Анализ информационных рисков
Завгородний В.И.
Понятие информационного риска
Понятие "информационный риск" появилось недавно - в середине 90-х годов прошлого столетия. Пока еще не сложилось общепринятого толкования категории "информационный риск". Опуская анализ подходов современных специалистов к понятию "информационный риск", представим его следующее определение: информационный риск - это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию.
Понятие "информационная система" включает в себя все ресурсы предприятия, в том числе и сотрудников, которые используются для получения, хранения, обработки, передачи и применения информации, независимо от формы ее представления. Поэтому понятие "информационный риск" включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб или убытки предприятия.
Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.
Понятие "информационный риск" можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает негативных явлений, которые непосредственно не связаны с информационной системой предприятия и происходят во внешней среде. То есть, к информационным рискам следует относить также события, связанные с незаконным использованием информации или искажением во внешней среде информации, относящейся к предприятию. Такие события наносят ущерб предприятию в результате изменений, которые происходят во внешней среде под воздействием этих событий.
Тогда информационный риск - это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия, а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационные риски приводят к ущербам и убыткам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам.
Информационные риски, по виду вызываемого ими ущерба, будем делить на прямые и косвенные. Прямые риски приводят к ущербу, непосредственно связанному с необходимостью восстановления работоспособности объектов информационной системы и восстановления информационных ресурсов. К таким рискам относятся повреждение помещений и оборудования, отказы программных и технических средств, требующих ремонта, замены и восстановления утраченной информации.
Косвенные информационные риски вызывают ущерб вследствие использования в основных бизнес-процессах предприятия информации низкого качества. Информация недостоверная, неполная, недоступная в течение времени, превышающего допустимое, информация, утратившая актуальность или конфиденциальность вызывает убытки предприятия.
К косвенным информационным рискам будем относить также риски, наносящие ущерб предприятию в результате изменений внешней среды, которые произошли вследствие реализации информационных рисков в информационной системе.
Анализ сущности информационных рисков и других экономических рисков позволяет сделать заключение о том, что любой экономический риск включает в себя информационную составляющую, то есть является и информационным риском. Соотношение информационного и собственно экономического риска для разных рисков различно и определяется значением информации для определенных видов экономической деятельности предприятий и особенностями бизнес-процессов.
АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ
Целью проведения анализа информационных рисков является получение по возможности наиболее полных характеристик тех информационных рисков, которые могут нанести существенный вред предприятию и вероятность наступления которых не позволяет пренебречь ими. Такие риски назовем значимыми.
Для полного и всестороннего анализа информационных рисков необходимо использовать методологию системного исследования явлений. Данный подход применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности действий:
идентификация информационных рисков;
определение механизма воздействия информационных рисков на информационную систему предприятия;
выявление источников, факторов рисков и причин их порождающих;
определение взаимосвязи информационных рисков;
классификация рисков;
выбор показателей оценки рисков;
выбор методов и средств оценки рисков;
оценка рисков;
определение тенденций развития информационных рисков.
Проведение анализа информационных рисков необходимо начинать с построения информационной модели предприятия. Модель должна включать по возможности подробный перечень информационных объектов, выполняемых этими объектами функций, а также связей объектов. В нее необходимо включать также сведения о внутренних и внешних информационных потоках, об особенностях информации, степени ее важности.
В модели должны быть сведения о взаимодействии информационной системы (ИС) с внешними системами и с бизнес-процессами предприятия. Информационная модель предприятия должна отражать особенности всех режимов функционирования ИС, возможные изменения внешней среды, в том числе смежных систем.
Идентификация рисков заключается в определении тех информационных рисков, которые возможны в исследуемой ИС. Составление полного перечня возможных информационных рисков предполагает выполнение следующего комплекса мероприятий. В информационной модели выделяются типовые информационные объекты, такие как рабочее место специалиста, телефонная сеть, технические средства хранения информации, специалист конкретного профиля и уровня компетентности и так далее.
Структурируются информационные процессы информационной системы по стадиям получения, обработки, хранения и передачи информации, по уровням иерархии, по важности информации.
