Оценка рисков информационной безопасности

Для решения проблемы отсутствия готовых данных и сложности поиска оптимального значения оценки рисков информационной безопасности в данной статье применяется новый метод информационной меры и нечеткой кластеризации в оценке рисков информационной безопасности. Новый метод определяет количество факторов риска всех данных и зависимость степени безопасности при вычислении взаимной информации. Затем поиск оптимального значения для каждой степени риска определяется как центр точек по К-means алгоритму кластеризации, используется К-meansалгоритм кластеризации для классификации данных. Этот метод прост в реализации, легко рассчитывается и позволяет избежать проблемы чувствительности к начальному значению, нелинейности и сложности оценки рисков информационной безопасности. Экспериментальные результаты показывают эффективность данного метода.

Ключевые слова: информационная безопасность, оценка рисков, информационные измерения, нечеткая кластеризация.

1. Введение

С развитием Internet-технологий и электронной коммерции с каждым днем появляется все больше угроз безопасности информации. Сегодня организации все чаще используют информацию в бизнес-процессах, для облегчения управленческих решений и ведения бизнеса. Зависимость от информации в бизнес-среде крайне велика, где множество торговых операций осуществляется в электронном виде через Internet. Такая информационная зависимость привела к существенному увеличению влияния уровня безопасности информационных систем на успех, а иногда и просто возможность ведения бизнеса. Поэтому безопасность информационных систем является одним из важнейших вопросов, который привлекает большое внимание со стороны аналитиков, инженеров и других специалистов в области информационно безопасности.

Оценка рисков начала использоваться на атомных электростанциях Европы и Америки в начале 1960-х годов, а в последствии развивалась и применялась аэрокосмической инженерии, химической промышленности, охране окружающей среды, здравоохранении, спорте, развитии национальной экономики и многих других областях. В информационной безопасности методики оценки рисков появились с целью прогнозирования возможного ущерба, связанного с реализацией угроз, и соответственно оценки необходимого размера инвестиций на построение систем защиты информации.

Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков. Но как использовать результаты такой оценки? Как рассчитывать возможный ущерб и размер необходимых инвестиций для предотвращения реализации рисков?

До сих пор ведутся споры на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям.

В настоящее время основные научные достижения в области оценки рисков информационной безопасности включают известные методы: OCTAVE-метод , CRAMM5 , PRA , и т. д. Но эти стандарты и методы имеют некоторые недостатки, некоторые из них являются только качественными методами анализа, некоторые — только количественными, громоздкими для реализации. Оценка рисков информационной безопасности имеет некоторые характеристики, такие как нелинейность, сложность применения, характеристики, обусловленные некоторыми ограничениями на использование традиционных моделей для проведения оценки рисков информационной безопасности. Эти традиционные методы оценки массу субъективных проблем и неясностей, поэтому они более сложны в применении.

Данная статья предлагает новый метод оценки рисков информационной безопасности, основанный на комбинации вычисления взаимной информации и К-means алгоритма кластеризации. Для того чтобы добиться эффективной оценки уровня рисков информационной безопасности, новый метод определяет количество факторов риска всех данных и зависимость степени безопасности при вычислении взаимной информации. Затем осуществляется поиск оптимального значения для каждой степени риска как центр точек К-means алгоритма кластеризации и используется К-means алгоритм кластеризации для классификации данных.

Статья построена следующим образом. Раздел 2 описывает риски системы информационной безопасности. Раздел 3 предлагает оценку рисков информационной безопасности на основе взаимной информации и K-means методе. Затем показаны экспериментальные результаты в разделе 4 и обобщение работы в разделе 5.

2. Риски системы информационной безопасности

Риск информационной безопасности определяется как произведение финансовых потерь (ущерба), связанных с инцидентами безопасности, и вероятности того, что они будут реализованы. Данное определение подходит при рассмотрении различных архитектур информационных систем.

Информация может существовать в различных формах. Она может быть написана на бумаге, храниться в электронном виде, пересылаться по почте или с использованием электронных средств, транслироваться на экране или обсуждаться в разговоре. Какие бы формы информация ни принимала, она всегда должна быть защищена соответствующим образом.

Оценка рисков информационной безопасности, с точки зрения управления рисками, анализ систематически подвергающихся угрозам и существующим уязвимостям информационных систем и технологий научными методами и средствами. Оценка потенциального ущерба в случае угрожающих событий проведена и выдвинуты контрмеры против угроз для предотвращения и урегулирования рисков информационной безопасности, а также контроль рисков на приемлемом уровне таким образом чтобы максимально обеспечить безопасность информации. Оценка рисков информационной безопасности состоит из трех основных этапов: идентификация угроз, идентификация уязвимостей, идентификация активов (рис.1)

Рис.1. Элементы оценки рисков информационной безопасности

Процесс оценки риска информационной безопасности выглядит следующим образом:

1) Определение информационных активов, установление ценности активов;

2) Анализ угроз, определение вероятности угроз

3) Идентификация уязвимостей информационных активов, определение степени уязвимости

4) Вычисление вероятности наступления события по реализации угроз (использованию уязвимостей)

5) Сочетая важность информационных активов и возможность возникновения инцидентов, выполняется расчет значения риска информационной безопасности для информационного актива.

Проиллюстрируем вычисление риска с помощью формулы:

Riskvalue = R (A, T, V) = R (L (T, V), F (Ca, Va)), (1)

где R — функция вычисления риска,

A — активы,

T — угрозы,

V — уязвимости,

Ca — стоимость активов, принесенная инцидентом,

Va — степень уязвимости,

L — возможность угрозы привести к инцидентам с помощью уязвимостей,

F — потери, вызванные событиями безопасности.

Определение значения риска связано с результатами оценки риска и выработкой мер по контролю риска, поэтому это является важным и сложным этапом в процессе оценки риска. Это основной вопрос моего исследования.

В целях предотвращения несанкционированного доступа организации используют различные контрмеры для защиты своих активов. Но даже благодаря применению контрмер и управлению информационной безопасностью активы зачастую не в полной мере защищены от угроз из-за недостатка контроля.

Таким образом, оценка рисков является одним из важнейших шагов в управлении рисками инфо рационной безопасности. На практике оценка рисков информационной безопасности является довольно сложным и полным неопределенностей процессом . Неопределенности, существующие в процессе оценки, являются основным фактором, влияющим на эффективность оценки риска информационной безопасности. Поэтому они должны быть приняты во внимание при оценке рисков. Однако большинство существующих подходов имеют некоторые недостатки по обработке неопределённости в процессе оценки.

