Расчет информационных рисков.
Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:
1. стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;
2. мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 — максимальная (ресурс требует полной замены после реализации угрозы);
3. оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
· оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:
SLE = AV x EF; (1)
· итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле:
ALE = SLE x ARO. (2)
Таким образом, конечная формула расчета рисков представляет собой произведение:
ALE = ((AV x EF = SLE) x ARO). (3)
Как видим, большинство из описанных параметров принимается на основе мнения эксперта. Это связано с тем, что количественная оценка вероятности реализации угрозы затруднена ввиду относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего не проводится, и тогда оценка параметра SLE затруднена [34].
Методики управления рисками.
После проведения первичной оценки рисков полученные значения следует систематизировать по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий. Риск может быть:
- принят (assumption), т. е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
- снижен (mitigation) — с целью уменьшения величины риска будут приняты определенные меры;
- передан (transference) — компенсацию потенциального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск — с более низким значением — путем внедрения специальных механизмов.
Некоторые методики дополнительно предусматривают еще один способ управления — "упразднение" (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).
После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже — передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние — в диапазоне от 8 до 13, высокие — в диапазоне от 14 до 18.
Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно к EF и SLE, так как AV (стоимость ресурса) — фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф "конфиденциально" в силу каких-либо причин может быть снят. В результате стоимость ресурса автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно уменьшить путем фиксации ответственности сторон в договорном порядке. В этом случае считается, что стороны предупреждены об ответственности, которую может повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается [27].
Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.
Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.
Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).
Этапами анализа информационных рисков являются:
• классификация информационных ресурсов по критериям безопасности;
• оценка стоимости ресурсов;
• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;
• определение перечня возможных атак на объект защиты и механизмов их реализации;
• оценивание возможного ущерба и последствий реализации угроз;
• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;
• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.
Результат выполнения:
• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.
• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
Оценка информационных рисков.
Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.
Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.
Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.
1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.
2. Подбор, приобретение и внедрение программного обеспечения (ПО).
3. Регламентирование бизнес-процессов.
4. Поддержание технологии в актуальном состоянии.
5. Ведение данных.
6. Сопровождение ПО.
Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.
Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.
Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].