1. Соответствие стандарту Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Общие положения» СТО БР ИББС-1.0-2014.

2. Использование заранее составленных библиотек классов ресурсов, угроз, уязвимостей, потерь, групп пользователей, характерных для предприятий банковского сектора.

3. Возможность изменения и дополнения вышеописанных библиотек для обеспечения большей гибкости разрабатываемого средства.

4. Использование как качественной, так и количественной методики расчета величин рисков.

5. Применение метода информационных потоков и метода анализа угроз и уязвимостей.

6. Акцент на расчет величин рисков по угрозе «отказ в обслуживании».

7. Акцент на расчет величин рисков по угрозе «несанкционированный доступ».

8. Предложение краткосрочных, среднесрочных и долгосрочных планов по усовершенствованию СЗИ.

9. Возможность расчета эффективности применения тех или иных контрмер.

10. Расчет таких финансовых показателей, как ROI, ALE, затраты на контрмеры.

11. Генерация нескольких видов отчетов (для менеджеров разного уровня).

Далее перечислим характеристики, которыми должна обладать методика, чтобы соответствовать стандарту Банка России СТО БР ИББС-1.0-2014.

Во-первых, в процессе анализа должен рассматриваться вариант принятия риска на основе информации о «критериях принятия рисков нарушения ИБ и уровне допустимого риска нарушения ИБ», определенных внутри организации.

Во-вторых, методикой должен устанавливаться способ и порядок процедур качественной и/или количественной оценки риска, основанной на определении степени возможности реализации угроз ИБ выявленными и/или предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, и степени тяжести последствий от потери свойств ИБ.

В-третьих, по каждому из рисков нарушения ИБ, который является недопустимым, должен быть определен план, устанавливающий один из возможных способов его обработки: перенос риска на сторонние организации, уход от риска, осознанное принятие риска, формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации. «Планы обработки рисков нарушения ИБ должны содержать последовательность и сроки реализации и внедрения организационных, технических и иных мер защиты.»[11]

В-четвертых, на подготовительной стадии методики в организации должны быть определены следующие роли:

· связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ;

· по оценке рисков нарушения ИБ;

· по разработке планов обработки рисков нарушения ИБ.

Также должны быть назначены ответственные за выполнение указанных ролей СТО БР ИББС-1.0-2014, URL: www.cbr.ru..

Теперь, когда нам известны особенности будущей методики, приступим к её пошаговому описанию. Так как целью данной работы не является разработка программного обеспечения для анализа и оценки рисков, то мы ограничимся составлением теоретических рекомендаций и описанием алгоритмов, которые впоследствии могут быть использованы в качестве основы для создания ПО.

Первый этап - подготовительный. Здесь определяются критерии принятия риска, границы исследуемой системы, назначаются роли (ответственные за ту или иную часть общего процесса), из заранее составленных библиотек классов ресурсов, угроз, уязвимостей, потерь, групп пользователей выбираются те, что реально присутствуют в банке и, при необходимости, добавляются новые (или корректируются уже присутствующие в списках). В качестве базы классов основных источников угроз ИБ можно взять предлагаемый в рекомендациях по стандартизации Банка России перечень источников угроз с описаниями РС БР ИББС-2.2-2009 URL: www.cbr.ru.

Второй этап - более подробное описание исследуемой системы. Указываем все присутствующие в ИС ресурсы, хранящуюся на них информацию, проводим сканирование системы на наличие уязвимостей, на основе полученных данных фиксируем все возможные угрозы, определяем количественные показатели всех вышеперечисленных элементов анализа: ценность информации, величина возможного ущерба по трем типам угроз (конфиденциальности, целостности и доступности), уровень уязвимости, базовую вероятность возникновения угрозы, критичность реализации угрозы. На этом же шаге указываем взаимосвязи между ресурсами, связи типа «ресурс - угроза», «уязвимость - угроза», «вид информации - группа пользователей» и другие. Это необходимо для возможности применения разных моделей оценки риска: на основе информационных потоков (подходит для оценки рисков ИБ, возникающих в процессе предоставления дистанционных банковских сервисов) и с помощью анализа угроз и уязвимостей (является эффективным инструментом в большинстве случаев).

Третий этап - оценка рисков. Рассмотрим процесс оценки рисков ИБ методом анализа угроз и уязвимостей. Сначала уровень риска определяется качественным методом, а затем рассчитывается количественная величина.

За основу качественного метода оценки риска можно взять алгоритм, использующийся в методике CRAMM, так как он предполагает распределение уровней рисков по шкале от 1 до 7, что позволяет применять более гибкий подход к определению тех категорий рисков, которые должны быть оценены количественным методом. В качестве входных данных здесь используются три основных показателя.

