Процесс анализа и оценки рисков является одним из ключевых этапов наиболее известных методик построения систем защиты информации, таких как Symantec Lifecycle Security и методика компании Microsoft. Кроме того, существуют специализированные методики и программные продукты для анализа и оценки рисков, такие как CRAMM, FRAP, RiskWatch, ГРИФ и др. Дадим описание наиболее известных из них, чтобы получить правильное представление об особенностях каждой из методик для последующего выбора наиболее подходящих для применения в компаниях банковской сферы.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое. Базовый уровень безопасности (baseline security) – обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании – CCTA Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI. Существуют критерии ряда организаций – NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований. Тогда критерий достижения базового уровня безопасности – это выполнение заданного набора требований.

Базовый (baseline) анализ рисков – анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ. Полный (full) анализ рисков – анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть: снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности; устранен за счет отказа от использования подверженного угрозе ресурса; перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса. Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска, анализ риска, оценивание риска.

На рисунке 4 схематично изображен процесс оценки рисков информационной безопасности.

Рисунок 4 – Процесс оценки рисков информационной безопасности

Symantec Lifecycle Security – это модель, описывающая такой способ организации системы информационной безопасности предприятия, который позволяет системно решать задачи, связанные с защитой информации, и предоставляет возможность адекватно оценить результат применения технических и организационных средств и мер защиты информации. Данная методика включает в себя семь основных компонентов:

политики безопасности, стандарты, процедуры и метрики;

анализ рисков;

стратегический план построения системы защиты;

выбор и внедрение решений;

обучение персонала;

мониторинг защиты;

разработка методов реагирования в случае инцидентов и восстановление[1].

Так как в данной работе рассматривается проблема анализа и оценки рисков информационной безопасности, сосредоточим свое внимание на этом этапе жизненного цикла СИБ. Ниже представлены ключевые моменты процесса анализа рисков модели Symantec Lifecycle Security.

Подробное документирование компьютерной системы предприятия с акцентом на описание критически важных для деятельности предприятия приложений.

Определение степени зависимости нормального функционирования организации от исправности отдельных частей компьютерной сети, конкретных узлов, от безопасности хранимых и обрабатываемых данных.

Поиск уязвимых мест компьютерной системы предприятия.

Поиск угроз, которые могут быть реализованы в отношении выявленных уязвимых мест.

Поиск и оценка рисков, связанных с использованием компьютерной системы предприятия[2].

Еще одним широко известным способом построения комплексной системы защиты информации на предприятии является методика, разработанная компанией Microsoft. Она включает в себя модель управления рисками информационной безопасности компании. Весь цикл управления рисками можно разделить на четыре основных стадии.

Оценка рисков.

Планирование сбора данных, обсуждение ключевых условий успешной реализации и подготовка рекомендаций.

Сбор данных о рисках и его документирование.

Определение значимости рисков. Описание последовательности действий по качественной и количественной оценке рисков.

Поддержка принятия решений.

Определение функциональных требований.

Выбор подходящих элементов контроля.

Проверка предложенных элементов контроля на соответствие функциональным требованиям.

Оценка снижения рисков.

Оценка прямых и косвенных затрат, связанных с внедрением элементов контроля.

Определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.

Реализация контроля. Развертывание и использование элементов контроля, снижающих риск для ИБ организации.

Поиск целостного подхода.

Организация многоуровневой защиты.

Оценка эффективности программы. Анализ эффективности процесса управления рисками, проверка выбранных элементов контроля на соответствие необходимому уровню защиты.

Разработка системы показателей рисков.

Оценка эффективности программы управления рисками и выявление возможностей её улучшения[3].

Рисунок 5 - Стадии процесса управления рисками информационной безопасности по методике Microsoft

Остановимся подробнее на первой стадии. Следует отметить, что этапы качественной оценки рисков обычно примерно одинаковы: выявление рисков ИБ, определение вероятности возникновения каждого из них, определение стоимости активов, которые пострадают от реализации конкретного риска, а также распределение описанных рисков на группы в зависимости от ранее оговоренных критериев значительности риска, а также возможности его принятия. Так и в данной методике на начальном этапе рискам присваиваются значения в соответствии со шкалой: «высокий» (красная область), «существенный» (жёлтая область), «умеренный» (синяя область) и «незначительный» (зеленая область) (рисУНОК 2)[4]. После этого, при необходимости выявленных наиболее существенных рисков и подсчета финансовых показателей, проводится количественная оценка.

