1.4 Риски ис и безопасность: риск менеджмент

Информационные технологии – это комплекс взаимосвязанных научных, технологических, инженерных дисциплин, изучающих методы эффективной организации труда людей, занятых обработкой и хранением информации; вычислительную технику и методы организации и взаимодействия с людьми и производственным оборудованием, их практические приложения, а также связанные со всем этим социальные, экономические и культурные проблемы.

В более узком смысле под информационными технологиями понимают совокупность методов, производственных процессов и программно-технических средств, объединенных в технологическую цепочку, обеспечивающую сбор, хранение, обработку, вывод и распространение информации для снижения трудоемкости процессов использования информационных ресурсов, повышения их надежности и оперативности.

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски не достижения целей применения информационных технологий для повышения эффективности основной деятельности. Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

• технических и организационных ошибок при инсталляции систем.

На стадии эксплуатации информационных систем существенными факторами риска не достижения целей являются:

• неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;

• неиспользование всего потенциала технологий;

• невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;

• неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;

• ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.) 

Категории оцениваемых ИТ- рисков.Риск- ориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ- рисков и выработки рекомендаций, направленных на их минимизацию.

Процессный риск– неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

• неготовность ИТ оказывать адекватную поддержку бизнес-инициативам;

• высокая длительность и стоимость проектов по созданию информационных систем;

• неудовлетворяющие бизнес решения по автоматизации;

• несоответствие фактического уровня ИТ- сервисов ожиданиям бизнеса;

• частые сбои и длительное время восстановления работоспособности систем;

• неполное использование пользователями возможностей ИТ;

• ошибки при обработке данных.

Риск внутреннего контроля– недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ- управления.

Риск информационной безопасности– недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

Операционный бизнес-риск– совокупность недостатков системы ИТ- управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

Риск персонала– неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ- операций.

Риски ИТ – проектов. Риск от внедрения ИТ- проектов обычно рассматриваются в виде: будет ли реальная экономическая эффективность от вложенных средств в проект или нет?

Автоматизация деятельности предприятий или отдельных бизнес-процессов предоставляет компании эффективный инструмент управления и преимущества в конкурентной борьбе. Однако на практике финансовые ожидания от применения даже самых современных информационных технологий часто не оправдываются.

В чем же причина? А причин может быть сразу несколько:

• Успешная реализация внедрения проекта во многом зависит от качества подготовительных мероприятий, направленных на достижение максимального соответствия информационной системы (ИС) целям предприятия и ожиданиям менеджмента компании, т.е исходной формулировки концепции проекта в соответствии с реальной деятельностью компании. Уже на начальном этапе необходимо тщательно посчитать и оценить наиболее разумную потребность в степени сложности программы. Иногда бывает более разумным и экономически выгодным приобрести самый дешевый, простой и понятный продукт, который легко освоится сотрудниками и будет реально использоваться в компании.

• Техническая компетентность сотрудников и их желание обучаться.При автоматизации предприятия часто используют схему "от программного продукта". Стремясь ускорить проект, руководители собирают группу сотрудников, часто не обладающих необходимыми компетенциями.

• Риски исполнения проектов.Риски, связанные с исполнением проектов являются "коллективным" результатом как заказчика, так и исполнителя. Риски ИТ- проектов со стороны заказчика прежде всего возникают из-за отсутствия понимания важности ответственного и грамотного подхода к внедрению того или иного программного продукта. Риски со стороны исполнителя могут быть связаны с самыми разными причинами, начиная от степени "отработанности" продукта и заканчивая квалификацией конечных исполнителей.

К последней группе относятся:

• риски планирования (ресурсы, сроки и структура проекта);

• внешние риски (смежные организации, зависимость от других проектов заказчика);

• организационные риски (масштабность проекта, управление проектом, человеческий фактор исполнителя и заказчика);

• технические риски (инструменты, интеграция, функциональная полнота, технический базис);

• бизнес- риски (стратегия и экономика подрядчика, бизнес- требования заказчика).

На деле есть еще реально возможный вид риска от внедрения IT-проекта: появление "неприглашенных участников в деятельности компании". Речь идет об информационной безопасности. А поэтому автоматизация тех или иных бизнес-процессов должна целиком и полностью управляться и контролироваться только теми, кому компания доверяет, а будут это ее сотрудники или внешняя организация - это на выбор руководителя. Ущерб от похищенных или уничтоженных данных может быть очень большим, а иногда даже критическим.

