і потенційний збиток від
виявлених загроз, заходи індивідуального рівня ризику кожного інформаційного
активу і як вони ставляться до конфіденційності, цілісності та доступності.
Потім вимірюється ефективність існуючих заходів. Результати допомагають
організації визначити, які активи є найбільш критичними, служать основою для визначення
пріоритетів і рекомендують курс дій для захисту активів.
Мета статті
Метою даної статті є визначення
методів та засобів управління інформаційною безпекою та класифікація їх
згідно потреб користувача.
Основна частина
Є безліч способів оцінки інформаційного ризику і в цій статті авторами
буде представлено класифікацію існуючих методів і засобів оцінки інформаційних
ризиків.
Оцінка ризику - це
процес, який використовується для присвоєння значень наслідків, ймовірності
виникнення та рівня ризику. Вона включає в себе:
1.
оцінку ймовірності
загроз і вразливостей, які можливі;
2.
розрахунок впливу, який
може мати загроза на кожен актив;
3.
визначення кількісної
(вимірні) або якісної (описуваної) вартості ризику.
Треба взяти до уваги
те, що ці три змінні рідко незалежні одина
від одної. В області
інформаційної безпеки, є зв'язок між вартістю активів, впливом і ймовірністю.
Наприклад, більш імовірно, що хакер буде використовувати уразливість, яка викликає більший
вплив, ніж уразливість з низьким рівнем впливу. Крім того, цінний актив має
більшу імовірність компрометації, ніж марний. Таким чином, в цій області повинно
прийматися до уваги більше, ніж просто випадкові дії. Необхідно брати до
уваги, що при наявності
достатнього часу і рішучості, люди мають можливість обійти майже всі заходи безпеки. Вони
можуть бути надзвичайно творчими, коли мотивовані. Таким чином, фактор
мотивації повинен бути серйозно розглянутий
в процесі оцінки безпеки інформаційного ризику.
У даній статті будуть
розглянуті кращі, на думку авторів, способи оцінки інформаційних ризиків.
На
Рис. 1 представлені три способи,
за допомогою яких можна проводити оцінку інформаційних ризиків:
1.
методи;
2.
управляючі документи;
3.
інструменти;
Рисунок 1
Способи оцінки інформаційних ризиків
1. Методи.
Метод розуміється, як систематизована сукупність кроків, дій, які
необхідно зробити для вирішення певної задачі або досягти поставленої мети, в
даному випадку провести оцінку ризиків. Тобто,
метод мається на увазі покрокова інструкція плюс інструмент (програмний продукт) для
проведення оцінки ризиків на підприємстві.
Всі методи оцінки ризику можна розділити на кількісні, якісні або
комбінацію кількісних методів з якісними (змішаний).
Кількісні методи використовують вимірні, об'єктивні дані для визначення
вартості активів, імовірність втрати і пов'язаних з ними ризиків. Мета полягає в тому, щоб обчислити
числові значення для кожного з компонентів, зібраних в ході оцінки ризиків та
аналізу витрат і переваг.
Якісні методи
використовують відносний показник ризику або вартості активу на основі рейтингу
або поділ на категорії, такі як низький, середній, високий, не важливо,
важливо, дуже важливо, чи за шкалою від 1 до 10. Якісна модель оцінює дії й імовірності виявлених ризиків швидким і
економічно ефективним способом. Набори ризиків записані і проаналізовані в
якісній оцінці ризику, та можуть послужити основою для цілеспрямованої
кількісної оцінки.
Раніше кількісні
підходи використовувалися частіше. Однак, останнім часом використання суворо
кількісних управлінь ризиками зазвичай призводить до важкої, тривалої роботи, і
немає великих переваг перед
якісним методом оцінки ризиків. Комбінація кількісного і якісного методу являє
собою змішану сукупність переваг
і недоліків вище згаданих методів.
