Программные продукты для оценки рисков

Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

  • методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
  • количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
  • методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ — работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Исследование ИБ системы с помощью СRAMM проводится в три стадии .

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

  • недоступность ресурса в течение определенного периода времени;
  • разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
  • нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
  • модификация — рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
  • ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

  • ущерб репутации организации;
  • нарушение действующего законодательства;
  • ущерб для здоровья персонала;
  • ущерб, связанный с разглашением персональных данных отдельных лиц;
  • финансовые потери от разглашения информации;
  • финансовые потери, связанные с восстановлением ресурсов;
  • потери, связанные с невозможностью выполнения обязательств;
  • дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится в такая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:

  • 2 балла — менее $1000;
  • 6 баллов — от $1000 до $10 000;
  • 8 баллов — от $10 000 до $100 000;
  • 10 баллов — свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

CRAMM объединяет угрозы и уязвимости в матрице риска. Рассмотрим, как получается эта матрица, и что каждый из уровней риска означает.

Основной подход, для решения этой проблемы состоит в рассмотрении :

Таблица 4.1. Шкала оценки уровней угрозы (частота возникновения).

Описание Значение
инцидент происходит в среднем, не чаще, чем каждые 10 лет очень низкий
инцидент происходит в среднем один раз в 3 года низкий
инцидент происходит в среднем раз в год средний
инцидент происходит в среднем один раз в четыре месяца высокий
инцидент происходит в среднем раз в месяц очень высокий
Таблица 4.2. Шкала оценки уровня уязвимости (вероятность успешной реализации угрозы).

Описание Значение
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию меньше 0,33 низкий
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию от 0,33 до 0,66 средний
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию выше 0,66 высокий

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери». На рис. 4.1 приведен пример матрицы оценки ожидаемый потерь . В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы — оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка — оценку вероятности успеха реализации угрозы (уровня уязвимости).


Рис. 4.1. Матрица ожидаемых годовых потерь

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис. 4.2 (в этом примере размер потерь приводится в фунтах стерлингов).


Рис. 4.2. Шкала оценки уровня рисков

В соответствии с приведенной ниже матрицей, выводится оценка риска ( рис. 4.3)


Рис. 4.3. Матрица оценки риска

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM — пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика FRAP

Методика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates (сайт в Интернет http://www.peltierassociates.com/) разработана Томасом Пелтиером (Thomas R. Peltier) и опубликована в (фрагменты данной книги доступны на сайте, приведенное ниже описание построено на их основе). В методике, обеспечение ИБ ИС предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ — процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.

Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.

После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта (англ. cost/benefit analysis), который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.

Ниже приведены основные этапы оценки рисков. Данный список во многом повторяет аналогичный перечень из других методик, но во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.

  1. Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
  2. Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
    • заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
    • анализ статистики происшествий в данной ИС и в подобных ей — оценивается частота их возникновения; по ряду угроз, например, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций;
    • «мозговой штурм», проводимый сотрудниками компании.
  3. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы.

    При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).

    Оценка производится для вероятности возникновения угрозы и ущерба от нее по следующим шкалам.

    Вероятность (Probability):

    • Высокая (High Probability) — очень вероятно, что угроза реализуется в течение следующего года;
    • Средняя (Medium Probability) — возможно угроза реализуется в течение следующего года;
    • Низкая (Low Probability) — маловероятно, что угроза реализуется в течение следующего года.

    Ущерб (Impact) — мера величины потерь или вреда, наносимого активу:

    • Высокий (High Impact): остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
    • Средний (Medium Impact): кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
    • Низкий (Low Impact): перерыв в работе, не вызывающий ощутимых финансовых потерь.

    Оценка определяется в соответствии с правилом, задаваемым матрицей рисков, изображенной на рис. 4.4. Полученная оценка уровня риска может интерпретироваться следующим образом:

    • уровень A — связанные с риском действия (например, внедрение СЗИ) должны быть выполнены немедленно и в обязательном порядке;
    • уровень B — связанные с риском действия должны быть предприняты;
    • уровень C — требуется мониторинг ситуации (но непосредственных мер по противодействию угрозе принимать, возможно, не надо);
    • уровень D -никаких действий в данный момент предпринимать не требуется.


