МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
Кафедра захисту інформації
МАГІСТЕРСЬКА
КВАЛІФІКАЦІЙНА РОБОТА
НА ТЕМУ:
“АНАЛІЗ ТА ОЦІНКА РИЗИКУ
ДЛЯ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ”
Студент групи ЗІДм-22 Підкова Володимир Васильович
Дипломник
/
В. В. Підкова
/
Керівник роботи
/
І. А. Прокопишин
/
Консультанти:
/
О. І. Гарасимчук
/
/
В. С. Зачепило
/
Завідувач кафедри В. Дудикевич
“ ” грудня 2011 р.
Львів – 2011
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ "ЛЬВІВСЬКА ПОЛІТЕХНІКА"
Інститут комп’ютерних технологій, автоматики і метрології .
Кафедра захисту інформації .
Спеціальність 8.160102 – "Захист інформації з обмеженим доступом та автоматизація її обробки".
" З А Т В Е Р Д Ж У Ю "
Завідувач кафедри ЗІ
_________ В. Дудикевич
" " 2011 р.
ЗАВДАННЯ
НА МАГІСТЕРСЬКУ КВАЛІФІКАЦІЙНУ РОБОТУ СТУДЕНТОВІ
Підкові Володимиру Васильовичу
1.Тема роботи "Аналіз та оцінка ризику для систем захисту інформації" затверджена наказом по інституту від 28 жовтня 2011 р. № 3284-4-08..
2.Термін здачі студентом закінченої роботи 5 грудня 2011 р.
3.Вихідні дані до роботи: Оцінка ризику у системах захисту інформації. Використання бінарної ймовірнісної моделі для опису випадкових втрат. Показник ризику VAR. Використання величини чистої теперішньої вартості (NPV) для оцінки економічної ефективності систем захисту інформації.
4.Зміст розрахунково-пояснювальної записки: Вступ – актуальність теми магістерської кваліфікаційної роботи. Основна частина – принципи оцінки ризику для систем захисту інформації на прикладі банківської корпоративної мережі. Вартісна міра ризику VAR і показники фінансової ефективності інвестицій у системи захисту інформації. Програмна реалізація розрахунку величини ризику VAR і показника чистої теперішньої вартості NPV. Висновки. Список літератури.
5.Перелік графічного матеріалу: Графічний матеріал до дипломної роботи повинен містити 8-10 слайдів презентації (роздрук слайдів подати у додатку пояснювальної записки в форматі А4) і бути достатнім для висвітлення основних аспектів роботи.
6. Консультанти з роботи
Розділ
Консультанти
Завдання
видав
Завдання прийняв
Зачепило В.С.
Гарасимчук О.І.
7. Дата видачі завдання : 5 вересня 2011 р.
Керівник _________ І. Прокопишин
Завдання прийняв до виконання _________ В. Підкова
КАЛЕНДАРНИЙ ПЛАН
№
Назва етапів
Магістерської кваліфікаційної роботи
Термін
виконання
Примітка
1
Пошук науково-технічної літератури. Складання плану дипломної роботи.
26.09.2011
виконано
2
Написання теоретичної частини магістерської кваліфікаційної роботи.
17.10.2011
виконано
3
Розробка програми
07.11.2011
виконано
4
Відлагодження програми
14.11.2011
виконано
5
Аналіз отриманих результатів та опис програми.
21.11.2011
виконано
6
Написання та оформлення пояснювальної записки. Підготовка презентації.
28.11.2011
виконано
7
Подання завершеної дипломної роботи на кафедру.
05.12.2011
виконано
Студент дипломник _________ В. Підкова
Керівник роботи _________ І. Прокопишин
Зміст
СПИСОК СКОРОЧЕНЬ 6
АНОТАЦІЯ 7
ANNOTATION 8
ВСТУП 9
1. АНАЛІЗ РИЗИКІВ В ОБЛАСТІ ЗАХИСТУ ІНФОРМАЦІЇ. 12
1.1 Основні принципи захисту інформації 12
1.2 Організація режиму ІБ на прикладі моделі Symantec LifeCycle Security 15
1.3 Підходи до управління ризиками 21
1.4 Структура й функції інтегрованої банківської інформаційної системи 25
1.5 Безпека електронних банківських систем 39
2. ВАРТІСНІ МІРИ РИЗИКУ 47
2.1 Економічний ризик та його оцінка 47
2.2 Вартість ризику Value at Risk 48
2.3 Методи розрахунку VaR 52
2.4 Міра ризику CVaR 55
3. ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ 60
3.1 Показники фінансової ефективності інвестицій 60
3.2 Порівняльний аналіз використання моделей ЧТВ, ІД та ВСД 62
3.3 Модифіковані показники ефективності інвестицій 63
3.4 Вартість ризику втрати інформації для систем захисту інформації 64
3.5 Ефективність системи захисту інформації 66
4. МОДЕЛЮВАННЯ ТА ОЦІНКА РИЗИКУ ДЛЯ СИСТЕМ ЗАХИСТУ БАНКІВСЬКОЇ МЕРЕЖІ 68
4.1 Захист корпоративної інформаційної мережі 68
4.2 Практичний аналіз 71
ВИСНОВКИ 75
ЛІТЕРАТУРА 76
ДОДАТКИ 79
Список скорочень
АБС – автоматизована банківська система;
АРМ – автоматизоване робоче місце;
АСОД – автоматизована система обробки даних;
АСОІ – автоматизована система обробки інформації;
БД – база даних;
ВСД – внутрішня ставка дохідності;
ЗОТ – засіб обчислювальної техніки;
ІД – індекс дохідності;
ІБ – інформаційна безпека;
НДІ – нормативно-довідкова інформація;
ОДБ – операційний день банку;
ОФПЗ – оптимальний функціональний профіль захисту;
СЕП – система електронних платежів;
СЗІ – система захисту інформації;
ЧТВ – чиста теперішня вартість;
NPV - Net Present Value ;
VAR - Value at Risk
Анотація
В роботі розглядається проблема оцінки ризику для систем захисту інформації.
