Моделирование процесса анализа и оценки рисков информационной безопасности организаций банковской системы тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат наук Собакин, Иван Борисович

ВВЕДЕНИЕ

Актуальность темы исследования. В современных условиях повсеместная компьютеризация приводит к появлению таких явлений, как финансовое мошенничество с использованием информационных технологий, киберпреступность (хакерские атаки), и даже может привести к возможности совершения террористических атак с использованием Интернета (получение доступа к системам контроля в сфере государственной важности -электростанции, вооружения, финансовые системы и др.). Очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми и наиболее актуальны для тех компаний, которые имеют отношение к банковскому сектору, к информационным технологиям, к телекоммуникационным услугам и пр.

Необходимо отметить, что никакие технические, организационные и правовые меры не в состоянии гарантировать полную безопасность и надежность информационных систем. Поэтому основная задача обеспечения информационной безопасности сводится к снижению рисков до приемлемого уровня и созданию некой системы, которая обеспечивала бы целостность, доступность и конфиденциальность критически важной информации, и, как следствие, обеспечивала бы жизнеспособность и эффективность самого бизнеса.

Развитие информационной инфраструктуры предприятия неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях анализ и оценка рисков информационной безопасности, являясь на сегодняшний день актуальными задачами, позволяет определить необходимый уровень защиты информации, осуществлять его поддержку, а также выработать рекомендации по совершенствованию системы защиты и минимизации рисков. Вместе с тем остается нерешенным целый ряд проблем.

Для компаний коммерческой и банковской сферы наиболее распространенным способом решения вопроса анализа и оценки рисков является применение систем, которые позволяют оценить риски и выбрать якобы оптимальный по эффективности набор защитных мер. В действительности, вопрос экономической обоснованности, который является ключевым при принятии решений о выделении денежных средств на обеспечение информационной безопасности, рассматривается крайне редко.

Несмотря на то, что в современной научной литературе, в международных и национальных стандартах уделяется большое внимание проблемам анализа, оценки и управления рисками информационной безопасности, зачастую предлагаются наиболее общие рекомендации и не учитываются конкретные специфические особенности ИТ-инфраструктуры организации, работающей в том или ином секторе.

В связи с изложенным, можно заключить, что на сегодняшний день возникла необходимость рассмотрения вопросов анализа и оценки рисков информационной безопасности применительно к конкретной области рассмотрения и создания некой математической модели, которая бы позволила принимать экономически обоснованные решения.

Степень научной разработанности проблемы. Моделирование и анализ рисков информационной безопасности достаточно давно обсуждается в научных кругах. Большое значение для постановки проблемы исследования имели работы таких авторов, как Астахов A.M., Галатенко В.А., Емельянов A.A., Игнатьев В.А., Курило А.П., Медведовский И.Д., Фатьянова A.A. и др. Они представляют интерес в плане анализа угроз информационной безопасности, их классификации и выработки концептуально-правовых подходов их преодоления. В работе также использовались результаты последних диссертационных исследований в области анализа и управления информационными рисками Немиткиной В.В. и Родиной Ю.В.

В научной литературе сформировалось множество подходов к исследованию данной темы, большая часть информации находит свое отражение в международных и национальных стандартах по информационной безопасности.

Вместе с тем, принимая во внимание труды таких авторов, как Завгородний В.И., Петренко С.А, Симонов C.B. и др., касающиеся вопросов оценки и управления рисками информационной безопасности, в целом в научной литературе им уделено мало внимания. Так, передовые зарубежные подходы к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность не рассмотрены вовсе.

Кроме того, до сих пор не предложена и не сформирована общая методика анализа и оценки рисков информационной безопасности организаций кредитно-финансовой системы, в т.ч. банковского сектора, имеющих свою специфику и особенности.

В целом можно сделать вывод об актуальности и недостаточной степени научной разработанности проблемы анализа и оценки рисков информационной безопасности, что обусловило выбор темы настоящего исследования и определило его цели и задачи.

Цель диссертационного исследования состоит в разработке модели анализа и оценки рисков информационной безопасности организаций банковской системы. В соответствии с поставленной целью диссертационного исследования, конкретизируются следующие задачи:

- провести сравнительный анализ существующих методик и основных подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность;

- определить вид и построить экономико-математическую модель, наиболее отражающую зависимость общего уровня риска от средств, вложенных в мероприятия по защите информационной безопасности с учетом специфики банковской деятельности;

- разработать модель угроз информационной безопасности в системе дистанционного банковского обслуживания (ДБО);

- апробировать предложенную методику и осуществить расчет общего уровня риска и оптимального объема инвестиций в обеспечение безопасности системы ДБО.

Объект и предмет исследования. Объектом диссертационного исследования является система управления информационной безопасностью организаций банковской системы. Предметом исследования выступают модели и методы оценки рисков информационной безопасности.