Таблиця 1
Переваги та недоліки методів оцінки інформаційних ризиків
|
Кількісний |
Якісний |
Переваги |
·
Ризики є пріоритетнішими фінансових наслідків; ·
активи є пріоритетнішими фінансових цінностей; ·
отримання спрощених результатів управління
ризиком та поверненням інвестицій у забезпечення безпеки; ·
результати можуть бути виражені в управлінській
специфічній термінології (наприклад, грошові значення і ймовірність
виражається у вигляді певного відсотка); ·
точність має тенденцію до збільшення з плином
часу, так як організація постійно веде записи даних. |
·
Забезпечує прозорість і розуміння класифікації
ризику; ·
можливість досягти консенсусу; ·
немає необхідності визначати фінансову вартість
активів; ·
легше залучити людей, які не є експертами в області
комп'ютерної безпеки. |
Недоліки |
·
Вплив значення, привласнених ризикам на підставі суб'єктивних думок
учасників; ·
процес для досягнення надійних результатів і
консенсусу займає багато часу; ·
розрахунок може бути складним і трудомістким; ·
результати представлені тільки в грошовому
еквіваленті і їх складно інтерпретувати для «нетехнічних людей»; ·
процес вимагає спеціальних знань, тому складно
навчити персонал. |
·
Недостатня відмінність між важливими ризиками; ·
важко виправдати інвестиції в контроль
реалізації, тому що немає підстав для аналізу витрат і переваг; ·
результати залежать від якості команди
управління ризиками, яка буде створена. |
Далі будуть
розглянуті кращі світові методи для проведення повноцінної оцінки ризиків.
Методи
оцінки ризику:
1.1. ISAMM.
Виробник:
Бельгія.
Опис:
ISAMM була розроблена на основі Telindus. Це кількісний тип методології
управління ризиками, де оцінюються ризики, виражаючи їх через щорічні очікувані
збитків в грошових одиницях.
Щорічні
очікувані збитки (ALE) = [ймовірність] Х [середнє вплив].
ISAMM
дозволяє показувати й моделювати зниження ризику для кожного поліпшеного
контролю і порівнювати з його вартістю реалізації. Ефективність методу дозволяє виконувати
обгрунтовану оцінку ризику в рамках, з мінімальними витратами часу і зусиль. Останньою
еволюцією в методології ISAMM є уявлення
активів. Це означає, що він може бути використаний для запуску оцінки ризиків
щодо активів або згрупувати набір активів. Цей метод оцінки ризиків складається
з трьох основних частин: огляду; оцінки; результат розрахунків та звітність.
Метод оцінки ризику: кількісний.
Наявність допоміжних програмних
інструментів: немає, але має хорошу керівну документацію.
1.2.
Mehari.
Виробник:
Франція.
Опис:
Це модель управління ризиками, з модульними компонентами і процесами. Модуль
оцінки охоплює, крім інформаційної системи, організацію та її місця
розташування в цілому, а також умови роботи, правові та нормативні аспекти.
Метод
оцінки ризику: якісний і кількісний.
Наявність
допоміжних програмних інструментів: є.
1.3.
EBIOS.
Виробник:
Франція.
Опис:
EBIOS являє собою повний набір посібників. Виробляються кращі практики, а також
додатки документів, орієнтовані на кінцевих користувачів в різних контекстах.
Цей метод широко використовується як в державному, так і приватному секторі. EBIOS формалізує підхід до оцінки ризику
в області інформаційної безпеки систем. Метод враховує всі технічні об'єкти
(програмне і апаратне забезпечення, мережі) і нетехнічні об'єкти (організації,
людські аспекти, фізична безпека).
Метод
оцінки ризику: якісний.
Наявність
допоміжних програмних інструментів: є.
1.4.
Octave.
Виробник:
США.
Опис:
OCTAVE є самостійним підходом, що вказує на те, що персонал несе
відповідальність за встановлення стратегії безпеки організації. OCTAVE вимагає аналізу в
розгляді відносини між критично важливими активами, загрозами для цих активів і
вразливостями (як організаційні, так і технологічні). Він визначає пов'язані з
інформацією активи, які важливі для організації і зосереджує діяльність на ці
активи, тому що вони мають найбільш важливе значення для організації (акцент на
кількох важливих активів, не більше п'яти). Існують різні OCTAVE методи, засновані
на OCTAVE критеріях: OCTAVE, OCTAVE-S і OCTAVE Allegro.
Метод
оцінки ризику: якісний.
Наявність
допоміжних програмних інструментів: є.
1.5.
IT-Grundschutz.
Виробник:
Німеччина.