Розглянута бінарна ймовірнісна модель для опису випадкових витрат, зумовлених можливими загрозами. На її основі виведена формула для розрахунку вартісної міри ризику Value at Risk.
Для загальної оцінки ефективності інвестицій в систему захисту використано сумарну теперішню вартість витрат та випадкових витрат, зумовлених реалізацією загроз.
Розрахунки проведено на прикладі банківської корпоративної мережі.
Annotation
This paper considers the problem of risk assessment for information security systems.
A binary probabilistic model is considered to describe the random expenses arising out possible threats. On the basis of its was created the formula for calculating valuable value of risk Value at Risk.
For a general evaluation of the effectiveness of investments in the protection system used the total present value costs and incidental expenses arising out of implementation of the threats.
Calculations carried out by the example of bank corporate network.
Вступ
Перед побудовою або модернізацією комплексної системи захисту інформації, як сукупності програмних, апаратних, організаційних, технічних та правових мір, важливо оцінити можливий матеріальний збиток (у тому числі в грошовому еквіваленті або відносних одиницях) і можливість реалізації загроз безпеці інформації.
В роботі розглядається проблема оцінки економічної ефективності системи захисту інформації з врахуванням ризику втрат інформації.
Робота складається з чотирьох розділів.
В першому розділі розглянуто основні принципи організації режиму інформаційної безпеки, що включають загальні положення про оцінку ризиків та управління ними. Також цей розділ містить опис банківських інформаційних систем, для яких обґрунтування економічної ефективності системи захисту інформації є дуже важливим.
В другому розділі розглянуто проблему оцінки інвестиційних проектів. Описані такі основні показники ефективності інвестицій як чиста теперішня вартість NPV (Net Present Value), індекс дохідності та ін.
У третьому розділі описана вартісна міра ризику VAR (Value at Risk). Викладено методи визначення величини VAR для випадку коли задано емпіричну функцію розподілу витрат.
У четвертому розділі досліджується ефективність інвестицій в систему захисту корпоративної банківської мережі. Розглянуто модель оцінки ризику втрати інформації на основі бінарної ймовірнісної моделі. За базовий прийнято показник чистої теперішньої вартості NPV. Цей показник враховує капітальні та поточні витрати на систему захисту інформації, а також можливі витрати зумовлені загрозами. Для проведення практичного аналізу ефективності системи захисту використовується спеціально розроблена програма. Розрахунки проведено на основі бінарної моделі. Знайдено та .
Підхід до управління ризиками безпеки здатний допомогти організаціям будь-якого розміру у вирішенні проблем, що виникають в процесі забезпечення інформаційної безпеки відповідності регулятивним нормам. Процес управління ризиками безпеки дозволяє організаціям добитися поєднання максимальної економічної ефективності з відомим та прийнятним рівнем бізнес-ризику та надає користувачам зрозумілий метод організації та пріоритезації обмежених ресурсів для реалізації управління ризиками. Реалізація управління ризиками безпеки дозволяє організаціям впровадити економічно ефективний контроль, що знижує ризик до прийнятного рівня з метою мінімізації матеріальних втрат в результаті несанкціонованих дій. Визначення допустимого ризику та підхід до управління ризиками залежать від конкретної організації, оскільки не існує універсального рішення, а різні організації використовують різні моделі управління ризиками. Кожна модель пропонує власне поєднання точності, ресурсів, часу, складності та суб'єктивності. Крім того, ефективна програма управління ризиками допоможе компанії забезпечити дотримання чинних законодавчих вимог.
Проведення аналізу інформаційних ризиків здійснюється на основі результатів комплексного обстеження (аудиту) інформаційної безпеки. У якості бази використовуються відомі методики та стандарти, а також із застосуванням спеціалізованого інструментарію.
