Введение Разработка методологии обеспечения информационной безопасности (ИБ) предприятия является одним из самых востребованных направлений современной науки. Причиной тому являются стремительное развитие предприятий; высокая численность информационных систем (ИС) различного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельности по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры мониторинга, они решают в основном задачи выявления атак, установления инцидентов, нарушения политики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприятия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1]. Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажмухамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell. Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2-7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классификация рисков, отсутствие методики комплексного управления рисками, прогнозирование рисков. В ходе анализа работ [4, 5, 7-10] установлено, что основной локализацией рисков нарушения ИБ являются ИС предприятия. В связи с требованиями российского федерального законодательства РФ и регуляторов в области ЗИ в части правового обеспечения ИБ управление рисками ИС и организация защиты информации (ЗИ), обрабатываемой в ИС, являются актуальными задачами, которые необходимо решать на любом предприятии. Об этом свидетельствуют ФЗ от 27 июля 2006 г. № 149-ФЗ [11], Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. [12], Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 11 февраля 2013 г. № 17 (ред. от 15 февраля 2017 г.) [13] и другие документы [14, 15]. Анализируя результаты исследований [1-10], можно сделать вывод об актуальности разработки метода управления рисками ИС и повышения эффективности управления рисками нарушения ИБ в ИС. Исходя из вышесказанного, сформулируем цель исследования: предложить формализованное описание процедуры управления рисками ИС. Анализ рисков в информационной системе Все риски ИС полностью нейтрализовать нельзя, но можно спрогнозировать их периодичность, снизить нанесенный ими ущерб, [4-5, 16]. Для управления рисками необходимо придерживаться определенной методики, алгоритма или управленческой процедуры. Анализ рисков является процессом выявления опасностей и оценки негативных последствий в результате возникновения нарушений в работе ИС [5]. Для ИС характерно двенадцать рисков, которые можно разделить на три типа: бизнес-риски, технические риски и риски нарушения ИБ. Данные риски могут привести к локальным (на уровне ИС) или глобальным (на уровне решения задач автоматизации и поддержки бизнес-процессов предприятия) негативным последствиям. Основываясь на типовой архитектуре ИС [22] и модели профиля угроз нарушения ИБ ИС [23], мы разработали пирамидальную диаграмму рисков ИС, представленную на рис. 1 (ЛВС - локальная вычислительная сеть; ИТ - информационные технологии). Рис. 1. Пирамидальная диаграмма рисков информационной системы Пирамидальная диаграмма позволила классифицировать риски ИС на бизнес-риски, технические риски и риски нарушения ИБ. Бизнес-риски соответствуют компоненту ИС «бизнес-процессы» и связаны они с задачами, которые решает ИС. Бизнес-риски необходимо анализировать и прогнозировать на этапе формирования производственных задач, выбора средств автоматизации производства и стратегии оптимизации. Технические риски относятся к компонентам ИС: ИТ, ЛВС и аппаратной архитектур; топологии данных; программному и техническому обеспечению. Такой вид рисков связан с жизненным циклом ИС. Риск, относящийся к топологии данных, возникает по причине того, что структуризация данных не соответствует общепринятым рекомендациям и отраслевым стандартам. Риск на уровне программного обеспечения (ПО) возникает из-за отсутствия необходимого ПО или когда ПО не совместимо с модулями ИС. Техническое обеспечение и аппаратная архитектура могут осложнять управленческие процессы, это связано с наличием систем хранения данных, кластерами и другими составляющими, что создает необходимость приобретения и внедрения дополнительных средств управления, а также их интеграции в ИС. Риски нарушения ИБ связаны с архитектурой системы защиты информации (СЗИ) - наличие уязвимостей в СЗИ приводит к возникновению риска попадания критически важной информации к третьим лицам. Возникновение рисков ИС, описанных на рис. 1, может спровоцировать экономические и управленческие риски, что является глобальными рисками на уровне предприятия. Наступление любого риска ИС может принести инвестиционные, экономические и репутационные потери, а совокупность рисков ИС может остановить непрерывный управленческий процесс - качество управления производственными и бизнес-процессами снижается. В условиях риска возможны производственные задержки и наступление ситуации полной неопределенности, что осложняет принятие качественного решения по управлению рисками и непрерывностью бизнес-процессов. Методы и подходы к управлению рисками В настоящее время существует несколько методов и подходов, применяемых к управлению информационными рисками и рисками нарушения ИБ. Данные подходы и методы можно разделить на две группы: стандартизированные и качественно-количественные. Стандартизированные методы и подходы включают в себя управленческую процедуру, основанную на модели PDCA «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)», используемую