Соответствие паспорту специальностей. Диссертационное исследование соответствует основным положениям пунктов паспорта специальности ВАК 08.00.13 - «Математические и инструментальные методы экономики»:

- п. 1.10. Разработка и развитие математических моделей и методов управления информационными рисками;

- п. 2.11. Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах.

Теоретическая и методологическая основа исследования. В процессе исследования были проанализированы и использованы труды как отечественных, так и зарубежных ученых в области теории информации, информационных систем, информационной безопасности и риск-менеджмента. При проведении диссертационного исследования использовались методы дедукции и индукции, сравнительного и системного анализа, а также CASE-моделирование. В работе применялись международные стандарты в области защиты информации и анализа информационных рисков (серия ISO 27000 и др.), а также описания существующих методов и инструментальных средств управления информационными рисками.

В качестве основных методов, использовавшихся для решения поставленных в исследовании задач, необходимо отметить методы теории

моделирования, системный подход, экономико-статистический анализ, метод сравнения и научной абстракции.

Информационной базой исследования, обеспечивающей достоверность первичных данных, послужили законодательные и нормативно-правовые акты органов государственной власти, принятые на территории Российской Федерации, руководящие документы Гостехкомиссии России, данные статистических служб зарубежных государств, монографии и публикации в периодической печати, справочно-статистические материалы, а также материалы электронных ресурсов сети Интернет.

Научная новизна. Элементы научной новизны составляют следующие выносимые на защиту результаты работы:

- обоснована необходимость адаптации существующих подходов к анализу и оценке рисков информационной безопасности применительно к исследуемой информационной области в банковских организациях;

- разработана экономико-математическая модель оптимизации затрат на обеспечение информационной безопасности применительно к особенностям организаций банковского сектора, достоинством которой является возможность использования диапазонной оценки вероятности реализации угроз;

- разработана модель угроз в системе дистанционного банковского обслуживания (ДБО), учитывающая типы нарушителей и характерные для них способы реализации угроз информационной безопасности персональных данных и платежной информации;

- на основе построенных моделей произведен расчет общего уровня риска, что позволяет определить объем инвестиций, обеспечивающий задаваемый уровень защиты системы ДБО.

Теоретическая и практическая значимость работы. Теоретическая значимость определяется полученными результатами анализа основных

подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность и заключается в обосновании и разработке полученной методики и экономико-математической модели.

Практическая значимость работы состоит в возможности использования полученных методических результатов и математических средств в процессе анализа, оценки и управления рисками информационной безопасности, а также при построении и совершенствовании систем управления информационными рисками организаций банковской сферы.

Апробация результатов исследования. Основные положения диссертации докладывались, обсуждались и получили положительную оценку на теоретических семинарах кафедры информационных технологий и систем в экономике и управлении, а также на научно-практической конференции «Экономико-организационные аспекты модернизации промышленности» (Москва, 2012), на межкафедральном научном семинаре факультета экономики менеджмента и информационных технологий МГИУ (Москва, 2013), на 2-ой вузовской межкафедральной научно-практической конференции «Современные технологии обеспечения информационной и экономической безопасности» (Москва, 2013), на всероссийской межвузовской научно-практической конференции «Современные аспекты развития экономики России: проблемы и перспективы» (Москва, 2013).

Проведенное исследование позволило подготовить и внести ряд предложений по совершенствованию существующей методики анализа и оценки рисков информационной безопасности системы дистанционного банковского обслуживания одного из коммерческих банков.

Публикации. Основные результаты диссертации отражены в 9-ти научных работах, четыре из которых опубликованы в периодических изданиях из Перечня ВАК. Авторский объем составляет 3,5 п.л.

Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.

ГЛАВА 1. ОСНОВНЫЕ ПОДХОДЫ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. Риск-ориентированный подход к обеспечению информационной безопасности

Обеспечение информационной безопасности для ведущих российских компаний не является новой темой, но продолжает быть все более и более актуальной.

Мировая и российская практика регулирования информационной безопасности недавнего прошлого состояла только из обязательных требований уполномоченных органов. Таким образом, для руководства организаций существовала только одна проблема - проблема соответствия всем этим требованиям и рекомендациям, а для регуляторов - проблема универсализации их набора.

Последующая эволюция процесса обеспечения ИБ сводилась к тому, что топ-менеджмент и руководство отделов ИБ сами выбирали из стандартного набора защитных мер те, которые они считали необходимыми. Безусловно, данный подход оказался также неадекватен существующей реальности.

Известны также прагматичные модели ИБ, основанные на расчете совокупной стоимости владения системы ИБ и «возврате» инвестиций. Однако при своих достоинствах данные подходы требуют большого обмена статистической и прогностической информацией, что в настоящее время не имеет широкого распространения в силу ожесточенной конкуренции в бизнес среде.

