Оценка модели рисков информационной безопасности: характеристика, проблемы и перспективы
Автор: Минаков А.В.
Журнал: Экономика и бизнес: теория и практика @economyandbusiness
Статья в выпуске: 10-2 (104), 2023 года.
Бесплатный доступ
Быстрое развитие информационных технологий также увеличивает риск утечки информации, призывая к разработке стратегии систематической защиты информации. В современных условиях организации должны разрабатывать и реализовать комплексную стратегию для обеспечения защиты от рисков безопасности и защиты конфиденциальных данных. Проведение оценки рисков с помощью специальных моделей позволяет целостно рассмотреть информационные технологии с точки зрения злоумышленников, принимать обоснованные решения о распределении ресурсов, инструментах и реализации мер безопасности. Целью исследования является оценка модели рисков информационной безопасности, дать характеристику рисков, выявить основные проблемы защиты от их возникновения и рассмотреть перспективы развития процесса управления рисками организации. При проведении исследования применялись различные общенаучные и специальные методы. Были поставлены и успешно решены следующие задачи исследования: проведен анализ существующих механизмов и инструментов защиты от угроз в информационной сфере, рассмотрены основные модели оценки рисков информационной безопасности защиты от угроз в информационной сфере, дана им характеристика и выявлены проблемы оценки информационных рисков, а также названы основные направления в применении моделей оценки рисков.
Информационная безопасность, информационные технологии, киберриски, модель безопасности, защита информации, экономическая безопасность
Короткий адрес: https://sciup.org/170201915
IDR: 170201915 | DOI: 10.24412/2411-0450-2023-10-2-63-69
Текст научной статьи Оценка модели рисков информационной безопасности: характеристика, проблемы и перспективы
Прежде всего, необходимо определить роль и место информационных технологий в современном мире. Так, по мнению У. Эргашева с соавторами, информационные технологии – это область управления и обработки информации с помощью компьютеров и любых других форм цифровых коммуникаций и технологий [11, с. 1]. Информационные технологии используются как в личных, так и в коммерческих целях. В процессе их использования возникает необходимость в обеспечении безопасности обрабатываемых данных.
При этом, важным элементом информационных технологий является информационная безопасность – это стратегическое внедрение инструментов для защиты информации от несанкционированного доступа, связанного с незаконными действиями, для управления рисками [11, с. 1]. С точки зрения А.М. Марачевой, риск состоит из таких элементов: тяжесть возможного ущерба, вероятность потенциального воздействия, частота и продолжительность влияния, способность избежать или сократить ущерб [6, с. 179]. Риски, связанные с применением информационных технологий, как раз и формируют те киберриски, которые снижают информационную безопасность организации, общества, человека.
Проведение оценки является неотъемлемой частью процесса управления рисками организации. А.И. Шлыков и А.С. Шабуров считают, что оценка риска – процесс обнаружения, составления перечня и описания элементов риска [109, с. 244]. В целом, анализ рисков — это метод, используемый для выявления и оценки факторов, которые могут поставить под угрозу успех проекта или достижение цели. Этот процесс оценивает риски и количественно определяет серьезность каждой потенциальной опасности, чтобы определить наилучший курс действий. Риски оцениваются на предмет их потенциально- го воздействия и вероятности возникновения, что дает информацию для процесса принятия решений, позволяя планировать и готовиться к потенциальным проблемам, а также снижать их негативное воздействие. Цель оценки рисков – убедиться, что у компании есть планы действий в чрезвычайных ситуациях на случай возникновения определенных сценариев.
А.В. Филимонов считает, что риск причинения вреда информационной системе есть всегда, и это может быть связано как с проблемами случайных утечек и иных нарушений вследствие ошибок при создании информационной системы, так и с намеренными действиями других лиц для похищения или причинения вреда информации. Система информационной безопасности должна быть в состоянии предотвращать угрозы, минимизировать потери, вызванные реализацией определенных угроз [8, с. 125].
Потенциальную опасность для информационных активов могут представлять:
эксфильтрация конфиденциальных или важных данных, скомпрометированные учетные данные, фишинговые атаки, атаки типа «отказ в обслуживании», атаки на цепочку поставок, неправильные настройки, аппаратные сбои, человеческие ошибки.
