Моделирование процесса анализа и оценки рисков информационной безопасности организаций банковской системы тема диссертации по экономике, полный текст автореферата

Ученая степень
кандидата экономических наук
Автор
Собакин, Иван Борисович
Место защиты
Москва
Год
2013
Шифр ВАК РФ
08.00.13

Автореферат диссертации по теме "Моделирование процесса анализа и оценки рисков информационной безопасности организаций банковской системы"

На правах рукописи

СОБАКИН ИВАН БОРИСОВИЧ

МОДЕЛИРОВАНИЕ ПРОЦЕССА АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

Специальность:

08.00.13 - «Математические и инструментальные методы экономики»

О,

I' :

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук

Москва-2013

005544667

005544667

Работа выполнена на кафедре экономики и планирования в организации Федерального государственного бюджетного образовательного учреждения высшего профессионального образования Московского государственного индустриального университета.

Научный руководитель: доктор экономических наук, профессор

Воловиков Сергей Алексеевич

Официальные оппоненты: доктор экономических наук, профессор

Емельянов Александр Анатольевич, филиал ФГБОУ ВПО Национальный исследовательский университет «МЭИ» в г. Смоленске, профессор кафедры менеджмента и информационных технологий в экономике

доктор экономических наук Вершинская Ольга Николаевна, заведующая лабораторией проблем развития информационного общества ФГБУН Института социально-экономических проблем народонаселения РАН

Ведущая организация: ФГБОУ ВПО Московский государственный

университет экономики, статистики и информатики (МЭСП) Защита состоится 14 ноября 2013 г. в 14-00 часов на заседании диссертационного совета Д 212.129.02 по экономическим наукам в ФГБОУ ВПО Московском государственном индустриальном университете по адресу: 115280, г. Москва, ул. Автозаводская, д. 16, аудитория 1804.

С диссертацией можно ознакомиться в читальном зале библиотеки ФГБОУ ВПО «МГИУ». Электронная копия автореферата размещена на электронном ресурсе МГИУ и на сайте ВАК. Автореферат разослан 14 октября 2013 г.

Ученый секретарь

диссертационного совета Д 212.129.02 кандидат экономических наук, доцент "" Т.С. Сальникова

I. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. В современных условиях повсеместная компьютеризация приводит к появлению таких явлений, как финансовое мошенничество с использованием информационных технологий, киберпреступность (хакерские атаки), и даже может привести к возможности совершения террористических атак с использованием Интернета (получение доступа к системам контроля в сфере государственной важности -электростанции, вооружения, финансовые системы и др.). Очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми и наиболее актуальны для тех компаний, которые имеют отношение к банковскому сектору, к информационным технологиям, к телекоммуникационным услугам и пр.

Необходимо отметить, что никакие технические, организационные и правовые меры не в состоянии гарантировать полную безопасность и надежность информационных систем. Поэтому основная задача обеспечения информационной безопасности сводится к снижению рисков до приемлемого уровня и созданию некой системы, которая обеспечивала бы целостность, доступность и конфиденциальность критически важной информации, и, как следствие, обеспечивала бы жизнеспособность и эффективность самого бизнеса.

Развитие информационной инфраструктуры предприятия неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях анализ и оценка рисков информационной безопасности, являясь на сегодняшний день актуальными задачами, позволяет определить необходимый уровень защиты информации, осуществлять его поддержку, а также выработать рекомендации по совершенствованию системы защиты и минимизации рисков. Вместе с тем остается нерешенным целый ряд проблем.

Для компаний коммерческой и банковской сферы наиболее распространенным способом решения вопроса анализа и оценки рисков является применение систем, которые позволяют оценить риски и выбрать якобы оптимальный по эффективности набор защитных мер. В действительности, вопрос экономической обоснованности, который является ключевым при принятии решений о выделении денежных средств на обеспечение информационной безопасности, рассматривается крайне редко.

Несмотря на то, что в современной научной литературе, в международных и национальных стандартах уделяется большое внимание проблемам анализа, оценки и управления рисками информационной безопасности, зачастую предлагаются наиболее общие рекомендации и не учитываются конкретные специфические особенности ИТ-инфраструктуры организации, работающей в том или ином секторе.

В связи с изложенным можно заключить, что на сегодняшний день возникла необходимость рассмотрения вопросов анализа и оценки рисков информационной безопасности применительно к конкретной области рассмотрения и создания некой математической модели, которая бы позволила принимать экономически обоснованные решения.

Степень научной разработанности проблемы. Моделирование и анализ рисков информационной безопасности достаточно давно обсуждается в научных кругах. Большое значение для постановки проблемы исследования имели работы таких авторов, как Астахов A.M., Галатенко В.А., Емельянов A.A., Игнатьев В.А., Курило А.П., Медведовский И.Д., Фатьянова A.A. и др. Они представляют интерес в плане анализа угроз информационной безопасности, их классификации и выработки концептуально-правовых подходов их преодоления. В работе также использовались результаты последних диссертационных исследований в области анализа и управления информационными рисками.

