Найти на сайте
ГлавнаяБаланс

Риски информационной безопасности. Обеспечение информационной безопасности

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

  • физические источники;
  • нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
  • утечка из закрытых источников;
  • утечка техническими путями;
  • несанкционированное вторжение;
  • атака информационных активов;
  • нарушение целостности модификации данных;
  • чрезвычайные ситуации;
  • правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

  • преодоление неэффективного использования средств аудита;
  • уменьшение степени пользования людьми специальных средств для обработки данных;
  • снижение применения ресурсов и активов;
  • приучение к получению доступа к сетевым средствам только установленными методами;
  • выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

  • веб-сайт и внешние хосты;
  • беспроводная сеть предприятия;
  • резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

  • материальные;
  • человеческие;
  • информационные;
  • финансовые;
  • процессы;
  • бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

  • люди;
  • стратегия;
  • технологии;
  • процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

  1. Установка целей и способов их достижения.
  2. Анализ информации, необходимой для вынесения вердикта.
  3. Обработка собранных данных.
  4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

История доказывала много раз, что стабильность, какой бы идеальной и хорошей она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценки возможностей и решений, приводящих к успеху или поражению. Но многое зависит от нас. Благополучно ли закончится прыжок с парашютом? Зависит от того, правильно ли он был уложен, знаете ли вы порядок действий при прыжке и т.д. Теперь риск равен нулю? Нет, но своими действиями вы смогли существенно снизить его. Помимо индивидуальных рисков, выделяют риски социальные, технологические и многие другие. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.

Антон Макарычев
Руководитель направления ИБ Группы компаний “Компьюлинк"

Стандарт управления рисками ISO 31000:2009 дает определение риска как результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанное с пониманием события или знаниями о нем, его последствиями или вероятностью. Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность принятых мер также отдается на волю случая. Все равно что использовать бензопилу в качестве топора, не удосужившись прочитать инструкцию по применению. Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с существующими наработками и стандартами в этой области.


От общего к частному

Рассматривая управление рисками в фокусе информационной безопасности, полезно иметь представление о следующих документах:

  • международный стандарт ISO 31000:2009;
  • концептуальные основы управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея (COSO ERM);
  • стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в общественном секторе Великобритании.

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым.

ISO 31000:2009 является основным международным стандартом по управлению рисками для организаций и дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.

Более подробные инструкции содержатся в Концептуальных основах управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея. В частности, практическую пользу, помимо самого документа, представляют дополнительные материалы, выпущенные Комитетом COSO:

  • ERM Risk Assessment in Practice (практика проведения оценки рисков в системе управления рисками);
  • Enterprise Risk Management for C
  • oud Computing (управление рисками для систем облачных вычислений);
  • Enterprise Risk Management – Understanding and Communicating Risk Appetite (понимание и коммуникация риск-аппетита в системе управления рисками);
  • Embracing Enterprise Risk Management: Practica
  • Approaches for Getting Started (практические подходы для начала внедрения системы управления рисками) и др.

Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.

Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов, – различия в определениях. Например, определение понятия "риск" в стандарте ISO – это вероятность и положительного и негативного последствия, в стандарте COSO – это только вероятность негативного последствия, для положительного, есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.

Еще одним полезным документом является стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в Общественном секторе Великобритании. Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками (рис. 2).


Он будет крайне полезен для малого и среднего бизнеса, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.

Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:

  • ISO 31000:2009 подойдет в качестве основного для любой организации;
  • AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний;
  • COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.

Управление рисками информационной безопасности

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым. Доступность ЦОД измеряется в пяти и шести "девятках", а сбои в информационных системах крупных компаний становятся новостями мирового масштаба.

Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IТ-рискам, которые занимаются выявлением и управлением рисками в данной сфере.


Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками информационной безопасности в организации – ISO 27005:2008 "Информационные технологии – техники безопасности – управление рисками информационной безопасности". Однако, помимо него, существуют и другие не менее полезные документы, например:

  • рабочая среда по управлению IТ-рисками (The Risk IT Framework) и инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA;
  • авторская методика по управлению рисками информационных систем Кена Джаворски (Ken Jaworski).

Рассмотрим каждый из них подробнее.

В стандарте ISO 27005:2008 дается определение риска информационной безопасности – вероятность того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации.

В соответствии со стандартом процесс управления рисками информационной безопасности позволяет организовать следующее:

  • идентификацию рисков;
  • оценку рисков в терминах последствий для бизнеса и вероятности их появления;
  • сообщение и осознание вероятности и последствий рисков;
  • выстраивание порядка приоритетов для обработки рисков;
  • выстраивание приоритета для действий по уменьшению вероятности возникновения рисков;
  • вовлечение заинтересованных лиц в процесс принятия решений по управлению рисками и информирование о статусе процесса управления рисками;
  • мониторинг эффективности обработки рисков;
  • регулярное отслеживание и пересмотр рисков и процесса управления рисками;
  • выявление информации для улучшения подхода к управлению рисками;
  • обучение менеджеров и сотрудников рискам и действиям для их снижения.

