Несмотря на данное обещание хотя бы иногда писать в блог во время отпуска после , я этого, конечно, не делала. У меня, конечно, есть оправдание – я в Таиланде очень сильно отравилась, пару дней провалялась с температурой под 40, и никакие набранные с собой в товарном количество таблетки-порошки ситуацию не исправили. Самое обидное – я до этого была в десятке азиатских стран и ни разу не было никаких проблем. В любом случае вины с себя не снимаю, совесть мучает, буду исправляться. Поэтому сегодня давайте поговорим о наболевшем – о том, что такое вторичный и остаточный риск и как он может повлиять на ваш проект, на моем печальном отпускном примере.

Итак, что такое остаточный риск в проекте (на английском он называется residual risk )?

Вообще это понятие пришло в проектный менеджмент из БЖД или охраны труда. Поэтому в соответствии с классическим определением, остаточный риск – это риск, остающийся после того, как вы предприняли ряд мер для снижения первоначального риска, соотношение вероятности и влияния которого достаточно низко, чтобы вы этот риск для себя приняли и оставили «на авось». Важно понимать, что полностью исключить риск нельзя, можно только снизить, причем в какой-то момент придется остановиться, иначе стоимость снижения риска превысить выгоды, получаемые от проекта.

А вторичный риск (secondary risk) – это риск, которого не было раньше, но который появляется после того, как были предприняты меры для снижения первоначального риска.

Сразу к моему примеру – вы едете в свадебное путешествие в более-менее развитую, но все-таки экзотическую страну. И один из рисков, который вы учитываете в первую очередь – это, разумеется, риск отравиться какой-нибудь вкусной местной едой и проваляться половину отпуска в кровати (или просидеть на унитазе, как повезет). Если вы отравитесь – весь отпуск пойдет насмарку, поэтому влияние риска очень высоко (проект просто будет провален). Вероятность риска – тоже очень высокая, все-таки местные тараканы – это не сама привычная еда для вашего желудка.

Поэтому вы, как разумный человек, гуглите «как собрать аптечку в таиланд без смс и регистрации», тратите кучу денег в аптеке и (если вы очень разумный) консультируетесь со знакомым доктором. После того, как вы купили половину аптеки, на первый взгляд, риск отравления должен снизиться (понятно, что мы говорим не о самом отравлении, а о его последствиях, для краткости).

Тут у нас появляется понятие вторичного риска. Казалось бы, лекарства есть, что еще нужно? Однако нужно как минимум вспомнить, что авиакомпании не так уже редко теряют чемоданы и у вас есть шанс остаться без своей любовно собранной аптечки, и лучше положить аптечку в ручную кладь. А после этого, снизив риск остаться без аптечки, лучше еще раз подумать и вспомнить, что в ручную кладь нельзя класть жидкости более 100мл, и ваш Энтерос-гель отберут на контроле. Поэтому Энтерос-гель вернуть в чемодан, а для страховки прикупить пачку активированного угля, который менее эффективен, но зато точно не вызовет ни у кого вопросов. Таким образом, мы максимально обезопасили себя от того, чтобы не остаться без аптечки. Можно было бы продолжать и дальше, например, задаться вопросом «А если у меня украдут сумку с ручной кладью в аэропорту?» и купить второй комплект лекарств в чемодан. Но какова вероятность, что это произойдет? Так как она совсем невелика, вы на этот риск «забиваете», считаете его остаточным и ничего по этому поводу не делаете.

Но это была половина дела, теперь возвращаемся к началу. Купив аптечку мы, предположим, наполовину снизили вероятность пролежать неделю в кровати вместо моря и кокосов. Однако даже оставшаяся половина – это слишком много, чтобы так рисковать отпуском, поэтому вы идете и гуглите «туристическая страховка в Таиланд».

Если времени много – то еще гуглите и отзывы о страховых компаниях, чтобы снизить вероятность того, что на месте страховая найдет отмазку и никакой помощи вам не окажет. Покупаете страховку, делаете 2 копии – одну будете таскать с собой, вторую отдаете своему спутнику (а то вдруг вы будете не в состоянии сказать где она), оригинал храните в сейфе отеля. Тем самым вы снизили вторичный риск того, что тогда, когда вам понадобится помощь, полис окажется потерянным или его не будет под рукой (или он пострадает от морской воды, если вы будете сознательно таскать с собой везде оригинал, особенно на пляже). Поздравляю, вы только что еще более значительно снизили риск остаться без отпуска, а при самом плохом раскладе – и без здоровья, вы молодец. Очередной остаточный риск – что страховая окажется шаражкой, которая не окажет никакой помощи, вы считаете достаточно несерьезным (вы же читали отзывы, они всем помогали!) и решаете не обращать на него внимание.

Чтобы уж совсем быть уверенным, что все будет отлично, вы закидываете на отдельную карточку тысячу долларов, храните ее в сейфе, Если вы маньяк или у вас основания полагать, что ваш банк за границей вас может подвести (так говорит гугл или были прецеденты) – вы снижаете этот вторичный риск, и таких карточек берете две, разных банков, одну носите с собой, другую храните в сейфе. И не забываете сказать спутнику пин-коды (тут, правда, возникает риск того, что он с вашими карточками сбежит, но, учитывая что вы едете в свадебное путешествие, это прямо совсем уж остаточный риск, куда он денется). Теперь если что – вам точно хватит на вызов коммерческой скорой помощи, и ваш отпуск будет спасен. Для полной уверенности можно заранее телефон этой скорой найти и записать себе и спутнику номер в свои смартфоны, и положить пару тысяч на этот телефон, чтобы был запас в роуминге.