Опис:
IT-Grundschutz пропонує спосіб для створення системи управління інформаційною
безпекою. Вона включає в себе як загальні рекомендації по забезпеченню безпеки
ІТ так і допоміжні технічні
рекомендації для досягнення необхідного рівня ІТ безпеки для конкретного
домену.
У
методі IT-Grundschutz представлені каталоги: 1) модулі; 2) каталоги загроз; 3) каталоги захисту.
Метод
оцінки ризику: якісний.
Наявність
допоміжних програмних інструментів: є.
1.6.
CRAMM.
Виробник:
Великобританія.
Опис:
Метод CRAMM досить складно використовувати без CRAMM інструменту. У інструмента
такаж назва, як і у методу - CRAMM. В основі методу CRAMM лежить комплексний
підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є
універсальним і підходить як для великих, так і для дрібних організацій, як
урядового, так і комерційного сектора. Грамотне використання методу CRAMM
дозволяє отримувати дуже хороші результати, найбільш важливим з яких є
можливість економічного обгрунтування витрат організації на забезпечення
інформаційної безпеки та безперервності бізнесу. Економічно обгрунтована
стратегія управління ризиками дозволяє, в кінцевому підсумку, заощаджувати
кошти, уникаючи невиправданих витрат.
Метод
оцінки ризику: якісний і кількісний.
Наявність
допоміжних програмних інструментів: є.
1.7.
Назва методу: Magerit.
Виробник:
Іспанія.
Опис:
Magerit є відкритою методологією аналізу та управління ризиками пропонованої в
якості основи і керівництва:
•
для того, щоб особи
відповідальні за інформаційні системи знали про існування ризиків і необхідность розглядати їх своєчасно;
•
для пропозиції
систематичного методу аналізу цих ризиків;
•
для опису і планування
відповідних заходів по утриманню ризику під контролем;
•
для підготовки організації по процесу оцінки, аудиту, сертифікації та
акредитації.
Метод
оцінки ризику: кількісний і якісний.
Наявність
допоміжних програмних інструментів: є.
2.
Управляючі документи.
Крім
методів оцінки ризиків
використовують управляючі
документи. Де теоретично описуються і даються методичні вказівки процесу оцінки
ризиків, але не дається конкретних технологій. Найвідоміші стандарти, які
використовуються на території України: ISO 27001, ISO 27005, ISO 17799.
2.1.
ISO / IEC 27001.
Опис:
Міжнародний стандарт ISO / IEC 27001 визначає процеси, що представляють
можливість бізнесу встановлювати, застосовувати, переглядати, контролювати і
підтримувати ефективну систему менеджменту інформаційної безпеки. У даному
стандарті регламентовані вимоги до розробки, впровадження, функціонування,
моніторингу, аналізу, підтримки та вдосконалення документованої системи
менеджменту інформаційної безпеки в контексті існуючих бізнес ризиків
організації. Зазначені вимоги реалізуються в рамках документованих процесів
менеджменту інформаційної безпеки, структурованих по моделі PDCA
(Plan-Do-Check-Act). Стандарт ISO / IEC 27001 являє наочну модель менеджменту,
що дозволяє здійснювати оцінку ризиків, проектування і реалізацію системи
інформаційної безпеки, її менеджмент і переоцінку.
2.2.
ISO / IEC 27005.
Опис:
Цей стандарт призначений для визначення в організації підходу до менеджменту
ризиків в залежності, наприклад, від області дії СМІБ, області застосування
менеджменту ризиків або сектора промисловості. Забезпечує рекомендації для менеджменту
ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків
безпеки технологій телекомунікації. Стандарт підтримує загальні концепції,
визначені в ISO / IEC 27001, і призначений для сприяння адекватного
забезпечення інформаційної безпеки на основі підходу, пов'язаного з
менеджментом ризику.
Застосуємо для організацій усіх типів (наприклад, комерційних підприємств,
державних установ, некомерційних організацій), які планують здійснювати
менеджмент ризиків, для
компрометації інформаційної безпеки організації.
2.3.
ISO / IEC 17799.
