Обеспечение информационной безопасности бизнеса Голдуев Н.
Все перечисленные проблемы отражения реального мира в информацию фактически я разные стороны одной проблемы – обеспечения адекватности информационных образов реальным объектам и событиям материального мира. При этом важнейшим является вопрос организации информации. Используемые информационные структуры должны обеспечивать возможность сбора необходимых данных в заданные сроки и с необходимым качеством.
1.2.5. Внутренняя нормативная база организации
Внутренняя нормативная база организации имеет иерархическую структуру, вариант которой показан на рис. 5. Высокоуровневые документы определяют общую политику организации по разным вопросам. Положения, определенные в документах верхнего уровня, раскрываются и детализируются в ряде документов нижних уровней, воплощаясь в конкретные требования, регламенты и т. п. Самый нижний уровень документов – свидетельства выполненной деятельности – определяет возможности по контролю деятельности организации в целом, ее составных частей и персонала.
Рис. 5. Структура нормативной базы
В идеале нормативная база организации должна снимать все неопределенности, которые могут возникнуть в процессе какой-либо деятельности, реализуемой внутри организации, с определением возможных свидетельств выполненной работы и показателей, характеризующих ее качество. Однако это недостижимо хотя бы потому, что, как рассмотрено выше, не существует точного отображения материального мира в информационный. Хорошая и достаточно полная нормативная база организации делает бизнес упорядоченным и прозрачным, а деятельность детерминированной и хорошо контролируемой.
Любые неопределенности, т. е. слабо регламентированная деятельность, порождают риски возникновения потерь и других негативных последствий, из которых наиболее опасен конфликт интересов. Изменчивая внутренняя среда организации, плохо организованная, неадекватная информационная сфера, коллизии и противоречия, возникающие из слабо регламентированной, а следовательно, плохо контролируемой деятельности, приводят к тому, что персонал организации при определенных условиях может использовать порученные ему для управления активы для извлечения личной выгоды.
Когда деятельность осуществляется в области, где не установлены правила и отсутствуют регламенты, то можно либо замотивировать любые необходимые для нецелевого управления активами полномочия, либо просто выполнять любые действия с ними, мотивируя их впоследствии тем, что они были необходимы для выполнения заданной работы, за которую сотрудник отвечает. В этих случаях обнаружить, что персоналом были выполнены какие-то неправомерные действия, можно только по косвенным признакам и, как правило, с задержкой по времени. Предъявить какие-либо доказательства этих действий невозможно. Доказать, что у конкретного сотрудника был злой умысел, также нельзя. А поскольку потери все равно есть всегда, то понять, какая их часть была вызвана манипулированием (фальсификацией) информационными активами, а какая обусловлена естественной природой бизнеса и величиной его стохастичности, бывает трудно. Стохастическая составляющая бизнеса не может быть проверена, и очень плохо, если она большая в силу самой природы бизнеса.
Поскольку структура некоторой части внутренней нормативной базы организации во многом определяется правовой средой бизнеса, то еще один источник неопределенностей внутренней нормативной базы связан с неполнотой и противоречивостью правовой среды бизнеса.
Слабая внутренняя нормативная база, т. е. неполная и противоречивая, приводит к необходимости опираться на доверие персоналу. Высокий уровень изменчивости внутренней и внешней среды бизнеса, т. е. большая стохастическая составляющая самого бизнеса, также требует, чтобы собственник в большой степени полагался на доверие персоналу и партнерам по бизнесу.
1.2.6. Информационная сфера – главный источник рисков бизнеса
Рассмотренные аспекты бизнеса, связанные с информацией и информационной сферой, позволяют сделать вывод, что информационная сфера является одним из главных источников рисков бизнеса. Подведем итог и еще раз выделим основные свойства или факторы, способствующие появлению этих рисков.
Возрастающая сложность. В настоящее время наблюдается резкий рост количества факторов, влияющих на успешность бизнеса, и их пространственно-временная распределенность. Основной причиной этого роста является резкий рост количества субъектов экономической деятельности в мире, и в особенности в России. Количество связей растет квадратично. Как следствие, растет и информационный компонент бизнеса, поскольку для успешности бизнеса, не говоря даже о повышении его эффективности, необходимо учитывать все большее число факторов. Это приводит к необходимости создания информационной инфраструктуры с соответствующими техническими и программными средствами.
Сложность информационной сферы многократно усиливает действие других факторов риска и порождает уязвимости, вызванные дефицитом времени на обработку и осознание вариантов возможных решений, невозможностью проверки достоверности всех используемых данных. Дополнительные риски связаны с использованием и поддержанием информационной инфраструктуры, технических и программных средств обработки данных, компьютерных сетей и телекоммуникаций.
Неточность отображения материального мира в информационные образы (модели). С этим связана проблема обеспечения адекватности информационных моделей, участвующих в обработке данных и прогнозах, реальным объектам. Выше отмечались две проблемы:
– неточность отображения материального мира на информационный мирнеизменность информационных объектов во времени, порождающая со временем неадекватность информационного образа реальному объекту.
Поскольку действия над материальными объектами во все большей степени замещаются действиями над их описаниями (информационными образами), то неадекватность этих описаний приводит к коллизиям, из которых наиболее значимы два крайних случая:
– отсутствие информационного образа для реально существующего объекта, который мог бы быть использован в бизнесе;
– наличие информационного образа для объекта, реально не существующего.
Теоретическая возможность коллизий подобного рода порождает риск их искусственного создания (уничтожение данных об объекте, изъятие объекта), приводящего к ущербу и потерям. Однако и без злоумышленных действий неадекватность информационных образов (моделей) объектов самим материальным объектам создает значительные риски, особенно на этапах целеполагания и планирования. Поэтому обеспечение адекватности является самостоятельной задачей и не должно осуществляться стихийно, по фактам необходимости в использовании той или иной информации.
Конфликт интересов. Все более сложные образования из субъектов разного уровня и отношения, возникающие между ними, в условиях, что цели у всех них разные, создают в результате конфликт интересов. Острота этой проблемы увеличивается из-за резкого увеличения количества взаимодействий. Можно выделить два взаимосвязанных между собой уровня конфликта интересов:
– внутри организации (внутренний конфликт интересов);
– между организациями.