Чуть позже эксперты пришли к выводу, что само обеспечение информационной безопасности может порождать ущерб, а по сему, и дополнительные риски.

Таким образом, модель ИБ свелась к позиции, согласно которой, все риски информационной безопасности должны быть согласованы с рисками организации в целом. Так, появилась задача интеграции в систему корпоративного управления всей компании системы управления информационной безопасностью (СУИБ), в том числе ее «ядра» - системы управления информационными рисками [1].

Представляется, что данный подход, впоследствии названный риск-ориентированным, является наиболее актуальным и перспективным с позиции расстановки приоритетов компании, выбора эффективных мер защиты и формирования экономически обоснованных расходов на информационную безопасность.

Риск-ориентированный подход лежит в основе современного корпоративного управления. Оценка рисков позволяет принимать осознанные решения, правильно выбирая механизмы защиты и расставлять приоритеты [4].

Сущность риск-ориентированного подхода заключается в ранжировании угроз, их прогнозировании, выявлении «особо важных зон», а также выработку адекватных защитных мер. В рамках данного подхода акцент делается на выявлении, устранении или же ослаблении потенциального негативного влияния источников рисков.

Надо сказать, что риск-ориентированный подход лежит в основе всех основных международных и отраслевых стандартов ИБ (ISO/IEC 27001:2005, ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС - 1.0-2010, Basel II и т.д.) и его применение представляет для организаций массу преимуществ.

Данный подход позволяет компаниям выбирать те требования и средства защиты информации, которые действительно необходимы им и лучшим образом соответствуют их потребностям, а также правильным

образом интерпретировать сформулированные в законодательстве и стандартах требования безопасности.

Особенностью большинства современных компаний является тот факт, что бюджеты на обеспечение информационной безопасности являются расходной статьей и формируются по остаточному принципу. Применение указанного подхода позволяет оценивать экономическую эффективность и принимать экономически-обоснованные решения при организации защитных мер, учитывая большинство факторов, влияющих на вероятность возникновения и реализации угроз информационной безопасности, а также на степень их негативного воздействия.

Кроме того, риск-ориентированный подход позволяет оптимизировать и сокращать расходы организаций на обеспечение информационной безопасности и соответствия требованиям стандартов при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью.

Зачастую оценка эффективности отделов информационной безопасности компаний либо вообще не производится, либо никак не связана с экономической отдачей. Риск-ориентированный подход позволяет осуществлять анализ возврата инвестиций в ИБ и сконструировать систему премирования специалистов ИБ.

Поэтому внедрение и использование риск-ориентированного подхода должно осуществляться, начиная с рядовых сотрудников внутреннего контроля и заканчивая руководящим звеном - топ-менеджментом компании.

Сущность риск-ориентированного подхода к построению модели информационной безопасности организации, таким образом, состоит в идентификации рисков ИБ, механизмов их реализации и определении величины наносимого ущерба, в целях последующего управления ими.

1.1.1. Понятие риска информационной безопасности

Согласно международному стандарту 180/1ЕС 27005:2008: «Риск информационной безопасности - потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации». Данное определение является основополагающим за рубежом при построении систем по обеспечению информационной безопасности.

Однако в науке до сих пор не существует единого подхода к определению риска информационной безопасности. В научной литературе риск информационной безопасности также известен, как «информационный риск». Появившись немногим более десяти лет назад как развитие понятия «угроза безопасности информации», термин «информационный риск» по-прежнему связывают лишь с областью информационной безопасности [43].

Некоторые эксперты в области защиты информации трактуют риск информационной безопасности как вероятность события, в результате которого происходит несанкционированное нарушение конфиденциальности, целостности или доступности информации. Управление такими рисками сводится к защите информации.

Другая группа специалистов рассматривает риски информационной безопасности как экономическую категорию. Они рассматривают данные риски как возможность возникновения убытков, риск недополучения прибыли и других негативных последствий для организации. Например, «Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, 1Т-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи» [36].

В последнее время в научной среде риск информационной безопасности трактуется как «возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее

функционирования, снижению качества информации ниже допустимого уровня, в результате которых наносится ущерб предприятию» [14].

Особенностью рисков информационной безопасности является то, что они зависят от множества факторов. Из всех рисков риски ИБ наиболее сложные по своей природе, имеют самую большую неопределенность, как по рисковым событиям, так и по наносимому ущербу.

Как показывает практика, руководство организаций практически не склонно воспринимать возникающие издержки как последствия сложившихся информационных проблем. Т.е. тот факт, что понесенный ущерб был инициирован проблемами информационной сферы, рассматривается довольно редко [1].

