В условиях повсеместной цифровизации и постоянного роста киберугроз, системный подход к управлению рисками информационной безопасности (ИБ) перестает быть опцией и становится критически важным условием выживания любого предприятия. Об этом свидетельствует не только статистика, но и финансовый ущерб от глобальных атак, таких как WannaCry и NotPetya, превысивший 300 миллионов долларов. Однако на практике часто наблюдается серьезный разрыв между теоретическими моделями управления рисками и их реальной реализацией, что связано с отсутствием должного внимания к вопросам ИБ в компаниях. Это и определяет актуальность данного исследования.
Целью настоящей дипломной работы является разработка практических рекомендаций по совершенствованию системы управления рисками информационной безопасности на примере условного предприятия. Для достижения этой цели были поставлены следующие задачи:
- Проанализировать теоретическую и нормативную базу в области управления рисками ИБ.
- Выявить и классифицировать актуальные угрозы информационной безопасности.
- Обосновать и выбрать методику для проведения анализа и оценки рисков.
- Провести практическую оценку рисков на моделируемом объекте.
- Разработать комплекс мер по снижению идентифицированных рисков.
Объектом исследования выступают процессы управления информационной безопасностью на предприятии, а предметом — методы анализа и оценки рисков ИБ, а также способы их минимизации.
Глава 1. Какие теоретические и нормативные основы определяют управление рисками ИБ
Для построения эффективной системы защиты необходимо четко определить базовый понятийный аппарат. Информационная безопасность — это состояние защищенности информационных активов, при котором обеспечиваются их конфиденциальность, целостность и доступность. Угроза — это потенциальная причина инцидента, который может нанести ущерб системе или организации, а уязвимость — это слабость в системе, которую может использовать угроза. В свою очередь, риск — это сочетание вероятности реализации угрозы и масштаба потенциального ущерба.
Классический цикл управления рисками представляет собой непрерывный процесс и включает четыре ключевых этапа:
- Идентификация рисков: Обнаружение, распознавание и описание рисков.
- Анализ рисков: Понимание природы риска и определение его уровня.
- Оценка рисков: Сравнение результатов анализа с критериями риска для определения его значимости.
- Обработка рисков: Выбор и применение мер по модификации рисков.
В рамках обработки рисков организация может выбрать одну из нескольких стратегий: модификация (снижение) риска путем внедрения средств контроля, передача риска (например, через покупку страхового полиса), принятие (сознательное сохранение) риска или его избежание, отказавшись от деятельности, связанной с риском.
Этот процесс регламентируется рядом авторитетных стандартов. На международном уровне ключевыми являются ISO 31000 («Менеджмент риска. Принципы и руководство») и ISO/IEC 27005 («Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»). В Российской Федерации нормативное поле формируют требования таких регуляторов, как ФСТЭК России, ФСБ России и Банк России, а также национальные стандарты, например, серия ГОСТ Р ИСО/МЭК и ГОСТ 57580.х для финансовой отрасли.
Глава 2. Как выбрать и обосновать методологию для научного исследования рисков
Методологической основой данной дипломной работы служат общенаучные методы, которые позволяют всесторонне изучить предмет исследования. Ключевым является системный подход, рассматривающий управление рисками как единый комплекс взаимосвязанных элементов. Метод структурного анализа применяется для декомпозиции этого комплекса на составляющие: процессы, активы, угрозы и меры защиты.
Наряду с общенаучными, в работе используются и прикладные методы исследования. Сравнительный анализ необходим для выбора наиболее подходящей методики оценки рисков из существующих, а метод группировки — для классификации угроз и уязвимостей по различным признакам, что упрощает их дальнейший анализ. Теоретической базой работы послужили труды ведущих отечественных и зарубежных ученых в сфере управления информационной безопасностью, что обеспечивает глубину и проработанность исследования.
Центральным элементом методологии является выбор подхода к оценке рисков. Существует два основных подхода:
- Количественный подход: Основан на оценке рисков в числовом, как правило, денежном выражении (например, расчет годовых ожидаемых потерь). Требует большого объема статистических данных.
- Качественный подход: Использует описательные шкалы для оценки вероятности и ущерба (например, «низкий», «средний», «высокий»). Он более субъективен, но менее требователен к исходным данным.