для структурирования процессов менеджмента. Процедура управления рисками осуществляется в соответствии с определенными этапами и рекомендациями, регламентированными в стандартах. Применение стандартизированных методов и подходов на практике позволяет реализовать «единое окно» системы менеджмента информационной безопасности. Качественно-количественные методы и подходы определяют процедуру управления рисками на основе частной методики, ориентированной на специфику системы (или деятельность предприятия), а также решающей частную задачу. В связи с тем, что существует большое число исследований по вопросу управления рисками и их оценки [1-6, 10, 16, 19-21], результаты современных исследований порождают определенные противоречия. С одной стороны, существуют противоречия между высокой значимостью методов и моделей управления рисками ИС и ИБ, с другой стороны - практикой оценки рисков и прогнозирования ущербов. В изученных работах предложены некоторые методы и подходы к управлению рисками, основанные на числовых оценках рисков [2, 3, 6, 20], стратегии снижения уровня рисков [2], контура управления рисками [4], «туманных» вычислений [5] и др. Однако рассмотренные работы имеют ряд недостатков: предложенные решения направлены на управление рисками нарушения ИБ и информационных рисков, при этом частная задача управления рисками ИС не исследуется; отсутствует систематизированный подход к оценке эффективности управления рисками; не определен механизм снижения рисков и ущербов, авторами [2] предложена только стратегия снижения уровня риска; отсутствует комплексный подход к управлению рисками. Основываясь на стандартах [15, 22-24] и научных работах в сфере управления рисками [4, 5, 16, 20, 21, 25], мы проанализировали методы управления рисками. Результаты анализа представлены в таблице (выполнение условия критерия оценки обозначено «1», невыполнение условия критерия оценки принято обозначать «0»). Анализ методов и подходов к управлению рисками Метод или подход Идентификация рисков Оценка рисков Анализ рисков Определение степени критичности рисков Возможность построения отчета о рисках Общая оценка FERMA:2002 1 1 0 0 0 2 COSO:2004 0 1 0 0 0 1 ISO 31000:2009 1 1 1 0 0 3 GRAMM 1 1 0 1 1 4 BS 7799-3:2006 0 1 1 0 1 3 OCTAVE 0 1 1 1 0 3 RiskWatch 0 1 0 1 1 3 CORAS 1 1 1 0 1 4 ГОСТ Р ИСО/ МЭК 27005-2010 1 1 1 0 1 4 Экспертный 0 1 1 0 0 2 Процессный подход 1 0 1 0 0 2 По результатам анализа методов и подходов наибольшую оценку набрали GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Общим недостатком этих методов является невозможность их применения для управления рисками ИС и отсутствие в них специальной процедуры прогнозирования рисков. Также стоит отметить, что применение зарубежных методов и подходов осложняется спецификой российского документооборота и организации взаимодействия ИС (как с другими ИС, так и со средствами защиты информации). Таким образом, разрабатывая собственную процедуру управления рисками ИС, мы будем опираться на требования ГОСТ Р ИСО/МЭК 27005-2010 и [11-14]. Формализованное описание процедуры управления рисками информационной системы Управление рисками ИС должно обеспечивать снижение и прогнозирование рисков [5, 19, 26]. Поиск минимального риска ИС осуществляется в пространстве решений D. Существуют допустимые риски ИС - риски, которые не являются критическими для функционирования ИС. Множество допустимых рисков ИС определим как А = {a1, a2, …, am}, где m - мощность А,. Если существует конечное число допустимых рисков ИС, то A - перечисление допустимых рисков. Процесс оптимизации рисков ИС поделим на критерии оптимизации N. Критерии N представим как совокупность функций {f1, f2, …, fN}, заданных на D. Оптимизационное пространство обозначим как D′. Совокупность функций задает некоторое отображение f = (f1, f2, …, fN), действующее из D в D′. Так, процесс оптимизации рисков ИС можно определить как функцию вида y = f(a) критериального пространства D′. Выбор наилучшего решения осуществляется с помощью анализа рисков ai Î A. Оптимальное значение рисков ИС опишем как Y = f (A) = {y | y = f (a), a Î A}. Таким образом, оптимизация рисков ИС представляет собой снижение рисков путем достижения эффективного критерия оптимизации: f(a) ® max, где a Î A. Для оценки эффективности управления рисками ИС применим функцию B, B = E(U, QR, T), где QR - оценка рисков ИС; T - время применения управленческого механизма (или время принятия решения); U - ущерб, нанесенный риском; E - правило расчета эффективности. Для каждой управленческой меры получена взвешенная сумма E критериев, представляющих собой K - комплексный критерий оценки эффективности управления K={k1, …, kk}, где k1, …, kk - частные критерии оценки эффективности управления, при этом k ≥ 2. Взвешенная сумма E(k│w) = w1k1 + … + wikk, где wi - весовой коэффициент частного критерия. На основании E производится стабилизация функционирования ИС. При достигнутом стабильном состоянии ИС производится оценка потенциального ущерба, нанесенного риском ИС. Потенциальный ущерб определяется как U = piwv, (1) где pi - вероятность возникновения i-го риска ИС; w - воздействие риска на ИС (либо на информацию, обрабатываемую в ИС); v - ценность информационного актива (или звена ИС, который подвергся риску). Риск ИС количественно можно определить как Rj = pjU , (2) где pj - вероятность реализации j-го риска ИС. Оценка рисков ИС проводится методом весовых коэффициентов: (3) где j Î [1, r], i Î [1, m]. Процедура управления рисками оценивается значением критериев эффективности b Î B: count1 = b1(q), …, bm = b(q). Значение критерия count1 составляет комплексную оценку процедуры управления рисками ИС: count = (count1, …, countm). Таким образом, было получено формализованное описание процедуры управления рисками ИС. На основе полученных результатов в настоящее время проектируются алгоритмы программного комплекса управления рисками ИС. Методика снижения рисков информационной системы Мы предлагаем методику снижения рисков ИС, представленную на рис. 2. Рис. 2. Методика снижения рисков информационной системы Методика включает в себя четыре задачи: идентификацию рисков, определение факторов рисков, анализ источников рисков, анализ последствий рисков. Каждой задаче соответствуют уникальные процессы. Данная методика ориентирована на лицо, принимающее решение, которое руководит группой аналитиков, специализирующихся на управлении рисками ИС предприятия. Идентификация рисков позволяет комплексно выявить и проанализировать риски, характерные для ИС. Результатом определения факторов рисков должен быть список выявленных факторов рисков с уточнением их локализации в ИС. Для ИС в качестве факторов риска выступают угроза, уязвимость, источник риска, ущерб, который может быть нанесен ИС или предприятию в случае возникновения рискового события. Следовательно, важным аспектом является анализ источников рисков и их последствий. Последовательное осуществление процессов (рис. 2) позволит реализовать мероприятия, направленные на повышение эффективности управления рисками ИС. Для снижения рисков ИС необходимо управлять факторами рисков. В основе управления факторами рисков ИС лежит анализ ресурсов. Поэтому определение значимости ресурсов ИС (программно-технических средств; информационных ресурсов, которые обрабатывает ИС) формально можно описать в виде где CO - стоимость ресурса ИС; C - капитал, вложенный в эксплуатацию этого ресурса. Значимость ресурсов позволяет определить ценность информационных активов и других ресурсов ИС. Управление угрозами основывается на построении частной модели угроз для ИС и контроля защищенности ресурсов [9, 27, 28]. При разработке модели угроз можно руководствоваться базовой моделью угроз безопасности [29] и методикой определения актуальных угроз безопасности [30], разработанными ФСТЭК. Список уязвимостей необходимо формировать исходя из инфраструктуры предприятия, к которой относится ИС [9, 27]. Авторами [18] предложена модель профиля угроз нарушения ИБ ИС корпоративного типа, в которой показана взаимосвязь между угрозами ИС, уязвимостями и источниками угроз. Источник рисков позволяет определить локализацию рисков в ИС. Потенциальный ущерб U оценивается по формуле (1). Риск определяется согласно (2), оценка рисков производится по формуле (3). Взаимосвязь между факторами рисков и механизмами нейтрализации рисков формализовано опишем как , (4) где - элементы из множества факторов рисков и механизмов нейтрализации рисков ИС соответственно, при этом factfaÎFACT, (где factfa - факторы рисков ИС; FACT - множество факторов рисков ИС; qfact - мощность множества факторов рисков ИС) и standstÎSTAND, (где standst - единичный механизм нейтрализации рисков; STAND - множество применяемых механизмов нейтрализации рисков ИС; qst - мощность множества STAND). Значения, которые может принимать (4), опишем как принимает значение «0», если риск ИС устраняется при помощи механизма нейтрализации рисков. принимает значение «1», если риск ИС невозможно устранить, используя механизм нейтрализации рисков. Контроля обеспечения рисков ИС, а также их снижения можно достичь, управляя рискоустойчивостью. Авторами [31] дано определение рискоустойчивости. Формально рискоустойчивость ИС опишем в виде Для управления уровнем рискоустойчивости введем оценочную шкалу. Качественно данную шкалу опишем следующим образом: низкая рискоустойчивость, средняя рискоустойчивость и высокая рискоустойчивость. Таким образом, уровень рискоустойчивости ИС будет складываться исходя из: где . Оценка уровня рискоустойчивости ИС позволит сравнивать уровни рискоустойчивости при возникновении различных рисковых событий. Таким образом, предложенная методика позволяет не только снизить риски ИС, но и анализировать факторы риска ИС. Заключение В настоящее время актуальной является проблема ликвидации рисков ИС. Особенности решения сложившейся проблемы заключаются в применении специального подхода или процедуры к управлению рисками ИС. Управленческие подходы или процедуры должны быть ориентированы не только на минимизацию рисков, но и на выполнение требований федерального законодательства РФ и регуляторов в области ЗИ. Формализованная процедура управления рисками ИС, предложенная авторами статьи, соответствует рекомендации ГОСТ Р ИСО/МЭК 27005-2010. Такая процедура позволяет оптимизировать риски ИС, оценить риски, ущерб и эффективность управления. Разработанная процедура управления рисками ИС может быть использована как часть системы менеджмента качества ИБ, выполняющей рекомендации ГОСТ [32]. В перспективе полученные результаты исследования можно использовать для разработки программного комплекса управления рисками ИС.