Итого, что мы имеем? Запас таблеток, страховой полис, запас денег, с таким арсеналом вы закрывает риск настолько, насколько его вообще можно закрыть, и с чистой совестью собираетесь дальше. Все, с возможным отравлением разобрались, переходим к следующему риску проекта «Свадебное путешествие», их в списке всего 35 осталось…

Что касается меня – запас таблеток не помог (то есть этот барьер отвалился еще в тот момент, когда стало понятно, что никаким парацетамолом я температуру 40 сбить не могу, а Энтерос-гель не оказывает вообще никакого эффекта, т.е. отравление слишком сильное, чтобы справиться с ним своими силами. Переходим к п.2 (уж он-то должен помочь) – звоним в Альфастрахование и просим вызвать скорую, полчаса регистрируем страховой случай (тут-то нам и пригодились деньги на телефоне) и узнаем, что «скорую мы не вызываем, потому что она дорогая, добирайтесь полтора часа до госпиталя по темному серпантину своим ходом». Понимаем, что при температуре 41 наступает летальный исход и встретить его на горной дороге как-то грустно, даем себе честное слово засудить страховую при возвращении, и приступаем к казавшемуся таким невероятным п.3 – вызываем платную скорую за 40 000 российских рублей (понятно, что сделать деньги на туристах тут не пытается только ленивый), получаем свой укол, набор местных таблеток-порошков и план лечения от тайского врача и буквально через 2 дня приходим в себя и продолжаем есть опасную, но такую вкусную экзотическую еду.

Кстати, про отравление, это банально, но не забывайте следовать простым детским правилам типа “руки перед едой надо мыть” и “плохо пахнет – лучше не ешь”.

"Основы информационной безопасности" доктора физ.-мат. наук, заведующего сектором в отделе информационной безопасности НИИ системных исследований РАН В.А. Галатенко с любезного согласия автора. По мнению редакции, этот материал представляет большой интерес, поскольку вопросы анализа рисков в сфере информационных технологий в настоящее время особенно актуальны.

Введение

Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.

Тема "Управление рисками" рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.

Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором - достаточно определиться лишь с несколькими параметрами.

Основные понятия

Адекватная безопасность - уровень безопасности, соразмерный с риском и величиной ущерба от потери, ненадлежащего использования, модификации или несанкционированного доступа к информации.

Базовый уровень безопасности - минимальный набор регуляторов безопасности, необходимый для защиты информационной системы, определяемый из потребностей ИС в обеспечении доступности, конфиденциальности и целостности.

Калиброванная (регулируемая, настраиваемая, повышаемая) безопасность - система безопасности, обеспечивающая несколько уровней защиты (низкий, умеренный, высокий) в зависимости от угроз, рисков, доступных технологий, поддерживающих сервисов, времени, кадровых и экономических ресурсов.

Компрометация - раскрытие информации неавторизованным лицам или нарушение политики безопасности организации, способное повлечь за собой умышленное или неумышленное несанкционированное раскрытие, модификацию, разрушение и/или потерю информации.

Нарушение информационной безопасности - нарушение или угроза неминуемого нарушения политики информационной безопасности, правил добропорядочного поведения или стандартных правил информационной безопасности.

Уровень (степень) критичности ИС - параметр, характеризующий последствия некорректного поведения информационной системы. Чем серьезнее прямое или косвенное воздействие некорректного поведения, тем выше уровень критичности ИС.

Система, критичная для выполнения миссии организации (критичная система) - телекоммуникационная или информационная система, передающая, обрабатывающая и/или хранящая информацию, потеря, ненадлежащее использование и/или несанкционированный доступ к которой могут негативно воздействовать на миссию организации.

Окружение (среда) - совокупность внешних процедур, условий и объектов, воздействующих на разработку, эксплуатацию и сопровождение информационной системы.

Воздействие (влияние) - величина (размер) ущерба (вреда), ожидаемого в результате несанкционированного доступа к информации или нарушения доступности информационной системы.

Анализ воздействия на производственную деятельность - анализ потребностей информационной системы и ассоциированных с ней процессов и зависимостей, используемый для спецификации требований к непрерывности функционирования и приоритетов восстановления ИС после серьезных аварий.

Контрмеры - действия, устройства, процедуры, технологии или другие меры, уменьшающие уязвимость информационной системы. Синонимом служит термин "регуляторы безопасности".

Лечение - действие по исправлению уязвимости или устранению угрозы. Тремя возможными типами лечения являются:

• установка корректирующих "заплат";
• регулировка конфигурационных параметров;
• устранение уязвимых программных приложений.

План лечения - план осуществления лечения одной или нескольких угроз и/или уязвимостей, которым подвержена информационная система организации. В плане обычно рассматривается несколько возможных способов устранения угроз и уязвимостей и определяются приоритеты по осуществлению лечения.

Риск - уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации).

Риски, связанные с информационными технологиями - общее воздействие на производственную деятельность с учетом:

• вероятности того, что определенный источник угроз использует или активизирует определенную уязвимость информационной системы;
• результирующего воздействия, если угроза будет реализована. Риски, связанные с информационными технологиями, являются следствием законодательной ответственности или производственных потерь вследствие:
  • несанкционированного (злоумышленного, незлоумышленного, случайного) доступа к информации;
  • незлоумышленных ошибок и/или упущений;
  • разрушения ИС в результате стихийных бедствий или техногенных катастроф;
  • неспособности проявлять должную аккуратность и старательность при реализации и/или эксплуатации ИС.

Остаточный риск - остающийся, потенциальный риск после применения всех контрмер. С каждой угрозой ассоциирован свой остаточный риск.

Совокупный (суммарный, полный) риск - возможность осуществления вредоносного события при отсутствии мер по нейтрализации рисков.

Анализ рисков - процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина "оценка рисков", он включает в себя анализ угроз и уязвимостей.

Управление рисками - процесс, включающий оценку рисков, анализ экономической эффективности, выбор, реализацию и оценку контрмер, а также формальное санкционирование ввода системы в эксплуатацию. В процессе управления рисками принимаются во внимание и анализируются эффективность действий и законодательные ограничения.

Нейтрализация (уменьшение, ослабление) рисков - определение приоритетов, оценка и реализация контрмер, должным образом уменьшающих риски.

Терпимость по отношению к риску - уровень риска, который считается допустимым для достижения желаемого результата.

Санкционирование безопасной эксплуатации - официальное решение, принимаемое руководством организации, санкционирующее ввод информационной системы в эксплуатацию и явным образом объявляющее допустимыми риски, оставшиеся после реализации согласованного набора регуляторов безопасности.