Рисунок 6 - Матрица для табличной оценки рисков

Для проведения эффективной оценки требуется собрать самые актуальные данные об активах организации, угрозах безопасности, уязвимостях, текущей среде контроля и предлагаемых элементах контроля. Далее проводится сложный и многоступенчатый процесс анализа и оценки рисков, в результате которого владельцы бизнеса получают информацию не только о существующих рисках, вероятностях их реализации, уровнях влияния на деятельность компании, но и оценку ожидаемого годового ущерба (ALE).

Здесь также стоит упомянуть о существовании средства оценки безопасности «Microsoft Security Assessment Tool (MSAT)», который представляет собой бесплатное программное обеспечение, позволяющее «оценить уязвимости в ИТ-средах, предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз»[44].

Процесс анализа информационной сети на наличие в ней уязвимостей осуществляется с помощью ответов на более чем 200 вопросов, «охватывающих инфраструктуру, приложения, операции и персонал»[44]. Первая серия вопросов предназначена для определения бизнес-модели компании, на основе полученных ответов средство создает «профиль бизнес-риска (BRP)»[44]. По результатам ответа на вторую серию вопросов составляется список защитных мер, внедренных компанией с течением времени. В совокупности эти меры безопасности «образуют уровни защиты, предоставляя большую защищенность от угроз безопасности и конкретных уязвимостей»[44]. Сумма уровней, образующих «комбинированную систему глубокой защиты»[44], называется «индексом глубокой защиты (DiDI)»[44]. После этого BRP и DiDI сравниваются между собой для измерения распределения угроз по областям анализа — инфраструктуре, приложениям, операциям и людям[5].

Данная оценка предназначена для использования в организациях среднего размера, «содержащих от 50 до 1500 настольных систем»[44]. В результате её использования менеджмент компании получает общую информацию о состоянии системы защиты информации предприятия, охватывая большинство «областей потенциального риска» [44], но описываемое средство не предусмотрено для предоставления «глубокого анализа конкретных технологий или процессов»[44].

Методика «CCTA Risk Analysis and Management Method (CRAMM)» – одна из первых методик анализа рисков в сфере информационной безопасности. В основе метода CRAMM лежит комплексный подход, сочетающий процедуры количественной и качественной оценки рисков.

Исследование информационной безопасности системы с помощью CRAMM может проводиться двумя способами, преследующими две качественно разные цели: обеспечение базового уровня ИБ и проведение полного анализа рисков. От того, какая задача стоит перед специалистами по оценке рисков, зависит количество проводимых этапов работы. Давайте перечислим все возможности данной методики, делая акцент на обстоятельствах применения той или иной процедуры анализа.

Первая стадия является подготовительной и обязательной при постановке любой из двух возможных целей исследования информационной безопасности системы. Во время данного этапа формально определяются границы рассматриваемой информационной системы, ее основные функции, категории пользователей и персонала, принимающего участие в исследовании.

На второй стадии проводится анализ всего, что касается выявления и определения ценности ресурсов рассматриваемой системы: проводится идентификация физических, программных и информационных ресурсов, находящихся внутри границ системы, а затем производится распределение их на заранее выделенные классы. В результате заказчик имеет хорошее представление о состоянии системы и может принять решение о необходимости проведения полного анализа рисков. При условии, что обеспечения базового уровня ИБ клиенту не достаточно, строится модель информационной системы с позиции ИБ, которая позволит выделить наиболее критичные элементы.

На третьей стадии, которая проводится только в том случае, если необходимо проведение полного анализа рисков, рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. На данном этапе оценивается влияние определенных групп ресурсов на работоспособность пользовательских сервисов, определяется текущий уровень угроз и уязвимостей, вычисляются уровни рисков и проводится анализ результатов. В итоге заказчик получает идентифицированные и оцененные уровни рисков ИБ для исследуемой системы.

