Роль и влияние информационной безопасности на эффективность бизнес-процессов и финансовое состояние предприятия

Введение и постановка проблемы

Для большинства преуспевающих компаний использование современных информационных технологий стало залогом успешного ведения бизнеса. Такие технологии автоматизируют бизнес процессы и упрощают решение многих трудоемких бизнес задач, тем самым открывают широкие перспективы развития компаний. Наряду с положительными моментами, используемые технологические новшества являются источником новых уязвимостей и потенциальных опасностей для информационных активов компании. При этом пренебрежение вопросами информационной безопасности может привести к катастрофическим последствиям.

"По существующим подсчетам, вывод из строя информационной системы в результате возникновения нештатной технической ситуации или преступления может привести даже самый крупный банк к полному разорению за четверо суток, а более мелкое учреждение – за сутки." Необходимо отметить, что никакие технические, организационные и правовые меры не в состоянии гарантировать полную безопасность и надежность информационных систем. Поэтому основная задача обеспечения информационной безопасности сводится к снижению рисков до приемлемого уровня, что возможно лишь при комплексном подходе к вопросам информационной безопасности. Именно такой подход и нашел свое отражение в международных стандартах по информационной безопасности.

Современный подход к анализу и классификации рисков в сфере информационных технологий

"Понятия «оценка рисков» (Risk Assessment) и «управление рисками» (Risk Management) появились сравнительно недавно и сегодня вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса (Business Continuity) и сетевой безопасности (Network Security). Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 17799-2002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес деятельности от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800 30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Давайте рассмотрим некоторые качественные и количественные международные методики управления информационными рисками, обращая основное внимание на возможность их адаптации и применения в отечественных условиях.

Качественные методики управления рисками

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT-аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799-2002. К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес-транзакций компании. Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют:
• Создавать модели информационных активов компании с точки зрения безопасности;
• Классифицировать и оценивать ценности активов;
• Составлять списки наиболее значимых угроз и уязвимостей безопасности;
• Ранжировать угрозы и уязвимости безопасности;
• Обосновывать средства и меры контроля рисков;
• Оценивать эффективность/стоимость различных вариантов защиты;
• Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

Основными целями методики CRAMM являются:
• Формализация и автоматизация процедур анализа и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инцидентами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью и пр.

Идентификация рисков

В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости). Естественным требованием к списку является его полнота. Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности (третий уровень зрелости организации) специальных требований к детализации классов, как правило, не предъявляется и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков.

Оценивание рисков

При оценивании рисков рекомендуется рассматривать следующие аспекты:
• Шкалы и критерии, по которым можно измерять риски.
• Оценка вероятностей событий.
• Технологии измерения рисков.

Измерение рисков

Сегодня существует ряд подходов к измерению рисков. Давайте рассмотрим наиболее распространенные подходы, а именно оценку рисков по двум и по трем факторам.

Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = P_{происшествия} * ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами, риск - это оценка математического ожидания потерь.

Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угрозу и уязвимость определим следующим образом:

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Р_{происшествия} = Р_угрозы * Р_{уязвимости}

Соответственно, риск определяется следующим образом:

РИСК = P _угрозы * Р_{уязвимости} * ЦЕНА ПОТЕРИ

Технология оценки угроз и уязвимостей

Как правило, для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
• Экспертные оценки.
• Статистические данные.
• Учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик - накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие:

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей.

Возможности и ограничения данного подхода

Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Недостатки: Косвенные факторы и их веса зависят от сферы деятельности организации, а также от ряда иных обстоятельств. Таким образом, методика всегда требует подстройки под конкретный объект.

Выбор допустимого уровня риска

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа) являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ, либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.

В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами.

Выбор контрмер и оценка их эффективности

Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры.

Классы контрмер CRAMM (фрагмент)

Masquerading of User Identity by Insiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalisation
Incident Handling
Compliance Checks

Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические) в конкретной информационной системе - методологически чрезвычайно сложная задача. По этой причине обычно используется упрощенные, качественные оценки эффективности контрмер.

Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений)

Разработка и внедрение политики информационной безопасности	2
Мероприятия по работе с персоналом (наведение справок, контроль за поведением, и т.п)	3
Совершенствование организационной структуры	4
Анализ рисков	5
Управление жизненным циклом (управление рисками)	5
Совершенствование должностных инструкций и условий контрактов	5
Меры контроля за посетителями	6
Управление имуществом компании	7
Обучение персонала и контроль за соблюдением режима ИБ	9
Меры контроля за работой приложений	10

Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации. В ряде случаев используются более сложные таблицы, в которых эффективность зависит от ряда факторов.

Постановка задачи анализа рисков

Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируются и постановки задач анализа рисков.

Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости." Так, например известная аналитическая компания Cartner Group и университет Carnegie Mellon University предложили свои модели определения зрелости компании. Различным уровням зрелости соответствуют различные потребности в области информационной безопасности.

Уровень зрелости организации
Уровень 1. «Анархия» "Признаки: - сотрудники сами определяют, что хорошо, а что плохо - затраты и качество не прогнозируются - отсутствуют формализованные планы - отсутствует контроль изменений - высшее руководство плохо представляет реальное положение дел	Политика в области ИБ не формализована, руководство не занимается этими вопросами. "Обеспечением информационной безопасности сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задач.
Уровень 2. «Фольклор» Признаки: - "выявлена определенная повторяемость организационных процессов - опыт организации представлен в виде преданий корпоративной мифологии - знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении"	На уровне руководства существует определенное понимание задач обеспечения информационной безопасности. Существуют стихийно сложившиеся процедуры обеспечения информационной безопасности, их полнота и эффективность не анализируются. Процедуры не документированы и полностью зависят от личностей вовлеченных в них сотрудников. Руководство не ставит задач формализации процедур защиты информации.
Уровень 3. «Стандарты» "Признаки: - корпоративная мифология записана на бумаге - процессы повторяемы и не зависят от личных качеств исполнителей - информация о процессах для измерения эффективности не собирается - наличие формализованного описания процессов не означает, что они работают - организация начинает адаптировать свой опыт к специфике бизнеса - производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности - вырабатывается стратегия развития компетентности"	Руководство осознает задачи в области информационной безопасности. В организации имеется документация (возможно неполная), относящаяся к политике информационной безопасности. Руководство заинтересовано в использовании стандартов в области информационной безопасности, оформлении документации в соответствии с ними. Осознается задача управления режимом ИБ на всех стадиях жизненного цикла информационной технологии.
Уровень 4. «Измеряемый» Признаки: - процессы измеряемы и стандартизованы	Имеется полный комплект документов, относящихся к обеспечению режима информационной безопасности, оформленный в соответствии с каким-либо стандартом. Действующие инструкции соблюдаются, документы служат руководством к действию соответствующих должностных лиц. Регулярно проводится внутренний (и возможно внешний) аудит в области ИБ. Руководство уделяет должное внимание вопросам информационной безопасности, в частности имеет адекватное представление относительно существующих уровней угроз и уязвимостей, потенциальных потерях в случае возможных инцидентов.
Уровень 5 «Оптимизируемый» Признаки: - фокус на повторяемости, измерении эффективности, оптимизации - вся информация о функционировании процессов фиксируется	"Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизационные задачи построения системы защиты информации.'

Национальные особенности защиты информации

При выполнении работ в области защиты информации и, в частности, анализе информационных рисков необходимо учитывать некоторые специфические национальные особенности организации режима информационной безопасности на объектах информатизации в России. Как минимум, таких особенностей можно выделить две:
• Концептуальные особенности действующих российских руководящих документов по сравнению с аналогичными зарубежными стандартами.
• Отсутствие в подавляющем большинстве случаев настоящих неформальных собственников информационных ресурсов, т.е. лиц, заинтересованных в реальном обеспечении режима информационной безопасности, принятии на себя ответственности за выбор определенных величин остаточных рисков (которые всегда присутствуют в КИС).