Категория безопасности - характеристика информации и/или информационной системы, основанная на оценке потенциального воздействия потери доступности, конфиденциальности и/или целостности этой информации и/или информационной системы на производственную деятельность организации, ее активы и/или персонал.

Уровень защищенности - иерархический показатель степени чувствительности по отношению к определенной угрозе.

Требования безопасности - требования к информационной системе, являющиеся следствием действующего законодательства, миссии и потребностей организации.

Наиболее распространенные угрозы

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Основные определения и критерии классификации угроз

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза возникает из-за уязвимостей в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать уязвимость, и до того, когда она ликвидируется, называется окном опасности, ассоциированным с данной уязвимостью. Пока существует окно опасности, возможны успешные атаки на информационную систему.

Если речь идет об ошибках в ПО, то окно опасности образуется с появлением средств использования ошибки и ликвидируется при наложении "заплат", ее исправляющих. Для большинства уязвимостей окно опасности существует довольно долго (несколько дней, иногда - недели). За это время должны произойти следующие события:

• появляется информация о средствах использования уязвимости;
• выпускаются соответствующие "заплаты";
• "заплаты" устанавливаются в защищаемой информационной системе.

Новые уязвимости и средства их использования появляются постоянно. Это означает, что, во-первых, почти всегда существуют окна опасности, и во-вторых, отслеживание таких окон должно производиться непрерывно, а выпуск и наложение "заплат" - как можно более оперативно.

Отметим, что некоторые угрозы нельзя назвать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы происходит по причине зависимости аппаратного обеспечения информационных систем от электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Существует много мифов в информационных технологиях о возможных угрозах и уязвимостях (вспомним хотя бы пресловутую "Проблему-2000"). Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Отметим, что само понятие "угроза" в разных ситуациях трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности, так как вся информация считается общедоступной. И все же в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим отношение к угрозам с точки зрения типичной (по нашему мнению) организации. Их можно классифицировать по нескольким критериям:

• аспект информационной безопасности (доступность, целостность, конфиденциальность), против которого они (угрозы) направлены в первую очередь;
• компонент информационных систем, на который угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• способ осуществления угроз (случайные/преднамеренные действия природного/техногенного характера);
• расположение источника угроз (внутри/вне рассматриваемой ИС).

В качестве основного критерия мы будем использовать первый (аспект ИБ), привлекая при необходимости остальные.

Наиболее распространенные угрозы доступности

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются непосредственными угрозами (неправильно введенные данные или ошибка в программе, вызвавшие крах системы), иногда они создают уязвимости, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и неорганизованностью.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - это максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

• отказ пользователей;
• внутренний отказ информационной системы;
• отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

• нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новое и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
• невозможность работать с системой, так как нет соответствующей подготовки (недостаток общей компьютерной грамотности и культуры, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
• невозможность работать с системой из-за отсутствия технической поддержки (неполнота документации, невозможность получения справочной информации и т.п.).

Основными источниками внутренних отказов являются:

• отступление (случайное или умышленное) от установленных правил эксплуатации;
• выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
• ошибки при (пере)конфигурировании системы;
• отказы программного и аппаратного обеспечения;
• разрушение данных;
• разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

• нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• разрушение или повреждение помещений;
• невозможность или нежелание выполнения обслуживающим персоналом и/или пользователями своих обязанностей (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые обиженные сотрудники - нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например: повредить оборудование; встроить логическую "бомбу", которая со временем разрушит программы и/или данные; удалить данные и т.д. Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия - пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и аналогичных "злоумышленников" (среди которых самый опасный - низкое качество электропитания и его перебои) приходится 13% потерь, нанесенных информационным системам.

Примеры угроз доступности

Угрозы доступности могут выглядеть грубо - как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение, как правило, происходит по естественным причинам (чаще всего из-за грозы).

К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, поэтому не редки случаи выгорания оборудования.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом - с помощью так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует признать экзотической и, следовательно, надуманной. Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Автору довелось быть свидетелем прорыва трубы отопления, в результате чего системный блок компьютера (это была рабочая станция производства Sun Microsystems) оказался заполненным кипятком. Справедливости ради стоит отметить, что когда кипяток вылили, а компьютер просушили, он возобновил нормальную работу, однако лучше такие опыты не ставить...

Летом в сильную жару, когда они больше всего нужны, норовят сломаться кондиционеры, установленные в серверных залах, набитых критически важным и дорогостоящим оборудованием. В результате весьма чувствительный ущерб наносится и репутации, и кошельку организации.

Теоретически все (или почти все) знают, что периодически необходимо производить резервное копирование данных. Однако, даже если такое копирование осуществляется на практике, резервные носители зачастую хранятся небрежно, не обеспечивая их элементарной сохранности, защиты от вредного влияния окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Перейдем теперь к угрозам доступности. Речь пойдет о программных атаках на доступность.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное использование ресурсов (полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов - атака, получившая наименование "SYN-наводнение". Ее идея состоит в попытке переполнить таблицу "полуоткрытых" TCP-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака, по меньшей мере, затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке "Papa Smurf" уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты "съедают" полосу пропускания (сеть как бы самовозбуждается).

Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме - как скоординированные распределенные атаки, когда на сервер с множества разных адресов в максимально возможном темпе направляются вполне легальные запросы на соединение и/или обслуживание. Начало "моды" на подобные атаки можно отнести к февралю 2000 года, когда жертвами оказались несколько крупнейших систем электронной коммерции (точнее, владельцы и пользователи систем). Отметим, что если имеет место архитектурный просчет, нарушающий баланс между пропускной способностью сети и производительностью сервера, то защититься от распределенных атак на доступность крайне трудно.

Для выведения систем из штатного режима эксплуатации могут использоваться программные и аппаратные ошибки. Например, известная ошибка в процессоре Pentium I дает возможность локальному пользователю путем выполнения определенной команды "завесить" компьютер, так что помогает только аппаратный RESET.