Процес управління ризиками безпеки є комбінованим підходом, що об'єднує елементи кількісного та якісного методів аналізу. Об'єднуючи простоту якісного методу та детальність кількісного, керівництво пропонує унікальний процес управління ризиками безпеки, що поєднує ефективність та зручність використання та покликаний забезпечити розуміння кожного кроку оцінки всіма зацікавленими особами. Якісний підхід значно простіший, ніж традиційне кількісне управління ризиками; він зменшує протидію на етапах аналізу ризику та підтримки ухвалення рішень, дозволяє швидше знайти задовільне рішення та легко забезпечувати підтримку впродовж всього процесу.
Метою даної роботи є визначення актуальності питання управління ризиками безпеки інформаційного об’єкту та визначення основних етапів.
Оцінка ризиків організації є основним джерелом визначення вимог до інформаційної безпеки. Через оцінки ризиків ідентифікуються загрози активам, оцінюється їхня уразливість й імовірність виникнення загроз, а також можливий руйнівний вплив при реалізації несанкціонованих дій.
1. Аналіз ризиків в області захисту інформації.
Спробуємо запитати будь-якого представника вітчизняного бізнесу, чи готовий він витратити, скажімо, сто тисяч доларів на закупівлю, наприклад, п'яти міжмережевих екранів і ста ліцензій на антивірусне програмне забезпечення. А потім поставимо те ж саме питання по-іншому: чи готовий він витратити сто тисяч доларів на захист інформації про самого себе та на захист сервісу, на якому ґрунтується управління компанією? Швидше за все, відповідь в першому випадку буде таким: або традиційне для України «Грошей немає», або, як в Одесі, питанням на питання: «А навіщо?». У другому випадку варіантів відповідей більше: «У які терміни впораємося? А де ви були раніше? ». І навіть: «А чому так мало? Хіба мій бізнес так мало коштує? ».
Крім того, очевидно, тут підійде інше цікаве питання: «А чому саме сто тисяч, а не п'ятдесят чи, скажімо, чотириста сімдесят п'ять?». І в такому випадку спеціалісту по забезпеченню інформаційної безпеки просто необхідно надати зрозумілу для бізнесу відповідь, аргументовану відповідними економічними викладками. Тобто по суті запропонувати обґрунтування вартості системи ІБ.
Основні принципи захисту інформації
В даний час склалася загальноприйнята міжнародна практика (best practice) забезпечення режиму інформаційної безпеки, яку застосовують як Україні, так і в інших країнах. Тут і далі під інформаційною безпекою (ІБ) розуміється захищеність інформації та допоміжної інфраструктури від випадкових і навмисних впливів природного або штучного характеру, що призводять до нанесення шкоди власникам і користувачам інформації.
При забезпеченні режиму ІБ досить важливе місце відводиться завданням аналізу інформаційних ризиків компанії і управління ними. Розглянемо детальніше дії по забезпеченню режиму ІБ і покажемо роль і місце задач аналізу та управління ризиками.
Незалежно від розмірів організації і специфіки її інформаційної системи дії по забезпеченню режиму ІБ зазвичай складаються з наступних етапів:
Вироблення політики безпеки;
Визначення сфери (меж) системи управління інформаційною безпекою та конкретизація цілей її створення;
Оцінка ризиків;
Вибір контрзаходів, які забезпечують режим ІБ;
Управління ризиками;
Аудит системи управління ІБ.
Нижче представлений розгорнутий коментар для кожного з перерахованих етапів.
Як правило, визначення політики безпеки зводиться до низки практичних етапів.
Етап 1. Вибір національних і міжнародних керівних документів і стандартів в галузі ІБ і формулювання на їх базі основних вимог та положень політики ІБ компанії, включаючи:
- Управління доступом до засобів обчислювальної техніки (ЗОТ), програм і даних, а також антивірусний захист;
- Питання резервного копіювання;
- Проведення ремонтних та відновлювальних робіт;
- Інформування про інциденти в області ІБ.
Етап 2. Вироблення підходів до управління інформаційними ризиками і прийняття рішення про вибір рівня захищеності КІС. Рівень захищеності відповідно до зарубіжних стандартів може бути мінімальним (базовим) або підвищеним. Цим рівням захищеності відповідає мінімальний (базовий) або повний варіант аналізу інформаційних ризиків.
Етап 3. Структуризація контрзаходів із захисту інформації за такими основними рівнями: адміністративним, процедурним, програмно-технічним.
Етап 4. Встановлення порядку сертифікації та акредитації КІС на відповідність стандартам у сфері ІБ. Призначення періодичності проведення нарад за тематикою ІБ на рівні керівництва, в тому числі періодичного перегляду положень політики ІБ, а також порядку навчання всіх категорій користувачів інформаційної системи в області ІБ.
Відомо, що вироблення політики безпеки організації - найменш формалізований етап. Однак останнім часом саме тут зосереджені зусилля багатьох спеціалістів із захисту інформації. В результаті цей етап вдається формалізувати все більшою мірою.
- Мінімальні (базові) вимоги в області ІБ.
Наступний етап - визначення сфери (меж) системи управління інформаційною безпекою та конкретизація цілей її створення.