Можно заключить, что в любом экономическом риске, принимаемым на себя организацией, есть некая информационная составляющая. С ростом данной компоненты, управление рисками информационной безопасности становится одной из важнейших аспектов обеспечения экономической безопасности всей организации.

Таким образом, риски информационной безопасности взаимосвязаны с такими рисками, как стратегический, операционный, рыночный, риск ликвидности, и другими рисками, в которых основное место занимает риск принятия управленческого решения.

Оценка и управление рисками ИБ представляет собой довольно сложную задачу. Для этого требуется должным образом выстроенная система управления организацией, обеспечивающая обмен информацией между руководством, сотрудниками организации и консультантами, а также эффективная система принятия решений.

1.1.2. Системный подход к управлению рисками информационной безопасности

Такие понятия, как «системный подход» и «риск информационной безопасности» довольно часто употребляются в научно-практической

литературе. Однако данные понятия не имеют точной научной формулировки [46].

По мнению многих специалистов, системный подход позволяет связать понятие «риск информационной безопасности» с ущербом организации не только в результате нарушения безопасности самой информации, но и снижения других важных показателей ее качества.

Сущность управления рисками информационной безопасности заключается в скоординированном воздействии на информационную сферу предприятия, заключающемся в оценке риска, его обработке, принятии и сообщении, с целью минимизации общего ущерба от их воздействия.

Управление рисками информационной безопасности организуется в соответствии с политикой управления рисками ИБ, которая определяет цели и задачи управления; особенности информационной системы организации, результаты анализа рисков, а также функции, порядок управления, мониторинга и аудита системы управления рисками. И в соответствии с данной политикой создается система управления информационными рисками (СУИР) [16].

Согласно стандарту ISO Guide 73:2002, под СУИР понимается набор элементов системы управления организацией, предназначенных для управления рисками (элементы системы управления могут включать в себя стратегическое планирование, принятие решений и другие процессы, имеющие дело с рисками, культура организации отражается в ее системе управления рисками) [64].

Придерживаясь концепции международных стандартов, авторы утверждают, что фундаментом любой системы управления информационной безопасностью служит система управления рисками, представляющая собой:

1. Совокупность взаимосвязанных формализованных процессов, обеспечивающих анализ и планирование, реализацию и эксплуатацию, мониторинг и аудит, корректировку и совершенствование механизмов управления рисками.

2. Стандарты и технологии управления рисками в виде нормативной и рабочей документации, включающей в себя политику управления рисками, методологию оценки рисков, план обработки рисков и др.

3. Организационную структуру управления рисками и соответствующим образом подготовленный персонал. Роли и ответственность за функционирование процессов управления рисками распределяются между руководством организации и обслуживающим персоналом информационных систем, менеджером информационной безопасности, риск-менеджером и аудиторами [5].

Другие авторы, кроме всего прочего, утверждают, что все методики должны быть «направлены на достижение конечной цели разработки и использования СУИР - минимизации суммарных расходов на противодействие информационным рискам и на ликвидацию последствий рисковых событий в информационной сфере предприятия». И предлагают использовать целую совокупность научно-методических принципов для решения конкретных задач при построении СУИР [16].

Таким образом, представляется, что именно системный подход формирует целостный взгляд на проблему управления рисками информационной безопасности и, как следствие, обеспечения ИБ всего предприятия.

1.2. Процессная модель управления рисками информационной безопасности

Многие научные работы, посвящены процессному управлению, сравнению и противопоставлению функционального и процессного подходов. По мнению некоторых авторов, эти подходы абсолютно противоположные, по мнению других - «функции и процессы представляют лишь различные уровни абстракции» [11].

Однако в настоящее время никто не будет отрицать значимость и необходимость применения процессного подхода и его преимущества перед функциональным. На современном этапе развития наблюдается широкое внедрение методов процессного управления, т.к. фактически, процессный подход представляет собой инструмент корпоративного управления, обеспечивающий реализацию стратегии целой организации.

Применение процессного подхода все чаще и чаще приходится слышать и при внедрении систем управления информационной безопасностью, систем управления информационными рисками и др.

В основе данного подхода лежит представление о бизнес-процессе, интуитивно понимаемое и вполне верное, как последовательность действий, шагов, предпринимаемых для достижения целей предприятия [47].

Технические эксперты организации ISO в основе международных управленческих стандартов используют именно модель Деминга-Шухарта, иллюстрирующую процессный подход. Данная методология применима как к операционной деятельности организаций, так и к высокоуровневым стратегическим процессам [65].