1. Уровень угрозы («очень высокий», «высокий», «средний», «низкий» и «очень низкий»).

2. Уровень уязвимости ресурса («высокий», «средний», «низкий»).

3. Размер ожидаемых финансовых потерь (по шкале от 1 до 10).

Количественный метод мы позаимствуем из алгоритма методики ГРИФ, так как в случае с банковской сферой является крайне удобным разделение оценок по типам угроз с акцентами на ситуациях «отказ в доступе» и «нарушение конфиденциальности информации». Коротко опишем его основные моменты, обращая внимание на способ вычисления величины риска (для примера рассмотрим угрозу конфиденциальности) Информация взята с официального сайта компании Digital Security. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/ Дата обращения: [16.05.2015]:

1. Рассчитываем уровень угрозы по конкретной уязвимости:

где - критичность реализации угрозы конфиденциальности в %;

- вероятность реализации угрозы конфиденциальности через данную уязвимость в %.

Получаем значение уровня угрозы по уязвимости в интервале от 0 до 1.

2. Рассчитываем уровень угрозы по всем уязвимостям:

где - уровень угрозы конфиденциальность по уязвимости.

Получаем значение уровня угрозы по всем уязвимостям в интервале от 0 до 1.

3. Рассчитываем общий уровень угроз по ресурсу:

где - уровень угрозы конфиденциальность по всем уязвимостям.

Получаем значение общего уровня угрозы в интервале от 0 до 1.

4. Рассчитывается риск по ресурсу:

где - критичность ресурса по угрозе конфиденциальность. Задается в деньгах или уровнях;

- общий уровень угроз конфиденциальность;

- суммарный риск по трем угрозам.

Получаем значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.

5. Рассчитываем риск по информационной системе:

5.1. Для режима работы в деньгах:

где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

5.2. Для режима работы в уровнях:

где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

Приведем входные параметры качественного и количественного методов к общим обозначениям. Показатель ER, означающий критичность реализации угрозы, соответствует определению уровня угрозы из качественного метода оценки, P(V), означающий вероятность реализации угрозы, соответствует определению уровня уязвимости ресурса, а D, означающий критичность ресурса, соответствует размеру ожидаемых финансовых потерь (Таб.2).

Таблица 2

Соответствие входных переменных из качественного и количественного методов оценки рисков ИБ

Количественная оценка	Качественная оценка
Обозначение	Описание	Единицы измерения	Описание	Шкалы
ER	Критичность реализации угрозы	%	Уровень угрозы	«очень высокий», «высокий», «средний», «низкий», «очень низкий»
P(V)	Вероятность реализации угрозы	%	Уровень уязвимости ресурса	«высокий», «средний», «низкий»
D	Критичность ресурса	От 1 до 10	Размер ожидаемых финансовых потерь	От 1 до 10

Применение метода анализа информационных потоков будет эффективным в случае оценки рисков в системе дистанционного обслуживания клиентов банка. Алгоритм, разработанный компанией Digital Security и описанный выше в данной главе, также подходит для использования в организациях банковской сферы. Рассмотрим отдельно оценку рисков по угрозе «отказ в обслуживании» (рассчитывается время простоя ресурса).

· Определяем базовое время простоя для информации.

· Рассчитываем коэффициент защищенности информации для определенной группы пользователей. Здесь учитываются такие показатели, как права доступа группы пользователей к данной информации, средства резервирования, наличие антивирусного программного обеспечения.

· Рассчитываем время простоя информации с учетом средств защиты информации и времени простоя сетевого оборудования (часы в год).

· Время простоя для информации , учитывая все группы пользователей, имеющих к ней доступ, вычисляется по следующей формуле:

где - максимальное критичное время простоя;

- время простоя для связи «информация - группа пользователей».

· Перемножив итоговое время простоя и ущерб от реализации угрозы, получим риск реализации угрозы «отказ в обслуживании» для связи «информация - группа пользователей» Информация взята с официального сайта компании Digital Security. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/ Дата обращения: [16.05.2015].

Процесс оценки рисков должен предусматривать анализ эффективности внедрения конкретных средств защиты (как и в методе ГРИФ).

Четвёртый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.

Пятый этап - генерация отчётов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.



3. Апробирование полученной методики на примере АО «ЮниКредит Банк»

Теперь, когда на основе наиболее активно использующихся методик анализа и оценки рисков информационной безопасности, а также стандартов и рекомендаций ЦБ, разработана наиболее подходящая методика для предприятий банковского сектора, необходимо провести её апробацию на конкретном банке.