Вывод: Риски ИТ- проектов на предприятии в большой степени зависят от так называемого "человеческого фактора", который на сегодняшний день так или иначе остается решающим.

Факторы риска на этапе принятия решения о внедрении учетно-управленческой системы и выбора программного продукта. Подавляющее большинство ИТ- консультантов называют эту подготовительную стадию одним из важнейших этапов внедренческого проекта. Ошибки, совершенные здесь, не только автоматически повышают вероятность реализации факторов риска на последующих этапах, но и усугубляют негативные последствия всех этих факторов. Следовательно, именно на стадии принятия решения о внедрении систем ERP и выбора программного продукта закладываются основы для успеха или провала всего проекта.

По мнению специалистов, самая распространенная ошибка на этом этапе - слабая проработка целей внедрения. Многие заказчики начинают проект непосредственно с выбора конкретной системы. Это означает, что в дальнейшем они не смогут составить четкий план внедрения и правильно определить бюджет проекта, и кроме того, у них не будет критериев для оценки успеха проекта.

Если ранжировать факторы риска в порядке убывания частоты встречаемости - от самого распространенного до наиболее редкого, то мы получим следующий список:

1. Отсутствие у руководства предприятия целостной долгосрочной стратегии в области информационных технологий, одним из компонентов которой и должно стать внедрение учетно-управленческой системы (4,2 балла);

2. Функциональные возможности системы превосходят масштаб бизнеса предприятия (3,8 балла);

3. Заниженная оценка руководством компании-заказчика масштабов организационных преобразований в компании, обусловленных внедрением системы (3,6 балла);

4. Система не поддерживает отраслевую специфику бизнеса заказчика (2,9 балла);

5. Переоценка заказчиком возможностей системы ERP (2,6 балла);

6. Масштаб бизнеса предприятия превосходит функциональные возможности системы (1,8 балла).

Помимо вышеназванных, специалисты отмечают и ряд других типичных ошибок, которые заказчики совершают при выборе системы. Во-первых, это увлечение модой на те или иные программные продукты (гипноз бренда). Некоторые руководители считают, что вообще нет необходимости тратить время на выбор системы. По их мнению, достаточно посмотреть, какие системы внедрены в крупнейших российских компаниях, и выбрать для себя одну из них. Это означает, что из всего списка возможных критериев выбора учетно-управленческой системы такие руководители используют только один - критерий популярности.

Во-вторых, это убежденность клиента в существовании готовых решений, соответствующих специфике предприятия. Она приводит к чрезмерному промедлению с выбором, потому что компания надеется, что рынок предложит нечто, полностью отвечающее ее потребностям. Однако, по единодушному мнению консультантов, никакая учетно-управленческая система не соответствует требованиям конкретного предприятия на 100%.

С другой стороны, модификация системы, доработка ее под потребности предприятия скрывает в себе значительный риск - законсервировать старые бизнес - процессы, вместо того, чтобы выйти на новый уровень качества управления. Поэтому заказчикам все-таки имеет смысл ориентироваться на возможности стандартных систем.

В-третьих, к типичным ошибкам относится готовность заказчика целиком довериться выбранному консультанту: если выбирает систему один консультант, а внедрять будет другой, то первый фактически не отвечает ни за правильность выбора, ни за провал внедрения, полагают наши эксперты. С другой стороны, консультант - внедренец, очевидно, не вполне объективен в вопросе выбора. По мнению специалистов, большое значение имеет, кто именно занимается выбором системы у заказчика. Зачастую внедрение учетно-управленческой системы лоббирует конкретный отдел, например, финансовый, и именно его сотрудники как инициаторы проекта выбирают систему, исходя главным образом из потребностей финансовой службы. Позже выясняется, что система не соответствует нуждам других ключевых подразделений - например, производства или логистики.

Кроме того, заказчики часто совершают следующую ошибку -систему выбирают руководство и консультанты, не привлекая конечных пользователей. Это вызывает у пользователей негативное отношение к системе, поскольку они не чувствуют себя ответственными за этот выбор и это недоверие не может не сказаться на их участии во внедренческом проекте и активности при дальнейшей эксплуатации системы.

В-четвертых, нельзя забывать и о том, что выбор программных продуктов осложняется из-за отсутствия в России тендерной культуры.

Есть еще один серьезный фактор, который ставит под угрозу успех всего проекта - недостаточное представление заказчика о той роли, которую в проекте играют человеческий фактор и административная вертикаль.

