вибір ефективних і економічних захисних засобів (нейтралізація ризиків).

По відношенню до виявлених ризиків можливі наступні дії:

• ліквідація ризику (наприклад, за рахунок усунення причини);

• зменшення ризику (наприклад, за рахунок використання додаткових захисних засобів);

• прийняття ризику (і вироблення плану дії у відповідних умовах).

Процес управління ризиками можна розділити на наступні етапи:

1. Вибір аналізованих об'єктів і рівня деталізації їх розгляду

Це етап є першим крок в оцінці ризиків. Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру, проте якщо організація велика, повна оцінка може вимагати неприйнятних витрат часу і сил. У такому разі слід зосередитися на найбільш важливих сервісах, заздалегідь погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких свідомо великі або невідомі. (Приклад з структурою командування виду збройних сил)

2. Вибір методології оцінки ризиків.

Для оцінки ризиків при впровадженні проектів в області інформаційних систем і технологій можливе використання таких кількісних методів оцінки, як:

− статистичний метод;

− метод аналізу доцільності витрат;

− метод експертних оцінок;

− метод аналогій.

Сутність статистичного методу полягає в кількісному визначенні вірогідності настання ризикової ситуації і розмірів фінансового збитку.

Оскільки для даного методу використовується інформація про кількість ризикових ситуацій і фінансових наслідків, то для підприємства, на якому планується впровадження інформаційної системи, необхідно використовувати досвід інших фірм, що вже працювали в даній області. Також слід звернутися за інформацією до підрядчика, який безпосередньо здійснюватиме проект на підприємстві.

Статистичний метод не застосовується, якщо підприємство тільки створене.

Оцінка ризиків методом аналізу доцільності витрат припускає ідентифікацію потенційних зон ризику. Для цього стан по кожному з елементів ділиться на область ризику, яка є зоною загальних витрат, в рамках яких конкретні витрати не перевищують граничного значення встановленого рівня ризиків.

Метод експертних оцінок полягає в проведені експертизи ризків шляшом залучення певної категорії фахівців. Достовірність отриманих оцінок, узагальнюючої думки експертів, залежить від кваліфікації експертів, незалежності їх думок, а також від методичного забезпечення проведення експертизи.

Метод аналогій. Полягає в визначені ризиків для певної фірми при цьому відсутня чітка база для порівняння, краще знати минулий досвід інших компаній, чим не знати нічого.

Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, такою, що допускає порівняння із заздалегідь вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типове оптимізаційне завдання, і існує досить багато програмних продуктів, здатних допомогти в його вирішенні (іноді подібні продукти просто додаються до книг по інформаційній безпеці).

2. Ідентифікація активів. (визначення якими ресурсами ми володіємо (грошові, матеріальні, інформаційні)

При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, слід, враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною точкою тут є уявлення про місію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Виражаючись об'єктно-орієнтованою мовою, слід в першу чергу описати зовнішній інтерфейс організації, що розглядається як абстрактний об'єкт.

Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її використання. Ці відомості доцільно нанести на карту Інформаційної системи (структуру яку розглядали на прикладі штабу виду збройних сил).

Інформаційною основою скільки-небудь крупної організації є мережа, тому в число апаратних активів слід включити комп'ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве устаткування (мости, маршрутизатори і т.п.). До програмних активів, ймовірно, будуть віднесені операційні системи (мережева, серверні і клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (у яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані по типах і ступеню конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.

2. Аналіз загроз і їх наслідків, виявлення вразливих місць в захисті.

Найбільш розповсюдженими видами загроз є:

Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна.

Копіювання комп'ютерної інформації— це повторювання та стійке збереження інформації на машинному або іншому носієві.

Знищення — це зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ.

Пошкодження — змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання.

Модифікація комп'ютерної інформації — внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних.

Блокування комп'ютерної інформації — штучне ускладнення доступу користувачів до інформації, не пов'язане з її знищенням.