В области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Примечательно, что схема процесса управления рисками информационной безопасности совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.

Рабочая среда по управлению IТ-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению – методологию и практические примеры.

В данном документе дается определение IТ-риска – это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией IТ в организации.

Процессная модель данной среды состоит из трех доменов:

  • управление риском (Risk Governance);
  • оценка риска (Risk Evaluation);
  • реагирование на риск (Risk Response).

В документе тщательно разобрана эта трехдоменная модель. Приведены все необходимые определения, разобрана ролевая модель по перечисляемым процессам, а также порядок внедрения.

Инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены необходимые шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Также дается описание лучших практик внедрения систем IТ-рисков.

Методика по управлению рисками информационных систем Кена Джаворски основана на стандарте ISO и акцентирует свое внимание на практических аспектах внедрения системы управления рисками, а также содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.

Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Заключение

Система управления рисками как часть корпоративного управления уже показывает свою эффективность в тех компаниях, в которых она начинает внедряться или уже внедрена. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки. Принципиальным моментом является тот факт, что, помимо "общих" документов, существуют отраслевые стандарты управления рисками, в частности управления рисками IТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый административный ресурс, недостаточно уделяя внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.

Риск информационной безопасности (information security risk) - «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации» .

В соответствии с ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001-2013 «Система управления информационной безопасностью» - процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Базовый уровень безопасности (baseline security) - обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - ССТА Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI.

Существуют критерии ряда организаций - NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.

Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.

Базовый (baseline ) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.

Полный (full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ состоит из этапов, представленных на рис. 1.

Оценка риска

Анализ риска

Идентификация риска

Количественная оценка риска

  • 0 х:
    • (Ъ о;

Оценка риска

Вторая точка принятия решения. . Результат обработки риска удовлетворительный?

Рис. 1.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.

Анализ риска включает: идентификацию риска (определение активов, определение угроз, определение существующих мер и средств контроля и управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, установление значений уровня рисков).

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации.

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012 оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, компания должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста .

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

  • - определить угрозы и их источники;
  • - определить существующие и планируемые меры и средства контроля и управления;
  • - определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
  • - определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;
  • - оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
  • - оценить вероятность чрезвычайных сценариев;
  • - оценить уровень риска;
  • - сравнить уровни риска с критериями оценки и приемлемости рисков.

Применяемая для оценки риска методология должна предусматривать действия, указанные ниже.

  • 1. Определение активов.
  • 2. Определение угроз.
  • 3. Выявление уязвимостей.
  • 4. Определение последствий.
  • 5. Оценка вероятности инцидента.
  • 6. Установление значений уровня рисков.
  • 7. Соотнесение рисков с критериями.
  • 8. Определение мер обработки риска.

Схема деятельности по обработке риска показана на рис. 2.

Удовлетворительная

Первая точка принятия решения. Результат оценки риска удовлетворительный?

ОБРАБОТКА РИСКА


Рис. 2.

с ГОСТ Р ИСО/МЭК 27005-2010

Помимо указанных действий в организации должен предусматриваться и мониторинг рисков.

Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.

При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:

  • - снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;
  • - сохранен (принят), как приемлемый для рассматриваемого объекта оценки;
  • - предотвращен, за счет отказа от использования подверженного угрозе ресурса;
  • - перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса.

Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска .

На рис. 3 схематично изображен процесс оценки рисков информационной безопасности . Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.

Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.

Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей.

В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:

  • - возможного ущерба, наносимого организации в результате нарушений безопасности активов;
  • - вероятности наступления такого нарушения;
  • - величины риска.

Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.

Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются


Рис. 3.

все возможные последствия и степень их негативного влияния на организацию, ее партнеров и сотрудников.

Необходимо определить степень тяжести последствий от нарушения конфиденциальности, целостности, доступности и других важных свойств информационного актива, а затем найти общую оценку.

Следующим этапом анализа рисков является оценка вероятности реализации угроз.

После того, как были определены величина возможного ущерба и вероятность реализации угроз, определяется величина риска.

Вычисление рисков производится путем комбинирования возможного ущерба, выражающего вероятные последствия нарушения безопасности активов, и вероятности реализации угроз.

Такое комбинирование часто осуществляется при помощи матрицы, где в строках размещаются возможные значения ущерба, а в столбцах - вероятности реализации угрозы, на пересечении - величина риска.

Далее производится сравнение вычисленных уровней риска со шкалой уровня риска. Это необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые уровни риска, при которых дальнейшие действия не требуются. Все остальные риски требуют принятия дополнительных мер.

