Аналіз ризиків у банківській справі

В даний час технології аналізу ризиків в Україні розвинуті слабко. Головною причиною такого становища є недосконалість чинного законодавства, в якому мало уваги відведено поняттю ризику, його припустимого рівня і відповідальності за прийняття визначеного рівня ризиків.

Питанням аналізу ризиків в зарубіжних країнах надається серйозна увага впродовж тривалого часу. В колі вітчизняних фахівців служб безпеки є розуміння необхідності здійснення подібної роботи. У першу чергу це відноситься до банків і великих комерційних структур, тобто до тих, хто зобов'язаний серйозно піклуватися про безпеку своїх інформаційних ресурсів.

Метою аналізу ризиків є визначення характеристик ризиків. При здійсненні

аналізу ризиків необхідно визначити:

- вразливі місця у даній системі;

- сутність зарози, рівень загрози;

- припустимий рівень загроз;

- комплекс заходів, що дозволяє знизити ризики до припустимого рівня.

По кожному з перелічених пунктів здійснюється спеціальний аналіз та досслідження. Режим Інформаційної безпеки у банківських системах забезпечується:

- на процедурному рівні - шляхом розробки і виконання розділів інструкцій для персоналу стосовно інформаційної безпеки, а також засобами фізичного захисту;

- на програмно-технічному рівні - застосуванням апробованих і сертифікованих рішень, стандартного набору контрзаходів. До таких заходів відносять резервне копіювання, антивірусний захист, парольний захист, міжмережеві екрани, шифрування даних і т.д.

При забезпеченні інформаційної безпеки важливо не пропустити жодних істотних аспектів. Останнє буде гарантувати деякий мінімальний (базовий) рівень інформаційної безпеки, обов'язковий для будь-якої інформаційної технології. У випадку підвищених вимог в області інформаційної безпеки використовується повний варіант аналізу ризиків. На відміну від базового варіанту, виробляється оцінка цінності ресурсів, характеристик ризиків і вразливості системи.

 

Інструментарій аналітика

Застосування довільних інструментальних засобів не є обов'язковим, однак їхнє використання дозволяє зменшити трудомісткість проведення аналізу ризиків і вибору контрзаходів. В даний час на ринку є біля двох десятків програмних продуктів для аналізу ризиків: від найпростіших, орієнтованих на базовий рівень безпеки, до складних і дорогих продуктів, що дозволяють провести повний аналіз ризиків і вибрати комплекс контрзаходів необхідної ефективності.

 

Аналіз ризиків для базового рівня

Звичайною областю використання даного рівня є типові проектні рішення. Існує ряд стандартів і специфікацій, в яких розглядається мінімальний (типовий) набір найбільш імовірних зароз, таких як збої устаткування, віруси, несанкціонований доступ і т.д. Для нейтралізації цих загроз слід застосовувати контрзаходи незалежно від імовірності реалізації загроз та уразливості ресурсів. У такий спосіб програмні продукти, що призначені для цієї мети, дозволяють сформувати список питань стосовно виконання цих вимог. На основі відповідей генерується звіт з рекомендаціями з усунення виявлених загроз.

Програмний продукт дозволяє представити вимоги стандартів у виді тематичних питань за окремими аспектами діяльності банку. Цей продукт може використовуватися при проведенні аудиту інформаційної безпеки чи роботи фахівців служб, відповідальних за забезпечення інформаційної безпеки.

Ще однією областю застосування є перевірка на відповідність вимогам базового рівня захищеності банку. Мається можливість налаштування на різні області застосування шляхом додавання чи виключення додаткових питань. Крім того, мається калькулятор очікуваних середньорічних втрат, що дозволяє оцінити очікувані втрати по різних видах інформаційних ресурсів.

 

Повний аналіз ризиків

Повний варіант аналізу ризиків застосовується у випадку підвищених вимог до інформаційної безпеки. На відміну від базового варіанту виробляється оцінка цінності ресурсів, характеристик ризиків і уразливості ресурсів. Як правило, здійснюється аналіз вартість/ефективність кількох варіантів захисту.

Програмні засоби, що дозволяють здійснити повний аналіз ризиків, будуються з використанням структурних методів системного аналізу і проектування та являють собою інструментарій для:

- побудови моделі інформаційної системи з точки зору інформаційної

безпеки;

- оцінки цінності ресурсів;

- складання списку загроз і вразливостей, оцінки їх характеристик;

- вибору контрзаходів і аналізу їх ефективності;

- аналізу варіантів побудови захисту;

- документування (генерація звітів).

Обов'язковим елементом цих продуктів є база даних, яка містить інформацію з інцидентів в області інформаційної безпеки, що дозволяє оцінити ризики та вразливості, ефективність різних варіантів контрзаходів у конкретних ситуаціях.

Аналіз ризиків містить у собі ідентифікацію та обчислення рівнів ризиків на основі оцінок, присвоєних ресурсам, погрозам і вразливості ресурсів.

Контроль ризиків складається з ідентифікації і вибору контрзаходів, що дозволяють знизити ризики до прийнятного рівня. Це дозволяє переконатися, що захист охоплює всю систему та існує упевненість, що:

- усі можливі ризики ідентифіковані;

- вразливості ресурсів ідентифіковані і їхні рівні оцінені;

- зпрози ідентифіковані і їхні рівні оцінені;

- контрзаходи ефективні;

- витрати, зв'язані з інформаційною безпекою, виправдані.

Аналіз ризиків здійснюється в три етапи.

Етап 1: аналізується все, що стосується ідентифікації і визначення цінності ресурсів системи. Наприкінці цього етапу банк буде знати, чи досить йому існуючої традиційної практики, чи існує потреба упроведенні повного аналізу безпеки.

Етап 2: розглядається все, що стосується ідентифікації та оцінки рівнів загроз для груп ресурсів та їх вразливості. Наприкінці другого етапу банк отримує ідентифіковані та оцінені рівні ризиків для своєї системи.

Етап 3: пошук адекватних контрзаходів. Власне кажучи, це пошук

варіанту системи безпеки, що максимально відповідає вимогам банку.

Наприкінці етапу замовник буде знати, як слід модифікувати систему для

нейтралізації ризиків, а також вибору спеціальних засобів та заходів протидії, що ведуть до зниження ризиків, що залишилися, до необхідного і припустимого рівня.

Розглянемо більш детально кожний з етапів.

Ідентифікація ресурсів і побудова моделі інформаційної системи з точки зору безпеки. Етап 1

Основні кроки першого етапу є такими:

- визначення меж дослідження (межі системи);

- ідентифікація ресурсів (устаткування, дані, програмне забезпечення);

- побудова моделі з точки зору інформаційної безпеки;

- визначення цінності ресурсів;

- одержання звіту та обговорення його з керівництвом банку.

 

Визначення меж дослідження

Визначення меж досліджуваної системи починається зі збору наступної інформації:

- встановлення відповідальних за фізичні і програмні ресурси;

- встановлення користувачів системи;

- встановлення конфігурації системи.

Первинна інформація збирається у процесі бесід з менеджером чи іншими співробітниками.