Программа "Teardrop" удаленно "завешивает" компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

Вредоносное программное обеспечение

Одним из опаснейших видов атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Мы выделим следующие грани вредоносного ПО:

• вредоносная функция;
• способ распространения;
• внешнее представление.

Часть, осуществляющую вредоносную функцию, будем называть "бомбой". Вообще говоря, спектр вредоносных функций неограничен, поскольку "бомба", как и любая другая программа, может характеризоваться сколь угодно сложной логикой, но обычно "бомбы" предназначаются для:

• внедрения другого вредоносного ПО;
• получения контроля над атакуемой системой;
• агрессивного потребления ресурсов;
• изменения или разрушения программ и/или данных.

По механизму распространения различают:

• вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
• "черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по информационной системе и их выполнение (для активизации вируса требуется запуск зараженной программы).

Обычно вирусы распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на сетевые "путешествия".

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, "черви" "съедают" полосу пропускания сети и ресурсы почтовых систем. По этой причине для атак на доступность они не нуждаются во встраивании специальных "бомб".

Вредоносный код, обладающий внешним представлением в виде функционально полезной программы, называется троянским. Например, некогда "нормальная" программа, будучи пораженной вирусом, становится троянской. Порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке.

Отметим, что данные нами определения и приведенная классификация вредоносного ПО отличаются от общепринятых. Например, в ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" содержится следующее определение:

"Программный вирус - исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах".

На наш взгляд, подобное определение неудачно, поскольку в нем смешаны функциональные и транспортные аспекты.

Окно опасности для вредоносного ПО появляется с выпуском новой разновидности "бомб", вирусов и/или "червей" и перестает существовать с обновлением базы данных антивирусных программ и наложением других необходимых "заплат".

Вероятно, по какой-то традиции, из всего вредоносного ПО наибольшее внимание общественности приходится на долю вирусов. Однако до марта 1999 года с полным правом можно было утверждать, что несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных ими, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где работают, а не играют, число зараженных компьютеров составляет лишь доли процента.

В марте 1999 года, с появлением вируса Melissa, ситуация кардинальным образом изменилась. Melissa - это макровирус для файлов MS-Word, распространяющийся посредством электронной почты в присоединенных файлах. Когда такой (зараженный) присоединенный файл открывают, он рассылает свои копии по первым 50 адресам из адресной книги Microsoft Outlook. В результате почтовые серверы подвергаются атаке на доступность.

В данном случае отметим два момента.

• Пассивные объекты уходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом, при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свои оборотные стороны (в рассматриваемом случае - отставание в разработке механизмов безопасности и ошибки в их реализации). Еще не скоро рядовые пользователи научатся применять интерпретируемые компоненты "в мирных целях" (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям устанавливают пушку, то пострадает стреляющий.
• Интеграция разных сервисов, наличие среди них сетевых, всеобщая связность многократно увеличивают потенциал для атак на доступность, облегчают распространение вредоносного ПО (вирус Melissa - классический тому пример). Образно говоря, многие информационные системы, если не принять защитных мер, оказываются "в одной лодке" (точнее - в одном корабле без переборок), так что достаточно одной небольшой казалось бы "пробоины", чтобы "лодка" стала стремительно тонуть, заливаемая бурным, все усиливающимся потоком.

Как это часто бывает, Melissa дала толчок к быстрому появлению на свет целой серии вирусов, "червей" и их комбинаций: Explorer.zip (июнь 1999), Bubble Boy (ноябрь 1999), ILOVEYOU (май 2000) и т.д. и т.п. Не то чтобы от них был особенно большой ущерб, но общественный резонанс, как это свойственно вирусам, они вызвали немалый.

Активное содержимое, помимо интерпретируемых компонентов документов и других файлов данных, имеет еще одно популярное обличье - так называемые мобильные агенты. Это программы, которые загружаются на другие компьютеры и там выполняются. Наиболее известные примеры мобильных агентов - Java-аплеты, загружаемые на пользовательский компьютер и интерпретируемые Интернет-навигаторами. Оказалось, что разработать для них модель безопасности, оставляющую достаточное количество возможностей для полезных действий, не так-то просто; еще сложнее безошибочно реализовать такую модель. В августе 1999 года стали известны недочеты в реализации технологий ActiveX и Java в рамках Microsoft Internet Explorer, которые давали возможность размещать на Web-серверах вредоносные аплеты, позволяющие получать полный контроль над системой-визитером.

Для внедрения "бомб" часто используются ошибки типа "переполнения буфера", когда программа, работая с областью памяти, выходит за допустимые границы и записывает в нужные злоумышленнику места нужное ему содержимое. Так действовал еще в 1988 году знаменитый "червь Морриса"; в июне 1999 года нашли способ использовать аналогичный метод по отношению к Microsoft Internet Information Server (IIS), чтобы получить контроль над Web-сервером. Окно опасности охватило сразу около полутора миллионов серверных систем...

Не забыты современными злоумышленниками и "старые, но недобрые" троянские программы. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows. Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя.

Таким образом, вредоносное ПО может быть направлено не только против доступности, но и против других основных аспектов информационной безопасности. К рассмотрению соответствующих угроз мы и переходим.

Основные угрозы целостности

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) располагаются кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен суммарный ущерб в размере 882 миллионов долларов. Можно предположить, что подлинный ущерб был гораздо больше, поскольку многие организации по понятным причинам скрывают такие инциденты. Не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.

Целесообразно провести различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник (являющийся, как правило, штатным сотрудником) может:

• ввести неверные данные;
• изменить данные.

Иногда изменяются содержательные данные, порой - служебная информация. Показательный случай нарушения целостности имел место в 1996 году. Служащая Oracle (личный секретарь вице-президента) возбудила судебный иск против президента корпорации, обвиняя его в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное письмо, якобы отправленное ее боссом президенту. Содержание письма для нас сейчас не важно; важно время отправки.