Внутренний конфликт интересов – один из главных источников риска и главная угроза бизнесу, поскольку в этом случае персонал организации и особенно субъекты ответственности и высший менеджмент используют в своих интересах активы организации, включая информацию, материальные и финансовые активы и другие ресурсы. При увеличении размеров организации конфликт интересов тоже резко усиливается просто из-за того, что очень много субъектов оказываются вовлеченными в процессы как внутри, так и снаружи организации.
Это не только объективное свойство любого бизнеса, но и основа механизма его самоуничтожения. Накопление избыточного ресурса в подразделениях больших организаций приводит к резкому снижению эффективности бизнеса. Использование этих избыточных активов для своих целей, не совпадающих с целями организации, и создание при помощи информационных воздействий, таких как искажение отчетности, ослабление контроля, маскировка причин неудач под естественную случайность и других, иллюзии, что бизнес реализуется нормально и эффективно, приводит в конце концов к потере управления, крупным неудачам, ущербам и ликвидации бизнеса. Искусственно создать условия, благоприятные для внутреннего конфликта интересов, и, как следствие, ухудшить бизнес может и информационная атака извне.
Конфликт интересов между организациями – это, как правило, конкуренция и борьба за общий ресурс, например клиентов. Острота проблемы конфликта интересов между организациями усугубляется при увеличении количества взаимодействий. Реализуя свой бизнес, приходится учитывать большое количество факторов, и здесь неизбежно возникает конфликт интересов.
Проблема доверия. Проблема доверия возникает там, где отсутствуют или существенно неполны механизмы контроля. Внутри организации – это проблема доверия собственников персоналу организации, и в первую очередь руководству и менеджменту верхнего уровня. Для тех видов бизнеса, где велика стохастическая составляющая и в силу этого контроль просто невозможен, остается полагаться на доверие. В других же случаях к необходимости полагаться на доверие приводит слабость внутренней нормативной базы и, как следствие, слабо регламентированная, а следовательно, плохо контролируемая деятельность.
Причина и необходимость полагаться на доверие и устные договоренности в отношениях между организациями следуют из неполноты и противоречивости законодательной и нормативно-правовой базы (правовой среды) бизнеса и, как следствие, невозможности контроля исполнения партнерами по бизнесу и конкурентами законодательно установленных правил.
Проблема доверия состоит в том, что если кто-то нарушит некие правила, то он получит большие преимущества. У партнеров по бизнесу и конкурентов в связи с этим возникают существенные риски потерь или даже ликвидации бизнеса. Очевидно, что в условиях возрастающей сложности, наличия и обострения конфликта интересов, неадекватности информационной сферы риски, связанные с доверием, возрастают, а преимущества, получаемые субъектом и организацией, нарушающими правила могут быть очень большими.
Проблема информационной безопасности состоит в том, чтобы организация могла использовать информационную сферу на всех этапах своего жизненного цикла в реализуемых ею видах бизнеса, в условиях угроз, связанных с перечисленными выше проблемами и особенностями. По сути это некие технологии, позволяющие эффективно использовать информационную сферу в условиях перечисленных проблем и особенностей. Информационная безопасность существует в рамках некоторых моделей, рассматриваемых ниже.
1.3. Модель информационной безопасности бизнеса
1.3.1. Мотивация
Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.
Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины – слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.
Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.
Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.
Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.
Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.
Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.
Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.
1.3.2. Риски, рисковые события, ущербы и уязвимости. Полезные для построения моделей свойства
Любая целенаправленная деятельность связана с неопределенностью конечного результата, порождающей риск. Риск реализуется через рисковые события, создающие ущерб целям деятельности. Рисковое событие есть следствие сложившегося неблагоприятного сочетания факторов риска, т. е. некоторых сущностей и (или) обстоятельств, являющихся существенными для проявления риска. Таким образом, фактор риска можно рассматривать как его параметр, принимающий нежелательное (неблагоприятное) значение, а рисковому событию соответствует некоторый набор таких параметров. Следовательно, говоря о риске, мы предполагаем как минимум, что наших знаний достаточно, во-первых, для идентификации риск-факторов, а во-вторых, для их измерений (оценки).
Легко заметить, что риск можно уменьшить, создав избыточность по всем задействованным сущностям. Однако его нельзя сделать нулевым, даже если создать бесконечно большую избыточность. Дело в том, что нельзя сформулировать цель на бесконечно большом интервале времени – в силу изменчивости среды она теряет смысл. Кроме того, составляющая риска, обусловленная изменчивостью условий реализации целей, является неуправляемым фактором.
Как только мы создаем избыточность, уменьшающую риск, мы одновременно уменьшаем эффективность деятельности. Последнее обстоятельство важно для бизнеса – одной из основных разновидностей процесса целенаправленной деятельности. Проблема установления рационального баланса между эффективностью и безопасностью есть главная проблема бизнеса. Это информационная проблема. Ее решение потребует знаний.
Таким образом, первичным является вопрос о способности накапливать и обобщать знание и понижать тем самым степень неопределенности результатов деятельности. Накопление знаний – эволюционный многоаспектный процесс обобщения своего и чужого опыта в конкретных условиях деятельности. Последовательно развивая и усиливая свое знание, мы сначала научимся идентифицировать происходящие изменения в системе влияющих факторов; затем, сопоставляя их с наступившими последствиями, мы научимся их (факторы) оценивать; потом, пытаясь избежать негативных последствий, мы научимся правильно (адекватно) реагировать на изменения риск-факторов. И наконец, на основе анализа причинно-следственных связей и отношений между состояниями процесса целенаправленной деятельности и достигаемыми результатами идентифицировать новые факторы влияния.
В связи с этим для нас состоянием процесса целенаправленной деятельности будет состояние уже идентифицированных факторов риска. Иные состояния, находящиеся ниже «уровня видимости», не могут быть нами учтены. Для идентифицированных факторов часть состояний будет нами различаться, но пока в связи с невозможностью еще их оценивания будет временно игнорироваться и направляться для обобщения в процедуру накопления знаний.
