авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:   || 2 | 3 | 4 |
-- [ Страница 1 ] --

РОССИЙСКАЯ АКАДЕМИЯ НАУК

Институт проблем управления

им. В.А. Трапезникова

А.О. КАЛАШНИКОВ

ОРГАНИЗАЦИОННЫЕ МЕХАНИЗМЫ УПРАВЛЕНИЯ

ИНФОРМАЦИОННЫМИ РИСКАМИ КОРПОРАЦИЙ

Под редакцией д.т.н., проф. Д.А. Новикова

Москва

2008

УДК 519

ББК 32.81

КАЛАШНИКОВ А.О. Организационные механизмы управления

информационными рисками корпораций. - М.: ПМСОФТ, 2008. – 175 с.

ISBN 978-5-9900281-9-7 Монография посвящена вопросам анализа и синтеза механизмов управления информационными рисками корпораций с использованием организационных мер, осуществляемых руководством корпорации и связанных с выделением и эффективным распределением ресурсов.

Рассматриваются имитационные, оптимизационные и теоретико-игровые модели и методы.

Для научных работников, специализирующихся в области управления социально-экономическими системами и информационной безопасности, а также менеджеров и руководителей фирм.

Рецензент: д.т.н., проф. А.Ю. Силантьев Рекомендовано к изданию Редакционным советом ИПУ РАН ISBN 978-5-9900281-9- УДК ББК 32. © Калашников А.О., СОДЕРЖАНИЕ Введение....................................................................................................................... 1. Общие вопросы управления информационными рисками................................ 1.1. Основные понятия информационной безопасности............................. 1.1.1. Актуальность вопросов информационной безопасности....... 1.1.2. Цели обеспечения информационной безопасности.................. 1.1.3. Угрозы информационной безопасности................................... 1.1.4. Меры обеспечения информационной безопасности................ 1.2. Управление информационными рисками.............................................. 1.2.1. «Уровень зрелости» компании и управление информационны ми рисками............................................................................................. 1.2.2. Этапы управления информационными рисками...................... 1.2.3. Модель системы управления информационными рисками..... 2. Организационное управление информационными рисками............................. 2.1. Структура и меры организационного управления информационными рисками............................................................................................................. 2.1.1. Организационная структура..................................................... 2.1.2. Основные организационные меры.

............................................. 2.1.3. Особенности управления информационными рисками в зави симости от организационной структуры......................................... 2.2.. Постановка задачи организационного управления информационными рисками............................................................................................................. 3. Механизмы управления информационными рисками для случая полной ин формированности центра......................................................................................... 3.1. Анализ задачи для модели «сильный центр - слабые агенты»............ 3.2. Арбитражное решение............................................................................. 3.3. Арбитражное решение в частных случаях............................................. 3.4. Анализ «пропорционального» решения................................................. 4. Механизмы управления информационными рисками для случая ассиметрич ной информированности центра и агентов............................................................ 4.1. Модель «средний центр – средние агенты»........................................... 4.2. Модель «слабый центр – сильные агенты».......................................... 5. Практическая реализация организационных механизмов управления инфор мационными рисками............................................................................................. 5.1. Алгоритм выбора эффективного проекта системы информационной безопасности.................................................................................................. 5.2. Алгоритмы определения значений базовых параметров управления информационными рисками......................................................................... 5.3. Методика организации проектных работ в области информационной безопасности и оценки информационных рисков...................................... Заключение............................................................................................................... Литература................................................................................................................ ВВЕДЕНИЕ Эффективное управление в настоящее время является ключевым требова нием, предъявляемым к предприятиям и организациям со стороны рынка. По стоянные перемены (прежде всего в экономической среде) ведут к непрерыв ному поиску и совершенствованию стратегии и тактики ведения бизнеса. С другой стороны, в современных условиях невозможно достичь эффективного ведения бизнеса без использования информационных технологий (ИТ), кото рые, в свою очередь, бурно и интенсивно развиваются именно под воздействи ем стоящих перед бизнесом стратегических и тактических задач [69].

За последнее десятилетие в сфере применения ИТ произошли коренные изменения. Эти перемены принесли бизнесу существенную выгоду, однако при этом они потребовали и гораздо более серьезного внимания к сфере информа ционной безопасности (ИБ) со стороны правительств, коммерческих предпри ятий, иных организаций и частных пользователей, которые разрабатывают ин формационные системы и сети, владеют ими, предоставляют их в пользование, управляют ими, обслуживают или используют их. К основным факторам, опре деляющим необходимость взвешенного подхода к указанной проблеме, можно отнести, в первую очередь, постоянно возрастающее количество информацион ных угроз и рисков, а также недостаточный уровень обеспечения ИБ в сущест вующих и проектируемых информационных системах (ИС).

Риск и опасность потерь присущи любой экономической деятельности. Из всего разнообразия рисков в настоящее время особо выделяются риски инфор мационные, которые реализуются через уязвимости в современных ИС, под держивающих различные виды деятельности экономического субъекта (управ ленческий, производственный, сбытовой, инвестиционный, торговый, кредит ный и т.д.). Существование информационных рисков делает в свою очередь не обходимым управление ими. Управление информационными рисками, одним из элементов которого является обеспечение защиты информации (под которой в соответствии с международным стандартом ISO/ IEC 17799 «Управление ин формационной безопасностью» будем понимать обеспечение для защищаемой информации таких ее свойств как конфиденциальность, целостность и дос тупность), определяет возможность обеспечения устойчивости экономическо го объекта, его способности противостоять неблагоприятным ситуациям.

Управление информационными рисками должно быть неотъемлемым элемен том экономической стратегии и тактики организации. Ключевым элементом управления информационными рисками является эффективная методология их снижения за счет реализации определенных контрмер, направленных на ликви дацию уязвимостей и угроз в ИС, которая делает возможным повышение общей (в том числе – финансовой) безопасности предприятия. Основой указанной ме тодологии должен стать механизм эффективного использования имеющихся в наличии ресурсов (финансовых, организационных, технологических и т.д.).

Однако зачастую возникают ситуации, когда финансовых (или иных ре сурсов) для полного решения всех проблем недостаточно и приходится либо осуществлять снижение всех информационных рисков поэтапно, либо пытаться бороться с отдельными наиболее значимыми угрозами. В результате, перед ру ководителем организации возникает задача эффективного распределения ре сурсов для снижения информационных рисков.

Несмотря на то, что проблемам риска в экономике, посвящено большое количество монографий как российских [9, 27, 37, 43, 120, 131, 132], так и зару бежных [13, 104, 125] ученых, в большинстве из них информационный риск, как отдельная категория, не рассматривается или рассматривается крайне узко, как риск, связанный с нарушением конфиденциальности информации [5, 30, 50, 86, 119, 133, 134].

В свою очередь, управление ИБ (Information Security Management) является той областью, необходимость теоретического осмысления которой была осоз нана относительно недавно. Первые исследования в этой области начались в конце 1980-х г.г., а к концу 1990-х г.г. появились первые национальные и меж дународные стандарты (ISO/IEC 17799, BSI). Однако факт появления стандар тов (в том числе, действующего с 2005 г. ISO/IEC 27001) в настоящее время не означает, что в области управления ИБ решены все проблемы. Напротив, зада чи управления ИБ усложняются с каждым днем по мере все более интенсивного использования ИТ практически во все сферах человеческой деятельности [108].

Проблемам управления ИБ посвящены работы российских [7, 22, 39, 44-46, 49, 70, 76, 80, 96, 98, 100, 108, 117, 122, 128] и зарубежных авторов [11, 152]. Боль шинство указанных работ касается конкретных вопросов реализации тех или иных механизмов ИБ, при этом организационные механизмы управления ИБ оказываются «за кадром».

Говоря об управлении информационными рисками невозможно обойти во прос об эффективности создаваемых при этом систем ИБ. И в последние не сколько лет появилось достаточно большое число работ, в которых рассматри вается эта проблема. В частности, вопросам создания эффективных систем ИБ посвящены работы [8, 10, 14-16, 29, 36, 81, 84, 94, 97, 99, 101, 102, 109, 123] (бо лее подробно см. обзор в разделе 1.2.2). В указанных работах при рассмотрении вопросов построения эффективных систем ИБ, как правило, предполагается, что все ресурсы, требуемые для построения системы ИБ, имеются в наличии, а задача снижения потерь от реализации информационных рисков рассматрива ется как некая задача оптимизации общего количества ресурса необходимого для реализации контрмер направленных на снижение информационных рисков до допустимого уровня [100].

