2. Модели нарушителей и риски в автоматизированных банковских системах.

2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.

Внедрение информационных технологий в банковскую сферу и уп­равление современных банков стало объективной реальнос­тью. Одновременно растет инфор­мационная инфраструктура отделов банка, которая по мере приобре­тения средств вычислительной тех­ники часто разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролиру­емому росту количества уязвимостей и увеличению возможностей доступа к информации со стороны внешних и внутренних нарушите­лей. Таким образом, информаци­онные системы могут стать потен­циально опасными и превратиться в своеобразную «бомбу замедлен­ного действия».

Внедрение средств вычислитель­ной техники в структуру управле­ния современных банковских систем является, безуслов­но, прогрессивным процессом, по­этому вполне объяснимо, что неко­торое время не возникает опасений, связанных с использованием ин­формационных технологий. Одна­ко со временем проблемы инфор­мационной безопасности, в том или ином виде, возникают, практически у всех. Очень быстро эти проблемы выходят на самый верхний уровень управления, посколь­ку неизбежно затрагивают функ­ции защиты организации в автоматизированной системы в целом.

Появление и осознание про­блем информационной безопасно­сти приводит к необходимости из­мерения величины информацион­ного риска. Только на основе оцен­ки риска можно определить необ­ходимую степень защиты, выбрать стратегию развития информацион­ной структуры организации и под­держивать на должном уровне без­опасность организации.

В настоящее время многие банковские системы, специализирующиеся на решении проблем информацион­ной безопасности, предлагают (час­то в качестве коммерческого продук­та) различные методики оценки ин­формационных рисков. Известные методики можно классифициро­вать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью од­норазовой решающей процедуры, и многоэтапные, с предваритель­ным оцениванием ключевых пара­метров.

Одноэтапные методики, как пра­вило, используются на начальной стадии развития информационной инфраструктуры банка, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Используемые при этом программные средства фактически не содержат механизма вывода, а служат лишь для информационной поддержки при­ятия решения экспертом. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска трудности их использования для анализа риска. На основе одноэтапных процедур построены электронные таблицы типа Risk Matrix, которые достаточно широко распространены на российском рынке ⁵¹.

Многоэтапные методики, с предварительным оцениванием ключевых параметров, являются более конструктивными. Примером многоэтапной методики является методика оценки риска, изложенная специальных рекомендациях 800-30 Национального института стандартов и технологий США (NIST), которая предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы ⁵².

Рекомендации NIST разработаны для использования в федеральных организациях США, занимающихся обработкой конфиденциальной информации. При этом назначение системы управления рисками напрямую связывается с возможностью организации выполнять свои (основные бизнес - функции в условиях постоянного расширения сферы использования информационных технологий.

Методика оценки риска, изложенная в специальных рекоменда­циях 800-30, охватывает широкий круг вопросов, связанных со стратегией управления рисками, и является хорошей основой для разработки собственной системы управления рисками. Однако используе­мый механизм оценки риска представлен в виде таблицы, отражающей зависимость риска от двух исходных переменных: потенциального ущерба и вероятности возможного инцидента. При этом значение каждой переменной, включая риск, оценивается по трехуров­невой шкале. Такой «жесткий» ме­ханизм получения оценок риска су­щественно ограничивает возмож­ности всей методики в целом.

Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST явля­ется более конструктивной, по­скольку она позволяет анализиро­вать большее количество парамет­ров по более точным шкалам. Од­нако, по существу, механизм выво­да оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и вели­чиной риска.

Для оценки степени риска при том или ином варианте воздействий применяются различные методики. В зарубежной литературе они получили название «анализ риска» (risk analysis).

Анализ риска – это процесс получения качественной или количественной оценки ущерба, который может быть причинен при реализации угроз безопасности БС, а также оценки возможности реализации угроз.

В настоящее время используются два подхода к анализу рисков — базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей (как правило, при этом проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты).

Таким образом, при проведении полного анализа рисков необходимо:

1.Определить ценность ресурсов;

2.Добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;

3.Оценить вероятность угроз;

4.Определить уязвимость ресурсов;

5.Предложить решение, обеспечивающее необходимый уровень ИБ и оценить остаточные риски.

В ходе анализа рисков проводится их оценка. Под оценкой рисков принято понимать процедуру, включающую в себя идентификацию рисков, выбор параметров для их описания и определение значений этих параметров для каждого риска ⁵³. В зависимости от того, какие параметры используются для описания рисков, и уровня формализации процесса определения значений этих параметров применяются различные методы оценки, общая классификационная схема которых приведена на рисунке 2.1. Краткая характеристика этих методов сводится к следующему.