Процесс целенаправленной деятельности может менять свое состояние, и смена состояния является событием. Это, однако, не рисковое событие, которое наступает, только когда все обуславливающие его риск-факторы принимают «неблагоприятные» значения и приводят к ущербу. Поэтому реально рисковому событию предшествует временной ряд простых событий, связанных с изменением значений риск-факторов. Эти события могут интерпретироваться как рисковые события, зависящие от изменившихся факторов, но не способные нанести ущерб. Часто их различают, называя рисковое событие, повлекшее ущерб, инцидентом.
Разные факторы обладают разной степенью изменчивости, есть быстро изменяющие состояние, есть медленно. В случае, когда группа медленно изменяющихся факторов установилась в неблагоприятное состояние, можно говорить о том, что в процессе целенаправленной деятельности сложилась рисковая ситуация. Выделение рисковых ситуаций практически существенно упрощает процедуры анализа и оценки рисков и принятие решений по ним. Примерами рисковых ситуаций могут быть ситуации, связанные с персоналом (невозможно быстро переобучить или заменить персонал на более компетентный); с операционной средой (невозможно одномоментно сменить большой объем компьютеров) и т. д.
Природа рисков такова, что одно и то же рисковое событие может порождать разные по видам и величине ущербы. Как это уже было указано, ущербы характеризуются неопределенностью и зависимостью от факторов, определяющих состояние процесса целенаправленной деятельности. Можно указать на практически полную аналогию величины возникающего ущерба с рисковыми событиями с точки зрения его возникновения, анализа и оценки. Однако ущерб рассматривается как условная сущность (при условии, что рисковое событие произошло), а влияние выделенных факторов величины ущерба рассматривается на практике с учетом естественной способности процесса противостоять рисковым событиям. Такое свойство процесса называется защищенностью или обратной ей сущностью уязвимостью (более распространено) процесса к рисковым событиям определенного вида.
Другой особенностью представления ущерба факторной моделью является то, что описывается потенциально возможный ущерб. Реальный ущерб определяется парой «потенциально возможный ущерб, уязвимость». Уязвимость, таким образом, может быть определена на практике по соотношению возможного ущерба и реального ущерба. При этом если потенциальный ущерб большой, а реальный маленький, то уязвимость мала, и, наоборот, если реальный ущерб близок к возможному, то уязвимость большая.
Риск-ориентированный подход к целенаправленной деятельности существенно трансформирует понятие «злоумышленник». Оно расширяется, поскольку наличие «злого умысла» уже не является основным признаком деятельности субъекта, приводящей к инциденту. Для организации важно и опасно, когда деятельность субъекта (ов) вне зависимости от его (их) намерений порождает (увеличивает) риск для ее целей. Это обстоятельство является основой для своевременной идентификации рисковых событий. Наличие умысла в действиях субъекта может быть установлено в дальнейшем в ходе расследований, и это является важным с точки зрения правильного (адекватного) реагирования на возникающую проблему.
Понятно, что речь идет только о субъекте, действующем в области внутренних (управляемых) факторов риска. Если субъект действует в стохастической области бизнеса (в области внешних неуправляемых факторов), то возникновение связанных с его деятельностью рисковых событий неизбежно, и контроль (оценка) деятельности такого субъекта возможен только по еe конечному результату.
Противодействовать возникновению рисковых событий – значит своевременно их идентифицировать и осуществлять компенсационные воздействия на риск-факторы, в том числе и на постоянной основе с помощью защитных мер. При этом основная задача – не допустить одновременного действия критического сочетания риск-факторов.
1.3.3. Обобщенная модель распределения ресурсов организации в условиях рисков
Основное содержание любого бизнеса – управление ресурсами в пространстве и времени для достижения цели. Не претендуя на построение общей модели бизнеса, которая могла быть использована для практических целей, таких как его улучшение, увеличение прибыли и т. п., рассмотрим некоторую сильно упрощенную (обобщенную) модель управления ресурсами организации, применимую для целей анализа влияния ИБ на бизнес, и, как следствие, лучшего понимания места и роли ИБ в организациях. Основными особенностями бизнеса являются:
а) привлекаемый (используемый) ресурс для достижения цели (производства продукта, предоставления услуги) приобретается в общем случае на заемные средства;
б) производимый продукт реализуется на рынке, и выручка, полученная в ходе реализации, есть источник покрытия всех издержек.
Будем считать, что бизнес осуществляется в виде двух операций: заем, инвестирование – и характеризуется временем реализации цели TЦ. Под целью понимается своевременный возврат заемных средств и получение прибыли в результате реализации продукта, произведенного за счет инвестирования заемных средств. При этом предполагается, что кроме заемных средств собственник (организация), осуществляющий бизнес, располагает собственными средствами в виде некоей совокупности активов, часть из которых ликвидная.
Заем характеризуется объемом
платой за заем ПZ, интервалом времени возврата TZ. Пусть Тогда заем есть пара <VZ, TZ>.Инвестиция характеризуется объемом
временем возврата инвестиций TИ, величиной возврата инвестиций Цель любого инвестирования – вернуть больше, т. е. выполнить соотношениеБудем считать бизнес сходимым, если возврат инвестиций осуществлен в большем объеме, чем заем и все остальные издержки, т. е. если
При этом время TЦ реализации цели не столь критично, как время TZ возврата заемных средств.Вследствие того, что только параметр TZ является фиксированным, а остальные параметры процесса подвержены рискам различной природы, может оказаться, что на момент возврата инвестиций V < 0. Возникающая коллизия может быть покрыта в конечном счете только из собственных средств организации, ее способность разрешать такие коллизии является рисковой категорией.
Рассмотрим последовательно некоторые виды возникающих рисков. По факторам, от которых они зависят, их можно разделить на две группы:
– неуправляемые риски, полностью определяемые внешними факторами – в первую очередь рыночные риски Rр;
– управляемые или частично управляемые риски, зависящие от внутренних и внешних факторов.
На управляемые риски организация может влиять, проводя соответствующие мероприятия, и влияние тем сильнее, чем больше доля внутренних факторов, от которых зависят риски. Для упрощения рассмотрения ограничимся пока тремя видами рисков этой группы: стратегическим Rстр, операционным Rоп и ликвидности Rл.
