Развитие информационных технологий в кредитных организациях

Системы электронной обработки данных существенно влияют как на организацию бухгалтерского учета в целом, так и на отдельные процедуры учета. Этим системам присущи следующие специфические черты, как:

· заданность;

· автоматический контроль;

· однократный ввод информации в несколько файлов одновременно;

· операции внутри системы электронной обработки данных или автоматические записи;

· трудности в обеспечении сохранности записей.

Системы электронной обработки данных не допускают технических и вычислительных ошибок, однако, они лишены возможности гибкого реагирования на изменения правил учета и условий деятельности кредитной организации, а надежность информации, обработанной в этих системах, полностью зависит от их построения и программного обеспечения.

Система электронной обработки данных позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослеживаются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов и т.п., которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.

В условиях электронной обработки ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов. Данная особенность систем электронной обработки данных значительно увеличивает влияние ошибки ввода на банковскую информацию, так как неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.

Некоторые проводки могут генерироваться системой электронной обработки данных самостоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей и расчетов, которые к тому же сложно обнаружить из-за отсутствия специальных регистров или документов. Например, автоматическое начисление процентов по выданным ссудам или по привлеченным вкладам.

Многие базы данных могут храниться только в электронной форме, что увеличивает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.

Учитывая вышеизложенное, можно сделать вывод о том, что использование систем электронной обработки данных непосредственно оказывает влияние на финансовое состояние кредитной организации.

Более того, активное использование в последние годы системы безналичных расчетов через расчетную сеть Банка России и путем установления между кредитными организациями прямых корреспондентских отношений приводит к увеличению риска искажения информации о совершаемых операциях, как на этапе формирования электронных посылок, так и на этапе приема-передачи и обработки их банком-корреспондентом. Таким образом, под угрозой может оказаться финансовое состояние не только кредитной организации - отправителя платежа, но и коммерческого банка (отделения, филиала) - получателя (исполнителя) платежа. Иногда могут быть затронуты интересы финансовой системы региона в целом - например при активной передаче ресурсов филиалов кредитных организаций в свои головные офисы, находящиеся за пределами данного региона.

В заключение, можно сделать вывод о том, что использование систем электронной обработки данных должно находиться под постоянным контролем со стороны руководства кредитной организации и службы внутреннего контроля. Неоднократное невыполнение кредитной организацией требований законодательных актов и нормативных документов Банка России, регламентирующих использование систем электронной обработки данных, может служить основанием для вывода о некомпетентности руководства и специалистов.

Глава 2. Процесс построения информационных технологий в кредитных организациях

2.1 Стадии и этапы создания автоматизированных систем, состав эксплуатационной и проектной документации

Процесс создания автоматизированных систем (далее по тексту - АС) представляет собой совокупность упорядоченных во времени, взаимосвязанных, объединённых в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АС, соответствующей заданным требованиям.

Стадии и этапы создания АС выделяются как части процесса создания по соображениям рационального планирования и организации работ, заканчивающихся заданным результатом.

Выделяются следующие стадии и этапы создания АС (таблица 2).

Таблица 2 Стадии и этапы создания АС

Стадии	Этапы работ
1.Формирование требований к АС.	1.1.Обследование объекта и обоснование необходимости создания АС. 1.2.Формирование требований пользователя к АС. 1.3.Оформление отчёта о выполненной работе и заявки на разработку АС (тактико-технического задания).
2.Разработка концепции АС.	2.1.Изучение объекта. 2.2.Проведение необходимых научно-исследовательских работ. 2.3.Разработка вариантов концепции АС, удовлетворяющего требованиям пользователя. 2.4.Оформление отчёта о выполненной работе.
3.Техническое задание.	Разработка и утверждение технического задания на создание АС.
4.Эскизный проект.	4.1.Разработка предварительных проектных решений по системе и её частям. 4.2.Разработка документации на АС и её части.
5.Технический проект.	5.1.Разработка проектных решений по системе и её частям. 5.2.Разработка документации на АС и её части. 5.3.Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку. 5.4.Разработка заданий на проектирование в смежных частях проекта объекта автоматизации.
6.Рабочая документация.	6.1.Разработка рабочей документации на систему и её части. 6.2.Разработка или адаптация программ.
7.Ввод в действие.	7.1.Подготовка объекта автоматизации к вводу АС в действие. 7.2.Подготовка персонала. 7.3.Комплектация АС поставляемыми изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями). 7.4.Строительно-монтажные работы. 7.5.Пусконаладочные работы. 7.6.Проведение предварительных испытаний. 7.7.Проведение опытной эксплуатации. 7.8.Проведение приёмочных испытаний.
8.Сопровождение АС.	8.1.Выполнение работ в соответствии с гарантийными обязательствами. 8.2.Послегарантийное обслуживание.

