10 июня 2017г.
В статье предлагается регламент оценки информационных рисков на основе процессного подхода. Технология основывается на комплексе организационных мероприятий и использовании специализированного программного обеспечения. Представлены критерии выбора прикладных информационных систем для получения оценки информационных рисков.
Ключевые слова: технология оценки, бизнес-процесс, информационный риск, информационные системы.
Технологический процесс моделирования оценки информационных рисков должен обеспечить автоматизацию основных этапов обработки информации по сбору исходных данных, регистрации и первичной обработке собранных данных (соответствие требованиям актуальности, достоверности, полноты), вводу данных в модель, реализации модели и исследование полученных результатов. Для достижения поставленных целей предлагается технология оценки информационных рисков в виде регламентной процедуры, которая входит в состав документов: «Положение по управлению информационными рисками», «Положение по управлению операционными рисками. Наличие такого набора документов гарантирует прозрачность процессов оценки информационных рисков, что повышает безопасность использования комплекса информационных систем в организации. Регламент действий по оценке информационных рисков может состоять из семи последовательных этапов (рисунок 1).
Этап первый. Руководитель отдела ИТ принимает решение о проведении внеплановой оценки информационных рисков. Проведение оценки информационных рисков может быть вызвано причинами: проектированием новой информационной системы; выявлением в существующей информационной системы новой угрозы или уязвимости; оптимизацией бизнес-процесса с модернизацией поддерживающей информационной системы. Формируется «Распоряжение», в котором указываются параметры проекта: информационные ресурсы, угрозы и уязвимости.
Этап второй. Ответственный сотрудник отдела ИТ создает в АИС «НОИР» новый проект. В параметры проекта вносятся реквизиты.
Этап третий. Ответственный сотрудник отдела ИТ осуществляет электронную рассылку экспертам с параметрами проекта по электронной почте используя адресную книгу с контактами привлеченных экспертов.
Этап четвертый. Эксперт внешний/внутренний вносит экспертные оценки в АИС «НОИР». При получении письма-приглашения вносит в информационную систему оценки. При возникновении вопросов – консультируется с ответственным сотрудником отдела ИТ.
Этап пятый. Ответственный сотрудник отдела ИТ запускает алгоритм оценки информационных рисков в АИС «НОИР». В ежедневном режиме контролирует внесение экспертных оценок. При выявлении отставания от графика заполнения базы оценок – информирует Руководителя отдела ИТ. При получении «Уведомления» от информационной системы о внесении все оценок запускает процесс расчета показателей информационных рисков.
Этап шестой. Ответственный сотрудник отдела ИТ формирует отчет о результатах вычислений. В «Отчет» вносится информация о количественных величинах риска, потенциальном ущербе и ранжированными рисками. Одновременно формирует «Сопроводительную записку», в которой расшифровывает полученные значения показателей и определяет рекомендации по снижению полученного уровня риска.
Этап седьмой. Руководитель отдела информационных технологий принимает решение о повторном цикле оценки со сменой значений входных переменных. В случае, если при оценке рисков получено неприемлемое значение уровня безопасности, тогда формирует предложения по смене значений входных переменных.
Указанные операции помещаются в раздел обязанностей должностных инструкций Руководителя отдела ИТ и Ответственного сотрудника ИТ.
При
реализации
технологии
оценки
информационных рисков на
ряду
с
разработанной АИС «НОИР» и инструментальным средством математического моделирования «MATLAB» могут использоваться и иные программные продукты. Предложим следующий набор программных средств для оценки информационных рисков доступный большинству организаций (рисунок 2).
Программный продукт для оценки рисков должен охватывать все компоненты риска и взаимосвязь между компонентами, включать в свой состав модули сбора/анализа данных и вывода результатов, отражать политику и подход организации к оценке рисков, формировать понятные и точные отчеты,
сохранять историю сбора и анализа данных, содержать полную и понятную документацию, быть совместимым с программным и аппаратным обеспечением, используемым в организации, а также сопровождаться обучением и поддержкой пользователей.
Метод, используемый в работе выбранного продукта, и его функции должны отражать политику и общий подход организации к оценке рисков.
Эффективное формирование отчетов о результатах оценки информационных рисков является существенной частью процесса, если руководству требуется определять альтернативы и осуществлять эффективный выбор применимых, надежных и экономически оправданных механизмов контроля. Поэтому данный продукт должен формировать понятные и точные отчеты.
Способность сохранять историю сбора и анализа данных является полезной при проведении последующих оценок и наблюдения за тем, как изменяется ситуация с рисками.
Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации. Не последнюю роль играет доступность обучения и поддержки.
Выбранный продукт должен быть совместим с аппаратным и программным обеспечением, используемым в организации.
Любой программный
продукт, если
он действительно
является
средством
для оценки
рисков, реализует определенную методологию. Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления информационными рисками.