Однако на практике, при решении задачи снижения уровня информацион ных рисков руководителям организаций, как правило, приходится сталкиваться с тем или иным дефицитом ресурсов, предназначенных для этих целей. В таком случае встает вопрос об эффективном использовании имеющегося в наличии ресурса. Особенно актуальным этот вопрос становится для корпораций (корпо рация – от позднелатинского «corporatio» – объединение: 1) объединение, союз, общество;

2) в праве – совокупность лиц, объединившихся для достижения ка кой-либо цели, является юридическим лицом), представляющие собой, как пра вило, территориально распределенные организации со сложной многоуровне вой системой организационного управления. Для таких организаций на первый план выходит задача оптимальном распределении ресурса. Вопросам опти мального распределения ресурсов посвящено значительное количество работ как российских, так и зарубежных авторов [17, 19, 21, 55, 71, 79, 88, 95, 139, 141-142, 145-146] (более подробно см. обзор в разделе 4.1). Значительное число исследований посвящено корпоративному управлению [19, 69, 82, 110, 135].

Однако в данных работах практически не уделялось внимания информацион ным рискам (в отличие от промышленной безопасности [20], экологической безопасности [22, 26], финансовых рисков [3] и т.д.).

Таким образом, подводя итог, можно констатировать, что в настоящее время, несмотря на большое количество работ различных авторов, проблема ор ганизационного управления информационными рисками в условиях дефицита корпоративных ресурсов исследована недостаточно глубоко, что обусловливает необходимость дальнейшей разработки и исследования соответствующих орга низационных механизмов (процедур принятия управленческих решений в ор ганизации) эффективного управления информационными рисками корпораций.

Достижение поставленной цели требует последовательного решения сле дующих задач:

1. Исследование специфики информационных рисков корпораций как объ екта управления. Изучение особенностей системы управления информацион ными рисками в зависимости от организационной структуры корпораций. Раз работка системы классификаций задач организационного управления информа ционными рисками корпораций.

2. Разработка и исследование моделей и методов анализа и синтеза орга низационных механизмов управления информационными рисками в зависимо сти от организационной структуры корпораций, включая следующие типовые структуры и соответствующие им модели: бюрократическая («сильный центр – слабые агенты»), переходная («средний центр – средние агенты») и органиче ская («слабый центр – сильные агенты»).

3. Разработка методов построения эффективной комплексной системы обеспечения ИБ (КСОИБ) корпорации и определения значений базовых пара метров управления информационными рисками.

4. Разработка методики организации работ в области информационной безопасности и оценки информационных рисков.

Основным методом исследования, использованным в данной работе, явля ется математическое моделирование с использованием подходов и результатов системного анализа, теории принятия решений, имитационного моделирования, теории игр и теории активных систем.

Первая глава книги начинается с рассмотрения общих проблем обеспече ния ИБ корпорации, в том числе, актуальности обеспечения ИБ для современ ных корпораций, основных целей и задач обеспечения ИБ, информационных угроз, а также видов и взаимосвязи мер обеспечения ИБ (контрмер). Далее рас сматривается управление информационными рисками корпораций в целом, при этом основное внимание уделяется вопросам зависимости организации управ ления информационными рисками от «уровня зрелости» корпораций, основным этапам жизненного цикла управления информационными рисками и модели по строения КСОИБ корпораций.

Во второй главе рассматриваются вопросы организационного управления информационными рисками корпораций, как ключевого элемента обеспечения ИБ корпораций. При этом основное внимание уделяется организационной структуре системы обеспечения ИБ, основным организационным мерам по управлению информационными рисками и особенностям системы управления информационными рисками в зависимости от организационной структуры кор пораций (бюрократической, переходной и органической).

Затем приводится формальная постановка задачи организационного управ ления информационными рисками корпорации: определяется жизненный цикл основных организационных мер по управлению информационными рисками корпорации, основные свойства неизвестных функций риска, формулируются цели и критерии выбора решения.

Главы третья и четвертая посвящены изучению конкретных организацион ных механизмов управления информационными рисками, используемых для различных типов структур управления корпорациями, характеризующимися различиями во взаимоотношениях между головной компанией (центром) и ее подразделениями (агентами), в первую очередь – информированностью центра о действиях агентов. При этом каждая из базовых структур управления рас сматривается в рамках соответствующей модели взаимоотношений центр – агент: бюрократическая («сильный центр – слабые агенты») (глава 3), переход ная («средний центр – средние агенты») и органическая («слабый центр – сильные агенты») (глава 4).

В третьей главе проводится общий анализ задачи организационного управ ления информационными рисками корпорации в рамках модели «сильный центр – слабые агенты» в случае полной информированности центра. Форму лируется и обосновывается ряд естественных требований аксиоматического ха рактера, которым должно удовлетворять «хорошее» решение и доказывается, что класс таких решений не пуст (раздел 3.1). Рассматривается математическая модель общей арбитражной схемы, основанной на принципах «стимуляции и неподавления», обосновывается ее соответствие модели «сильный центр – слабые агенты» и доказывается существование и единственность решения спе циального вида: «максимально стимулирующего» решения (МС – решения), являющегося эффективным решением задачи распределения ресурса в рамках модели «сильный центр – слабые агенты» (раздел 3.2). Рассматривается ряд практически важных частных случаев в рамках модели общей арбитражной схемы, для которых удается получить МС – решение в конкретной аналитиче ской форме (раздел 3.3). Проводится анализ популярного «пропорционального»

решения с целью определения условий его монотонности, а так же условий ко гда «пропорциональное» решение оказывается одновременно МС – решением (раздел 3.4).

В четвертой главе, в разделе 4.1 проводится обзор результатов исследова ния механизмов распределения ресурса в условиях асимметричной информи рованности (неполной информированности центра и принятии им решений на основании информации, сообщаемой агентами). Приводится решение обратной задачи распределения ресурса – задачи нахождения минимального суммарного количества распределяемого ресурса, при котором диктаторами (получающими абсолютно оптимальное для себя количество ресурса) является заданное мно жество агентов, при условии, что предпочтения каждого агента зависят от того суммарного количества ресурса, которое подлежит распределению.

Далее, в разделе 4.2 рассматривается задача рефлексивного управления при распределении корпоративных ресурсов на мероприятия по повышению уровня ИБ в ситуации, когда подразделения корпорации (агенты) имеют иерар хию взаимных представлений о том, кому из них какое количество ресурса не обходимо. Приводится формулировка и решение задачи рефлексивного управ ления, позволяющее ответить на вопрос, какие представления о типах оппонен тов следует центру сформировать у агентов, чтобы агенты сообщили такие за явки (являющиеся стабильным информационным равновесием их игры), кото рые привели бы к требуемому центру распределению ресурса.

В пятой главе рассматриваются методы построения эффективных КСОИБ (реализации эффективных контрмер) в рамках выделенных агентам ресурсов и определения значений базовых параметров управления информационными рис ками, на основе использования моделей стохастического имитационного моде лирования. Там же приводится разработанная на основании результатов теоре тических исследований, представленных в предыдущих главах, «Методика ор ганизации проектных работ в области информационной безопасности и оценки информационных рисков».

Автор выражает признательность д.т.н., проф. Д.А.Новикову и д.т.н, проф.

А.Ю. Силантьеву за ценные замечания и предложения по структуре и содержа нию книги.

1. ОБЩИЕ ВОПРОСЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ В первой главе рассматриваются проблемы обеспечения ИБ корпорации (раздел 1.1) и управления ИБ корпораций в целом (раздел 1.2).

1.1. Основные понятия информационной безопасности В разделе 1.1 рассматриваются вопросы актуальности обеспечения ИБ для современных корпораций (раздел 1.1.1), основные цели обеспечения ИБ (раздел 1.1.2) и угрозы ИБ (раздел 1.1.3), а также виды и взаимосвязь мер обеспечения ИБ (контрмер) (раздел 1.1.4).