3.1 Описание компании, на которой будет проводиться апробация разработанной методики

Для данной работы в качестве рассматриваемой компании был выбран ЮниКредит Банк - крупнейший коммерческий российский банк с иностранным участием, работающий в России с 1989 года и занимающий 10-е место в рейтинге Интерфакс-100 по объему активов по результатам 2014 года. ЮниКредит Банк занимает сильные позиции на российском рынке корпоративных банковских услуг (более 28 000 клиентов-юридических лиц), одновременно входя в число ведущих банков на рынке финансовых услуг для частных клиентов (свыше 1,6 млн. клиентов-физических лиц). Всего в сети банка 104 подразделения, 103 из которых рассредоточены по России, а ещё 1 представительство находится в Республике Беларусь. Общие активы компании составляют 1360,4 млрд. рублей, капитал - 142,07 млрд. рублей Информация с официального сайта АО «ЮниКредит Банк». URL: www.unicreditbank.ru .



3.2 Информация, необходимая для проведения анализа и оценки рисков информационной безопасности на предприятии

В связи с тем, что анализ и оценка рисков информационной безопасности должна проводиться экспертами в данной области при участии менеджеров всех уровней, а также требует наличия информации обо всех активах компании и уязвимостях ее системы информационной безопасности, для меня не представляется возможным проведение комплексного анализа рисков ИБ в ЮниКредит банке. Однако в процессе преддипломной практики, которая проходила в вышеупомянутой организации, я была задействована в работе двух связанных между собой подразделений: отделе целевого маркетинга и клиентской аналитики, входящего в состав управления взаимоотношениями с клиентами, и отделе анализа эффективности розничной сети, входящего в управление коммерческого планирования и контроля.

В процессе работы была возможность ознакомиться с организационной структурой банка, некоторыми используемыми программными продуктами (SAS Enterprise Guide, Lotus Notes, MyClient), информацией, к которой можно получить доступ через эти приложения, способами взаимодействия между подразделениями и отдельными сотрудниками, политикой информационной безопасности и прочими характеристиками и особенностями работы данного банка.

Кроме того, мной были замечены некоторые интересные особенности обеспечения информационной безопасности рабочего места сотрудника: ограниченный доступ в Интернет, невозможность использования незарегистрированных внешних носителей информации, при отключении от компьютера периферийных устройств ввода информации невозможность подключения тех же самых устройств без выхода из системы с последующим повторным подключением. Эта информация позволит выявить или наоборот исключить возможность наличия уязвимостей в определенных местах системы информационной безопасности банка.

3.3 Анализ и оценка рисков информационной безопасности в АО «ЮниКредит Банк» с использованием разработанной методики

Комплексный анализ и оценка рисков даже небольшой части информационной системы банка по разработанной методике - это крайне сложная и ответственная задача. В данной работе мы ограничимся проверкой логичности полученного алгоритма на примере АО «ЮниКредит Банк», а также качественной и количественной оценкой риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.

Первый этап - подготовительный.

1. Определяем критерии принятия риска.

Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.

2. Определяем границы исследуемой системы.

В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника отдела целевого маркетинга и клиентской аналитики.

3. Назначаем роли:

· ответственный за коррекцию методики оценки рисков в случае обнаружения её недостаточной эффективности;

· ответственный за нарушение подхода к оценке рисков;

· ответственный за оценку рисков нарушения ИБ;

· ответственный за разработку планов обработки рисков нарушения ИБ.

4. Выбираем актуальные для нас классы ресурсов, угроз, уязвимостей, потерь и группы пользователей.

· Ресурсы: аппаратные, программные.

· Угрозы по источникам: связанные с ЧС, с внутренними/внешними нарушителями ИБ, с техническими сбоями и др.

· Уязвимости: по недостатку технических, организационных, физических средств ЗИ.

· Потери: конфиденциальности, целостности и доступности.

· Группы пользователей: сотрудники компании.

Второй этап - более подробное описание исследуемой системы. В силу того, что мы ограничиваем исследуемую ИС до рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них (Таб.3).

Таблица 3

Самые ценные ресурсы исследуемой системы

Класс ресурса	Ресурс	Информация	Критичность ресурса, D
Аппаратный	Рабочая станция	Финансовая отчетность	= 10
		Конфиденциальная информация о работе отдела
			= 2
		Персональные данные клиентов
			= 5
		Инф. о счетах
		Инф. о транзакциях
		Корпоративная электронная почта
Программный	SAS Enterprise Guide	Персональные данные клиентов	= 10
			= 3
			= 4
		Инф. о счетах
		Инф. о транзакциях
	Lotus Notes	Корпоративная электронная почта	= 10
			= 7
			= 4
	MyClient	Персональные данные клиентов	= 10
			= 9
		Финансовая отчетность	= 7

Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (Таб.4). Экспертами в области информационной безопасности должен быть составлен список вопросов, в результате ответов на которые будут получены оценки критичности ресурсов, критичности реализации угроз и вероятности реализации угроз. Мы назначим данные величины сами.

