Управление рисками в сфере IT
Покупка
Основная коллекция
Тематика:
Управление рисками
Издательство:
НИЦ ИНФРА-М
Автор:
Щербак Алексей Викторович
Год издания: 2023
Кол-во страниц: 243
Дополнительно
Вид издания:
Монография
Уровень образования:
Дополнительное профессиональное образование
ISBN: 978-5-16-017972-8
ISBN-онлайн: 978-5-16-110975-5
Артикул: 788195.01.01
Доступ онлайн
В корзину
В монографии рассмотрены особенности управления рисками в сфере информационных технологий, описана методика построения организационной структуры управления рисками, проанализирована последовательность шагов по установлению контроля над рисками, большое внимание уделено методам и инструментам управления рисками в IT. Приведены сведения о стратегических и тактических рисках, а также о рисках проектов, разобраны нюансы запуска и контроля управления рисками в IT.
Предназначена для широкого круга специалистов, деятельность которых связана с рисками в сфере IT, для преподавателей, а также для студентов укрупненных групп направлений подготовки и специальностей «Информатика и вычислительная техника», «Информационная безопасность» и «Электроника, радиотехника и системы связи».
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Магистратура
- 09.04.01: Информатика и вычислительная техника
- 09.04.02: Информационные системы и технологии
- 09.04.03: Прикладная информатика
- 09.04.04: Программная инженерия
- 10.04.01: Информационная безопасность
- 38.04.05: Бизнес-информатика
- ВО - Специалитет
- 09.05.01: Применение и эксплуатация автоматизированных систем специального назначения
- 10.05.01: Компьютерная безопасность
- 10.05.02: Информационная безопасность телекоммуникационных систем
- 10.05.03: Информационная безопасность автоматизированных систем
- 10.05.04: Информационно-аналитические системы безопасности
- 10.05.05: Безопасность информационых технологий в правоохранительной сфере
- 10.05.07: Противодействие техническим разведкам
- Аспирантура
- 09.06.01: Информатика и вычислительная техника
- 10.06.01: Информационная безопасность
- 38.06.01: Экономика
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Москва ИНФРА-М 2023 Управление рисками в сфере IT а.в. Щербак МоНогРАФИя
УДк 004.9+005.53(075.4) ббк 16.2:65стд1-09 Щ61 Щербак а.в. Щ61 Управление рисками в сфере IT : монография / А.В. Щербак. — Москва : ИНФРА-М, 2023. — 243 с. — (Научная мысль). — DOI 10.12737/1900623. ISBN 978-5-16-017972-8 (print) ISBN 978-5-16-110975-5 (online) В монографии рассмотрены особенности управления рисками в сфере ин- формационных технологий, описана методика построения организационной структуры управления рисками, проанализирована последовательность шагов по установлению контроля над рисками, большое внимание уделено методам и инструментам управления рисками в IT. Приведены сведения о стратеги- ческих и тактических рисках, а также о рисках проектов, разобраны нюансы запуска и контроля управления рисками в IT. Предназначена для широкого круга специалистов, деятельность которых связана с рисками в сфере IT, для преподавателей, а также для студентов укруп- ненных групп направлений подготовки и специальностей «Информатика и вы- числительная техника», «Информационная безопасность» и «Электроника, радиотехника и системы связи». УДК 004.9+005.53(075.4) ББК 16.2:65стд1-09 Р е ц е н з е н т ы: Андреев В.В., кандидат экономических наук, доцент, председатель цикловой комиссии общетехнических дисциплин и компьютерных технологий Академии управления городской средой, градостроитель- ства и печати (г. Санкт-Петербург); Зубов А.В., доктор физико-математических наук, доцент, заведую- щий кафедрой математической теории микропроцессорных систем управления Санкт-Петербургского государственного университета ISBN 978-5-16-017972-8 (print) ISBN 978-5-16-110975-5 (online) © Щербак А.В., 2023
Введение Информационные технологии проникли уже во все сферы деятельности, без них невозможно представить себе целые от- расли. Безусловно, информационные технологии открывают новые возможности, позволяют снижать издержки, делают возможными новые бизнес-модели. однако их использование создает новые риски. Хранение информации в базе данных с доступом по локальной сети удобно, но, оказывается, зло- умышленники могут подключиться к этой базе, а затем скопи- ровать и/или изменить данные. Управление технологическим процессом с помощью компьютера эффективно, однако, как показывает практика, выход из строя управляющего компью- тера ведет, как правило, к остановке производства. Хранение и транспортировка файлов в памяти смартфона удобны, но, выясняется, смартфон может быть потерян или украден. Специалисты, занимающиеся IT-рисками, знают, что подобные инциденты случаются во всех отраслях и могут затронуть организацию любой величины. Вопрос, собственно говоря, не в том, произойдет ли та или иная «неприятность» вообще, а в том, когда она произойдет и каков будет ущерб. Таким образом, необходимы предупредительные мероприятия. Но разработка и реализация подобных мероприятий, во-первых, дело непростое, а во-вторых, не гарантирует успеха. Эксперты обнаруживают, что новые слабые места возникают еще до устранения старых, а мероприятия могут стать неэффективны еще до того, как будут предложены новые. Задачами настоящей монографии являются изложение актуальной теории, освещение вопросов практического применения описываемых методов и инструментов и соединение теории и практики в реальных примерах. Примеры взяты из бесед со специалистами и из интернета, по понятным причинам информация анонимизирована.