В процессе создания автоматизированных систем разрабатывается проектная и эксплуатационная документация на основе стандартов и ГОСТОВ.

В состав проектной документации входят следующие документы:

· техническое задание;

· эскизный проект;

· технический проект;

· рабочий проект;

· программа и методика испытаний.

1. Техническое задание:

- концепция + черный ящик - Расчетно - кассовое обслуживание физических и юридических лиц;

- кредиты и депозиты;

- документарные операции;

- собственные операции на финансовых рынках и брокерское обслуживание, анализ рыночной информации;

- обязательная отчетность и функции налогового агента;

- межбанковские платежи;

- управление рисками (скрытая функция), контроль ликвидности;

- внутренний контроль;

- хозяйственные операции;

- customer relationship management, максимальное количество ограничений;

- основные функции системы (корректность формулировки пользователя и исполнителя функции);

- состав пользователей системы, с выполняемыми операциями, печатаемыми отчетами и формами ввода;

- состав взаимодействующих систем и протоколов обмена;

- описание печатаемых и отображаемых форм;

- эксплуатационные требования;

- сроки реализации, финансирование (опция);

- методы контроля полноты (проверка по штатному расписанию, проектные проверки).

2. Эскизный проект, технический проект:

- соответствие предыдущим документам;

- структурная схема (первый уровень декомпозиции - основные блоки и связи между ними);

- функциональная схема (основные блоки с функциями и связи между ними с указанием типа);

- схема информационного обеспечения (узлы хранения информации и ее преобразование).

3. Рабочий проект:

- соответствие предыдущим документам;

- состав системного программного и аппаратного обеспечения;

- конфигурация сетевого подключения;

- полная схема информационного обеспечения;

- средства защиты информации (распределение прав доступа к данным и функциям);

- технологический порядок использования.

4. Программа и методика испытаний:

- полный состав операций по пользователям в соответствии с рабочим проектом;

- проверка подключений;

- частные и комплексные испытания;

- состав комиссии, сроки, территория;

- состав эксплуатационной документации;

- описание стенда;

- конфликт интересов в рамках испытаний (заказчик - принимающая сторона).

Виды эксплуатационных документов и их содержание приведены в (таблице 3).

Таблица 3 Виды эксплуатационной документации

Вид эксплуатационного документа	Содержание эксплуатационного документа
	Перечень эксплуатационных документов на программу
Формуляр	Основные характеристики программы, комплектность и сведения об эксплуатации программы
Описание применения	Сведения о назначении программы, области применения, применяемых методах, классе решаемых задач, ограничениях для применения, минимальной конфигурации технических средств
Руководство системного программиста	Сведения для проверки, обеспечения функционирования и настройки программы на условия конкретного применения
Руководство программиста	Сведения для эксплуатации программы
Руководство оператора	Сведения для обеспечения процедуры общения оператора с вычислительной системой в процессе выполнения программы
Описание языка	Описание синтаксиса и семантики языка
Руководство по техническому обслуживанию	Сведения для применения тестовых и диагностических программ при обслуживании технических средств

2.2 Зрелость информационных технологий организации и управление техническими рисками по модели CRAMM

Под управлением информационными рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

Наличие системы управления рисками является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла ИТ.

В соответствии с одной из моделей организации с позиции их зрелости, предлагаемой Carnegie Mellon University, выделяется 5 уровней зрелости (Приложение Б) которым, как правило, соответствует различное понимание проблем информационной безопасности организации. Проблема обеспечения режима информационной безопасности, управления информационными рисками будет ставиться и решаться для организаций, находящихся на разных уровнях развития, по-разному.

На первом уровне она, как правило, руководством формально не ставится. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно.

На втором уровне проблема обеспечения информационной безопасности, решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не ставится. Таким образом, постепенно складывается неформальный список актуальных для организации классов рисков, который постепенно пополняется.