Результаты оценки рисков используются для определения экономической целесообразности и приоритетности проведения мероприятий по обработке рисков, позволяют обоснованно принять решение по выбору защитных мер, снижающих уровни рисков.

Существует множество методик анализа и оценки рисков ИБ. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие наоборот, активно его используют.

Несмотря на повышение интереса к управлению рисками, большинство из используемых в настоящее время методик относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

Для решения задачи оценки рисков информационной безопасности классическими являются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других. Все известные методики можно классифицировать следующим образом :

  • - методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»), к таким методикам, в частности, относится FRAP;
  • - количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь), к этому классу относится методика RiskWatch;
  • - методики, использующие смешанные оценки (такой подход используется в CRAMM, методике MSAT).

До принятия решения о внедрении той или иной методики управления рисками ИБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В табл. 1 представлен сравнительный анализ классических методик (CRAMM, ГРИФ, RiskWatch, CORAS, MSAT).

Таблица 1

Сравнение программного инструментария для управления рисками ИБ

Критерии сравнения

ГРИФ

RiskWatch

Риски

Использование понятия максимально допустимого риска

Подготовка плана мероприятий по снижению рисков

Управление

Информирование руководителя

План работ по снижению рисков

Включает проведение тренингов, семинаров, собраний

Оценка бизнес-рисков/операционных рисков/ИТ-рисков

Оценка рисков на организационном уровне

Оценка рисков на техническом уровне

Предлагаемые способы снижения рисков

Обход (предотвращение) риска

Снижение риска

Принятие риска

Процессы

Использование элементов риска

Материальные активы

Нематериальные активы

Ценность активов

Уязвимости

Меры безопасности

Потенциальный ущерб

Вероятность реализации угроз

Критерии сравнения

Рассматриваемые типы рисков

Бизнес-риски

Риски, связанные с нарушением законодательных актов

Риски, связанные с использованием технологий

Коммерческие риски

Риски, связанные с привлечением третьих лиц

Риски, связанные с привлечением персонала

Способы измерения величин рисков

Качественная оценка

Количественная оценка

Способы управления

Качественное ранжирование рисков

Использование независимой оценки

Расчет возврата инвестиций

Расчет оптимального баланса между различными типами мер безопасности, такими как:

Меры предотвращения

Меры выявления

Меры по исправлению

Меры по восстановлению

Интеграция способов управления

Описание назначения способов управления

Процедура принятия остаточных рисков

Управление остаточными рисками

Мониторинг рисков

Применение мониторинга эффективности мер ИБ

Проведение мероприятий по снижению рисков

Использование процесса реагирования на инциденты в области ИБ

Структурированное документирование результатов оценок рисков

Примечание: Таблица сравнения программного инструментария для анализа и оценки рисков приводится по материалам статьи: Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. -

2014.-№4.- С. 160-168.

Оценка С RAMM

Данная методика не учитывает сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам рисков. В отношении стратегии работы с рисками, CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как обход или принятие, не рассматриваются. В методике отсутствуют:

процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.

Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков. Кроме того, следует отметить высокую стоимость лицензии.

Оценка ГРИФ

Методика ГРИФ использует количественные и качественные способы оценки рисков, а также определяет условия, при которых последние могут быть приняты компанией, включает в себя расчет возврата инвестиций на внедрение мер безопасности. В отличие от других методик анализа рисков, ГРИФ предлагает все способы снижения рисков (обход, снижение и принятие). Данная методика учитывает сопроводительную документацию, такую как описание бизнес-процессов или отчетов по проведенным оценкам рисков ИБ.

Оценка RiskWatch

Эта методика использует количественные и качественные способы оценки рисков. Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Существенным достоинством RiskWatch является интуитивно понятный интерфейс и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д.

Оценка CORAS

CORAS не предусматривает такой эффективной меры по управлению рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки рисков и обновление их величин, что свидетельствует о том, что методика пригодна для выполнения разовых оценок и не годится для регулярного использования.

Положительной стороной CORAS является то, что программный продукт, реализующий эту методику, распространяется бесплатно и не требует значительных ресурсов для установки и применения.

Оценка MSA Т

Ключевыми показателями для данного программного продукта являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценке уровня защищенности системы в организациях разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности). MS АТ не дает количественной оценки уровня рисков, однако, качественные оценки могут быть привязаны к ранговой шкале.

MS АТ позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, но не дает возможности найти оптимальный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов.

Рассмотренные методики хорошо соответствуют требованиям групп «Риски» и «Процессы (Использование элементов риска)», но некоторые из них (CRAMM, CORAS) имеют недостатки в соответствии с разделами «Мониторинг» и «Управление», а также со многими подразделами «Процессы». Немногие (ГРИФ, RiskWatch, MSAT) дают подробные рекомендации по поводу составления расписания проведения повторных оценок рисков.