Для практической части данной работы выбран качественный подход как наиболее универсальный и применимый в условиях ограниченности точных статистических данных на конкретном предприятии.
Глава 3. Практический анализ и оценка рисков информационной безопасности на предприятии
Подраздел 3.1. Идентификация активов и анализ угроз
В качестве объекта для практического анализа выбрано условное предприятие, работающее в сфере электронной коммерции. Ключевая задача первого этапа аудита — определить, что мы защищаем и от чего. Для этого проводится инвентаризация и классификация информационных активов.
К ключевым активам предприятия относятся:
- Аппаратные ресурсы: веб-серверы, серверы баз данных, сетевое оборудование (маршрутизаторы, коммутаторы).
- Программное обеспечение: система управления контентом (CMS) сайта, CRM-система, бухгалтерское ПО.
- Данные: база данных клиентов с персональной информацией, база заказов, финансовая документация.
- Репутация: доверие клиентов и партнеров.
На основе анализа современных векторов атак и специфики деятельности был сформирован перечень актуальных угроз и уязвимостей. Среди наиболее значимых угроз можно выделить: фишинговые атаки на сотрудников с целью кражи учетных данных, DDoS-атаки на веб-серверы для нарушения доступности сервиса, внедрение SQL-кода для хищения данных из базы клиентов, а также внутренние угрозы, связанные с ошибками или неправомерными действиями персонала. Описание существующих мер контроля показало, что на предприятии используются базовые средства защиты (межсетевой экран, антивирусное ПО), однако отсутствует централизованная система управления доступом и регулярное обучение персонала, что является существенным слабым местом в системе защиты.
Подраздел 3.2. Применение выбранной методики для оценки рисков
На втором этапе практической работы применяется выбранная качественная методика для оценки уровня каждого идентифицированного риска. Этот процесс выполняется для каждой значимой пары «актив-угроза». Оценка проводится по двум критериям: вероятность реализации угрозы и потенциальный ущерб.
Для оценки использовалась следующая шкала:
- Вероятность: Низкая, Средняя, Высокая.
- Ущерб (финансовый, репутационный): Незначительный, Умеренный, Критический.
Например, для риска «Хищение базы данных клиентов через SQL-инъекцию» были присвоены следующие оценки: Вероятность — Средняя (из-за отсутствия специализированного экрана веб-приложений), Ущерб — Критический (из-за прямого финансового и репутационного урона, а также возможных санкций регуляторов). Подобная оценка была проведена для всех ключевых рисков.
Результаты сведены в матрицу рисков, которая наглядно визуализирует наиболее опасные зоны. Риски, попавшие в «красную» зону (высокая вероятность и критический ущерб), становятся первоочередными кандидатами на обработку. По итогам этого шага формируется аудиторское заключение, где зафиксирован ранжированный перечень рисков. Эти выходные данные, сохраненные в электронной форме, служат основанием для разработки дальнейших рекомендаций.
Подраздел 3.3. Разработка рекомендаций по снижению рисков
Финальный этап практической части — разработка конкретного плана действий по обработке рисков, имеющих наивысший приоритет. Для большинства критических систем и процессов наиболее адекватной стратегией является снижение риска, направленное на уменьшение вероятности его реализации или потенциального ущерба.
На основе аудиторского заключения был сформирован комплекс рекомендаций, сгруппированных по трем направлениям:
- Организационные меры:
Разработка и внедрение политики информационной безопасности. Проведение регулярного обучения персонала основам кибергигиены и методам противодействия фишингу.
- Технические меры:
- Внедрение специализированного программно-аппаратного комплекса для криптозащиты и защиты от веб-атак (Web Application Firewall).
- Развертывание IdM/IGA-инструментов (например, класса Solar inRights) для централизованного управления учетными записями и правами доступа.
- Настройка системы резервного копирования критически важных данных.
- Правовые меры:
Приведение процедур обработки персональных данных в полное соответствие с требованиями законодательства для минимизации юридических рисков.
Ожидается, что комплексное внедрение предложенных мер позволит значительно снизить уровень наиболее критичных рисков. Однако крайне важно понимать, что управление рисками — это непрерывный процесс. Поэтому ключевой рекомендацией является проведение регулярного аудита (не реже одного раза в год) для поддержания системы защиты в актуальном состоянии и своевременного реагирования на новые угрозы.