Если серьезных инцидентов не происходило, руководство организации, как правило, считает вопросы информационной безопасности не приоритетными. В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а проблема поиска других возможных брешей в защите, может быть осознана руководством.

На третьем уровне в организации считается целесообразным следовать в той или иной мере стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, международным стандартом ISO 17799), вопросам документирования уделяется должное внимание.

Технология управления режимом информационной безопасности в полном варианте включает следующие элементы:

· Документирование информационной системы организации с позиции информационной безопасности;

· Категорирование информационных ресурсов с позиции руководства организации;

· Определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию;

· Анализ рисков;

· Управление рисками на всех этапах жизненного цикла;

· Аудит в области информационной безопасности.

На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим информационной безопасности. На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков. Риски, как правило, оцениваются по нескольким критериям.

Технология управления режимом информационной безопасности остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер при управлении рисками.

На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности. Примеры постановок задач:

· Выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков;

· Выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;

· Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

Анализ распределения организаций по уровням зрелости показывает, что более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в управлении информационными рисками.

Организации третьего уровня зрелости (около 40% общего числа), использующие какие-либо подходы к оценке системы информационной безопасности, применяют стандартные рекомендации и руководства, относящие к базовому уровню информационной безопасности. Эти организации используют или планируют использовать систему управления рисками базового уровня на всех стадиях жизненного цикла информационной технологии.

Организаций, относящихся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа, используют разнообразные "углубленные" методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнительные возможности, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

В России доля организаций, относящихся к третьему, четвертому и пятому уровню зрелости, еще меньше. Соответственно, наиболее востребованными в настоящее время являются простейшие методики управления информационными рисками базового уровня.

Потребителями количественных методик анализа рисков в России являются в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные ресурсы в разработку собственных количественных методик.

1. Современные концепции управления рисками.

Организации, начиная с третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов, организации, специализирующиеся в решении комплексных проблем информационной безопасности, предложили схожие концепции управления информационными рисками.

Система управления рисками должна быть интегрирована в систему управления жизненным циклом информационной системы.

Стандарты, регламентирующие аспекты управления информационными рисками:

· Британский BS 7799 (ISO 17799);

· Германский BSI;

· США NIST 800-30.

Концепции, положенные в основу этих стандартов, близки и рассматриваются на примере стандарта NIST 800-30.

Система управления информационными рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий и обеспечить возможность выполнения основных бизнес - целей предприятия.

Система управления информационными рисками должна быть интегрирована в систему управления жизненным циклом информационной технологии (таблица 4).

Таблица 4 Фазы жизненного цикла ИТ

Фаза жизненного цикла информационной системы	Соответствие фазе управления рисками
1.Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документирование).	Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ.
2.Проектирование ИС.	Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС).
3.Создание ИС: поставка элементов, монтаж, настройка и конфигурирование.	До начала функционирования ИС должны быть идентифицированы и приняты во внимания все классы рисков.
4.Функционирование ИС.	Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС.
5.Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются).	Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам.

Технология управления рисками включает в себя основные стадии рассмотренные в (Приложении В).

Организацией MITRE была предложена концепция управления рисками при построении не только информационных систем. В целом эта концепция близка к рассмотренной выше. MITRE бесплатно распространяет простейший инструментарий на базе электронной таблицы, предназначенный для использования на этапе идентификации и оценки рисков, выбора возможных контрмер в соответствии с этой концепцией - "Risk Matrix".

В данной концепции риск не разделяется на составляющие части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Например, в России, в настоящее время, на этапе анализа рисков (если он вообще выполняется) весьма распространено построение модели нарушителя с прямой экспертной оценкой рисков. По этой причине, простейшие методики и инструменты типа "Risk Matrix", наиболее востребованы в настоящее время на Российском рынке.

Опубликованные документы различных организаций, касающиеся управления рисками, не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке применимых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов. Таким образом, невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками.

Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками и возможные подходы к их решению.

В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости). Естественным требованием к списку является его полнота.

Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка.

На базовом уровне безопасности (третий уровень зрелости организации) специальных требований к детализации классов, как правило, не предъявляется и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков.

Примером является Германский стандарт BSI, в котором имеется каталог угроз применительно к различным элементам информационной технологии.

Оценка величины рисков не рассматривается, что приемлемо для некоторых разновидностей методик базового уровня.

Списки классов рисков содержатся в некоторых руководствах, в специализированном программном обеспечении анализа рисков. Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают всё существующее множество рисков.