1.1.1. Актуальность вопросов информационной безопасности Эффективное управление в настоящее время является ключевым требова нием, предъявляемым к предприятиям со стороны рынка. Постоянные переме ны (прежде всего в экономической среде) ведут к непрерывному поиску и со вершенствованию стратегии и тактики ведения бизнеса. С другой стороны, в современных условиях невозможно достичь эффективного ведения бизнеса без использования ИТ, которые, в свою очередь, бурно и интенсивно развиваются под воздействием стоящих перед бизнесом стратегических и тактических задач [1, 69, 111].

За последнее десятилетие в сфере применения информационных систем и сетей, равно как и ИТ, в целом, произошли коренные изменения, которые при несли существенную выгоду, но и потребовали гораздо более серьезного вни мания к сфере ИБ.

Использование корпоративных информационных систем (КИС) с точки зрения бизнеса обеспечивает увеличение доходности, повышение конкуренто способности, улучшение качества обслуживания клиентов, снижение времени выпуска новых продуктов, полноту и непротиворечивость информации. С по зиции технологии обеспечивается консолидация данных и приложений, осуще ствляется естественная замена устаревших унаследованных систем. Однако эффективность КИС в первую очередь зависит от того, насколько она охваты вает все сферы современного предприятия [12, 69]. Пример КИС [105], автома тизирующей бизнес-процессы компании приведен на рисунке 1.1.1.1.

АВТОМАТИЗАЦИЯ ПРОЦЕССОВ КОМПАНИИ Пример Система планирования/бюджетирования Управленческая отчетность и KPI Системы управления компанией (ERP)- Бухгалтерия, Финансы, Кадры, Логистика IT- стратегия Системы имитационного моделирования Системы управления клиентами (CRM) Информационно-аналитические системы Системы документооборота АСУТП Системы управления поставками Инфраструктура и оборудование Телекоммуникации и сети Управление эксплуатацией, аутсорсинг Планирование и контроль Cтратегия развития Планирование Закупки Производство Сбыт Обслуживание … Информационные технологии Логистика … Финансы Управление кадрами Рис. 1.1.1.1. Пример КИС Из статистического обзора за 2000 г., подготовленным журналом Industry Week на основе данных, представленных лучшими европейскими и американ скими производственными предприятиями, в котором отражено использование различных ИТ в деятельности этих предприятий [105] следует, в частности, что использование интегрированных технологий производственного управления оказалось характерным для 84% предприятий, а их ежемесячные инвестиции в КИС и ИТ в разные годы составляли от 20 до 30% от валовой прибыли. Эта тенденция сохранилась до настоящего времени.

Современная КИС [12, 69, 78] представляет собой организационно- техни ческую систему, предназначенную для сбора, передачи, обработки, хранения и предоставления информации потребителям и состоящую из следующих компо нентов:

программного обеспечения (ПО);

информационного обеспечения;

технических средств (ТС);

обслуживающего персонала;

пользователей системы, объединенных по организационно-структурному, тематическому, технологиче скому или другим признакам для выполнения автоматизированной обработки информации (данных).

Пример компонентной архитектуры КИС [78] приведен на рисунке 1.1.1.2.

АВТОМАТИЗИРУЕМЫЕ ПРОЦЕССЫ ПРИКЛАДНЫЕ СИСТЕМЫ (КПС) Системы на базе Заказные Средства УПРАВЛЕНИ и ЭКСПЛУАТАЦИЯ серийных решений предложения разработки ПЛАТФОРМЕННАЯ ИНФРАСТРУКТУРА БЕЗОПАСНОСТЬ Операционные Дополн. Рабочие Офисное Серверы системы оборуд-е станции ПО СЕТЕВАЯ ИНФРАСТРУКТУРА Системы удаленного Сети передачи ЛВС СКС доступ данных ОБЕСПЕЧИВАЮЩИЕ СИСТЕМЫ Кондиционирование, Контроль ВЭС СГЭ пожаротушение доступа Рис. 1.1.1.2. Пример компонентной архитектуры КИС Здесь: КПС – корпоративные прикладные системы, ЛВС – локальные вы числительные сети, СКС – структурированная кабельная система, ВЭС – внеш ние электрические системы, СГЭ – системы гарантированного электропитания, ПО – программное обеспечение.

Экономическими предпосылками создания и использования КИС являются [12, 69]:

обеспечение гибкости рыночно-продуктовой стратегии;

эффективное взаимодействие с партнерами;

эффективная работа с клиентами;

эффективное управление ресурсами и процессами;

оперативное получение достоверной информации;

анализ больших информационных объемов.

В современных условиях руководителя предприятия интересует [12, 69]:

агрегация данных (а не обилие конкретных значений);

динамика, перспективы, тенденции (а не статика);

корпоративные решения (а не решения для подразделений);

минимальные затраты на поиск требуемой информации;

полнота и непротиворечивость информации;

аналитические срезы для поддержки принятия решений.

С их стороны к КИС в современных условиях предъявляются следующие основные требования [12, 69]:

решение всего комплекса задач бизнеса;

сбалансированная стоимость владения;

широкие функциональные возможности;

быстродействие и гибкость;

безопасность.

Современный уровень развития ИТ позволяет обеспечить следующие тре бования [1, 12, 69, 111, 116]:

функциональную полноту;

масштабируемость – система должна учитывать растущие потребно сти предприятия;

гибкость – система должна настраиваться на изменение бизнес про цессов и внешней среды;

стандартизацию и мобильность – компоненты системы должны функ ционировать на различных аппаратных и системных платформах, а также быть взаимозаменяемыми компонентами аналогичной функ циональности;

информационную безопасность;

экономическую эффективность;

независимость – с одной стороны, предприятие не должно попадать в зависимость от поставщиков, с другой – не содержать собственного штата разработчиков.

Следствием увеличения сложности ИС, числа связей и объемов обмена данными с другими ИС и сетями, является растущее количество и разнообразие угроз и факторов риска, которому подвергаются КИС.

Актуальность защиты КИС в современных условиях определяется сле дующими основными факторами [11-12, 31, 39, 49, 51, 70, 80, 128]:

• обострением противоречий между объективно существующими по требностями общества в расширении свободного обмена информаци ей и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;

• расширением сферы использования ИТ, многообразием и повсемест ным распространением информационно-управляющих систем, высо кими темпами увеличения парка средств вычислительной техники и связи;

• повышением уровня сложности автоматизированных систем управле ния и обработки информации и их территориальной распределенно стью в современных корпорациях;

• повышением уровня доверия к автоматизированным системам управ ления и обработки информации, использованием их в критических областях деятельности;

• вовлечением в процесс взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса;

• концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;

• количественным и качественным совершенствованием способов дос тупа пользователей к информационным ресурсам;

• отношением к информации, как к товару, переходом к рыночным от ношениям в области предоставления информационных услуг с при сущей им конкуренцией и промышленным шпионажем;

• многообразием видов угроз, включая бурное развитие и широкое рас пространение компьютерных вирусов, и возникновением новых воз можных каналов несанкционированного доступа к информации;

• ростом числа квалифицированных пользователей вычислительной техники, включая злоумышленников (специалистов-профессионалов в области вычислительной техники и программирования), и возможно стей по созданию ими нежелательных программно-математических воздействий на системы обработки информации;

• увеличением потерь (ущерба) от уничтожения, фальсификации, раз глашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов);

• отставанием в области создания стройной и непротиворечивой систе мы нормативного правового регулирования отношений в сфере нако пления, использования и защиты информации;

• отсутствием развитой теории и необходимых научно-технических и методических основ обеспечения защиты информации в современных условиях.

1.1.2. Цели обеспечения информационной безопасности В процессе своей деятельности различные субъекты:

государство (в целом или его отдельные органы и организации);

юридические лица (общественные или коммерческие организации и предприятия);

физические лица (отдельные граждане), могут находиться друг с другом в разного рода отношениях, в том числе, ка сающихся вопросов получения, хранения, обработки, распространения и ис пользования определенной информации. Такие отношения будем называть ин формационными отношениями, а самих участвующих в них субъектов – субъектами информационных отношений [39, 80].

