Инструментальные средства для разработки систем управления рисками

Введение

Актуальность работы. Обеспечение своевременного и бесперебойного предоставления банковских услуг является на сегодняшний день основным конкурентным преимуществом для кредитной организации. Решение этих задач основывается на внедрении и эффективном использовании передовых информационных технологий. В основе стратегии перехода от «традиционной» автоматизированной инфраструктуры к облачным сервисам заложена экономическая целесообразность. В последнее время развивается научное направление эффективного управления информационными рисками. В международных и российских стандартах процессы управления рисками в основном рассматриваются по отношению к информационным системам. Современный уровень информатизации в организациях позволяет использовать определение уровня риска не только в целях управления информационными технологиями, но и для обеспечения экономической безопасности организации с помощью повышения надежности бизнес-процессов. Следовательно, процесс идентификации рисков с их последующей оценкой необходимо рассматривать в целом не только как технологическую функцию, но и как основу устойчивого функционирования организации. Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации. Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности.
Объект исследования: Инструментальные средства.
Предмет исследования: Управления рисками.
Цель работы: рассмотреть инструментальные средства для разработки систем управления рисками.
Для осуществления поставленной цели необходимо решить задачи:
- рассмотреть риски информационной безопасности;
- проанализировать качественные методики управления рисками.
1. Риски информационной безопасности
В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.
2) Оценивание возможных угроз.
3) Оценивание существующих уязвимостей.
4) Оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
- показателей ценности информационных ресурсов;
- вероятности реализации угроз для ресурсов;
- эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
- степенью легкости, с которой уязвимость может быть использована.
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.
Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес - деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800­30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее.
Во-первых, определение основных целей и задач защиты информационных активов компании.
Во-вторых, создание эффективной системы оценки и управления информационными рисками.
В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса.
В-четвертых, применение специального инструментария оценивания и управления рисками.

2. Качественные методики управления рисками
Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT-аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799­2002. Стандарт ISO 17799 содержит две части.
В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании:
• Политика безопасности.
• Организация защиты.
• Классификация и управление информационными ресурсами.
• Управление персоналом.
• Физическая безопасность.
• Администрирование компьютерных систем и сетей.
• Управление доступом к системам.
• Разработка и сопровождение систем.
• Планирование бесперебойной работы организации.
• Проверка системы на соответствие требованиям ИБ.
Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта

. С практической точки зрения эта часть является инструментом для IT-аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании. К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмотрим названные методики.
COBRA
Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно-регулирующих органов, например, требованиями руководящих документов (РД) Гостехкомиссии при Президенте РФ.
Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес-транзакций компании. Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.
RA Software Tool
Методика и одноименное инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр. Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.
Количественные методики управления рисками
Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E-mail) выбрать с учетом известных ограничений бизнес-ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют:
• Создавать модели информационных активов компании с точки зрения безопасности;
• Классифицировать и оценивать ценности активов;
• Составлять списки наиболее значимых угроз и уязвимостей безопасности;
• Ранжировать угрозы и уязвимости безопасности;
• Обосновывать средства и меры контроля рисков;
• Оценивать эффективность/стоимость различных вариантов защиты;
• Формализовать и автоматизировать процедуры оценивания и управления рисками.
Одной из наиболее известных методик этого класса является методика CRAMM.
CRAMM сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммерческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.
Основными целями методики CRAMM являются:
• Формализация и автоматизация процедур анализа и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инциден­тами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью и пр.
Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 1).

Рисунок 1 - Управление рисками в методике СRAMM
На первом этапе инициации — «Initiation» — определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций. На этапе идентификации и оценки ресурсов — «Identification and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты. На этапе оценивания угроз и уязвимостей — «Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап анализа рисков — «Risk Analysis» — позволяет получить качественные и количественные оценки рисков. На этапе управления рисками — «Risk management» — предлагаются меры и средства уменьшения или уклонения от риска. Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 2).

Рисунок 2 - Оценка информационных рисков
В этой схеме условно выделим следующие элементы системы:
• рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;
• почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;
• сервер обработки, на котором установлена СУБД;
• сервер резервного копирования;
• рабочие места группы оперативного реагирования;
• рабочее место администратора безопасности;
• рабочее место администратора БД.
Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.
Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.
Определение границ исследования