Щербак А.В. Широкое использование автором зарубежных источников привело к тому, что в монографии употребляются термины, перевод которых на русский язык в профессиональной литературе различается. Это не означает неверности подаваемого материала, а подтверждает то, что данный материал настолько актуален, что еще даже не успели сформироваться устойчивые варианты перевода. Во избежание недопонимания все такие термины даются с определениями, а там, где необходимо, приводятся также синонимичные термины. Конечно, в одной книге практически невозможно рассмотреть все аспекты данной отрасли знаний, автор и не ставил перед собой такой цели. главным было найти разумное сочетание теории и практики, которое позволило бы получить целостное впечатление об управлении рисками тем, кто еще не имеет опыта в данной сфере. Тем же, кто уже работал с рисками в IT, данная монография, возможно, даст новый импульс в развитии.
Глава 1. РИСК: ПОНЯТИЕ И СВЯЗЬ С IT 1.1. ПОНЯТИЕ РИСКа Существует множество определений термина «риск». они сходятся в одном: риск есть попытка измерить неизвестность. Риск описывает вероятность того, что определенные действия или события приведут к неопределенному событию в виде выигрыша ( денежной прибыли или вещественной пользы) или проигрыша (денежных убытков или вещественного вреда). При этом оценка того, что считать вещественной пользой или вещественным вредом, субъективна. Таким образом, возможны положительные результаты (шансы) и результаты отрицательные ( опасность). Риск характеризуется относительной частотой некоего события (или вероятностью) и его воздействием. Выделяют риски «нетто» и «брутто». В случае нетто-рисков уже были предприняты мероприятия, направленные на уменьшение вероятности и/или последствий наступления события. Брутто-риски являются полностью новыми, ранее неизвестными. В дальнейшем под словом «риск» будем понимать риск «нетто», так как рисками «брутто» в чистом виде управлять невозможно, а после первого проявления они превращаются в риски «нетто», поскольку уже могут предлагаться мероприятия по их уменьшению. Например, организация впервые столкнулась с тем, что один из менеджеров по продажам скопировал себе клиентскую базу, затем уволился и открыл свою фирму, переманивая клиентов у своего прежнего работодателя. Поскольку подобное событие произошло впервые, следует говорить о риске «брутто». Для того чтобы данный риск перешел в разряд «нетто», руководство должно проанализировать происшествие и принять меры, направленные на уменьшение вероятности повторения события
Щербак А.В. (например, установление более справедливого процента с продаж уменьшает стимул к похищению клиентской базы) и на уменьшение отрицательных последствий (например, ведение каждым менеджером своей отдельной базы без предоставления доступа к базе всей организации уменьшает объем информации, которая может быть украдена одним лицом). К сожалению, не всегда удается оценить риск количественно. В таких случаях прибегают к качественным оценкам (например, «высокий риск», «низкий риск», «угроза дальнейшему существованию» и т.д.). Часто риск характеризуют произведением вероятности события на величину последствий. однако более показательно использовать не произведение, а комбинацию, поскольку произведение недостаточно информативно и может, например, не позволить оценить преимущества новой рискованной технологии. Кроме того, риски достаточно редко оцениваются точечными значениями, чаще используются границы значений. На точечные значения можно полагаться только в тех случаях, когда есть надежная база для вычислений. Например, сельскохозяйственное предприятие на основе данных, накопленных за 150 лет, знает, что в данной местности один раз в пять лет бывают заморозки в августе, а урожай созревает в конце августа. Тогда руководство может оценить риск точечно, так как частота негативного события (0,2) и ущерб (стоимость потерянного урожая) могут быть определены в виде конкретных значений. Последствия можно оценивать с помощью денежных величин ( увеличение прибыли, убытки), временных интервалов (период остановки конвейера, недоступности сайта) или физических величин (количество поврежденных компьютеров, уменьшение поголовья скота). В случае, если нужно комплексно оценить последствия, которые выражаются в разных единицах, бывает полезно перейти к неким безразмерным величинам ( баллам). Вообще риски могут касаться организации в целом или ее частей, а также могут иметь различное значение в разные моменты времени.