3. Оценка рисков информационной безопасности на основе взаимной информации и k-means алгоритма кластеризации

В оценке рисков информационной безопасности основные элементы риска отражаются в активах системы, существующих угрозах и уязвимостях, а также анализ рисков оценивает уровень риска от оценки показателей, таких как частота угрозы, степень тяжести уязвимости, стоимость активов и т. д. Оценочные показатели имеют некоторые свойства значительной двусмысленности и неопределенности, поэтому обычные методы с трудом поддаются измерению. Кроме того, эти оценки показателей и уровней риска являются нелинейными и динамические изменяющимися, поэтом обычные методы так трудно перерабатывать. Новый метод оценки рисков не содержит данных проблем. Во-первых, мы используем метод нечеткой оценки для количественного измерения риска. Во-вторых, рассчитывается значение взаимной информации риска для обозначения зависимости степени риска и уровня риска. Данные были классифицированы по К-means алгоритму с оптимальными взаимными информационными данными в качестве исходных центров кластеров. Этот способ прост и содержит небольшое количество вычислений. Он позволяет избежать проблемы чувствительности к начальному значению, нелинейности и сложности оценки рисков информационной безопасности.

3.1. K-means алгоритм

Кластерный анализ является общей техникой для статистического анализа данных, которая стремится сгруппировать объекты подобного рода в отдельные категории. Это широко используется в математике, в социальных науках, маркетинге, биоинформатике и т. д. Кластерный анализ включает в себя ряд эвристических методов, в том числе К-means алгоритм и модель смеси.

Алгоритм K-means является непараметрическим подходом, направленным на классификацию объектов на К взаимоисключающих кластеров путем минимизации квадрата расстояния от объекта до его ближайшего центра.

Алгоритм разделяет данные на k кластеров Si (I = 1, 2, …, k). Кластер Si связан с представителем (центр кластера) Ci.

Пусть Cmm будет ближайшим центром кластера Xm и dm = d (Xm, Cmm). Цель K-means кластеризации — найти множество центров кластеров SC {Cl}, таких, что искажения J определенные ниже, сведены к минимуму, где l = 1.. K. K — это количество кластеров.

(2)

Основной процесс K-means кластеризации — это отображение заданного набора векторов в улучшенных через разделение точек данных. Оно начинается с начальным набором центров кластеров и повторяет это отображение процесса, пока критерий остановки не будет выполнен.

Итерации Ллойда K-means алгоритма кластеризации выглядят следующим образом:

2) Вычислить центр тяжести для каждого кластера, чтобы получить новый набор кластеров SC p+1.

К-means алгоритм кластеризации кратко описывается следующим образом:

1) Начать с начальным набором центров кластеров SC0. Множество P=0.

2) C учетом множества центров кластеров SCp, выполнить итерацию Ллойда для создания улучшенного набора кластеров SCp+1.

3) Рассчитать среднее искажения J для SCp+1. Если оно изменилось на достаточно маленький объем после последней итерации, нужно остановиться. В противном случае установить р +1 → P и перейти к шагу 2.

Ближайший центр кластера определяется путем расчета расстояния между каждым центром кластера и точкой данных. В данной статье, функция расстояния принимает, xd)евклидово расстояние. Евклидово расстояние между точкой данных X = (x1, x2, …, xd) в степени t и центр кластера C = c1, c2, …, cd) в степени t определяется как

(3)

Тем не менее, К-means алгоритм это процедура локального поиска и хорошо известно, что данный алгоритм страдает серьезным недостатком, что его производительность сильно зависит от начальных условий . В нашем методе мы используем вычисление взаимной информации, чтобы решить эту проблему.

3.2. Модель оценки

Основная идея модели оценки риска информационной безопасности, основанной на вычислении взаимной информации и K-means алгоритме в следующем. Во-первых, определение количественной оценки риска с нечетким подходом к оценке, во-вторых, поиск оптимальных значений в каждом уровне риска с вычислением взаимной информации после количественной обработки и обработки на совместимость, в качестве исходных центров кластеров алгоритма кластеризации K-means. Модель структуры показан на рис. 2.

Рис. 2. Структура модели оценки

Как показано на рис. 2, уровни безопасности информационной системы разделены на четыре класса соответственно определенных как L1, L2, L3 и L4. L1 представляет собой минимальный уровень безопасности, L4 представляет собой самый высокий уровень безопасности. Есть 4 кластера в результатах K-means кластеризации, так что K = 4.

1) Формат информации исходных данных, полученных из информационной системы не в соответствии с нашим методом, должен быть обработан, чтобы быть векторной форме как требуется для нашего метода. Поскольку значения риска имеют свойство неопределенности, в этой статье мы используем нечеткий подход для предварительной оценки показателей риска информационной безопасности.

2) Обработка данных:

Данные, которые были введены в нашем алгоритме, делятся на два класса: подготовительные данные и тестовые данные. Основная польза подготовительных (обучающих) данных — обучение K-means алгоритма кластеризации. Это говорит о том, что алгоритм К-means кластеров с подготовительными данными нужен для поиска оригинальных кластеров и центров кластеров. Это процесс обнаружения (раскрытия) знаний. Затем K-means алгоритм кластеризации классифицирует данные с исходными кластерами и центрами кластеров. Для подготовки данных:

а) Вычислить значение взаимной информации между предварительно обработанными данных и дать четыре оптимальных набора точек в соответствии с уровнем риска L1, L2, L3 L4 для каждых обучающих данных. Взаимная информация (mutual information — MI) определяется как снижение неопределенности одной случайной переменной из-за знания о другом, или, другими словами, количество информации, которое одна случайная переменная содержит о другой.

Наша модель имеет набор данных, хранение оптимальных точек установлено в соответствии с уровнем риска L1, L2, L3 и L4, которые получены через экспертный анализ большого количество данных.

б) для каждого уровня риска, рассчитать значения взаимной информации между всеми данными, а затем вычислить сумму этих значений взаимной информации, которая получена на последнем шаге. Так мы можем получить среднее значение всей взаимной информации.

в) получить четыре средних значения взаимной информации соответствующих в указанном порядке для четырех уровней риска информационной безопасности. Затем искать четыре оптимальные точки, ближайших к средним значениям в качестве начальных центров кластеров К-means алгоритма кластеризации.

