Алгоритм проведения анализа информационного риска на предприятии
|
|
|
|
|
|
Таблица 1 |
|
|
|
Форма представления результатов анализа риска (вариант) |
|
|
|||
|
|
|
|
|
|
|
|
Информац |
Точки |
Вероятность |
Суммарная |
Вероятность |
Ущерб от |
|
|
возможного |
вероятность доступа |
нападения на |
Информационный |
|
|||
ионные |
реализации |
информационного |
|
||||
доступа |
к информационным |
информационный |
риск |
|
|||
ресурсы |
угрозы |
вторжения |
|
||||
(угрозы) |
ресурсам |
ресурс |
|
|
|||
|
|
|
|
|
|||
|
Т1 |
P1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т2 |
P2 |
|
|
|
|
|
ИР1 |
|
|
PИР1 |
Pн1 |
S1 |
R1 |
|
Т3 |
P3 |
|
|||||
|
Т4 |
P4 |
|
|
|
|
|
|
Т5 |
P5 |
|
|
|
|
|
|
Т1 |
P1 |
|
|
|
|
|
ИР2 |
Т2 |
P2 |
PИР2 |
Pн2 |
S2 |
R2 |
|
|
Т3 |
P3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т1 |
P1 |
|
|
|
|
|
|
Т2 |
P2 |
|
|
|
|
|
ИРi |
Т3 |
P3 |
PИРi |
Pнi |
Si |
Ri |
|
|
|
|
|||||
|
Т4 |
P4 |
|
|
|
|
|
|
Т5 |
P5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т1 |
P1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т2 |
P2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т3 |
P3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИРn |
Т4 |
P4 |
PИРn |
Pнn |
Sn |
Rn |
|
|
|
|
|
|
|
|
|
|
Т5 |
P5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т6 |
P6 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Т7 |
P7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Таким образом, варьируя вариантами построения системы защиты информации и архитектурой АСОИ, мы по лучим различные значения суммарного риска за счет изменения вероятности реализации угроз. Остается только остановиться на выборе одного из вариантов в соответствии с принятым критерием принятия реше ния. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение инфор мационной безопасности к остаточному риску.
Очередным вопросом, на который приходится отвечать при построении систем обеспечения информацион ной безопасности, является определение стратегии управления рисками.
3. Стратегия управления рисками
На сегодня известно несколько подходов к управлению рисками (хотя терминологически не совсем понятно, как можно управлять рисками?). Один из наиболее распространенных это уменьшение риска путем исполь зования соответствующих способов и средств защиты. Близким по сути является и подход, связанный с ук" лонением от риска. От некоторых классов рисков можно уклониться. Например, вынесение Web сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локаль ную сеть со стороны Web клиентов.
Весьма возможно и принятие риска. В принципе всегда нужно оценивать, что для Вас выгоднее – бороться с рисками или с их последствиями. Здесь налицо оптимизационная задача.
Ну, и, наконец, возможно изменение характера риска, например, за счет страхования отдельных рисков. Это направление долгие годы у нас в стране находилось в забвении.
Необходимо отметить, что страхование не устраняет риск, однако уменьшает финансовые потери страховате ля в случае реализации риска.
Наиболее актуальным является страхование банковских рисков, так как международный, да и российский опыт подтверждает, что ни самые изощренные технические средства защиты, ни самые продвинутые и многочис ленные службы безопасности не могут полностью гарантировать банк от потерь в результате преступных дей ствий.
8.6
Алгоритм проведения анализа информационного риска на предприятии
Причина этого кроется в том, что главной угрозой для банка уже давно стал не громила в маске с автоматом наперевес, а весьма интеллигентный молодой человек (обычно собственный сотрудник), взламывающий бан ковские компьютерные коды или выдающий в сговоре с заемщиком крупный кредит по поддельным докумен там. По имеющимся данным, результатом среднестатистического «физического» ограбления является потеря 5 000 долларов США, в то время как среднее компьютерное преступление обходится банку в 500 000 долла ров. Другая весьма показательная цифра: по данным ФБР, от 60 до 70 % преступлений против банков совер шается их сотрудниками.
Что же может надежно уберечь банк от криминальных потерь?
На западе ответ на этот вопрос нашли уже более ста лет назад — страхование. Известно, что инвестиции в систему безопасности эффективны лишь до определенного предела. Можно, конечно, до бесконечности вкла дывать средства в покупку самых современных систем защиты, расширять штат службы безопасности, огра ничивать возможности сотрудников по принятию решений. Но все эти меры, не обеспечивая стопроцентной гарантии от потерь, могут серьезно снизить оперативность деятельности банка. С другой стороны, если сис тема безопасности будет «дырявой», не соответствующей принятым в отрасли нормам, страховая компания либо не примет банк на страхование, либо назначит такую страховую премию, что затея потеряет всякий смысл.
