- •Методика проведения анализа риска и потерь
- •Методика проведения анализа риска и потерь
- •Определение границ управления информационной безопасностью объекта.
- •Разработка сценария действий по нарушению информационной безопасности
- •Выбор анализируемых объектов и степени детальности их рассмотрения
- •Моделирование каналов утечки информации и нсд
- •Оценка вероятности реализации угроз (установления информационного контакта)
- •Оценка возможного ущерба (потерь)
- •Определение стратегии управления рисками
- •Ранжирование угроз и выбор контрмер обеспечения информационной безопасности
- •Проверка системы защиты информации
- •Оценка эффективности вариантов построения защиты
- •Тестирование системы защиты
- •В настоящее время cramm является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.
Определение стратегии управления рисками
Оценив потери по каждой из вероятных угроз необходимо определить стратегию управления рисками. При этом возможно несколько подходов:
• уменьшение риска (многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер);
• уклонение от риска (от некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов);
• изменение характера риска (можно принять некоторые меры, например, страхование отдельных рисков);
• принятие риска (не все риски могут быть уменьшены до пренебрежимо малой величины).
На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска. Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры.
Хотелось бы поподробнее остановиться на одном из важных и только еще зарождающемся в России элементов управления рисками – страховании. Несколько слов об истории и развитии этого напрвления.
В ходе обычной сверки дневных операций его сотрудники обнаружили, что подписи на нескольких полученных из Лондона платежных приказах о переводе денег в европейские и американские банки были поддельными. Общая сумма убытка превысила 60 млн английских фунтов. Благодаря оперативным действиям специализированного подразделения Лондонской полиции основная сумма была возвращена, однако часть средств разыскать не удалось. Потерянные средства были возмещены Ллойдовскими страховщиками.
В компаниях, занимающихся вопросами страхования банковских рисков, могут рассказать о десятках и сотнях подобных случаев. Банки традиционно являются объектом самого пристального внимания криминальных элементов, и этот фактор, несомненно, учитывается при построении системы управления рисками в любом подобном учреждении. К сожалению, российские банкиры обычно довольно прямолинейно относятся к механизму риск-менеджмента, считая, что криминальные риски можно нейтрализовать лишь путем усложнения механизмов безопасности. Однако международный, да и российский опыт подтверждает, что ни самые изощренные технические средства защиты, ни самые продвинутые и многочисленные службы безопасности не могут полностью гарантировать банк от потерь в результате преступных действий.
Причина этого кроется в том, что главной угрозой для банка уже давно стал не громила в маске с автоматом наперевес, а весьма интеллигентный молодой человек (обычно собственный сотрудник), взламывающий банковские компьютерные коды или выдающий в сговоре с заемщиком крупный кредит по поддельным документам. По имеющимся данным, результатом среднестатистического «физического» ограбления является потеря 5 000 долларов США, в то время как среднее компьютерное преступление обходится банку в 500 000 долларов. Другая весьма показательная цифра: по данным ФБР, от 60 до 70 % преступлений против банков совершается их сотрудниками.
Что же может надежно уберечь банк от криминальных потерь?
На западе ответ на этот вопрос нашли уже более ста лет назад — страхование. Известно, что инвестиции в систему безопасности эффективны лишь до определенного предела. Можно, конечно, до бесконечности вкладывать средства в покупку самых современных систем защиты, расширять штат службы безопасности, ограничивать возможности сотрудников по принятию решений. Но все эти меры, не обеспечивая стопроцентной гарантии от потерь, могут серьезно снизить оперативность деятельности банка. С другой стороны, если система безопасности будет «дырявой», не соответствующей принятым в отрасли нормам, страховая компания либо не примет банк на страхование, либо назначит такую страховую премию, что затея потеряет всякий смысл.
Поэтому задача риск-менеджера банка должна состоять в выстраивании сбалансированной политики безопасности, где разумные затраты на создание системы защиты дополнялись бы минимальными расходами на страхование при обеспечении максимально широкого объема покрытия. Это условие вполне достижимо: при нормально функционирующей системе безопасности расходы на страхование действительно являются незначительными.
Что же конкретно могут предложить банкам страховые компании в плане защиты от криминальных рисков? Это, прежде всего, так называемый ВВВ (Bankers Blanket Bond), впервые выпущенный на рынок в 1907 году американскими страховщиками совместно с Ассоциацией американских банков. Полис был построен по «пакетному» принципу, то есть предоставлял защиту по нескольким рискам, объединенным по принципу наличия в них криминального начала. Этот страховой продукт оказался столь удачным, что сохранился до нашего времени, конечно, претерпев значительные изменения. На сегодняшний день наряду с появившейся в 70-е годы секцией страхования от электронных и компьютерных преступлений ВВВ является основополагающим элементом страховой защиты банка.
Основным риском, покрываемым полисом ВВВ, является риск противоправных действий персонала. Предоставляя это покрытие, страховые компании вводят одну принципиальную оговорку: ими возмещаются лишь убытки от противоправных действий сотрудников, совершенных с целью личного обогащения либо с целью преднамеренного нанесения ущерба банку.
По полису ВВВ покрытие предоставляется также в отношении рисков утери ценностей, находящихся в помещениях банка (в хранилище, сейфах, кассах и т. д.) и во время их перевозки.