Дело в том, что вице-президент предъявил, в свою очередь, файл с регистрационной информацией компании сотовой связи, из которого явствовало, что он (босс) в указанное время разговаривал по мобильному телефону, находясь за рулем автомобиля вдалеке от своего рабочего места. Таким образом, в суде состоялось противостояние "файл против файла". Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его целостность. Суд решил, что подделали электронное письмо (секретарша знала пароль своего босса, поскольку ей было поручено его регулярное изменение), и иск был отвергнут...

(Теоретически существует возможность, что оба фигурировавших на суде файла были подлинными, корректными с точки зрения их целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.)

Помимо прочих, из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепо доверять компьютерную информацию. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя. Отметим, что последняя угроза актуальна даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Еще один урок: угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", то компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально уязвимы по отношению к нарушению целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного ПО - пример подобного нарушения.

Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на два класса - предметную и служебную. Служебная информация (такая, например, как пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато несанкционированным доступом ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются (многоразовые) пароли или иная конфиденциальная информация, то можно быть уверенным, что она будет храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на своем рабочем столе или попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности - частой) смене только ухудшают положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимостей можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется взять секреты, которые сами просятся в руки. Помимо паролей в головах и записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает вполне возможной реализацию угрозы перехвата данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея тут одна - осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на этих носителях данными. Остаются прежними пароли, при удаленном доступе они по-прежнему передаются в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной же сети выставки это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах, и получить доступ к ним могут многие.

Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, установить их, например, на кабельную сеть может даже уборщица, так что эту угрозу нужно принимать во внимание не только по отношению к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие, как "маскарад" - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - злоумышленные действия при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Таковы основные угрозы, на долю которых приходится львиная доля ущерба, наносимого субъектам информационных отношений.

Основные этапы управления рисками

Общие положения

Использование информационных систем связано с определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо велик, необходимо принять экономически оправданные защитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба.

Таким образом, суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

• (пере)оценку (измерение) рисков;
• выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

• ликвидация риска (например, за счет устранения причины);
• уменьшение риска (например, за счет использования дополнительных защитных средств);
• принятие риска (и выработка плана действия в соответствующих условиях);
• переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно подразделить на следующие этапы:

1. выбор анализируемых объектов и уровня детализации их рассмотрения;
2. выбор методики оценки рисков;
3. идентификация активов;
4. анализ угроз и их последствий, определение уязвимостей в защите;
5. оценка рисков;
6. выбор защитных мер;
7. реализация и проверка выбранных мер;
8. оценка остаточного риска.

Этапы (6) и (7) относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.

Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Можно выделить пять основных этапов жизненного цикла ИС:

• инициация;
• закупка (разработка);
• установка;
• эксплуатация;
• выведение из эксплуатации.

Кратко опишем, что может дать управление рисками на каждом из перечисленных этапов.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Подготовительные этапы управления рисками

Первые три этапа процесса управления рисками можно считать подготовительными. Их суть состоит в следующем.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приблизительностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

По многим причинам целесообразно создать карту информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими было решено пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Вообще говоря, уязвимым является каждый компонент информационной системы - от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, отдавая себе отчет в приблизительности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Очень важно выбрать разумную методику оценки рисков. Целью оценки является получение ответов на следующие вопросы:

• приемлемы ли существующие риски?
• какие из неприемлемых рисков в первую очередь нуждаются в уменьшении?
• какие защитные средства экономически целесообразно использовать для уменьшения неприемлемых рисков?

Следовательно, оценка рисков должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее будет продемонстрировано, как это делается.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть о видимых основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту ИС в качестве граней соответствующих объектов.

Информационной основой любой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).

К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), другое базовое и прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.

Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и категориям критичности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Управление рисками - процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

Анализ угроз и оценка рисков

Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.

Перечень наиболее распространенных угроз предполагается известным. К сожалению, с практической точки зрения число угроз оказывается бесконечно большим, причем далеко не все из них носят компьютерный характер. Так вполне реальной угрозой является наличие мышей и тараканов в помещениях, занимаемых организацией. Первые могут повредить кабели, вторые - вызвать короткое замыкание.

Как правило, наличие той или иной угрозы является следствием уязвимостей в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей исходит не только от мышей, но и от недостаточной прочности защитной оболочки или ее отсутствия.

Первый шаг в анализе угроз - их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения, однако не исключая возможности захвата организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения, это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

Уязвимости обладают свойством притягивать к себе не только злоумышленников. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет в рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, то можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Выбор защитных мер и последующие этапы управления рисками

Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению (подходящих средств, вероятно, будет несколько). Однако, если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

Можно представить ситуацию, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.

Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать.

В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться в том, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать в срочном порядке ошибки, которые были допущены, и провести повторный сеанс управления рисками.

Ключевые роли в процессе управления рисками

Управление рисками - деятельность административного уровня информационной безопасности. Ключевые роли в этой деятельности принадлежат следующим должностным лицам.

Руководитель организации. Он несет общую ответственность за выполнение организацией возложенной на нее миссии. Он должен обеспечить, чтобы ресурсы, необходимые для выполнения миссии, были выделены и эффективно применялись. При принятии решений о выделении ресурсов руководитель должен опираться на результаты анализа рисков. Разработка и проведение в жизнь эффективной программы управления рисками, связанными с информационными технологиями, включающей их (рисков) оценку и нейтрализацию, требует поддержки высшего руководства организации.

Начальник управления (отдела) информатизации. Он отвечает за планирование, выделение средств и функционирование информационных систем организации, включая аспекты, относящиеся к информационной безопасности. Принимаемые им решения должны основываться на результатах эффективной программы управления рисками.

Владельцы систем и информации. Они отвечают за то, чтобы для защиты принадлежащих им информационных систем и данных применялись соответствующие регуляторы безопасности. Они ответственны и за изменения, вносимые в системы. Решения по планированию и санкционированию реализации контрмер и внесения изменений в ИС должны основываться на результатах эффективной программы управления рисками.

Руководители производственных отделов и отдела закупок. От них зависит экономическая эффективность процесса управления рисками, экономичность и эффективность расходования ресурсов.

