Оценка и мониторинг рисков информационной безопасности

Лобачев А.В.
выпускник группы ITM-23B
Школа IT-менеджмента
РАНХиГС при Президенте РФ

   Растущие требования к контролю и управлению информационными технологиями (ИТ) в настоящее время понимаются как ключевые элементы корпоративного управления. Управление сферой ИТ есть ответственность высшего руководства, которая включает в себя лидерство, организационные структуры и процессы, обеспечивающие соответствие ИТ текущим и стратегическим целям организации. Более того, управление ИТ должно интегрировать и структурировать лучшие практики для того, чтобы ИТ организации оказывали существенную помощь в достижении бизнес целей. Управление ИТ позволяет организации пользоваться всеми преимуществами своей информации и тем самым максимизировать выгоду, извлекать прибыли из возможностей и получать конкурентные преимущества. Управляя ИТ нужно постоянно оценивать и проводить мониторинг информационной безопасности (ИБ).
Целью работы является:

• анализ проблем ИБ предприятия;
• анализ существующих стандартов ИБ;
• анализ методик проведения аудита ИБ и применения стандартов;
• разработка прототипа программного обеспечения (ПО), позволяющего автоматизировать проведение аудита, оценивать состояние ИБ предприятия, планировать мероприятия по его улучшению.

В данной работе рассмотрены и описаны риски информационной безопасности, которые можно разделить на следующие группы: риски связанные с персоналом, технические риски, бизнес риски.

В работе проведен анализ методик оценки информационных рисков, таких как: CRAMM, FRAP, RiskWatch, Microsoft, Гриф. Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для организации.

В работе описаны цели и задачи аудита ИТ по стандарту COBIT. Оценка возможностей процесса, построенная на моделях зрелости COBIT является ключевой составляющей реализации управления ИТ. После выявления критичных ИТ процессов и мер контроля, модели зрелости помогут ликвидировать обнаруженные пробелы и продемонстрировать результаты руководству. После этого могут быть разработаны планы действий для того, чтобы вывести процессы на желаемый уровень эффективности. Таким образом, COBIT предоставляет необходимую методологию для обеспечения того, чтобы:

• сфера ИТ была приведена в соответствие с бизнесом;
• ИТ помогали бизнесу и максимизировали преимущества;
• ИТ ресурсы использовались ответственно;
• осуществлялось надлежащее управление ИТ рисками.

   Проведен анализ стандарта ISO/IEC 27005 - Информационная технология - Методы защиты – Менеджмент рисков информационной безопасности. Настоящий Международный стандарт применим ко всем видам организаций (например, коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), планирующим управлять рисками информационной безопасности. Рассмотрены этапы оценки рисков информационной безопасности. Преимущества подхода: наличие шаблона типовых нарушителей ИБ, из которых организация может выбрать актуальных для своей деятельности; наличие типовых угроз и уязвимостей, что позволяет специалистам сократить время на сбор и изучение информации о существующих уязвимостях.
Написан прототип ПО «Риск менеджер». Используя ПО «Риск менеджер» можно:

• составить перечни информационных активов и объектов организации;
• определить источники угроз общие и для каждой группы рисков;
• оценить риски информационной безопасности с использование количественной и качественной шкалы;
• отсортировать риски с высокой вероятностью.

   В результате работы проведен анализ методик рисков информационной безопасности. Выявлены преимущества и недостатки методик. Описаны цели и задачи аудита ИТ по стандарту COBIT. Рассмотрены этапы оценки рисков по стандарту ISO/IEC 27005 и использованы преимущества стандарта при написании прототипа ПО «Риск менеджер».   Написан прототип ПО «Риск менеджер», которое позволяет оценить риски информационной безопасности небольших, средних и крупных организаций.