Убыточность.В целом, по данным специалистов, тяжесть неблагоприятных последствий факторов риска на этапе принятия решения о внедрении системы и выбора программного продукта не превышает среднего уровня (усредненные оценки убыточности не превосходят 3 баллов).

Факторы риска с наиболее тяжкими последствиями:

• Отсутствие в системе поддержки отраслевой специфики заказчика (3 балла);

• Заниженная оценка руководством компании-заказчика масштабов организационных преобразований в компании, обусловленных внедрением системы (2,9 балла);

• Отсутствие у руководства предприятия целостной долгосрочной стратегии в области информационных технологий (2,8 балла).

Информационные риски.Можно привести как минимум три определения информационных рисков, использование каждого из которых будет оправдано решаемыми задачами. Самое узкое определение информационных рисков — это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям. В данном случае информационный риск соответствует категории I уровня операционных рисков (ОР) в классификации Базельского комитета «Остановка бизнеса и сбои в системах».

Наиболее широкое определение включает риск возникновения убытков из-за неправильной организации или умышленного нарушения информационных потоков и систем организации. Такое расширенное понимание информационного риска совершенно оправданно, если задаться целью оценить риски в широком контексте информационной безопасности, включая организацию работ службы безопасности, PR-центра, информационных технологий и др.

Однако при этом в круг рассмотрения попадают довольно разнородные риски, подходы при оценке и управлении которыми должны быть разными. Поэтому будем рассматривать информационные риски как риски возникновения потерь в результате воздействия людей и внешних событий на информационные системы, а также из-за сбоев и неадекватной работы информационных систем. Таким образом, информационные риски - мы их будем для краткости также называть IT-рисками - связаны с применением информационных систем и технологий.

Применение информационных технологий является одним из важных факторов, определяющих конкурентоспособность. Однако наряду с очевидными преимуществами, такими как повышение скорости и качества обслуживания клиентов, доступности услуг, снижение издержек, использование информационных технологий привносит новые существенные риски. Именно они приобретают всё большее значение по мере развития конкуренции и расширении географического присутствия.

Однако количественная оценка IT-рисков затруднена и зачастую оказывается неточной и ненадёжной по нескольким причинам, часть из которых относится ко всем операционным рискам, а часть специфична. Во-первых, данные, необходимые как входные параметры практически для всех типов количественных оценок IT-рисков, зачастую очень сложно собрать. Сбор таких данных требует исчерпывающего понимания всех угроз и их воздействия на очень многие «активы» компании, начиная от IT-активов и заканчивая репутацией. При этом требуется точность регистрации, её непрерывность и достаточно длинный период, чтобы данные были пригодны для построения модели, имеющей предсказательную силу.

Во-вторых, информационная среда современного предприятия насчитывает сотни объектов риска - IT-активов, которые к тому же претерпевают постоянные изменения, так как компании стремятся модифицировать IT-среду, совершенно справедливо рассматривая операционное совершенство как одно из важнейших конкурентных преимуществ. Таким образом, необходимо построить максимально гибкую модель IT-среды, которую можно было бы настраивать по мере изменения входящих в неё систем.

И в-третьих, затраты времени и людских ресурсов на анализ уязвимости к рискам и собственно риск-анализ могут быть довольно высоки, что не позволяет проводить его с необходимой периодичностью. И если западные компании обладают уже достаточно полными базами данных по IT-рискам, то для большинства российских предприятий процесс грамотного систематизированного сбора данных, их отслеживания и проверки, периодический анализ и налаживание отчётности - пока нерешённая задача. Для того чтобы реализовать этот процесс, необходимо сначала провести идентификацию IT-рисков.

Идентификация IT-рисков. Первым этапом в идентификации IT-рисков является выбор анализируемых объектов и уровня детализации, на котором они будут рассматриваться. Небольшая организация может рассматривать всю информационную инфраструктуру, но для большого предприятия такая единовременная и детализированная оценка может потребовать неприемлемых затрат времени и человеческих ресурсов. Необходимо в таком случае установить приоритеты и рассмотреть в первую очередь совокупность наиболее важных информационных активов, отдавая себе отчёт в том, что оценка будет ограниченной.

При этом целесообразно создать карту информационной инфраструктуры предприятия, с тем, чтобы видеть, какие объекты IT-инфраструктуры выбраны для анализа рисков, а какие остались за его рамками. Карту следует поддерживать в актуальном состоянии, чтобы при изменении IT-инфраструктуры или более глубоком анализе рисков легко можно было оценить, какие объекты нуждаются в рассмотрении. Карта информационной инфраструктуры создаётся в рамках инвентаризации IT-активов.