Различные субъекты по отношению к определенной информации могут (возможно, одновременно) выступать в качестве (в роли) [39, 70, 80]:

• источников (поставщиков информации);

• потребителей (пользователей) информации;

• собственников, владельцев, распорядителей информации;

• физических и юридических лиц, о которых собирается информация;

• владельцев систем обработки информации;

• участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности по управлению объек тами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении [39, 49, 70, 80]:

• своевременного доступа (за приемлемое для них время) к необходи мой им информации и определенным автоматизированным службам или сервисам;

• конфиденциальности (сохранения в тайне) определенной части ин формации;

• достоверности (полноты, точности, адекватности, целостности) ин формации;

• защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

• защиты части информации от незаконного ее тиражирования (защи ты авторских прав, прав собственника информации и т.п.);

• разграничения ответственности за нарушения законных прав (инте ресов) других субъектов информационных отношений и установлен ных правил обращения с информацией;

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т.д.

Будучи заинтересованным в обеспечении хотя бы одного из вышеуказан ных требований субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или кос венного, материального или морального) посредством воздействия на критич ную для него информацию, ее носитель и процессы обработки либо посредст вом неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от разме ров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей ИБ (снижении информационных рисков).

Для обеспечения законных прав и удовлетворения перечисленных выше интересов субъектов (то есть обеспечения их ИБ) необходимо постоянно под держивать следующие свойства информации и систем ее обработки [39, 49, 70, 80, 100, 128,134]:

• доступность – свойство инфраструктуры, средств и технологий об работки, в которой циркулирует информация, которое характеризует способность обеспечивать своевременный доступ субъектов к интере сующей их информации и соответствующим автоматизированным службам и сервисам (готовность к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необ ходимость);

• целостность – свойство информации, которое заключается в ее су ществовании в неискаженном виде (неизменном по отношению к не которому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точ ности) отображения состояния предметной области и непосредствен но целостности информации, то есть ее неискаженности;

• конфиденциальность – субъективно определяемая (приписываемая) характеристика (свойство) информации, которая указывает на необхо димость введения ограничения на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы со хранять указанную информацию в тайне от субъектов, не имеющих прав доступа к ней.

Поскольку ущерб субъектам информационных отношений может быть на несен опосредованно, через определенную информацию и/или ее носители, то закономерно возникает заинтересованность субъектов в обеспечении безопас ности этой информации, ее носителей, а так же систем ее обработки, хранения и передачи. Отсюда следует, что в качестве объектов, подлежащих защите в целях обеспечения безопасности субъектов информационных отношений долж ны рассматриваться: информация, любые ее носители (отдельные компоненты КИС и КИС в целом) и процессы обработки (передачи). При этом уязвимыми, в конечном счете, являются именно заинтересованные в обеспечении определен ных свойств информации и систем ее обработки субъекты. Следовательно, тер мин «информационная безопасность» нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информаци онных отношений ее разглашение (нарушение конфиденциальности), искаже ния или утраты (нарушение целостности, фальсификация) или снижение степе ни доступности информации, а также незаконного ее тиражирования (неправо мерного ее использования).

Поскольку субъектам информационных отношений ущерб может быть на несен также посредством воздействия на процессы и средства обработки кри тичной для них информации, то становится очевидной необходимость обеспе чения защиты КИС от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы. Поэтому под «инфор мационной безопасностью КИС» следует понимать защищенность всех ее ком понентов (ТС, ПО, данных, пользователей и персонала) от разного рода неже лательных для соответствующих субъектов воздействий.

Безопасность любого компонента (ресурса) КИС складывается из обеспе чения трех его характеристик: конфиденциальности, целостности и доступно сти.

В соответствии со ст. 16 Федерального закона «Об информации, информа ционных технологиях и о защите информации» 1 целями защиты информации являются: обеспечение защиты информации от неправомерного доступа, унич тожения, модифицирования, блокирования, копирования, предоставления, рас пространения, а так же от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа и реализация права на доступ к информации.

Иными словами конечной целью обеспечения ИБ является защита всех ка тегорий субъектов, прямо или косвенно участвующих в процессах информаци онного взаимодействия, от нанесения им существенного материального, мо рального или иного ущерба в результате случайных или преднамеренных неже лательных воздействий на информацию и системы ее обработки, хранения и передачи. Обеспечение ИБ предполагает создание препятствий (принятие контрмер) для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов.

Федеральный закон «Об информации, информационных технологиях и о защите информа ции» от 27.07.2006 № 149-ФЗ.

1.1.3. Угрозы информационной безопасности Основываясь на анализе результатов научных исследований [2, 35, 50, 107] и практических разработок [5-6, 30, 34, 47, 77, 85, 118-119, 152 и др.], все мно жество потенциальных угроз безопасности по природе их возникновения может быть разделено на два класса: естественные (объективные) и искусственные (субъективные).

Естественные угрозы – это угрозы, вызванные воздействием на КИС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от субъекта (человека).

Искусственные угрозы – это угрозы КИС, вызванные деятельностью чело века.

Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КИС и ее компонентов, ошибками в ПО, ошибками в действии персонала и т.п.;

• преднамеренные (умышленные) угрозы, связанные с корыстными, идейными и другими устремлениями людей (злоумышленников).

В свою очередь, источники угроз по отношению к КИС и корпорации в це лом могут быть внешними и внутренними.

К основным непреднамеренным искусственным угрозам КИС, как прави ло, относят [39, 49, 51, 70, 72, 80, 96, 100, 128, 133]:

• неумышленные действия, приводящие к частичному или полному от казу системы или разрушению аппаратных, программных, информа ционных ресурсов системы (неумышленная порча оборудования, уда ление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

• случайное заражение компьютерными вирусами;

• неосторожные действия, приводящие к разглашению конфиденциаль ной информации или делающей ее общедоступной;

• разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, про пусков и т.п.);

• неумышленное повреждение каналов связи и т.д.

Основные преднамеренные угрозы, помимо действий указанных выше, но совершаемых умышленно, могут включать [39, 49, 51, 70, 72, 80, 96, 100, 128, 133]:

• физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов КИС (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);

• отключение или вывод из строя подсистем обеспечения функциони рования вычислительных систем (электропитания, охлаждения и вен тиляции, линий связи и т.п.);

• внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за ИБ);

• хищение носителей информации;

• несанкционированное копирование носителей информации;

• вскрытие шифров криптозащиты информации;

• внедрение аппаратных и программных закладок и вирусов («троян ских коней», «червей» и т.п.);

• незаконное подключение к линиям связи с целью подмены законного пользователя и т.д.

Более детальные перечни различных видов угроз представлены, например, в Германском стандарте IT Baseline Protection Manual [100]. С детальным опи санием угроз на английском языке можно ознакомиться на сайте посвященном описанию Германского стандарта BSI «Руководство по защите информацион ных технологий для базового уровня защищенности» 2.

1.1.4. Меры обеспечения информационной безопасности Для уменьшения отрицательного воздействия угроз ИБ возможно исполь зование различных мер, направленных как на устранение угроз, так и устране ние или ослабление их источников (уязвимостей). Кроме того, эти меры долж ны быть направлены и на устранение последствий реализации угроз [72].

По способам осуществления все меры обеспечения ИБ (контрмеры) под разделяются на [72]:

• правовые (законодательные);

• морально – этические;

• экономические;

• организационные (административные и процедурные);

• инженерно – технические;

• технические;

• программно-аппаратные.

К правовым мерам относятся действующие в стране законы, указы и дру гие нормативные правовые акты, регламентирующие правила обращения с ин формацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также уста навливающие ответственность за нарушения этих правил. Правовые меры но сят в основном упреждающий, профилактический характер и требуют постоян ной разъяснительной работы с пользователями и обслуживающим персоналом КИС. Эти меры в основном ориентированы на устранение искусственных угроз и являются базисом для реализации остальных мер.

http://www.bsi.bund.de/gshb/english/menue.htm – IT Baseline Protection Manual. Standard secu rity safeguards.

К морально-этическим мерам относятся нормы поведения, которые тради ционно сложились или складываются по мере распространения информацион ных технологий в обществе. Эти нормы большей частью не являются обяза тельными, как требования нормативных правовых актов, однако, их несоблю дение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписанные (напри мер, общепризнанные нормы честности, патриотизма и т.п.), так и писанные, то есть оформленные в некоторый свод (устав, кодекс и т.п.) правил или предпи саний. Морально-этические меры являются профилактическими и требуют по стоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала КИС.

Экономические меры воздействуют на источники, как естественных, так и искусственных угроз и, в совокупности с правовыми мерами, позволяют не только сократить число данных источников, но и задействовать различные ме ханизмы ликвидации последствий реализации угроз (надбавки за работу с кон фиденциальной информацией, страхование информационных рисков и т.д.).