С учетом рыночного риска объем возврата инвестиций (реализации)
может оказаться как меньше, так и больше ожидаемого объема VР. В худшем случае – меньше. С учетом рыночного риска – убыток от реализации, привносимый рыночным риском. При отрицательном убытке получим, что Аналогичным образом рыночный риск влияет на время реализации, привнося дополнительное время TРр, которое может быть как положительным, так и отрицательным.Для покрытия издержек от реализовавшихся рисковых событий организация должна либо иметь страховой фонд (резерв капитала), либо уметь быстро реализовывать часть своих активов для получения недостающих средств. Собственно, страховой фонд (резерв капитала) – это тоже актив.
Страховой фонд может быть создан за счет заемных средств. При условии, что рисковые события реализовались, фактические инвестиции увеличатся на величину ущербов, полученных от реализовавшихся событий стратегического и операционного риска. Оценка риска до начала инвестиций позволяет спрогнозировать эти потери. Объем инвестиций с учетом возможных потерь будет включать
VИ = VZ + V Zстр+ VZоп, (1)
где VZстр, VZоп – резервы на предполагаемые потери, связанные со стратегическим и операционным рисками соответственно.
Действия по реализации части активов могут быть направлены на формирование фонда резервирования основного капитала организации, при этом важнейшими показателями являются свойство ликвидности этого резерва и объем резерва.
Связанный с реализацией части актива риск Rл называется риском ликвидности. На этот риск влияют три фактора: VЛ – объем ликвидных активов, CЛ – стоимость этих активов и TЛ – время их реализации. Из них VЛ по сути есть характеристика структуры (количества и характера) активов – внутренний (управляемый) фактор организации, а CЛ и TЛ – это внешние факторы, зависящие от величины рыночного риска.
Таким образом, существует система рисков, воздействующих на объемные (Vi), временные (Ti) параметры либо на оба типа параметров (Vi, Ti) одновременно. Связи рисков с параметрами иллюстрируются рис. 6.
Каждая организация идентифицирует свои риски достижения заявленных целей. Выявленная в результате идентификации рисков система рисков есть риск-ориентированная модель организации, определяющая условия достижимости ее целей деятельности.
Рис. 6. Обобщенная модель распределения ресурсов организации в условиях рисков
С точки зрения проблемы ИБ часть идентифицированных рисков, имеющая отображение на информационную сферу организации, образует базис, используемый далее для построения модели ИБ организации, отражающей причинно-следственные связи и отношения между рисками ИБ и рисками для целей деятельности организации. Сами идентифицированные риски для целей деятельности организации, образующие базис, будем называть базовыми.
1.3.4. Ущербы и негативные последствия
Ущерб – это сложная, многоаспектная сущность. На вид и величину ущерба, помимо материальных составляющих, влияют социальная, нравственная и культурная составляющие, степень зрелости гражданско-правового общества и государства, а также индивидуальные предпочтения отдельно взятого субъекта и то состояние, в котором он находится в данный момент времени. В интересующем нас смысле можно рассматривать два вида ущерба:
а) ущерб субъекта как категория системы гражданско-правовых отношений, связанных с какой-либо реализуемой деятельностью;
б) ущерб субъекта как категория права на реализацию какой-либо деятельности.
Ущерб в пункте а) определяется в контексте гражданского, административного, уголовного кодексов РФ, а также соответствующими процессуальными кодексами, регулирующими процедуры инициирования сбора свидетельств, расследования и рассмотрения в суде связанных с ущербами споров. Очевидно, что чем более развита и совершенна эта система, то тем более широко (полно) и тем более точно определяет она возможные виды ущербов и способов их оценивания.
Для нас важным является то обстоятельство, что мы рассматриваем только подмножество ущербов, наступивших в связи со злоупотреблением (фальсификацией) информационной сферы, и этот факт должен быть установлен и подтвержден. В связи с тем, что отношения «субъект, субъект» и «субъект, объект» есть информационные сущности, равно как и цели, которые мы стремимся достичь в процессе осуществляемых деятельностей, область влияния информационной сферы на субъектов, механизмы и степень этого влияния весьма обширны и многообразны.
Основной результат этого влияния – некачественно реализованная цель, снижающая ожидаемую выгоду от ее реализации. Это может иметь разное выражение (отображение). В бизнесе – уменьшение получаемого дохода как в прямом смысле, так и через увеличение различных издержек, прямых и косвенных потерь (объемных и стоимостных), задействованных в реализуемых деятельностях активов, удовлетворения различного рода претензий, связанных с неисполнением (некачественным исполнением) принятых обязательств, и т. д.
Принципиальным является то обстоятельство, что все не идентифицированные в терминах гражданско-правовой сферы негативные последствия для субъекта деятельности могут быть отнесены только на него самого (сам виноват). Кроме того, может оказаться, что регулируемые гражданско-правовой сферой негативные для субъекта последствия обеспечивают неадекватное реальному ущербу возмещение. Эта часть ущерба также относится на субъекта деятельности.
Таким образом, потенциальный объем ущербов, приходящихся на субъекта (доля в общем объеме негативных последствий), большой. Естественно, что он, предпринимая различные меры, стремится его уменьшить.
Любой субъект деятельности в процессе реализации своих целей может не только нанести ущерб сам себе, но и другим (или ему другие наносят ущерб), а также ущерб может быть нанесен государству. Такой ущерб обусловлен тем, что субъекты взаимодействуют не только между собой, но и с государством (в том или ином виде), а у государства есть не только права, но и обязанности. Государство может нести ущерб не только в сфере своих прямых обязанностей, но и в виде различных компенсаций субъектам, не сумевшим разрешить свои конфликты интересов (коллизии) в рамках гражданско-правовой сферы. Кроме того, государство может быть ответчиком в суде и проиграть по искам. Эта практика растет.
Минимизируя свои риски, государство совершенствует гражданско-правовую сферу, частично перенося тем самым свои риски на взаимодействующих субъектов. Кроме того, через уполномоченных органов-регуляторов государство вводит различные системы ограничений и отслеживает их исполнение субъектами деятельностей. Ограничения могут вводиться и непосредственно в виде законов. Можно выделить, хотя бы условно, два направления ограничений:
а) требования (ограничения) на качество производимого продукта (услуги);
б) ограничения на способ реализации деятельности (технологию).