На четвертой стадии для каждой группы ресурсов и каждого из 36 типов угроз программное обеспечение CRAMM составляет список вопросов, предполагающих однозначный ответ. Как и в случае с методикой компании Microsoft, в CRAMM проводится качественная оценка риска путем отнесения уровней угроз к той или иной категории в зависимости от полученных ответов. Всего в данной методике есть пять категорий уровней угроз: «очень высокий», «высокий», «средний», «низкий» и «очень низкий». В свою очередь, уровень уязвимости ресурса оценивается, в зависимости от ответов, как «высокий», «средний» и «низкий». На основе данной информации, а также размеров ожидаемых финансовых потерь, рассчитываются уровни рисков по шкале от 1 до 7, объединенные в матрице оценки риска (рисунок 7).

Рисунок 7 - Матрица оценки риска в методике CRAMM

Здесь следует отметить, что метод CRAMM по праву может быть отнесен к методикам, использующим как качественный, так и количественный подходы к анализу рисков информационной безопасности, так как в процессе проведения оценки учитывается уровень ожидаемых финансовых потерь от реализации риска, а результаты предоставляются в баллах по шкале от 1 до 7. Этот факт значительно повышает рейтинг методики CRAMM в глазах специалистов в данной предметной области.

На последней стадии исследования, носящей название «Управление рисками», производится выбор адекватных элементов контроля: программное обеспечение CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням, из которых выбирается оптимальный вариант системы безопасности, удовлетворяющий требованиям заказчика[6].

Методика «Facilitated Risk Analysis Process (FRAP)» – это модель построения системы защиты информации, включающая в себя качественный анализ рисков. Разберем именно эту интересующую нас составляющую методики. Ниже приведены основные этапы оценки рисков.

На первом этапе с опорой на данные опросов, техническую документацию, автоматизированный анализ сетей составляется список находящихся в зоне риска активов.

Идентификация угроз. При составлении списка угроз могут использоваться различные подходы:

Конвенциональный метод. В этом случае эксперты составляют перечни (checklists) потенциальных угроз, из которых впоследствии выбираются наиболее актуальные для данной системы;

Статистический. Здесь проводится анализ статистики происшествий, связанных с информационной безопасностью данной ИС и подобных ей, и оценивается их средняя частота, после чего производится оценка точек риска;

«Мозговой штурм», проводимый сотрудниками компании. Отличие от первого метода в том, что он проводится без привлечения внешних экспертов.

После составления списка потенциальных угроз производится сбор статистики по каждому случаю возникновения риска: частоте той или иной ситуации, а также по уровню претерпеваемого ущерба. Опираясь на эти значения, эксперты оценивают уровень угрозы по обоим параметрам: вероятности возникновения угрозы (High Probability, Medium Probability and Low Probability) и ущерба от нее (High Impact, Medium Impact and Low Impact). Далее, в соответствии с правилом, задаваемым матрицей рисков (рис.8), определяется оценка уровня риска:

уровень A – направленные на элиминацию угрозы меры (например, внедрение СЗИ) должны быть предприняты немедленно и в обязательном порядке;

уровень B – необходимо предпринять меры, направленные на снижение риска;

уровень C – необходим мониторинг ситуации;

уровень D – никаких действий в данный момент предпринимать не требуется.

После того, как угрозы были идентифицированы и относительные риски оценены, следует составить план действий, позволяющий устранить риск или уменьшить его до приемлемого уровня.

По окончании оценки рисков результаты должны быть подробно документированы и переведены в стандартизованный формат. Эти данные могут быть использованы при планировании дальнейших процедур в области обеспечения безопасности, бюджета, выделяемого на эти процедуры, и т.д.[7]

Рисунок 8 - Матрица рисков FRAP

Risk Advisor – это программный продукт, разработанный компанией MethodWare, в котором реализована методика, «позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов»[5]. Можно выделить пять основных этапов работы:

Описание контекста. В первую очередь, необходимо создать общую схему внешних и внутренних информационных контактов организации. Эта модель строится в нескольких измерениях и задается следующими параметрами: стратегическим, организационным, бизнес-целями, управлением рисками, критериями. Картина общего контекста с точки зрения стратегии описывает сильные и слабые стороны организации в плане внешних контактов. Здесь производится классификация угроз связанных с отношениями с партнерами, оцениваются риски, сопряженные с различными вариантами развития внешних связей организации. Описание контекста в организационном измерении включает в себя картину отношений внутри организации, стратегию развития и внутреннюю политику. Схема управления рисками включает в себя концепцию информационной безопасности. Наконец, в контексте бизнес-целей и критериев оценки, описываются, как следует из названия, ключевые бизнес-цели и качественные и количественные критерии, с опорой на которые производится управление рисками.