Специалист-аналитик включает в список возможных информационных рисков предприятия те из них, которые потенциально могут иметь место в конкретной ИС для каждого типового информационного объекта и процесса. Полные списки всех возможных информационных рисков специалист получает по результатам собственных исследований и обследований, из научно-технической литературы, стандартов, методических рекомендаций и тому подобного. информационный риск безопасность угроза
Под механизмом воздействия информационного риска на ИС понимаются физический принцип, лежащий в основе явлений и процессов, которые могут привести к реализации риска, алгоритмы, методы и средства реализации риска, а также последствия реализации риска для информационных объектов и процессов. При анализе механизма воздействия информационного риска учитывается зависимость возможного наступления негативного события от режимов функционирования объектов, временных рамок информационных процессов.
Одной из основных задач анализа рисков является установление причинно-следственных связей, лежащих в основе информационных рисков. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.
Во многих работах [1, 2] для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.
При анализе информационных рисков используют их классификацию и данные анализа информационной модели предприятия. Применение классификации позволяет упростить процесс анализа рисков, использовать стандартные методологии управления рисками определенных классов. Классификация позволяет в дальнейшем избежать неоправданного дублирования защитных механизмов.
Нам не известны классификации информационных рисков в том понимании этого термина, которое представлено в данной работе. В то же время специалистами в области защиты информации создано значительное количество различных классификаций угроз безопасности информации [1,2].
Анализ существующих более простых классификаций угроз безопасности информации показывает, что полную классификацию информационных рисков для научно-практических целей в виде плоской схемы создать невозможно. Предлагаемые трехмерные классификации [1] обладают малой наглядностью и практической значимостью.
Чтобы выполнить приведенные требования к построению классификации информационных рисков, предлагается использовать индексированную схему классификации и таблицу. Схема, представленная на рисунке, показывает разделение информационных рисков на группы по одному из пяти классификационных признаков. Каждой группе присваивается свой индекс. В таблицу (представлен только ее фрагмент) сведены все основные риски. С помощью индексов для каждого информационного риска можно определить его место в классификации по всем классификационным признакам.
Классификация информационных рисков
В таблице информационные риски сгруппированы по механизму воздействия риска. Табличная форма позволяет указывать с помощью индексов на свойства рисков, которые являются альтернативными. Так для определенного риска может быть указано, что его источником может быть как внутренняя, так и внешняя среда.
Практически все информационные риски ухудшают несколько показателей качества информации. При необходимости такая таблица может быть дополнена еще одним столбцом. В него можно было бы помещать индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.
Таблица 1 - Фрагмент классификационной таблицы информационных рисков
|
Информационный риск |
Индекс |
|||||
|
Механизм воздействия |
Источник риска |
Характер риска |
Вид ущерба |
Результат воздействия |
||
|
Пожары |
1 |
A B |
c |
€ $ |
б в г щ |
|
|
Наводнения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Землетрясения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Ураганы |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Взрывы |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
Аварии в системе электропитания, водоснабжения, отопления |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
… |
… |
… |
… |
… |
… |
Данная классификация обладает еще одним достоинством. Таблицу легко можно дополнять вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть, таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков. При желании таблица может включать и другие результаты анализа, например, сведения о причинах, факторах рисков и другую информацию. Размерность таблиц ограничивается лишь соображениями удобства работы с ней.
Приведенная таблица классификации может включать большее или меньшее число информационных рисков. Для предприятий одного профиля могут быть разработаны типовые классификации, которые при необходимости корректируются с учетом специфики конкретного предприятия. Более детальное представление информационных рисков возможно, если ввести разделение рисков в группах на подгруппы.
Таким образом, данный подход позволяет создавать гибкую классификацию информационных рисков, обеспечивая требуемую полноту и удобство практического использования. Формализованное табличное представление результатов позволяет выполнять автоматизированную обработку полученных результатов и получать необходимые сведения для управления информационными рисками. Классификация информационных рисков является завершающим этапом первой части алгоритма анализа информационных рисков.
Литература
1. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. М.: Энергоатомиздат, 1994.
2. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос, 2001. - 264 с.