Для проверки данных, вычислить расстояние между каждым центром кластера и каждыми тестовыми данными, чтобы определить ближайший центр кластера (для присоединения), кластер с К-means алгоритмом, который уже обладает начальными центрами кластеров, сгенерировать новые результаты кластеризации.

3) Судьи изменяют результаты кластеризации или нет. Если метки некоторых данных в кластере изменены в новых результатах кластера, то это означает, что новый центр кластера может быть неправильным, неправильные центры кластеров могут быть вызваны ложным обнаружением курса. В целях обеспечения и повышения точности обнаружения, мы пересчитаем значение взаимной информации всех данных, чтобы найти оптимальные точки в качестве начальных центров кластера алгоритма К-means.

3.3. Предварительная нечеткая обработка

В оценке рисков информационной безопасности, оценка показателей риска не имеет четких свойств и неопределенностей, наш метод количественно оценивает риски информационной безопасности с нечетким подходом к оценке. Конкретные шаги заключаются в следующем:

1) корреляционный анализ активов, уязвимостей, угроз и отношения угрозы и уязвимости к выявлению риска информационной безопасности.

2) На основе нечеткого подхода к оценки, факторы риска создают множество U = {u1, u2, …, un}.

3) Создание набора оценки. Оценить различные факторы риска конфиденциальности и целостности активов, степень уязвимости, техническое содержание угрозы и другие аспекты. Эксперты дают обзор рисков различных факторов риска, каждый обзор рисков делится на m классов, набор оценок: V = {v1, v2, …, vm}.

5) Значение индекса в наборе оценок непосредственно влияет на степень риска, поэтому, важно учитывать вес каждой оценки индекса. Установить набор распределения весов как A = (a1, a2, …, an). Посредством нечеткого преобразования оператора, получим:

(4)

В представляет веса всех факторов риска при оценке. B отражает оценку вида фактора риска, значение которого находится в наборе (0,1).

3.4. Вычисление взаимной информации

Взаимная информация является важным понятием теории информации, которая измеряет статистическую зависимость между двумя переменными, то есть информация, которую одна переменная содержит о другой. Впервые она была предложена в качестве регистрационной меры в медицинской регистрации изображений в 1995 году независимо друг от друга учеными Viola и Wells. Это важное понятие в области теории информации, которая измеряет степень взаимозависимости между двумя сообщениями, широко используется в классификации текстов и функция сокращения. Взаимная информация также широко используется для установления одного из наиболее важных параметров.

Взаимная информация определяется как снижение неопределенности одной случайной переменной вследствие наличия знаний о другом, или, другими словами, количество информации об одной случайной переменной содержащейся в другой.

Мы используем меру взаимной информации как статистическую степень корреляции между значением фактора риска и уровнем риска, который определяется как:

, (5)

где

,

— является атрибутом (конкретное значение факторов оценки риска),

представляет собой количество различных значений фактора оценки риска во всех примерах данных,

представляет собой вероятность вида , а именно отношение числа появления во всех факторах оценки подготовительных данных и общего количества значений факторов оценки, больше

p(d) = в /N — представляет собой вероятность подготовительных данных, которые относятся к уровню d (эта статья делит степень безопасности на 4 уровня, так что значение d может быть одним из .

представляет условную вероятность , представляет собой число выборочных данных, значения атрибута которых — , и уровень риска принадлежит d, d представляет собой общее число выборочных данных, чей уровень риска принадлежит d.

— представляет собой вероятность появления , в то время как данные с атрибутом принадлежат уровню риска d.

Значение указывает на соответствующую степень и уровень риска d, тем больше значение, тем выше степень связи. Таким образом, к привносит большой вклад в уровень d.

Предположим, оценка факторов риска учитывалось от четырех факторов, в том числе конфиденциальности и целостности активов, степень уязвимости и техническое содержание угрозы. Уровень защиты делится на четыре класса, представляет минимальный уровень безопасности, представляет собой максимальную безопасность. Мы выбираем восемь наборов нечетких данных для предварительной оценки, как показано в таблице 1.

Таблица 1

Уровни безопасности

Сначала мы подсчитаем количество значений для каждого атрибута., Затем вычисляем взаимную информацию для значений (0,1; 0,2, …) в атрибутах , … соответствующего уровня риска L1 следующим образом:

(6)

3.5. Оценка рисков информационной безопасности на основе взаимной информации и K-means алгоритма

К-means алгоритм кластеризации является одной из основных алгоритмов кластерного анализа, которые используют итерационный метод для обновления. Конечный результат состоит в получении минимальной целевой функции и для достижения оптимального эффекта кластеризации. К-means алгоритм работает следующим образом. Во-первых, случайным образом выбираются k объектов данных из n данных в качестве исходных центров кластеров. Для остальных объектов, в соответствии с их сходством с центром кластера (расстояние) соответственно назначаем им наиболее похожую (представленные ??центром кластера) кластеризацию, а затем пересчитываем центра кластера для каждого нового приобретенного кластера. Алгоритм завершается, когда на какой-то итерации не происходит изменения кластеров. Это происходит за конечное число итераций, так как количество возможных разбиений конечного множества конечно.

Традиционный алгоритм К-means случайного выбора начальных центров кластеров с различными начальными значениями результатов может легко колебаться. Это вызвано обнаружением значительного отклонения результатов и необходимости большего количества итераций.

В нашем методе, значение взаимной информации используем в качестве исходных центров кластеров, так что в начале кластеризации центры кластеров являются оптимальными значениями. Поэтому наш метод может преодолеть недостатки чувствительности к начальному значению, а также уменьшает количество итераций. За функцию определения расстояния принимается евклидова функция.

Для приведенных подготовительных данных, формы данных предварительно обработаны как показано в Таблице 1. Для данных Di мы можем вычислить , что представляет собой степень вклада всех атрибутов bi в уровень Li. Li представляет уровень соответствующего класса Di.

, (7)

где — это вес, соответствующий каждому атрибуту, направленный на приведение соотношения атрибута в . Чем больше тем больший вклад имеет в .

Определим среднее значение взаимной информации всех данных, степень которой принадлежит :

, (8)

где представляет количество данных, которые принадлежат уровню . представляет собой среднее значение вклада данных в , которые принадлежат уровню .

4. Эксперимент

Экспериментальные образцы взяты из информационных систем компании из сферы деятельности электронной коммерции. В нашем эксперименте мы разделили три основных фактора (идентификация угроз, идентификация уязвимостей, идентификация активов), которые оказывают влияние на оценку рисков информационной безопасности в 10 конкретных факторах:

— информация украдена, удалена или потеряна;

— сетевые ресурсы уничтожены;

— ложное использование и фальсификация информации;

— прерывания работы и запреты;

— аппаратных дефекты;

— сетевые уязвимости;

— утечка данных;

— вмешательство в связь;

— восстановление обслуживания;

— прерывание обслуживания.