Оценка рисков безопасности определяет, изучает и реализует ключевые меры безопасности. Она также фокусируется на предотвращении дефектов и уязвимостей безопасности информационной системы.
Оценка рисков информационной безопасности – это не разовый проект по обеспечению безопасности. Скорее, это непрерывная деятельность. Непрерывная оценка предоставляет организации актуальный снимок угроз и рисков, которым она подвергается.
Р.С. Аносов, С.С. Аносов и И.Ю. Шахалов характерными особенностями оценки риска информационной безопасности считают следующие (рис. 1).

Рис. 1. Характерные особенности оценки риска информационной безопасности [3, с. 2]
Комплексная оценка рисков информационной безопасности позволяет организации:
-
- определить активы, подлежащие защите (например, сеть, серверы, приложения, центры обработки данных, инструменты и т.д.) внутри организации;
-
- создать профили рисков для каждого актива;
-
- определить, какие данные хранятся, передаются и генерируются этими активами;
-
- оценить критичность активов в отношении бизнес-операций (общее влияние на доходы, репутацию);
-
- измерить рейтинг рисков для активов и определить их приоритетность для оценки;
-
- применить смягчающие меры контроля для каждого актива на основе результатов оценки.
Такие факторы, как размер информационной системы, темпы роста, ресурсы и портфель активов, влияют на глубину моделей оценки рисков. Организации могут проводить обобщенные оценки, когда испытывают ограничения по бюджету или времени. Однако обобщенные оценки не обязательно обеспечивают детальное сопоставление активов, связанных с ними угроз, выявленных рисков, воздействия и средств контроля. Если результаты обобщенной оценки не обеспечивают достаточной корреляции между этими областями, необходима более глубокая оценка.
К проблемам оценки информационных рисков М.В. Шаханова, Е.Е. Швец, Д.С. Шаханова относят ограниченные бюджеты, ограниченные человеческие ресурсы, постоянно меняющуюся бизнес-среду [8, с. 97].
Для подтверждения актуальности задачи обеспечения информационной безопасности, оценки рисков, воспользуемся данными статистики. Количество событий информационной безопасности в РФ во 2 кв. 2023 г. относительно 2 кв. 2023 г. выросло на 38% до 325 тыс. событий (рис. 2).
В 2023 г. наблюдается рост количества атак вредоносных программ, тогда как в 3 и 4 кварталах данный показатель снижался (рис. 3).

Рис. 2. Динамика количества событий информационной безопасности в РФ во 2 кв. 2022 г. – 2 кв. 2023 г., тыс. ед. [4]

период
■ количество атак вредоносных программ (атак шифровальщиков )
Рис. 3. Динамика количества атак вредоносных программ (атак шифровальщиков), ед. [1, 2]
С января по апрель 2023 года в Интернет в результате кибератак попали данные 123 российских организаций. А общий объем украденных данных составил 1,1 терабайта [6].
В структуре атак киберпреступников значительную долю составляют атаки на медучреждения, учреждения науки и образования, госучреждения, промышленность, IT-компании. В 2023 г. выросла доля атак на учреждения науки и образования, IT-компании, медучреждения (рис. 4).
В структуре атак на организации преобладает распространение вредоносного программного обеспечения через электронную почту (рис. 5).
Структура похищенных данных у предприятий по типам представлена на рисунке 6.

Рис. 4. Распределение атак киберпреступников по организациям, % [1, 2]

период
■ Другое
■ Социальные сети
■ Сайты
■ Компрометация компьютеров, серверов и сетевого оборудования
■ Электронная почта
Рис. 5. Структура способов распространения вредоносного программного обеспечения в кибератаках на организации, % [1, 2]

Рис. 6. Структура похищенных данных у предприятий по типам, % [1, 2]
В большинстве случаев у организаций злоумышленники похищают персональные данные и сведения составляющие коммерческую тайну.
Таким образом, очевидно, что в настоящее время есть необходимость защиты от угроз в информационной сфере для всех предприятий и организаций.