Начальник отдела (управления) информационной безопасности. Он отвечает за все программы безопасности в организации, включая программу управления рисками. Он должен предложить и проводить в жизнь эффективную, структурированную методологию, помогающую идентифицировать, оценить и нейтрализовать риски, связанные с информационными технологиями. Он отчитывается перед высшим руководством организации за выполнение программы управления рисками.

Администраторы безопасности, системные и сетевые администраторы. Они отвечают за должную реализацию требований и регуляторов безопасности в подведомственных им информационных системах. При изменении систем и их окружения (появлении дополнительных сетевых соединений, изменении инфраструктуры, применении новых технологий и т.п.) они должны поддержать или применить процесс управления рисками, чтобы выявить и оценить новые потенциальные риски и реализовать необходимые контрмеры для поддержания информационной безопасности систем на требуемом уровне.

Специалисты по обучению персонала. Сотрудники организации являются пользователями ее информационной системы. Использование систем и данных в соответствии с политикой безопасности и правилами добропорядочного поведения критически важно для нейтрализации рисков и защиты ресурсов организации. Для минимизации рисков необходимо обеспечить информирование и обучение персонала по вопросам информационной безопасности. Следовательно, специалисты по обучению персонала должны понимать процесс управления рисками, чтобы разрабатывать соответствующие учебные материалы и проводить учебные курсы.

(Окончание в следующем номере)

Для каждого риска возможен значительный перечень мероприятий. Одна из самых важных задач при постановке системы управления рисками – суметь выбрать наиболее эффективные из них. Для этой цели необходимо научиться рассчитывать стоимость мероприятия и остаточный риск (то есть вероятность и последствия риска после реализации мероприятия).

Расчет стоимости мероприятия.

Расчет стоимости мероприятия может оказаться нетривиальной задачей. Минимальной по стоимости является разработка плана действий в кризисных ситуациях и регламентация других процессов и процедур. Очевидно, что стоимость бумаги не может быть очень большой даже с привлечением консультантов.

Сложнее определить стоимость проектов. Приятным исключением являются случаи, когда потенциальные инвестиционные проекты глубоко проработаны, имеются предложения от страховщиков по страхованию рисков гражданской ответственности, имеются проработки в изменении организационной структуры, есть предложения о покупке/продаже бизнеса и т.д. и т.п. В этом случае программу мероприятий можно сформировать быстро. Но в подавляющем большинстве случаев расчет стоимости и сроков реализации мероприятий может занять не один месяц. И здесь я рекомендую не торопиться: риски неверного принятия решений на основании упрощенных оценок велики.

Расчет остаточного риска.

Расчет остаточных значений рисков в идеале должен осуществляться на основании тех же алгоритмов, что и текущие значения рисков. Возможно, при этом придется строить достаточно большие деревья событий (что все-таки изменится).

Наиболее сложная задача – рассчитать остаточный риск, если текущий риск рассчитан на основании статистических данных. Здесь могут помочь . Пример: для случившихся событий выделить причины, затем посчитать, как новая программа мероприятий повлияет на эти причины.

Выбор мероприятий.

После выполненных процедур нужно сравнить разницу в расчете текущего и остаточного риска со стоимостью мероприятия. Мероприятие целесообразно реализовывать только в том случае, если снижение математического ожидания риска значительно превышает стоимость мероприятия. Если же стоимость мероприятия превышает изменение математического ожидания риска, то очевидно, что его реализовывать не нужно. Поясню на примере. Существует, скажем, риск с вероятностью 50% и ущербом в 100 млн. руб. Его математическое ожидание составит 50 млн. руб. Есть два мероприятия:

• первое мероприятие снижает вероятность до 10% (остаточный риск 10 млн. руб.) и стоит 5 млн. руб.;
• второе снижает ущерб до 10 млн. руб. (остаточный риск 5 млн. руб.) и стоит 40 млн. руб.

Разница между текущим и остаточным значением риска для первого мероприятия составит 40 млн. руб., а для второго – 45 млн. руб. Несмотря на то, что второе мероприятие риск снижает больше, его реализовывать, скорее всего, нецелесообразно, так как стоимость мероприятия (40 млн. руб.) и изменение риска (45 млн. руб.) сопоставимы. А первое мероприятие реализовывать, скорее всего, целесообразно, потому что, вкладывая 5 млн. руб., мы получаем снижение рисков на 40 млн. руб., что явно превышает стоимость мероприятия.

Финансирование риска.

Финансирование риска, скорее всего, потребует достаточно серьезных вложений. Однако здесь необходимо упомянуть о том, у владельца риска возникнет желание использовать бюджеты проектов по управлению рисками в текущей деятельности. Вероятность такого поведения велика, под сурдинку внедрения риск-менеджмента, скорее всего, действительно будет списано все от набора сотрудников до закупки оборудования. Однако этот риск нужно принять, при этом принятие риска не означает то, что контролировать исполнение бюджетов именно по управлению рисками не нужно. В инвестиционном регламенте это учтено.

Остаточный риск - риск маркетинговых нарушений после того, как меры по управлению рисками были осуществлены.

После того как компания определяет уровень остаточного риска, основанного на соединении стратегий управления и вариантов смягчения, лицо, принимающее решение, может оценить, является ли, учитывая все обстоятельства и склонность к риску предприятия, риск чем-то, что компания готова принять, чтобы достигнуть выгоды деятельности, с которой связан риск. Принятие риска - ключевой шаг в процессе. Это шаг, который должен быть предпринят сознательно человеком с соответствующими уровнями ответственности в организации. Идея принятия остаточного риска является главной в понятии управления рисками предприятия, которое рассматривает риск как отражение хороших, а также плохих результатов и которое настаивает, чтобы риском разумно и всесторонне управляли на основе всего предприятия.

Выделяют пять шагов: 1) определение риска; 2) оценка риска; 3) оценка стратегии управления и вариантов его смягчения; 4) оценка остаточного риска и 5) определение того, принять ли остаточный риск. Все эти шаги делаются не один за другим, а осуществляются более или менее одновременно и выполняются на постоянной основе.

