ISSN 1812-9498. ÂÅÑÒÍÈÊ ÀÃÒÓ. 2007.

№ 3 (38)

ББК 65.292-21

И. А. Митченко
Астраханский государственный технический университет

ÌÅÒÎÄÈ×ÅÑÊÈÅ ÎÑÍÎÂÛ ÎÖÅÍÊÈ ÈÍÔÎÐÌÀÖÈÎÍÍÛÕ ÐÈÑÊÎÂ

 ÏÐÅÄÏÐÈÍÈÌÀÒÅËÜÑÒÂÅ

Предпринимательство является сложно организованным процессом, представляющим со-

бой последовательность действий креативного, инновационного, социального, экономического
характера. Важнейшей особенностью предпринимательства является его рисковый характер,
что подчеркнуто при определении сущности предпринимательской деятельности в Граждан-
ском кодексе РФ.
Сегодня, как никогда, предприятия нуждаются в грамотном управлении, в том числе
и в управлении рисками. Особое значение имеет проблема создания систем управления рис-
ками в среднем и малом предпринимательстве. Зачастую это связано прежде всего с недос-
таточным финансовым обеспечением, отсутствием опыта работы в данной области, органи-
зационными проблемами, большими затратами времени и других ресурсов.
Управление риском – это совокупность определенных методов, приемов и мероприя-
тий, с помощью которых производится выявление, оценка и, при необходимости, воздейст-
вие на риск с целью уменьшения убытка или увеличения прибыли предприятия.
Информационные технологии значительно расширили возможности бизнеса, но новые
возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере бо-
лее высокая доходность означает более высокую степень риска. Любое современное предпри-
ятие не обходится без использования информационных технологий, что обусловливает наличие
информационных рисков (ИР).

Анализ информационных рисков

При постановке целей управления рисками важно определить, для чего и в каких усло-
виях проводится оценка. Целью может быть минимизация рисков, оптимизация рисковой
ситуации, полное исключение риска и др. На данном этапе важно учитывать общие цели ор-
ганизации, текущее состояние дел, перспективы развития и в соответствии с этой инфор-
мацией устанавливать цели управления рисками.
Оценка рисков тесно связана с таким этапом управления предпринимательскими
рисками, как выявление предполагаемых рисков. Нельзя точно определить количество мето-
дов оценки рисков, потому что нельзя точно определить количество видов риска. Тем не менее
на рисунке представлены наиболее известные в настоящее время методы, характеризующиеся
распространенностью и проработанностью.
На сегодняшнем этапе развития экономики в целом и предпринимательства в частности
не представляется возможным их успешное функционирование без применения современных
информационных технологий: персональных компьютеров, программных продуктов, средств
связи и телекоммуникаций и т. д. Чем сложнее информационная система, эксплуатируемая на
предприятии, тем выше для нее риск различных угроз: например, проникновения в систему из-
вне или несанкционированного доступа изнутри компании с целью финансового мошенничест-
ва или хищения коммерческой информации. Именно поэтому ИР стали неотъемлемой частью
функционирования бизнеса.
Все методы, представленные на рисунке, носят как качественный, так и количественный
характер и могут применяться для оценки различных видов риска.
В настоящее время различают качественную и количественную оценку рисков.
Качественный анализ предполагает выявление:
– источников риска;
– этапов и работ, при выполнении которых возникает риск (установление потенциаль-
ных зон риска, изменение риска в динамике, выявление всех положительных и отрицатель-
ных моментов, связанных с реализацией решения, содержащего риск).