В научной литературе сформировалось множество подходов к исследованию данной темы, большая часть информации находит свое отражение в международных и национальных стандартах по информационной безопасности.

Вместе с тем, принимая во внимание труды таких авторов, как Завгородний В.И., Петренко С.А, Симонов C.B. и др., касающиеся вопросов оценки и управления рисками информационной безопасности, в целом в научной литературе им уделено мало внимания. Так, передовые зарубежные подходы к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность не рассмотрены вовсе.

Кроме того, до сих пор не предложена и не сформирована общая методика анализа и оценки рисков информационной безопасности организаций кредитно-финансовой системы, в т.ч. банковского сектора, имеющих свою специфику и особенности.

В целом можно сделать вывод об актуальности и недостаточной степени научной разработанности проблемы анализа и оценки рисков информационной безопасности, что обусловило выбор темы настоящего исследования и определило его цели и задачи.

Цель диссертационного исследования состоит в разработке модели анализа и оценки рисков информационной безопасности организаций банковской системы. В соответствии с поставленной целью диссертационного исследования, конкретизируются следующие задачи:

- провести сравнительный анализ существующих методик и основных подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность;

- определить вид и построить экономико-математическую модель, наиболее отражающую зависимость общего уровня риска от средств, вложенных в мероприятия по защите информационной безопасности с учетом специфики банковской деятельности;

- разработать модель угроз информационной безопасности в системе дистанционного банковского обслуживания (ДБО);

- апробировать предложенную методику и осуществить расчет общего уровня риска и оптимального объема инвестиций в обеспечение безопасности системы ДБО.

Объект и предмет исследования. Объектом диссертационного исследования является система управления информационной безопасностью организаций банковской системы. Предметом исследования выступают модели и методы оценки рисков информационной безопасности.

Соответствие паспорту специальностей. Диссертационное исследование соответствует основным положениям пунктов паспорта специальности ВАК 08.00.13 — «Математические и инструментальные методы экономики»:

— п. 1.10. Разработка и развитие математических моделей и методов управления информационными рисками;

— п. 2.11. Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах.

Теоретическая и методологическая основа исследования. В процессе исследования были проанализированы и использованы труды как отечественных, так и зарубежных ученых в области теории информации, информационных систем, информационной безопасности и риск-менеджмента. При проведении диссертационного исследования использовались методы дедукции и индукции, сравнительного и системного анализа, а также CASE-моделирование. В работе применялись международные стандарты в области защиты информации и анализа информационных рисков (серия ISO 27000 и др.), а также описания существующих методов и инструментальных средств управления информационными рисками.

б

В качестве основных методов, использовавшихся для решения поставленных в исследовании задач, необходимо отметить методы теории моделирования, системный подход, экономико-статистический анализ, метод сравнения и научной абстракции.

Информационной базой исследования, обеспечивающей достоверность первичных данных, послужили законодательные и нормативно-правовые акты органов государственной власти, принятые на территории Российской Федерации, руководящие документы Гостехкомиссии России, данные статистических служб зарубежных государств, монографии и публикации в периодической печати, справочно-статистические материалы, а также материалы электронных ресурсов сети Интернет.

Научная новизна. Элементы научной новизны составляют следующие выносимые на защиту результаты работы:

- обоснована необходимость адаптации существующих подходов к анализу и оценке рисков информационной безопасности применительно к исследуемой информационной области в банковских организациях;

- разработана экономико-математическая модель оптимизации затрат на обеспечение информационной безопасности применительно к особенностям организаций банковского сектора, достоинством которой является возможность использования диапазонной оценки вероятности реализации угроз;

- разработана модель угроз в системе дистанционного банковского обслуживания, учитывающая типы нарушителей и характерные для них способы реализации угроз информационной безопасности персональных данных и платежной информации;

- на основе построенных моделей произведен расчет общего уровня риска, что позволяет определить объем инвестиций, обеспечивающий

задаваемый уровень защиты системы дистанционного банковского обслуживания.

Теоретическая и практическая значимость работы. Теоретическая значимость исследования определяется полученными результатами анализа основных подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность и заключается в обосновании и разработке полученной методики и экономико-математической модели.

Практическая значимость работы состоит в возможности использования полученных методических результатов и математических средств в процессе анализа, оценки и управления рисками информационной безопасности, а также при построении и совершенствовании систем управления информационными рисками организаций банковской сферы.

