Третий этап - оценка рисков. Рассмотрим процесс оценки рисков ИБ методом анализа угроз и уязвимостей. Сначала уровень риска определяется качественным методом, а затем рассчитывается количественная величина.

За основу качественного метода оценки риска можно взять алгоритм, использующийся в методике CRAMM, так как он предполагает распределение уровней рисков по шкале от 1 до 7, что позволяет применять более гибкий подход к определению тех категорий рисков, которые должны быть оценены количественным методом. В качестве входных данных здесь используются три основных показателя.

1. Уровень угрозы ("очень высокий", "высокий", "средний", "низкий" и "очень низкий").

2. Уровень уязвимости ресурса ("высокий", "средний", "низкий").

3. Размер ожидаемых финансовых потерь (по шкале от 1 до 10).

Количественный метод мы позаимствуем из алгоритма методики ГРИФ, так как в случае с банковской сферой является крайне удобным разделение оценок по типам угроз с акцентами на ситуациях "отказ в доступе" и "нарушение конфиденциальности информации". Коротко опишем его основные моменты, обращая внимание на способ вычисления величины риска (для примера рассмотрим угрозу конфиденциальности):

1. Рассчитываем уровень угрозы по конкретной уязвимости:



где - критичность реализации угрозы конфиденциальности в %;

- вероятность реализации угрозы конфиденциальности через данную уязвимость в %.

Получаем значение уровня угрозы по уязвимости в интервале от 0 до 1.

2. Рассчитываем уровень угрозы по всем уязвимостям:

где - уровень угрозы конфиденциальность по уязвимости.

Получаем значение уровня угрозы по всем уязвимостям в интервале от 0 до 1.

3. Рассчитываем общий уровень угроз по ресурсу:

где - уровень угрозы конфиденциальность по всем уязвимостям.

Получаем значение общего уровня угрозы в интервале от 0 до 1.

4. Рассчитывается риск по ресурсу:

где - критичность ресурса по угрозе конфиденциальность. Задается в деньгах или уровнях;

- общий уровень угроз конфиденциальность;

- суммарный риск по трем угрозам.

Получаем значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.



5. Рассчитываем риск по информационной системе:

5.1. Для режима работы в деньгах:

где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

5.2. Для режима работы в уровнях:

где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

Приведем входные параметры качественного и количественного методов к общим обозначениям. Показатель ER, означающий критичность реализации угрозы, соответствует определению уровня угрозы из качественного метода оценки, P(V), означающий вероятность реализации угрозы, соответствует определению уровня уязвимости ресурса, а D, означающий критичность ресурса, соответствует размеру ожидаемых финансовых потерь (Таб.2).



Таблица 2 Соответствие входных переменных из качественного и количественного методов оценки рисков ИБ

Количественная оценка	Качественная оценка
Обозначение	Описание	Единицы измерения	Описание	Шкалы
ER	Критичность реализации угрозы	%	Уровень угрозы	"очень высокий", "высокий", "средний", "низкий", "очень низкий"
P(V)	Вероятность реализации угрозы	%	Уровень уязвимости ресурса	"высокий", "средний", "низкий"
D	Критичность ресурса	От 1 до 10	Размер ожидаемых финансовых потерь	От 1 до 10

Применение метода анализа информационных потоков будет эффективным в случае оценки рисков в системе дистанционного обслуживания клиентов банка. Алгоритм, разработанный компанией Digital Security и описанный выше в данной главе, также подходит для использования в организациях банковской сферы. Рассмотрим отдельно оценку рисков по угрозе "отказ в обслуживании" (рассчитывается время простоя ресурса).

· Определяем базовое время простоя для информации.

· Рассчитываем коэффициент защищенности информации для определенной группы пользователей. Здесь учитываются такие показатели, как права доступа группы пользователей к данной информации, средства резервирования, наличие антивирусного программного обеспечения.

· Рассчитываем время простоя информации с учетом средств защиты информации и времени простоя сетевого оборудования (часы в год).

· Время простоя для информации , учитывая все группы пользователей, имеющих к ней доступ, вычисляется по следующей формуле:



где - максимальное критичное время простоя;

- время простоя для связи "информация - группа пользователей".

· Перемножив итоговое время простоя и ущерб от реализации угрозы, получим риск реализации угрозы "отказ в обслуживании" для связи "информация - группа пользователей".

Процесс оценки рисков должен предусматривать анализ эффективности внедрения конкретных средств защиты (как и в методе ГРИФ).

Четвёртый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.

Пятый этап - генерация отчётов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.



3. Апробирование полученной методики на примере АО "ЮниКредит Банк"

Теперь, когда на основе наиболее активно использующихся методик анализа и оценки рисков информационной безопасности, а также стандартов и рекомендаций ЦБ, разработана наиболее подходящая методика для предприятий банковского сектора, необходимо провести её апробацию на конкретном банке.