Обман (нав'язування хибної інформації) — навмисне спотворення або приховування істини з метою введення в оману особи, у веденні якої знаходиться майно, і таким чином домогтися від неї добровільної передачі майна, а також повідомлення з цією метою свідомо неправдивих відомостей.

На жаль, на практиці загроз значно більше, причому далеко не всі з них носять комп'ютерний характер. Так, цілком реальною загрозою є наявність мишей і тарганів в приміщеннях, де розташована організація. Перші можуть пошкодити кабелі, другі викликати коротке замикання. Як правило, наявність тієї чи іншої загрози є наслідком недоліків у захисті інформаційної системи, які, у свою чергу, пояснюються відсутністю деяких сервісів безпеки або недоліками в захисних механізмах, що її реалізують. Небезпека прогризання кабелів виникає не просто там, де є миші, вона пов'язана з відсутністю або недостатньою міцністю захисної оболонки.

Перший крок в аналізі загроз є їх ідентифікація. Дані види загроз слід вибирати виходячи з міркувань здорового глузду (виключивши, наприклад, землетруси, проте не забуваючи про можливість захоплення організації терористами), але в межах вибраних видів провести максимально детальний аналіз.

Доцільно виявляти не тільки самі загрози, але і джерела їх виникнення - це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід у систему може стати наслідком відтворення початкового діалогу, підбору пароля або підключення до мережі неавторизованого устаткування.

Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) вірогідність).

2. Оцінка ризиків.

Окрім вірогідності здійснення, важливий розмір потенційного збитку. Наприклад, пожежі бувають нечасто, але збиток від кожної з них, як правило, великий. Тяжкість збитку також можна оцінити за трибальною шкалою.

Оцінюючи розмір збитку, необхідно мати на увазі не тільки безпосередні витрати на заміну устаткування або відновлення інформації, але і віддаленіші, такі як підрив репутації, ослаблення позицій на ринку і т.п. Хай, наприклад, в результаті дефектів в управлінні доступом до бухгалтерської інформації співробітники дістали можливість коректувати дані про власну заробітну плату. Наслідком такого стану справ може стати не тільки перевитрата бюджетних або корпоративних коштів, але і повне розкладання колективу, що загрожує розвалом організації.

Вразливі місця володіють властивістю притягати до себе не тільки зловмисників, але і порівняно чесних людей. Не всякий встоїть перед спокусою трішки збільшити свою зарплату, якщо є упевненість, що це зійде з рук. Тому, оцінюючи вірогідність здійснення загроз, доцільно виходити не тільки з середньостатистичних даних, але зважати також на специфіку конкретних інформаційних систем. Якщо у підвалі будинку, що займає організація, розташовується сауна, а сам будинок має дерев'яні перекриття, то вірогідність пожежі, на жаль, виявляється істотно вище середньої. Після того, як накопичено початкові дані і оцінений ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінки ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачуваний збиток.

Якщо для вірогідності і збитку використовувати трибальну шкалу, то можливих добутків буде шість: 1, 2, 3, 4, 6 і 9.

Перші два результати можна віднести до низького ризику, третій і четвертий – до середнього, два останніх - до високого, після чого з'являється можливість знову привести їх до трибальної шкали. За цією шкалою і слід оцінювати прийнятність ризиків.

Якщо якісь ризики виявилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту.

2. Вибір захисних заходів.

Як правило, для ліквідації або нейтралізації вразливого місця, що зробило загрозу реальною, існує декілька механізмів безпеки, різних по ефективності і вартості. Наприклад, якщо велика вірогідність нелегального входу в систему, можна вимагати, щоб користувачі обирали довгі паролі (скажімо, не менше восьми символів), задіювати програму генерації паролів або купити інтегровану систему аутентифікації на основі інтелектуальних карт. Якщо є вірогідність умисного пошкодження сервера баз даних, що може мати серйозні наслідки, можна врізати замок у двері серверної кімнати або поставити біля кожного сервера по охоронцеві.