Апробация результатов исследования. Основные положения диссертации докладывались, обсуждались и получили положительную оценку на теоретических семинарах кафедры информационных технологий и систем в экономике и управлении, а также на межвузовских конференциях и семинарах, в частности: на научно-практической конференции «Экономико-

1

организационные аспекты модернизации промышленности» (Москва, 2012); на межкафедральном научном семинаре факультета экономики менеджмента и информационных технологий МГИУ (Москва, 2013); на 2-ой вузовской межкафедральной научно-практической конференции «Современные технологии обеспечения информационной и экономической безопасности» (Москва, 2013); на всероссийской межвузовской научно-практической конференции «Современные аспекты развития экономики России: проблемы и перспективы» (Москва, 2013).

Проведенное исследование позволило подготовить и внести ряд предложений по совершенствованию существующей методики анализа и

оценки рисков информационной безопасности системы дистанционного банковского обслуживания одного из коммерческих банков.

Публикации. Основные результаты диссертации отражены в 9-ти научных работах, четыре из которых опубликованы в периодических изданиях из Перечня ВАК. Авторский объем составляет 3,5 п.л.

Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.

Общий объем исследования - 116 страниц машинописного текста, содержит 10 таблиц и 15 рисунков. Список литературы насчитывает 86 наименований, из которых 24 на иностранном языке.

В соответствии с целью и задачами исследования, работа построена следующим образом:

Во введении дано обоснование актуальности темы диссертационного исследования, определены цель, задачи, приведена теоретическая и методологическая основа, информационная база исследования, отмечается научная новизна работы и положения, выносимые на защиту, а также практическая ценность работы, приводятся сведения об апробации

»-г •

полученных результатов.

В Главе 1 «Основные подходы и методические основы анализа и оценки рисков информационной безопасности» рассматривается сущность риск-ориентированного подхода к обеспечению информационной безопасности и методическое обеспечение процесса анализа и оценки рисков. Кроме того, анализируются существующие подходы к оценке уровня риска и инвестиций в информационную безопасность.

В Главе 2 «Методика анализа и оценки рисков информационной безопасности организаций банковской системы» формируется общая методика анализа и оценки рисков информационной безопасности организаций банковской системы: идентифицируются основные активы,

анализируются основные угрозы и уязвимости, предлагается экономико-математическая модель оптимизации затрат на обеспечение ИБ.

В Главе 3 «Разработка модели анализа и оценки рисков информационной безопасности системы дистанционного банковского обслуживания» применительно к системе ДБО разработана модель угроз информационной безопасности, на основе предлагаемой экономико-математической модели произведен расчет общего уровня риска и оптимального объема инвестиций в обеспечение информационной безопасности.

В Заключении изложены основные выводы и практические предложения, выработанные автором в ходе работы над диссертационным исследованием.

II. ОСНОВНЫЕ НАУЧНЫЕ ПОЛОЖЕНИЯ И РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

1. Обоснована необходимость адаптации существующих подходов к анализу и оценке рисков информационной безопасности применительно к исследуемой информационной области организаций банковского сектора.

В недавнем прошлом вся мировая, в том числе отечественная, практика регулирования информационной безопасности заключалась в обязательном соблюдении требований всех регулирующих органов. С учетом невозможности охвата всех возможных видов деятельности и предложения универсального набора требований, распространенная практика оказалась неадекватной существующей реальности.

Дальнейший путь эволюции обеспечения информационной безопасности сводился к тому, что топ-менеджмент и руководство отделов ИБ персонально делали выбор в сторону предложенных стандартных наборов защитных мер.

Недостатком указанного подхода послужила неизвестность при принятии риска, а именно отсутствие данных о его величине.

Вскоре эксперты пришли к заключению, что само обеспечение ИБ может порождать дополнительные риски. И последующая эволюция модели ИБ свелась к позиции, согласно которой все риски информационной безопасности должны быть согласованы с рисками организации в целом. Так, появилась задача интеграции системы управления информационными рисками (СУИР) в систему корпоративного управления всей компанией.

При всех своих достоинствах прагматичные модели ИБ (расчет совокупной стоимости владения СУИБ, «возврат» инвестиций и пр.) требуют большого объема статистической и прогностической информацией и не получили широкого распространения в силу ожесточенной конкуренции в бизнес среде.

Рассмотренные количественные подходы, будучи общепринятыми и хорошо зарекомендовавшими себя на практике, позволяют нам выяснить являются ли затраты на информационную безопасность обоснованными с экономической точки зрения. Однако данные подходы не исключают проблему неточности исходных данных, не предоставляют достаточной информации для сравнительного анализа, расстановки приоритетов и для принятия решения в целом.

Остается открытым вопрос оптимальности размера инвестиций в информационную безопасность и определения тех участков системы, повышение затрат на защиту которых наиболее существенно повлияет на снижение риска для системы в целом.

Проведенный анализ позволил сформулировать вывод о необходимости формирования методического инструментария для анализа и оценки рисков информационной безопасности применительно к определенной информационной области или сферы деятельности с учетом динамики параметров риска.

