Управління ризиком інформаційних систем
Використання інформаційних систем пов'язане з певною сукупністю ризиків. В разі, якщо можливий збиток надто великий, необхідно вживати економічно виправдані заходи щодо захисту. Періодична оцінка ризиків
необхідна для контролю ефективності діяльності в області безпеки для обліку змін обстановки.
З кількісної точки зору рівень ризику є функцією вірогідності рєалізації певної загрози (що використовує деякі вразливі місця), а також величини можливого збитку.
Суть заходів щодо управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики вміщені в прийнятні рамки (і залишаються такими).
133
Отже, управління ризиками включає два види діяльності, які працюють циклічно:
оцінка ризиків;
вибір ефективних і економічних заходів.
По відношенню до виявлених ризиків можливі наступні дії:
ліквідація;
зменшення;
ухвалення;
переадресація.
Процес управління ризиками можна розділити на такі етапи:
Вибір аналізованих об 'єктів і рівня деталізації їх розгляду.
Вибір методології оцінки ризиків.
Ідентифікація активів.
Аналіз загроз і їх наслідків, виявлення вразливих місць в захисті.
Оцінка ризиків.
Вибір захисних заходів.
Реалізація і перевірка вибраних заходів.
Оцінка залишкового ризику.
Шостий та сьомий етапи відносяться до вибору захисних засобів
(нейтралізації ризиків), інші – до оцінки ризиків.
Наведений перелік етапів показує, що управління ризиками – процес циклічний. По суті, останній етап – це оператор кінця циклу, який приписує повернутися до початку. Ризики слід постійно контролювати, періодично проводячи їх переоцінку. Відзначимо, що сумлінно виконана і ретельно задокументована перша оцінка може істотно спростити подальшу діяльність.
Управління ризиками, як і будь-яку іншу діяльність в області інформаційної безпеки, необхідно інтегрувати в життєвий цикл ІС. Тоді ефект виявляється найбільшим, а витрати – мінімальними. Відповідно до етапів життєвого циклу, слід зауважити, що може дати управління ризиками на кожному з них.
134
На етапі ініціації відомі ризики слід врахувати під час розробки вимог до системи взагалі і до засобів безпеки зокрема.
На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які відіграють ключову роль в забезпеченні безпеки.
На етапі установки виявлені ризики слід враховувати при конфігурації, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен відбуватися раніше за впровадження системи в експлуатацію.
На етапі експлуатації управління ризиками має супроводжувати всі істотні зміни в системі.
При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечно.
Вибір аналізованих об'єктів і рівень деталізації їх розгляду – це перший крок в оцінці ризиків. Для невеликої компанії допустимо розглядати всю інформаційну інфраструктуру; проте, якщо компанія велика, то під час оцінки можуть мати місце непередбачувані витрати часу і сили. У такому разі слід зосередитись на найбільш важливих сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі.
Для управління ризиками важливі карти інформаційної системи,
оскільки вона предметно показує, які сервіси вибрані для аналізу, а якими повелося нехтувати. Якщо ІС змінюється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або такі, що істотно змінилися сервіси, потребують розгляду.
Метою оцінки є отримання відповіді на два питання: чи прийнятні існуючі ризики, а якщо ні, то які захисні засоби слід використовувати. Оцінка повинна бути кількісною, щоб допускати зіставлення з вибраними наперед межами допустимості і витратами на реалізацію нових регуляторів безпеки.
135
Управління ризиками – типове оптимізаційне завдання, і існує досить багато програмних продуктів, здатних допомогти в їх вирішенні (іноді подібні продукти просто додаються до книг щодо інформацінної безпеки).
Принципова трудність, проте, полягає в неточності первісних даних. Можна,
звичайно, спробувати одержати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але великого сенсу в цьому немає. Практичніше користуватися умовними одиницями. У простому і цілком допустимому випадку можна користуватися трибальною шкалою.
Під час ідентифікації активів, тобто тих ресурсів і цінностей, які компанія намагається захистити, слід, враховувати не тільки компоненти інформаційної системи, але і персонал, що підтримує інфраструктуру, та репутацію компанії. Важливо мати уявлення про місію компанії, тобото про основні напрями діяльності, які бажано (або необхідно) зберегти у будь– якому випадку. Висловлюючись об'єктивно-орієнтованою мовим, слід, в
першу чергу, описати зовнішній інтерфейс компанії, що розглядається як абстрактний об'єкт.
Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури компанії і способів її використання. Ці відомості доцільно нанести на карту ІС як грані відповідних об'єктів.
Управління ризиками – процес непростий. Практично всі його етапи пов'язані між собою. Після закінчення будь-якого з них може виникнути необхідність повернення до попереднього. Так, під час ідентифікації активів може виявитися, що вибрані межі аналізу слід розширити, а ступінь деталізації – збільшити. Особливо важкий початковий аналіз у разі, якщо численні повернення до початку неминучі.
Етапи, які мають місце перед аналізом загроз, можна вважати підготовчими, оскільки вони безпосередньо з ризиками не пов'язані. Ризик має місце там, де є загроза.