К организационным мерам относятся меры административного и проце дурного характера, регламентирующие процессы функционирования КИС, ис пользования ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с КИС таким образом, чтобы в наибольшей степени затруднить или исключить воз можность реализации угроз безопасности или снизить размер потерь в случае их реализации. Сюда же следует отнести процедуры (механизмы) принятия решений по управлению информационными рисками, и, в первую очередь – механизмы ресурсного обеспечения мероприятий по поддержанию и повыше нию ИБ.

Инженерно-технические меры связаны с оптимизацией построения зда ний, сооружений, сетей инженерных коммуникаций, транспортных магистра лей и т.д. с учетом требований ИБ.

Технические меры основаны на применении разного рода механических, электро- и электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации.

Программно-аппаратные меры основаны на использовании различных устройств и специальных программ, входящих в состав КИС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты с це лью устранения угроз непосредственно связанных с процессом хранения, обра ботки и передачи информации.

Взаимосвязь рассмотренных выше контрмер отражена на рисунке 1.1.4.1.

Рис. 1.1.4.1. Взаимосвязь контрмер обеспечения ИБ Здесь:

1 – организационные меры реализуются с учетом и на основе существую щих норм этики и морали;

2 – правильные нормы этики и морали должны формироваться путем реа лизации соответствующих организационных мероприятий;

3 – экономические меры поддерживают реализацию организационных ме роприятий;

4 – реализация экономических мер требует проведения организационно управленческих воздействий;

5 – применение и использование инженерно-технических, технических и программно-аппаратных мер требует соответствующей организационной под держки;

6 – для эффективного применения организационные меры должны быть поддержаны техническими и технологическими средствами;

7 – реализация организационных мер требует разработки соответствующих нормативных правовых актов и организационно-распорядительных докумен тов;

8 – организационные меры обеспечивают исполнение существующих нор мативные правовые актов и организационно-распорядительных документов.

Таким образом, организационные меры играют ключевую роль в обеспе чении информационной безопасности. Организационные меры – это единст венное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень информационной безопасности. Орга низационные меры необходимы для эффективного применения других мер в части, касающейся регламентации деятельности людей. В тоже время органи зационные меры необходимо поддерживать правовыми, экономическими, ин женерно-техническими, техническими и программно-аппаратными средствами.

1.2. Управление информационными рисками В разделе 1.2 рассматриваются вопросы зависимости организации управ ления информационными рисками от «уровня зрелости» корпорации (раздел 1.2.1), основные этапы жизненного цикла управления ИБ (раздел 1.2.2) и мо дель построения КСОИБ корпорации (раздел 1.2.3).

1.2.1. «Уровень зрелости» компании и управление информационными рисками Основным фактором, определяющим отношение организации к вопросам ИБ, является степень ее «зрелости».

В соответствии с моделью предложенной Carnegie Mellon University [100, 134], выделяется пять уровней зрелости, которым соответствует различное по нимание проблем ИБ организации.

Постановка и решение задачи обеспечения ИБ для организаций, находя щихся на разных «уровнях зрелости» будут различными.

На первом уровне данная задача формально не ставится, поскольку с точ ки зрения руководства организации, находящейся на первом «уровне зрелости», задачи обеспечения ИБ, как правило, не актуальны. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно, поэтому организации могут быть вполне жизнеспособными.

На втором уровне проблема обеспечения ИБ решается неформально, на основе постепенно сложившейся практики. Комплекс контрмер (организацион ных и программно-технических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос отно сительно эффективности защиты не ставится.

На третьем уровне в организации считается целесообразным следовать в той или иной мере (возможно частично) стандартам и рекомендациям, обеспе чивающим базовый уровень ИБ (например, ISO/IEC 27001), вопросам докумен тирования уделяется должное внимание. Анализ рисков рассматривается как один из элементов технологии управления режимом ИБ на всех стадиях жиз ненного цикла. Понятие риска включает несколько аспектов: вероятность, угро за, уязвимость, иногда стоимость.

Технология управления режимом ИБ в полном варианте включает сле дующие элементы:

документирование КИС с позиции ИБ;

категорирование информационных ресурсов с позиции руководства организации;

определение возможного воздействия различного рода происшествий в области ИБ на ИТ- и бизнес-процессы;

анализ информационных рисков;

технология управления информационными рисками на всех этапах жизненного цикла КИС;

аудит в области ИБ.

На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим ИБ. На этом уровне руково дство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков (которые имеются всегда). Риски, как правило, оце ниваются по нескольким критериям (не только стоимостным).

Технология управления ИБ остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры оста точных рисков, эффективность различных вариантов контрмер при управлении рисками.

На пятом уровне ставятся и решаются различные варианты оптимизаци онных задач в области обеспечения ИБ. Примеры постановок задач [39, 80, 100, 134]:

выбрать вариант КСОИБ, оптимизированной по критерию стои мость/эффективность при заданном уровне остаточных рисков;

выбрать вариант КСОИБ, при котором минимизируются остаточные риски при фиксированной стоимости КСОИБ;

выбрать архитектуру КСОИБ с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

Результаты исследования, проведенного компанией «Ernst&Young» в [100] показали, что в настоящее время более половины организаций относятся к пер вому или второму уровню зрелости. Организаций третьего уровня зрелости около 40% от общего числа и только порядка 7% от общего числа организации, относятся к четвертому и пятому уровням зрелости.

Близкая модель была разработана Gartner Group [100, 134]. В рамках этой модели выделяется четыре (начиная с нулевого) уровня зрелости организации и она носит более «технологический« характер. В целом, третий уровень зрело сти модели разработанной Gartner Group соответствует четвертому – пятому уровню модели Carnegie Mellon University. По данным Gartner Group, на начало 2002 г. компаний третьего уровня было около 5%. В 2005 г., количество таких компаний оценивалось уже в 10% - 15%.

1.2.2. Этапы управления информационными рисками К настоящему времени сложилась общепринятая международная практика (best practice) обеспечения ИБ, применяемая как в России, так и в других стра нах. Вне зависимости от размеров организации и специфики ее КИС работы по обеспечению ИБ, в соответствии с ISO/IEC 17799 и ISO/IEC 27001 состоят, как правило, из стандартных этапов [100, 117] среди которых можно выделить сле дующие ключевые задачи управления ИБ [63-64, 80, 100, 117]:

определение политики ИБ корпорации;

аудит и оценка рисков ИБ корпорации;

выбор контрмер, обеспечивающих режим ИБ;

построение эффективной КСОИБ.

Взаимосвязь ключевых задач управления ИБ отражена на рисунке 1.2.2.1.

Рассмотрим указанные задачи более подробно.

Определение политики ИБ корпорации. Под политикой информационной безопасности (ПИБ) понимается совокупность документированных управлен ческих решений, направленных на защиту информационных ресурсов органи зации [38, 100, 117]. Это позволяет обеспечить эффективное управление и под держку политики в области ИБ со стороны руководства организации.

Рис. 1.2.2.1. Взаимосвязь ключевых задач управления ИБ ПИБ является объектом стандартизации. Некоторые страны имеют нацио нальные стандарты (BS 7799 (Великобритания), BSI (Германия)), определяю щие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международных стандартов в этой области (ISO/IEC 17799, ISO/IEC 27001). В России к нормативным документам, определяющим содер жание ПИБ, относится ряд руководящих документов (РД) Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также отдельные поло жения Федеральной службы безопасности. В отечественных и международных стандартах используется сходная методология, однако некоторые вопросы, представленные в указанных стандартах, в отечественных РД не рассмотрены или рассмотрены менее подробно. Таким образом, в настоящее время, при раз работке ПИБ целесообразно использовать зарубежные стандарты, позволяю щие разрабатывать более качественные документы, полностью соответствую щие отечественным РД [81].


Целью разработки ПИБ организации является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на наруше ния режима ИБ [100, 117], при этом, одной из ключевых задач ПИБ является определение уровня допустимого информационного риска. Наличие сформи рованной ПИБ дает возможность перейти к этапу аудита и оценки рисков ИБ корпорации.

Аудит и оценка рисков ИБ корпорации. Необходимо отметить, что в на стоящее время стандартизованная классификация корпоративных рисков отсут ствует. Разные авторы предлагают различные варианты классификации [9, 27, 125, 132, 136], один из которых [9] представлен на рисунке 1.2.2.2.

