Методологія аналізів ризиків

Одним з можливих підходів до розробки методик аналізу ризиків є нагромадження статистичних даних про події, які відбулись , аналіз і класифікація причин, виявлення факторів ризику.

Практичні складності в реалізації цього підходу наступні: по-перше, повинний бути зібраний дуже великий матеріал про події в цій області; по-друге, застосування цього підходу виправдано далеко не скрізь. Якщо банківська система досить велика (містить багато елементів, розташована на великій території), має давню історію, то подібний підхід виправданий. Якщо порівняно невелика, використовує новітні елементи технології (для якої поки немає достовірної статистики), оцінка ризиків і уразливості може виявитися недостовірною.

Альтернативою статистичному підходу є підхід, заснований на аналізі особливостей технології. Утім, цей підхід також не універсальний: темпи технологічного прогресу в області інформаційних технологій такі, що оцінки, що мають, відносяться до застарілих чи застаріваючих технологій, для новітніх технологій таких оцінок поки не існує.

Загроза сама по собі не несе ніякого збитку для діяльності банку: вона існує об'єктивно, потенційно, поза залежністю від нашого знання про її існування. Однак у деякий момент часу кожна загроза може перейти з потенційної в реальну, тобто реалізуватися. У цей момент часу банк вже має визначений збиток, якщо реалізація даної загрози не була вчасно відвернена, і банк має справу з коефіцієнтом збитку від реалізації даної загрози.

При виконанні методики повного аналізу ризиків приходиться вирішувати ряд складних проблем:

Як визначити цінність ресурсів?

Як скласти повний список загроз інформаційної безпеки й оцінити їхні параметри?

Як правильно вибрати контрзаходи й оцінити їхню ефективність?

Відповідно до цього методика оцінювання ризиків містить кілька етапів:

- ідентифікація ресурсу й оцінювання його кількісних показників чи визначення потенційно негативного впливу на банківську діяльність;

- оцінювання загроз;

- оцінювання вразливості;

- оцінювання існуючих і передбачуваних засобів забезпечення інформаційної безпеки;

- оцінювання ризиків.

Ризик характеризує небезпека, якій може піддаватися банк і інформаційна система, яка використовується банком для своєї діяльності. І при оцінюванні ризиків враховуються потенційний негативний вплив від небажаних подій і показники значимості розглянутих вразливості і загроз для них.

Ступінь ризику залежить від:

=> показників цінності ресурсу;

=> імовірності реалізації загроз;

=> простоти використання уразливості при виникненні загроз;

=> існуючих чи планованих до впровадження засобів забезпечення інформаційної безпеки, скорочують імовірність виникнення загроз і негативних впливів.

Визначення цінності ресурсів.

Ресурси звичайно підрозділяються на кілька класів, наприклад, фізичні, програмні і дані. Для кожного класу повинна існувати своя методика оцінки цінності елементів.

Для оцінки цінності ресурсів вибирається придатна система критеріїв. Критерії повинні дозволяти описати потенційний збиток, пов'язаний з порушенням конфіденційності, цілісності, приступності.

Цінність фізичних ресурсів оцінюють з погляду вартості їхньої заміни чи відновлення працездатності. Ці вартісні величини потім перетворяться в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюються тим же способом, що і фізичні, на основі визначення витрат на їхнє придбання чи відновлення.

Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності цілісності, то оцінка цього ресурсу виробляється по тій же схемі, тобто у вартісному вираженні.

Крім критеріїв, що враховують фінансові втрати, у банках можуть бути присутніми критерії, що відбивають:

- збиток репутації банку;

- неприємності, зв'язані з порушенням діючого законодавства;

- збиток для здоров'я персоналу;

- збиток, пов'язаний з розголошенням персональних даних окремих осіб;

- фінансові втрати від розголошення інформації;

- фінансові втрати, пов'язані з відновленням ресурсів;

- втрати, пов'язані з неможливістю виконання зобов'язань;

- збиток від дезорганізації діяльності банку.

Можуть використовуватися й інші критерії залежно від профілю банку.

Оцінка характеристик факторів ризику.

Ресурси повинні бути проаналізовані з погляду оцінки впливу можливих атак (спланованих дій внутрішніх чи зовнішніх зловмисників) і різних небажаних подій природного походження. Також потенційно можливі події називаються загрозами безпеки. Крім того, необхідно ідентифікувати уразливості - слабості в системі захисту, що уможливлюють реалізацію загроз.

Для того щоб конкретизувати імовірність реалізації загрози розглядається деякий відрізок часу, протягом якого передбачається захищати ресурс. Імовірність того, що загроза реалізується, визначається наступними факторами:

=> привабливістю ресурсу (цей показник враховується при розгляді загрози навмисного впливу з боку людини);

=> можливість використання ресурсу для одержання доходу (показник враховується при розгляді загрози навмисного впливу з боку людини);

=> простотою використання уразливості при проведенні атаки.

В даний час відомо безліч методів оцінювання загроз, більшість з яких побудовані на використанні таблиць. Такі методи порівняно прості у використанні і досить ефективні. Однак не слід говорити про кращий метод, тому що в різних випадках вони будуть різними. Важливо з наявного різноманіття методів вибрати саме той, котрий забезпечив би відтворені результати для даного банку.

Ранжування загроз.

У матриці чи таблиці можна наочно відбити зв'язок факторів негативного впливу (показників ресурсів) і ймовірностей реалізації загрози з урахуванням показників вразливості (табл.1).