Предлагаемая функция и график зависимости (рисунок 2) вероятности реализации угрозы от затрат на информационную безопасность будет иметь вид квадратичной функции:

(3)

Ру(2)е[а;/3\

аг > Д УгеД.

га 2

Рисунок 2. Зависимость вероятности реализации угрозы (Рг) от инвестиций в ИБ (г).

Параметр г обозначает объем денежных средств, выделяемый на обеспечение защиты информационного актива. Параметры а и Р являются верхней и нижней границами вероятности реализации угрозы соответственно и определяются методом экспертных оценок.

Следует отметить, что именно отсутствие возможности указать нижний предел вероятности реализации угрозы является одним из недостатков известных моделей. В современном мире даже очень значительный объем

угрозы от затрат на информационную безопасность. Выбор же квадратичной зависимости в работе обусловлен сложностью определения дополнительных параметров (коэффициентов) в альтернативных функциях и их интерпретации для дачи экспертных оценок.

Для нахождения оптимального уровня инвестиций в информационную безопасность необходимо решить задачу минимизации значения общих потерь и затрат при имеющихся ограничениях, что графически показано на рисунке 3.

Рисунок 3. Оптимальный уровень инвестиций в ИБ (г*).

Задача нахождения оптимального уровня инвестиций в информационную безопасность будет тогда иметь вид:

\a-fi)

С = Л-Рт(г)-Ру(г) + г = Л-1-е-р-2 при имеющихся ограничениях.

(Я/в)2

{г-Х/е)г+р +гчшш, (5)

Формирование перечня типов объектов среды выполняется согласно иерархии уровней информационной инфраструктуры организации. В частности, указанный перечень содержит следующие типы объектов среды:

— линии связи и сети передачи данных;

— сетевые, программные и аппаратные средства, в том числе сетевые серверы;

— файлы данных, базы данных, хранилища данных;

— носители информации, в том числе бумажные носители;

— прикладные и общесистемные программные средства;

— программно-технические компоненты автоматизированных систем;

— помещения, здания, сооружения;

— платежные и информационные технологические процессы.

Выявление источников угроз с соответствующим уровнем детализации зависит от реальных потребностей организации в защите информации, т.е. от соотношения стоимости самой защиты и стоимости риска.

Процесс идентификации риска является циклическим. Первоначально составляется грубая схема цепочек «угроза—»величина риска» без детализированного описания моделей угроз, проводится сравнительная стоимостная оценка экспертным способом с привлечением данных по потерям банка. На основе этой оценки выделяются наиболее значимые факторы риска и для них уже строятся детальные модели нарушителей.

Угрозы, исходящие от человека, являются наиболее разнообразными, что определяет необходимость высокой детализации в их описании. Факторы риска, связанные с действиями внешних (хакеры, промышленные шпионы и пр.) и внутренних нарушителей (сотрудники компании), необходимо описывать более детально, включая их потенциальные мотивы, стереотипы поведения и типичные действия в связке с уязвимостями.

С учетом рекомендаций Банка России целесообразно выделить следующие источники угроз для системы ДБО:

— внешний нарушитель, компьютерный злоумышленник;

— внутренний нарушитель (сотрудник банка), нелояльный сотрудник организации (клиента).

Фрагмент разработанной модели представлен в таблице 1.

Таблица 1

Фрагмент модели угроз информационной безопасности в системе ДБО

Источник угрозы ИБ Уровень реализации угрозы безопасности Объекты среды Угрозы Способ реализации

Внешний нарушитель, компьютерный злоумышленник Сетевой уровень Активное оборудование ЛВС Нарушение конфиденциальности А1. Несанкционированный доступ к ресурсам ЛВС извне (перехват данных на маршрутизаторе, создание ложного маршрутизатора); сетевые атаки с целью получения НСД

Нарушение доступности А2.Приведение межсетевого экрана, оборудования ЛВС, каналов связи к отказу в обслуживании (удаленные сетевые атаки)

Уровень сетевых приложений н сервисов Программные компоненты передачи данных между клиентом н банком Нарушение доступности АЗ.Внедрение по сети на ПК клиента программ, влияющих на работу системы ДБО; подмена платежного поручения посредством использования вредоносного ПО

А4.Внедрение по сети вредоносных программ в компьютерную систему банка

Уровень операционных систем Файлы данных

Уровень систем управления базами данных Базы данных

Уровень технологических приложений и сервисов Прикладные программы доступа и обработки информации, бумажные носители, клиентские АРМ

Внутренний нарушитель (сотрудник бакха), нелояльный сотрудник организации (клиента)

Задача нахождения оптимального уровня инвестиций в информационную безопасность при известных ограничениях относится к классу задач нелинейного программирования. Для ее решения был использован программный продукт «МаЛсаё». Фрагмент области рабочего листа программы проиллюстрирован на рисунке 4. Расчет оптимального объема инвестиций в обеспечение информационной безопасности системы ДБО представлен в таблице 5.

