Оценка рисков информационной безопасности в банковской сфере

Игорь Писаренко,
к.т.н., доцент

Современный банк представляет собой сложную многомерную организационно-техническую систему, объединяющую множество разнородных взаимосвязанных процессов деятельности, многие из которых зачастую территориально удалены друг от друга. Активное использование информационных и телекоммуникационных технологий позволяет эффективно справляться с огромными потоками финансовой, аналитической, хозяйственной, технологической информации, поступающей из различных источников.

Главная проблема любой подобной системы - обеспечение бесперебойного взаимодействия, согласованности и надежности работы всех ее составляющих. Именно на этом уровне кроются явные и скрытые причины основных организационно-управленческих проблем и рисков современного бизнеса.

Процесс анализа рисков и методики решения задач

Анализ рисков информационной безопасности (ИБ) позволяет идентифицировать имеющиеся угрозы, оценить вероятность их успешного осуществления, возможные последствия для банка и правильно расставить приоритеты при реализации контрмер. Процесс анализа рисков включает в себя выполнение следующих основных задач:

• анализ ресурсов информационной системы (ИС) и построение модели ресурсов, учитывающей их взаимозависимости;
• анализ бизнес-процессов и групп задач, решаемых ИС, позволяющий оценить критичность ресурсов с учетом их взаимозависимостей;
• идентификация угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз;
• оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого банку;
• определение величины рисков и их ранжирование.

Для решения перечисленных задач   используются   количественные и качественные методики, а также специализированный программный инструментарий. При использовании количественных методик риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числами в определенном интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести банк в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. На основе проводимого анализа разрабатывается система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Ранжирование составляющих по степени критичности

Для ИС современного банка в целом характерны сложность, многомерность, нестационарность, что обуславливает слабое использование формализованных регулярных методов анализа.

Решение таких задач, как правило, основывается на знаниях экспертов с применением эвристических способов и связано с высокой трудоемкостью процедур анализа и зависимостью конечного результата от субъективных факторов.

Полученные результаты ранжируются по степени критичности информации и по уровню вероятности реализации угрозы; наиболее простым случаем является трехуровневая шкала. На основе сочетания вероятностных значений угроз, уязвимости и критичности информационных ресурсов составляется матрица рисков, в которой выявленные угрозы распределяются по степени их воздействия на ИС банка. На основе матрицы рисков принимается решение по способам  управления  рисками,  то есть определяется, воздействие каких угроз можно снизить и какими методами проводится экономическое обоснование затрат на мероприятия ИБ.

Таким образом, получаем классическую экспертную систему с нечеткими данными о степени критичности информации и уровне вероятности реализации угрозы, что обусловлено объективными и субъективными факторами. В подобных системах целесообразно использовать математический аппарат теории нечетких множеств, позволяющий представить мышление человека. В ходе принятия решения человек легко овладевает ситуацией, разделяя ее на события, находит решение в сложных ситуациях путем применения для отдельных событий соответствующих правил принятия решения, на основании прошлого опыта наделяет объект отличительными признаками и приходит к общему решению.

Построение базовых эталонов

Кроме ранжирования составляющих по степени критичности (уровню вероятности угрозы) эксперты должны построить базовые эталоны, которые отображают соответствующие лингвистические переменные, служащие образцом для сравнения полученных нечетких значений.

Для вывода результатов оценки риска целесообразно использовать алгоритм нечеткого вывода на основе нечеткой продукционной модели с адаптацией операций над нечеткими множествами. Полученные значения степени критичности информационных ресурсов и уровня вероятности угрозы И Б сравниваются с эталонными значениями, и в зависимости от степени их совпадения делается вывод о принадлежности к тому или иному уровню и принимается решение о степени риска ИБ.

Такой подход позволяет упростить процесс принятия решения по оценке рисков ИБ, выработать единый механизм такой оценки в рамках банка.