На цьому етапі визначаються межі системи, для якої повинен бути забезпечений режим ІБ. Відповідно, система управління ІБ будується саме в цих межах. Сам опис меж системи рекомендується виконувати за таким планом:
- Структура організації. Подання існуючої структури і змін, які передбачається внести у зв'язку з розробкою (модернізацією) автоматизованої системи;
- Ресурси інформаційної системи, що підлягають захисту. Доцільно розглянути ресурси автоматизованої системи наступних класів: засоби обчислювальної техніки, дані, системне і прикладне ПЗ. Всі ресурси представляють цінність з точки зору організації. Для їх оцінки повинна бути обрана система критеріїв і методика отримання результатів за цими критеріями;
- Технологія обробки інформації та оцінки потреб. Для вирішуваних завдань слід побудувати моделі обробки інформації в термінах ресурсів;
- Розміщення коштів ЗОТ і підтримуючої інфраструктури.
Як правило, на цьому етапі складається документ, в якому фіксуються межі інформаційної системи, перераховуються інформаційні ресурси компанії, що підлягають захисту, наводяться система критеріїв і методики для оцінки цінності інформаційних активів компанії.
На етапі постановки задачі оцінки ризиків обґрунтовуються вимоги до методики оцінки інформаційних ризиків компанії.
В даний час існують різні підходи до оцінки ризиків. Вибір підходу залежить від рівня вимог, що пред’являються в організації до режиму інформаційної безпеки, характеру приймаються до уваги загроз (спектру впливу загроз) та ефективності потенційних контрзаходів із захисту інформації. Зокрема, розрізняють мінімальні, або базові, і підвищені, або повні, вимоги до режиму ІБ.
Мінімальним вимогам до режиму ІБ відповідає базовий рівень ІБ. Такі вимоги застосовуються, як правило, до типових проектних рішень. Існує ряд стандартів і специфікацій, в яких наводиться мінімальний (типової) набір найбільш ймовірних загроз, таких як віруси, збої устаткування, несанкціонований доступ і т.д. Для нейтралізації цих загроз обов'язково повинні бути прийняті контрзаходи - незалежно від імовірності їх здійснення та вразливості ресурсів. Таким чином, огляд загроз на базовому рівні розглядати необов'язково.
У випадках, коли порушення режиму ІБ ведуть до тяжких наслідків, базового рівня вимог до режиму ІБ недостатньо і пред'являються додатково підвищені вимоги. Для формулювання додаткових підвищених вимог необхідно:
- Визначити цінність ресурсів;
- До стандартного набору додати список загроз, актуальних для досліджуваної інформаційної системи;
- Розрахувати ймовірності загроз;
- Виявити уразливості ресурсів;
- Оцінити потенційний збиток від дій зловмисників.
Незважаючи на істотну різницю в методології забезпечення базового і підвищеного рівнів безпеки, можна говорити про єдиний підхід до організації режиму ІБ.
Організація режиму ІБ на прикладі моделі Symantec LifeCycle Security
Як приклад можливої організації режиму ІБ розглянемо модель Lifecycle Security, розроблену компанією Axent (після придбання Axent компанією Symantec модель отримала назву Symantec Lifecycle Security). Модель Lifecycle Security регламентує та описує етапи побудови корпоративної системи захисту інформації та організації режиму ІБ компанії в цілому. Виконання представленого в ній набору процедур дозволяє системно вирішувати завдання, пов'язані із захистом інформації, і дає можливість оцінити ефект від витрат на технічні та організаційні засоби та заходи захисту інформації. З цієї точки зору ідеологія Lifecycle Security може бути протиставлена тактиці «точкових рішень», що полягає в тому, що всі зусилля зосереджуються на впровадженні окремих приватних рішень (наприклад, міжмережевих екранів або систем аутентифікації користувачів на основі смарт-карт або e-Token). Без попереднього аналізу і планування подібна тактика нерідко призводить до появи в корпоративній інформаційній системі набору розрізнених засобів захисту інформації, які несумісні між собою і не інтегруються один з одним, що не дозволяє ефективно вирішити проблему забезпечення інформаційної безпеки підприємства.
Модель Lifecycle Security складається з семи основних етапів:
Політика безпеки, стандарти, процедури і метрики. На цьому етапі визначаються межі та рамки, в яких здійснюються заходи щодо забезпечення інформаційної безпеки, і задаються критерії для оцінювання отриманих результатів. Зазначимо, що під стандартами тут розуміються не тільки державні та міжнародні стандарти у сфері інформаційної безпеки, але і корпоративні стандарти, в ряді випадків істотно впливають на проект створюваної корпоративної системи захисту інформації. Рекомендоване введення метрики дозволяє оцінити стан системи до початку, а також після проведення робіт із захисту інформації. Крім того, метрика встановлює одиниці виміру та порядок вимірювання захищеності КІС, що дає можливість співвіднести витрати підприємства на ІБ і отриманий ефект від впровадженої корпоративної системи захисту інформації.