Разработку и внедрение информационной системы моделирования информационной безопасности не следует начинать с выбора программного инструментария, так как на этой стадии затруднительно адекватно сформулировать требования и определить потребность организации в таком инструментарии. В последующем, намного проще будет адаптировать выбранную методику для использования специализированного инструментария, нежели адаптировать инструментарий под методику. Последнюю задачу решить практически невозможно. Ни
международные стандарты, ни
существующий передовой опыт в области управлении рисками не требуют применения программного инструментария.
Рекомендуется сначала внедрить в организации политику управления информационными рисками и методологию оценки рисков и провести первоначальную высокоуровневую оценку рисков вручную,
в соответствии с принятой методологией. Только после этого имеет смысл переходить к выбору инструментария, который бы соответствовал используемому подходу и облегчал бы выполнение основных операций по оценке рисков.
Положительный эффект от использования программного инструментария может быть значительно выше при детализированной оценке, предполагающей рассмотрение нескольких сотен или даже тысяч рисков,
так как в этом случае аналитическая работа существенно усложняется.
Благодаря использованию инструментария есть возможность упорядочить хранение данных с профилями угроз, перечнями уязвимостей и рисками, унифицировать методологию и упростить использование результатов для переоценки рисков.
Плюсы использования программного инструментария для оценки информационных рисков заключаются в автоматизации алгоритма процесса оценки и управления информационными рисками, унификации методологии оценки рисков,
интеграции с ERM-системами, построении и поддержании реестров защищаемой информации, автоматическом формировании планов по управлению информационными рисками, а также в интеграции со средствами контроля соответствия и со средствами анализа уязвимостей.
Недостатки, свойственные многим программным продуктам, предназначенным для управления рисками, ограничивают их практическое применение.
К числу наиболее распространенных недостатков относят несовместимости с международными стандартами, неполный охват информационных ресурсов (большинство продуктов сосредоточиваются только на управление
операционными рисками в сфере информационных технологий, игнорируя остальные виды бизнес-процессов), сложность использования (многие продукты слишком сложны в использовании), затруднение процесса осознания рисков, так как расчет рисков выполняется автоматически и скрыт от пользователя.
На российском рынке предлагается
большое количество
систем для оценки
и
управления информационными рисками: «RiskWatch», «RA2 art of risk», «vsRisk», «Microsoft Security Assessment Tool», «Digital Security Office», «Риск Менеджер (Авангард)» и т.д.
Подобрать продукт, лишенный всех перечисленных недостатков и в то же время полностью соответствующий требованиям международных стандартов, достаточно сложно.
Многие известные продукты либо не позволяют проводить полноценной оценки рисков (CORBA), а скорее являются средствами для анализа несоответствия требованиям стандарта ISO 27001, либо являются слишком сложными в использовании и дорогими (CRAMM).
Внедрение выбранного инструментального средства защиты, как компонента единой системы информационной безопасности должно быть экономически обосновано.
Список литературы
1.
Абугалипова, Л.Н. Информационные технологии: приоритетные направления развития [Текст] / Л.Н. Абугалипова, А.Г. Гусейнов, А.С. Дулесов. – Новосибирск: ЦРНС – Изд-во «Сибпринт», 2010. – 194 с.
2.
Вишняков, Я.Д., Радаев, Н.Н. Общая теория рисков [Текст] / Я.Д. Вишняков, Н.Н. Радаев. – М.:«Академия», 2008. – 368 с.
3.
Зегжда Д.
П. Безопасность современных высокопроизводительных систем [Текст]
/ Д. П. Зегжда, А.
В. Никольский. - Санкт-Петербург: «Изд-во Политехнического университета, Ч.1:Безопасность облачных вычислений, 2013. – 168 с.
4.
Зинкевич, В.А.
Управление операционным риском в банке: методология, практика,
рекомендации [Текст] / В. А. Зинкевич, Н. А. Козырева. – М.: «Регламент-Медиа», 2014. - 264 с.
5.
Каменнова А., Ферапонтов, М., Громов А. Моделирование бизнеса [Текст] / А. Каменнова, М. Ферапонтов, А. Громов. – М.: «Весть-МетаТехнология», 2000 - 327 с.
6.
Кораблев А.В. Концептуальный подход к формированию информационного обеспечения
системы управления организацией [Текст] / А.В. Кораблев // «Экономические науки». – 2012. – №6 (91). – С.177–180.
7.
Петрушова М.В. Факторы, определяющие выбор стратегии развития промышленного предприятия [Текст] / М.В. Петрушова // «СТАТИСТИКА И ЭКОНОМИКА». – 2007. – № 4. – С.22-26.
8.
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей [Текст] / В.Ф. Шаньгин.– М.: «Инфра-М», «Форум», 2011.
– 416 с.
9.
Шеер, А. Моделирование бизнес-процессов [Текст] / А. Шеер. – М.: «Весть-МетаТехнология», 1999. – 152 с.
10. Шеер, А. Бизнес-процессы. Основные понятии. Теория. Методы [Текст] / А. Шеер. – М.: «Весть- МетаТехнология», 2000. – 356 с.