Для решения данной задачи существуют различные модели, которые можно разделить на три группы:
-
- модели, оценивающие риски на качественном уровне (FRAP и др.);
-
- модели, ориентированные на количественную оценку (RiskWatch и др.);
-
- модели, использующие смешанные оценки (CRAMM и др.) [5, с. 188].
Рассмотрим несколько популярных моделей оценки рисков информационной безопасности.
Модель FRAP ориентирована на качественную оценку рисков информационной безопасности с точки зрения их влияния на достижение бизнес-целей предприятия.
Модель включает в себя анализ одной системы, приложения или сегмента биз-нес-операций за раз и создание группы людей, в которую входят специалисты, знакомые с потребностями бизнес-информации, и технический персонал, который имеет детальное представление о потенциальных уязвимостях системы и связанных с ними мерах контроля. Совещания, которые организуются по стандартной повестке дня, проводятся сотрудником офиса проекта или сотрудником по защите информации, который отвечает за обеспечение эффективного общения членов команды и соблюдения повестки дня.
В ходе общения команда проводит мозговой штурм для выявления потенциальных угроз, уязвимостей и, как следствие, негативного воздействия на целостность, конфиденциальность и доступность данных. Затем команда анализирует влияние такого воздействия на бизнес-операции и классифицирует риски в соответствии с уровнем их приоритетности.
После выявления и классификации рисков члены команды определяют средства контроля, которые можно использовать для нивелирования риска, уделяя особое внимание наиболее экономически эффективным средствам контроля. Выводы команды о том, какие риски существуют, каков их приоритет и какие меры контроля необходимы, документируются и предоставляются руководителю проекта и биз-нес-менеджеру для завершения плана действий. Здесь специалист по безопасности может помочь менеджеру бизнес-подразделения выяснить, какие средства контроля являются экономически эффективными и отвечают потребностям организации. После того как каждому риску присвоена мера контроля или он принят в качестве риска ведения бизнеса, старший бизнес-менеджер и участвующий технический эксперт подписывают заполненный документ. Основной документ и все связанные с ним дополнительные документы принадлежат спонсору бизнес-подразделения и хранятся в течение периода, определяемого процедурами управления записями.
CRAMM – это хорошо зарекомендовавшая себя модель оценки рисков, широко используемая в сфере безопасности информационных технологий. Она предоставляет организациям систематический подход к выявлению, оценке и управлению рисками для их критически важных активов [12].
Целью CRAMM является выявление и оценка рисков, связанных с внедрением и эксплуатацией информационнотехнологических систем, путем изучения потенциальных угроз, уязвимостей, воздействий и контрмер.
Ключевыми особенностями модели CRAMM являются:
-
- структурированный подход: модель следует четко определенному процессу, который систематически охватывает все аспекты оценки рисков;
-
- целостный подход: при оценке рисков учитываются внутренние и внешние факторы, обеспечивая комплексное представление;
-
- индивидуальные оценки: модель можно адаптировать в соответствии с конкрет-
- ными требованиями организации, что обеспечивает гибкость;
-
- поддержка принятия решений: предлагает рекомендации по принятию обоснованных решений относительно вариантов обработки рисков на основе выявленных уязвимостей.
Оперативно-критическая оценка угроз, активов и уязвимостей (OCTAVE) – это модель, используемая для оценки среды организации и определения информационно-технологических рисков. Поскольку данная модель отличается гибкостью, ее можно адаптировать под нужды практически любой организации, при этом для совместной работы потребуется лишь небольшая группа специалистов по кибербезопасности, информационным технологиям и эксплуатации.
Использование модели OCTAVE имеет ряд преимуществ: эффективность, быстрота, практические действия, комплексность.
В целом реализация модели угроз OCTAVE потребует трехэтапного подхода:
-
1. Создание профиля всех активов и связанных с ними угроз.
-
2. Выявление уязвимости в инфраструк-
- туре организации.
-
3. Определение стратегии управления рисками безопасности.