Аналіз ризиків. Цей етап є свого роду відправною точкою для встановлення і підтримки ефективного управління системою захисту. За даними аналізу ризиків вдається докладно описати склад і структуру інформаційної системи (якщо з якихось причин це не було зроблено раніше), ранжувати наявні ресурси за пріоритетами, базуючись на ступені їхньої важливості для нормальної роботи підприємства, виявити загрози та ідентифікувати уразливості системи.
Стратегічний план побудови системи захисту. Результати аналізу ризиків використовуються як основа для розробки стратегічного плану побудови системи захисту. Наявність подібного плану допомагає розподілити за пріоритетами бюджети і ресурси, а в подальшому вибрати засоби захисту інформації та розробити стратегію і тактику їх впровадження.
Вибір і впровадження рішень. Чіткі критерії прийняття рішень у сфері захисту інформації та наявність програми впровадження зменшують ймовірність придбання засобів захисту інформації, які стають «мертвим вантажем», що заважає розвитку інформаційної системи підприємства. На даному етапі слід також враховувати якість надаваних постачальниками сервісних та навчальних послуг. Крім того, необхідно чітко визначити роль впроваджуваного рішення у виконанні розроблених планів та досягненні поставлених цілей у сфері захисту інформації.
Навчання персоналу. Знання в області інформаційної безпеки і технічні тренінги потрібні для побудови та обслуговування безпечної обчислювального середовища компанії. Зусилля, витрачені на навчання персоналу, окупаються значним підвищенням шансів на успіх заходів щодо захисту КІС.
Моніторинг захисту. Даний етап допомагає виявити аномалії чи вторгнення в корпоративну інформаційну систему, а також дозволяє оперативно контролювати ефективність системи захисту інформації.
Розробка методів реагування у разі інцидентів та відновлення. Без наявності заздалегідь розроблених і «відрепетирувані» процедур реагування на інциденти в сфері безпеки неможливо гарантувати, що у разі виявлення атаки дій зловмисника будуть протиставлені ефективні заходи захисту та працездатність системи вдасться швидко відновити.
Важливо, що в моделі Lifecycle Security всі вищевказані етапи взаємопов'язані між собою і передбачається безперервність процесу вдосконалення корпоративної системи захисту інформації. При цьому етапу аналізу інформаційних ризиків у даній моделі відводиться досить важлива роль. Аналіз ризиків рекомендується проводити у випадках:
- Поновлення інформаційної системи або істотних змін в її структурі;
- Переходу на нові інформаційні технології побудови КІС;
- Організації нових підключень у компанії (наприклад, підключення локальної мережі філії до мережі головного офісу);
- Підключення до глобальних мереж (в першу чергу до Internet);
- Змін у стратегії і тактиці ведення бізнесу (наприклад, при відкритті електронного магазину);
- Перевірки ефективності корпоративної системи захисту інформації.
Ключовими моментами аналізу інформаційних ризиків КІС є:
- Детальне документування та картування системи, причому особливу увагу необхідно приділяти критично важливим для бізнесу додатків;
- Визначення ступеня залежності організації від штатного функціонування і структурних елементів системи, безпеки збережених і оброблюваних даних;
- Виявлення та облік вразливих місць;
- Виявлення та облік потенційних загроз;
- Оцінка та облік інформаційних ризиків;
- Оцінка потенційного збитку власникам інформації та КІС в цілому.
Зазначимо, що метрика і міра захищеності КІС визначають процедуру аналізу ризиків. З іншого боку, результати аналізу інформаційних ризиків надають необхідні початкові умови для розробки або вдосконалення існуючої корпоративної системи захисту інформації.
Підходи до управління ризиками
Управління інформаційними ризиками - процес виявлення, аналізу та зменшення ризиків інформаційної безпеки, які можуть принести або приносять шкоду інформаційній системі. Завдання управління ризиками включає в себе створення набору заходів (засобів контролю), які дозволяють знизити рівень ризиків до допустимої величини.
Переваги використання системи управління ризиками: проведення ідентифікації інформаційних активів та їх цінності; ідентифікація загроз і вразливостей інформаційної безпеки; оцінка і аналіз ризиків; планування засобів і методів мінімізації інформаційних ризиків згідно міжнародних стандартів серії ISO; впровадження засобів контролю та моніторинг; аудит та контроль інформаційних ризиків. Оцінці ризиків передує набір підготовчих заходів, що включають в себе узгодження графіка семінарів, призначення ролей, планування, координація дій учасників проектної групи. Під час виконання оцінки ризиків здійснюється розробка профілів загроз, які включають в себе інвентаризацію і оцінку цінності активів, ідентифікацію відповідних вимог законодавства та нормативної бази, ідентифікацію загроз та оцінку їх ймовірності, а також визначення системи організаційних заходів з підтримки режиму інформаційної безпеки. Також детально проводиться технічний аналіз вразливостей інформаційних систем організації щодо загроз, чиї профілі були розроблені на попередньому етапі, який включає в себе ідентифікацію наявних вразливостей інформаційних систем організації та оцінку їх величини. Також процес управляння ризику проводить оцінку та обробку ризиків інформаційної безпеки, що включає в себе визначення величини та ймовірності заподіяння шкоди в результаті здійснення загроз безпеки з використанням вразливостей, які були ідентифіковані на попередніх етапах, визначення стратегії захисту, а також вибір варіантів і прийняття рішень по обробці ризиків. Величина ризику визначається як усереднена величина річних втрат організації в результаті реалізації загроз безпеці. Процес управління ризиками безпеки включає чотири етапи:
- Оцінка ризику. Виявлення та пріоритезация ризиків для бізнесу.