'15000000^ '0.5> ' 0.8 0.2'

6000000 0.7 0.9 О.З

24000000 0.75 0.85 0.2

21000000 0.5 0.8 0.2

23000000 0.41 0.5 0.2

44000000 0.3 0.5 0.1

47000000 0.6 0.45 0.1

53000000 0.1 0.35 0.1

18000000 0.28 0.2 0.05

17000000 0.3 0.2 0.05

20000000 0.6 0.9 0.2

26000000 0.7 0.8 0.2

14000000 0.7 0.9 0.3

16000000 0.2 0.6 0.1

I5000000 0.25 0.7 0.4

38000000 1 := 0.22 V 0.6 0.1

5000000 0.25 0.5 0.1

42000000 0.1 0.7 0.2

43000000 0.12 0.7 0.2

36000000 0.13 0.6 0.2

14000000 0.15 0.6 0.1

12000000 0.16 0.6 0,1

30000000 0.5 0.8 0.4

34000000 0.3 0.65 0.1

49000000 0.41 0.8 0.4

8000000 0.2 0.63 0.1

9000000 0.25 0.62 0.1

32000000 0.65 0.8 0.3

28000000 0.5 0.9 0.2

4000000 0.18 0.5 0.2

^10000000, ^0.15, ч 0.6 0.3,

ф := 0.000008

¡=0

г м2

+уи

Сйуеп

1 := 0.. 30

Ь

2

г' := Мтшия(К|, г)

^ Ь; = 1.851 х 108 ¡ = о зо

^ г1. = 1.285х 107 1 =0

¡ = 0

Рисунок 4. Фрагмент области рабочего листа «МаШсаё».

Ш. ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Проведен сравнительный анализ наиболее распространенных, в т.ч. передовых зарубежных, подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность. Анализ показал ограниченность в применяемости подходов и позволил сформулировать вывод о необходимости формирования методического инструментария для анализа и оценки рисков информационной безопасности применительно к определенной информационной области или сферы деятельности с учетом специфики функционирования организаций.

2. Разработана экономико-математическая модель оптимизации затрат на обеспечение информационной безопасности организаций банковского сектора. Предложенная модель описывает зависимость общего уровня риска от объемов инвестиций в обеспечение информационной безопасности, достоинством которой, является возможность использования диапазонной оценки вероятности реализации угроз.

3. Разработана частная модель угроз информационной безопасности в системе дистанционного банковского обслуживания, учитывающая специфику обработки персональных данных в рассмотренной кредитной организации.

4. На основе построенных моделей произведен расчет общего уровня риска и оптимального объема инвестиций в обеспечение безопасности системы дистанционного банковского обслуживания.

IV. ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Журналы, рекомендованные ВАК для публикации научных работ:

1. Собакин И.Б. Характеристика современных международных стандартов по управлению рисками информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. №4, 2010,- 0,5 п.л.

2. Собакин И.Б. Идентификация активов как ключевых факторов риска информационной безопасности // Вопросы защиты информации. №2, 2011. -0,5 п.л.

3. Собакин И.Б. Эволюция стандартов в области управления рисками информационной безопасности // Информационные системы и технологии. №3,2011.-0,6 п.л.

4. Собакин И.Б. Анализ подходов к определению оптимального объема инвестиций в информационную безопасность // Труды ИСА РАН: Информационные технологии. Численные методы решения. Математические модели социально-экономических процессов. Управление рисками и безопасностью. Динамические системы. Т.62. Вып.З, 2012. — 0,4 п.л.

Другие издания:

5. Собакин И.Б. Разработка математической модели оптимизации затрат на обеспечение информационной безопасности организаций кредитно-финансовой системы // Организация и направления научно-исследовательской работы студентов (направление 090900 «Информационная безопасность»). Выпуск 2. Сборник научных статей / Под ред. проф. Лося В.П., проф. Масленникова Д.П., доц. Федорова Н.В. М.: МГИУ, 2013. - 0,6 п.л., лично авт. 0,5 п.л.

6. Собакин И.Б. Оценка рисков и расчет оптимального объёма инвестиций в информационную безопасность системы дистанционного

банковского обслуживания // Организация и направления научно-исследовательской работы студентов (направление 090900 «Информационная безопасность»). Выпуск 2. Сборник научных статей / Под ред. проф. Лося В.П., проф. Масленникова Д.П., доц. Федорова Н.В. М.: МГИУ, 2013. - 0,4 п.л., лично авт. 0,3 п.л.

