К списку статей


ОЦЕНКА РИСКОВ И АНАЛИЗ ПОТЕРЬ В БАНКАХ
Автор: Rosen Kirilov

Болгарская академия наук
Кибернетика и информационные технологии
одна из глав статьи "Эффективность информационной безопасности в банках " (стр. 80 - 85)

      В этой главе рассматривается оценка рисков безопасности и анализ потерь в бизнес контексте. Рассмотрим спектр угроз безопасности, возможность их возникновения и поведения, и рассмотрим последствия от их реализации. Наметим идеи разумной политики безопасности, и объясним основные принципы анализа потерь, где и когда следует применять средства защиты безопасности.

      Все предприятия, будь то большие или малые, действуют в более глобальном сообществе. Достижения в области коммуникаций и транспортных сетей прошлого века объединили более тесно клиентов и рынки, и это теперь возможно при относительно минимальных затратах, отгрузить продукцию в любой уголок мира. В этой международном контексте, сотрудники и менеджеры должны рассмотреть ряд угроз для своих предприятий. С конца 1990-х годов, наблюдается увеличение нападений во всем мире, включая Всемирный торговый центр атакованный в 2001 году. В ответ на это, было повышенно внимание к физической потребности в области безопасности, необходимости полиции вокруг зданий для контроля доступа в здания, в разработке рациональной политики для эвакуации в случае аварии, и развития более тесных точек соприкосновения с местными и федеральными властями. Что касается технологической стороны, здесь есть соответствующая необходимость исследование угроз компьютерного оборудования, приложений и баз данных, которые находятся на этом оборудовании (программное обеспечение), и сетей , которые соединяют группы, как локально, так и глобально. В бизнес среды, такие данные, как записи о клиентах или информация о кредитной карте являются ценными для конкурентов и компьютерных преступников и требуют особого внимания. Кроме того, для более передовых предприятий, интеллектуальная собственность включает научные исследования или уникальные бизнес-процессы, которые имеют высокую стоимость, а также требуют специальных мер безопасности. Как мир становится все более конкурентоспособным, хищение, как исходных данных, так и интеллектуальной собственности с помощью компьютера находится на подъеме. Сочетание предупредительных мер и вложений исполнительного руководства, подготовка и бдительность сотрудников, и четкая связь в рамках всей организации может помочь уменьшить угрозы физической и кибер нарушений безопасности.

      Информацию, необходимую для ответа на эти вопросы будет найдено путем беседы с сотрудниками (особенно ИТ-персонала), менеджерами и руководителями компании. Команда сбора информации должна быть знакомы со средствами массовой информации компании. Общественное восприятие может быть поучительным, особенно, если компания вовлечена в спорные вопросы, расположена вблизи горячих точкех деятельности, или появилась в известных изданиях.

      Первым шагом в повышении безопасности системы являются ответы на нижеперечисленные вопросы:

  • Что я пытаюсь защитить, и сколько стоит это для меня?
  • Что мне необходимо для защиты от?
  • Как много времени, усилий и денег я готов тратить на получение адекватной защиты?

      Эти вопросы лежат в основе процесса, известного как оценка риска. Оценка риска является очень важной частью процесса компьютерной безопасности. Вы не можете сформулировать защиту, если вы не знаете, что вы защищаете и от чего! После того как вы знаете свои риски, вы можете планировать политику и методы, которые необходимо реализовать, чтобы уменьшить эти риски. Например, если есть риск нарушения электроснабжения и если наличие вашего оборудования, вы можете уменьшить этот риск путем установки бесперебойного питания (ИБП).

      Оценка риска включает в себя три основных этапа:

  • 1) определение активов и их стоимости;
  • 2) выявление угроз;
  • 3) расчета рисков.

      Есть много способов, чтобы обойти этот процесс. Один из методов, с которым мы имели большой успех - это серии внутренних семинаров. Пригласить большое количество знающих пользователей, менеджеров и руководителей по всей организации. В течение ряда встреч, составляются списки активов и угроз. Не только этот процесс помогает создать более полный набор списков, это также помогает повысить осведомленность о безопасности в каждом, кто посещает семинар. Страховой подход более сложной, чем необходимость защиты домашнего компьютера или очень маленькой компании. Кроме того, процедуры, которые мы описываем здесь, недостаточны для больших компаний, государственных учреждение, или ведущих университетов. В таких случаях, многие компании обращаются к внешним консалтинговым фирмам, имеющим опыт в области оценки рисков, некоторые из которых используют специализированное программное обеспечение, чтобы сделать оценку.

      1. Определение активов

      Составить список элементов, которые необходимо защищать. Этот перечень должен быть основан на основе вашего бизнес план и здравого смысла. Процесс может потребовать знание действующего законодательства, полное понимание ваших объектов, и знание вашего страхового покрытия. Элементы для защиты включают материальное имущество (жесткие диски, мониторы, сетевые кабели, резервного копирования СМИ, руководства) и нематериальные активы (возможность продолжить обработку, ваш список клиентов, имидж, репутация в вашей отрасли, доступ к вашему компьютеру). Этот перечень должен включать в себя все, что вы считаете ценным. Для определения, есть ли что-то ценное, рассмотрим, что утрата или повреждение пункта может быть в виде потери дохода, потери времени, ремонта или замены.

      2.Определение угроз

      Следующим шагом является определение списка угроз для ваших активов. Некоторые из этих угроз могут быть экологическими, и включают в себя пожар, землетрясение, взрыв, и наводнение. Они должны также включают очень редко, но и возможность событий, таких как разрушение конструкций, что требует от вас, освободить здание в течение длительного времени. Другие угрозы исходят от персонала, и от посторонних.