В тех случаях, когда требуется выполнить только разовую оценку уровня рисков в компании среднего размера, целесообразно рекомендовать использование методики CORAS. Для управления рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методики Microsoft Security Assessment Tool и RiskWatch предпочтительны для использования в крупных компаниях, где предполагается внедрение управления рисками ИБ на базе регулярных оценок, на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.

ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.

  • ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
  • Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. - 2009. - № 1(49). - С. 15-26.
  • Баранова Е. К. Методики анализа и оценки рисков информационной безопасности// Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. - 2015. - № 1(9). - С. 73-79.

    • Основные принципы управления рисками информационной безопасности

    Несмотря на разные операции, продукты и услуги, организации используют пять принципов управления рисками информационной безопасности:

    · Оценить риск и определить потребности

    · Установить централизованное управление

    · Внедрить необходимые политики и соответствующие средства контроля

    · Содействовать осведомленности сотрудников

    · Контролировать и оценивать эффективность политик и механизмов контроля

    Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации.

    Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается "сама по себе", но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).

    Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

    Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации. Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слабыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за постоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно точно сравнить стоимость средств контроля с риском потери, чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны полагаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

    Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

    Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций. Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности. В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет, централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации. Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников, может быть, достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

    Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска. Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.



    Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

    Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

    Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

    · число проведенных тренингов и встреч;

    · число выполненных оценок риска (рисков);

    · число сертифицированных специалистов;

    · отсутствие инцидентов, затрудняющих работу сотрудников организации;

    · снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;

    · полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;

    · снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

    Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.
    Важно гарантировать, что (1) специалисты в области информационной безопасности не "отстают" от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

    Методы анализа

    РЕSТ – это аббревиатура четырех английских слов: Р – Роlitical-legal – политико-правовые, Е – Есопоmiс – экономические, S – Sосioсultural – социокультурные, Т – Тесhnological forces – технологические факторы.

    РЕSТ-анализ состоит в выявлении и оценке влияния факторов макросреды на результаты текущей и будущей деятельности предприятия.

    Выделяют четыре группы факторов, наиболее существенных для стратегии предприятия:

    Политико-правовые;

    Экономические;

    Социокультурные;

    Технологические.

    Цель РЕSТ-анализа – отслеживание (мониторинг) изменений макросреды по четырем узловым направлениям и выявление тенденций, событий, не подконтрольных предприятию, но оказывающих влияние на результаты принятых стратегических решений.

    Таблица 1. PEST анализ

    Политика Р Экономика Е
    1. Правительственная стабильность 2. Изменение законодательства 3. Государственное влияние на отрасли 4. Государственное регулирование конкуренции в отрасли 5. Налоговая политика 1. Общая характеристика экономической ситуации (подъем, стабилизация, спад) 2. Курс национальной валюты и ставка рефинансирования 3. Уровень инфляции 4. Уровень безработицы 5. Цены на энергоресурсы
    Социум S Технология Т
    1. Демографические изменения 2. Изменение структуры доходов 3. Отношение к труду и отдыху 4. Социальная мобильность населения 5. Активность потребителей 1. Государственная техническая политика 2. Значимые тенденции в области НИОКР 3. Новые продукты (скорость обновления и освоения новых технологий) 4. Новые патенты

    Политический фактор внешней среды изучается в первую очередь для того, чтобы иметь ясное представление о намерениях органов государственной власти в отношении развития общества и о средствах, с помощью которых государство предполагает претворять в жизнь свою политику.

    Анализ экономического аспекта внешней среды позволяет понять, как на уровне государства формируются и распределяются экономические ресурсы. Для большинства предприятий это является важнейшим условием их деловой активности.

    Изучение социального компонента внешнего окружения направлено на то, чтобы уяснить и оценить влияние на бизнес таких социальных явлений, как отношение людей к качеству жизни, мобильность людей, активность потребителей и др.

    Анализ технологического компонента позволяет предвидеть возможности, связанные с развитием науки и техники, своевременно перестроиться на производство и реализацию технологически перспективного продукта, спрогнозировать момент отказа от используемой технологии.

    Порядок проведения РЕ5Т – анализа.

    Выделяют следующие этапы проведения внешнего анализа:

    1. Разрабатывается перечень внешних стратегических факторов, имеющих высокую вероятность реализации и воздействия на функционирование предприятия.

    2. Оценивается значимость (вероятность осуществления) каждого события для данного предприятия путем присвоения ему определенного веса от единицы (важнейшее) до нуля (незначительное). Сумма весов должна быть равна единице, что обеспечивается нормированием.

    3. Дается оценка степени влияния каждого фактора-события на стратегию предприятия по 5-балльной шкале: «пять» – сильное воздействие, серьезная опасность; «единица» – отсутствие воздействия, угрозы.