Особенностью экспертных методов является субъективизм оценок, зависимость результатов оценки от квалификации экспертов. Оценка проводится, как правило, на основе анкетирования (например, по методу «проверочного листа», когда эксперт отвечает на вопросы типа «что будет, если…?» с возможными вариантами ответов). Результаты представляются в вербальной форме, в виде определенным образом составленных таблиц.

При применении экспертных методов важную роль играет построение шкал оценок рисков. В настоящее время в разработанных за рубежом методиках применяются шкалы нечетких суждений, шкалы субъективных вероятностей и шкалы баллов. При этом, как правило, оценивается как уровень возможного ущерба, так и возможность такого ущерба.

В качестве примера в таблице 1 приведены показатели уровня риска с учетом качественных оценок вероятности реализации угрозы и тяжести последствий. Для оценки возможности реализации угрозы (негативных последствий) введена следующая шкала:

1.А – событие практически никогда не происходит (возможно, но исключительно редко);

2.В – событие происходит редко;

3.С – событие возможно в рассматриваемый период времени;

4.Д – событие скорее всего произойдет;

5.Е – событие почти обязательно произойдет.

Для оценки уровня ущерба применяется следующая шкала:

1.N (Negligible) – угрозой можно пренебречь, ущерб крайне мал;

2.Mi (Минор) – последствия легко устранимы, ущерб незначителен;

3.Mo (Moderato) – ущерб средней тяжести, не связан с крупными затратами;

4.S (Serious) – ущерб весьма велик, влияет на выполнение критически важных задач;

5.C (Critical) – ущерб неприемлем, приводит к срыву выполнения критически важных задач.

Таблица 1 – Оценка риска в зависимости от возможности возникновения и величины ущерба.

Оценка возмож­ности возник­новения	Оценка величины ущерба
	Negligible	Minor	Moderate	Serious	Critical
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
B	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
C	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
D	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
E	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

В случае, когда имеется статистика возникновения угроз, возможна количественная оценка возможности возникновения того или иного ущерба при оценке рисков (таблица 2.2). Чаще такую оценку заменяют субъективной вероятностью возникновения ущерба.

Наибольшее применение и популярность нашли балльные методы оценки. Именно этот подход реализован, например, в методе CRAMM ⁵⁴. Суть его состоит в следующем.

Для каждого ответа эксперта на совокупность упорядоченных вопросов устанавливается определенной количество баллов, которые по окончании опроса суммируются. Далее по интервальному критерию, в соответствии с которым устанавливаются интервалы значений суммы баллов, которым ставится в соответствие определенный вывод (суждение) о возможном риске. Несомненным достоинство данного подхода является возможность учета множества косвенных факторов, определяющих последствия реализации угроз и уровень риска соответственно.

Недостатком данного подхода является зависимость не только от знаний эксперта, но и от сферы деятельности организации, что требует подстройки метода под конкретный объект, при этом пока отсутствует доказательство полноты выбранных факторов и правильности весовых коэффициентов (баллов) для каждого ответа.

Общий недостаток экспертных методов связан с затрудненностью их применения для анализа комбинаций событий, приводящих к ущербу.

Особенность расчетно-аналитических методов заключается в необходимости разработки математической модели оценки риска, основанной на расчете либо среднестатистических характеристик риска, либо вероятностей возникновения заданного уровня ущерба.

При статистическом подходе используется ряд статистических параметров, например, среднее значение ущерба, среднеквадратическое отклонение или дисперсия, размах вариации и коэффициент вариации.

Размахом вариации называют разность между максимальным и минимальным значениями признака ряда значений оцениваемого параметра х1, х2, х3, … , хn:

Этот показатель является абсолютным и его применение в сравнительном анализе весьма ограничено, поскольку его величина существенно зависит от крайних значений ранжированного ряда.

Дисперсия рассчитывается для ряда х1, х2, х3, … , хn обычным образом по формуле:

(2.1)

где ;

- среднеквадратическое отклонение.

Коэффициент вариации рассчитывается по формуле:

При рассмотрении некоторого изолированного события никаких особых проблем теоретического характера в принципе не возникает, а риск, связанный с этим событием, может быть оценен на основе набора статистических данных. Проблема состоит в наборе такой статистики, которая зачастую отсутствует для вновь развертываемых систем или для систем, на которых прошла модернизация. Иногда для парирования такой неопределенности применяют три варианта оценки: пессимистическую (kp), наиболее вероятную (kml) и оптимистическую (ko). Безусловно, число исходов может быть увеличено, однако степень разумной достоверности ожидаемых значений ущерба и вероятностей его осуществления при этом, естественно, снизится ⁵⁵.