Кроме этого, страховщики возмещают убытки, вызванные принятием банками поддельных чеков, депозитных сертификатов, векселей, облигаций, акций, других ценных бумаг, а также наличных денежных средств. Компенсируется и ущерб, наносимый помещениям и внутренней обстановке банков в результате противоправных действий третьих лиц.
Для специалистов, занимающихся банковским страхованием, очевидно, что в покрытие ВВВ входит страхование ряда рисков, зачастую страхуемых банками (особенно российскими) отдельно — страхование ценностей во время перевозки и на хранении. Однако комплексный подход к страхованию намного выгоднее по финансовым условиям (стоимость отдельных рисков таким образом значительно уменьшается) и удобен с чисто технической точки зрения.
Обычно вместе с полисом ВВВ банки приобретают полис страхования от электронных и компьютерных преступлений, название которого говорит само за себя. Такой полис предоставляет покрытие от любых потерь, связанных с преступными действиями с использованием компьютерных сетей и электронных средств банка в результате:
• ввода мошеннически подготовленных или видоизмененных данных или команд в компьютерные сети банка, системы перевода средств или связи с клиентами, в том числе во время передачи данных;
• умышленного уничтожения или кражи, воровства электронных данных и их носителей;
• вирусных атак;
• осуществления платежей нa основании сфальсифицированных поручений клиентов, передаваемых по системам электронной, тестированной телексной, факсимильной или телефонной связи.
Тесно примыкает к полисам ВВВ (страхования от электронных и компьютерных преступлений) страхование эмитентов пластиковых карт.
Очевидно, что перед заключением полиса по ВВВ или компьютерным преступлениям страховая компания всесторонне оценивает принимаемые на себя риски. В этом ей помогает так называемый сюрвейер — специализированная компания, занимающаяся оценкой рискозащи-щенности предприятий (проверяется система физической безопасности, компьютерной безопасности, система подбора персонала и контроля за его работой и т. д.). К сожалению, службами безопасности российских банков сюрвейер зачастую воспринимается как некий шпион, засланный в учреждение для выявления методов построения систем защиты.
Парадокс, но за рубежом именно эти службы вместе с риск-менеджерами являются активными сторонниками проведения сюрвеев. Сюрвейер действует в тесном контакте со службой безопасности, главный метод его работы — интервью с руководителями и сотрудниками ключевых подразделений. Он не роется в файлах, а всего лишь задает вопросы и по ответам делает вывод о том, насколько ключевые сотрудники банка ориентированы на предотвращение преступлений.
Сюрвейер не только дает советы службе безопасности, но и помогает ей заострить вопросы обеспечения безопасности перед руководством банка. Ведь службе безопасности обычно известны имеющиеся недостатки, но руководство может не считать эти проблемы первоочередными (нет денег, другие приоритеты и т.д.).
Таким образом, страхование банковских рисков как никакой другой вид страхования тесно интегрировано в систему управления рисками в банке. По сути, страховщик привносит в эту систему еще одно звено — независимую оценку имеющихся в банке механизмов защиты. Кстати, те российские институты, которые соглашались на приезд сюрвейеров, зачастую сами впоследствии приглашали их для консультаций вне какой-либо связи со страхованием.
Очевидно, что для банковского страховщика весьма важен правильный выбор сюрвейера. При страховании по дорогостоящим международным программам в России обычно привлекаются хорошо известные в мире компании WBK International и ISS Survey. В то же время и российские компании начинают внедряться на рынок банковских сюрвеев.
В частности, страховая компания «Ингосстрах», наиболее активно действующая в области криминального банковского страхования, подписала соглашение и плодотворно сотрудничает с компанией «Конфидент», ранее не занимавшейся банковскими сюрвеями, однако быстро и успешно освоившей этот новый для себя вид деятельности.
Видимо, нет смысла приводить цифры по преступлениям экономической направленности в России. Мы к ним привыкли, и они уже никого не пугают.
Тем не менее, стоит задуматься о том, что от такого рода неприятностей никто не застрахован (как в прямом, так и в переносном смысле). Зарегистрирована не одна сотня попыток несанкционированных вторжений в банковские компьютерные сети, появились у нас уголовные компьютерные и «пластиковые» дела.
Пора осознать, что действительно грамотное управление банковскими рисками должно предусматривать возможность непредвиденных внешних воздействий и, соответственно, набор средств для быстрой нейтрализации их последствий. Одним из важнейших элементов этой системы защиты является, конечно, страхование.
Итак, проведение анализа рисков и оценки потерь требуют глубоких системных знаний и аналитического мышления во многих смежных областях проблемы защиты информации. Без таких знаний невозможно построить в последствии надежную систему информационной безопасности на выделенные средства в заданные сроки.
По результатам работ на этапе анализа уязвимости должно быть подготовлено экспертное заключение о защищенности информационных ресурсов на объекте, включающее в себя (или в виде приложений):
модели каналов утечки информации и НСД;
методики определения вероятностей установления информационного контакта для внешних нарушителей;
сценарии возможных действий нарушителя по каждому из видов угроз, учитывающие модель нарушителя, возможности системы защиты информации и технических средств разведки, а также действия нарушителя после ознакомления с информацией, ее искажения или уничтожения.
Руководство предприятия или организации, как правило, ожидает точной количественной оценки защищенности информационных ресурсов на объекте. Не всегда удается получить такие оценки, однако можно вычленить наиболее уязвимые участки и сделать прогноз о возможных проявлениях описанных в отчете угроз.