Оценим факторы риска экспертно, присвоим вес каждому фактору в качестве входных данных.

Разделим результаты оценки на четыре категории: высокой безопасности, средней безопасности, подозрительно и опасно, соответственно, как L1, L2, L3 и L4.

Данные включают в себя подготовительные данные и тестовые данные. Для подготовительных данных: каждые такие данные могут быть выражены как 1 * 10-мерный вектор, то есть . Для эксперимента выберем 200 подготовительных данных, как показано в таблице 2.

Данные в таблице 2, которые прошла через нечеткую предварительную обработку в качестве подготовительных данных, были рассчитаны по 10 показателям безопасности каждого образца. И 100 тестовых данных, как показано в таблице 3, также списком по 10 показателям безопасности. Все данные разделены на 10 групп, и каждая группа включает в себя 20 обучающих данных и 10 текстовых данных для исследования нашего алгоритма.

Таблица 2

Подготовительные данные

Таблица 3

Тестовые данные

№ данных

Уровень безопасности

0, 6

0,3

0,4

0,3

0,3

0,3

0,5

0,3

0,4

0,4

0,7

0,3

0,4

0,3

0,3

Точность обнаружения нашего метода достигла 98 % для данных в таблице 3. Экспериментальные результаты показывают, что наш метод эффективен, кроме того, имеет меньше вычислений, чем традиционные методы. Также наблюдается высокая скорость вычислений.

Наша оценка риска метод может более точно оценить уровень риска информационной безопасности, а значит более надежно защититься от реализации рисков.

5. Заключение

Для того чтобы решить проблему оценки рисков информационной безопасности, связанную со сложностью определения оптимальных значений, в данной статье предложен новый метод оценки рисков информационной безопасности, основанный на вычислении взаимной информации и K-means алгоритме кластеризации, позволяющем эффективно оценивать уровни риска информационной безопасности.

Метод определяет степень количественной зависимости между факторами риска и уровнем информационной безопасности с вычислением взаимной информации.

На каждом уровне риска, определяются оптимальные точки как начальные центры кластеров по алгоритму К-means, затем алгоритм кластеризации К-means классифицирует данные. Наш метод может динамически регулировать центр кластера в соответствии с результатами кластеризации и вычисление значения взаимной информации.

Этот метод легко применять, он имеет меньше вычислений, чем традиционные методы. Метод позволяет предотвратить чувствительность к входным данным, нелинейность, сложность и другие проблемы оценки рисков информационной безопасности. Экспериментальные результаты также показывают превосходность метода.

Литература:

1. Maiwald E. Netwok Secuity: A Begginner’s. The McGraw-Hill Companies, Inc,2001.

2. ISO/IEC 17799. Information Technology-Code of practic for information security management.2000.

3. MnSCU. Security Risk Assessment-Applied Risk Management Minnesota State Colleges & Universities, 2002, с.7.

4. А. Астахов. Искусство управления рисками. GlobalTrust. 2009.

Назад к списку статей

— Какие риски, связанные с безопасностью банковских информационных систем в настоящее время являются наиболее актуальными?

В связи с принятием Федерального закона «О персональных данных», требования которого являются обязательными к исполнению, как для государственных, так и коммерческих организаций, в настоящее время, на первый план выходят риски, связанные с несоблюдением действующего законодательства в области защиты информации. Что касается самого процесса управления рисками информационной безопасности в российских кредитно-финансовых организациях, то он становится всё более системным и формализованным. Эта тенденция связана с появлением программных средств, позволяющих автоматизировать процессы оценки и анализа рисков безопасности, а также с принятием стандартов и методик, описывающих алгоритм управления рисками.

Управление рисками информационной безопасности — заказать решение

— Что делать?

Не менее актуальными для российских банков являются риски безопасности, связанные с мошенническими действиями злоумышленников. Это связано с ростом финансовых потерь банков вследствие несанкционированных действий злоумышленников с целью кражи денежных средств со счетов клиентов банка. Потенциальные злоумышленники могут действовать как изнутри, так и извне банка.

Я бы порекомендовал банкам попытаться создать полноценную систему управления рисками информационной безопасности, для чего попробовать реализовать комплексный подход, предусматривающий применение организационных, технических и нормативно-методических мер защиты.

В рамах технических мер по защите информации можно предусмотреть использование различных средств безопасности, включая межсетевые экраны, антивирусы, системы защиты от спама, системы обнаружения атак, сканеры безопасности, средства защиты конфиденциальной информации.

Что касается нормативно-методических мер, то они предполагают разработку и внедрение пакета документов, который должен учитывать требования международных и российских стандартов, в частности документов Центрального Банка России.

— Насколько важно использовать модные сегодня сервисы «Cloud computing» в банках, на что стоит обратить внимание?

При использовании таких сервисов возникают традиционные угрозы информационной безопасности, связанные с нарушением конфиденциальности, целостности и доступности. Специфика защиты данного вида сервисов заключается в том, что за обеспечение безопасности в данном случае отвечает не конечный пользователь, а провайдер, оказывающий услуги «Cloud computing».

— Нужно ли российскому банку соответствовать требованиям стандарта СТО БР ИББС?

Стандарт носит рекомендательный характер, однако ввод комплекса документов в области стандартизации Банка России внутренним распорядительным документом организации (приказом или распоряжением), позволяет руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, банковской и коммерческой тайне, что повышает эффективность и упрощает задачу по реализации требований законодательства к обработке персональных данных.

Комплекс работ по реализации требований СТО БР ИББС это последовательность этапов, являющихся частью общего цикла системы обеспечения информационной безопасности. Во-первых, предварительная оценка соответствия. Целью данного этапа является оценка текущего состояния информационной безопасности, выявление несоответствий требованиям стандарта СТО БР ИББС, а также разработка рекомендаций по устранению обнаруженных несоответствий. Второй этап — внедрение. Здесь осуществляются работы по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты с целью приведения в соответствие с требованиями стандарта Банка России. На данном этапе так же применяются «Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ».