Недостаток - сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким классам рисов.

Рассмотрим следующие аспекты оценки рисков:

· Шкалы и критерии, по которым можно измерять риски;

· Оценка вероятностей событий;

· Технологии измерения рисков.

Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы может быть прямыми или косвенными. Примерами прямых шкал являются шкалы для измерения физических величин, например - литры для измерения объемов, метры для измерения длины.

В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующих нас, либо определять новые шкалы. Примером является шкала для измерения субъективного свойства "ценность информационного ресурса". Она может измеряться в производных шкалах, таких как стоимость восстановления ресурса, время восстановления ресурса и других. Другой вариант - определить шкалу для получения экспертной оценки, например имеющую три значения:

· Малоценный информационный ресурс, от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;

· Ресурс средней ценности, от него зависит ряд важных задач, но в случае его утраты он может быть восстановлен за время менее критически допустимого, стоимость восстановления высокая;

· Ценный ресурс, от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.

Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям.

Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например персонального компьютера (далее ПК), за определенный промежуток времени.

Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень.

В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:

· Оценка должна отражать субъективную точку зрения владельца информационных ресурсов;

· Должны быть учтены различные аспекты, не только технические, но и организационные, психологические, и т.д.

Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК, можно использовать либо прямую экспертную оценку, либо определить функцию, отображающую объективные данные в субъективную шкалу рисков.

Процесс получения субъективной вероятности принято разделять на три этапа:

· подготовительный этап;

· получение оценок;

· этап анализа полученных оценок.

Первый этап. Во время этого этапа формируется объект исследования - множество событий, приводится предварительный анализ свойств этого множества. На основе такого анализа выбирается один из подходящих методов получения субъективной вероятности.

На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.

Третий этап состоит в исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и производится уточнение ответов с целью их соответствия аксиомам.

Для некоторых методов получения субъективной вероятности третий этап не проводится, поскольку сам метод состоит в выборе вероятного распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов.

Существует ряд подходов к измерению рисков. Рассмотрим наиболее распространенные:

· Оценка по двум факторам;

· Оценка по трем факторам.

В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = P происшествия * ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами - риск это оценка математического ожидания потер.

Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин.

Определятся субъективная шкала вероятностей событий, пример такой шкалы:

A - Событие практически никогда не происходит;

B - Событие случается редко;

C - Вероятность события за рассматриваемый промежуток времени - около 0.5;

D - Скорее всего, событие произойдет;

E - Событие почти обязательно произойдет;

Кроме того, определяется субъективная шкала серьезности происшествий, например:

N (Negligible) - Воздействием можно пренебречь;

Mi (Minor) - Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию - незначительно.

Mo (Moderate) - Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.

S (Serious) - Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.

C (Critical) - Происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений:

· Низкий риск;

· Средний риск;

· Высокий риск.

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так (таблица 5).

Таблица 5 Определение риска в зависимости от двух факторов

	Negligible	Minor	Moderate	Serious	Critical
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
B	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
C	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
D	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
E	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.

Подобный подход к оценке рисков достаточно распространен.

При разработке методик оценивания рисков необходимо учитывать следующие особенности:

· Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;

· Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки.

Подобные методики широко применяются при проведении анализа рисков базового уровня.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом:

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации;

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимости:

Р происшествия = Р угрозы * Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Показатель риска может измеряется в шкале от 0 до 8 со следующими определениями уровней риска.(таблица 6).

Таблица 6 Определение риска в зависимости от трех факторов

В данной таблице уровни уязвимости Н, С, В означают соответственно низкий, средний и высокий уровень. Подобные таблицы используются как в "бумажных" вариантах методик оценки рисков, так и в различного рода инструментальных средствах - программным обеспечением анализа рисков.

В последнем случае матрица задается разработчиками программного обеспечения и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

Для оценки угроз и уязвимости используется различные методы, в основе которых могут лежать:

· Экспертные оценки;

· Статистические данные;

· Учет факторов, влияющих на уровни угроз и уязвимости.

Один из возможных подходов к разработке подобных методик - накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимости. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

В организациях, достигнувших определенной степени зрелости, проведение анализа рисков, управление рисками на всех стадиях жизненного цикла информационной технологии, являются обязательными элементами в системе мероприятий по обеспечению режима информационной безопасности. Требования к проведению этих этапов, предъявляемые разными организациями, различаются и находятся в широких пределах. Соответственно, используются различные технологии анализа рисков.