Заключение. Таким образом, информационные технологии в настоящее время являются важными ресурсами для общества, помогая решать задачи в разных сферах социальных и экономических отношений. В современном мире информационные системы не являются замкнутыми, и поскольку через Интернет сохраняются или отправляются значительные объемы данных, их защита становится важной со- ставляющей разработки информационных технологий. Оценка рисков информационной безопасности жизненно важна для каждой организации, так как согласно статистике риски с каждым годом растут (рост количества кибератак), растет в то же время и ущерб, причиненный в результате незаконных действий. Своевременно выявляя и оценивая угрозы информацион- но-технологическим системам, данным и другим ресурсам и понимая их потенциальное влияние на бизнес, можно расставить приоритеты в усилиях по смягчению последствий, чтобы избежать дорогостоящих сбоев в работе бизнеса, утечек данных, штрафов и другого ущерба, улучшить меры безопасности для предотвращения нарушения работы важных систем.
Задача каждой организации применять наилучшие модели оценки рисков безопасности (количественные, качественные, смешанные), которые позволят разработать более качественные и эффективные меры защиты, с целью снижения потерь бизнеса за счет повышения информационной безопасности. Перспективными направлениями в применении моделей оценки рисков являются: профессиональ- ное развитие команды по управлению рисками в организациях, регулярная модернизация системы информационной безопасности, привлечение внешних консультантов, которые разработают необходимую организационно-распорядительную документацию, адаптируют методологию оценки рисков и проведут обучение сотрудников организации, совершенствование нормативной базы, сотрудничество государства и бизнеса в достижении наибольшей эффективности по защите информации.
Список литературы Оценка модели рисков информационной безопасности: характеристика, проблемы и перспективы
- Актуальные киберугрозы: II квартал 2023 года // Positive Technologies. - 2023. -[Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2023-q2/.
- Актуальные киберугрозы: итоги 2022 года // Positive Technologies. - 2022. - [Электронный ресурс]. - Режим доступа: ttps://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/.
- Аносов Р.С., Аносов С.С., Шахалов И.Ю. Концептуальная модель анализа риска безопасности информационных технологий // Вопросы кибербезопасности. - 2020. - №2. -С. 2-10.
- Атаки на российские компании во II квартале 2023 года // РТК-Солар. - 2023. - Режим доступа: https://rt-solar.ru/upload/iblock/956/s6a6rc6gs9usip5xdp8vq27419khu4hx/Otchet_Ataki_na_rossiyskie_kompanii_vo_II_kvartale_2023_g.pdf.
- Магеррамов З.Т., Амирасланов Х.В., Алишов М.С. Применение модели рисков информационной безопасности // В кн.: Современная наука, общество и образование: актуальные вопросы, достижения и инновации. - Пенза, 2022. - С. 188-201.
- Марачева А.М. Построение модели оценки рисков информационной безопасности организации // Информационные технологии в науке, бизнесе и образовании. - Москва: Московский государственный лингвистический университет, 2020. - С. 179-185.
- Отчет о ключевых внешних цифровых угрозах для российских компаний // РТК-Солар. - 2023. - Режим доступа: https://rt-solar.ru/upload/iblock/93a/bx4m3tr2s79ubeoeanop5vuu6clm1zi7/Otchet_o_klyuchevykh_vnesh nikh_tsifrovykh_ugrozakh_dlya_rossiyskikh_kompaniy.pdf.
- Филимонов А.В. Модели оценки систем защиты персональных данных в информационных комплексах // В сб.: Информационно-вычислительные технологии и их приложения. - Пенза, 2020. - С. 125-128.
- Шаханова М.В., Швец Е.Е., Шаханова Д.С. Обеспечение информационной безопасности на предприятии // Международный журнал информационных технологий и энергоэффективности. - 2022. -№ 4-1 (26). - С. 97-103.
- Шлыков А.И., Шабуров А.С. Разработка модели определения критичных ресурсов и связанных с ними рисков информационной безопасности // Инновационные технологии: теория, инструменты, практика. - 2019. - Т. 1. - С. 244-248.
- Эргашев У. Особенности информационных технологий в обществе XXI века // Общество и инновации. - 2020. - №1. - С. 1-6.
- Ekai C. Cramm risk assessment // Risk Management. - 2023. - [Электронный ресурс]. -Режим доступа: https://riskpublishing.com/cramm-risk-assessment/.