Очевидно, что прежде всего государство стремится минимизировать риски в зоне своей прямой ответственности: общественная, экономическая и иные виды безопасности; безопасность жизнедеятельности и т. д. Однако, вводя, например, экологические ограничения на бизнес, государство может увеличить нагрузку на бизнес и уменьшить свою нагрузку.
Понятно, что ограничения, предъявляемые к качеству продукта, естественным образом отображаются в гражданско-правовую сферу, так как качество продукта есть один из предметов взаимодействия участвующих субъектов.
Другое дело – ограничения в способе реализации деятельности. В общем случае потребителю продукта или услуги все равно, каким образом он был произведен. Поэтому для бизнеса такого рода ограничения есть дополнительные издержки, увеличивающие затраты и понижающие эффективность деятельности. Понятно, что если в совокупности такого рода издержек будет много, то бизнес станет неэффективным (убыточным) и будет свернут. Особенно плохо, когда ограничения на деятельность выражаются в виде некоторой обязательной технологии. Тогда субъект, сумевший решить проблему лучше и дешевле, все равно будет нарушителем, и к нему будут применены соответствующие санкции.
В любом случае понятие ущерба и негативных последствий в рассматриваемой нами проблеме является фундаментальным и первичным. Если изначально понятие «ущерб» не формализовано как с точки зрения идентификации, так и оценки величины, то все дальнейшие рассуждения о его минимизации и избежании останутся умозрительными и вряд ли перейдут в практическую плоскость.
1.3.5. Риск-ориентированный подход к обеспечению ИБ
В общем случае риски определены на множествах факторов, влияющих на них. Эти множества могут пересекаться. Если от некоторого фактора зависят два или более рисков, то эти риски оказываются взаимозависимыми. Их значения будут коррелированны, поскольку изменение общего для них фактора приведет к одновременному изменению этих рисков. Эта ситуация иллюстрируется рис. 7, где в области факторов показаны пересекающиеся множества управляемых и неуправляемых факторов, от которых зависят разные виды рисков.
Особенностью риска ИБ является то, что он зависит от большого количества факторов, множество которых в общем случае пересекается с множествами факторов, от которых зависят практически все другие риски (см. рис. 7). Поэтому хотя риск ИБ непосредственно не влияет на Vi, Ti, но в силу взаимозависимостей с другими рисками оказывается с ними сильно коррелированным. Это свойство проявляется в дальнейшем в реализующихся в процессе деятельности организации рисковых событиях.
Из всех рисков риски ИБ наиболее сложные по своей природе, имею т самую большую неопределенность как по рисковым событиям, так и по наносимому ущербу. Факторные модели рисков ИБ поэтому имеют большую размерность и разнообразные причинно-следственные связи и отношения по сравнению с другими рисками.
Так, например, событие операционного риска «Отказ сервера», происшедшее вследствие влияния факторов физической природы, значительно более предсказуемо, чем отказ как следствие влияния человеческого фактора злонамеренной природы. Лежащий в основе такого события конфликт интересов описывается несопоставимо более сложной факторной моделью, чем факторная модель надежности сервера.
Рис. 7. Коммуникативность и взаимозависимость базовых рисков
Именно поэтому «типовой сценарий» значимого рискового события ИБ (повлекшего значительный ущерб) сводится, как правило, к тому, что реализуется пачка событий (временной ряд) с незначительным ущербом (часто вообще без ущерба); в результате влияния пачки создается и удерживается некоторое время рисковая ситуация и, как следствие, реализуется значимое рисковое событие.
Иными словами, особенностью рисковых событий и ситуаций ИБ является то, что они протяженные во времени и накапливающегося типа, т. е. любое событие в отдельности наносит очень (на практике пренебрежительно) малый ущерб, вследствие чего они игнорируются. При этом независимо от того, реагируем мы на эти мелкие, с небольшим ущербом инциденты или нет, если их происходит много, то накапливается некий «негативный потенциал», порождающий в конце концов крупный инцидент. Эта особенность может быть в некоторых случаях содержательно объяснена, например злоумышленник может порождать множество мелких инцидентов в процессе подготовки к атаке при исследовании атакуемой системы. Тогда инцидент с большим ущербом будет результатом успешно проведенной атаки.
Если абстрагироваться от каких-либо возможных причин, лежащих в основе накопления «негативных потенциалов», то в качестве гипотезы можно рассматривать принцип накопления «негативного потенциала»от пачки инцидентов. Этот принцип подтверждается реально существующей статистической структурой инцидентов. В приближенном виде эта статистика такова, что существует относительно большое количество мелких инцидентов, создающих незначительный ущерб, на некоторое количество таких мелких приходится один крупный инцидент, существенно превосходящий мелкие по масштабам, и есть особо крупные инциденты, возникающие реже крупных и также существенно превосходящие их по масштабам ущерба.
Статистическая структура инцидентов неизменна для каждой организации и слабо зависит от видов ее деятельности и целей деятельности. Параметры структуры могут быть установлены через историю (прошлое организации), если она зафиксирована. Предположительно число мелких инцидентов на два порядка больше крупных, а ущерб от одного крупного инцидента как минимум на порядок больше ущерба от всех мелких, приходящихся на него. Особо крупные инциденты возникают на три-пять крупных и превосходят их или сравнимы с ними по масштабам ущерба.
В конце пачки инцидентов риск скачкообразно изменяется до очень больших значений. Из принципа накопления также следует, что влияние событий ИБ на организацию зависит от ее состояния, от того, какие значения базовых рисков сложились к моменту возникновения событий ИБ. Одно и то же событие ИБ может дать различный эффект – от незначительного ущерба до катастрофического. Если говорить об общей характеристике рисковых событий ИБ, то это провоцирующие (создающие условия) события для базовых рисков организации.
Таким образом, рисковые события ИБ всегда «вложены» в базовые риски бизнеса (организации) и проявляются в виде ущерба, который организация идентифицирует как ущерб, связанный с базовым риском. Тот факт, что понесенный ущерб был инициирован проблемами информационной сферы, не всегда рассматривается, а реагирование на риск осуществляется методами, присущими базовыми рисками (экономическими, финансовыми, юридическими и др.). Часто это существенно менее эффективные и более затратные способы реагирования, чем информационные.
