Инструменты пользователя

Инструменты сайта


публикации:upravlenie-informatsionnymi-riskami-predpriyatiya

Управление информационными рисками предприятия

INFORMATION RISK MANAGEMENT OF THE COMPANY

Авторы
ЕГОРОВА ГАЛИНА ВЛАДИМИРОВНА
ФЕДОСЕЕВА ОЛЬГА ЮРЬЕВНА
Журнал
ВЕСТНИК ВОЛЖСКОГО УНИВЕРСИТЕТА ИМ. В.Н. ТАТИЩЕВА
Выпуск № 2[24] / 2015
Ключевые слова: управление, информационная безопасность, информационные риски, анализ информационных рисков.


Аннотация: рассматриваются теоретические и практические аспекты управления информационными рисками, а также подходы к анализу информационных активов и информационных рисков. Приводятся рекомендации по выделению информационных активов предприятий, а также примеры таблицы рисков и политики безопасности.


В настоящее время проблема защиты информации приобрела более острый характер в связи с распространением сетевых технологий и мобильных цифровых устройств. Защита конфиденциальных данных и снижение информационных рисков стала одной из главных задач любого бизнеса. Почти каждая компания располагает торговыми или промышленными секретами, приватными сведениями своих сотрудников, клиентов и партнеров, а в некоторых случаях интеллектуальной собственностью и другими цифровыми активами. Обеспечение информационной безопасности (ИБ) предприятия является одной из важнейших задач руководства, а также важной частью менеджмента всей организации. Управление информационной безопасностью - не просто организация антивирусной защиты, это обеспечение бесперебойности всех бизнес-процессов предприятия.

Учитывая тот факт, что одними из важнейших функций систем управления информационной безопасности предприятия являются анализ информационных рисков предприятия и планирование и реализация мер по минимизации информационных рисков, соответственно, управление рисками является актуальным теоретическим и практическим направлением исследований.

Изученный опыт управления информационными рисками предприятий [2,3] показывает, что для максимальной минимизации информационных рисков необходимо тщательно изучить информационные потоки предприятия, угрозы, оценить риски и только потом подбирать оптимальные методы и средства защиты информации, заниматься их внедрением и управлением.

Информационные потоки любого предприятия довольно объемны и разнообразны, так как они охватывают процессы по работе с клиентами, технологические процессы, производственные, процессы проектирования, экономические, финансовые, бухгалтерские и другие [1].

Исходя из основной деятельности практически любого предприятия и изучения информационных потоков, можно выделить следующие типы документации, сопровождающие процессы предприятия:

  1. Технологическая документация (в электронной и бумажной форме).
  2. Документация, содержащая коммерческую тайну (в электронной и бумажной форме).
  3. Документация, содержащая персональные данные сотрудников и клиентов (в электронной и бумажной форме).
  4. Финансовая и бухгалтерская документация (в электронной и бумажной форме).
  5. Экономическая и управленческая документация (в электронной и бумажной форме) и др.

Для выделения угроз и проведения анализа информационных рисков необходимо составить список активов предприятия (информационных и связанных с ними технических), которые необходимо защитить.

К информационным активам предприятий в соответствии с представленными выше потоками относятся:

  1. Базы персональных данных сотрудников и контрагентов (обработка и хранение регулируются Законом РФ «О персональных данных») - тип -конфиденциальная информация.
  2. Проектно-сметная документация и техническая документация, в которой хранятся документы, содержащие сведения о ноу-хау, патентную информацию (обработка и хранение регулируется частью 4 Гражданского кодекса РФ) - тип -конфиденциальная информация.
  3. Электронные и бумажные архивы документов и договоров, содержащих коммерческую информацию (обработка и хранение регулируются Законом РФ «О коммерческой тайне») - тип -конфиденциальная информация.
  4. Финансовая и бухгалтерская отчетность в электронном и бумажном виде - тип - конфиденциальная информация.
  5. Вычислительные сети (рабочие станции, серверы, сетевое оборудование, кабельная система) (аппаратные компоненты информационных систем (ИС)).
  6. Интернет-сервисы (поисковые системы, электронная почта и др.) (аппаратные и программные компоненты ИС).
  7. Программное обеспечение, установленное на клиентских машинах и сервере (программные компоненты ИС) и другие.

Далее необходимо выявить все возможные типы угроз для предприятия и оценить риски, при этом необходимо также учитывать, что источники угроз безопасности могут находиться как внутри предприятия - внутренние источники, так и вне его - внешние источники. Такое деление оправдано потому, что для одной и той же угрозы (например, кража) методы парирования для внешних и внутренних источников будут разными. Так как перечислить весь список всевозможных угроз и проанализировать его практически невозможно, можно провести анкетирование и интервьюирование руководства и сотрудников предприятия, работающих с информационными активами предприятия. На основе полученных данных выделить основные угрозы информационной безопасности для конкретного предприятия и подобрать меры противодействия.