Существует несколько точек рычагов в этом процессе. Так, с учетом анализа затрат и выгод организация может: а) сократить (или увеличить) уровень планируемой деятельности; б) увеличить (или сократить) стратегии и параметры, используемые для контроля или снижения риска или с) принимать или не принимать уровень неотъемлемого риска, который остается данным выбором «а» и «б». В идеале процесс будет повторяющимся, в том смысле, что организация будет искать тот вариант, который обеспечивает наибольшую ценность для компании в свете ее склонности к риску. Старшие менеджеры могут (и должны) оценить весь спектр вариантов, прежде чем представлять вопросы совету директоров для принятия решения.

Большинство организаций имеют в распоряжении план работы в нормальное время; план состоит в том, чтобы просто продолжать делать то, что они уже делают. Эффективное управление рисками требует, чтобы организации планировали все мероприятия и для чрезвычайных ситуаций и обстоятельств. Важность такого планирования на случай непредвиденных случаев стала слишком ясной во время финансового кризиса 2007-2009 гг., когда правительства и частные организации сделали недостаточные резервы для непредвиденных, но серьезных рыночных потрясений, которые произошли в течение этих лет.

В ходе дискуссии о финансовом кризисе вы, вероятно, слышали разговор о «черных лебедях» и «толстых хвостах». Речь идет не о летающем животном с большими перьями, а скорее о теории вероятности. «Черный лебедь» является событием непредвиденным и неожиданным, но имеет серьезные последствия. Метафора заимствована у латинского поэта Ювенала, который говорил о гага avis - редкой птице - «почти как черный лебедь».

События могут быть непредвиденными в двух аспектах. Во- первых, событие, рассматриваемые как редкое, по прогнозам, произойдет в соответствии с хорошо изученной моделью. Например, IQ людей распределяются согласно обычному распределению вероятности. Предположим, кто-то имеет IQ 137. Это необычно - очень умный человек, но предсказуемо, что один из каждых 100 человек наберет такой же высокий коэффициент или даже выше. Это люди интеллектуальные, выдающиеся, но то, что они вокруг нас, - не удивительно.

Когда основное распределение вероятности известно, менеджеры по рискам должны быть в состоянии запланировать и предсказать необычные события рациональным способом. Стратегия заключается в оценке влияния события по вероятности, для того чтобы оценить ожидаемый убыток. Некоторые события настолько необычны, что рациональный менеджер по рискам не сделал бы ничего, чтобы справиться с ними. Например, вероятность того, что фабрика будет повреждена метеоритом, может быть настолько низка, что никакие меры предосторожности не должны быть приняты (хотя в 2013 г. метеорит нанес ущерб российским городам). В других случаях распределение вероятности может быть таково, что стоило бы израсходовать ресурсы, чтобы предотвратить событие или смягчить его издержки.

Однако люди не всегда ведут себя разумно; они имеют ограниченное воображение и их аналитические способности не обладают склонностью переоценить недавние события и чрезмерно обесценить более старые события.

Вероятность того, что шторм масштабов урагана «Сэнди» ударит по северо-восточным побережью, была довольно хорошо изучена; но подобные события не имели места в течение многих десятилетий, люди чрезмерно снизили риск и не предприняли соответствующие меры предосторожности, прежде чем шторм произошел в 2012 г. Таким образом, неожиданные события ставят проблемы перед управлением рисками, даже когда вероятность события может быть определена.

Проблема здесь заключается в том, что, когда дело доходит до финансовой паники, мы имеем недостаточно информации для моделирования базовых вероятностей с какой-либо степенью уверенности. Следует принимать важные и дорогостоящие решения для управления рисками, несмотря на тот факт, что нам не хватает ключевой информации.

Стресс-тестирование - самый эффективный путь, созданный для того, чтобы иметь дело с риском неожиданных, дорогостоящих непредвиденных обстоятельств. Стресс-тестирование - это полезные инструменты для идентификации организационных слабых мест и для того, чтобы разработать эффективные стратегии для управления определенными рисками. Они не предсказывают основную вероятность стрессовых факторов и поэтому не являются полным решением проблемы «черного лебедя», но по крайней мере они помогают организации планировать неблагоприятные обстоятельства.

Рассмотрим стресс-тест - сценарий, в котором модель организации подвергается необычным и сложным условиям и затем оценивается на предмет ее эффективности.

Инженер, например, не определяет условия, а оценивает на предмет эффективности и способности мост, поставив на него гири, пока он не рухнет. Вместо этого необходимо подготовить образцовую организацию, которая ответит предсказуемыми способами на выбранные стрессы. Модель может быть количественная: это будет воплощено в машинном коде и количественными данными. Модель также может быть частично качественной; тут влияние стресса оценивается через суждения людей, обладающих знаниями и опытом в данной области.

Если модель будет содержать неточные или устаревшие предположения, то стресс-тест будет меньше полезен. В худшем случае неудачи модели могли привести к плохим решениям, которые увеличивают затраты или усиливают, а не снижают риски, стоящие перед организацией. Важная часть современного управления рисками должна развить и поддержать соответствующую модель функционирования организации при различных напряженных условиях.

Ключевым компонентом теста напряжения являются выбранные стрессоры. Хотя организация должна иметь только одну модель, которая последовательно применяется, существует много различных стресс-сценариев, из которых можно выбрать один. Например, организация может запустить стресс-тесты для легких, средних или тяжелых условий. Каждый набор стрессоров будет вырабатывать различные по производительности модели. Компания, которая способна выдержать слабые или умеренные стресс-сценарии, не в состоянии выжить в суровых условиях.

Какие стрессоры обычно выбираются для тестов напряжения? Ответ зависит от того, почему тест запущен. Финансовое учреждение, которое хочет понять риски для своего капитала или ликвидности, будет смотреть на один набор условий; горнодобывающая компания, которая хочет понять риски несчастного случая рабочего места, будет смотреть на другой набор условий; производитель авиационной техники, который хочет понять риски сбоя оборудования, будет смотреть на еще один набор условий.