Поэтому задача риск менеджера банка должна состоять в выстраивании сбалансированной политики безо пасности, где разумные затраты на создание системы защиты дополнялись бы минимальными расходами на страхование при обеспечении максимально широкого объема покрытия. Это условие вполне достижимо: при нормально функционирующей системе безопасности расходы на страхование действительно являются незна чительными.
Что же конкретно могут предложить банкам страховые компании в плане защиты от криминальных рис ков? Это, прежде всего, так называемый ВВВ (Bankers Blanket Bond), впервые выпущенный на рынок в 1907 году американскими страховщиками совместно с Ассоциацией американских банков. Полис был построен по «пакетному» принципу, то есть предоставлял защиту по нескольким рискам, объединенным по принци пу наличия в них криминального начала. Этот страховой продукт оказался столь удачным, что сохранился до нашего времени, конечно, претерпев значительные изменения. На сегодняшний день наряду с появив шейся в 70 е годы секцией страхования от электронных и компьютерных преступлений ВВВ является осно вополагающим элементом страховой защиты банка.
Основным риском, покрываемым полисом ВВВ, является риск противоправных действий персонала. Предос тавляя это покрытие, страховые компании вводят одну принципиальную оговорку: ими возмещаются лишь убытки от противоправных действий сотрудников, совершенных с целью личного обогащения либо с целью преднамеренного нанесения ущерба банку.
По полису ВВВ покрытие предоставляется также в отношении рисков утери ценностей, находящихся в помеще ниях банка (в хранилище, сейфах, кассах и т. д.) и во время их перевозки.
Кроме этого, страховщики возмещают убытки, вызванные принятием банками поддельных чеков, депозитных сертификатов, векселей, облигаций, акций, других ценных бумаг, а также наличных денежных средств. Ком пенсируется и ущерб, наносимый помещениям и внутренней обстановке банков в результате противоправ ных действий третьих лиц.
Для специалистов, занимающихся банковским страхованием, очевидно, что в покрытие ВВВ входит страхова ние ряда рисков, зачастую страхуемых банками (особенно российскими) отдельно — страхование ценностей во время перевозки и на хранении. Однако комплексный подход к страхованию намного выгоднее по финансо вым условиям (стоимость отдельных рисков таким образом значительно уменьшается) и удобен с чисто техни ческой точки зрения.
Обычно вместе с полисом ВВВ банки приобретают полис страхования от электронных и компьютерных пре ступлений, название которого говорит само за себя. Такой полис предоставляет покрытие от любых потерь, связанных с преступными действиями с использованием компьютерных сетей и электронных средств банка в результате:
•ввода мошеннически подготовленных или видоизмененных данных или команд в компьютерные сети банка, системы перевода средств или связи с клиентами, в том числе во время передачи данных;
•умышленного уничтожения или кражи, воровства электронных данных и их носителей;
•вирусных атак;
•осуществления платежей нa основании сфальсифицированных поручений клиентов, передаваемых по системам электронной, тестированной телексной, факсимильной или телефонной связи.
Тесно примыкает к полисам ВВВ (страхования от электронных и компьютерных преступлений) страхование эмитентов пластиковых карт.
Очевидно, что перед заключением полиса по ВВВ или компьютерным преступлениям страховая компания все сторонне оценивает принимаемые на себя риски. В этом ей помогает так называемый сюрвейер — специа
8.7
Алгоритм проведения анализа информационного риска на предприятии
лизированная компания, занимающаяся оценкой рискозащищенности предприятий (проверяется система физической безопасности, компьютерной безопасности, система подбора персонала и контроля за его рабо той и т. д.). Парадокс, но за рубежом именно эти службы вместе с риск менеджерами являются активными сторонниками проведения сюрвеев. Сюрвейер действует в тесном контакте со службой безопасности, глав ный метод его работы — интервью с руководителями и сотрудниками ключевых подразделений. Он не роет ся в файлах, а всего лишь задает вопросы и по ответам делает вывод о том, насколько ключевые сотрудники банка ориентированы на предотвращение преступлений.
Сюрвейер не только дает советы службе безопасности, но и помогает ей заострить вопросы обеспечения бе зопасности перед руководством банка. Ведь службе безопасности обычно известны имеющиеся недостатки, но руководство может не считать эти проблемы первоочередными (нет денег, другие приоритеты и т.д.).
Таким образом, страхование банковских рисков как никакой другой вид страхования тесно интегрировано в систему управления рисками в банке. По сути, страховщик привносит в эту систему еще одно звено — неза висимую оценку имеющихся в банке механизмов защиты.
Российские компании только начинают внедряться на рынок банковских сюрвеев. В частности, активно дей ствует в области криминального банковского страхования страховая компания «Ингосстрах».
Недавно Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР) разрабо тало систему защиты информации «Аккорд». Эта система уже используется в ряде государственных органи заций, в частности в Центробанке и Сбербанке. ОКБ заключило с Ингосстрахом первый в России договор стра хования информационных систем от нападения хакеров. Теперь Центробанк и Сбербанк смогут получить до $250 000 в случае взлома установленной ОКБ системы защиты от несанкционированного доступа.