204
 ÝÊÎÍÎÌÈÊÀ

Основные методы оценки предпринимательских рисков

Количественная оценка позволяет:

– выявить математическую вероятность возникновения выявленных рисков;
– определить значения потерь (или прибыли) от действий в рисковой ситуации, кото-
рые будут являться объектом дальнейшего анализа для принятия решения об управлении
данными рисками;
– определить степень влияния различных факторов на рисковую ситуацию;
– подготовить оптимальный план поведения предприятия в рисковой ситуации;
– получить другую информацию количественного характера относительно оценивае-
мых рисков.
Для оценки ИР применимы также качественные и количественные методы с использова-
нием средств автоматизации, различных программных продуктов.
Считается, что качественная оценка и дальнейшее управление рисками позволяют исполь-
зовать средства контроля рисков, оптимальные по эффективности и затратам, и средства защи-
ты информации, адекватные текущим целям и задачам бизнеса компании.
Для того чтобы можно было оценить текущее состояние защищенности информационных
систем предприятия, а также оптимизировать затраты на построение систем защиты, необходи-
мо провести оценку текущего состояния защищенности информационной системы предприятия
с использованием специализированных методик, основанных на международных стандартах
безопасности, выявить существующие риски и провести их анализ.
Информационный риск складывается из нескольких составляющих:
– риски, вызванные утечкой информации и использованием ее конкурентами или сотруд-
никами в целях, которые могут повредить бизнесу;
– риски технических сбоев работы каналов передачи информации, которые могут привес-
ти к убыткам.
Работа по минимизации ИР заключается в предупреждении несанкционированного досту-
па к данным, а также аварий и сбоев оборудования. Процесс минимизации ИР следует рассмат-
ривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими
способами их можно решить.
Для выявления возможных проблем проводится анализ ИР, т. е. определение угроз ин-
формации, уязвимости информационной системы и возможного ущерба.

205
 ISSN 1812-9498. ÂÅÑÒÍÈÊ ÀÃÒÓ. 2007. № 3 (38)

Результаты анализа рисков могут послужить:

– руководством к формированию экономически обоснованной стратегии обеспечения ин-
формационной безопасности (ИБ), которая будет учитывать не только технологические риски,
но и риски организационного характера, связанные с основными бизнес-процессами предприятия.
– конкретными рекомендациями по усовершенствованию существующей системы инфор-
мационной ИБ, учитывающими как текущее состояние предприятия, так и возможности его
дальнейшего развития.
Анализ методов оценки риска разными авторами [1, 2] показал, что процедура предвари-
тельного анализа практически у всех одна и та же и состоит из следующих этапов.
1. Определение в первом приближении границ предметной области объектов техническо-
го регулирования, для которых необходимо подобрать подходящую методику оценки риска.
2. Сбор всех видов документов, определяющих потенциальную опасность выбранных
объектов.
3. Сбор статистических данных о несчастных случаях, происшествиях и авариях, относя-
щихся к выбранным объектам технического регулирования.
4. Анализ документов (по результатам сбора всех видов документов) и статистических
данных (по результатам статистики несчастных случаев и происшествий).
5. Определение всех видов потенциальных опасностей, характерных для выбранных объ-
ектов, для которых оценивается риск.
6. Формирование списка потенциальных опасностей для рисковых объектов, определен-
ных в результате анализа.
Анализ ИР заключается в идентификации информационных ресурсов, определении их
ценности и возможного ущерба при реализации угроз ИБ. При анализе ИР используются моде-
ли информационной системы, построенные в ходе информационного и технического обследо-
вания системы управления предприятием, ориентированные на проблему обеспечения безопас-
ности информации.
Существуют различные подходы к анализу рисков. Выбор подхода зависит от уровня тре-
бований, предъявляемых в организации к режиму ИБ, характера угроз, принимаемых во внима-
ние, и эффективности потенциальных контрмер.
В зависимости от уровня требований к режиму ИБ выделяют два варианта анализа рис-
ков: базовый и полный. Базовый вариант анализа рисков является менее трудоемким и применя-
ется в системах, не обрабатывающих особо ценную информацию. Полный вариант анализа рис-
ков применяется для систем, обрабатывающих критичную информацию.
Этапами анализа ИР являются:
– классификация информационных ресурсов по критериям безопасности;
– определение угроз информации в автоматизированной системе и их характеристик
с описанием объектов этих угроз, механизмов их реализации для различных элементов системы
и источников угроз;
– оценка опасности потенциальных угроз, возможности их реализации и ущерба;
– формирование перечня, классификация и определение характеристик ИР, оценка эффек-
тивности существующих методов управления рисками;
– выработка предложений по управлению рисками с помощью организационных, админи-
стративных и технических мер и средств защиты информации.
В ходе оценки защищенности проводятся:
– определение класса защищенности автоматизированной системы;
– анализ состояния ИБ в автоматизированной системе, достаточности и корректности реа-
лизации организационных, нормативно-правовых и технических мер защиты;
– формирование требований по защищенности информации на основе видов и критично-
сти обрабатываемой информации, требований нормативных и законодательных документов по
защите информации, а также информационных и технических характеристик автоматизирован-
ной системы;
– подготовка исходных данных и рекомендаций для формирования политики ИБ, созда-
ния или модернизации подсистемы защиты информации от угроз безопасности информации,
идентифицированных при проведении обследования системы и анализе рисков;
– аудит ИБ.