    4. Определяются взвешенные оценки, путем умножения веса фактора на силу его воздействия и подсчитывается суммарная взвешенная оценка для данного предприятия.

    Суммарная оценка указывает на степень готовности предприятия реагировать на текущие и прогнозируемые факторы внешней среды.

    Таблица 2. Результаты анализа внешних стратегических факторов

    В данном случае оценка 3,05 показывает, что реакция предприятия на стратегические факторы внешней среды находится на среднем уровне.

    Применяемый для анализа среды метод SWOT является широко признанным подходом, позволяющим провести совместное изучение внешней и внутренней среды.

    Применяя метод SWOT‑анализа, удается установить линии связи между силой и слабостью, которые присущи организации, и внешними угрозами и возможностями. Методология предполагает сначала выявление сильных и слабых сторон, а также угроз и возможностей , и после этого установление цепочек связей между ними, которые в дальнейшем могут быть использованы для формулирования стратегии организации.

    Томпсон и Стрикленд предложили следующий примерный набор характеристик, заключение по которым должно позволить составить список слабых и сильных сторон организации, а также список угроз и возможностей для нее, заключенных во внешней среде.

    Сильные стороны:

    Выдающаяся компетентность;

    Адекватные финансовые ресурсы;

    Высокая квалификация;

    Хорошая репутация у покупателей;

    Известный лидер рынка;

    Изобретательный стратег в функциональных сферах деятельности организации;

    Возможность получения экономии от роста объема производства;

    Защищенность (хотя бы где-то) от сильного конкурентного давления;

    Подходящая технология;

    Преимущества в области издержек;

    Преимущества в области конкуренции;

    Наличие инновационных способностей и возможности их реализации;

    Проверенный временем менеджмент.

    Слабые стороны:

    Нет ясных стратегических направлений;

    Ухудшающаяся конкурентная позиция;

    Устаревшее оборудование;

    Более низкая прибыльность потому, что…;

    Недостаток управленческого таланта и глубины владения проблемами;

    Отсутствие некоторых типов ключевой квалификации и компетентности;

    Плохое отслеживание процесса выполнения стратегии;

    Мучение с внутренними производственными проблемами;

    Уязвимость по отношению к конкурентному давлению;

    Отставание в области исследований и разработок;

    Очень узкая производственная линия;

    Слабое представление о рынке;

    Конкурентные недостатки;

    Ниже среднего маркетинговые способности;

    Неспособность финансировать необходимые изменения в стратегии.

    Возможности:

    Выход на новые рынки или сегменты рынка;

    Расширение производственной линии;

    Увеличение, разнообразия во взаимосвязанных продуктах;

    Добавление сопутствующих продуктов;

    Вертикальная интеграция;

    Возможность перейти в группу с лучшей стратегией;

    Самодовольство среди конкурирующих фирм;

    Ускорение роста рынка.

    Возможность появления новых конкурентов;

    Рост продаж замещающего продукта;

    Замедление роста рынка;

    Неблагоприятная политика правительства;

    Возрастающее конкурентное давление;

    Рецессия и затухание делового цикла;

    Возрастание силы торга у покупателей и поставщиков;

    Изменение потребностей и вкуса покупателей;

    Неблагоприятные демографические изменения.

    Подзаголовок: Методика проведения анализа и построение матрицы SWOT-анализа

    Организация может дополнить каждую из четырех частей списка теми характеристиками внешней и внутренней среды, которые отражают конкретную ситуацию, в которой она находится.

    После того как конкретный список слабых и сильных сторон организации, а также угроз и возможностей составлен, наступает этап установления связей между ними. Для установления этих связей составляется матрица СВОТ, которая имеет следующий вид (рис. 1).

    Рис. 1. Матрица SWOT‑анализа

    Слева выделяется два блока (сильные стороны, слабые стороны), в которые соответственно выписываются все выявленные на первом этапе анализа стороны организации.

    В верхней части матрицы также выделяется два блока (возможности и угрозы), в которые выписываются все выявленные возможности и угрозы. На пересечении блоков образуется четыре поля:

    СИВ (сила и возможности); СИУ (сила и угрозы); СЛВ (слабость и возможности); СЛУ (слабость и угрозы). На каждом из полей исследователь должен рассмотреть все возможные парные комбинации и выделить те, которые должны быть учтены при разработке стратегии поведения организации.

    В отношении тех пар, которые были выбраны с поля СИВ, следует разрабатывать стратегию по использованию сильных сторон организации для того, чтобы получить отдачу от возможностей, которые появились во внешней среде.

    Для тех пар, которые оказались на поле СЛВ, стратегия должна быть построена таким образом, чтобы за счет появившихся возможностей попытаться преодолеть имеющиеся в организации слабости.