Особенности отечественных нормативных документов

К концептуальным особенностям отечественных нормативных документов можно отнести следующее. Основные документы Гостехкомиссии при Президенте РФ в области защиты информации датируются 1992 годом и относятся к информационным технологиям на базе уже устаревших аппаратных средств." Документы отражают «военную» точку зрения на проблемы информационной безопасности, в соответствии с которой основное внимание уделяется обеспечению конфиденциальности (защищенности от несанкционированного доступа - НСД)." Другим аспектам - обеспечению целостности и доступности уделено гораздо меньше внимания. При этом, особенности современных АС гражданского применения не учитываются. В результате, большинство российских КИС не соответствует даже начальному, так называемому базовому уровню защищенности, который определяется в соответствии с современными зарубежными стандартами, например ISO 17799.

Учет остаточных рисков

Второй национальной особенностью организации режима информационной безопасности в отечественных компаниях является специфическое отношение к остаточным информационным рискам. При построении корпоративной системы защиты информации необходимо помнить о том, что абсолютной 100% защиты не существует, остаточные риски остаются при любом варианте создания или реорганизации корпоративной системы защиты информации. Понятно, что в более защищенной КИС такие риски будут меньшими.

"Обзор существующих методов оценки целесообразности затрат на систему информационной безопасности

Прикладной информационный анализ Applied Information Economics (AIE)

Методика AIE позволяет повысить точность показателя «действительная экономическая стоимость вложений в технологии безопасности за счет определения доходности инвестиций» (Return on Investment, ROI) до и после инвестирования. Применение AIE позволяет сократить неопределенность затрат, рисков и выгод, в том числе и неочевидных.

Потребительский индекс Customer Index (CI)

Метод предлагает оценивать степень влияния инвестиций в технологии безопасности на численность и состав потребителей. В процессе оценки предприятие или организация определяет экономические показатели своих потребителей за счет отслеживания доходов, затрат и прибылей по каждому заказчику в отдельности. Недостаток метода состоит в трудности формализации процесса установления прямой связи между инвестициями в технологии безопасности и сохранением или увеличением числа потребителей. Этот метод применяется в основном для оценки эффективности корпоративных систем защиты информации в компаниях, у которых число заказчиков непосредственно влияет на все аспекты бизнеса.

Добавленная экономическая стоимость Economic Value Added (EVA)

Методика EVA предлагает рассматривать службу информационной безопасности как «государство в государстве», то есть специалисты службы безопасности продают свои услуги внутри компании по расценкам, примерно эквивалентным расценкам на внешнем рынке, что позволяет компании отследить доходы и расходы, связанные с технологиями безопасности. Таким образом, служба безопасности превращается в центр прибыли и появляется возможность четко определить, как расходуются активы, связанные с технологиями безопасности, и увеличиваются доходы акционеров.

Исходная экономическая стоимость Economic Value Sourced (EVS)

Методика EVS была разработана компанией META Group Consulting, которая оказывает услуги средним и крупным компаниям, количественно измеряя возврат от инвестиций в технологии безопасности. Методика предполагает точный расчет всех возможных рисков и выгод для бизнеса, связанных с внедрением и функционированием корпоративной системы защиты информации. При этом расширяется использование таких инструментальных средств оценки ИТ, как добавленная экономическая стоимость (EVA), внутренняя норма рентабельности (IRR) и возврат от инвестиций (ROI) за счет определения и вовлечения в оценочный процесс параметров времени и риска.