7. Собакин И.Б. Системный подход к управлению рисками информационной безопасности // Актуальные проблемы современной науки — М.: Издательство «Спутник-)-», №3, 2013. — 0,2 п.л.

8. Собакин И.Б. Риск-ориентированный подход к обеспечению информационной безопасности // Экономика. Управление. Право. - М.: ИНГИ, №4 (40), 2013. - 0,3 п.л.

9. Собакин И.Б. Процессная модель управления рисками информационной безопасности // Вопросы экономических наук — М.: «Спутник+», №3, 2013. - 0,2 п.л.

СОБАКИН ИВАН БОРИСОВИЧ

МОДЕЛИРОВАНИЕ ПРОЦЕССА АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ

СИСТЕМЫ

Автореферат

Подписано в печать 11.10.13 Формат бумаги 60x84/16 Усл. печ. л. 2,0. Уч.-изд. л. 2,0. Тираж 100. Заказ № 299

Издательство МГИУ, 115280, Москва, Автозаводская, 16 www.izdat.msiu.ru; e-mail: izdat@msiu.ru; тел. (495) 276-33-67

Отпечатано в типографии издательства МГИУ

Диссертация: текстпо экономике, кандидата экономических наук, Собакин, Иван Борисович, Москва

Московский Государственный Индустриальный Университет

СОБАКИН ИВАН БОРИСОВИЧ

04201450196

МОДЕЛИРОВАНИЕ ПРОЦЕССА АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

Специальность 08.00.13 - «Математические и инструментальные методы

экономики»

Диссертация на соискание ученой степени кандидата экономических наук

Научный руководитель: доктор экономических наук, профессор

Воловиков С.А.

Москва 2013

СОДЕРЖАНИЕ

ВВЕДЕНИЕ..............................................................................................................4

ГЛАВА 1. ОСНОВНЫЕ ПОДХОДЫ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.................................................................................................10

1.1. Риск-ориентированный подход к обеспечению информационной безопасности.......................................................................................................10

1.2. Процессная модель управления рисками информационной безопасности.......................................................................................................16

1.3. Методическое обеспечение процесса оценки и управления рисками информационной безопасности........................................................................22

1.4. Анализ основных подходов к оценке инвестиций в информационную безопасность........................................................................................................30

Выводы по главе....................................................................................................46

ГЛАВА 2. МЕТОДИКА АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ.............................................................................................................48

2.1. Идентификация и определение ценности активов как ключевых факторов риска....................................................................................................50

2.2. Определение перечня и анализ основных угроз и уязвимостей.............58

2.3. Определение понятия риска информационной безопасности и подходы к его оценке.........................................................................................................63

2.4. Экономико-математическая модель оценки уровня риска информационной безопасности организаций банковского сектора.............67

Выводы по главе....................................................................................................75

ГЛАВА 3. РАЗРАБОТКА МОДЕЛИ АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ (ДБО).............77

3.1. Разработка модели угроз информационной безопасности в системе ДБО......................................................................................................................82

3.2. Оценка рисков информационной безопасности системы ДБО..............87

3.3. Математическая модель оценки уровня риска и расчет оптимального объема инвестиций в обеспечение безопасности системы ДБО...................90

Выводы по главе....................................................................................................95

ЗАКЛЮЧЕНИЕ......................................................................................................96

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ.............................................98

ПРИЛОЖЕНИЕ 1................................................................................................107

ПРИЛОЖЕНИЕ 2................................................................................................111

ПРИЛОЖЕНИЕ 3................................................................................................112

ПРИЛОЖЕНИЕ 4................................................................................................115

ВВЕДЕНИЕ

Актуальность темы исследования. В современных условиях повсеместная компьютеризация приводит к появлению таких явлений, как финансовое мошенничество с использованием информационных технологий, киберпреступность (хакерские атаки), и даже может привести к возможности совершения террористических атак с использованием Интернета (получение доступа к системам контроля в сфере государственной важности -электростанции, вооружения, финансовые системы и др.). Очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми и наиболее актуальны для тех компаний, которые имеют отношение к банковскому сектору, к информационным технологиям, к телекоммуникационным услугам и пр.

Необходимо отметить, что никакие технические, организационные и правовые меры не в состоянии гарантировать полную безопасность и надежность информационных систем. Поэтому основная задача обеспечения информационной безопасности сводится к снижению рисков до приемлемого уровня и созданию некой системы, которая обеспечивала бы целостность, доступность и конфиденциальность критически важной информации, и, как следствие, обеспечивала бы жизнеспособность и эффективность самого бизнеса.

Развитие информационной инфраструктуры предприятия неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях анализ и оценка рисков информационной безопасности, являясь на сегодняшний день актуальными задачами, позволяет определить необходимый уровень защиты информации, осуществлять его поддержку, а также выработать рекомендации по совершенствованию системы защиты и минимизации рисков. Вместе с тем остается нерешенным целый ряд проблем.