      3. Обзор рисков

      Оценка риска не должно быть сделана только один раз, а затем забыта. Вместо этого, вы должны обновлять оценку периодически, не реже одного раза в год, ведь в любое время есть значительные изменения в персонале, системе, или операционной среде. Кроме того, часть оценки угрозы должны быть переделана, когда у вас есть значительные изменения в операции или структуре. Таким образом, при реорганизации, перемещении в новое здание и т.д, вы должны пересмотреть угрозы и потенциальные потери.

      4. Анализ убытков

      Определение стоимости потерь может быть очень сложной. Простой расчет стоимости считается стоимость ремонта или замены конкретного пункта. Более сложный расчет стоимости можно считать расходы, связанные с эксплуатации оборудования, стоимости дополнительной подготовки, стоимость дополнительных процедур в результате потерь, стоимость репутации компании, и даже затраты на клиентов компании. Вообще говоря, в том числе дополнительные факторы в расчете стоимости увеличат ваши усилия, но и увеличат точность ваших расчетов. В большинстве случаев, вам не нужно рассчитать точное значение для каждого возможного риска. Как правило, назначение диапазон стоимости для каждого элемента достаточно. Некоторые объекты могут на самом деле попадать в категорию непоправимый или незаменимый; Они могут включать потерю всего счета – из-за базы данных, или смерти одного из ключевых работника. Вы можете захотеть определить эти расходы на более мелком масштабе потерь, чем просто "потеряли / не потеряли." Например, вы можете назначить отдельные расходы для каждого из следующих категорий:

  • отсутствие короткий срок (<7-10 дней);
  • отсутствие на среднесрочную перспективу (1-2 недели);?
  • отсутствие в течение длительного срока (более 2 недель);?
  • постоянная потери или разрушения
  • случайно частичная утрата или повреждение;?
  • преднамеренная частичная утрата или повреждение;?
  • несанкционированный доступ внутри организации;?
  • несанкционированный доступ некоторых посторонних;?
  • несанкционированное полное раскрытие информации для посторонних, конкурентов и прессы;?
  • замена или возмещения расходов

      5. Вероятность потери

      После того как вы определили угрозы, необходимо оценить вероятность появления каждой . Эти угрозы могут быть простым для оценки на год в каждом конкретном году. Количественная оценка угрозы риска это тяжелый труд. Вы можете получить некоторые оценки от третьих лиц, таких, как страховые компании. Если событие происходит на регулярной основе, вы можете оценить это на основе своих записей. Промышленные организации могут собрать статистические данные или опубликовать доклады. Вы можете также базировать ваши оценки на догадках из прошлого опыта.

      6. Стоимость профилактики

      Наконец, необходимо рассчитать затраты на предотвращение каждого вида потерь. Однако, стоимость профилактики может быть в покупке и установке системы ИБП. Затраты должны быть амортизируемыми в течение ожидаемого срока службы, по мере необходимости. Получение этих расходов может выявить вторичные затраты и кредиты, которые также должны быть учтены. Например, установка лучшего пожаротушения системы может привести к уменьшению ежегодно в страхование от огня и дать вам по налогу на прибыль на капитал амортизации. Но тратить деньги на пожаротушения системы означает, что деньги не доступны для других целей, такие как расширение подготовки сотрудников или даже инвестиции.

      7. Учесть всё

      В заключение , вы должны иметь многомерные таблицы, состоящие из активов, рисков и возможных потерь. Для каждой потери, вы должны знать её вероятность, предсказать потерю, и количество денег, необходимых для защиты от потерь. Если Вы очень точны, вы также будете иметь вероятность защиты от угроз. Процесс определения, защита должна или не должно быть в настоящее время прост. Это можно сделать путем умножения каждой из ожидаемых потерь вероятностью ее появления в результате каждой из угроз. Сортировать в нисходящем порядке, и сравнить стоимость каждого вхождения в стоимость защиты. Список может быть удивительным. Ваша цель - избежать дорогих, возможныx потерь, прежде чем беспокоиться о менее вероятных угрозах. Во многих случаях, потеря ключевого персонала гораздо более вероятна, и более опасна, чем сбой в сети. Удивительно, однако, сбои занимают большое внимание и бюджет большинства менеджеров. Эта практика просто не рентабельна, а также не предоставляет высокий уровень доверия в общей систему. Чтобы выяснить, что вы должны сделать, принять цифры, которые вы собрали для предотвращения риску или выбрать что-то лучшее, для удовлетворения ваших потребностей. Способ сделать это - это добавить стоимость восстановления к ожидаемой средней потери, и умножить на вероятность появления. Тогда, сравнить конечный результат с ежегодными расходами на предотвращение. Если стоимость избежания ниже, чем риск, мы бы посоветовали вкладывать средства в эту стратегию, если у вас есть достаточные финансовые ресурсы. Если стоимость избежания выше, чем риск того, что вы защищаете, ничего не делайте, пока другие угрозы не будут рассмотрены.

     

          Список литературы
  • 1. Guerra, Robert. The Right to Communicate. Ottawa, 2003. [Электронный ресурс]. URL: http://www.undp.org
  • 2. FIL-69-2001. Authentication in an Electronic Banking Environment. 2001. [Электронный ресурс]. URL: http://www.worldbank.org
  • 3. Thacker, K. IT Security Evaluation, CESG – United Kingdom, 2003. [Электронный ресурс]. URL: http://www.cesg.gov.uk/
  • 4. Yusuf Musaji. A Definition of IT Security. ISACA, 2006. [Электронный ресурс]. URL: http://www.isaca.org/cobit.htm
    К списку статей