136
Перший крок в аналізі загроз – їх ідентифікація. Дані види загроз опираються після проведення максимально змістовного аналізу.
Доцільно виявляти не тільки самі загрози, але і джерела їх виникнення це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід в систему може стати наслідком відтворення початкового діалогу,
підбору пароля або підключення до мережі неавторизованого устаткування.
Очевидно, для протидії кожному з перерахованих способів нелегального входу потрібні свої механізми безпеки.
Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька
(1), середня (2) і висока (3)) вірогідності.
Оцінюючи розмір збитку, необхідно мати на увазі не тільки безпосередні витрати на заміну устаткування або відновлення інформації, але і більш віддалені, такі як підрив репутації, ослаблення позицій на ринку. Так,
наприклад, в результаті дефектів в управлінні доступом до бухгалтерської інформації, працівники змогли коректувати дані про власну заробітну платню. Наслідком такого стану справ може стати не тільки перевитрата бюджетних або корпоративних коштів, але і повне розкладання колективу,
що загрожує розвалом компанії.
Оцінюючи вірогідність здійснення загроз, доцільно виходити не тільки з середньостатистичних даних, але зважати також на специфіку конкретних інформаційних систем.
Після того, як накопичені первісні дані і оцінений ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінки ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачуваний збиток. Якщо для вірогідності і збитку використовувати трибальну шкалу, то можливих результатів буде шість. Перші два результати можна віднести до низького ризику, третій і четвертий – до середнього, два останніх – до високого, після чого з'являється можливість знову привести їх до трибальної шкали. За цією
137
шкалою і слід оцінювати прийнятність ризиків. Можуть мати місце граничні випадки, коли обчислена величина співпадає з прийнятною, та доцільним є розглядати їх ретельніше через наближеність характеру результату.
Якщо певні ризики виявилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, що спричинило загрозу, існує декілька механізмів безпеки, різних за ефективністю і вартістю. Наприклад,
якщо велика вірогідність нелегального входу в систему, її можна влаштовувати так, щоб користувачі вибирали складні довгі паролі (скажімо,
не менш як вісім символів), задіяти програму генерації паролів або купити інтегровану систему аутентифікації на основі інтелектуальних карт. Якщо є вірогідність умисного пошкодження сервера баз даних, що може мати серйозні наслідки, можна врізати замок в двері серверної кімнати або поставити біля кожного сервера охорону.
Оцінюючи вартість заходів захисту, доводиться враховувати не тільки прямі витрати на закупівлю устаткування та програм, але і витрати на впровадження новинок і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім зіставити її з різницею між обчисленим і допустимим ризиком. Якщо за цим показником новий засіб виявляється економічно вигідним, його можна прийняти до використання (відповідних засобів, ймовірно, буде декілька).
Вибираючи відповідний спосіб захисту, доцільно враховувати можливість екранування одним механізмом забезпечення безпеки відразу декількох прикладних сервісів.
Важливою обставиною є сумісність нового засобу з організаційною і апаратно– програмною структурою, що склалася, з традиціями компанії Заходи безпеки, як правило, носять попереджувальний характер, що може негативно позначитися на відношеннях між працівниками. Інколи збереження духу відвертості важливіше за мінімізацію матеріальнх втрат.
138
Втім, такого роду орієнтири мають бути узгоджені з урахуванням безпеки верхнього рівня управління.
Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. Наприклад, компанія, що базується в сейсмічно небезпечній зоні, не завжди може дозволити собі будівництво захищеної штаб-квартири.
У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжіння на пом'якшення наслідків і розроблення планів відновлення після аварій, стихійних лих та інших подій. Продовжуючи приклад з сейсмозагрозою, можна рекомендувати регулярне тиражування даних в інше місто і оволодіння засобами відновлення первісної бази даних.
Процес управління ризиком припускає оцінку та аналіз потенційних небезпек, а також пошук заходів, що дозволяють знизити ризики до прийнятного рівня. Управління ризиком може бути реалізовано тільки у разі виконання наступних вимог:
наявності докладної інформації щодо просторового розташування об'єктів і взаємозв'язків між ними;
наявності докладної інформації щодо технічних характеристик всього устаткування;
наявності відомостей про потенційно небезпечні чинники, їх вплив на устаткування і персонал, можливі наслідки їх прояву;
наявності комплексу моделей, що дозволяють оцінювати вплив небезпечних чинників на устаткування і персонал, оцінювати масштаби можливого збитку;
наявності моделей розвитку небезпечних ситуацій і критеріїв ухвалення рішень щодо управління ризиком.
Вирішення завдань аналізу ризику можливо тільки при використанні спеціалізованих інформаційних систем, що реалізовують в собі функції зберігання й обробки масивів даних, моделювання і виконання розрахункових завдань, представлення результатів у доступній формі,
139
розроблення порад і рекомендацій особам, які ухвалюють рішення щодо управління ризиками. Отже, для вирішення завдань управління ризиком інформаційних систем необхідна орієнтація на підтримку процесів ухвалення стратегічних рішень.