Что понимается под IT-активами. Это информационные активы, к которым относятся различные виды информации (платёжная, аналитическая и пр.), программное обеспечение, рассматриваемое вне его носителя (аппаратных средств), технологические активы, включающие аппаратные средства компьютерных комплексов, локальных вычислительных сетей и пр.

При идентификации IT-активов, которые компания хочет защитить, следует учитывать и поддерживающую инфраструктуру, и персонал, и такие нематериальные ценности, как репутация. Вершиной пирамиды, которая определяет нижележащие слои, является представление о миссии компании, т. е. об основных направлениях деятельности и способах их реализации посредством определённых бизнес-процессов. Выбранные компанией технологии и технологические активы – это уже зона прямого воздействия факторов IT-рисков.

Программное обеспечение, носителем которого являются технологические активы, служит для работы с информацией - платёжной, финансово-аналитической, клиентской, управляющей и т. д., которая является своеобразной основой производственной деятельности. Ведь не зря, к примеру, современные банкиры шутят, что по роду своей деятельности имеют дело не с деньгами, а с информацией о них.

Анализ IT-инфраструктуры предназначен для формирования и документирования целостной картины технологических и информационных активов, т. е. состава и структуры аппаратных и программных средств, взаимосвязей между ними, их физического местоположения, включая носители информации, а также потоков данных.

В стандартах информационной безопасности (ИБ) выделяет следующие уровни информационной инфраструктуры:

• физические (линии связи, аппаратные средства и пр.);

• сетевые (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

• сетевые приложения и сервисы;

• операционные системы (ОС);

• системы управления базами данных (СУБД);

• технологические процессы и приложения;

• бизнес-процессы организации.

На верхнем уровне классификации оптимально с точки зрения анализа выделить следующие группы:

• аппаратные средства, включающие оборудование (собственное и предоставленное поставщиками услуг, партнёрами), локальную вычислительную сеть (проводные и беспроводные участки), носители электронной информации;

• программное обеспечение (приобретённое, используемое по лицензии и разработанное самими);

• данные и информацию в электронной форме.

При этом особое внимание следует уделить программным интерфейсам, т. е. приложениям, которые обеспечивают взаимодействие внешних пользователей и персонала со средствами и системами автоматизации. Национальный институт стандартов и технологий США рекомендует выделять интерфейсы взаимодействия в отдельную группу объектов риска ввиду их высокой значимости и потенциальной подверженности угрозам, поскольку именно через них осуществляется взаимодействие человека и информационных систем. Стандарт ИБ также подчёркивает, что «все точки в технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться», рассматривая именно персонал как основную категорию источников операционного риска.

IT-риски являются частью операционных рисков (ОР), поэтому их следует рассматривать в рамках единой методологии. Если за единицу портфеля ОР выбрать бизнес-процесс, то все IT-активы должны описываться с привязкой к бизнес-процессам, чтобы иметь возможность получения консолидированной оценки ОР каждого бизнес-процесса. Тот же подход должен применяться и в случае других способов структурирования портфеля ОР.

С точки зрения оценки рисков важен анализ не только повреждения IT-актива, например, сбоя программного обеспечения, но и его влияния на выход бизнес-процесса, т. е. на поставки внешним и внутренним пользователям «продуктов» бизнес-процесса. Каждый из элементов IT-активов должен описываться группой параметров, из которых можно выделить параметры, общие для всех описываемых элементов IT, и специфичные параметры. К общим параметрам относятся:

• основное назначение элемента (компьютера, программы и т. д.), т. е. что именно элемент производит в бизнес-процессе;

• состав лиц, поддерживающих его функционирование;

• состав лиц, использующих данный элемент;

• уровень значимости элемента для обеспечения бизнес-процесса и в конечном счёте миссии;

• чувствительность элемента, под которой понимается необходимый уровень защиты IT актива (высокой чувствительностью обладают, например, данные, связанные с конкурентными стратегиями и преимуществами, клиентская информация).

Определение значимости и чувствительности IT-активов на данном этапе позволяет оценить рамки рассмотрения и уровень детализации информационной инфраструктуры с целью оценки рисков. Если ресурсов недостаточно, в первую очередь необходимо защитить наиболее приоритетные активы. Приоритетность определяется значимостью IT-активов для достижения целей компании.