206
 ÝÊÎÍÎÌÈÊÀ

Анализ и оценка защищенности информации позволяют получить исходные данные для

разработки политики ИБ предприятия и построения эффективной системы защиты информации,
удовлетворяющей требованиям по функциональности, стоимости и соответствию нормативно-
руководящим документам по защите информации ограниченного доступа.
В настоящее время наблюдается повсеместное усиление зависимости успешной бизнес-
деятельности отечественных компаний от используемых организационных мер и технических
средств контроля и уменьшения риска. Для эффективного управления ИР разработаны специ-
альные методики, например методики международных стандартов ISO 15408, ISO 17799
(BS7799), BSI, а также национальных стандартов NIST 800-30, SAC, COSO, SAS 55/78 и неко-
торые другие, аналогичные им.
В соответствии с этими методиками управление ИР любой компании предполагает
следующее:
– определение основных целей и задач защиты информационных активов компании;
– создание эффективной системы оценки и управления ИР;
– расчет совокупности детализированных не только качественных, но и количественных
оценок рисков, адекватных заявленным целям бизнеса;
– применение специального инструментария оценки и управления рисками.

Качественные методики управления информационными рисками в предпринима-

тельстве
Качественные методики управления рисками, разработанные, как правило, на основе тре-
бований международного стандарта ISO 17799–2002, приняты на вооружение в технологически
развитых странах многочисленной армией внутренних и внешних информационных аудиторов.
История развития ISO 17799–2002 началась в 1993 г., когда Министерство торговли Вели-
кобритании опубликовало пособие, посвященное практическим аспектам обеспечения ИБ.
Стандарт стали применять на добровольной основе не только в Великобритании,
но и в других странах. В 2000 г. был принят международный стандарт ISO 17799, в основу ко-
торого был положен BS7799. В сентябре 2002 г. основные положения ISO 17799 были пере-
смотрены и дополнены с учетом развития современных информационных технологий. В на-
стоящее время это наиболее распространенный стандарт во всем мире среди организаций
и предприятий, которые используют подобные стандарты на добровольной основе.
Стандарт ISO 17799 содержит две части. В первой части – «Практические рекомендации
по управлению информационной безопасностью», 2002 г., определены основные аспекты орга-
низации режима ИБ в компании: политика безопасности; организация защиты; классификация
и управление информационными ресурсами; управление персоналом; физическая безопасность;
администрирование компьютерных систем и сетей; управление доступом к системам; разработ-
ка и сопровождение систем; планирование бесперебойной работы организации; проверка систе-
мы на соответствие требованиям ИБ.
Вторая часть – «Спецификации», 2002 г., рассматривает эти же аспекты с точки зрения
сертификации режима ИБ компании на соответствие требованиям стандарта. С практической
точки зрения эта часть является инструментом для информ-аудитора и позволяет оперативно
проводить внутренний или внешний аудит ИБ любой компании.
К качественным методикам управления рисками на основе требований ISO 17999 отно-
сятся методики COBRA и RA Software Tool, КОНДОР+.
Во второй половине 90-х гг. XX в. компания C & A Systems Security Ltd. разработала од-
ноименные методику и соответствующий инструментарий для анализа и управления информа-
ционными рисками под названием COBRA. Эта методика позволяет выполнить в автоматизиро-
ванном режиме простейший вариант оценивания ИР любой компании. Для этого предлагается
использовать специальные электронные базы знаний и процедуры логического вывода, ориен-
тированные на требования ISO 17799.
Методика и одноименное инструментальное средство RA Software Tool основаны на тре-
бованиях международных стандартов ISO 17999 и ISO 13335, а также на требованиях некоторых
руководств британского национального института стандартов (BSI), например PD 3002 (Руко-
водство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту
в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