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности конфиденциальной информации (КИ) для данной ИС. Далее приведен пример таблицы рисков (таблица 1), которую необходимо построить на основе полученной информации. Таблицы рисков строятся в соответствии с выбранной методикой анализа рисков, анализ рисков можно также провести с помощью программных средств.

В приведенном примере таблицы рисков коэффициент реализуемости угрозы Y определен соотношением Y = + Y2)/20. По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

  • если О < У < 0,3, то возможность реализации угрозы признается низкой;
  • если 0,3 < 7 < 0,6, то возможность реализации угрозы признается средней;
  • если 0,6 < 7< 0,8, то возможность реализации угрозы признается высокой;
  • если У > 0,8, то возможность реализации угрозы признается очень высокой.

Далее на основе выделенных угроз и полученных показателей рисков мы можем подобрать методы и средства защиты информации для конкретного предприятия, реализации выделенных угроз. максимально снижающие возможность реализации угрозы признается средней

Таблица 1 - Таблица рисков

Описание атаки Коэффициент исходной защищенности (Y1) Вероятность реализации угрозы (Y2) Коэффициент реализуемости угрозы (Y) Пояснение
Угроза 1. Преднамеренное удаление (искажение) информации (персональных данных, коммерческой информации) неавторизованным пользователем10 10 1Возможность реализации угрозы признается очень высокой
Угроза 2. Случайное или преднамеренное удаление (искажение, реализации угрозы нарушение) доступности информации (персональных данных, коммерческой высокой информации) авторизированным пользователем 10 10 1Возможность признается очень
Угроза 3. Потеря (искажение, нарушение) доступности информации в результате сбоев в работе (выход из строя аппаратных компонентов ИС)520,35 Возможность реализации угрозы признается средней
Угроза 4. Потеря (искажение, нарушение) доступности информации в результате сбоев в работе программных компонентов ИС 10 50,75Возможность реализации угрозы признается высокой
Угроза 5. Потеря (искажение, нарушение) доступности информации в результате воздействия вредоносного ПО550,5Возможность реализации угрозы признается средней
Угроза 6. Хищение документации посторонними лицами520,35Возможность реализации угрозы признается средней
Угроза 7. Нарушение доступности информации в результате сбоев в работе активного сетевого оборудования520,35Возможность реализации угрозы признается средней

В рамках управления информационными рисками предприятия рекомендуется внедрять и использовать существующие политики безопасности. Политика безопасности - это качественное или качественно-количественное выражение свойств защищенности в терминах, представляющих систему. Описание политики безопасности может включать или учитывать свойства злоумышленника и объекта атаки. Существуют два типа политики безопасности: дискреционная и мандатная.

Основу мандатной политики безопасности составляет мандатное управление доступом, которое подразумевает, что все субъекты и объекты системы должны быть однозначно идентифицированы и задан линейно упорядоченный набор меток секретности.

Основная цель мандатной политики безопасности - предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа. Основой дискреционной политики является дискреционное управление доступом, которое определяется двумя свойствами:

  • все субъекты и объекты должны быть идентифицированы;
  • права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

Руководителями предприятий в рамках управления рисками можно использовать неформальное описание политики безопасности [4], пример которого представлен в таблице 2. Всех сотрудников предприятия можно разделить на группы, например администраторы и пользователи информационной системой организации.

Таблица 2 - Неформальное описание политики информационной безопасности предприятия

Операции Коммерческая информация и персональные данные Технологическая документация Общедоступная информация
Формирование базы данных Администратор формирует информацию Администратор формирует информацию Пользователь формирует информацию
Создание документов Администратор создает информацию, отвечает за её немедленную классификациюПользователь, создающий информацию, отвечает за её классификациюПользователь, создающий информацию, отвечает за её классификацию
Маркировка документовДокумент должен идентифицировать владельца и быть отмеченным как «Конфиденциально» на обложке или титульном листеНет специальных требованийДокумент должен быть отмеченным как «Общедоступный» на обложке или титульном листе
Размножение документовОсуществляется администратором информацииРазмножение только для деловых целейНет специальных требований
Посылка документов по почтеМетка «Конфиденциально» на обложке или титульном листе. Подтверждение о получении по требованию владельца информацииТребования определяются администраторомНет специальных требований
Уничтожение документовАдминистратор уничтожает документы, которые необходимо удалить, и реализует невозможность их восстановленияКонтролируется физическое разрушениеНет специальных требований
Хранение документов Заперты, если не используются Оригинал охраняется от уничтоженияОригинал охраняется от уничтожения
Доступ к документам Администратор организует правила доступа к документу, обычно сильно ограниченныеАдминистратор организует правила доступа к документу, обычно широкодоступныеНет специальных требований
Рассмотрение уровня классификации документаАдминистратор определяет дату пересмотра классификации документаАдминистратор определяет дату пересмотра классификации документаНет специальных требований

На основе разработанной политики информационной безопасности разрабатываются организационно-методические документы по защите информации, которые являются важной частью управления информационными рисками.