Оцінюючи вартість заходів захисту, доводиться, зрозуміло, враховувати не тільки прямі витрати на закупівлю устаткування і програм, але і витрати на впровадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім порівняти її з різницею між обчисленим і допустимим ризиком. Якщо по цьому показнику новий засіб виявляється економічно вигідним, його можна узяти на замітку (відповідних засобів, ймовірно, буде декілька). Проте якщо засіб виявиться дорогим, його не слід відразу відкидати, пам'ятаючи про наближеність розрахунків.

Вибираючи відповідний спосіб захисту, доцільно враховувати можливість екранування одним механізмом забезпечення безпеки відразу декількох прикладних сервісів.

Важливою обставиною є сумісність нового засобу з організаційною і апаратно-програмною структурою, що склалася і традиціями організації. Заходи безпеки, як правило, носять недружній характер, що може негативно позначитися на ентузіазмі співробітників. Деколи збереження духу відвертості важливіше за мінімізацію матеріальних втрат. Втім, такого роду орієнтири повинні бути співставлені в політиці безпеки верхнього рівня. Можна уявити собі ситуацію, коли для нейтралізації ризиків не існує ефективних і прийнятних за ціною заходів. Наприклад, компанія, що базується у сейсмічно небезпечній зоні, не завжди може дозволити собі будівництво захищеної штаб-квартири. У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжіння на пом'якшення наслідків і вироблення планів відновлення після аварій, стихійних лих та інших подій. Продовжуючи приклад з сейсмонебезпекою, можна рекомендувати регулярне тиражування даних в інше місто та оволодіння засобами відновлення первинної бази даних.

2. Реалізація та перевірка вибраних заходів.

3. Оцінка залишкових ризиків.

Як висновок слід відзначити що, етапи 6 і 7 відносяться до вибирання захисних засобів (нейтралізації ризиків), решта – до оцінки ризиків.

Вже перерахування етапів показує, що управління ризиками – процес циклічний і не лінійний. Ризики потрібно контролювати постійно, періодично проводячи їх переоцінку.

На етапі ініціації слід врахувати відомі ризики при виробленні вимог до системи взагалі і засобів безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль в забезпеченні безпеки.

На етапі встановлення виявлені ризики слід враховувати при конфігурації, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками повинне супроводжувати всі істотні зміни в системі. При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечним чином.

Я вже вказував на доцільність створення карти інформаційної системи організації. Для управління ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося нехтувати.

Якщо інформаційна система міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стане ясно, які нові або істотно змінені сервіси потребують розгляду.

Реалізація вимог стандарту

Як приклад можна навести компанію LETA яка працює саме у сфері СМІБ з 2003 року, що свідчить про її авторитетність, та про те що її можна наводити в приклад реалізацій вимог стандарту 27005.

Отримання цього статусу означає не тільки якість опрацювання та реалізації відповідного процесу, а й є рекомендацією для його застосування на інших підприємствах. Доброю практикою було визнано створення методології оцінки ризиків, яка максимально враховує вимоги стандарту ISO 27005 (управління ризиками ІБ), а також забезпечує розумний компроміс між ступенем деталізації ідентифікованих ризиків та диференційованим підходом до порушення властивостей конфіденційності, цілісності та доступності по відношенню до інформаційних активів підприємства. Доброю практикою було визнано також застосування засобів автоматизації процесу оцінки ризиків, що дозволяє врахувати велике число взаємозалежних ризик-факторів щодо значущих інформаційних активів - і при цьому значно знизити трудомісткість операцій.

Список літератури

1) wiki.tntu.edu.ua.

2) Галатенко В.А. «Основы информационной безопасности».

3) http://www.intuit.ru/department/itmngt/riskanms/1/

4) newsdesk.pcmag.ru/node/35270

5) ОЦІНКИ РИЗИКІВ ПРОЕКТІВ ПО АВТОМАТИЗАЦІЇ ДІЯЛЬНОСТІ ПІДПРИЄМСТВА Гречко Т.К., к.держ.упр., доцент кафедри інноваційного менеджменту ДонДУУ Колодій С.А., магістр управління проектами, ДонДУУ