Эталонная реализация процессного подхода в рамках модели Деминга-Шухарта подразумевает реализацию следующих основных процедурных этапов:

- Планирование (Plan): установление целей и задач, идентификация и проектирование процессов;

- Реализация (Do): реализация запланированных процессов и решений;

- Проверка (Check): контроль и измерение процессов относительно целей, требований;

- Действие (Act): принятие корректирующих и превентивных мер в целях непрерывного совершенствования функционирования процесса. Процессный подход может также применяться к оценке и управлению

рисками информационной безопасности. Проекция данной модели выглядит следующим образом.

Действие: как усовершенствов ать?

Рис. 1.1. Модель Деминга-Шухарта

На этапе планирования формулируются цели и задачи, определяется политика, контекст и методология оценки и управления рисками информационной безопасности, происходит идентификация, определение величины и оценивание рисков, в т.ч. утверждение плана их обработки. Кроме того, осуществляется принятие некоторых рисков.

На этапе реализации происходит внедрение защитных мер по выполнению плана обработки рисков информационной безопасности. К ним относят заключение договоров страхования, соглашений об уровне сервиса и пр.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Андрианов В.В. Обеспечение информационной безопасности бизнеса / В.В. Андрианов, C.JI. Зефиров, В.Б. Голованов, НА. Голдуев. - 2-е изд., перераб. и доп. - М.: ЦИПСиР: Альпина Паблишере, 2011. - 373с.

2. Астахов А. Анализ защищенности корпоративных автоматизированных систем // Информационный бюллетень "Jet Info". - №7 (110)/2002.

3. Астахов А. Аудит безопасности информационных систем // IS027000.ru, 2002. URL: http://iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnosti-informacionnyh-sistem (Дата обращения: 24.02.2012)

4. Астахов А. Искусство управления информационными рисками. - М.: ДМК Пресс, 2010. С.38.

5. Астахов А. О преимуществах системного подхода к управлению рисками // Информационная безопасность: www.itsec.ru. URL: http://www.itsec.ru/articles2/control/o-preimuschestvah-sistemnogo-podhoda-k-upravleniyu-riskami (Дата обращения: 24.02.2011)

6. Баранов Д., Конеев И. Вопросы перехода от качественного к количественному анализу рисков // Журнал «Рынок ценных бумаг». -2008. - №9.

7. Бережная Е.В., Бережной В.И. Математические методы моделирования экономических систем: Учеб. пособие. — 2-е изд., перераб. и доп. — М.: Финансы и статистика, 2006. - 432 с.

8. Березюк Л.П. Организационное обеспечение информационной безопасности: учеб. пособие / Л.П. Березюк. - Хабаровск: Изд-во ДВГУПС, 2008.- 188 с.

9. Власов М.П. Моделирование экономических процессов / М. П. Власов, П. Д. Шимко. — Ростов н/Д: Феникс, 2005. — 409 с.

10. Визгунов А.Н., Визгунов А.Н. Уровень защищенности от несанкционированного доступа как ключевой показатель качества

системы дистанционного банковского обслуживания // Журнал "БИЗНЕС-ИНФОРМАТИКА", 2010, № 2. С. 37-45.

11. Евдокиенко В. Бизнес-процессы, процессное управление и эффективность // URL: http://www.aup.ru/articles/management/20.htm (Дата обращения: 21.02.2011)

12. Завгородний В.И. Выбор методов и средств управления информационными рисками // Аудит и финансовый анализ. №5, 2007.

13. Завгородний В.И. Методика выбора механизмов управления информационными рисками // Вестник Финансовой академии. №3, 2006, с. 137-148.

14. Завгородний В.И. Парадигма информационных рисков // URL: http://www.fa-kit.ru/main_dsp.php?top_id=591 (Дата обращения: 21.12.2012)

15. Завгородний В.И. Системный анализ информационных рисков // Вестник Финансовой академии. №4, 2008.

16. Завгородний В.И. Системный подход к управлению информационными рисками предприятия / Сб. науч. тр. ИНИОН РАН. Редкол.: Пивоваров Ю.С. (отв. Ред.) и др. - М.: ИНИОН РАН, 2009, с. 377-383.

17. Защита информации и информационная безопасность: учебник / Соловьев A.A., Метелев С.Е., Зырянова С.А. - Омск: Изд-во Омского института (филиала) РГТЭУ, 2011. - 426с.

18. Зинкевич В., Штатов Д. Информационные риски: анализ и количественная оценка / Д. Штатов, В. Зинкевич // Бухгалтерия и банки -2007.-№1-2.

19. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: Монография. — Старый Оскол: ООО «ТНТ», 2005. — 448 с.

20. Интернет-портал ISO 27000.RU "Искусство управления информационной безопасностью" // URL: http://www.iso27000.ru/ (дата обращения: 18.12.2010).

21. Информация из стандартов ITSC (Standards Technology Standard Committee). Новости о стандартах с форума RAISS. URL: http://www.itsc.org.sg/ (дата обращения: 17.12.2010).