3.1 Описание компании, на которой будет проводиться апробация разработанной методики

Для данной работы в качестве рассматриваемой компании был выбран ЮниКредит Банк - крупнейший коммерческий российский банк с иностранным участием, работающий в России с 1989 года и занимающий 10-е место в рейтинге Интерфакс-100 по объему активов по результатам 2014 года. ЮниКредит Банк занимает сильные позиции на российском рынке корпоративных банковских услуг (более 28 000 клиентов-юридических лиц), одновременно входя в число ведущих банков на рынке финансовых услуг для частных клиентов (свыше 1,6 млн. клиентов-физических лиц). Всего в сети банка 104 подразделения, 103 из которых рассредоточены по России, а ещё 1 представительство находится в Республике Беларусь. Общие активы компании составляют 1360,4 млрд. рублей, капитал - 142,07 млрд. рублей.

3.2 Информация, необходимая для проведения анализа и оценки рисков информационной безопасности на предприятии

В связи с тем, что анализ и оценка рисков информационной безопасности должна проводиться экспертами в данной области при участии менеджеров всех уровней, а также требует наличия информации обо всех активах компании и уязвимостях ее системы информационной безопасности, для меня не представляется возможным проведение комплексного анализа рисков ИБ в ЮниКредит банке. Однако в процессе преддипломной практики, которая проходила в вышеупомянутой организации, я была задействована в работе двух связанных между собой подразделений: отделе целевого маркетинга и клиентской аналитики, входящего в состав управления взаимоотношениями с клиентами, и отделе анализа эффективности розничной сети, входящего в управление коммерческого планирования и контроля.

В процессе работы была возможность ознакомиться с организационной структурой банка, некоторыми используемыми программными продуктами (SAS Enterprise Guide, Lotus Notes, MyClient), информацией, к которой можно получить доступ через эти приложения, способами взаимодействия между подразделениями и отдельными сотрудниками, политикой информационной безопасности и прочими характеристиками и особенностями работы данного банка.

Кроме того, мной были замечены некоторые интересные особенности обеспечения информационной безопасности рабочего места сотрудника: ограниченный доступ в Интернет, невозможность использования незарегистрированных внешних носителей информации, при отключении от компьютера периферийных устройств ввода информации невозможность подключения тех же самых устройств без выхода из системы с последующим повторным подключением. Эта информация позволит выявить или наоборот исключить возможность наличия уязвимостей в определенных местах системы информационной безопасности банка.



3.3 Анализ и оценка рисков информационной безопасности в АО "ЮниКредит Банк" с использованием разработанной методики

Комплексный анализ и оценка рисков даже небольшой части информационной системы банка по разработанной методике - это крайне сложная и ответственная задача. В данной работе мы ограничимся проверкой логичности полученного алгоритма на примере АО "ЮниКредит Банк", а также качественной и количественной оценкой риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.

Первый этап - подготовительный.

1. Определяем критерии принятия риска.

Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.

2. Определяем границы исследуемой системы.

В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника отдела целевого маркетинга и клиентской аналитики.

3. Назначаем роли:

· ответственный за коррекцию методики оценки рисков в случае обнаружения её недостаточной эффективности;

· ответственный за нарушение подхода к оценке рисков;

· ответственный за оценку рисков нарушения ИБ;

· ответственный за разработку планов обработки рисков нарушения ИБ.

4. Выбираем актуальные для нас классы ресурсов, угроз, уязвимостей, потерь и группы пользователей.

· Ресурсы: аппаратные, программные.

· Угрозы по источникам: связанные с ЧС, с внутренними/внешними нарушителями ИБ, с техническими сбоями и др.

· Уязвимости: по недостатку технических, организационных, физических средств ЗИ.

· Потери: конфиденциальности, целостности и доступности.

· Группы пользователей: сотрудники компании.

Второй этап - более подробное описание исследуемой системы. В силу того, что мы ограничиваем исследуемую ИС до рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них (Таб.3).

Таблица 3 Самые ценные ресурсы исследуемой системы

Класс ресурса	Ресурс	Информация	Критичность ресурса, D
Аппаратный	Рабочая станция	Финансовая отчетность	= 10
		Конфиденциальная информация о работе отдела
			= 2
		Персональные данные клиентов
			= 5
		Инф. о счетах
		Инф. о транзакциях
		Корпоративная электронная почта
Программный	SAS Enterprise Guide	Персональные данные клиентов	= 10
			= 3
			= 4
		Инф. о счетах
		Инф. о транзакциях
	Lotus Notes	Корпоративная электронная почта	= 10
			= 7
			= 4
	MyClient	Персональные данные клиентов	= 10
			= 9
		Финансовая отчетность	= 7

Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (Таб.4). Экспертами в области информационной безопасности должен быть составлен список вопросов, в результате ответов на которые будут получены оценки критичности ресурсов, критичности реализации угроз и вероятности реализации угроз. Мы назначим данные величины сами.