    Рис. 4.4. Матрица рисков FRAP

  4. После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же риска, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные — см. ниже). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.

    Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:

    • стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
    • снижение эффективности выполнения системой своих основных задач;
    • внедрение дополнительных политик и процедур для поддержания средства;
    • затраты на найм дополнительного персонала или переобучение имеющегося.
  5. Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.

«Платформа» создана акционером группы ПИК Сергеем Гордеевым и его партнером Дмитрием Родиным. В 2014 г. компания сообщила, что Родин стал ее единственным владельцем. Гордеев получит преимущественные права инвестирования в новые проекты «Платформы», говорил тогда ее представитель. Представитель ПИК от комментариев отказался. Человек, близкий к компании, утверждает, что группа не будет участвовать в проекте на территории ММВЗ и «Корнета».

Большую часть недвижимости ММВЗ и «Корнета» планируется использовать под склады, а остальное (примерно 10%) сдать в аренду алкогольным компаниям для розлива вина, коньяка и других напитков, говорит Голубев.

Городские склады, по словам Голубева, – это новое направление у «Платформы», а ММВЗ и «Корнет» – первые активы в этом сегменте в портфеле группы. Общая площадь первого проекта – около 100 000 кв. м. «Склады в пределах МКАД пользуются огромным спросом у ритейлеров и других участников рынка, для которых время доставки сейчас стало особенно актуальным», – объясняет Голубев. Способствует росту рынка, по его словам, и сокращение промышленных территорий в Москве, которые ранее использовались и под склады.

Спрос на городские склады сейчас очень высок, рынок интересен многим инвесторам, подтверждает коммерческий директор Ghelamco Александр Перфильев. Он напоминает, что созданная основателем JLL Russia Майклом Ланге и бывшим акционером MLP Мишелем Паскалисом LOP Urban Logistics уже объявила о планах инвестировать 140 млн евро в аналогичные проекты.

Руководитель департамента складской и индустриальной недвижимости Cushman & Wakefield Егор Дорофеев напоминает, что городские склады активно развивались и до нынешнего кризиса. А сейчас с увеличением количества онлайн-заказов они стали развиваться еще быстрее. Рост рынка, продолжает Дорофеев, связан еще и с дефицитом: склады в пределах МКАД, как правило, находятся в промзонах, которые сейчас активно застраиваются жильем.

По оценке Перфильева, ставка аренды в складском комплексе на территории ММВЗ может составлять 7000–9000 руб. за 1 кв. м в год. Таким образом, «Платформа» будет ежегодно получать за него 700–900 млн руб. Эксперт называет Очаково развитым районом с точки зрения складской недвижимости: там много промзон и удобный выезд на МКАД.

«Платформа» не в первый раз приобретает активы у ВТБ. Осенью 2016 г. она выкупила у банка гостиницы «Орехово» и «Царицыно» в Шипиловском проезде, а затем ОАО «Перовское», которому принадлежит складской комплекс на 70 000 кв. м и 8 га земли на Кусковской улице. Отели были перепроданы структуре «Тринфико», которая в том числе управляет пенсионными резервами фонда «Благосостояние», под реконструкцию в жилой комплекс «Грильяж». На территории «Перовского» планировалось построить около 200 000 кв. м жилья. Участники рынка предполагали, что девелопером будет ПИК.

Как правило, на уровне фирмы управление риском осуществляется на основе специально разработанной программы.

Программа управления риском – центральный инструмент системы управления риском, документально отражающий процесс принятия, выполнения и контроля управленческих решений, которые минимизируют неблагоприятное влияние на организацию или лицо убытков, вызванных случайными событиями. Целью ее разработки является обеспечение успешного функционирования фирмы в условиях риска.

Необходимость разработки такой программы состоит в том, что она четко фиксирует основные этапы принятия решений, ресурсное обеспечение и сроки их исполнения, ответственных за реализацию соответствующих мероприятий, а также меры контроля и критерии оценки качества.