22. Калемберг Д. "Подводные камни" безопасности ДБО. Опыт реализованных проектов // Банковские технологии. - 2010.- № 8. - С. 42-47.

23. Костина А. Качество процессов как гарант безопасности // Intelligent Enterprise, №5, 2011. URL:

http://www.management.com.ua/qm/qml62.html (дата обращения: 17.12.2012).

24. Куканова Н. Практические аспекты применения международного стандарта безопасности информационных систем ISO 27001:2005 // Digital Security: N1 в аудите безопасности. URL: http://www.dsec.ru/about/articles/practice_iso_27001/ (дата обращения: 01.02.2011).

25. Курило А.П. О защите банковской тайны // Конфидент. Защита информации. - № 3. - 2001. - С. 18-23.

26. Кушнер Д.Я. Роль и влияние информационной безопасности на эффективность бизнес-процессов и финансовое состояние предприятия // Доклад с презентацией, 2009. URL: http://journal.itmane.ru/node/103 (дата обращения: 02.11.2012).

27. Кузнецов А.И. Методика проведения обследования бизнес-процессов компании // ITeam.Ru - технологии корпоративного управления. URL: http://www.iteam.ru/publications/it/section_5 l/article_1469 (дата обращения: 20.12.2010).

28. Лукацкий А. Какой должна быть модель угроз // IT. MANAGER, октябрь 2011 г.

29. Лямин Л.В. Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга // ФИНАНСЫ.RU,

март 2011 г. URL: http://www.finansy.ru/st/post_1300173070.html (дата обращения: 30.11.2012).

30. Марков А., Цирлов В. Управление рисками — нормативный вакуум информационной безопасности // Издательство "Открытые системы", 2007. URL: http://www.osp.ru/os/2007/08/4492873/ (дата обращения: 11.12.2012).

31. Медведовский И.Д., Куканова Н. Анализируем риски собственными силами // CONNECT! Мир Связи. -№3, 2006.

32. Медведовский И.Д. Затраты на ИТ-защиту: ищем золотую середину // Издание CNews|Аналитика. URL:

http://rnd.cnews.ru/reviews/free/consulting/practics/risks.shtml (дата обращения: 21.10.2012).

33. Медведовский И.Д. Особенности систем анализа информационных рисков на примере алгоритма ГРИФ // Информационный бюллетень «BugTraq.ru», сентябрь 2004. URL:

http://bugtraq.ru/library/security/grif.html (дата обращения: 16.08.2012).

34. Медведовский И.Д. Современные методы и средства анализа и контроля рисков информационных систем компаний // Прогноз финансовых рисков. URL: http://www.bre.ru/security/20461.html (дата обращения: 16.12.2012).

35. Медведовский И.Д. ISO 17799: Эволюция стандарта в период 20022007 // Digital Security: N1 в аудите безопасности. URL: http://www.dsec.ru/about/articles/iso 17799_evolution/ (дата обращения: 20.12.2010).

36. Мишель М. Управление информационными рисками // Финансовый директор, 2003, №9, стр.64-68.

37. Модин Е. ДБО в зоне риска // Аналитический банковский журнал, №3, 2009.

38. Окулесский В., Янсон И. Безопасность систем интернет-банка - это возможно // Отраслевой интернет-журнал BIS-Journal, 2011 г.

39. Пастоев А. Методологии управления ИТ-рисками // «Открытые Системы» №8, 2006. URL: http://www.osp.ru/os/2006/08/3584582/ (дата обращения: 10.12.2012).

40. Петренко С.А. Методика построения корпоративной системы защиты информации // Информационное общество, №1, 2002, стр. 29-33.

41. Петренко С.А. Обоснование инвестиций в кибербезопасность // Труды ИСА РАН, 2006, Т.27, с.269.

42. Петренко С.А. Оценка затрат на кибербезопасность // Труды ИСА РАН 2006, Т.27.

43. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. М.: Компания АйТи; ДМК Пресс, 2005. 384 с.

44. Писемский А. Скажи нет атакам на онлайн-банкинг: Предотвращаем хищения в системе дистанционного банковского обслуживания // Журнал "Хакер", №2, 2011.

45. Плешков А. Аналитический обзор случаев мошенничества в системах ДБО в 2011 году // Журнал "Connect! Мир Связи", январь 2012.

46. Разумов О.С. Системные знания: концепция, методология, практика / О.С. Разумов, В.В. Благодатских. - М.: Финансы и статистика, 2006. -400 с.

47. Резниченко А. Процессный подход к управлению, ИТ и российские банки // Журнал "Банки и технология", №5, 2004.

48. Серия ИСО 27000 (ISO 27000) // ООО «Институт Консалтинга и Сертификации». URL: http://www.icc-iso.ru/toclients/standard/iso_27001/ (дата обращения: 20.12.2010).