- Підтримка ухвалення рішень. Пошук та оцінка рішень для контролю на основі визначених раніше правил аналізу витрат.
- Реалізація контролю. Розгортання та використання рішень для контролю, що знижують ризик для організації.
- Оцінка ефективності програми. Аналіз ефективності процесу управління ризиками та перевірка того, чи забезпечують елементи контролю належний рівень безпеки.
Першим етапом є оцінка ризику, що поєднує можливості якісного та кількісного підходу. При цьому якісний підхід використовується для швидкого впорядковування переліку всіх ризиків безпеки, а кількісний підхід дозволяє надалі виконати глибший аналіз найбільш істотних ризиків, виявлених на цьому етапі. Це дає можливість сформувати відносно невеликий перелік основних ризиків, що вимагають глибокого вивчення. Аналіз ризиків може бути виконаний з різним ступенем деталізації в залежності від критичності ресурсів інформаційного об’єкту, відомих вразливостей і попередніх інцидентів інформаційної безпеки.
На наступному етапі (етапі підтримки ухвалення рішень) пропонуються та оцінюються рішення для контролю. Надалі кращі рішення представляються організаційному комітету з забезпечення безпеки як рекомендації по зниженню ризику. Третій етап називається етапом реалізації контролю. На цьому етапі особи, відповідальні за нейтралізацію ризику, здійснюють фактичне розгортання вибраних рішень для контролю. Четвертий етап, етап оцінки ефективності програми, дозволяє перевіряти, чи забезпечують елементи контролю належний рівень безпеки, та відстежувати зміни в середовищі (наприклад, додавання нових застосувань та поява нових загроз), які здатні змінити профіль ризику організації. Процес управління ризиками безпеки – безперервний процес, цей цикл повторюється при кожній новій оцінці ризику. Частота повторення даного циклу залежить від організації. Багато фахівців вважають, що якщо в організації постійно виконується активний моніторинг нових вразливостей, загроз та активів, даний цикл досить повторювати раз на рік.
Об'єднуючи інформацію, отриману на попередніх етапах зібраних даних, група управління ризиками безпеки завершує процес тематичного збору даних етапу оцінки ризиків та визначає пріоритезацію ризику. В процесі пріоритезації ризиків група управління ризиками безпеки повинна оцінити вірогідність кожної події та провести ранжирування ризику по величині і характеру впливу на об’єкт, вказаної у формулюванні впливу, а потім об'єднати формулювання впливів з набутих значень. Це дозволяє отримати повний перелік ранжируваних по пріоритетах ризиків та завершити етап оцінки ризиків. При аналізі ризиків може виявитися, що деякі ризики залежать від виникнення інших ризиків. В процесі тематичного збору даних група управління ризиками безпеки починає сортувати великі об'єми інформації, зібраної для пріоритезації ризиків. Процес пріоритезації є суб'єктивним за своєю природою, оскільки фактично вимагає прогнозування майбутніх подій. Оскільки результати оцінки ризиків впливають на подальше виділення засобів на потреби забезпечення інформаційної безпеки, формування прозорого процесу з чітко певними ролями та обов'язками є найважливішою умовою затвердження отриманих результатів та схвалення заходів щодо зниження ризиків. Процес управління ризиками безпеки, надає рекомендації по виявленню та пріоритезації ризиків на основі несуперечливого та повторюваного підходу і правильної, чіткої, коректної побудови політики безпеки. Відкритий та повторюваний підхід допомагає групі управління ризиками швидко знайти що задовольняє всіх рішення, зменшивши потенційні затримки, що викликаються суб'єктивним характером процесу пріоритезації ризиків.
Процес управління ризику дозволяє отримати необхідну інформацію про структуру, властивості інформаційного об'єкту і наявні ризики та вибрати механізми по мінімізації ризиків. Цей підхід є основою для побудови ефективної та коректної системи захисту.
На етапі управління ризиками розробляється деяка стратегія управління ризиками. Наприклад, тут можливі такі підходи до управління інформаційними ризиками компанії:
- Зменшення ризику;
- Ухилення від ризику;
- Зміна характеру ризику;
- Прийняття ризику.
Розглянемо зазначені підходи детальніше.
Зменшення ризиків. Багато ризиків вдається значно зменшити за рахунок досить простих і дешевих контрзаходів. Наприклад, грамотне управління паролями знижує ризик несанкціонованого доступу.