    Если пара находится на поле СИУ, то стратегия должна предполагать использование силы организации для устранения угрозы.

    Наконец, для пар, находящихся на поле СЛУ, организация должна вырабатывать такую стратегию, которая позволила бы ей как избавиться от слабости, так и попытаться предотвратить нависшую над ней угрозу.

    Вырабатывая стратегии, следует помнить, что возможности и угрозы могут переходить в свою противоположность. Так, неиспользованная возможность может стать угрозой, если ее использует конкурент. Или наоборот, удачно предотвращенная угроза может открыть перед организацией дополнительные возможности в том случае, если конкуренты не смогли устранить эту же угрозу.

    Подзаголовок: Построение матрицы «возможностей»

    Для успешного анализа окружения организации методом SWOT-анализа важно не только уметь вскрывать угрозы и возможности, но и уметь оценивать их с точки зрения важности и степени влияния на стратегию организации.

    Для оценки возможностей применяется метод позиционирования каждой конкретной возможности на матрице возможностей (рис. 2).

    Рис. 2. Матрица возможностей

    Матрица строится следующим образом:

    – сверху по горизонтали откладывается степень влияния возможности на деятельность организации (сильное, умеренное, малое);

    – слева по вертикали откладывается вероятность того, что организация сможет воспользоваться возможностью (высокая, средняя, низкая).

    Полученные внутри матрицы девять полей возможностей имеют разное значение для организации.

    Возможности, попадающие на поля ВС, В, У и СС, имеют большое значение для организации, и их надо обязательно использовать.

    Возможности же, попадающие на поля СМ, НУ и НМ, практически не заслуживают внимания организации.

    Подзаголовок: Построение матрицы «угроз»

    Похожая матрица составляется для оценки угроз (рис. 3):

    – сверху по горизонтали откладываются возможные последствия для организации, к которым может привести реализация угрозы (разрушение, критическое состояние, тяжелое состояние, «легкие ушибы»).

    – слева по вертикали откладывается вероятность того, что угроза будет реализована (высокая, средняя, низкая).

    Рис. 3. Матрица угроз

    Те угрозы, которые попадают на поля ВР, ВК и СР, представляют очень большую опасность для организации и требуют немедленного и обязательного устранения.

    Угрозы, попавшие на поле ВТ, СК и НР, также должны находиться в поле зрения высшего руководства и быть устранены в первостепенном порядке.

    Что касается угроз, находящихся на полях НК, СТ и ВЛ, то требуется внимательный и ответственный подход к их устранению. Хотя при этом не ставится задача их первостепенного устранения. Попавшие на оставшиеся поля угрозы также не должны выпадать из поля зрения руководства организации. Необходимо внимательно отслеживать их развитие.

    Подзаголовок: Составление профиля среды

    Наряду с методами изучения угроз, возможностей, силы и слабости организации для анализа среды может быть применен метод составления ее профиля. Данный метод удобно применять для составления профиля отдельно макроокружения, непосредственного окружения и внутренней среды. С помощью метода составления профиля среды удается оценить относительную значимость для организации отдельных факторов среды.

    Метод составления профиля среды состоит в следующем. В таблицу профиля среды (рис. 4) выписываются отдельные факторы среды. Каждому из факторов экспертным образом дается оценка:

    Важности для отрасли по шкале: 3 – большая, 2 – умеренная, 1 – слабая;

    Влияния на организацию по шкале: 3 – сильное, 2 – умеренное, 1 – слабое, 0 – отсутствие влияния;

    Направленности влияния по шкале: +1 – позитивная, -1 – негативная.

    Рис. 4. Таблица профиля среды

    Далее все три экспертных оценки перемножаются, и получается интегральная оценка, показывающая степень важности фактора для организации. По этой оценке руководство может заключить, какие из факторов среды имеют относительно более важное значение для их организации и, следовательно, заслуживают самого серьезного внимания, а какие факторы заслуживают меньшего внимания.

    Анализ среды – это очень важный для выработки стратегии организации и очень сложный процесс, требующий внимательного отслеживания происходящих в среде процессов, оценки факторов и установления связи между факторами и теми сильными и слабыми сторонами организации, а также возможностями и угрозами, которые заключены во внешней среде.

    Очевидно, что, не зная среды, организация не сможет существовать. Однако она не плывет в окружении как лодка, не имеющая руля, весел или паруса. Организация изучает среду, чтобы обеспечить себе успешное продвижение к своим целям. Поэтому в структуре процесса стратегического управления вслед за анализом среды следует установление миссии организации и ее целей.

    9.3. Жизненный цикл товара/услуги

    Любой товар (услуга) проходит свой жизненный цикл от зарождения (появление на рынке) до прекращения (выпуска последнего образца).