Разработка методик анализа рисков связана с рядом методологических сложностей. Наибольшую сложность представляют:

· Разработка корректных процедур измерения рисков;

· Построение модели информационной технологии с системных позиций, учитывающей разноплановые факторы, относящиеся к организационному, процедурному, программно-техническому уровню, а также их взаимосвязи.

В настоящее время на рынке имеется программное обеспечение, реализующее различные методики анализа рисков. Это программное обеспечение можно использовать в качестве инструментария аналитика. Однако одного "лучшего" универсального метода не существует, в каждом случае требуется выбирать подходящее программное обеспечение и настраивать его в соответствии со спецификой объекта исследования. По этой причине "бумажные" методики весьма распространены.

В России технологии анализа рисков, управления рисками начали применяться на практике. Многие фирмы, специализирующиеся в вопросах информационной безопасности, предлагают услуги в этой области. Однако объективно оценить качество используемых методик, качество проведенных исследований сложно, поскольку отечественных стандартов (типа BS 7799) в этой области не существуют.

Понятия "оценка рисков" и "управление рисками" появились сравнительно недавно и сегодня вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. Примерно с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам управления информационными рисками. Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 17799-2002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином "управление информационными рисками" обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно - правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800 - 30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Давайте рассмотрим некоторые качественные и количественные международные методики управления информационными рисками, обращая основное внимание на возможность их адаптации и применения в отечественных условиях.

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни.

Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какой из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E-mail) выбрать с учетом известных ограничений бизнес ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования. На практике такие методики управления рисками позволяют:

· Создавать модели информационных активов компании с точки зрения безопасности;

· Классифицировать и оценивать ценности активов;

· Составлять списки наиболее значимых угроз и уязвимости безопасности;

· Ранжировать угрозы и уязвимости безопасности;

· Обосновывать средства и меры контроля рисков;

· Оценивать эффективность-стоимость различных вариантов защиты;

· Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM. В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (CCTA) Великобритании начало исследования существующих методов управления информационной безопасностью для выдачи рекомендаций по их использованию в правительственных организациях, обрабатывающих конфиденциальную информацию. Ни один из рассмотренных методов не подошел.

Поэтому сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированной на требования различных государственных и коммерческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются:

· Формализация и автоматизация процедур анализа и управления рисками;

· Оптимизация расходов на средства контроля и защиты;

· Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;

· Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;

· Обоснование эффективности предлагаемых мер защиты и средств контроля;

· Управление изменениями и инцидентами;

· Поддержка непрерывности бизнеса;

· Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике CRAMM осуществляется в несколько этапов.

Основные этапы управления рисками в CRAMM

На первом этапе инициации определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций. На этапе идентификации и оценки ресурсов четко идентифицируются активы, и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты. На этапе оценки угроз и уязвимости идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап анализа рисков позволяет получить качественные и количественные оценки.

На этапе управления рисками предлагаются меры и средства уменьшения или уклонения от риска. Для наглядности возможности CRAMM предлагаем рассмотреть следующий пример. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис.1).

Рисунок 1 Схема анализируемой информационной системы

В этой схеме условно выделим следующие элементы системы:

· рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;

· почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;

· сервер обработки, на котором установлена СУБД;

· сервер резервного копирования;

· рабочие места группы оперативного реагирования;

· рабочее место администратора безопасности;

· рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Теперь необходимо провести анализ рисков с помощью методики CRAMM и предложить некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи используют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End-User-Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.

Идентификация физических ресурсов

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

· недоступность ресурса в течение определенного периода времени;

· разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

· нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

· модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

· ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Построение модели информационной системы с точки зрения безопасности

Для оценки возможного ущерба предлагается использовать следующие критерии:

· ущерб репутации организации;

· нарушение действующего законодательства;

· ущерб для здоровья персонала;

· ущерб, связанный с разглашением персональных данных отдельных лиц;

· финансовые потери от разглашения информации;

· финансовые потери, связанные с восстановлением ресурсов;

· потери, связанные с невозможностью выполнения обязательств;

· дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2- негативная реакция отдельных чиновников, общественных деятелей;

4- критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6- негативная реакция отдельных депутатов Думы, Совета Федерации;

8- критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10- негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2- минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4- ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);

6- серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

...