Описание рисков. Для того чтобы облегчить и стандартизировать процесс принятия решений, связанных с управлением рисками, данные по ним необходимо стандартизировать. В разных моделях используются разные шаблоны для формализации имеющейся информации. В описываемой нами методике задается матрица рисков, в которой учитываются не только собственные параметры этих рисков, но и информация об их связях с остальными элементами общей системы. Следует отметить, что риски оцениваются здесь по качественной, а не количественной шкале, и делятся всего на две категории: приемлемые и, соответственно, неприемлемые. После этой оценки производится выбор контрмер и анализ стоимости и эффективности выбранных средств защиты.

Описание угроз. Прежде всего, составляется общий список угроз. Затем они классифицируются по качественной шкале, описываются взаимосвязи между различными угрозами и связи типа «угроза - риск».

Описание потерь. На этом этапе описываются события, связанные с инцидентами информационной безопасности, после чего оцениваются риски, вызванные этими событиями.

Анализ результатов. После построения модели, формируется детальный отчет (состоящий более чем из 100 разделов). Агрегированные описания представляются потребителю в виде графа рисков.[8]

Компания RiskWatch, также как и Microsoft, разработала собственную методику анализа и оценки рисков, которая реализуется в ряде их программных средств. «В методе RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). Методика RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты»[35]. Процесс анализа рисков состоит из четырех этапов[9].

На первом этапе, являющимся, по сути, подготовительным, определяется предмет исследования: дается описание типа организации, состава исследуемой системы, базовых требований в области информационной безопасности и т.д. Программное обеспечение RiskWatch предлагает широкий выбор всевозможных категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты, из которых аналитик выбирает только те, что реально присутствуют в исследуемой системе. Кроме того, есть возможность добавления новых элементов и корректировка уже существующих описаний.

На втором этапе производится более детальное описание системы (какие ресурсы в ней присутствуют, какие типы потерь могут иметь место при реализации риска и какие классы инцидентов можно выделить «путём сопоставления категории потерь и категории ресурсов»[35]). Есть два варианта ввода данных: вручную или путём импорта из отчетов, сгенерированных в процессе анализа компьютерной сети на наличие в ней уязвимостей. Для выявления возможных слабых мест системы используется опросник, в котором предлагается ответить более чем на 600 вопросов, связанных с категориями ресурсов. В связи с тем, что компании из разных сфер деятельности имеют свои исключительные особенности, а также учитывая быстро развивающийся рынок информационных технологий, кажется очень разумным и удобным наличие возможности корректировки вопросов и исключение/добавление новых. Далее определяется частота реализации каждой из присутствующих в системе угроз, уровень уязвимости и ценность ресурсов. На основе данной информации рассчитывается эффективность использования тех или иных элементов контроля информационной безопасности.

На третьем этапе производится количественная оценка риска. Первым делом определяется взаимосвязь между ресурсами, потерями, угрозами и уязвимостями, определенными в процессе проведения первых двух этапов работы. Далее для каждого риска рассчитывается математическое ожидание потерь за год по следующей формуле:

m=p*v

где p - частота возникновения угрозы в течение года,

v - стоимость ресурса, который подвергается угрозе.

Например, если выведение сервера из строя на один час обойдется компании в $100000, а вероятность совершения DDoS-атаки в течение года равна 0.01, то ожидаемые потери составят $1000. Кроме того, моделируются сценарии «что если…», в которых аналогичные ситуации рассматриваются с учетом внедрения средств защиты. Путём сравнения ожидаемых потерь при условии использования элементов контроля и без них можно оценить, насколько эффективным будет внедрение тех или иных защитных мер.

На последнем этапе генерируются отчёты разных видов: «краткие итоги, полные и краткие отчеты об элементах, описанных на стадиях 1 и 2, отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз, отчет об угрозах и мерах противодействия, отчет о результатах аудита безопасности»[35].