Выделим две угрозы по ресурсу "Рабочая станция", одна из которых реализуется с помощью двух уязвимостей. Для каждой угрозы рассчитаем показатели конфиденциальности, целостности и доступности ресурса.

Таблица 4 Угрозы безопасности и уязвимости исследуемой системы

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации	Автоматический выход из системы происходит только через 10 минут бездействия пользователя
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации	Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе

Третий этап - оценка рисков.

Определяем уровень риска качественным методом:

1. Переводим показатели ER и P(V) из процентов в качественные показатели следующим образом (Таб.5):



Таблица 5 Перевод показателей из количественных в качественные величины

ER	P(V)
0 - 20%	"очень низкий"	0 - 33%	"низкий"
21 - 40%	"низкий"
		34 - 66%	"средний"
41 - 60%	"средний"
61 - 80%	"высокий"	67 - 100%	"высокий"
81 - 100%	"очень высокий"

2. По матрице оценки рисков методики CRAMM (Рис.3) смотрим, какому уровню соответствует риск реализации угрозы через определенную уязвимость. Результат качественной оценки показан в таблице 6.

Таблица 6 Результат количественной оценки рисков.

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)	Качественная оценка
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации	Автоматический выход из системы происходит только через 10 минут бездействия пользователя	- "высокий"	- "низкий"	6
		- "очень низкий"	- "низкий"	5
		- "средний"	- "низкий"	6
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации	Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой	- "высокий"	- "низкий"	6
		- "очень низкий"	- "низкий"	5
		- "средний"	- "низкий"	6
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе	- "высокий"	- "низкий"	6
		- "очень низкий"	- "низкий"	5
		- "средний"	- "низкий"	6



В результате качественной оценки получаем, что ни один риск не является приемлемым, а значит необходимо проведение количественной оценки. Для удобства обозначим первую угрозу , а вторую , при этом будет означать реализацию второй угрозы через первую уязвимость, а - реализацию второй угрозы через первую уязвимость с нарушением свойства конфиденциальности ресурса.

Определяем уровень риска количественным методом:

1. Рассчитываем уровень угрозы по конкретной уязвимости:

2. Рассчитываем уровень угрозы по всем уязвимостям (для первой угрозы данный показатель уже рассчитан, так как она может быть реализована только через одну уязвимость):



01

3. Рассчитываем общий уровень угроз по ресурсу:

4. Рассчитывается риск по ресурсу:

5. Расчет риска по информационной системе для нас невозможен, так как в данной работе мы ограничиваемся оценкой риска по одному ресурсу.

Четвёртый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ. Пятый этап - генерация отчётов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.



Заключение

В результате проделанной работы была осуществлена разработка методик анализа и оценки рисков информационной безопасности в банковской сфере на основе существующих стандартов, рекомендаций Банка России и методик построения комплексной системы защиты информации на предприятии. Кроме того, полученные результаты были апробированы на примере АО "ЮниКредит Банк".

Таким образом, поставленные в ходе осуществления исследования цели и задачи были достигнуты.



Список использованной литературы

1. Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности"

2. ISO/IEC 27001:2005. "Information technology. Security techniques. Information security incident management".

3. ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"

4. ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"

5. Баранова Е.К, Бабаш А.В. (2014). Информационная безопасность и защита информации. Москва: ИЦ РИОР: НИЦ Инфра-М

6. Microsoft security center of excellence. (unpublished). The Security Risk Management Guide. URL: http://www.microsoft.com/en-us/download/

7. RiskWatch. RiskWatch user's manual. URL: http://www.riskwatch.com.

8. Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург.

9. S.T. Katircioglu, M. Tumer, C. Kэlэnз, "Bank selection criteria in the banking industry: An empirical investigation from customers in Romanian cities", African Journal of Business Management Vol. 5(14), pp. 5551-5558, 18 July, 2011

10. L. Denton, A. K.K. Chan, (1991) "Bank Selection Criteria of Multiple Bank Users in Hong Kong",International Journal of Bank Marketing, Vol. 9 Iss: 5, pp.23 - 34

11. Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации": "Общие положения" СТО БР ИББС-1.0-2014 [от 01-06-2014] // Сайт Банка России www.cbr.ru.

12. Рекомендации Банка России в области стандартизации "Обеспечение информационной безопасности организаций банковской системы Российской Федерации": "Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 [от 01-01-2010] // Сайт Банка России www.cbr.ru.

13. URL: https://technet.microsoft.com/ru-ru/security/cc185712.aspx Дата обращения: [16.05.2015]

14. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/ Дата обращения: [16.05.2015]

15. Peltier, Thomas R "Information security risk analysis". Auerbach 2001. ISBN 0-8493-0880-1

Размещено на Allbest.ru