Очевидно, что для более осмысленного и качественного реагирования на базовые риски организации необходимо отобразить на них информационную сферу организации. Однако прямое отображение информационной сферы на базовые рисковые события либо крайне затруднительно, либо вообще невозможно. Причина этого разрыв как семантический, так и формальный, а также и временно й между содержанием и формой представления событий в информационной сфере организации и конечным продуктом (целью) ее деятельности.
Менеджмент организаций, как показывает практика, более склонен воспринимать возникающие издержки как последствия сложившихся разного рода ресурсных ограничений, но не информационных. Однако та же практика, только a posteriori, каждый раз показывает, что дело было вовсе не в ресурсных ограничениях, а сводилось к тому, насколько эффективно организация была способна добывать полезную для себя информацию, оценивать и систематизировать ее, анализировать, накапливать, обобщать, а также своевременно и рационально использовать в своей деятельности. Без эффективно действующей информационной составляющей даже изначально ресурсно избыточный бизнес погибнет.
Поэтому построение модели ИБ организации должно начинаться с исследования (анализа) идентифицированных в ней рисков целей деятельности (бизнеса). Целью этого анализа должно быть установление контекста идентифицированных рисков, т. е. определение условий, сущностей и механизмов реализации рисковых событий, вида и величины наносимого ущерба.
Установленный контекст позволит перейти к построению факторных моделей базовых рисков, т. е. к некоторой их формализации, приближающей их к сущностям информационной сферы. При этом факторы и обстоятельства, слабо связанные с процессами информационной сферы, могут сразу же отфильтровываться как незначимые.
Одновременно необходимо формализовывать и информационную сферу в контексте базовых рисков организации. Такое движение навстречу позволит преодолеть указанный выше разрыв. Наилучшей основой такой формализации является технологический аспект, т. е. отображение на нее ролей и субъектов, а также задействуемые ими активы и инструменты (информационной сферы).
Теперь можно установить контекст информационной сферы для идентифицированных риск-факторов, т. е. какие активы, процессы, инструменты, субъекты и роли отображаются на каждый из риск-факторов. Здесь же, если уже накоплено достаточно знаний, устанавливается, какие именно нарушения (регламентов, свойств либо состояния) являются признаками (либо предвестниками) наступления событий ИБ. Последующий мониторинг этих сущностей позволит идентифицировать часть событий ИБ.
Именно пятерка «активы, процессы, инструменты, субъекты, роли» (далее «А, П, И, С, Р») подвержена рискам ИБ, и происходящие с ними события ИБ будут приводить к изменению значений соответствующих риск– факторов и, как следствие, значений базовых рисков организации и ее совокупного риска.
Видно, что пятерка «А, П, И, С, Р» определяет содержательно и формально критическую часть информационной сферы организации, способную наносить ущербы и приводить к негативным последствиям для целей организации. Таким образом, у базовых рисковых событий всегда через их риск-факторы может быть идентифицирован их контекст в информационной сфере организации.
Понятно, что если пересечение контекстов событий Si и Sj не пустое, т. е.
о между Si и Sj возникает связь и можно говорить о связанной цепочке событий. Можно также говорить о силе этой связи, понимая под ней значение т. е. чем больше Аij, тем сильнее связь.Еще более сильной характеристикой связи является понесенный ущерб (негативные последствия) и его информационный контекст. В этом смысле можно говорить о событии «понесенный ущерб», связанном с обнаружением факта ущерба. Здесь важна величина ущерба V и по аналогии с событиями базового риска идентифицированная с ним пятерка «А, П, И, С, Р».
Рис. 8. Контекстная зависимость событий базовых рисков
То есть с точки зрения безопасности более важно не само рисковое событие, а наступившие последствия, их оценка (величина) и идентифицированный контекст, в нашем случае в терминах информационной сферы. Связи рисковых событий и понесенных ущербов иллюстрируются рис. 8. Связи событий могут быть неочевидны, особенно в случае понесенных ущербов и событий базовых рисков. В общем случае они устанавливаются в результате расследования. Понятно, что идентифицированная таким образом цепочка с сильными связями будет отображать цель и примененный способ ее реализации для нанесения ущерба.
Описанные выше процедуры установления контекста базовых рисков организации в ее информационной сфере и «связывания» их с событиями ИБ являются основой построения модели ИБ организации. Однако практическая их реализация требует более детального рассмотрения проблем идентификации событий ИБ, управления ИБ, систематизации, оценивания, анализа и обобщения получаемой информации о состоянии организации (бизнеса) и ее информационной сферы. Эти вопросы рассматриваются ниже.
1.3.6. Модель с изменением цели
Рассмотренная выше модель основывается на неизменности достигаемой цели. Однако одной из распространенных мер реагирования на риск является корректировка (деградация) изначально заявленной цели. В ситуации, когда инвестиционный процесс реализуется последовательно (часто это естественный процесс), можно определить прогнозные оценки конечного результата, т. е. величину V. При V 0 процесс следует считать нормальным и можно перейти к дальнейшему инвестированию.
В ситуации, когда на очередном шаге окажется, что Vi < 0, необходимо осуществить корректировку цели так, чтобы Vi (Ц – Цi) 0, где
– величина корректировки цели на шаге i. Ограничив возможности по корректировке цели так, что где – допустимая величина корректировки цели, получаем итерационный процесс реализации цели в контексте рассмотренной выше модели. Процесс завершается либо после завершения всех шагов инвестирования (i = п, п – количество шагов инвестирования), либо при достижении Тогда оставшиеся шаги (n – i) реализуются за один шаг инвестирования.Понятно, что возможности по изменению цели ограничены не только условной величиной , но и особенностями (свойствами) самой цели. Корректирующие возможности существенно обуживаются при увеличении объемов инвестирования: на первых шагах они больше, а к последнему шагу эти возможности очень ограничены.