Ухилення від ризику. Від деяких класів ризиків можна ухилитися. Так, винесення Web-сервера організації за межі локальної мережі дозволяє уникнути ризику несанкціонованого доступу в локальну мережу з боку Web-клієнтів.
Зміна характеру ризику. Якщо не вдається ухилитися від ризику або ефективно його зменшити, можна прийняти деякі заходи страховки. Наприклад:
- Застрахувати обладнання від пожежі;
- Укласти договір з постачальниками ЗОТ про супровід і компенсації збитку, викликаного позаштатними ситуаціями.
Прийняття ризику. Багато ризиків не можна довести до допустимо малої величини. На практиці після прийняття стандартного набору контрзаходів деякі ризики зменшуються, але залишаються все ще значимими. Необхідно знати залишкову величину ризику.
В результаті виконання даного етапу для беруться до уваги інформаційних ризиків компанії повинна бути запропонована стратегія управління ризиками.
Наступний етап - вибір контрзаходів, які забезпечують режим ІБ. На цьому етапі обґрунтовано вибирається комплекс різних контрзаходів для захисту інформації, структурованих по нормативно-правовому, організаційно-управлінському, технологічному та апаратно-програмному рівнях забезпечення інформаційної безпеки. Надалі пропонований комплекс контрзаходів реалізується відповідно до прийнятої стратегії управління інформаційними ризиками. Якщо проводиться повний варіант аналізу ризиків, то для кожного ризику додатково оцінюється ефективність комплексу контрзаходів захисту інформації.
І нарешті, на етапі аудиту системи управління ІБ перевіряється відповідність обраних контрзаходів із захисту інформації цілям і завданням бізнесу, декларованим в політиці безпеки компанії, виконується оцінка залишкових ризиків і, у разі необхідності, оптимізація ризиків.
1.4 Структура й функції інтегрованої банківської інформаційної системи
Створення та вибір банківських інформаційних систем базується на плануванні всіх систем, що пов’язані з функціонуванням повної інфраструктури банку, побудованої на інформаційних технологіях. Під інформаційною інфраструктурою автоматизованої банківської системи (АБС) розуміють сукупність, співвідношення і змістовне наповнення окремих складових процесів діяльності банку на основі автоматизації банківських технологій. В інфраструктурі, крім концептуальних складових, виділяють підтримуючі і функціональні підсистеми. До підтримуючих підсистем відносять інформаційне забезпечення, технічне оснащення, системи зв’язку і комунікацій, програмні засоби, системи безпеки, захисту і надійності. Функціональні підсистеми реалізують банківські послуги, бізнес - процеси та будь-які комплекси задач з сфери змістовної чи предметної спрямованості банківської діяльності. Крім цього створення автоматизованих банківських технологій поряд із загальносистемними (системотехнічними) принципами вимагає врахування особливостей структури, специфіки і обсягів банківської діяльності. Характерною особливістю банківських технологій є різноманітність і складність видів забезпечення автоматизації діяльності банку.
Процес проектування, розробки та впровадження інформаційних систем в банківських установах поділяються на стадії:
Допроектна - розробник спільно з замовником проводять організаційні заходи з підготовки об’єкта автоматизації до обстеження і створення інформаційної бази. Складають техніко-економічне обґрунтування, постановку задачі і технічне завдання на розробку системи. Визначають очікувану ефективність системи та вартість робіт з проектування та розробки системи. Всі документи на цій стадії затверджуються в двосторонньому порядку.
Проектна - здійснюється розробка технічно-робочого проекту, програмування складових частин, налагодження та тестування програмного забезпечення. Створюються два документа: технічний та робочий проект.
Впровадження - система здається спочатку в дослідну, а потім в промислову експлуатацію. Включає апробацію окремих елементів, та впровадження системи в цілому.
Експлуатації - здійснюється супровід програмного та технічного забезпечення, виконання робіт щодо введення інформації та рішення відповідного класу задач автоматизованим способом.
В залежності від структури величини завдань технічних і технологічних можливостей банку автоматизована банківська система може бути побудована за одною із чотирьох схем:
1. Централізована. Для введення всіх баз даних використовують єдиний обчислювальний комплекс, що знаходиться в головному офісі банку. Доступ до нього з філій здійснюється в режимі термінал сервер, а обробка інформації в цілому здійснюється центральним комп’ютером.
2. Консолідована. Кожна філія має власні обчислювальні потужності і практично автономна. Для введення баз даних використовується обчислювальний комплекс філій де виконуються всі банківські операції. розрахунки між банківськими філіями здійснюються за кліринговою схемою шляхом підключення робочих станцій філій до центрального комп’ютера головної установи для клірингу і консолідації балансу.
Переваги такої схеми:
низькі умови до телекомунікації;
необмежене число рівнів ієрархії в структурі банку.