Третий этап, необходимый для оценки достигнутого уровня соответствия требованиям стандарта — Оценка соответствия. Результаты являются основой для совершенствования СОИБ. По результатам этапа выпускается «Подтверждение соответствия организации ,банковской системы РФ стандарту Банка России СТО БР ИББС-1.0-2010», который должен быть направлен в адрес Банка России, Роскомнадзор, ФСТЭК России и ФСБ России.

Результатом вышеперечисленных работ, является повышение устойчивости бизнеса за счет снижения рисков информационной безопасности и соответствие не только требованиям признанного отраслевого стандарта, которым является СТО БР ИББС, но и законодательным требованиям, в том числе, требованиям Федерального закона «О персональных данных».

Необходимо отметить, что ЗАО «ДиалогНаука» является членом сообщества ABISS, имеет статус организации-консультанта и располагает необходимым опытом и компетенциями для проведения оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС.

— Как повысить защищенности автоматизированных банковских систем?

Для повышения эффективности принятия решений по реагированию на события, связанные с нарушением безопасности мы рекомендуем использовать специализированные системы мониторинга, которые могут автоматизировать процесс сбора и анализа информации, поступающей от различных средств защиты. В западной терминологии такие системы мониторинга обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management).

В настоящее время наибольшее распространение получили следующие коммерческие системы мониторинга событий информационной безопасности: ArcSight, Cisco MARS, RSA Envision, NetForensics, NetIQ, Symantec, и др. Необходимо отметить, что кроме коммерческих существуют также и бесплатные системы мониторинга с открытым кодом. Примером такой системы является продукт Prelude Universla SIM.

— Как защитит банк от фрода?

Сегодня проблема защиты от мошеннических действий злоумышленников является одной из наиболее актуальных задач для большинства российских банков. Для своевременного выявления фактов мошенничества (или так называемого банковского фрода) необходимо провести анализ банковских транзакций и выявить те из них, которые представляют угрозу для кредитной организации. Большинство банков ежедневно совершает огромное количество транзакций, поэтому обработать их в ручном режиме практически невозможно, а значит, для решения данной задачи необходимо использовать специализированные комплексы, позволяющие автоматизировать процесс анализа проводимых банком транзакций. Одним из примеров такого комплекса является продукт FraudView, разработанный компанией ArcSight.

ArcSight FraudView представляет собой специализированный программный комплекс, предназначенный для выявления фактов мошенничества со стороны злоумышленников в кредитно-финансовых организациях. FraudView позволяет легко интегрироваться со всеми основными банковскими прикладными системами, включая системы дистанционного банковского обслуживания «Банк-Клиент», «Интернет-Банк», автоматизированные банковские системы и др. При этом система позволяет в реальном масштабе времени осуществлять обработку и корреляцию данных, поступающих не только от прикладного ПО, но также и от средств защиты информации, общесистемного ПО, коммуникационного оборудования и т.д. Это позволяет выявлять сложные информационные атаки, направленные на совершение мошеннических действий.

Система включает в себя большое количество уже готовых правил корреляции, позволяющих выявлять различные виды мошенничества. При этом система предусматривает возможность добавления новых правил, что позволяет учесть специфику операционной деятельности российских банков. Помимо использования базы данных экспертных правил, система также позволяет выявлять банковский фрод посредством обнаружения отклонений от штатной работы банковских систем и их пользователей. Данные отклонения выявляются на основе статистических методов, а также нейросетевых алгоритмов.

Существует множество технологий и продуктов для выявления мошенничества, применяемых в банковском секторе. С общей точки зрения выгода от использования ArcSight FraudView заключается в том, что данное решение позволяет не просто заменить эти продукты, а связывать воедино полученные данными продуктами результаты с помощью корреляции. Помимо высокой производительности корреляции, данный программный продукт обладает тремя уникальные возможностями для обнаружения онлайн-мошенничества:

— Как оценить уровень защищенности банка от возможных угроз безопасности?

Одним из наиболее эффективных инструментов является проведение тестирования на проникновение (так называемый «penetration testing»). Эта услуга представляет собой имитацию последовательности действий взломщика по осуществлению несанкционированного проникновения в информационную систему банка. Этот вид аудита сегодня активно применяется зарубежными компаниями для получения независимой оценки защищенности своей корпоративной сети. Согласно стандарту PCI DSS рекомендуется проводить тест на проникновение не реже одного раза в год, а также после любого значимого изменения или обновления ИТ-инфраструктуры.

В отличие от традиционных схем проведения аудита информационной безопасности, тестирование на проникновение позволяет взглянуть на безопасность банка глазами профессионального взломщика, мотивированного на эффективное и результативное проникновение. Перед «взломщиком» ставятся задачи, максимально приближённые к реальной действительности, и непосредственно перед началом работы «взломщик» имеет самое минимальное представление об объекте проникновения. Цель, преследуемая тестированием на проникновение, заключается в получении контроля над какими-либо заранее обусловленными компонентами атакуемой системы всеми доступными взломщиком способами, и вся работа взломщика подчинена достижению этой цели. При этом политика безопасности и системы защиты, применяющиеся в атакуемой системе, рассматриваются как препятствия, которые необходимо преодолеть.

В качестве исходных данных в начале проекта банк может предоставить минимум информации в виде одного или нескольких внешних IP-адресов компании, доступных из сети Интернет. Этого будет достаточно для того, чтобы провести полноценный тест на проникновение.

— Как защититься от имитаторов взлома?

Перед началом проведения теста на проникновения между банком и исполнителем должно быть подписано соглашение о неразглашении (NDA), в рамках которого гарантируется сохранение в тайне всей конфиденциальной информации, которая будет получена в процессе выполнения работ. В рамках договора на выполнение работ также может отдельно определяться цель теста на проникновения. Например, в качестве такой цели может выступать получение прав администратора АБС, или демонстрация возможности получения доступа к номерам пластиковых карт клиентов банка и др.

Управление рисками информационной безопасности – решение ЗАО «ДиалогНаука»

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг в сфере управления рисками информационной безопасности с целью минимизации рисков информационной безопасности. При этом рекомендуется создать полноценную систему управления рисками информационной безопасности, реализующую комплексный подход по управлению рисками информационной безопасности, предусматривающий применение организационных, технических и нормативно-методических мер защиты информации. В случае появления вопросов или интереса к описанному решению по управлению рисками информационной безопасности, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи на странице «Контакты».

Полную версию статьи смотрите здесь.