Таким образом, рассматриваемое средство позволяет не только оценить риски, которые на данный момент существуют у предприятия, но и выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия. Кроме того, описываемое программное обеспечение может являться удобной основой для разработки собственного, максимально подходящего для предприятий конкретного типа (например, кредитных организаций), средства анализа и оценки рисков информационной безопасности.

ГРИФ – российское комплексное средство анализа и управления рисками информационной системы организации, разработанное компанией Digital Security. Принцип работы данного программного обеспечения основан на двух концептуально разных подходах к оценке рисков информационной безопасности, получивших названия «модель информационных потоков»[27] и «модель угроз и уязвимостей»[27]. Рассмотрим каждый из алгоритмов по-отдельности.

Модель информационных потоков характеризуется тем, что в основе алгоритма анализа и оценки рисков лежит построение модели информационной системы организации. Расчет значений рисков базируется на информации о средствах защиты ресурсов с ценной информацией, взаимосвязях ресурсов между собой, влиянии прав доступа групп пользователей и организационных мерах противодействия[10].

На первом этапе необходимо подготовить полное описание архитектуры исследуемой сети, включающее информацию о ценных ресурсах, их взаимосвязях, группах пользователей, средствах защиты информации и др. «Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе»[27].

Перейдем к непосредственному описанию алгоритма. Оценка риска производится отдельно по каждой связи «группа пользователей – информация» по трем типам угроз: конфиденциальность, целостность и доступность (при этом для первых двух типов результат рассчитывается в процентах, а для последнего – в часах простоя). Ущерб от реализации разных видов угроз тоже задается отдельно, т.к. оценить комплексные потери не всегда возможно. Ключевыми критериями, от которых зависит вероятность реализации той или иной угрозы, являются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей к ресурсам, наличие доступа в Интернет, количество человек в группе, использование антивирусного ПО, криптографических средств защиты (особенно значимо для дистанционного доступа) и т.д. На этом же этапе определяются средства защиты информации и рассчитываются коэффициенты «локальной защищенности информации на ресурсе, удаленной защищенности информации на ресурсе и локальной защищенности рабочего места группы пользователей»[27]. Минимальный коэффициент отражает реальный уровень защиты ресурса, т.к. указывает на наиболее уязвимое место в информационной системе. Для того чтобы получить итоговую вероятность реализации угрозы, полученный показатель необходимо умножить на базовую вероятность реализации угрозы ИБ, которая рассчитывается на основе метода экспертных оценок.

На последнем этапе значение полученной итоговой вероятности умножается на величину ущерба от реализации угрозы и рассчитывается риск угрозы информационной безопасности для связи «вид информации - группа пользователей». Алгоритм расчета величины риска по угрозе «отказ в обслуживании»[27] имеет незначительные отличия, связанные, в основном, с единицами измерения.

Система также позволяет задавать контрмеры, эффективность внедрения которых можно оценить по формуле:

E=Rold-RnewRold

где E - эффективность внедрения контрмеры,

Rold – риск без учета контрмеры,

Rnew – риск с учетом контрмеры[11].

В результате работы алгоритма заказчик получает следующую информацию.

«Риск реализации по трем базовым угрозам для вида информации.

Риск реализации по трем базовым угрозам для ресурса.

Риск реализации суммарно по всем угрозам для ресурса.

Риск реализации по трем базовым угрозам для информационной системы.

Риск реализации по всем угрозам для информационной системы.

Риск реализации по всем угрозам для информационной системы после задания контрмер.

Эффективность контрмеры.

Эффективность комплекса контрмер»[27].

Модель анализа угроз и уязвимостей описывает ещё один подход к анализу и оценке рисков информационной безопасности. В качестве входной информации выступает перечень ресурсов, содержащих ценную информацию, описание угроз, воздействующих на каждый ресурс, и уязвимостей, через которые возможна реализация вышеупомянутых угроз. Для каждого из видов исходных данных (кроме уязвимостей) указывается степень критичности. Также вводится вероятность реализации той или иной угрозы.

Алгоритм может работать в двух режимах: рассчитывая вероятность реализации одной базовой угрозы или распределяя оценки по трём базовым типам угроз. Перечислим этапы метода в общем виде для обоих режимов.