Негативні сторони:
автоматизована банківська система
банк не має оперативного уявлення про поточний стан своїх активів в зв’язку з тим, що операції виконуються не в реальному часі, а з деякими запізненнями;
клієнти не можуть розраховувати на одержання в усіх установах банку однакового набору послуг, бо повний доступ до особового рахунку є тільки в тому відділенні де рахунок був відкритий;
3. Реплікаційна. Кожна установа банку має свій обчислювальний комплекс, що працює в автономному режимі. Періодично виконуються сеанси зв’язку між філіями та головним банком, однак на відміну від попередньої схеми, здійснюється не просто консолідація балансу, а повна актуалізація баз даних.
Недоліки:
високі вимоги до обчислювальної техніки;
високі вимоги до телекомунікацій, які забезпечують відповідний об’єм передачі даних при реплікаціях;
- актуальність даних зберігається фактично лише деякий час після реплікації, тому реплікації повинні здійснюватись досить часто. Дана проблема вирішується за допомогою управління періодичністю реплікацій, яка враховує статистику трансакцій у філіях. Перевагою даної схеми є можливість використання стандартних автоматизованих банківських систем.
4. Розподілена. Відповідає всьому комплексу вимог до деценталізованої обробки даних при коректній роботі необхідне використання менеджера трансакцій, що ізолює клієнтську частину від серверної. Менеджер трансакцій виглядає як звичайний сервер, з боку сервера як звичайний клієнт.
Торкаючись питання переважної архітектури банківської мережі, можна відзначити, що найпоширенішої в європейських країнах і актуальнішої на сьогодні для українських банків є топологія "зірка", проста або багаторівнева, з головним офісом в центрі, сполученим з регіональними відділеннями. Переважання цієї топології визначається наступними чинниками:
Перш за все, самою структурою банківських організацій. (Наявністю регіональних відділень і великим об'ємом передаваної між ними інформації.)
Високою вартістю оренди каналів зв'язку. Потрібно мати на увазі, що звичайно при організації зв'язку з видаленими відділеннями практично не використовуються комутовані телефонні канали. Тут необхідні високошвидкісні і надійні лінії зв'язку.
У країнах Східної Європи і СНД на користь застосування топології "зірка" діє додатковий чинник - недостатньо розвинена інфраструктура телекомунікацій і пов'язані з цим труднощі в отриманні банком великого числа каналів зв'язку.
Автоматизована банківська система - система, що функціонує на базі засобів обчислювальної техніки, які пов’язані між собою локальною чи глобальною мережею та забезпечує процес збору, введення, передачі, обробки, збереження, поновлення даних для вирішення проблем управління діяльністю банків.
Автоматизована банківська система складається з:
Функціональної;
Забезпечувальної частини.
Забезпечувальна частина складається з підсистем:
1. Технічного забезпечення - комплекс апаратно-технічних засобів обчислювальної техніки та телекомунікаційного обладнання для збору, обробки та обміну інформацією з зовнішніми та внутрішніми користувачами.
2. Математичного забезпечення - комплекс алгоритмів економіко-математичних методів для обробки даних та автоматизації складання форм бухгалтерської та статистичної звітності.
3. Інформаційного забезпечення - сукупність типових форм первинних документів та форм звітності, систем класифікації та кодування інформації, файлів даних, що складають базу даних і використовуються для автоматизованого вирішення задач банківської діяльності.
4. Організаційно-правового забезпечення - сукупність нормативно-правових актів, інструктивних та методичних матеріалів, що встановлюють технологічне функціонування автоматизованих банківських систем та права і обов’язки персоналу, що обслуговує автоматизовану банківську систему.
5. Лінгвістичного забезпечення - складається із засобів ведення діалогу системи з людиною та сукупності мовних засобів програмування, опису даних, запитів ті пошуку інформації в базі даних.
Діяльністю сучасних банківських установ можна виділити компоненти, які у випадку автоматизації можуть стати елементами та складовими частинами автоматизованої банківської системи.
Фронт-офіси - компоненти системи, які призначені для введення первинної інформації, автоматизації праці банків, працівників на робочих місцях та безпосередньої взаємодії з клієнтами чи контрагентами в банку.
Бек-офіси - компоненти, які призначені для синтетичного та аналітичного бухгалтерського обліку документів, операцій чи угод отриманих від фронт-офісів. Можна виділити компоненти, що наділені функціями фронт і бек-офісів. Дані компоненти входять до операційного дня банку - сукупність операцій, які банк проводить на протязі встановленого регламентом робочого часу. Операції наділені функціями бек-офісу здійснюються і відображаються у фінансовому обліку. Операційний день банку (ОДБ) є центром або ядром в банківській діяльності, бо він встановлює взаємозв’язки з фронт та бек-офісами.
відкриття, закриття та ведення аналітичних, особових, розрахункових банківських рахунків згідно з вимогами стандарту
створення та ведення масивів нормативно-довідкового забезпечення
ведення та бухгалтерське проведення платіжних документів і банківських операцій. Обробка поточних розрахунків, особових аналітичних та балансових рахунків