Система управління ризиком інформаційних систем включає такі функціональні блоки (рис.26):
блок підготовки інформації, що забезпечує формування банків даних, графічне зображення схем інформаційних потоків;
блок розробки моделей, що забезпечує надійність системи;
блок сценаріїв, що дозволяє описувати сценарії позаштатних ситуацій і визначати критерії моделювання;
блок моделювання наслідків відхилень в роботі інформаційної
системи;
блок оцінки результатів моделювання, що проводить аналіз наслідків, і розрахунок інтегральних показників надійності, безпеки і ризику;
розрахунковий блок, призначений для вирішення завдань моделювання надійності і безпеки устаткування;
інтерфейсний блок, призначений для підготовки даних, необхідних для роботи розрахункового блоку;
інтеграційний блок, призначений для відображення штеграції економічної і технологічної інформаційної складової;
блок даних, призначений для зберігання інформації, необхідної для роботи системи. Основою блока даних є автоматизований банк даних, що містить відомості про об 'єкти і устаткування небезпечного виробництва.
Інтерфейсний блок забезпечує підготовку і передачу в розрахунковий блок всіх необхідних відомостей, що дозволяє виконувати моделювання для розробленого сценарію. Моделювання в розрахунковому блоці виконується на основі аналізу схем функціональної цілісності, розроблене на основі опису процесу обробки економічної інформації.
На виході розрахункового блока формуються наступні результатнії
140
вірогідність виконання або невиконання заданого сценарію з урахуванням вибраних критеріїв оцінки;
значущості або ролеві функції різних вузлів під час реалізації заданого сценарію.
Оцінка |
Блок |
|
|
|
перешкод |
моделювання |
|
|
|
План |
Об’єкти |
Моделювання |
|
|
|
|
|
||
Блок |
|
Блок |
|
Оцінка |
підготовки |
|
розробки |
|
|
|
|
безпеки |
||
інформації |
|
інформації |
|
|
|
|
|
||
План |
|
|
Блок |
|
|
|
сценаріїв |
|
|
встановлення |
|
|
БЛОК ОЦІНКИ |
|
Установки |
|
|
||
|
|
|
|
|
|
|
Інтерфейсний |
Розрахунковий |
Система |
|
|
блок |
блок |
інформаційн |
Технологічні |
Обладнання |
|
|
ої підтримки |
|
|
|
||
схеми |
|
|
|
|
|
|
|
|
|
ІНТЕГРАЦІЙНИЙ БЛОК |
БЛОК ДАНИХ |
|
|
ПОРАДИ ЩОДО |
|
УПРАВЛІННЯ РИЗИКОМ |
|||
Рис. 26. Структура системи управління ризиком інформаційних систем
Блок моделювання, за заданим сценарієм, забезпечує розрахунок можливих масштабів і оцінки втрат з урахуванням заданих критеріїв.
Блок оцінки виконує аналіз результатів, одержаних під час роботи блока моделювання і розрахункового блока, розрахунок інтегральних показників надійності, безпеки і ризику з урахуванням заданих сценаріїв і критеріїв оцінки.
В основі ризику управління інформаційних систем лежить концепція єдиного інформаційного простору і відкритих систем. Концепція єдиного інформаційного простору припускає використання загальних для всіх блоків структур даних, способів уявлення та інтерпретації моделей і критеріїв.
141
Концепція відкритих систем припускає можливість нарощування інформаційних систем для вирішення конкретних завдань користувача за рахунок використання протоколів обміну.
Інформаційне забезпечення СУР є сукупністю єдиної системи класифікації і кодування інформації, а також уніфікованих систем документації. Інформаційне забезпечення визначає процедури збору, обробки і передачі інформації; процедури підготовки і ухвалення рішень в області управління ризиком.
Основою інформаційного забезпечення СУР є комплекс моделей, які повинні задовольняти вимогам:
єдність формального апарату, що використовується;
забезпечувати побудову стратифікованого комплексу моделей, в якому кожна вершина моделі описується власною моделлю;
забезпечувати можливість вирішення завдань аналізу і синтезу з різним числом рівнів стратифікації, яке визначається необхідною глибиною аналізу;
забезпечувати можливість сполучення моделей за схемою вихід–
вхід у разі, якщо результат, одержаний на виході однієї моделі, є вхідним значенням для іншої;
забезпечувати можливість виконання розрахунків від входу до виходу і від виходу до входу з обчисленням параметрів на основі комплексних критеріїв (адитивні, мультиплікативні та інші).
Як і будь-яку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. У плані необхідно врахувати наявність фінансових коштів і терміни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування
(автономного і комплексного).
В разі, якщо накреслені заходи прийняті, необхідно перевірити дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Якщо це насправді так, то можна спокійно намічати дату найближчої переоцінки.
142
Інакше доведеться проаналізувати допущені помилки і провести повторний
сеанс управління ризиками негайно.