НОВЫЕ ТЕХНОЛОГИИ

Keywords: information, information resources, information objects, categories, analysis, systematization, typing

УДК 519.876.5

МЕТОДИКИ АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Елена Константиновна Баранова, доцент кафедры информационной безопасности,

E-mail: ekbaranova@hse.ru,

Национальный исследовательский университет,

Высшая школа экономики, http://www.hse.ru

В общем случае под риском понимают возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери. В соответствии с ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001 «Система управления информационной безопасностью» — процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности (ИБ). Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Ключевые слова: информационная безопасность, аудит информационной безопасности, риски информационной безопасности, защита информации, управление рисками.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе (ИС) и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Базовый уровень безопасности (baseline security) —

обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании -CCTA Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI. Существуют критерии ряда организаций — NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований. Тогда критерий достижения базового уровня безопасности — это выполнение заданного набора требований.

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

Базовый (baseline) анализ рисков — анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

Полный (full) анализ рисков — анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:

— снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;

—устранен за счет отказа от использования подверженного угрозе ресурса;

— перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса;

—принят.

Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска1.

На рисунке 1 схематично изображен процесс оценки рисков информационной безопасности.

Идентификация

рисков

Анализ рисков

Оценочная

величина

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

риска

Оценивание рисков

Рисунок 1 — Процесс оценки рисков информационной безопасности

Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.

Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

1 ГОСТ Р ИСО/МЭК13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

— возможного ущерба, наносимого организации в результате нарушений безопасности активов;

— вероятности наступления такого нарушения;

— величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств

информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После

определены

возможного

вероятность

определяется

Вычисление

производится

того, как были величина ущерба и реализации угроз, величина риска.

рисков

путем

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

комбинирования возможного ущерба, выражающего вероятные последствия нарушения

безопасности активов, и вероятности реализации угроз. Такое комбинирование часто осуществляется при помощи матрицы, где в строках размещаются возможные

значения ущерба, а в столбцах -вероятности реализации угрозы, на пересечение — величина риска.

Далее производится

сравнение вычисленных уровней риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес

организации, и доносить смысл Рисунок 2 — Процесс управления риском ИБ уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Результаты оценки рисков используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков,

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

На рисунке 2 приведен процесс управления риском ИБ согласно ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие наоборот, активно его используют. Несмотря на повышение интереса к управлению рисками, используемые в настоящее время методики относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

Для решения задачи оценки рисков информационной безопасности в настоящее время наиболее часто используются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других. Все известные методики можно разделить на:

— методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»), к таким методикам, в частности, относится FRAP;

— количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь), к этому классу относится методика RiskWatch;

— методики, использующие смешанные оценки (такой подход используется в CRAMM, методикеMSAT).

До принятия решения о внедрении той или иной методики управления рисками ИБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В таблице 1 представлен сравнительный анализ наиболее популярных в настоящее время методик (CRAMM, ГРИФ, RiskWatch, CORAS, MSAT).

Таблица 1

Сравнение программного инструментария для управления рисками ИБ

К р и т е р и и с р а в н е н и я GRAMM © В еь и RiskWatch CORAS MSAT

Риски

Использование категорий рисков + + + + +

Использование понятия максимально допустимого риска + + + + +

Подготовка плана мероприятий по снижению рисков + + + — +

Управление

Информирование руководителя + + + + +

План работ по снижению рисов — + + — +

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Включает проведение тренингов, семинаров, собраний — + + — +

Оценка бизнес-рисков/операционных рисков/ИТ-рисков — + + + —

Оценка рисков на организационном уровне + + — + +

Оценка рисков на техническом уровне + + + + +

Предлагаемые способы снижения рисков

Обход (исключение) риска — + + — —

Снижение риска + + + + +

Принятие риска — + — + +

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

Процессы

Использование элементов риска

Материальные активы + + + + +

Нематериальные активы + + + + +

Угрозы + + + + +

Ценность активов + + + + +

Уязвимости + + + + +

Меры безопасности + + + — +

Потенциальный ущерб + + + + +

Вероятность реализации угроз + + + + +

Рассматриваемые типы рисков

Бизнес-риски — + + + —

Риски, связанные с нарушением законодательных актов — + — — +

Риски, связанные с использованием технологий — + — + +

Коммерческие риски + + + + +

Риски, связанные с привлечением третьих лиц + + + + +

Риски, связанные с привлечением персонала + + — + +

Повторные оценки рисков — + + — +

Определение правил принятия рисков — + — — +

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Способы измерения величин рисков

Качественная оценка + + + + +

Количественная оценка — + + — —

Способы управления

Качественное ранжирование рисков + + + + +

Количественное ранжирование рисков — + + — —

Использование независимой оценки — + — + +

Расчет возврата инвестиций — + — — —

Расчет оптимального баланса между различными типами мер безопасности, такими как:

Меры предотвращения — + + — +

Меры выявления — + + — +

Меры по исправлению — + + — +

Меры по восстановлению — + + — +

Интеграция способов управления — + — — —

Описание назначения способов управления — + + + +

Процедура принятие остаточных рисков + + — — +

Управление остаточными рисками — + — — +

Мониторинг рисков

Применение мониторинга эффективности мер ИБ — + + — —

Проведение мероприятий по снижению рисков — + + — +

Использование процесса реагирования на инциденты в области ИБ — + — — +

Структурированное документирование результатов оценок рисков — + + — +

Примечание: Таблица сравнения программного инструментария для анализа и оценки рисков приводится по материалам доклада Барановой Е.К., Черновой М.В. на II Международной конференции «Управление информационной безопасностью в современной обществе», 3-4 июня 2014 г., НИУ ВШЭ, г. Москва.

Оценка CRAMM

Данная методика не учитывает сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам рисков. В отношении стратегии работы с рисками CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как обход или принятие, не рассматриваются. В методике отсутствуют: процесс интеграции способов управления и описание

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.

Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков. Кроме того, следует отметить высокую стоимость лицензии.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Оценка ГРИФ

Методика ГРИФ использует количественные и качественные способы оценки рисков, а также определяет условия, при которых последние могут быть приняты компанией, включает в себя расчет возврата инвестиций на внедрение мер безопасности. В отличие от других методик анализа рисков, ГРИФ предлагает все способы снижения рисков (обход, снижение и принятие). Данная методика учитывает сопроводительную документацию, такую как описание бизнес-процессов или отчетов по проведенным оценкам рисков ИБ.

Оценка RiskWatch

Эта методика использует количественные и качественные способы оценки рисков. Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты без учета организационных и административных факторов. Существенным достоинством RiskWatch является интуитивно понятный интерфейс и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т. д.