Рис. 1.2.2.2. Общесистемная классификация рисков Отдельно информационные риски в данной классификации не рассматри ваются, тем не менее, при нынешнем уровне использования ИТ в бизнесе и управлении информационные риски могут оказывать существенное влияние на уровень большинства других типов рисков как чистых, так и спекулятивных [13, 104]. Информационные риски – это опасность возникновения убытков или ущерба в результате применения компанией ИТ. Иными словами, информаци онные риски связаны с созданием, передачей, хранением и использованием ин формации [86].

Оптимальный теоретический способ экономической оценки риска можно предложить, выделив две основные его характеристики: размер возможных по терь и их вероятность [132]. Оценить риск, таким образом, означает: во-первых, произвести количественную оценку обоих характеристик, во-вторых, сделать риски сравнимыми между собой. Только после этого можно сделать вывод, ка кие риски являются существенными и какие контрмеры необходимо принимать [132]. Мера риска, в данном случае – степень вероятности потерь [120].

Количественным методам оценки риска свойственны определенные недос татки [120]:

• необходим большой объем исходной информации, основанной на анализе статистических данных;

• вероятностные распределения по различным угрозам различаются и меняются со временем;

• некоторые составляющие зависят от значений в предыдущие моменты времени (условная вероятность), а некоторые нет (безусловная веро ятность) и т.д.

Исходной посылкой при разработке моделей эффективности управления информационными рисками является предположение, что с одной стороны, при реализации угроз наносится ущерб, с другой стороны – обеспечение контрмер сопряжено с расходованием средств [133].

Для развития данного подхода необходимо:

• определить ожидаемые потери;

• определить зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Зависимость между величиной информационного риска и затратами на его снижение, как правило, представляется в виде убывающей функции [27, 131, 133] (рисунок 1.2.2.3). При этом известно, что начиная с определенного уровня затраты на прямое снижение риска при помощи организационно – технических мер растут более быстрыми темпами, чем снижается сам риск [131].

Рис. 1.2.2.3. Зависимость уровня риска от затрат на контрмеры Допустимый риск представляет собой компромисс между реальным уров нем риска и возможностью его достижения и между уровнем ИБ и возможно стями ее достижения [27].

Понятие остаточного риска [100] является в анализе информационных рисков одним из ключевых. При построении КСОИБ необходимо помнить, что абсолютной защиты не существует. Остаточные риски присутствуют при лю бом варианте создания или реорганизации КСОИБ.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области ИБ. Его основная зада ча – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля и управления рисками для увеличения эффективности и рентабельно сти экономической деятельности компании. Поэтому под термином «управле ние информационными рисками» обычно понимается системный процесс иден тификации, контроля и уменьшения информационных рисков компаний в соот ветствии с определенными ограничениями российской нормативной правовой базы в области защиты информации и собственной корпоративной ПИБ [134].

Для эффективного управления информационными рисками разработаны специ альные методики, например методики международных стандартов ISO/IEC 15408, ISO/IEC 17799 (BS7799), ISO/IEC 27001, а также национальных стандар тов NIST 800-30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.

Наиболее полно критерии оценки механизмов безопасности программно технического уровня в России представлены в ГОСТ Р ИСО/МЭК 15408 – 2002, принятом в 2002 г. и вступившем в действие в 2004 г.

В соответствие с этими методиками управление информационными риска ми любой компании предполагает следующее.

Во-первых, определение основных целей и задач защиты информационных активов компании.

Во-вторых, создание эффективной системы оценки и управления инфор мационными рисками.

В-третьих, расчет совокупности детализированных не только качествен ных, но и количественных оценок рисков, адекватных заявленным целям биз неса.

В-четвертых, применение специального инструментария оценивания и управления рисками.

По результатам анализа рисков удается подробно описать состав и струк туру КИС, ранжировать имеющиеся ресурсы по приоритетам, базируясь на сте пени их важности для нормальной работы корпорации, выявить угрозы и иден тифицировать уязвимости КИС [63-64].

Выбор контрмер, обеспечивающих режим ИБ корпорации. Практиче ский смысл данного этапа заключается в том, что бы сформировать набор контрмер необходимых для снижения определенного, на этапе анализа рисков, уровня текущего риска до определенного на этапе формирования ПИБ уровня допустимого риска. При этом, ключевым моментом для руководства компании является оценка затрат ресурсов (в первую очередь – финансовых) на реализа цию указанного набора контрмер.

За последние годы появилось достаточное количество работ, посвященных оценкам затрат на обеспечение ИБ организации. Среди них можно выделить работы Петренко С.А., Кислова Р.Т. и Попова Ю.И. [99-100], а так же Петренко С.А. и Тереховой Е.М. [102], где за основу берется методология расчета сово купной стоимости владения (ТСО), предложенной в конце 80-х г.г. аналитиче ской компанией Gartner Group;

Баранова Д. [10];

Брусничкина Г.Д. [16];

Минае ва В.А. и Карпычева В.Ю. [84];

Петренко С.А. и Курбатова В.А. [97];

Арзума нова С.В. [8] и ряда других авторов.

Построение эффективной КСОИБ корпорации. Вопросам построения эффективных КСОИБ посвящены, например, работы Провоторова В.Д. [109], где рассматривается методика оптимального планирования бюджета на защиту информации в конкурентных условиях;

Теренина А.А., где рассматриваются вопросы проектирования экономически эффективной КСОИБ [123];

Петренко С.А. и Тереховой Е.М. [101], а так же Гостева И.М. [36], где в качестве крите рия рассматривается возврат инвестиций (ROI);

Панина О.А. и Журина С.И.

[94], где используется многокритериальный подход к выбору эффективной КСОИБ, а также ряд работ других авторов.

Тем не менее, необходимо отметить, что практически во всех указанных работах построение эффективной КСОИБ осуществляется исходя из предполо жения о наличии некоторой детерминированной оценки возможного ущерба.

В то же время, на практике, обеспечение ИБ происходит в условиях случайного воздействия самых разных факторов [14-15]. Факторы, влияющие на уровень ИБ, систематизированы в ГОСТ Р 51275-99. Однако независимо от воли и предвидения разработчиков возникают и иные, заранее неизвестные при проек тировании КСОИБ обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры ИБ.

Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, как это следует из ГОСТ Р 50922-96, должны иметь вероятностный характер. Реализовать подобный под ход можно, например, с использованием процедур стохастического имитацион ного моделирования, на основе полученных на этапе анализа рисков вероятно стных характеристик. Примером подобного подхода могут служить работы [42, 65, 68].

Еще одной, не менее важной проблемой, является то, что в указанных ра ботах организация рассматривается как единое целое и, как правило, предпола гается, что задача снижения информационных рисков представляет собой неко торую задачу оптимизации общего количества ресурса необходимого для реа лизации контрмер направленных на снижение информационных рисков до до пустимого уровня (см., например, [100]). Однако современная корпорация пред ставляет собой сложную систему, состоящую, в общем случае, из управляющей компании и большого числа взаимосвязанных и взаимодействующих подчи ненных компаний, которые объединены общим управлением, в том числе, фи нансовым. В свою очередь, очень часто возникает ситуация, когда финансовых (или иных ресурсов) для полного решения всех проблем ИБ корпорации недос таточно и управляющей компании приходится решать проблемы снижения ин формационных рисков поэтапно, распределяя имеющиеся в наличии ресурсы между подчиненными компаниями.


1.2.3. Модель системы управления информационными рисками В соответствии с целью создания КСОИБ КИС, сформулированной в раз деле 1.1.2 ее основными задачами являются [72, 96]:

отнесение информации к категории ограниченного доступа (служеб ной тайне) 3;

прогнозирование и своевременное выявление угроз безопасности ин формационным ресурсам, причин и условий, способствующих нане сению финансового, материального и морального ущерба, нарушению нормального функционирования и развития КИС 4;

создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесе ния различных видов ущерба 5;

создание механизма и условий оперативного реагирования на угрозы ИБ и проявления негативных тенденций в функционировании, эффек тивное пресечение посягательств на ресурсы на основе мер и средств обеспечения ИБ 6;

создание условий для максимально возможного возмещения и локали зации ущерба, наносимого неправомерными действиями физических и Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;

Постановление Правительства Российской Феде рации от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

ГОСТ 51583-00 «Защита информации. Порядок создания автоматизированных систем в за щищенном исполнении. Общие требования.»;

ГОСТ Р 51624-00 «Защита информации. Ав томатизированные системы в защищенном исполнении. Общие требования»;

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ст. 16;

Конституция Российской Федерации, ст. 23;

Гражданский ко декс Российской Федерации, часть I, ст. 128, 139.