    Можно выделить следующие основные стадии жизненного цикла (рис. 5):

    Рис. 5. Обычный график жизненного цикла товара во времени

    Матрица БКГ

    Наиболее популярная процедура анализа положения компании на рынке - построение матриц портфеля. Обычно такие матрицы строятся на основе пары стратегически важных переменных, таких, как скорость роста отрасли, размеры рынка, долговременная привлекательность отрасли, конкурентный статус и т. д. Такие двумерные матрицы относительно просты и дают четкую рыночную обстановку. Наибольшее распространение получили матрицы БКГ (BCG - Boston Consulting Group) и «Дженерал электрик».

    В основе Бостонской матрицы лежит модель жизненного цикла товара, в соответствии с которой товар в своем развитии проходит четыре стадии: выход на рынок (товар – «дикая кошка»), рост (товар – «звезда»), зрелость (товар – «дойная корова») и спад (товар – «собака»).

    Для оценки конкурентоспособности отдельных видов бизнеса используются два критерия: темп роста отраслевого рынка; относительная доля рынка.

    Темп роста рынка определяется как средневзвешенное значение темпов роста различных сегментов рынка, в которых действует предприятие, или принимается равным темпу роста валового национального продукта. Темпы роста отрасли 10% и более рассматриваются как высокие.

    Относительная доля рынка определяется делением доли рынка рассматриваемого бизнеса на долю рынка крупнейшего конкурента.

    Рис. 6. Матрица БКГ для гипотетической фирмы

    Значение доли рынка, равное 1, отделяет продукты – рыночные лидеры – от последователей. Таким образом, осуществляется деление видов бизнеса (отдельных продуктов) на четыре различные группы (рис. 6).

    В основе матрицы БКГ лежат два предположения:

    1. Бизнес, имеющий существенную долю рынка, приобретает в результате действия эффекта конкурентное преимущество в отношении издержек производства. Отсюда следует, что самый крупный конкурент имеет наибольшую рентабельность при продаже по рыночным ценам и для него финансовые потоки максимальны.

    2. Присутствие на растущем рынке означает повышенную потребность в финансовых средствах для своего развития, т.е. обновления и расширения производства, проведения интенсивной рекламы и т.д. Если темп роста рынка невелик, например зрелый рынок, то товар не нуждается в значительном финансировании.

    В том случае, когда обе гипотезы выполняются, можно выделить четыре группы рынков товара, соответствующие различным приоритетным стратегическим целям и финансовым потребностям:

    «Дикие кошки» (быстрый рост / малая доля): товары этой группы могут оказаться очень перспективными, поскольку рынок расширяется, но требуют значительных средств для поддержания роста. Применительно к этой группе продуктов необходимо решить: увеличить долю рынка данных товаров или прекратить их финансирование.

    «Звезды» (быстрый рост / высокая доля) – это рыночные лидеры. Они приносят значительную прибыль благодаря своей конкурентоспособности, но также нуждаются в финансировании для поддержания высокой доли динамичного рынка.

    «Дойные коровы» (медленный рост / высокая доля): товары, способные принести больше прибыли, чем необходимо для поддержания их роста. Они являются основным источником финансовых средств для диверсификации и научных исследований. Приоритетная стратегическая цель – «сбор урожая».

    «Собаки» (медленный рост / малая доля) – это продукты, которые находятся в невыгодном положении по издержкам и не имеют возможностей роста. Сохранение таких товаров связано со значительными финансовыми расходами при небольших шансах на улучшение положения. Приоритетная стратегия – деинвестирование и скромное существование.

    В идеале сбалансированный номенклатурный портфель предприятия должен включать:

    2–3 товара – «коровы», 1–2 – «звезды», несколько «кошек» в качестве задела на будущее и, возможно, небольшое число товаров – «собак». Избыток стареющих товаров («собак») указывает на опасность спада, даже если текущие результаты деятельности предприятия относительно хорошие. Избыток новых товаров может привести к финансовым затруднениям.

    В динамичном корпоративном портфеле выделяют следующие траектории (сценарии) развития (рис. 7).

    Рис. 7. Основные сценарии развития

    «Траектория товара». Инвестируя в НИОКР средства, получаемые от «дойных коров», предприятие выходит на рынок с принципиально новым товаром, который занимает место звезды.

    «Траектория последователя». Средства от «дойных коров» инвестируются в товар – «кошку», на рынке которого доминирует лидер. Предприятие придерживается агрессивной стратегии наращивания доли рынка, и товар – «кошка» превращается в «звезду».

    «Траектория неудачи». Вследствие недостаточного инвестирования товар-звезда, утрачивает лидирующие позиции на рынке и становится товаром – «кошкой».

    «Траектория посредственности». Товару – «кошке» не удается увеличить свою долю рынка, и он вступает в следующую стадию (товар – «собака»).

    «Ничто так не удивляет людей, как здравый смысл и действия по плану».