207
 ISSN 1812-9498. ÂÅÑÒÍÈÊ ÀÃÒÓ. 2007. № 3 (38)

Эта методика позволяет выполнять оценку ИР в соответствии с требованиями ISO 17799,

а при желании – в соответствии с более детальными спецификациями руководства PD 3002 Бри-
танского института стандартов.
Программный продукт КОНДОР+ позволяет специалистам проверить политику ИБ ком-
пании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов,
ответив на которые специалист получает подробный отчет о состоянии существующей полити-
ки безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799.
Данная система реализует метод качественной оценки рисков по уровневой шкале рисков: вы-
сокий, средний, низкий.

Количественные методики управления информационными рисками в предпринима-

тельстве
Вторую группу методик управления рисками составляют количественные методики, акту-
альность которых обусловлена необходимостью решения различных оптимизационных задач,
которые часто возникают в реальной жизни.
Можно выделить следующие подходы разработчиков программных средств анализа рис-
ков к решению поставленной задачи:
– получение оценок рисков только на качественном уровне;
– вывод количественных оценок рисков на базе качественных, полученных от экспертов;
– получение точных количественных оценок для каждого из рисков;
– получение оценок механизмом нечеткой логики.
Ценность инструментального средства анализа рисков определяется в первую очередь той
методикой, которая положена в его основу. В настоящее время определенную известность по-
лучили такие программные продукты, как Risk Watch (США), CRAMM (Великобритания),
«АванГард» (Россия), ГРИФ (Россия) и ряд других. Эти программные продукты базируются на
различных подходах к анализу рисков и решению различных аудиторских задач.
Основными целями методики CRAMM являются:
– формализация и автоматизация процедур анализа и управления рисками;
– оптимизация расходов на средства контроля и защиты;
– комплексное планирование и управление рисками на всех стадиях жизненного цикла
информационных систем;
– сокращение времени на разработку и сопровождение корпоративной системы защиты
информации;
– обоснование эффективности предлагаемых мер защиты и средств контроля;
– управление изменениями и инцидентами;
– поддержка непрерывности бизнеса;
– оперативное принятие решений по вопросам управления безопасностью и пр.
Управление рисками в методике СRAMM осуществляется в несколько этапов. На первом
этапе инициации определяются границы исследуемой информационной системы компании, со-
став и структура ее основных информационных активов и транзакций. На этапе идентификации
и оценки ресурсов четко идентифицируются активы и определяется их стоимость. Расчет стои-
мости информационных активов однозначно позволяет определить необходимость и достаточ-
ность предлагаемых средств контроля и защиты. На этапе оценки угроз и уязвимостей иденти-
фицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап
анализа рисков позволяет получить качественные и количественные оценки рисков. На этапе
управления рисками предлагаются меры и средства уменьшения или уклонения от риска. Для
наглядности возможности CRAMM предлагаем рассмотреть следующий пример.
Пусть проводится оценка ИР следующей корпоративной информационной системы.
В свое время компания Methodware разработала свою собственную методику оценки
и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим
инструментальным средствам управления рисками MethodWare относятся:
– программное обеспечение анализа и управления рисками Operational Risk Builder и Risk
Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk
Management Standard (AS/NZS 4360:1999) и стандарту ISO 17799;