Управление портфелем активов Portfolio Management (PM)

Методика управления портфелем активов предполагает, что компании управляют технологиями безопасности так же, как управляли бы акционерным инвестиционным фондом с учетом объема, размера, срока, прибыльности и риска каждой инвестиции. Портфель активов технологий безопасности состоит из «статических» и «динамичных» активов. К «статическим» активам относят: апаратно-программные средства защиты информации, операционные системы и пакеты прикладных программных продуктов, сетевое оборудование и программное обеспечение, данные и информацию, оказываемые услуги, человеческие ресурсы и пр. В состав «динамичных» активов входят следующие компоненты: различные проекты по расширению и обновлению всего портфеля активов, знания и опыт, интеллектуальный капитал и т. д.

Оценка действительных возможностей Real Option Valuation (ROV)

Основу методики составляет ключевая концепция построения модели «гибких возможностей компании» в будущем. Методика рассматривает технологии безопасности в качестве набора возможностей с большой степенью их детализации. Правильное решение принимается после тщательного анализа широкого спектра показателей и рассмотрения множества результатов или вариантов будущих сценариев, которые в терминах методики.

Система сбалансированных показателей Balanced Scorecard (BSC)

Balanced Scorecard (Система сбалансированных показателей - ССП) - это методика, в рамках которой традиционные показатели финансовых отчетов объединяются с операционными параметрами, что создает достаточно общую схему, позволяющую оценить нематериальные активы: уровень корпоративных инноваций, степень удовлетворенности сотрудников, эффективность приложений и т. д.

Совокупная стоимость владения Total Cost of Ownership (TCO)

Совокупная стоимость владения (Total Cost of Ownership) первоначально разрабатывалась как средство расчета стоимости владения компьютером. Но в последнее время благодаря усилиям компании Gartner Group эта методика стала основным инструментом подсчета
совокупной стоимости владения корпоративных систем защиты информации. Основной целью расчета ССВ является выявление избыточных статей расхода и оценка возможности возврата инвестиций, вложенных в технологии безопасности.

Функционально-стоимостной анализ Activity Based Costing (ABC)

Функционально-стоимостной анализ (ФСА) - это процесс распределения затрат с использованием первичных носителей стоимости, ориентированных на производственную и/или логистическую структуру предприятия с конечным распределением затрат по основным носителям (продуктам и услугам). Данный подход позволяет весьма точно и понятно установить связь между элементами себестоимости продукции и производственными процессами."

Заключение

В ходе работы были рассмотрены теоретические основы проблем информационной безопасности современных предприятий
Проанализированы и классифицированы риски компании в сфере информационных технологий
Рассмотрено влияние информационной безопасности на финансовое состояние предприятия.
Созданы политики информационной безопасности и связанных мер.
Выбран комплекс аппаратно программных средств для обеспечения адекватного состояний информационной безопасности в соответствии с моделью угроз и рассчитано ROI.
Таким образом мы надеемся что по окончанию приведения разработанных планов в жизнь, финансовая устойчивость компании значительно повысится, а финансовые и репутационные риски уменьшатся.

Список использованной литературы

1. Баранов А.В., Петренко С.А. Системная интеграция и безопасность компьютерных сетей // Конфидент. Защита информации. – 2001. – №2. – С.34–39.
2. Бабин С.А. Аудит сетей как фактор обеспечения безопасности сетей. //М.: Антонюк-Консалтинг. Сети и системы связи №3, 1998.
3. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. //М.: Радио и связь, 2000.
4. Нестеров С.А., Петренко С.А. Программные средства анализа информационных рисков компании // Экспресс-Электроника. – 2002. – №10. – С.84–86.
5. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информации. //. Защита Информации – 2005. – №1.
6. Петренко С.А., Терехова Е.М. Обоснование инвестиций в безопасность. //. Защита Информации – 2005. – №1.
7. Анализ рисков в области защиты информации, Информационно-методическое пособие // ООО «Издательский Дом «Афина», 2009.
8. Kevin J. Soo Hoo. How Much Is Enough? A Risk-Management Approach to Computer Security. Concortium for Research on Information Security and Policy (CRISP), School of Engineering, Stanford University, June 2000. Working Paper.
9. Standards for Information Systems Auditing. — ISACA Standards, 2000.

Copyright © 2009 Кушнер Д.Я.