Для компаний коммерческой и банковской сферы наиболее распространенным способом решения вопроса анализа и оценки рисков является применение систем, которые позволяют оценить риски и выбрать якобы оптимальный по эффективности набор защитных мер. В действительности, вопрос экономической обоснованности, который является ключевым при принятии решений о выделении денежных средств на обеспечение информационной безопасности, рассматривается крайне редко.

Несмотря на то, что в современной научной литературе, в международных и национальных стандартах уделяется большое внимание проблемам анализа, оценки и управления рисками информационной безопасности, зачастую предлагаются наиболее общие рекомендации и не учитываются конкретные специфические особенности ИТ-инфраструктуры организации, работающей в том или ином секторе.

В связи с изложенным, можно заключить, что на сегодняшний день возникла необходимость рассмотрения вопросов анализа и оценки рисков информационной безопасности применительно к конкретной области рассмотрения и создания некой математической модели, которая бы позволила принимать экономически обоснованные решения.

Степень научной разработанности проблемы. Моделирование и анализ рисков информационной безопасности достаточно давно обсуждается в научных кругах. Большое значение для постановки проблемы исследования имели работы таких авторов, как Астахов A.M., Галатенко В.А., Емельянов A.A., Игнатьев В.А., Курило А.П., Медведовский И.Д., Фатьянова A.A. и др. Они представляют интерес в плане анализа угроз информационной безопасности, их классификации и выработки концептуально-правовых подходов их преодоления. В работе также использовались результаты последних диссертационных исследований в области анализа и управления информационными рисками Немиткиной В.В. и Родиной Ю.В.

В научной литературе сформировалось множество подходов к исследованию данной темы, большая часть информации находит свое отражение в международных и национальных стандартах по информационной безопасности.

Вместе с тем, принимая во внимание труды таких авторов, как Завгородний В.И., Петренко С.А, Симонов C.B. и др., касающиеся вопросов оценки и управления рисками информационной безопасности, в целом в научной литературе им уделено мало внимания. Так, передовые зарубежные подходы к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность не рассмотрены вовсе.

Кроме того, до сих пор не предложена и не сформирована общая методика анализа и оценки рисков информационной безопасности организаций кредитно-финансовой системы, в т.ч. банковского сектора, имеющих свою специфику и особенности.

В целом можно сделать вывод об актуальности и недостаточной степени научной разработанности проблемы анализа и оценки рисков информационной безопасности, что обусловило выбор темы настоящего исследования и определило его цели и задачи.

Цель диссертационного исследования состоит в разработке модели анализа и оценки рисков информационной безопасности организаций банковской системы. В соответствии с поставленной целью диссертационного исследования, конкретизируются следующие задачи:

- провести сравнительный анализ существующих методик и основных подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность;

- определить вид и построить экономико-математическую модель, наиболее отражающую зависимость общего уровня риска от средств, вложенных в мероприятия по защите информационной безопасности с учетом специфики банковской деятельности;

- разработать модель угроз информационной безопасности в системе дистанционного банковского обслуживания (ДБО);

- апробировать предложенную методику и осуществить расчет общего уровня риска и оптимального объема инвестиций в обеспечение безопасности системы ДБО.

Объект и предмет исследования. Объектом диссертационного исследования является система управления информационной безопасностью организаций банковской системы. Предметом исследования выступают модели и методы оценки рисков информационной безопасности.

Соответствие паспорту специальностей. Диссертационное исследование соответствует основным положениям пунктов паспорта специальности ВАК 08.00.13 - «Математические и инструментальные методы экономики»:

- п. 1.10. Разработка и развитие математических моделей и методов управления информационными рисками;

- п. 2.11. Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах.

Теоретическая и методологическая основа исследования. В процессе исследования были проанализированы и использованы труды как отечественных, так и зарубежных ученых в области теории информации, информационных систем, информационной безопасности и риск-менеджмента. При проведении диссертационного исследования использовались методы дедукции и индукции, сравнительного и системного анализа, а также CASE-моделирование. В работе применялись международные стандарты в области защиты информации и анализа информационных рисков (серия ISO 27000 и др.), а также описания существующих методов и инструментальных средств управления информационными рисками.

В качестве основных методов, использовавшихся для решения поставленных в исследовании задач, необходимо отметить методы теории

моделирования, системный подход, экономико-статистический анализ, метод сравнения и научной абстракции.

Информационной базой исследования, обеспечивающей достоверность первичных данных, послужили законодательные и нормативно-правовые акты органов государственной власти, принятые на территории Российской Федерации, руководящие документы Гостехкомиссии России, данные статистических служб зарубежных государств, монографии и публикации в периодической печати, справочно-статистические материалы, а также материалы электронных ресурсов сети Интернет.