1. Рассчитывается уровень угрозы по конкретной уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость.

2. Уровень угрозы по всем уязвимостям рассчитывается путем суммирования уровней угроз через конкретные уязвимости.

3. Рассчитывается общий уровень угроз по ресурсу.

4. Рассчитывается риск по ресурсу.

5. Рассчитывается риск по информационной системе[12].

Алгоритм анализа и оценки рисков ГРИФ – это образец методики, которая учитывает особенности структуры компании заказчика, используя два разных подхода к расчету величин рисков. Каждый из этих двух методов может быть более эффективен в случае с одной фирмой и менее эффективен в ситуации с другой. Таким образом, методика ГРИФ исключает возможность использования неподходящего алгоритма расчета уровня риска, гарантируя достижения оптимального результата.

Очевидно, что среди описанных в данной работе методик нет идеального варианта для кредитных организаций, так как ни одна компания-разработчик не ставила своей целью создание алгоритма анализа и оценки рисков ИБ для предприятий какой-либо конкретной сферы. Наоборот, более логичным является разработка универсального средства для решения проблем информационной безопасности предприятия, которое позволило бы получить максимальную выгоду от его продажи как можно большему числу фирм-клиентов. Тем не менее, большинство из того, что со временем появляется на рынке в качестве нового продукта, базируется на достижениях прошлых лет (не считая инновационных продуктов и технологий). Поэтому в данной работе создание рекомендаций по анализу и оценке рисков ИБ для предприятий банковской сферы будет производиться с учетом и на основе уже существующих алгоритмов и стандартов.

Для того чтобы определить, какая из методик анализа и оценки рисков является наилучшей для применения в качестве основы при разработке нового алгоритма, эффективного для применения в банках, необходимо провести сравнительный анализ доступных вариантов по различным критериям. При выборе показателей, на которые стоит обратить внимание при сравнении, следует учесть все возможные особенности кредитных организаций, чтобы разработанная методика покрывала нужды таких компаний.

Каковы основные особенности организаций банковской сферы?

Банковская тайна.

Необходимость отказоустойчивости сервисов, так как простой в несколько минут может привести банк к банкротству.

Огромный объем персональных данных (необходимый, к примеру, для выдачи кредита), требующий особой защиты.

Мишень для большого числа мошенников, стремящихся получить несанкционированный доступ к чужим денежным средствам.

Сильная конкуренция на рынке и, как следствие, повышенная вероятность кибер-атак с целью получения конкурентного преимущества.

Сложная система дистанционного обслуживания клиентов (банкоматы, интернет-банк и т.д.).

Зависимость от Банка России.

На основе данной информации были выделены критерии сравнения методик, по которым можно будет выбрать наиболее подходящий вариант для дальнейшей разработки рекомендаций для банковской сферы. Данная сравнительная таблица находится в приложении 3.

Можно предположить, что в связи со сложностью структуры информационной системы банка, большим объемом персональных данных клиентов, финансовым характером деятельности, предполагающим еще большую вероятность понести убытки, а также необходимостью бесперебойной работы сервисов, банки обязаны уделять исключительно особое внимание предмету информационной безопасности и, в частности, анализу рисков ИБ. Таким образом, следует сосредоточить внимание на тех методиках, которые предоставляют максимальные возможности для комплексного анализа и оценки рисков ИБ, таких как CRAMM, ГРИФ и RiskWatch. На основе этих трёх методик будет проводиться разработка рекомендаций для организаций банковской сферы.

[1] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 18-19

[2] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 19

[3] Microsoft security center of excellence. (unpublished). The Security Risk Management Guide, с. 24. URL: http://www.microsoft.com/en-us/download/

[4] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 72

[5] Информация взята с официального сайта компании Microsoft. URL: https://technet.microsoft.com/ru-ru/security/cc185712.aspx Дата обращения: [16.05.2015]

[6] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 79-80

[7] Peltier Thomas R. Information security risk analysis. Auerbach, 2001. ISBN 0-8493-0880-1

[8] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 87-88

[9] Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург, с. 92-94

[10] Информация взята с официального сайта компании Digital Security. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/

[11] Информация взята с официального сайта компании Digital Security. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/

[12] Информация взята с официального сайта компании Digital Security. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/