Оценка CORAS

CORAS не предусматривает такой эффективной меры по управлению рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки рисков и обновление их величин, что свидетельствует о том, что методика пригодна для выполнения разовых оценок и не годится для регулярного использования.

Положительной стороной CORAS является то, что программный продукт, реализующий эту методику, распространяется бесплатно и не требует значительных ресурсов для установки и применения.

Оценка MSAT

Ключевыми показателями для данного программного продукта являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценки уровня защищенности системы в организациях разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности). MSAT не дает количественной оценки уровня рисков, однако, качественные оценки могут быть привязаны к ранговой шкале.

MSAT позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, но не дает возможности найти оптимальный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов.

Заключение

Рассмотренные методики хорошо соответствуют требованиям групп «Риски» и «Процессы (Использование элементов риска)», но некоторые из них (CRAMM, CORAS)

Образовательные ресурсы и технологии*2015’1(9)

НОВЫЕ ТЕХНОЛОГИИ

имеют недостатки в соответствии с разделами «Мониторинг» и «Управление», а также со многими подразделами «Процессы». Немногие (ГРИФ, RiskWatch, MSAT) дают подробные рекомендации по поводу составления расписания проведения повторных оценок рисков.

В тех случаях, когда требуется выполнить только разовую оценку уровня рисков в компании среднего размера, целесообразно рекомендовать использование методики CORAS. Для управления рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методики Microsoft Security Assessment Tool и RiskWatch предпочтительны для использования в крупных компаниях, где предполагается внедрение управления рисками ИБ на базе регулярных оценок, на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.

Литература

1. Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации. -М.: ИНФРА-М_РИОР, 2014.

4. Международный стандарт ISO/IEC 27005:2008. Информационная технология -Методы защиты — Менеджмент рисков информационной безопасности BS ISO/IEC 27005:2008.

5. Левченко В.Н. Этапы анализа рисков. URL: http://www.cfin.ru/finanalysis/risk/ stag-es.shtml

Methods of analysis and risk assessment Information security

пристегните ремни

формирование информационной базы

управления предпринимательским риском

_Предпринимательский риск зависит от уровня конкуренции

_и альтернативных вариантов решения тех или иных вопросов

_развития субъекта хозяйствования. Чтобы не разориться,

_предприниматель вынужден идти на внедрение технических

_новшеств, на смелые действия, что, в свою очередь, также усиливает

_этот риск . То есть успешное функционирование предприятий

во многом зависит от грамотного управления предпринимательскими

_рисками, под которыми понимают основанное на определенных

_методах и принципах воздействие субъекта на объект управления

__с целью оптимизации риска и прибыли.

КисленокА.А.

соискатель, старший преподаватель кафедры «Экономика и управление в отраслях химико-лесного комплекса» Тихоокеанского государственного университета

Деятельность по управлению риском включает в себя :

— идентификацию рисков, прогнозиро-убытков и ситуаций;

— четкость механизма управления рисками;

— координируемый контроль рисков по всем подразделениям предприятия;

— анализ эффективности управления;

— финансирование рисков;

— установление обязанностей руководителей и сотрудников.

Наиболее приемлемой структурой управления рисками, по нашему мнению, является матричная структура. Для осуществления управления рисками необходимо на крупных предприятиях ввести службу риск-менеджмента, на средних — должность риск-менеджера, на мелких — функции риск-менеджера доверить руководителю фирмы. Руководство предприятия осуществляет координацию и контроль над деятельностью по управлению рисками.

Риск-менеджер или служба риск-менеджмента разрабатывает методики сбора информации. Важным моментом организации информаци-

сийское предпринимательство, 2007,№ 12

онного обеспечения является отбор нужной информации из общей совокупности для соответствующего направления деятельности по управлению рисками. При этом информация должна быть достоверной, полезной, точной, своевременной . По нашему мнению, способом сбора информации по управлению риском может служить картографирование рисков . В этом случае в обязанности риск-менеджера входит разработка различного рода карт для идентификации и оценки всех видов потенциальных рисков. Карта риска (рискокарта) — это форма фиксации данных о том или ином виде риска. Процесс фиксации данных в рискокартах называется картографированием. Целью картографирования является оценка частоты риска и степени его проявления. Целесообразно, чтобы картографированием рисков занимались руководители отделов и служб. Так, картографированием риска нарушения техники безопасности (ТБ) должен заниматься инженер по ТБ, риск поставок и качества может фиксировать начальник отдела снабжения, риск остановки оборудования — главный механик или инженер и т.д. К работе по картографированию рисков могут привлекаться и внешние эксперты. Особенно это касается картографирования рисков, связанных с внешней средой организации. В основу разработки рискокарт должен быть положен анализ причинно-следственных связей той или иной рисковой ситуации, который позволит определить возможность нейтрализации риска.

Карты рисков могут иметь различные формы. Например, риски связанные с остановкой оборудования могут фиксироваться в рискокартах табличного вида. Форма заполняется по каждому виду оборудования, где указывается марка, срок эксплуатации, срок полезного использования, дата ввода в эксплуатацию, количество ремонтов (с указанием причин поломок), простои в ремонте и его ожидании, стоимость ремонтных работ и запчастей.

способом сбора информации может служить картографирование рисков

управление рисками

кал

обеспечение

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

уъ /Ш/Ъ/Ъ у

штие

_____С!

_залогом четкого Риск остановки производства из-за отсутствия

функционирования кадров может возникнуть по объективным и

_механизма субъективным причинам (прогулы, болезнь,

_управления смерть и т.д.) Учет неявок на рабочее место

рисками является по субъективным причинам должен вестись в отделе кадров на основе поданных табелей соответствующей формы.

Одной из причин сбоев работы предприятия может служить отсутствие сырья и материалов. В этом случае рискокарта может иметь вид таблицы, где указывается отсутствующий материал (или материал ненадлежащего качества), на каком участке производства произошел сбой и, если имели место простои, на какое время был прерван процесс производства (транспортировки). Данные рискокарты аполняются бригадирами, начальниками смен и направляются к начальнику отдела снабжения, который на основе полученных данных составляет карту риска поставок и качества.

При оценке риска с привлечением экспертов рискокарты могут иметь вид вопросника или анкеты.