Федеральный закон «Об информации, информационных технологиях и о защите информа ции» от 27.07.2006 № 149-ФЗ См. сноску 3;

Конституция Российской Федерации, ст. 23.

юридических лиц, и тем самым ослабить возможное негативное влия ние последствий нарушения ИБ 7.

На основе [61-62, 96, 98] при построении КСОИБ можно использовать сле дующую модель управления информационными рисками (рисунок 1.2.3.1), ко торая соответствует специальным нормативным документам по обеспечению ИБ, принятым в Российской Федерации, международному стандарту ISO/IEC 15408, стандартам ISO/IEC 17799 и ISO/IEC 27001 и учитывает тенденции раз вития отечественной нормативной базы по вопросам защиты информации.

Рис. 1.2.3.1. Модель управления информационными рисками Представленная модель защиты информации отражает взаимосвязь внеш них и внутренних объективных факторов и их влияние на состояние ИБ на объ екте и на сохранность материальных или информационных ресурсов.

См. сноску 4;

Гражданский кодекс РФ, часть I, ст. 128, 139.

В данной модели рассматриваются следующие основные факторы [61-62, 96, 98]:

угрозы ИБ, характеризующиеся вероятностью возникновения и веро ятностью реализации;

уязвимости ИБ или системы контрмер (системы ИБ), влияющие на вероятность реализации угрозы;

риск – фактор, отражающий возможный ущерб организации в резуль тате реализации угрозы ИБ (риск в конечном итоге отражает вероят ные финансовые потери – прямые или косвенные).

Для построения эффективной КСОИБ необходимо:

на первом этапе – на основе существующей ПИБ определить уровень до пустимого для организации риска на основе заданного критерия;

на втором этапе – провести аудит ИБ и анализ текущих рисков ИБ корпо рации, а так же установить уровень остаточного риска;

на третьем этапе – осуществить выбор контрмер и определить объем не обходимых ресурсов для снижения уровня текущего риска до уровня допусти мого риска;

на четвертом этапе – в рамках выделенного объема ресурсов реализовать КСОИБ (контрмеры) таким образом, чтобы наиболее эффективно снизить те кущие риски.

Реализация указанных этапов представляет собой процедуру управления информационными рисками корпорации, которая должна давать возможность [96, 98]:

полностью проанализировать и документально оформить требования, связанные с обеспечением ИБ;

избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

оказать помощь в планировании и осуществлении защиты на всех ста диях жизненного цикла ИС;

представить обоснование для выбора мер противодействия, оценить эффективность контрмер;

сравнить различные варианты контрмер;

обоснованно выбрать систему контрмер, снижающих риски до допус тимых уровней и обладающих наибольшей ценовой эффективностью.

2. ОРГАНИЗАЦИОННОЕ УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ Во второй главе рассматриваются общие вопросы организационного управления информационными рисками корпорации (раздел 2.1) и формальная постановка задачи организационного управления информационными рисками корпораций (раздел 2.2).

2.1. Структура и меры организационного управления информа ционными рисками В разделе 2.1 рассматривается организационная структура системы обес печения ИБ (раздел 2.1.1), основные организационные меры по управлению информационными рисками (раздел 2.1.2), а также особенности системы управления информационными рисками в зависимости от организационной структуры корпораций (раздел 2.1.3).

2.1.1. Организационная структура Как отмечалось выше, в настоящее время проблемы обеспечения ИБ КИС являются одними из наиболее актуальных и активно обсуждаемых. При этом, как правило, основное внимание уделяется рассмотрению различных техниче ских решений, анализу преимуществ и недостатков известных программных и аппаратных средств и технологий защиты информации. В значительно меньшей степени затрагиваются вопросы и меры организационного обеспечения ИБ компании – стратегия и тактика организации ИБ, концепция и политика безо пасности, планы защиты информационных ресурсов компании в штатных и нештатных условиях функционирования КИС [100]. В то же время, проведен ный в разделе 1.1.1. анализ особенностей современных КИС дает все основания рассматривать процесс обеспечения ИБ компании как один их корпоративных бизнес-процессов. В этой связи возникает необходимость определить основную бизнес-задачу ИБ.

КИС, как и множество других технических и организационных систем компании, выполняя, прежде всего, поддерживающую функцию, представляет основному бизнесу свой особый тип сервиса – информационный сервис. Ос новное значение данного сервиса заключается в предоставлении бизнесу необ ходимой для принятия решений информации нужного качества, в нужное время, в нужном месте, то есть информации для управления самим бизнесом [70, 80, 100]. Руководство современной корпорации по существу имеет дело только с информацией – и на ее основе принимает решения. Поскольку, как было определено в разделе 1.1.2., информация КИС должна обладать свойства ми доступности, целостности и конфиденциальности, то основной бизнес задачей КСОИБ КИС должно являться обеспечение необходимого уровня дос тупности, целостности и конфиденциальности компонентов (ресурсов) КИС соответствующими множеству значимых угроз методами и средствами.

Обеспечение ИБ – это непрерывный процесс, основное содержание кото рого составляет управление: людьми, рисками, ресурсами, средствами защиты и т.д. Люди – обслуживающий персонал и конечные пользователи КИС явля ются неотъемлемой частью автоматизированной (то есть «человеко машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее эффективность (эффективность ре шения задач), но и ее безопасность.

В начале 2004 г. британское Министерство торговли и промышленности опубликовало специальный обзор, посвященный проблемам нарушения ИБ. В нем делаются следующие выводы: ситуация в данной сфере является неудовле творительной и продолжает ухудшаться;

решение столь важных задач уже нельзя оставлять в компетенции одних лишь ИТ-подразделений корпораций, а следует передать топ-менеджерам, возглавляющим работу систем внутреннего контроля. В свою очередь, деятельность этих руководителей должна находить ся под строгим контролем Советов директоров 8. Важность гарантий сохран ности корпоративной информации для реализации потенциала компаний в ус ловиях перехода к экономике, основанной на знаниях и необходимость повы шения внимания Советов директоров к указанным вопросам подчеркивают и эксперты европейского отделения исследовательской организации RAND Cor poration 9. Такого же мнения придерживаются авторитетные американские спе циалисты Орсон Суиндл (Orson Swindle) и Билл Коннер (Bill Conner) 10, излагая содержание обнародованного в мае 2004 г. доклада «Управление обеспечением информационной безопасности: призыв к действию» 11. Этот документ был под готовлен группой экспертов, созданной в декабре 2003 г..

В докладе дается подробное описание функций корпоративных органов и отдельных должностных лиц в рамках эффективной системы, поддерживающей надлежащее состояние дел в данной области деятельности компаний.

Возможная организационная структура топ – менеджмента компании [100], ответственного за организацию ИБ представлена на рисунке 2.1.1.1.

Согласно исследованию KPMG за 2002 г. [1] в наиболее благополучных, с точки зрения ИБ, западных компаниях функцией обеспечения ИБ занимается отдельное подразделение, наделенное полномочиями и имеющее поддержку высшего руководства компании.

http://www.itgovernance.co.uk – Information security breaches survey 2004. – DTI.

http://www.rand.org/publications/MR/MR1692/MR1692.sum.pdf – Rathmell A., Daman S., O'Brien K., Anhal A. Engaging the board: corporate governance and information assurance. – RAND Europe. – 2004. – P. VI – VII.

Swindle O., Conner B. The link between information security and corporate governance // Com puterworld. 05.05.2004.

http://www.cyberpartnership.org/InfoSecGov4_04.pdf – Information security governance: a call to action. – Corporate governance task force report. – April 2004.

Рис. 2.1.1.1. Организационная структура топ-менеджмента компании, ответственного за организацию ИБ При этом почти в половине «успешных« компаний ответственность за ИБ закреплена за Советом директоров, функциями которого является корректное определение и постановка целей и задач в области ИБ, а также поддержка обеспечения ИБ надлежащим уровнем инвестирования и другими необхо димыми ресурсами.