На першому кроці оцінюється негативний вплив (показник ресурсу) по заздалегідь визначеній шкалі, наприклад від 1 до 5, для кожного ресурсу, якому загрожує небезпека (стовпчик b у табл.1.)

На другому - по заздалегідь заданій шкалі, наприклад від 1 до 5, оцінюється імовірність реалізації кожної загрози.

Таблиця..1 Вірогідність реалізації загрози з урахуванням показників вразливості

Дисіфиптор загрози (а)	Показник негативного впливу (ресурсу) (Ь)	Імовірність реалізації загрози (с)	Показник ризику (її)	Ранг загрози (е)
Загроза А	5	2	10	2
Загроза В	2	4	8	3
Загроза С	3	5	15	1
Загроїа С	1	3	3	5
Загроза Е	4	1	4	4
Загроза Р	2 4		8	3

На третьому кроці обчислюється показник ризику. У найпростішому варіанті методики це робиться шляхом множення (bхс).

На четвертому кроці загрози ранжуються за значеннями їхнього фактора ризику.

Оцінювання рівнів ризику.

Розглянемо метод, побудований на використанні таблиць і враховуючий тільки вартісні характеристик ресурсів.

Цінність фізичних ресурсів оцінюється з погляду вартості їхньої заміни відновлення працездатності (тобто кількісних показників). Ці вартісні величини потім перетворяться в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюються тим же способом, що і фізичні, виходячи з витрат на їхнє придбання чи відновлення.

Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності чи цілісності, то оцінка цього ресурсу виробляється по тій же схемі, тобто у вартісному вираженні.

Кількісні показники інформаційних ресурсів оцінюються на підставі опитувань співробітників банку (власників інформації) - тих хто може оцінити цінність інформації, визначити її характеристики і ступінь критичності. На основі результатів опитування виробляється оцінювання показників і ступеня критичності інформаційних ресурсів для найгіршого варіанта розвитку подій. Розглядається потенційний вплив на бізнес-процес при можливому несанкціонованому ознайомленні з інформацією, зміні інформації, відмовленні від виконання обробки інформації, неприступності на різні терміни і руйнуванні.

Далі розробляється система показників у бальних шкалах. Таким чином, кількісні показники використовуються там, де це припустимо і виправдано, а якісні - там, де кількісні оцінки неможливі.

По кожній групі ресурсів, зв'язаній з даною загрозою, оцінюється рівень останньої (імовірність реалізації) і ступінь уразливості (легкість з якою реалізована загроза здатна привести до негативного впливу).

Поділ ризиків на прийнятні і не прийнятні.

Інший спосіб оцінювання ризиків складається в поділі їх тільки на прийнятні і не прийнятні. Підхід грунтується на тому, що кількісні показники ризиків використовуються тільки для їх упорядкування і визначення першочергових дій. Але це можна досягти і з меншими витратами.

Матриця, використовувана в даному підході, містить не числа, а тільки символи Д (ризик допустимо) і Н (ризик не допустимо).

Кожен рядок у матриці визначається показником ресурсу, а кожен стовпець - ступенем небезпеки загрози й уразливості. Розмір матриці, що враховує кількість ступенів загроз і вразливості, категорій ресурсів, може бути іншим і визначається конкретним банком.

Світовий досвід банківської діяльності, узагальнення досвіду роботи прорвідних українських і російських банків показують, що системоутворюючим елементом керування ризиками в бізнесі є інформаційно-аналітична діяльність. Саме на її базі і будується система комплексної безпеки, що покликана виявляти і прогнозувати зовнішні і внутрішні загрози життєво важливим інтересам, а також здійснювати необхідний комплекс дій з їх попередження і нейтралізації.

При прогнозуванні і мінімізації ризиків інформаційна підтримка має визначальне, але не виняткове значення. Для рішення проблеми необхідно почати цілий комплекс заходів, спрямований на забезпечення підприємництва й особистості. Штучне вичленовування одного з елементів комплексу (навіть найважливішого) не вирішує задачу цілком.

В даний час немає стрункої системи класифікації підприємницьких ризиків. Всі існуючі нині підходи до класифікації ризиків недостатньо повно відбивають розмаїтість ризиків, тому представляється обов'язковим визначення їхніх типів і угруповання по визначених ознаках.

Першочерговою задачею є оцінка стану керування ризиками в банку, що припускає проходження наступних етапів:

=> установлення причин, факторів, джерел ризику в банку;

=> ідентифікація ризиків банку;

=> побудова профілю ризику;

=> інтегральна оцінка ризику банку по профілю;

=> аналіз використовуваних у банку заходів щодо керування ризиками;

=> оцінка ефективності застосовуваних заходів.

Дослідження стану керування ризиками проводиться при дотриманні наступних принципів:

=> комплексності, що дозволяє охопити організаційні, інформаційні, виробничо-технічні, соціальні, економічні, юридичні аспекти проблеми;

=> науковості, що базується на визначенні оптимального варіанта дій для досягнення поставленої задачі;

=> системності, що представляє об'єкт дослідження у вигляді цілісної єдиної системи;

=> прогресивності, що полягає у відповідності дослідження передовим методам і методикам вітчизняного і закордонного досвіду.

Дослідження організації керування ризиками в банку доцільно проводити в три етапи (рис..1.).

Рис. 1. Схема проведення дослідження організації керуваннями ризиками.