Для обеспечения информационной безопасности используются следующие виды программного обеспечения: антивирусы, корпоративные брандмауэры и средства обнаружения атак. Но программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила применения компьютеров, сети и данных, а также процедуры, предназначенные для предотвращения нарушения этих правил и для реакции на подобные нарушения, если таковые возникнут. Полезные рекомендации на этот счет содержатся в международных стандартах, в частности в международном стандарте безопасности информационных систем ISO 17799. Выбор аппаратных и программных средств обеспечения безопасности во многом определяется политикой, выработанной конкретной компанией.

Предложенные нами рекомендации могут быть использованы менеджерами и специалистами по защите информации на любом предприятии в процессе управления информационными рисками и при разработке системы управления информационной безопасностью предприятия.

Библиографический список

  1. Альшанская, Т.В. Проблемы информационной безопасности на предприятиях [Текст] / Т.В. Альшанская, Е.А. Гурьянова, Ю.В. Королькова / Развитие науки и образования в соврем. мире : сб. тр. Междунар. науч.-практ. конф. - Люберцы: АР-Консалт, 2014. - Ч. 3. - С. 97-99.
  2. Атаманов, Г.А. Азбука безопасности. Методология обеспечения информационной безопасности субъектов информационных отношений [Текст] / Г.А. Атаманов / Защита информации. - 2014. - № 5. - С. 8-13.
  3. Башмачникова, Е.В. Исследование условий достижения системой состояния максимальной эффективности [Текст] / Е.В. Башмачникова, Л.А. Абрамова / В мире научных открытий. - 2011. - № 10-2. - С. 810.
  4. Вестервельт, Р. Разработка критериев для принятия решений по управлению ИТ-рисками [Текст] / Р. Вестервельт / Безопасность ИТ-инфраструктуры. - № 1. - М.: Инфопресс, 2012. - 23 с.
  5. Глухова, Л.В. Информационно-аналитическая деятельность по обеспечению экономической безопасности [Электронный ресурс] / Л.В. Глухова / Наука -промышленности и сервису. VIII междунар. науч.-практ. конф. - Тольятти: ПВГУС, 2013. - Ч. 1. - С. 78-80. - Документ Adobe Acrobat.
  6. Грибунин, В.Г. Комплексная система защиты информации на предприятии [Текст] / В.Г. Грибунин, В.В. Чудовский. - М.: Академия, 2009. - 412 с.
  7. Егорова, Г.В. Информационная безопасность ERP-систем [Текст] / Г.В. Егорова, А.В. Шляпкин / Информационные системы и технологии: управление и безопасность. -Тольятти: ПВГУС, 2014.
  8. Егорова, Г.В. Проектирование педагогического исследования как современный метод обучения при формировании компетенций в области использования информационных технологий в профессиональной деятельности [Текст] / Г.В. Егорова / Найновите научни постижения - 2014. X Международна научна практична конференция. - София, 2014.
  9. Информационные системы и технологии: управление и безопасность [Электронный ресурс] = II International Scientific-Practical Conference. Infomation Systems and Technology: Management and Security: II междунар. заоч. науч.-практ. конф.: сб. ст.: дек. 2013, Поволж. гос. ун-т сервиса, Русенск. ун-т «Ангел Кънчев» (Болгария); [пред. редкол. Л.И. Ерохина]. - Тольятти-Русе: ПВГУС. - Документ Adobe Acrobat, 2013. - 7,54 МБ, 191 с.: ил.
  10. Корт, С.С. Теоретические основы защиты информации [Текст] / С.С. Корт. - М.: Гелиос АРВ, 2004.
  11. Митрофанова, Я.С. Разработка и внедрение системы управления информационной безопасностью на промышленном предприятии [Электронный ресурс] / Я.С. Митрофанова Наука - промышленности и сервису. VIII междунар. науч.-практ. конф. - Тольятти: ПВГУС, 2013. - Ч. 1. - С. 93-96. - Документ Adobe Acrobat.
публикации/upravlenie-informatsionnymi-riskami-predpriyatiya.txt · Последние изменения: 2015/12/29 15:54 — Павел Кульков