После фиксации рисковых событий их направляют для дальнейшей обработки в службу риск-менеджмента, которая осуществляет обработку карт и оценку рисков. Результаты обработки рискокарт доводятся до сведения функциональных отделов и служб, которые вносят предложения по управлению определенными видами рисков. После этого служба риск-менеджмента осуществляет разработку управленческого воздействия, которое доводится до сведения функциональных отделов и служб. Они, в свою очередь, знакомятся с программой управления рисками и выполняют ее. Контроль над реализацией управленческих решений и их корректировка осуществляются совместными усилиями. Анализ эффективности управления рисками, проводимый риск-менеджером, помогает оценить результаты работы.

Залогом четкого функционирования механизма управления рисками является информационное обеспечение. Обеспечить все зве-

Гсийское предпринимательство, 2007,№ 12

нья управленческого процесса необходимой информацией поможет разработка методики сбора информации на постоянной основе, которая в дальнейшем обеспечит возможность применения статистических методов оценки рисков, окажет помощь в выборе методов управления рисками, в формировании наиболее приемлемой программы по управлению рисками.

Для формирования информационной базы необходимо осуществлять мониторинг на всех стадиях управления рисками и создать архив мониторинга рисков. Механизм формирования информационной базы представлен на рис.1 .

Первый этап процесса управления рисками предполагает определение целей и задач. Здесь необходимо рассмотреть возможные цели и обозначить задачи, решение которых позволит достичь желаемых результатов. В архиве мониторинга рисков должна накапливаться информация о достижении поставленных ранее целей, неудачах и их причинах (статистика).

На этапе качественного анализа предполагается определить весь спектр факторов риска, что позволит создать каталог факторов риска. Количественный анализ предполагает проведение оценки риска. Здесь речь идет о непосредственном мониторинге рисков и фиксации данных в рискокартах, а также о выборе возможных методов их оценки. В архиве мониторинга рисков должна скапливаться информация о степени проявления того или иного риска (статистика), а также создаваться банк моделей и методов оценки рисков.

После количественной оценки рисков непосредственно принимается управленческое решение. На данном этапе важен выбор методов нейтрализации рисков. В архиве формируется банк методов нейтрализации риска и статистические данные об успешности их применения.

На этапе контроля осуществляется постоянный мониторинг с целью корректировки

для формирования информационной базы необходимо осуществлять мониторинг на всех стадиях управления рисками

управление риск

ЭТАПЫ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ

Разработка программы по управлению рисками

Контроль

Анализ результатов

управления

рисками

Определение целей .

Качественный анализ риска

Количественный анализ риска

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

|

МОНИТОРИНГ

Рассмотрение возможных целей

Выявление факторов риска

Разработка рискокарт, фиксация данных, выбор методов оценки риска

Выбор методов нейтрализации рисков

Выбор способов контроля, постоянный мониторинг с целью корректировки решений

Выбор методики оценки эффективности управления рисками

ИНФОРМАЦИОННАЯ БАЗА, АРХИВ МОНИТОРИНГА

Статистические данные о достижении ранее поставленных целей, неудачах

Создание каталога факторов риска

Статистические данные о мере проявления рисков, создание банка моделей и методов оценки рисков

Формирование банка методов управления рисками

Создание банка способов контроля

Формирование банка методов оценки эффективности управления рисками

Рис. 1. Формирование информационной базы управления рисками

_к работе

_по картографированию

_рисков могут

привлекаться

_внешние

_эксперты

управленческих решений. В архиве аккумулируется информация по способам осуществления контроля и эффективности их применения.

Анализ результатов управления рисками должен проводиться на основе методик, информация о которых хранится в архиве мониторинга рисков.

Таким образом, рассмотренные выше общие параметры формирования информационной базы характерны для всех видов предприятий. Однако некоторые этапы (разработка рискокарт и картографирование рисков) могут

оссийское предпринимательство, 2007, № 12

иметь отраслевые особенности, которые обусловлены наличием различных рисковых факторов.

Литература

1. Гранатуров В.М. Экономический риск: методы измерения, пути снижения. — М.: Дело и сервис, 1999. — 112 с. — ISBN 5-8018-0060-3.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

3. Семенов А.К., Набоков В.И. Основы менеджмента. — М.: Издательско-торговая корпорация «Дашков и Ко», 2003. — 300 с. — ISBN 5-94798-303-6.

важным моментом

информационного

обеспечения

является

отбор нужной

информации

A.A. Kislenok, _

Senior Lecturer at Chemical-Forestry Complex Economics

and Management Department, Pacific State University, _

Aspirant to the Academic Title of Candidate of Economic Sciences _

Forming an Information Database for Business Risk Management _

управление рисками^.

:ами

Предпринимательский риск — это опасность потенциальной потери ресурсов или отклонение от нормативного варианта, ориентированного на рациональное использование ресурсов.

Риск в предпринимательстве — это вероятность того, что предприятие понесет убытки или потери, если намеченное мероприятие (управленческое решение) не осуществится, а также, если были допущены просчеты или ошибки при принятии управленческих решений. Предпринимательский риск можно подразделить на производственный, финансовый и инвестиционный.

Количественный анализ — представляет собой определение размеров отдельных рисков, производимое математическими и статистическими методами. Могут использоваться следующие методы количественного анализа: статистический, метод оценки вероятности ожидаемого ущерба, метод минимизации потерь, метод использования дерева решений, математический метод, оценка риска на основе анализа финансовых показателей деятельности предприятия.

1.Прежде всего, решение, принимаемое в ситуации риска, должно оцениваться с точки зрения вероятности достижения предполагаемого результата и возможного отклонения от него.

2.Рисковое решение также должно оцениваться с точки зрения затрат, необходимых на его осуществление. Лучшим будет решение, требующее меньших затрат на свое осуществление

.наконец, рисковое решение должно оцениваться с точки зрения продолжительности времени, неоходимого на реализацию решения. Лучшим будет решение, которое при данных условиях требует меньшего времени на его осуществление.

Критерии количественной оценки риска. Если исходить из того, что предпринимательский риск — вероятность неудачи, то в этом случае критерием оценки риска является вероятность того, что полученный результат окажется меньше требуемого значения (намечаемого, планируемого, прогнозируемого).

Количественная оценка предпринимательского риска с помощью методов математической статистики устанавливается главными инструментами данного метода оценки — дисперсией, стандартным отклонением, коэффициентом вариации.

Преимуществом данного метода оценки предпринимательского риска является несложность математических расчетов, а явным недостатком — необходимость большого количества исходных данных (чем больше массив, тем достовернее оценка риска).

Кроме статистического метода существует метод экспертной оценки риска, который может быть реализован путем обработки мнений опытных предпринимателей и специалистов.