Поэтому нужна некоторая стратегия, учитывающая это обстоятельство. Риски такой стратегии связаны с точностью прогноза величины
и возможностью точного ее покрытия корректировкой цели. Ошибки этих прогнозов накапливаются к последним инвестиционным этапам.1.3.7. Об идентификации событий ИБ
Задача идентификации событий ИБ состоит в выявлении событий ИБ среди полного множества различных событий организации. Трудности идентификации событий ИБ связаны с их косвенным влиянием на базовые риски организации (бизнеса), а также с тем, что отдельные (одиночные) события ИБ в силу их слабого влияния могут быть и вовсе не идентифицированы как события ИБ. Причина этого в том, что риски ИБ проявляются в наступлении событий иных (базовых) рисков. Так, например, отказ сервера (событие операционного риска) может иметь злоумышленную природу, и тогда это событие ИБ. Здесь видно, что почти всегда напрямую факторы рисков ИБ отображаются только на участвующего субъекта в виде факторов его совокупного объема знаний, мотивов, возможностей.
Под идентификацией рисковых событий ИБ будем понимать выявление среди общего потока событий в информационной сфере тех событий, которые прямо или косвенно (в сочетании с другими событиями) приводят к негативным последствиям для бизнеса.
Вследствие указанных выше обстоятельств идентифицировать напрямую рисковое событие как событие ИБ практически всегда невозможно. Исключением являются рисковые события, прямо связанные с работой средств защиты, например зафиксированные в регистрационных журналах попытки НСД. В остальных случаях это будут события базовых рисков, например операционного риска. Квалифицировать эти события как события ИБ (или инциденты ИБ) можно только по результатам расследования.
Тем более сложно оценить с точки зрения влияния на бизнес идентифицированное одиночное событие ИБ. Поэтому должна быть предложена система критериев как по идентификации, так и по оценке событий ИБ. Можно указать на ряд значимых факторов, обусловливающих возникновение событий ИБ:
а) неполная, недостоверная и несвоевременная внутренняя отчетность в организации и связанный с ней конфликт интересов: участвующие субъекты не заинтересованы в предоставлении отчетности, ухудшающей их статус в организации;
б) наличие стохастической составляющей (областей неформализованной деятельности), исключающей какие-либо формы контроля за деятельностью;
в) несовершенство ролей, ответственностей и организационных политик в организации и связанная с ними инсайдерская деятельность;
г) злоумышленная активность персонала;
д) противоборство организации за заимствуемые ресурсы c внешними субъектами;
е) организационное, функциональное и информационное несовершенство информационной сферы организации;
ж) слабости менеджмента в части накопления, обобщения, применения опыта для достижения целей организации;
з) неспрогнозированные изменения негативно влияющих факторов внешней среды, которые привели к увеличению базовых рисков.
Ситуация усугубляется тем, что значительная часть злоумышленников думает вовсе не о нанесении ущерба организации, а только о своей выгоде, и тем, что их деятельность может наносить ущерб третьим лицам, а не организации напрямую; может влиять негативно на какой-нибудь консолидированный показатель типа эффективности деятельности, наступление ущерба от которого солидарно распределяется между всеми участвующими субъектами, что крайне затрудняет идентификацию.
Совершенно понятно, что любой субъект, создающий для своей организации проблемы ИБ, будет препятствовать своей идентификации, создавая (или используя) различные неопределенности. Для этого у него есть целый ряд возможностей. Например, он может:
а) действовать в рамках чужих либо «ничьих» полномочий (ролей);
б) найти в рамках своих штатных полномочий различные непредусмотренные дополнительные возможности и их использовать;
в) исследовать структуру деятельности организации, обнаружить там условия возникновения коллизии (когда все действуют штатно, но возникает событие ИБ) и их инициировать в нужное ему время.
Самый простой и понятный способ идентификации событий ИБ основывается на предварительном анализе и фильтрации всех контролируемых в организации событий по принципу предопределенности в интерпретации события. Например, события, связанные с выявлением проникновения и тем более запуском вредоносного программного кода (вирусов). Очевидно, что иных целей, кроме злоумышленных, тут не может быть. То же можно сказать и о любых нарушениях в используемых технологиях на основе секрета (PIN-коды, пароли, криптографические ключи и т. д.). Нарушения в этой сфере могут содержать признаки злоумышленной активности. Можно указать также на процессы и технологии, связанные с отчуждением информации или получением прав доступа к ней, и на процедуры (процессы) контроля информации (особенно прикладными системами). Например, отбраковка первичного документа приложением «1С-Бухгалтерия» может указать на признаки злоумышленной активности при создании этого документа.
Сформированное таким образом подмножество типов данных дает весьма полезную для безопасности информацию. Однако:
а) это очень незначительная часть реально нужной информации;
б) могут быть проблемы с ее доступностью, достоверностью, полнотой и своевременностью.
Дело в том, что в большинстве случаев на практике непосредственное участие безопасности в этих проблемах ограничено созданием нормативной базы. Практическая реализация, а тем более контроль за деятельностью есть предмет соглашения заинтересованных субъектов. В каждой организации это реализуется по-разному, и безопасность лишь частично задействована.
Так, антивирусные средства почти всегда находятся во владении ИТ-подразделения; технологии с применением секрета могут быть замкнуты на бизнес-подразделения организации (в силу причин юридической ответственности исполнителя); контроль сосредоточен, как правило, в системе внутреннего контроля организации. Однако даже эта ограниченная информация уже может дать хороший результат, если обеспечить ее контекстное расширение и использовать накопительный анализ по всему контексту. Для этого для каждого зарегистрированного / задокументированного события необходимо идентифицировать все вовлеченные объекты (активы), процессы, инструменты, субъекты, роли. По всей полученной базе и нужно проводить анализ.
Как еще расширить полезную информацию, по каким критериям?
• На основе анализа расширить область предопределенности, выделив активы, процессы, инструменты, субъекты, роли, существенно влияющие на риск-факторы. Далее для выделенных элементов осуществить накопительный анализ по всем событиям базовых рисков на предмет выявления злоумышленной активности.
• По величине ущерба – если ущерб превысит предустановленный порог, то связанное с ним рисковое событие должно исследоваться на наличие злоумышленной активности.