49. Симонов C.B. Анализ рисков в информационных системах. Практические аспекты. // Издательство «Конфидент», № 2, 2001.

50. Симонов С. Анализ рисков, управление рисками //Jet Info, №1, 1999.

51. Симонов C.B. Методология анализа рисков в информационных системах // Издательство «Конфидент», №1, 2001.

52. Синцов А. Безопасность банк-клиентов // PCI DSS.RU, 2010 г.

53. Суханов А. Анализ рисков в управлении информационной безопасностью // BYTEmag.ru, №11(120), 2008. URL: http://www.bytemag.ru/articles/detail.php?ID= 13265 (дата обращения: 20.12.2012).

54. Шапкин A.C., Шапкин В.А. Теория риска и моделирование рисковых ситуаций: Учебник. - М.: Издательско-торговая корпорация "Дашков и Ко", 2005.-880 с.

55. ГОСТ Р ИСО/МЭК 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

56. ГОСТ Р ИСО/МЭК 17799-2005 Информационные технологии. Практические правила управления информационной безопасностью.

57. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

58. Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем Интернет-банкинга"

59. PC БР ИББС-2.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности.

60. PC БР ИББС-2.3-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации.

61. PC БР ИББС-2.4-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая

частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации.

62. СТО БР ИББС-1.0-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

63. BS 7799-3:2006 Information security management systems - Part 3: Guidelines for information security risk management, 2006.

64. ISO/IEC Guide 73:2002 Risk management - Vocabulary - Guidelines for use in standards.

65. ISO/ТС 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13.05.2004.

66. ISO/IEC 13335-1:2004 Information technology - Security techniques -Management of information and communications technology security - Part 1 : Concepts and models for information and communications technology security management // ISO - International Organization for Standardization. URL: http://www.iso.org/ (дата обращения: 02.02.2011).

67. ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management, 2005.

68. ISO/IEC 27001:2005 Information technology - Security techniques -Information security management systems - Requirements, 2005.

69. ISO/IEC 27002 code of practice // IS027k infosec management standards. URL: http://www.iso27001security.com/html/27002.html (дата обращения: 14.12.2010).

70. ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management // ISO - International Organization for Standardization. URL: http://www.iso.org/ (дата обращения: 04.02.2011).

71. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30.

72. Bier V. Should the model for security be game theory rather than reliability theory. In Communications of the Fourth International Conference on Mathematical Methods in Reliability: Methodology and Practice, Santa Fe, New Mexico, June 2004.

73. Butler S. Security Attribute Evaluation Method // Computer Science Department, Carnegie Mellon University, March 2003.

74. Gordon L., Loeb M. The Economics of Information Security Investment. ACM Transactions on Information and System Security, 5:438-457, November 2002. Reprinted in Economics of Information Security, 2004, Springer, Camp and Lewis, eds.

75. Hausken K. Returns to Information Security Investment: The Effect of Alternative Information Security Breach Functions on Optimal Investment and Sensitivity to Vulnerability. Information Systems Frontiers, 5(8), 2006.

76. History of 27000 // Gamma Secure Systems Limited: experts in ISO/IEC 27001 and the Common Criteria. URL:

http://www.gammassl.co.uk/bs7799/history.html (дата обращения: 10.12.2010).

77. Information Security Standarts // URL: http://www.iso27001security.com/html/27002.html (дата обращения: 08.11.2012).

78. Julisch К. A Unifying Theory of Security Metrics with Applications. Research Report, 2009.

79. Kevin J. Soo Hoo. How Much Is Enough? A Risk-Management Approach to Computer Security. Consortium for Research on Information Security and Policy (CRISP), School of Engineering, Stanford University, June 2000. Working Paper.

80. Meritt James W. A method for quantitative risk analysis. In Proceedings of the 22nd National Information Systems Security Conference, 1999.

81. Schechter S. Computer Security Strength & Risk: A Quantitative Approach. PhD thesis, Harvard University, 2004.

82. Sonnenreich W., Jason Albanese, and Bruce Stout. Return On Security Investment (ROSI) - A practical quantitative model. Journal of Research and Practice in Information Technology, 38(1):5 5-66, February 2006.

83. Tanaka H., MatsuuraK. Vulnerability and effects of information security investment: A firm level empirical analysis of Japan. In Paper presented at forum on financial information systems and cyber security, College Park, Maryland, May 2005.

84. The history of ISO/IEC 27001 // Сайт компании Gamma. URL: http://www.gammassl.co.uk/bs7799/history.html (дата обращения: 04.12.2012).

85. Willemson J. On the Gordon & Loeb Model for Information Security Investment. In Proceedings of The Fifth Workshop on the Economics of Information Security (WEIS 2006), 2006.