Научная новизна. Элементы научной новизны составляют следующие выносимые на защиту результаты работы:

- обоснована необходимость адаптации существующих подходов к анализу и оценке рисков информационной безопасности применительно к исследуемой информационной области в банковских организациях;

- разработана экономико-математическая модель оптимизации затрат на обеспечение информационной безопасности применительно к особенностям организаций банковского сектора, достоинством которой является возможность использования диапазонной оценки вероятности реализации угроз;

- разработана модель угроз в системе дистанционного банковского обслуживания (ДБО), учитывающая типы нарушителей и характерные для них способы реализации угроз информационной безопасности персональных данных и платежной информации;

- на основе построенных моделей произведен расчет общего уровня риска, что позволяет определить объем инвестиций, обеспечивающий задаваемый уровень защиты системы ДБО.

Теоретическая и практическая значимость работы. Теоретическая значимость определяется полученными результатами анализа основных

подходов к оценке уровня риска и определения оптимального объема инвестиций в информационную безопасность и заключается в обосновании и разработке полученной методики и экономико-математической модели.

Практическая значимость работы состоит в возможности использования полученных методических результатов и математических средств в процессе анализа, оценки и управления рисками информационной безопасности, а также при построении и совершенствовании систем управления информационными рисками организаций банковской сферы.

Апробация результатов исследования. Основные положения диссертации докладывались, обсуждались и получили положительную оценку на теоретических семинарах кафедры информационных технологий и систем в экономике и управлении, а также на научно-практической конференции «Экономико-организационные аспекты модернизации промышленности» (Москва, 2012), на межкафедральном научном семинаре факультета экономики менеджмента и информационных технологий МГИУ (Москва, 2013), на 2-ой вузовской межкафедральной научно-практической конференции «Современные технологии обеспечения информационной и экономической безопасности» (Москва, 2013), на всероссийской межвузовской научно-практической конференции «Современные аспекты развития экономики России: проблемы и перспективы» (Москва, 2013).

Проведенное исследование позволило подготовить и внести ряд предложений по совершенствованию существующей методики анализа и оценки рисков информационной безопасности системы дистанционного банковского обслуживания одного из коммерческих банков.

Публикации. Основные результаты диссертации отражены в 9-ти научных работах, четыре из которых опубликованы в периодических изданиях из Перечня ВАК. Авторский объем составляет 3,5 п.л.

Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.

ГЛАВА 1. ОСНОВНЫЕ ПОДХОДЫ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. Риск-ориентированный подход к обеспечению информационной безопасности

Обеспечение информационной безопасности для ведущих российских компаний не является новой темой, но продолжает быть все более и более актуальной.

Мировая и российская практика регулирования информационной безопасности недавнего прошлого состояла только из обязательных требований уполномоченных органов. Таким образом, для руководства организаций существовала только одна проблема - проблема соответствия всем этим требованиям и рекомендациям, а для регуляторов - проблема универсализации их набора.

Последующая эволюция процесса обеспечения ИБ сводилась к тому, что топ-менеджмент и руководство отделов ИБ сами выбирали из стандартного набора защитных мер те, которые они считали необходимыми. Безусловно, данный подход оказался также неадекватен существующей реальности.

Известны также прагматичные модели ИБ, основанные на расчете совокупной стоимости владения системы ИБ и «возврате» инвестиций. Однако при своих достоинствах данные подходы требуют большого обмена статистической и прогностической информацией, что в настоящее время не имеет широкого распространения в силу ожесточенной конкуренции в бизнес среде.

Чуть позже эксперты пришли к выводу, что само обеспечение информационной безопасности может порождать ущерб, а по сему, и дополнительные риски.

Таким образом, модель ИБ свелась к позиции, согласно которой, все риски информационной безопасности должны быть согласованы с рисками организации в целом. Так, появилась задача интеграции в систему корпоративного управления всей компании системы управления информационной безопасностью (СУИБ), в том числе ее «ядра» - системы управления информационными рисками [1].

Представляется, что данный подход, впоследствии названный риск-ориентированным, является наиболее актуальным и перспективным с позиции расстановки приоритетов компании, выбора эффективных мер защиты и формирования экономически обоснованных расходов на информационную безопасность.

Риск-ориентированный подход лежит в основе современного корпоративного управления. Оценка рисков позволяет принимать осознанные решения, правильно выбирая механизмы защиты и расставлять приоритеты [4].

Сущность риск-ориентированного подхода заключается в ранжировании угроз, их прогнозировании, выявлении «особо важных зон», а также выработку адекватных защитных мер. В рамках данного подхода акцент делается на выявлении, устранении или же ослаблении потенциального негативного влияния источников рисков.

Надо сказать, что риск-ориентированный подход лежит в основе всех основных международных и отраслевых стандартов ИБ (ISO/IEC 27001:2005, ГОСТ Р ИСО/М