Опишем некоторые специфические параметры. Для инвентаризации программных средств (ПО) - это информация по управлению версиями и обновлениями, встроенные в ПО средства обеспечения информационной безопасности, такие как средства шифрования, пароли, средства сетевой защиты. Инвентаризация локальной сети основывается на построении топологии (диаграммы) сети с указанием внешних каналов связи (например, с интернет), аппаратных компонентов сетевой инфраструктуры, уровня защищённости отдельных внешних и внутренних каналов (шифрование и др.), установленных средств контроля сетевой безопасности (сетевые экраны, системы обнаружения проникновения и т. п.). Описание информации и её носителей должно проводиться взаимосвязано, чтобы установить, какая информация сохраняется на каких носителях, какие средства резервного копирования применяются (с указанием частоты резервирования и местонахождения резервных копий).

Результатом инвентаризации должна стать карта информационной инфраструктуры с документированными потоками электронных данных внутри предприятия, а также входящих и исходящих потоков. Эффективным инструментом документирования потоков данных являются, например, диаграммы потоков данных (Data Flow Diagrams, DFD).

Планирование, проведение и документирование результатов инвентаризации IT-инфраструктуры, а также поддержание актуальности собранной информации входит в обязанности специалистов отдела информационных технологий. Роль риск- менеджеров заключается в формировании единиц портфеля ОР и выработке совместно с бизнес- подразделениями шкалы для оценки значимости и чувствительности элементов IT-активов. Значимость и чувствительность каждого должны оцениваться по заранее подготовленной формализованной шкале, чтобы каждая из категорий одинаково понималась всеми опрашиваемыми экспертами и обеспечивалась перекрёстная сравнимость полученных оценок.

Для инвентаризации IT-активов могут быть использованы следующие инструменты:

• специально сконструированные для каждого подразделения опросные листы;

• специально подготовленные для каждого подразделения интервью;

• анализ документации;

• автоматизированные сканирующие системы для оценки ОР, если они имеются.

Поскольку инвентаризация является процессом, в котором в той или иной мере задействованы практически все подразделения, ключевым фактором успеха для её результативного проведения является поддержка высшего руководства банка. Высшее руководство должно обеспечить ресурсы (людские, временные, денежные) и понимание важности процесса инвентаризации как отправной точки для развития системы управления IT-рисками и, более широко, для повышения эффективности и надёжности работы компании.

В ходе функционирования системы менеджмента IT-рисков высшее руководство должно контролировать качество проведения инвентаризации, периодически проверяя, что она носит систематический характер, а её результаты документируются в стандартизованной форме. Частота актуализации информации об IT- среде должна быть зафиксирована во внутренних документах, учитывая необходимость её обновления при существенных изменениях информационной инфраструктуры или возникновении новых типов угроз информационной безопасности.

Выявление угроз. Для оценки операционных рисков необходимо выявить угрозы IT-активам, т. е. факторы риска. Однако это будет иметь мало смысла без классификации этих факторов, поскольку для оценки риска нужно систематически собирать статистику, строить качественную или количественную модель. Сложность классификации операционных рисков в полной мере присуща и IT-рискам, к тому же здесь возникает и проблема согласования взглядов сотрудников информационных подразделений, которые занимаются вопросами информационной безопасности, и риск- менеджеров, которым необходимо оценивать капитал под операционный риск, проводить самооценку, мониторинг ключевых показателей операционного риска.

Классификация IT- рисков должна быть единой, полной и непротиворечивой, и задача её создания с точки зрения методологии ложится на риск- менеджеров. Конечно, каждая компания может ввести свою классификацию IT- рисков, поскольку регулятор не вводит единой системы, однако лучше основываться на классификации Базельского комитета, которая является результатом многолетнего анализа источников и типов потерь западных кредитных организаций.

Основываясь на классификации факторов риска, необходимо далее для каждого из принятых в рассмотрение элементов IT-активов выявить потенциальные рисковые события, которые могут на нём реализоваться. Хорошей практикой является разработка моделей угроз и нарушителей информационной безопасности. Стандарт ИБ рекомендует каждой организации разработать модель угроз информационной безопасности, которая включала бы «описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба». По сути, разработать на основе сценарного анализа полноценную модель риска. При этом особо подчёркивается, что такая модель должна обладать прогностической силой. Подход «угроза - уязвимость», являющийся на Западе стандартом при оценке IT-рисков, предполагает сопоставление каждому элементу IT-активов определённых источников угроз (факторов риска).