Опис:
У відповідності зі стандартом ISO 17799, при створенні ефективної системи
безпеки особливу увагу слід приділити комплексному підходу до управління
інформаційною безпекою. З цих причин в якості елементів управління
розглядаються не тільки технічні, але й організаційно-адміністративні заходи,
спрямовані на забезпечення наступних вимог до інформації: 1) конфіденційність; 2) цілісність; 3) достовірність; 4)доступність.
Порушення
кожного з них може спричинити за собою значні втрати як у вигляді збитків, так
і у вигляді неотриманого доходу.
3.
Інструменти.
Крім
методів та управляючих документів використовують інструменти
для оцінки ризиків. Інструменти являють собою програмне забезпечення з
документацією про правила використання. Найвідомішими інструментами, існуючими
без методики з покроковою
інструкцією є:
Cobra, RiskWatch, ГРИФ 2006.
3.1.
Cobra.
Виробник:
Великобританія.
Опис:
Cobra програмний інструмент, який дозволяє проводити оцінку ризиків у галузі
безпеки. Він оцінює відносну важливість усіх загроз і вразливостей, генерує
відповідні рішення та рекомендації. Це автоматично пов'язує виявлені ризики з
потенційними наслідками для бізнес-одиниці. Крім того, конкретний район або
питання може бути розглянуте "самостійно", без будь-яких наслідків
для організації.
3.2. RiskWatch.
Виробник: США.
Опис: RiskWatch являє собою сімейство програмних продуктів, побудованих
на загальному програмному ядрі, які призначені для управління різними видами
ризиків та підтримки великого різновиду стандартів. У RiskWatch в якості критеріїв
для оцінки та управління ризиками використовуються очікувані річні втрати (Annual Loss Expectancy, ALE) та оцінка повернення інвестицій (Return on Investment, ROI). RiskWatch орієнтована на точну кількісну оцінку
співвідношення втрат від загроз безпеки і затрат на створення системи захисту.
3.3.
ГРИФ 2006.
Виробник:
Росія.
Опис:
ГРИФ 2006 - потужний і зручний інструмент для аналізу захищеності ресурсів
інформаційної системи та ефективного управління ризиками. Дозволяє провести
повний аналіз ризиків - отримати повну картину всіх загроз, актуальних для
інформаційної системи, оцінити, наскільки критичні уразливості і до яких втрат
вони можуть привести. Крім аналізу ризиків, є можливість управління ризиками.
Алгоритм системи «ГРИФ 2006» аналізує побудовану модель і генерує звіт, який
містить значення ризику для кожного ресурсу. Конфігурація звіту може бути
практично будь-якою,
таким чином, дозволяючи створювати як короткі звіти для керівництва, так і
детальні звіти для подальшої роботи з результатами.
Висновок
Отже, важливим кроком при побудові
комплексної системи захисту інформації є вибір методів, управляючих документів
та інструментів. Зазвичай організації
не знають, які з існуючих способів оцінки ризиків кращі саме для їх умов. Процес
оцінки повинен бути адаптований
до індивідуальних особливостей організації, але в той же час узгоджений з кращими
стандартами та провідними практиками. У даній статті була розглянута класифікація основних
способів оцінки інформаційних ризиків. Також наведено огляд кращих методів,
керівних документів та інструментів.
Вибрати найкращий спосіб оцінки ризику полягає в їх
детальному порівнянні, використовуючи різні критерії. Якщо критерії, які
використовуються, застосовані до
всіх моделей оцінки ризиків, організація може порівняти різні моделі об'єктивно
і прийняти рішення про запровадження
найкращих з них.
Список
використаної літератури
1.
Астрахов А.М. Искусство управления
информационными рисками – М:ДМК Пресс, 2010 – 312 с.
2.
Лекции И.Б. Родионов. – «Системный анализ.Теория систем и системный анализ» –
122 с.
3.
Макаревич Л.М. Управление
предпринимательскими рисками:
монография / Л. М. Макаревич. – М.: Дело и Сервис, 2006. – 443 с.
4.
Луцкий М.Г. Базовые понятия
управления риском в сфере информационной безопасности / Иваненко Е.В. // Защита
информации – 2011. - №2. – С. 86-94.
5.
Петренко С.А. Управление
информационными рисками. Экономически оправдання безопасность / Петренко С.А.,
Симонов С.В. – М.: Компания АйТи : ДМК Пресс, 2004. – 384 с.