Несмотря на то, что в принципе в данном случае застрахована разработанная система защиты информации, а не отдельные риски, процесс, что называется, пошел.
Ингосстрах пока остается единственной страховой компанией, входящей в состав рабочей группы по миними зации и страхованию информационных рисков, действующей в Ассоциации документальной электросвязи (АДЭ). Кроме того, компания подписала соглашение о сотрудничестве в области страхования информационных рис ков с Министерством РФ по связи и информации.
В целом же в соответствии с «Доктриной информационной безопасности российской федерации», утверж денной Президентом РФ 09.09.2000 г., экономические методы противодействия угрозам информационной безопасности предусматривают создание системы страхования информационных рисков физических и юридических лиц, которая обеспечивает компенсацию ущерба в случае реализации угрозы.
Основными целями создания системы страхования информационных рисков являются:
•формирование механизма компенсации финансовых потерь собственникам, владельцам и пользовате лям информационных систем, ресурсов и технологий из за утраты, изменения, кражи, блокирования ин формации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц,
•отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники,
•влияния вредоносных программ и вирусов,
•неквалифицированных и преднамеренных действий обслуживающего персонала и других причин.
Всероссийский НИИ проблем вычислительной техники и информатизации в течение нескольких лет прово дит комплекс научно исследовательских работ по анализу проблемы страхования в области связи и инфор матизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ре сурсов и технологий, разработке правовой, нормативно методической и организационной базы системы страхования информационных рисков.
В институте разработаны проекты ряда концептуальных, нормативных и методических документов по систе ме страхования информационных рисков:
•«Концепции страхования информационных рисков»;
•«Концепции создания и развития системы страхования информационных рисков»;
•“Правила страхования информационных рисков, информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан”;
•«Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники, как объектов страхования»;
•«Положения и инструкции о проведении экспертизы информационных систем, технологий, программ ных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая» и др.
•проект Закона РФ «О страховании информационных рисков»;
•законодательные и иные нормативные и правовые акты, определяющие принципы, условия, порядок и область действия системы страхования информационных рисков
•проект «Перечня информационных ресурсов и систем, сетей и объектов связи, подлежащих страхованию».
8.8
Алгоритм проведения анализа информационного риска на предприятии
В заключение разговора о страховании информационных рисков, необходимо вспомнить один из основопо лагающих принципов создания систем информационной безопасности – принцип разумной достаточнос" ти, который заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать «абсолютную защиту». Поэтому целесообразно ставить вопрос о соразмерности затрат на обеспечение ин" формационной безопасности и затрат на страхование информационных рисков.
После того, как определена стратегия управления рисками, производится окончательная оценка мероприя тий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищеннос ти информационных ресурсов. В экспертное заключение включаются все материалы анализа рисков и реко мендации по их снижению.
По данным специалистов США, риск, обусловленный снятием элементов защиты информации, приведет к ра зорению 20% средних компаний в течение нескольких часов, 48% потерпят крах через несколько дней, 33% банков «лопнет» через несколько часов, 50% через несколько дней.
Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд. долл. В России ущерб от компьютерных преступлений до сих пор интегрально не подсчи тывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной.
Проведение анализа рисков и оценки потерь требуют глубоких системных знаний и аналитического мышления во многих смежных областях проблемы защиты информации. Без таких знаний невозможно построить впос ледствии надежную систему информационной безопасности на выделенные средства в заданные сроки.
4. Проверка системы защиты информации
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточ ные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.
Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности и со блюдения конфиденциальности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопас" ности не сможет предотвратить утечку информации.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование си стемы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, состоящие из представителей всех лиц, участвующих в работе с кон фиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации, предприятия через спе циальные подразделения обеспечения безопасности.
На конкретных объектах при контроле эффективности защиты, обеспечиваемой конкретными средствами за щиты информации, может иметь место значительное разнообразие задач проверки. Так, на одном объекте, может быть, достаточно осуществить проверку эффективности экранирования, на другом — проверить эф фективность шумовой защиты, а на третьем — необходимо убедиться, что излучения ПЭМИН могут быть при няты за пределами охраняемой территории организации (предприятия). Аналогичное имеет место и при про верке эффективности защиты информации от несанкционированного доступа: на одном объекте использу ется, например, монопольный режим обработки подлежащей защите информации, а на другом — программ ная защита. Все это означает, что работа по контролю эффективности защиты должна начинаться с опреде ления состава проверяемых мер и средств.
Кроме того, организационно"режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают опреде ляющее значение на эффективность защиты от несанкционированного доступа (НСД). Это связано с тем, что при неправильном определении степени конфиденциальности защищаемой информации может оказаться не эффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффектив ности защиты с контроля организационно режимных мер и средств защиты. Далее последовательность проверки может быть произвольной.
Организация и проведение проверки организационных мероприятий осуществляется с целью выявления на рушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникно вение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возмож ных нарушений, что может оказать существенную помощь в организации проверки.
8.9