208
 ÝÊÎÍÎÌÈÊÀ

– программное обеспечение управления жизненным циклом информационной технологии

в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor.
В руководствах CobiT существенное место уделяется анализу и управлению рисками;
– программное обеспечение для автоматизации построения разнообразных опросных лис-
тов Questionnaire Builder.
Программное обеспечение RiskWatch является мощным средством анализа и управления
рисками, более ориентированным на точную количественную оценку соотношения потерь от уг-
роз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом про-
дукте риски в сфере информационной и физической безопасности компьютерной сети предпри-
ятия рассматриваются совместно. В семейство RiskWatch входят следующие программные про-
дукты: для физических методов защиты, для ИР, для оценки требований к стандарту ISO 17799.
В основу продукта RiskWatch положена методика анализа рисков, которая состоит из че-
тырех этапов:
– определение предмета исследования. Здесь описываются такие параметры, как тип ор-
ганизации, состав исследуемой системы, базовые требования в области безопасности;
– ввод данных, характеризующих основные параметры системы. На этом этапе подробно
описываются ресурсы, потери и классы инцидентов, которые используются в дальнейшем для
расчета эффекта от внедрения средств защиты;
– количественная оценка. Фактически риск оценивается с помощью математического
ожидания потерь за год. Эффект от внедрения средств защиты количественно описывается с по-
мощью показателя ROI (Return on Investment – отдача от инвестиций), который показывает от-
дачу от инвестиций за определенный период времени;
– генерация отчетов.
Наибольшее распространение получила методика «матрицы рисков». Это достаточно про-
стая методика анализа рисков. В процессе оценки эксперты определяются вероятность возник-
новения каждого риска и размер связанных с ним потерь (стоимость риска). Оценивание произ-
водится по шкале с тремя градациями: «высокая», «средняя», «низкая». На базе оценок для от-
дельных рисков выставляется оценка системе в целом (в виде клетки в такой же матрице), а са-
ми риски ранжируются. Данная методика позволяет быстро и корректно произвести оценку. Но,
к сожалению, дать интерпретацию полученных результатов не всегда возможно [3].
CRAMM – инструментальное средство, реализующее одноименную методику, которая
была разработана компанией BIS Applied Systems Limited no заказу британского правительства.
Метод CRAMM позволяет производить анализ рисков и решать ряд других аудиторских задач:
обследование информационной системы, проведение аудита в соответствии с требованиями
стандарта BS 7799, разработка политики безопасности.
Данная методика опирается на оценки качественного характера, получаемые от экспертов,
но на их базе строит уже количественную оценку. Метод является универсальным и подходит
и для больших, и для мелких организаций как правительственного, так и коммерческого секто-
ра. Грамотное использование метода CRAMM позволяет получить очень хорошие результаты,
наиболее важным из которых, пожалуй, является возможность экономического обеспечения ор-
ганизации для обеспечения ИБ непрерывности бизнеса. Экономически обоснованная стратегия
управления рисками позволяет в конечном итоге избегать неоправданных расходов [3].
ГРИФ – это программный комплекс анализа и контроля рисков информационных систем
компаний. В нем разработано гибкое и, несмотря на скрытый от пользователя сложнейший ал-
горитм, учитывающий более 100 параметров, максимально простое в использовании программ-
ное решение, основная задача которого – дать возможность менеджеру самостоятельно (без
привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эф-
фективность существующей практики по обеспечению безопасности компании. Данный ком-
плекс делает оценку рисков по различным информационным ресурсам, подсчитывает суммар-
ный риск по ресурсам компании, а также ведет подсчет соотношения ущерба и риска и выдает
недостатки существующей политики безопасности. В основу продукта ГРИФ заложена методи-
ка анализа рисков, которая состоит из пяти этапов:

209
 ISSN 1812-9498. ÂÅÑÒÍÈÊ ÀÃÒÓ. 2007. № 3 (38)

1) определение полного списка информационных ресурсов, представляющих ценность;