• На основе анализа непрерывности по пространству и времени информационной сферы организации необходимо выделить точки потенциального разрыва типа: «реальное событие было, но не отобразилось в информационной сфере», «реального события не было, а в информационной сфере отображено» и им подобных. Тогда для любого компонента «А, П, И, С, Р», попавшего в разрыв, дополнив его контекстом, необходимо проводить накопительный анализ по безопасности.
Накопительный анализ основывается на обобщениях, позволяющих выделить состояния (события) – предвестники и события – признаки. Предвестники позволяют понизить риски путем своевременного реагирования. Не менее важна своевременная идентификация событий ИБ, так как наносимый ущерб, как правило, скачкообразно возрастает по завершении логически связанной цепочки событий.
Могут быть использованы статистические критерии на основе выявления неоднородностей. Так, например, пачка однотипных (или близких) событий на коротком интервале времени и позиционированных тем более на ограниченном множестве в пространстве «А, П, И, С, Р» обязательно будет иметь общую причину и, быть может, злонамеренную.
Существуют две области событий, обладающие максимальной (и примерно одинаковой) неопределенностью:
– стохастическая составляющая бизнеса или эквивалентная ей с точки зрения анализа слабо регламентированная или вовсе нерегламентированная область деятельности;
– штатная (разрешенная) деятельность.
В обоих случаях возможен только прямой контроль за целью деятельности. Он основывается на том обстоятельстве, что цель всегда отображается на множество «А, П, И, С, Р» и образует там некоторое отношение порядка. То есть один и тот же субъект в рамках одной и той же назначенной ему роли реализует каждый раз цель либо одним и тем же, либо близким способом.
Для штатной деятельности соответствующие атрибуты активов, процессов, инструментов, отображающие цель деятельности субъекта и роль, могут быть получены в результате анализа; для неформализованной деятельности – в результате наблюдения за деятельностью и сопоставления ее с полученным результатом. Так получают образец «хорошего». Образец может быть далее формализован (представлен в виде модели), атрибуты могут быть представлены статистически (в виде гистограмм) или, например, ранжировок, а затем агрегированы (консолидированы) в оценку. Эта оценка фактически есть числовое (может быть, и пространственное) выражение (отображение) цели деятельности.
Далее такая метрика может быть использована для фильтрации наблюдаемых событий на периодической основе либо в реальном времени. В последнем случае деятельность рассматривается как временной ряд событий, в котором с помощью модели можно прогнозировать реализацию тех или иных событий. По величине отклонений наблюдаемых событий от наиболее вероятных можно судить о «сдвиге» в цели деятельности. Здесь возможен накопительный анализ, т. е. пачка событий предустановленной длины превысила предустановленный порог.
Анализ на признаки злоумышленной активности проводится для всех пространственно-временных областей деятельности, давших при оценке превышение предустановленных значений цели деятельности. Таким образом, практически все рисковые события (базовых рисков) организации могут иметь злоумышленную природу (с точки зрения ИБ). Отсюда следует, что практически все из них должны исследоваться безопасностью. Однако ясно, что информативность событий существенно разная. Учитывая, что анализ в большинстве случаев накопительный, т. е. размерность задачи большая, становится важным осуществлять этот анализ как можно более целенаправленно. Для этого могут быть использованы два механизма:
– предварительного анализа, позволяющего выявить наиболее информативные с точки зрения ИБ пространственно-временные области деятельности;
– на основе накопления и обобщения реальных практик, т. е. на основе моделей Деминга – Шухарта.
1.3.8. Предварительный анализ
Как видно, влияние рисков ИБ на базовые риски организаций имеет сложный нелинейный характер. Через риски ИБ для базовых рисков происходит консолидация внутренних и внешних риск факторов, что затрудняет оперативный анализ, создает неопределенность. Риски ИБ, реализуясь, искажают (модифицируют) тем или иным способом информационную сферу. Она, в свою очередь, один из источников (среда) факторов базовых рисков, т. е. некоторая сущность, осуществляющая «перенос» рисков ИБ в базовые риски.
Понятно, что увеличение в силу разных причин числа инцидентов ИБ приведет к увеличению (возникновению) инцидентов базовых рисков, при том что основные влияющие на них риск-факторы не изменились. Возникшее несоответствие есть неопределенность. и классическое реагирование на риск в этом случае будет вынуждено базироваться на противодействии неуправляемым и неизмеряемым внешним факторам, что почти невозможно. Именно поэтому и нужно исследовать, как это указано в задачах идентификации, возможное наличие составляющей безопасности.
По сути, предварительный анализ есть обратная задача идентификации, т. е. мы пытаемся ответить на вопрос о том, какие связи между реализовавшимися событиями ИБ и базовыми рисками и каков их характер. На этой основе априори выделяются критические пространственно-временные области деятельности. Эта неопределенность требует, часто тщательных и трудоемких, расследований, поэтому реальные инциденты ИБ (реализовавшиеся рисковые события) могут быть не закрыты длительное время. Поэтому чрезвычайно важно иметь «заготовки» – предварительно исследованные фрагменты причинно-следственных связей и отношений между вовлекаемыми субъектами и объектами анализа.
Важно также, с какой степенью подробности и достоверности документируются внутренние процессы информационной сферы. Предварительный анализ основывается на тех соображениях, что:
а) рисковое событие есть сочетание активизированных риск-факторов в одной и той же точке, в одно и то же время;
б) наносимый ущерб или наступающее негативное последствие также есть сочетание факторов, определяющих состояние информационной сферы (или бизнеса) и момент времени, когда рисковое событие наиболее опасно. Обычно это бывает на завершающей стадии реализации цели, особенно в случаях, когда произведенные инвестиции будут безвозвратно утрачены.
В этом смысле все возникающие пространственно-временные соотношения и есть предмет анализа. Очевидно, что если поставить риск-факторы в зависимость так, что при активизации одного фактора другой, наоборот, нормализуется, то рискового события не произойдет. Это верно для случая, когда все риск-факторы управляемые, а нормализация приводит к нулевому значению оценки фактора. Если сущности а) и б) сдвинуты во времени так, что при максимальном значении а) наблюдается минимальное значение б), то наступающее рисковое событие не нанесет значимого ущерба.