Выделим две угрозы по ресурсу «Рабочая станция», одна из которых реализуется с помощью двух уязвимостей Это необходимо для более полной апробации алгоритма расчета оценки риска.. Для каждой угрозы рассчитаем показатели конфиденциальности, целостности и доступности ресурса.

Таблица 4

Угрозы безопасности и уязвимости исследуемой системы

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации	Автоматический выход из системы происходит только через 10 минут бездействия пользователя
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации	Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе

Третий этап - оценка рисков.

Определяем уровень риска качественным методом:

1. Переводим показатели ER и P(V) из процентов в качественные показатели следующим образом (Таб.5):

Таблица 5

Перевод показателей из количественных в качественные величины

ER	P(V)
0 - 20%	«очень низкий»	0 - 33%	«низкий»
21 - 40%	«низкий»
		34 - 66%	«средний»
41 - 60%	«средний»
61 - 80%	«высокий»	67 - 100%	«высокий»
81 - 100%	«очень высокий»

2. По матрице оценки рисков методики CRAMM (Рис.3) смотрим, какому уровню соответствует риск реализации угрозы через определенную уязвимость. Результат качественной оценки показан в таблице 6.

Таблица 6

Результат количественной оценки рисков

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)	Качественная оценка
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации	Автоматический выход из системы происходит только через 10 минут бездействия пользователя	- «высокий»	- «низкий»	6
		- «очень низкий»	- «низкий»	5
		- «средний»	- «низкий»	6
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации	Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой	- «высокий»	- «низкий»	6
		- «очень низкий»	- «низкий»	5
		- «средний»	- «низкий»	6
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе	- «высокий»	- «низкий»	6
		- «очень низкий»	- «низкий»	5
		- «средний»	- «низкий»	6

В результате качественной оценки получаем, что ни один риск не является приемлемым, а значит необходимо проведение количественной оценки. Для удобства обозначим первую угрозу , а вторую , при этом будет означать реализацию второй угрозы через первую уязвимость, а - реализацию второй угрозы через первую уязвимость с нарушением свойства конфиденциальности ресурса.

Определяем уровень риска количественным методом:

1. Рассчитываем уровень угрозы по конкретной уязвимости:

2. Рассчитываем уровень угрозы по всем уязвимостям (для первой угрозы данный показатель уже рассчитан, так как она может быть реализована только через одну уязвимость):

01

3. Рассчитываем общий уровень угроз по ресурсу:

4. Рассчитывается риск по ресурсу:

5. Расчет риска по информационной системе для нас невозможен, так как в данной работе мы ограничиваемся оценкой риска по одному ресурсу.

Четвёртый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.

Пятый этап - генерация отчётов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.



Заключение

В результате проделанной работы



Список использованной литературы

1. Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности».

2. ISO/IEC 27001:2005. «Information technology. Security techniques. Information security incident management».

3. ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

4. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

5. Баранова Е.К, Бабаш А.В. (2014). Информационная безопасность и защита информации. Москва: ИЦ РИОР: НИЦ Инфра-М.

6. Microsoft security center of excellence. (unpublished). The Security Risk Management Guide. URL: http://www.microsoft.com/en-us/download/.

7. RiskWatch. RiskWatch user's manual. URL: http://www.riskwatch.com.

8. Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург.

9. S.T. Katircioglu, M. Tumer, C. Kэlэnз, «Bank selection criteria in the banking industry: An empirical investigation from customers in Romanian cities», African Journal of Business Management Vol. 5(14), pp. 5551-5558, 18 July, 2011.

10. L. Denton, A. K.K. Chan, (1991) "Bank Selection Criteria of Multiple Bank Users in Hong Kong",International Journal of Bank Marketing, Vol. 9 Iss: 5, pp.23 - 34.

11. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Общие положения» СТО БР ИББС-1.0-2014 [от 01-06-2014] // Сайт Банка России www.cbr.ru.

12. Рекомендации Банка России в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Методика оценки рисков нарушения информационной безопасности» РС БР ИББС-2.2-2009 [от 01-01-2010] // Сайт Банка России www.cbr.ru.

13. URL: https://technet.microsoft.com/ru-ru/security/cc185712.aspx Дата обращения: [16.05.2015].

14. URL: http://dsec.ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/ Дата обращения: [16.05.2015].

15. Peltier, Thomas R «Information security risk analysis». Auerbach 2001. ISBN 0-8493-0880-1.

Размещено на Allbest.ru