Наиболее полно набор стресс-тестов разработан в области финансовых учреждений, так как эти учреждения не так давно подверглись тяжелому напряжению и потому что условия 2007-2009 гг. дают плодотворный пример соответствующих компонентов стресс-теста. Пример сценария стресс-теста финансового учреждения приведен в рекомендациях для регулирования банковской ликвидности в Базеле III. Данный сценарий должен подчеркнуть доступ банка к ликвидности - наличным - в тяжелом состоянии рынка, которое может потенциально дестабилизировать работу банка.

Определяющие стрессоры:

• понижение на три ступени в общественном кредитном рейтинге;
• утрата способности финансирования оптовой торговли и сокращение потенциальных источников обеспеченного финансирования;
• утрата обеспеченных, краткосрочных сделок финансирования для всех, кроме высококачественных ликвидных активов;
• увеличение рыночной изменчивости, влияющей на качество залога или потенциальных рисков производных финансовых инструментов и, следовательно, требующией большего или дополнительного залога.

Хотя некоторые аспекты этого сценария могут быть незнакомыми, должно быть очевидно даже для случайного осмотра, что этот сценарий действительно очень плох. Большинство банков будет терять ликвидность в связи с перспективой понижения даже на одну ступень их общественного кредитного рейтинга; а понижение на три ступени рейтинга явится чуть ли не катастрофой. Потери источников финансирования, принятого в сценарии, означают, что банк будет искать наличные деньги. Фактически сценарий, представленный выше, является более или менее точным описанием условий на финансовых рынках в сентябре 2008 г., когда в связи с неудачей Lehman Brothers кредитные рынки во всем мире попали в катастрофу. Тест напряжения ликвидности по существу спрашивает: «Если бы сентябрь 2008 г. произошел снова, ваше учреждение было бы в состоянии противостоять напряжениям состояния рынка?»

Очевидно из предшествующего обсуждения, что выбор стрессоров также чреват трудностями. Невозможно, однако, уверенно определить вероятность наиболее стрессовых сценариев, просто потому, что не хватает надежных моделей общего экономического функционирования. Какова вероятность, что расстройство рынка, столь же серьезное как в 2008 г., повторится в следующие 50 лет? Чтобы знать ответ на этот вопрос, мы должны понять распределение вероятности состояния рынка в экономике; но у нас нет этого знания.

Одна опасность состоит в том, что проектировщики сценария напряжения закончат тем, что «вели последнюю войну» - моделирование событий, которые уже произошли, и непринятие во внимание динамических сил, которые могут создать новые усилия в будущем. Другая опасность - возможность, что стресс-тест будет подстроен, чтобы достигнуть намеченного результата.

После определения рейтинга внутреннего контроля, в котором уменьшается риск каждой коррупционной схемы, следующий шаг заключается в определении уровня остаточного риска. Остаточный риск - это степень риска, оставшегося после снижения влияния риск-контроля. То есть остаточный риск является фактором неотъемлемого риска и риск-контроля.

Несмотря на антикоррупционные программы и их внутренний контроль за снижением риска возникновения коррупционных схем, риск создания таких схем остается вероятным. В результате, для каждой коррупционной схемы свойственен определенный уровень остаточного риска. Остаточный риск равный нулю теоретически возможен только для конкретной коррупционной схемы, и возникает это только тогда, когда данная схема не применима к деятельности предприятия, также этот уровень зависит от страны, отрасли промышленности и способа ведения коррупционных действий. Риск возникновения коррупционной схемы снижается за счет внутреннего контроля, от которого зависит, насколько хорошо контролируется разработка, осуществление и эксплуатация, что способствует эффективному снижению риска появления определенной коррупционной схемы. Хорошо разработанные элементы управления, задачей которых является снижение рисков, связанных с одной или несколькими коррупционными схемами, и которые эффективно работают на практике, могут значительно снизить риск, связанный с определенной коррупционной схемой.

Подход, выбранный для определения остаточного риска каждой коррупционной схемы, зависит от подхода, используемого для определения неотъемлемого риска и рейтинга управления. Если шкала

«высокий / средний / низкий» используется для определения внутреннего риска и риск-контроля рейтингов, то аналогичная шкала может быть использована для рейтинга остаточного риска. Например, если схема оценивается, как имеющая высокий неотъемлемый риск и был установлен неэффективный контроль по снижению риска, возникающего из схемы, то оценка риска контроля также будет высокой, и остаточный риск будет оставаться высоким. С другой стороны, строгий контроль, выбранный для снижения высокого риска в определенной схеме, обеспечит то, что риск контроля будет низким, а остаточный риск, скорее всего, будет низким.

Если количественная шкала используется для определения неотъемлемого риска и риска рейтинга управления, то остаточный риск может быть рассчитан как сумма неотъемлемого риска и риска контроля, или произведением неотъемлемого риска на риск контроля. Диапазоны баллов должны быть назначены, для того чтобы определить, является ли остаточный риск низким, средним или высоким.

Данные об остаточных категориях риска обеспечат должное управление там, где наблюдается высокая степень возникновения коррупционных рисков. Высокий рейтинг остаточного риска будет означать, что с высоким шансом неотъемлемого риска коррупции существенно не изменяется способ управления, оставляя остаточный риск, который может серьезно повлиять на предприятие. Средний уровень остаточного риска будет означать, что коррупционная схема имеет высокий риск и частично смягчена управлением, или имеет средний риск и не смягчается управлением. Низкий уровень остаточного риска будет означать, что коррупционная схема имеет низкий шанс риска или существенно смягчена управлением.

В процессе оценки рисков по борьбе с коррупцией некоторые предприятия могут не использовать расчет остаточного риска. Несмотря на неоптимальный подход, оценка рисков по борьбе с коррупцией может быть выполнена только с определением неотъемлемого риска наряду с выявлением смягчения контроля. Оценка остаточного риска является более прозрачной и обеспечивает рабочий инструмент, который значительно облегчает общение между руководством и другими заинтересованными сторонами, например, тех, кому поручено контроль за подверженностью предприятия к коррупционным рискам.