Главная цель и основные задачи указанной программы могут быть конкретизированы с любой степенью глубины в зависимости:

  • • от специфики рисков, с которыми предстоит бороться;
  • • особенностей управления данной фирмой;
  • • информационного обеспечения системы управления риском.

В ряде случаев отдельные разделы программы могут быть конкретизированы до перечня функциональных обязанностей менеджера, обусловленных содержанием соответствующего этапа ее разработки и реализации.

Программа управления риском может предусматривать управление финансовыми рисками, связанными с проведением любых финансовых операций, а также рисками, относящимися непосредственно к производственно-хозяйственной деятельности фирмы (например, связанными с ответственностью товаропроизводителя, персоналом фирмы, критическими ситуациями на производств, в частности, с соблюдением технологии). Однако чаще всего управление финансовыми рисками выделяется в самостоятельную программу, поэтому основной акцент программы управления риском делается на обеспечении нормального функционирования самого производственного процесса.

В программе управления риском фиксируются методы, которые будут применены. В целом на уровне фирмы могут использоваться практически любые методы управления, поскольку фирма может воспользоваться как решениями, реализуемыми на основе собственных сил, так и теми, которые предлагаются рынком.

Обратите внимание!

Разработка программы управления риском предполагает:

  • • исследование особенностей рисков, подпадающих под соответствующие методы управления;
  • • изучение справочной информации по возможным процедурам и методам управления риском;
  • • анализ возможных методов трансформации рисков по группам рисков или по группам возможных убытков;
  • • анализ возможных методов финансирования рисков по группам рисков или по группам возможных убытков;
  • • принятие решений о том, какие методы управления риском будут реализовываться;
  • • создание системы контроля за исполнением принятых решений.

Разработка программы управления риском является достаточно сложным делом. Поэтому ее следует проводить только тогда, когда она действительно будет инструментом управления. Для упрощения процедур ее разработки может использоваться специальное Руководство по разработке и пересмотру программы управления риском, принимаемое в качестве внутрифирменного регламента в отношении порядка работы с указанной программой.

В процессе работы над программой управления риском можно выделить две стадии – предварительную и основную.

Предварительная стадия разработки программы управления риском предполагает знакомство менеджера со справочной и текущей информацией по рискам фирмы.

Эта стадия является основой процесса идентификации и анализа рисков. При выявлении недостатков в информационном обеспечении системы управления риском могут планироваться и проводиться дополнительные меры по сбору и обработке дополнительных данных.

Основная стадия разработки программы управления риском предполагает непосредственную разработку этой программы.

Данная стадия имеет следующую логику. Первым шагом разработки самой программы может быть этап предварительного отбора рисков, с которыми менеджер будет дальше работать с целью ее составления. Вторым шагом должен быть этап отбора возможных превентивных мероприятий и формирования на их основе плана. Оставшиеся на фирме потенциальные риски, при условии внедрения плана превентивных мероприятий, должны быть проанализированы с точки зрения возможности применения к ним иных методов управления риском с учетом дополнительной информации о стратегии фирмы и других важных обстоятельствах.

Обратите внимание!

Программа управления риском содержит:

  • • информацию о рисках, от которых фирма отказалась на этапе предварительного отбора (эта информация может и отсутствовать в данной программе);
  • • перечень всех рисков, относительно которых будут проводиться меры по управлению, и методы управления, применяемые по отношению к ним;
  • • план проведения превентивных мероприятий (с указанием сроков и ответственных за исполнение);
  • • анализ возможных превентивных мероприятий по группам рисков или по группам возможных убытков;
  • • план проведения иных методов трансформации рисков (с указанием сроков и ответственных за исполнение);
  • • анализ остаточных рисков (после осуществления методов трансформации рисков);
  • • план мер по финансированию остаточных рисков (страхование и т.п.) с указанием сроков и ответственных за исполнение;
  • • анализ возможных методов финансирования рисков по группам рисков или по группам возможных убытков;
  • • систему мер по контролю за исполнением принятых решений;
  • • оценку эффективности программы управления риском.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *