Процесс анализа информационных рисков

В рамках подготовки к защите диплома...

На сегодняшний день многие компании в своей деятельности используют различные достижения сферы информационных технологий для получения конкурентных преимуществ. Однако, использование любого нового инструмента, в том числе и ИТ, влечет за собой добровольное принятие новых, связных с этим инструментом, рисков, угрожающих непрерывности бизнеса. Таким образом становится актуальным умение управлять такими рисками.

Отсюда вытекает основная цель данной работы:"Создание аналитической основы системы управления информационными рисками." Для ее достижения необходимо решить следующие задачи:

1. Определить понятие «информационный риск»
2. Определить и формализовать процесс анализа информационных рисков
3. Разработать способ сбора и хранения результатов анализа, отвечающего требованиям системы управления рисками

Многие ученые сходятся во мнении, что термин "риск" обозначает принятие решения, результат которого заранее неизвестен. Риск имеет отношение только к будущему и неразрывно связан с принятием решений. Можно сказать, что риск всегда обозначает вероятностный характер исхода, причем вероятность бывает двух типов. Первый тип - объективная - связан с природой вещей и материи, в то время как второй - субъективная - связан с недостатком информации у лица, принимающего решения. Здесь следует разграничить два понятия: риск и неопределенность. На сегодняшний день существует два основных подхода к такого рода разграничению. 

Информационный подход основывается на представлении о том, что различия между риском и неопределенностью сводятся к объему доступной информации об исследуемой ситуации. Риск характеризуется как «измеримая неопределенность», а непосредственно неопределенность – «неизмеримая определенность». Оценочный подход базируется на представлении о том, что различия между риском и неопределенностью заключаются в субъективном отношении к реализации того или иного исхода, а именно риск связан с отношением к неблагоприятным исходам, а неопределенность связана с многовариантностью будущего развития, т.е. с неоднозначностью исхода. Подводя итог, можно сказать, что неопределенность объективна по природе, она порождает риски, которые субъективны по природе.

Поняв, что же такое риск в целом, можно перейти к основной теме работы: рискам информационным. На сегодняшний день существует множество определений данного понятия, однако, далеко не все охватывают все грани термина. Некоторые определения рассматривают только риски систем, некоторые не принимают во внимание угрозы интеллектуальной собственности. Наиболее функционально полное определение должно охватывать все области воздействия такого рода рисков, а именно: Информационные технологии (Сети, ПО, Аппаратное обеспечение etc.), Поддержка принятия решений (СППР, Стандартизация, Совместимость etc.), Интеллектуальная собственность (Нематериальные активы, Учет и отчетность etc.). Примером такого определения может являться: "Возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия, а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию"

Для того, чтобы правильно управлять такого рода рисками, в первую очередь необходимо уметь их определять и анализировать. Процесс анализа информационных рисков состоит из четырех основных этапов.

Первый этап: Идентификация и группирование информационных ресурсов. На данном этапе составляется список информационных ресурсов предприятия, они группируются по классам. Для каждого ресурса выявляется его критичность, например одна из трех:

• критические ресурсы – организация или подразделение не могут продолжать свою деятельность без данных ресурсов;
• основные ресурсы - организация или подразделение могут продолжать свою деятельность, но очень ограниченное время , и ресурсы должны быть обязательно восстановлены;
• нормальные ресурсы - организация или подразделение могут продолжать свою деятельность длительный период времени, но некоторые пользователи будут частично ущемлены.

Таким образом, на данном этапе составляется макет информационной инфраструктуры предприятия.

Следующий этап: Идентификация и измерение рисков. Под идентификацией здесь понимается выбор из списка общих рисков, свойственных информационным технологиям, тех, которые являются относящимися к текущей инфраструктуре. В качестве общего списка (отправной точки) можно взять, например, список, предложенный немецким стандартом информационной безопасности BSI - IT Baseline Protection Manual. Измерение же рисков можно осуществить по следующей схеме:

МЕРА РИСКА = P(происшествия) * Величина потерь

, где первый множитель - вероятность наступления рискового события. Если оба показателя количественные, то значение можно получить обычной операцией умножения, однако, если хотя бы один их показателей качественный и такая операция не определена, то можно воспользоваться матричным методом оценки. Строится матрица, где по вертикали откладываются вероятности происшествия (например, от А - минимальная до E - максимальная), а по горизонтали - прогнозируемые величины потерь. На пересечении актуальных столбцов и строк будет получен результат измерения:

Третий этап: Выявление средств защиты и переоценка рисков. Поскольку большинство компаний понимает, что они подвержены информационным рисками, они используют те или иные средства защиты от них. На данном этапе такие средства защиты группируются по классам угроз, от которых они защищают, и происходит переоценка рисков с учетом этих самых средств. Подход к измерению выражается формулой: 

МЕРА РИСКА = Р(угрозы)*Р(уязвимости)*Величина потерь

Вероятность происшествия тут разбита на две вероятностные характеристики: первая из них - вероятность угрозы - это вероятность того, что рисковое событие произойдет. Вторая - вероятность уязвимости - это вероятность того, что система защиты пропустит это событие.

Последний этап заключается в проведении финальной оценки и выдаче рекомендаций по управлению рисками. Как правило, компании выбирают одну из четырех основных стратегий управления рисками: 

• Принятие - если риск мал и прогнозируемые потери не велики, компании как правило принимают такие риски.
• Страхование - данная стратегия направлена на снижение величины возможных потерь, обычно за счет переложения части рисков на контрагентов.
• Контроль - эта стратегия направлена на снижение вероятностей наступления рисковых событий. Примерами мер могут служить: использование более совершенных средств защиты, исправление ошибок, установка патчей
• Избегание - если вероятность и возможные потери непозволительно велики, компании могут решить избежать таких рисков, избавившись от рискового актива.

Во время исполнения процесса анализа информационных рисков накапливается большое количество информации, нужной в дальнейшем. Для хранения такой информации возможно использование специального инструмента - базы данных. Такая БД должна хранить следующие сущности:

• Информационный ресурс, характеризуется:
• наименованием,
• классом,
• категорией,
• описанием,
• ответственным сотрудником;
• Риск, характеризующийся:
• названием,
• сценарным анализом;
• Средство защиты, характеризующееся:
• названием,
• комментарием

Между выделенными сущностями возможны следующие связи:

• Между риском и ресурсом:
• Для каждого ресурса - связные риски,
• Для каждого риска – связные ресурсы,
• Каждая связка риск-ресурс характеризуется:
• Вероятностью,
• Прогнозируемым ущербом,
• Оценкой;
• Между ресурсом, средством защиты и риском:
• Для каждого риска - связные ресурсы и средства защиты,
• Для каждого ресурса – связные риски и средства защиты,
• Для каждого средства защиты – связные риски и ресурсы,
• Каждая связь риск-ресурс-средство защиты характеризуется:
• Значением угрозы,
• Значением уязвимости,
• Значением прогнозируемой степени ущерба,
• Оценкой.

Для удобства использования  специалистами, не владеющими языками запросов (например, менеджерами) к такой БД разумно пристроить графический интерфейс. Основными требованиями к такого рода интерфейсу могут служить:

1. Наличие интерфейсов CRUD-взаимодействия (создание, чтение, обновление и удаление записей)
2. Наличие интерфейсов построения отчетов в трех формах:
1. Текстовом (в виде заполненных бланков документов)
2. Табличном (в виде двумерных таблиц)
3. Графическом (в виде графиков различного типа)

Таким образом, в ходе данной работы были:

1. Рассмотрены различные подходы к определению понятия информационный риск
2. Описан и формализован процесс анализа информационных рисков
3. На основе формализации процесса сделаны выводы о его предпочтительности: процесс выигрывает за счет
1. своей непрерывности
2. возможности построения актуального макета системы информационной безопасности
4. Предложен вариант организации аналитической основы управления информационными рисками за счет внедрения использования специально спроектированной базы данных.