Заключение
В ходе выполнения дипломной работы были успешно решены все поставленные задачи. Был проведен детальный анализ теоретических основ и нормативной базы, что позволило сформировать понятийный аппарат и определить рамки исследования. Выбор и обоснование методологии обеспечили научную состоятельность практической части.
В рамках практического анализа на примере условного предприятия были идентифицированы ключевые активы и угрозы, проведена оценка рисков с использованием качественного подхода и построена матрица рисков. Это позволило выявить наиболее критичные уязвимости в системе защиты. Таким образом, цель работы — разработка практических рекомендаций — была достигнута. Сформулирован конкретный, структурированный план организационных и технических мер, направленных на снижение выявленных рисков.
Практическая значимость исследования заключается в том, что предложенный алгоритм анализа и разработанные рекомендации могут быть использованы малыми и средними предприятиями в качестве базовой модели для построения или совершенствования собственной системы управления рисками ИБ. Возможным направлением для дальнейших исследований может стать адаптация предложенной методики для специфических отраслей (например, телемедицины или промышленной автоматизации) или разработка количественной модели оценки рисков для компаний с достаточным объемом накопленной статистики.
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
- Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. (Собрание законодательства Российской Федерации от 05.12.1994)
- Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)
- Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне»
- Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» (с изм. и доп. от 13 июля 2015г.)
- ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. — Введ. 2008-02-01. -М.: Стандартинформ, 2007. — 12 с.
- ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- Стандарт банка России СТО БР ИББС-1.0-2014
- Авдошин С.М., Песоцкая Е.Ю. Информатизация бизнеса. Управление рисками. – М.: ДМК, 2015. – 420с.
- Баранов А. П., Борисенко Н.П. Матема¬ческие основы информационной безопасности. — Орел: ВИПС, 2010. — 354с
- Баранова Е.К. Процедура применения методологии анализа рисков Octave в соответствии со стандартами серии ИСО/МЭК 27000-27005// Образовательные ресурсы и технологии. — №2. – 2015. – С. 73-80.
- Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. — М.: ФИЗМАТЛИТ, 2006. — 768 с.
- Грошев А.С. Информатика: Учебник для вузов. – Архангельск: Арханг. гос. техн. ун-т, 2010. – 470с.
- Зырянова Т.Ю. Управление информационными рисками: монография. – Тюмень: Издательство Тюменского государственного университета, 2011. – 189с.
- Информатика: Учебник. — 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. — М.: Финансы и статистика, 2000. — 768 с.: ил.
- Каторин Ю.Ф. и др. Энциклопедия промышленного шпионажа. — СПб.: Полигон, 2011. — 896с.
- Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие. — Юнити-Дана, 2011 г. — 135 с.
- Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. — 678 с.
- Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации // Молодой ученый. — 2013. — №5. — С. 154-161.
- Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2012. — 304 с.
- Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2010. – 125с.
- Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2011 г.- 320 с.
- Сосунов Б. В., Мешалкин В.А. Основы энергетического расчета радиоканалов. Л.: ВАС, 1991. — 110с
- Тенетко М.И., Пескова О.Ю. Анализ рисков информационной безопасности// Известия Южного федерального университета. Технические науки. — №12. – 2011. – С.49-58
- Хорев А.А. Технические каналы утечки информации. – М.:Аналитика, 2008. – 435с.
- Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. — 504с.
- Чернова М. Время – деньги. Как превратить пассив в актив// Бизнес-журнал. — №8. – 2013. – С.4-5
- Шапиро Д.Н. Основы теории электромагнитного экранирования. -Л.: Энергия, 1975. — 112с.
- Secret Net [Электронный ресурс] Режим доступа — http://www.securitycode.ru/products/secret_net/
- Блог о информационной безопасности [Электронный ресурс] Режим доступа —
- Вичугова А. Единое информационное пространство предприятия: миф или реальность [Электронный ресурс] Режим доступа —
- Николаев Н. Комплексная защита информации в локальной вычислительной сети пункта централизованной охраны // Мир и безопасность, №6, 2014 [Электронный ресурс] Режим доступа —
- Сообщество кадровиков и специалистов по управлению персоналом [Электронный ресурс] Режим доступа — http://www.hrliga.com/index.php?module=profession&op=view&id=1085
- Стандарты информационной безопасности [Электронный ресурс] Режим доступа — http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html