При вероятностном подходе рассчитываются различные меры риска, основанные на построении вероятностного распределения значений ущерба. Поскольку в большинстве случаев знания о таком распределении отсутствуют, то оценка основывается на декларированном распределении, например, на нормальном с определением возможных отклонений. В целом вероятностный и среднестатистический подходы равносильны.

Графоаналитические методы применяются для выявления причинно-следственных связей между событиями, приводящими к ущербу, и включат в себя методы анализа «деревьев отказов» и «деревьев событий» ⁵⁶.

При анализе деревьев отказов (Fault Tree Analysis) выявляются комбинации отказов (неполадок) программно-аппаратных систем, ошибок персонала и внешних (антропогенных, техногенных, природных) воздействий, приводящих к основному событию (аварийной ситуации, ущербу). Метод используется для анализа возможных причин возникновения ситуации, приводящих к ущербу, и расчета частоты возникновения таких ситуаций.

Анализ дерева событий (АДС, Event Tree Analysis - ETA) алгоритм построения последовательности событий, исходящей из основного (исходного) события и приводящей к тому или иному ущербу (аварийной ситуации). Метод используется для анализа развития «аварийной ситуации». Частота каждого сценария развития аварийной ситуации рассчитывается путем умножения частоты основного события на вероятность конечного события (например, сбой в системе электропитания в зависимости от условий может привести только к простою в работе, а может привести к потере, нарушению целостности информации).

Методы «деревьев отказов и событий» - трудоемки и применяются, как правило, для анализа проектов или модернизации сложных технических систем и производств при наличии обширных статистических данных. Следует отметить, что графоаналитические методы фактически базируются на методах экспертных оценок и расчетно-аналитических методах.

Сводные данные по сравнительному анализу методов оценки рисков приведены в таблице 2

Таблица 2 – Результаты сравнительного анализа методов оценки рисков

Наименование группы методов	Достоинства методов	Недостатки методов	Примечания
Экспертные методы	Простота и лег­кость освоения. Возможность адап­тации под особенно­сти ин­формационной системы	Зависимость результатов от квалификации и знаний экспертов. Сложность формирования группы экспертов. Сложность оценки рисков для динамичных систем.	Находят наи­больше применение на прак­тике и по­стоянно раз­вива­ются и совершенст­вуются

Продолжение таблицы 2

Наименование группы методов	Достоинства методов	Недостатки методов	Примечания
Расчетно-аналитические методы	Позволяют коли­че­ственно оцени­вать и сравнивать на количественной основе риски ин­формацион­ной безопасности	Требуются большие объ­емы статистических дан­ных, разработка доста­точно сложных математи­ческих моделей расчета рисков	Методы находят пока ограниченное приме­нение из-за отсутствия адекват­ных математиче­ских моде­лей и ста­тистики по ущер­бам, связанным с безопасностью ин­фор­мации
Графоаналитические методы	Позволяют стро­ить и анализиро­вать сце­нарии развития си­туа­ций, связанных с безопасностью ин­формации и приво­дящих к ущербу	Весьма трудоемки, тре­буют наличия обширных стати­стических данных	Применяются, как пра­вило, при ана­лизе безо­пасности информации в про­ектируемых или модернизируемых сложных техниче­ских системах

Анализ приведенных методов позволяет сделать следующие выводы:

1. Наибольшее применение для анализа и оценки рисков в настоящее время находят экспертные методы. Несмотря на получаемые с помощь этих методов ориентировочные результаты, их применение позволяет давать достаточно обоснованные прогнозы возможных ущербов от реализации угроз безопасности информации в банковской сфере, выбирать актуальные угрозы и осуществлять «управление рисками»;

2. В отечественной практике отсутствуют методики анализа и оценки рисков. В настоящее время только предпринимаются попытки разработки таких методик;

3. Ни в России, ни за рубежом пока не разработаны теоретические основы и единая методология анализа и оценки рисков. Разработанные и применяемые методики основаны на обобщении и анализе практического опыта обеспечения безопасности информации в банковской сфере;

4. Предложенные в ряде зарубежных стандартов по организации и проведению аудита организаций (в том числе в банковской сфере) подходы к анализу и оценки рисков целесообразно учесть при разработке отечественной методики анализа и оценки рисков нарушения безопасности информации в банковской сфере;

5. Опубликованные документы различных органи­заций, касающиеся управления рисками, не со­держат ряда важных деталей, которые обязательно надо конкретизировать при разработке применяе­мых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов.

6. Невозможно предложить еди­ную, приемлемую для всех, универсальную мето­дику, соответствующую некоторой концепции управления рисками.