    Ральф Эмерсон, американский писатель

    После того как решения по обработке рисков были приняты, должны быть определены и спланированы действия по реализации этих решений. Каждое мероприятие должно быть четко определено и разбито на такое количество действий, которое необходимо для четкого распределения ответственности между исполнителями, оценки требований к выделению ресурсов, установки вех и контрольных точек, определения критериев достижения целей и мониторинга продвижения.

    Решения руководства по обработке рисков оформляются в виде «Плана обработки рисков». Этот документ является производным от «Реестра информационных рисков», определяющим для каждой группы угроз и уязвимостей перечень мер по обработке риска, позволяющих уменьшить максимальный для данной группы угроз уровень риска до уровня остаточного риска, приемлемого для организации. План обработки рисков также определяет сроки реализации, выделяемые ресурсы и ответственных исполнителей.

    Процесс планирования должен включать в себя идентификацию ключевых владельцев активов и бизнес-процессов, консультирование с ними по выделению временных, финансовых и прочих ресурсов на реализацию плана обработки рисков, а также получение санкции руководства соответствующего уровня на использование ресурсов.

    ___________________________________

    Разработка и реализация плана обработки рисков включает в себя следующие меры:

    • определение последовательности мероприятий по реализации принятых решений по обработке рисков;
    • детализацию и приоритетизацию мероприятий по обработке рисков;
    • распределение ответственности между исполнителями;
    • выделение необходимых ресурсов;
    • определение вех и контрольных точек;
    • определение критериев достижения целей;
    • мониторинг продвижения.

    ______________________________________

    Должны быть правильно расставлены приоритеты по реализации мер обработки риска. Время, когда может предприниматься каждое действие, зависит от его абсолютного приоритета по отношению к другим действиям, доступности ресурсов (включая финансовые и кадровые ресурсы), а также от мероприятий, которые должны быть завершены, прежде чем процесс может быть запущен. План обработки рисков должен быть скоординирован с другими бизнес-планами. Любые зависимости между этими планами должны быть идентифицированы.

    Приоритетизация мер по обработке рисков может осуществляться следующим образом:

    1. Все контрмеры разделяются на группы по уровню риска, для уменьшения которого они предназначены. Наивысший приоритет присваивается контрмерам, служащим для уменьшения самых больших рисков.

    2. В каждой группе на первое место ставятся те меры, которые быстрее и проще реализовать и которые дают скорейший эффект.

    3. Повышается приоритет контрмер, обеспечивающих наибольший возврат инвестиций ROI.

    4. Первичным контрмерам, от которых зависит успешность реализации других контрмер, присваивается более высокий приоритет.

    5. Учитываются все прочие соображения, способные повлиять на порядок реализации контрмер, включая связь с другими планами, доступность тех или иных ресурсов, политические, экономические и прочие соображения.

    На выходе данного процесса получаем приоритетный перечень мер по обработке рисков, на базе которого производится дальнейшее более детальное планирование, выделение ресурсов и реализация решений по управлению рисками.

    Координация всех шагов по реализации плана обработки рисков (включая приобретение, внедрение, тестирование механизмов безопасности, заключение договоров страхования и аутсорсинга и т.п.) осуществляется менеджером информационной безопасности или риск-менеджером, который должен контролировать, чтобы реализация мероприятий осуществлялась в соответствии с планом, с надлежащим качеством и в рамках выделенных финансовых, временных и кадровых ресурсов. При внедрении контрмер в информационную систему должно проводиться тестирование с целью подтверждения надежности и работоспособности реализованных механизмов безопасности, а также измерение эффективности их функционирования.

    • Для комментирования войдите или зарегистрируйтесь


    Статьи по теме
    Запускаем Windows XP в безопасном режиме Комп грузится только в безопасном режиме
    Запускаем Windows XP в безопасном режиме Комп грузится только в безопасном режиме
    Для чего нужна учетная запись Microsoft
    Для чего нужна учетная запись Microsoft
    Мини камера Ambertek MD80 XL c увеличенным аккумулятором
    Мини камера Ambertek MD80 XL c увеличенным аккумулятором
    Подключаем Raspberry Pi к монитору ноутбука Raspberry zero соединяем с экраном
    Подключаем Raspberry Pi к монитору ноутбука Raspberry zero соединяем с экраном
    Как изменить имя вконтакте
    Как изменить имя вконтакте
    Скачиваем драйвера для клавиатуры A4Tech Как установить драйвера для клавиатуры
    Скачиваем драйвера для клавиатуры A4Tech Как установить драйвера для клавиатуры
    Выбираем прошивку MIUI Miui 8
    Выбираем прошивку MIUI Miui 8
    Samsung Galaxy Note7 Exynos - Технические характеристики
    Samsung Galaxy Note7 Exynos - Технические характеристики