2.1.2. Основные организационные меры Рассмотрим в качестве объекта управления современную корпорацию. Бу дем считать, что в корпорации имеется управляющий центр («материнская»

компания, управляющая компания, Совет директоров и т.д.) и группа управ ляемых компаний – агентов (филиалы, «дочерние» компании, группа компа ний, входящих в холдинг и т.д.). Далее, для краткости, если речь будет идти об управляющем центре, будем говорить просто – центр, а если о компании – агенте, то просто – агент. Тогда в соответствии с определенными в разделе 1.2.2 ключевыми задачами управления ИБ, жизненный цикл основных органи зационных мер по управлению информационными рисками корпорации мо жет иметь следующий вид:

1. Центр, в рамках определенной им ПИБ устанавливает для каждого аген та уровень допустимого информационного риска, который представляет собой приемлемый, с точки зрения центра, ущерб от реализации возмож ных угроз ИБ;

2. В компаниях – агентах проводится аудит и анализ информационных рисков, по результатам которого для каждой из них, определяются уровни текущих информационных рисков, которые представляют собой ущерб от реализации возможных угроз ИБ до применения каких-либо контрмер;

3. На основании полученных оценок агенты разбиваются соответственно на две группы: те, для которых уровни текущих информационных рисков больше и те, для которых уровни текущих информационных рисков меньше установленных для них уровней допустимого риска.

4. Относительно последних агентов делается вывод о достаточности существующих мер ИБ в настоящее время.

5. Для агентов, отнесенных к первой группе (т.е. тех, для которых сущест вующих мер ИБ недостаточно для поддержания требуемого уровня до пустимого риска) определяется необходимый набор контрмер направлен ных на снижение информационных рисков до допустимого уровня. На ос новании полученного набора контрмер определяется объем необходимых для его реализации ресурсов (прежде всего – финансовых).

6. На основании полученной информации об объемах необходимых аген там ресурсов и имеющихся у центра реальных возможностей по финан сированию работ в сфере обеспечения ИБ определяется:

общий объем выделяемых на работы в сфере ИБ финансовых ре сурсов (бюджет ИБ);

эффективное, в каком-то смысле, распределение бюджета ИБ между агентами.

Выше уже говорилось, что, как правило, общий объем выделяемых на работы в сфере ИБ финансовых ресурсов значительно меньше требуемого.

Данное обстоятельство приводит к тому, что и объем финансовых ресур сов, получаемых в итоге агентом, зачастую, так же является недостаточ ным для решения задачи снижения информационных рисков до допусти мого уровня.

7. Получив выделенный каждому из них объем ресурса, агенты эффектив ным образом реализуют (полностью или частично) необходимый набор контрмер (из тех, что были определены на этапе 4), стремясь добиться максимально возможного в заданных условиях снижения уровня текущего риска.

Затем цикл организационных мер по управлению ИБ повторяется.

В рамках предложенного выше цикла организационных мер необходимо обратить внимание на следущие важные моменты.

Во-первых. Как уже говорилось выше в разделе 1.2.2, как правило, пред полагается, что функция риска, представляет собой положительную монотонно убывающую от затрат ресурсов функцию [4, 27, 74, 131, 133]. Необходимо от метить, что в работе [74] вместо функции риска рассматривается противопо ложная ей функция эффективности ИБ. Эта функция представляет собой раз ность между определенным в результате аудита уровнем текущего риска до принятия каких-либо контрмер и оцененным уровнем текущего риска после принятия некоторых контрмер, на которые затрачен определенный ресурс. В соответствии с данным определением, функция эффективности ИБ является положительной, монотонно возрастающей и ограниченной сверху.

Тем не менее, несмотря на то, что общий вид функции риска предполага ется известным, конкретные параметры функции риска или ее аналитический вид, лицу, принимающему решения (ЛПР), остается неизвестным. Иными сло вами, знание текущего и допустимого уровня рисков не дает возможности од нозначно определить объем ресурсов, необходимых для снижения уровня те кущего риска до уровня допустимого риска. Таким образом, задача, решаемая на шаге 4, представляет собой достаточно сложную научно-исследовательскую и инженерно-техническую задачу, для решения которой, к настоящему време ни, было предложено большое количество методов [8, 10, 14, 16, 26, 29, 84, 97, 99, 100, 102]. Решение указанной задачи выходит за рамки данного работы и в дальнейшем будем предполагать, что требуемый каждому агенту объем ресур са, тем или иным способом, определен для каждого цикла управления ИБ (под робнее см. раздел 5.2).

В работах [14, 29 и ряде других] вместо задания уровня допустимого риска решается задача оптимизации. При этом предполагается, что оптимальное ре шение достигается в точке, где наступает равенство между предельными затра тами ресурса и уровнем оставшегося риска. Действительно, такой подход ка жется достаточно разумным, поскольку представляется бессмысленным тра тить на организацию ИБ ресурсов больше, чем возможный потенциальный ущерб (риск). Однако при использовании данного подхода необходимо пом нить, что затраты на ИБ представляют собой детерминированную величину, а потенциальный ущерб (риск) – вероятностную. Таким образом, реальный ущерб может значительно превысить расчетный и, соответственно, теоретиче ски оптимальная КСОИБ может оказаться на практике не эффективной.

Во-вторых. Главная цель организационного управления ИБ – снижение уровня информационных рисков до допустимого уровня для всех объектов управления (агентов). Если ЛПР (центру) достоверно известен конкретный вид функций риска для всех объектов управления, а также определены объемы вы деляемых на каждом шаге управления ресурсов, то представляется возможным построение некоторой оптимальной, в оговариваемом в каждом конкретном случае смысле, глобальной процедуры. Критерием оптимальности может яв ляться, например, количество циклов управления, необходимых для снижения уровня информационных рисков до допустимого уровня для всех объектов управления и т.д.

Однако, конкретные параметры функций риска ЛПР, как правило, не из вестны. Поэтому, может оказаться, что после реализации выбранного набора контрмер (шаг 6) последующий аудит (шаг 1) продемонстрирует, что снижение уровня текущего риска оказалось не столь значительным, как ожидалось. Более того, в некоторых случаях может даже оказаться, что уровень текущего риска ни только не снизился по сравнению с предыдущим циклом управления, а даже увеличился. Подобный результат далеко не всегда является признаком «непра вильного» построения КСОИБ (хотя это также не исключено). Дело в том, что поскольку организационное управление ИБ осуществляется циклически, за время прошедшее между циклами управления, могут произойти существенные изменения, как в наборе потенциальных угроз, так и размере ущерба от их воз можной реализации.

Данное обстоятельство приводит к практической невозможности построе ния какой-либо оптимальной глобальной процедуры, что, однако, не исключает возможности построения, в каком-то смысле, локально оптимальных, (на каж дом цикле управления) процедур управления.

Необходимо отметить, что выбор оптимальных моментов управления и их количества, представляет собой отдельную задачу, выходящую за рамки дан ной работы. На практике же обычно используют годовое или полугодовое пла нирование.

В-третьих. Несмотря на то, что построение какой-либо оптимальной гло бальной процедуры управления информационными рисками крайне затрудни тельно представляется целесообразным определить локальный критерий опти мальности, т.е. критерий оптимальности управленческого решения на конкрет ном цикле управления.

При этом необходимо учесть следующие факторы:

целью организационного управления информационными рисками яв ляется снижение информационных рисков до допустимого уровня;

управление информационными рисками осуществляется, как правило, в условиях дефицита ресурсов;

оценка уровня текущего риска носит вероятностный характер и, таким образом, реальный ущерб может значительно превысить расчетный.

Из сказанного выше следует, что осуществляя управление информацион ными рисками (шаг 5), ЛПР, что бы избежать значительного ущерба на любом из объектов управления, должен стремиться сделать уровень информационного риска для всех объектов управления как можно более низким. Тогда в качестве критерия эффективности управления информационными рисками [37, 43, 49, 80] может быть выбран аналог критерия минимаксного сожаления Сэвиджа, ко торый используется в тех случаях, когда в любых условиях большого риска требуется избежать. В соответствии с этим критерием предпочтение следует отдать управленческому решению, для которого максимальный взятый по всем объектам управления уровень информационного риска окажется минимальным.



Pages:   || 2 | 3 | 4 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.