Информационная безопасность как процесс управления рисками
Объект исследования: процесс управления рисками.
Результаты, полученные лично автором: мониторинг и анализ риска необходимый для поддержания защищенности объекта на должном уровне.
Большинство предприятий тратят на безопасность продукта своей деятельности определенный фиксированный процент прибыли. Часть вложенных на безопасность средств в этот продукт не возвращается в виде прибыли. Можно видеть, что безопасность это не продукт, а процесс. Поэтому для решения подобной проблемы можно посмотреть на безопасность как на управление рисками.
Цель управления рисками заключается в балансе рисков для деятельности предприятия, снижая потенциальные угрозы. Необходимость в методе управления рисками, который бы позволил точно и надежно измерять параметры безопасности продукта и получать максимальную отдачу средств, вложенных на его безопасность, по-прежнему велика.
Информационная безопасности включает три компонента:
· требования
· политику
· механизмы.
Требования определяют цели безопасности. Они отвечают на вопрос, – «Что вы ожидаете от вашей безопасности?». Политика определяет значение безопасности. Она отвечает на вопрос, - «Какие шаги вы должны предпринять в достижении целей поставленных выше?». Механизмы предопределяют политику. Они отвечают на вопрос, - «Какие инструменты, процедуры и другие пути вы используете, чтобы гарантировать то, что шаги предопределенные выше будут выполнены?».
Управление рисками должно дать ответ на следующие вопросы:
1. На сколько улучшилась безопасность предприятия в текущем году?
2. Что предприятие получило за деньги, потраченные на безопасность?
3. На какой уровень безопасности предприятие должно ориентироваться?
Для ответа на эти вопросы требуется строгое определение параметров безопасности и структуры управления рисками.
Можно выделить четыре наиболее важных момента в управлении рисками предприятия:
1.Недолговечность информационного актива. Предприятия и большинство промышленных отраслей понимают, что эффективность их работы зависит от информации. Каждый известный случай критического искажения, повреждения или разрушения информации усиливает их опасения по этому пункту.
2.Доказуемая безопасность. Так как параметры безопасности не всегда имеют оценку, предприятия не способны измерить стабильность или эффективность при выборе различных средств безопасности. Следовательно, количество средств, которое можно потратить на улучшение безопасности не известно.
3. Обоснование стоимости. Повышение стоимости решений и средств безопасности приводит к тому, что проекты информационной безопасности конкурируют с другими инфраструктурными проектами предприятия. Прибыльно-стоимостной анализ и расчет средств возвращаемых в инвестиции становятся стандартными требованиями для любых проектов по информационной безопасности.
4. Ответственность. С ростом предприятий их зависимость от рисков информационной безопасности возрастает. Необходим надежный механизм для управления этими рисками. Для оценивания информационной безопасности прибыльно-стоимостного анализа и расчета 58 средств возвращаемых в инвестиции не достаточно. До сих пор нет метода, позволяющего наиболее достоверно статистически представить параметры информационной безопасности.
После определения рисков необходимо принять меры для их минимизации. Снижение риска представляет собой вариант выбора определенных средств управления. Сохранением риска является решение принять риск, не предпринимая дальнейших действий.
Избегание риска представляет собой прекращение определенной деятельности, вызывающей конкретный риск. Данный способ является самым эффективным средством обеспечения безопасности, однако, в случае, если данная деятельность крайне важна для организации, и она не может от нее отказаться, этот вариант не рассматривается.
Перенос риска представляет собой передачу определенной деятельности на аутсорсинг, в результате чего риски от этой деятельности будет нести другая организация. Важно подробно осветить вопрос ответственности за разглашение третьей стороной информации, полученной в ходе принятия на себя обязанности по аутсорсингу.
Страховые компании принимают на себя риски и получают за это страховую премию. Компенсация убытков осуществляется в том случае, если происходит инцидент, входящий в рамки страхового покрытия.
Так же очень важной составляющей процесса управления рисками является мониторинг и анализ риска, который необходим для поддержания защищенности объекта на должном уровне. В связи с функциональными изменениями внутри организации, а также внешними изменениями, касающимися политической, экономической обстановки в стране, со временем появляются новые угрозы и уязвимости. Необходимо осуществлять непрерывный мониторинг и учитывать соответствующие изменения.
С усложнением информационных технологий предприятия сталкиваются все с более сложными информационными рисками. Многие предприятия тонут в потоке данных. В большинстве случаев, имеющееся количество фактов, позволяет получать необходимую информацию по оцениванию информационной безопасности. Но проблема в том, что не всегда и не все могут получать эту информацию. Решением этой задачи является механизм, который позволит анализировать факты и, выделяя необходимую информацию оценивать ее, преобразуя в знания о безопасности.
Материал поступил в редколлегию 21.03.2017
УДК 004
Мошкара Н.В., Давыдов, В.А., Боровых Н.Е.
Научный руководитель: доцент кафедры «Системы информационной безопасности», к.т.н., О.М. Голембиовская