«Открытые системы» , № 08, 2006 1629 прочтений

Методологии управления ИТ-рисками

Высокие технологии позволяют не только повысить эффективность бизнес-процессов, но и могут стать источником колоссального ущерба. Поэтому ИТ-рисками необходимо управлять также, как и традиционными бизнес-рисками.

Алексей Пастоев

Высокие технологии позволяют не только повысить эффективность бизнес-процессов, но и могут стать источником колоссального ущерба. Поэтому ИТ-рисками необходимо управлять также, как и традиционными бизнес-рисками.

Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность. На Западе законодательство предписывает компаниям управлять ИТ-рисками, к примеру, в США этого требует закон Сарбейнса-Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799, ISO27001, также предусматривают механизмы управления ИТ-рисками. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно спланировать мероприятия по ее поддержке.

К сожалению, не существует очевидных правил, утверждающих, в каком конкретном случае следует применять ту или иную методологию управления ИТ-рисками, например CORAS [1], OCTAVE (www.cert.org/octave) или CRAMM (www.cramm.com). В российских компаниях ситуация осложняется ограничениями отечественных программных продуктов, предназначенных для оценки и управления ИТ-рисками. Большинство из них, увы, базируются не на методологиях управления ИТ-рисками, а на стандартах информационной безопасности, например BS7799 или ISO17799, а потому позволяют определить не уровень ИТ-рисков, а степень соответствия тому или иному стандарту. Кроме того, обычно они не учитывают мнения владельцев информационных активов при определении величин потенциального ущерба.

Методологии управления ИТ-рисками

coras. Методология CORAS [1] разработана в рамках программы Information Society Technologies. Ее суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA [1].

CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management. В этом стандарте учтены рекомендации, изложенные в документах ISO/IEC TR 13335-1: 2001 Guidelines for the Management of IT Security и IEC 61508: 2000 Functional Safety of Electrical/Electronic/Programmable Safety Related.

В соответствии с CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, но с нескольких сторон, а именно как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений [6].

OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Ключевые элементы OCTAVE:

идентификация критичных информационных активов;
идентификация угроз для критичных информационных активов;
определение уязвимостей, ассоциированных с критичными информационными активами;
оценка рисков, связанных с критичными информационными активами.

OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий. Имеются коммерческие программные продукты, реализующие положения OCTAVE.

CRAMM. Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, различаются своими базами знаний, или «профилями».

CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер. Имеются коммерческие программные продукты, реализующие положения CRAMM. В частности, компания Siemens предлагает продукты CRAMM Expert и CRAMM Express.

Оценка методологий

До принятия решения о внедрении той или иной методологии управления ИТ-рисками следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий. В качестве критериев оценки при сравнении методологий управления ИТ-рисками целесообразно воспользоваться стандартом COBIT (www.isaca.org/cobit).

Аббревиатура COBIT (Control Objectives for Information and Related Technologies) подразумевает под собой набор документов, в которых изложены принципы управления и ИТ-аудита, основанные на лучших мировых практиках. В качестве критериев оценки методологий управления ИТ-рисками можно использовать инструкции COBIT по аудиту ИТ-процесса «Оценка рисков».

Используя COBIT для анализа методологий управления ИТ-рисками, следует учитывать, что существуют некоторые ограничения. Например, методология OCTAVE предусматривает адаптацию к конкретным условиям применения, а COBIT нет. При выборе методологии управления рисками не последнюю роль играют стоимость и время внедрения. Эти параметры не включены в оценку, так как они субьективны и могут сильно варьироваться в разных компаниях. Метод сравнительного анализа не учитывает объем, в котором компания планирует внедрение методологии, то есть, организация может поставить своей целью только выявление и оценку величины рисков без управления ими или без мониторинга. Согласно стандарту COBIT, концепция управления рисками подразумевает обход риска, его снижение или принятие. Такой способ управления рисками, как их перенос (т.е. страхование), не рассматривается. Перенос риска обычно используется в тех случаях, когда вероятность наступления нежелательного события мала, а потенциальный ущерб относительно высок.

Сравнение методолгий управления ИТ-рисками

Примечание. + отвечает критерию; – не отвечает критерию; ? соответствие критерию зависит от других факторов.

На практике заказчик всегда хочет получить не только результаты первоначальной оценки ИТ-рисков и рекомендации по их снижению, но и простой в использовании инструмент такой оценки. Большое внимание он уделяет ясности получаемых результатов оценки ИТ-рисков и их связи с рекомендуемыми действиями по снижению последних. Инструмент оценки ИТ-рисков должен позволять отследить связи между выявленными рисками и причинами, которые ведут к ним. По моему мнению, этим требованиям лучше всего отвечает OCTAVE.

Литература

Bjorn, A.G. (January 2002). CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security (www.nr.no/coras)
Alberts, C.J. & Dorofee, A.J. (June 2001). OCTAVE Method Implementation Guide Version 2.0. Carnegie Mellon University (www.cert.org/octave/omig.html)
Alberts, C.J. & Dorofee, A.J. (June 2002). Managing Information Security Risks — The OCTAVE Approach. Pearson Education Ltd.
Model Based Security Risk Analysis for Web Applications:The CORAS Approach. EuroWeb2002.
Insight Consulting. (2003). CRAMM Expert Walkthrough and Overview — Flash Presentation.
Программы CORAS Tool 2.0 (coras.sourceforge.net/downloads.html).

Алексей Пастоев (apastoev@kerberus.ru) — генеральный директор компании «Керберус» (Москва).