86. Willemson J. Extending the Gordon&Loeb Model for Information Security Investment. Fifth International Conference on Availability, Reliability, and Security (ARES 2010), 2010.

ПРИЛОЖЕНИЕ 1 Виды активов согласно КОЛЕС 27005:2008

Бизнес-процессы и различные виды деятельности подразумевают под собой следующие процессы:

• процессы, утрата или ухудшение которых влечет за собой невозможность исполнения миссии организации;

• процессы, включающие в себя секретные подпроцессы или процессы, в которых задействованы запатентованные технологии;

• процессы, которые в случае их изменения могут значительно повлиять на выполнение миссии организации;

• процессы, которые необходимы для соблюдения организацией договорных, правовых или нормативных требований.

Информация как один из видов первичных активов, в основном, включает в себя:

• жизненно важную информацию для осуществления миссии или бизнеса организации;

• персональные данные, которые могут определяться национальными законами, касающимися неприкосновенности частной жизни;

• стратегическую информацию, необходимую для достижения целей, определенных стратегическими ориентирами;

• информацию, имеющую высокую стоимость, сбор, хранение, обработка и передача которой требует длительного времени и/или связана с высокими затратами на приобретение.

Что касается вспомогательных активов, то, именно воздействуя на них через всякого рода уязвимости, различные угрозы наносят ущерб первичным активам (бизнес-процессам и информации). Вспомогательные активы бывают:

1. Аппаратные средства (физические элементы, способствующие осуществлению процессов);

а) оборудование для обработки данных (активное);

б) переносное оборудование (портативное компьютерное оборудование, например, ноутбуки);

в) стационарное оборудование (компьютерное оборудование, например: сервер, микрокомпьютер);

г) периферийные устройства обработки данных (подключенное оборудование для ввода, обработки или передачи данных, например: принтер, съемный дисковод);

д) носитель данных (пассивный) - (носители для хранения данных или функций);

е) электронный носитель (носитель информации, который может быть подключен к компьютеру или компьютерной сети для хранения данных, например: гибкий диск, USB-флеш-накопитель, съемный жесткий диск);

ж) прочие носители (неэлектронные носители, содержащие данные, например: бумага, слайд, документация, факс).

2. Программное обеспечение (все программы, способствующие работе устройства обработки данных);

а) операционная система;

б) программное обеспечение для сервисного, технического обслуживания или администрирования;

в) пакетное (стандартное) программное обеспечение;

г) стандартные и специальные бизнес-приложения (специально разработанное программное обеспечение для нужд организации).

3. Сеть (телекоммуникационные устройства, используемые для установления связи между несколькими физически удаленными компьютерами или элементами информационной системы);

а) носители и средства поддержки (например, Ethernet, WiFi Bluetooth);

б) пассивные или активные ретрансляторы (например, мост, маршрутизатор, концентратор, коммутатор);

в) коммуникационный интерфейс (например, общий сервис пакетной радиопередачи (GPRS), адаптер Ethernet).

4. Персонал (сотрудники, участвующие в функционировании информационной системы);

а) лицо, принимающее решения (высшее руководство, руководитель проекта);

б) пользователи (специалисты по управлению кадровыми ресурсами, финансовое руководство, риск-менеджер);

в) обслуживающий персонал (системный администратор, служба технической поддержки);

г) разработчики (разработчики бизнес-приложений).

5. Площадка (все места, где размещается область действия или ее часть, а также физические средства, необходимые для работы);

а) внешняя среда (все места, в которых невозможно применить средства обеспечения безопасности организации, например: дома сотрудников, территория другой организации);

б) территория (все здания и территория организации);

в) зона (формируется физической защитной границей, разграничивающей пространство в помещениях организации, например: офисы, зона ограниченного доступа, защищенные области);

г) важные сервисы (все сервисы, необходимые для работы оборудования организации);

д) связь (телекоммуникационные услуги и оборудование, предоставляемые оператором, например: телефонная линия, АТС, внутренние телефонные сети);

е) инженерные коммуникации (услуги и средства, необходимые для подачи электроэнергии, водоснабжения, утилизации отходов, услуги и средства для охлаждения и очистки воздуха).

6. Организация (базовая организационная структура, состоящая из всех структур персонала, выделенного для выполнения задачи, а также процедур, контролирующих такие структуры);

а) органы власти (например, административный орган, головной офис организации);

б) структура организации (различные филиалы организации, в том числе, ее межфункциональную деятельность, находящиеся под контролем ее руководства);

в) организация проекта или системы (касается устройства организации для конкретного проекта или услуги, например, проект по разработке нового приложения или внедрению информационной системы);

г) субподрядчики / поставщики / производители (внешние стороны, предоставляющие организации услуги или ресурсы, которые связаны с ней договорными обязательствами).