2) осуществление ввода в систему всех видов информации, представляющей ценность для
информационной системы;
3) определение всех видов пользовательских групп, определение, к каким группам ин-
формации на ресурсах имеет доступ каждая из групп пользователей;
4) указывается, какими средствами защиты информации защищены ценная информация
на ресурсах и рабочие места групп пользователей, вводится информация о затратах на приобре-
тение всех применяющихся средств защиты информации;
5) на завершающем этапе необходимо ответить на список вопросов по политике безопас-
ности, реализованной в системе, что позволяет оценить реальный уровень защищенности сис-
темы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок
рисков, существующих в системе.
Комплексная экспертная система управления информационной безопасностью «Аван-
Гард» является программным продуктом, предназначенным для решения задач управления
безопасностью в больших территориально-распределенных автоматизированных информацион-
ных системах. Данный комплекс является одним из самых мощных инструментов анализа
и контроля рисков отечественного производства. Основные возможности комплекса: гибкая
система ввода и редактирования модели предприятия, возможность построения модели рисков,
система оценки и сравнения рисков, оценка мер противодействия, построение вариантов ком-
плексов мер защиты и оценка остаточного риска.

Заключение
Рассмотренные методики позволяют оценить или переоценить уровень текущего состоя-
ния ИБ автоматизированной системы, снизить потенциальные потери путем повышения устой-
чивости функционирования корпоративной сети, разработать концепцию и политику безопас-
ности автоматизированной системы, а также предложить планы защиты от выявленных угроз
и уязвимых мест. Важно заметить, что в настоящее время существуют многообразные и слож-
ные по своей структуре автоматизированные системы, для которых невозможно подобрать кон-
кретную методику оценки рисков, поэтому для получения точных удовлетворительных резуль-
татов оценки необходимо использовать комплексный подход к оценкам рисков на основе уже
существующих методик.
Таким образом, методику проведения анализа рисков предприятия и инструментальные
средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экс-
пертов в области оценки риска, статистики по инцидентам нарушения ИБ, точной количествен-
ной оценки или достаточной оценки на качественном уровне.
Разработка и реализация политики по минимизации ИР не принесут пользы, если реко-
мендуемые стандарты и правила неверно используются, например если сотрудники не обучены
их применению и не понимают их важности. Именно поэтому работа по обеспечению ИБ долж-
на быть комплексной и продуманной.
В настоящее время управление ИР представляет собой одно из наиболее актуальных
и динамично развивающихся направлений стратегического и оперативного менеджмента в облас-
ти защиты информации. Его основная задача – объективно идентифицировать и оценить наиболее
значимые для бизнеса ИР компании, а также адекватность используемых средств контроля рисков
для увеличения эффективности и рентабельности экономической деятельности компании.

СПИСОК ЛИТЕРАТУРЫ
1. Ермасова Н. Б. Риск-менеджмент организации. – М.: Альфа-Пресс, 2005. – С. 54–79.
2. Лапуста М. Г., Шаршукова Л. Г. Риски в предпринимательской деятельности. – М.: ИНФРА-М,
1998. – 238 с.
3. Александрович Г. Я., Нестеров С. Н., Петренко С. А. Автоматизация оценки информационных рис-
ков компании // Безопасность компьютерных систем. Конфидент. – 2003. – № 2. – С. 78–81.

Статья поступила в редакцию 21.12.2006

210
 ÝÊÎÍÎÌÈÊÀ

METHODICAL PRINCIPES OF ESTIMATION

OF INFORMATION RISKS IN BUSINESS
I. A. Mitchenko
The risks of businesses in modern conditions are considered in this article.
The particular attention is paid to the information risks as a major component of
the risks of application of various information technologies in business. The in-
formation risks are the integral part of business risks so they can be analyzed and
estimated with the help of qualitative and quantitative methods. The considered
methods allow to estimate or overestimate the level of the current condition of in-
formation safety of an enterprise, to reduce potential losses by increasing the sta-
bility of functioning of corporative network, to suggest a plan of protection from
revealed threats and vulnerable points. To get exact satisfactory results of the es-
timation it is necessary to use complex approach to the estimation of the risks on
the basis of the given methods.

211