Терминология COBIT

Риски

Типы рисков — классификация рисков по источнику или их природе. Примером могут послужить риски, связанные с нарушением законодательных актов, использованием той или иной технологии, нарушением бизнес-процессов.
Приемлемый уровень риска — его пороговое значение. Риски ниже приемлемого уровня или равные ему должны быть приняты руководством компании, а оставшиеся — минимизированы.
Стандарт управления рисками — схема, позволяющая определить, каким образом компания производит снижение тех или иных рисков, какие механизмы при этом использует, в каких случаях и как происходит принятие рисков или их снижение.
Матрица ИТ рисков — таблица, представляющая собой картину рисков, «снимок» величин ИТ-рисков на момент проведения оценки.

Руководство рисками

Владелец процессов оценки рисков — ответственный за все процессы и мероприятия, из которых состоит управление рисками.
План работ по снижению рисков — методология управления рисками, содержит правила разработки рекомендаций для снижения рисков, а план должен включать в себя задачи по улучшению процессов оценки рисков.
Политики и процедуры — утвержденные корпоративные правила. Политики и процедуры определяют, каким образом должно осуществляться управление рисками на различных уровнях иерархии компании.
Обновление величин рисков — механизм, позволяющий на регулярной основе проводить оценку рисков и отслеживать их динамику, поскольку величины рисков постоянно находятся в движении, что может обеспечивать появление новых рисков.
Глобальный и системный уровни оценки ИT- рисков — уровни, на которые методология оценки ИТ-рисков должна разделять свои задачи. Системный уровень — это уровень оборудования и операционной системы, базы данных, приложения, в то время как глобальный — это уровень организации процессов.
Резюме для руководителя — оповещение, которое должно быть включено в методологию управления ИТ-рисками и преследует цель донести до руководства своевременную и точную информацию для управления компанией..
Стратегия управления ИТ-рисками — методология управления рисками, предусматривающая способы управления рисками, например исключение (обход), снижение, принятие и страхование.

Идентификация

Определение компонентов риска — материальные и нематериальные активы, степень их защищенности, ценность, угрозы, потенциальный ущерб и вероятность реализации угроз.
Области рисков — бизнес-риски, нарушение законодательства, коммерческие, технологические и та область рисков, которая связана с человеческим фактором.
Обновление матрицы рисков — проведение компанией повторных оценок величин рисков на регулярной основе для принятия адекватных мер по управлению ИТ-рисками, поскольку последние обладают свойством меняться во времени по величине.

Меры оценки

Количественная оценка –величины рисков, выражающиеся в цифрах, например, деньгах, времени простоя сервера, упущенной выгоде.
Качественная оценка — величины рисков, характеризующиеся относительно, например «высокий», «средний», «низкий» риск.

Способы управления

Независимое мнение — обращение компании к услугам третьих лиц для проверки эффективности некоторых процессов.
Возврат инвестиций — процедура, используемая руководством компании для оценки эффективности инвестиций.
Баланс способов управления — набор мер по снижению рисков, имеющий минимально возможную стоимость, которая достигается путем рационального сочетания предотвращающих, выявляющих, корректирующих и восстанавливающих способов управления.
Управление конфликтами — процесс выявления и решения возникающих время от времени конфликтов (например, сетевой экран может блокировать трафик Internet-приложения).

Мониторинг

Мониторинг используемых способов управления — наблюдение за примененным способом управления с целью достижения его эффективности.
Процедура реагирования на инциденты — анализ происходящих событий и вынесение решений по этому поводу. Инциденты могут представлять собой негативные или позитивные события, например, действия хакера, обнаруженные одним из способов управления, могут дать столько же полезной информации для составления плана по минимизации рисков, сколько и успешное проникновение злоумышленника.
Согласование плана работ по снижению рисков — своевременное устранение обнаруженных недостатков в плане работ по минимизации рисков. Согласование необходимо, чтобы достичь уверенности в том, что план включает только правильные мероприятия.

Страница 1 2

получить код для вставки в блог

Менеджмент ИТ, Открытые системы, Разное

<table width="500" cellpadding="0" cellspacing="0">
    <tbody>
    <tr>
    <td style="background-color:#FFFBF2;border:1px solid #ADBCC4;padding:15px;color:#333;font-family:Arial;">
        <div style="margin:0 0 15px 0;padding:0 0 10px 0;border-bottom:0px solid #C34C35;"><a href="http://www.osp.ru/" title="osp.ru"><img src="http://www.osp.ru/sites/osp/images/logo/logo_os.gif" alt="Издательство «Открытые системы»" border="0"></a></div>
        <table cellpadding="0" cellspacing="0" style="background-color:#FCFBF8;" width="100%">
        <tbody>
        <tr valign="top">
            <td style="background-color:#FFFBF2;vertical-align:top!important;">
                <h2 style="margin:0 0 10px 0;font-size:20px;"><a href="http://www.osp.ru/os/2006/08/3584582" style="color:#000;" title="Методологии управления ИТ-рисками">Методологии управления ИТ-рисками</a></h2>
                <p style="margin:10px 0 10px;">Высокие технологии позволяют не только повысить эффективность бизнес-процессов, но и могут стать источником колоссального ущерба. Поэтому ИТ-рисками необходимо управлять также, как и традиционными бизнес-рисками. Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность.   </p>
                <span style="font-size:12px;">
                <a href="http://www.osp.ru/os/2006/08/3584582" style="text-decoration:underline;color:#0073B5;" title="Читать целиком">Читать целиком</a>
                </span>
            </td>
            
        </tr>
        </tbody>
        </table>
    </td>
    </tr>
    </tbody>
</table>