Управление рисками в сфере IT В зависимости от количества и качества имеющейся информации о рисках выделяют следующие случаи: 1) «неизвестные неизвестности» — полностью неизвестные и потому крайне опасные риски; в рамках управления рисками такими случаями не занимаются; 2) «известные неизвестности» — известные, но еще не оцененные риски; 3) «известные известности» — известные и уже оцененные риски. С растущей цифровизацией экономики IT-системы организаций подвергаются все большему числу рисков. Риск в сфере информационных технологий показывает, с какой вероятностью произойдет событие, связанное с IT и имеющее негативные материальные или нематериальные последствия для коммерческой деятельности предприятия и/или его партнеров. Как правило, эти события вызваны внутренними или внешними угрозами, воздействующими на слабые места IT-системы. они могут воздействовать кратко-, средне- или долгосрочно, а также вызывать полное разрушение IT-системы. Риск в сфере информационных технологий можно рассматривать с двух точек зрения: как ИТ-риск — понятие тех- ническое, включает в себя элементы IT-системы, и как риск информационной безопасности — понятие содержательное, включает в себя бизнес-процессы, данные, роли. Учитывая, что в литературе используется большое количество родственных понятий (кибер-риск, информационный риск, риск безопасности и т.д.), то мы в дальнейшем будем использовать нейтральное понятие «риск». Ну а на практике всегда необходимо четко определять, что означает тот или иной риск в конкретном контексте. В организации иногда даже может быть целесообразно провести семинар, на котором следует объяснить, какие именно риски объединяет данное конкретное понятие, кто за эти риски отвечает и как должна осуществляться координация усилий.
Щербак А.В. Типичные риски IT-системы: 1) сбой важной программы, обусловленный физическими помехами или целенаправленным вмешательством извне (риск безопасности IT); 2) кража важной информации за счет воздействия на сотрудников ( социальная инженерия, риск информационной безопасности); 3) целенаправленное воздействие на веб-приложение, которое имеет слабое место (кибер-риск); 4) прослушивание линии связи (риск информационной безопасности); 5) нарушение патентов при программировании, если это привело к ограничению доступности приложения или к возникновению новых рисков использования (риск безопасности IT); 6) существенные задержки или разногласия в важном IT- проекте (риск безопасности IT). 1.2. ОПаСНОСТИ, уГРОЗы И СлабыЕ мЕСТа В ИНфОРмацИОННых ТЕхНОлОГИЯх опасность и угроза являются центральными понятиями управления рисками в информационных технологиях. опасность можно определить как абстрактное описание негативных обстоятельств, которые невозможно или очень сложно просчитать и которые влекут за собой ущерб. Угроза — реальная опасность, то есть имеет привязку к конкретному времени, месту, людям, организациям и т.п. она влияет на доступность, целостность и конфиденциальность информации и может стать причиной ущерба. Угрозы можно систематизировать следующим образом. 1. Непреодолимая сила. Это угрозы, на которые не могут повлиять люди и организация в целом. Например, это силы природы, войны и т.п. 2. Действия людей. Это неосторожные или целенаправленные действия. Такие угрозы становятся известны, если,
Управление рисками в сфере IT например, данные клиентов или иные конфиденциальные данные попадают в открытый доступ. 3. Технические проблемы. Возникают из-за старения материалов, недопустимых условий эксплуатации и т.п. Например, старение носителя данных на сервере может привести к потере данных. Каждая угроза имеет собственный уровень значимости. он определяется по действию на непрерывность работы предприятия. Конечно, угрозы являются причиной негативного воздействия на предприятие и причиной возникновения рисков. Но предприятие может подвергнуться риску только при наличии слабых мест. Слабое место — это одно из центральных понятий управления рисками в информационных технологиях. Слабое место характеризует состояние недостаточности мероприятий по контролю риска. оно описывает связь между риском, относящимися к нему угрозами и осуществляемыми мероприятиями. Слабое место позволяет угрозе на самом деле воздействовать на предприятие, его IT-инфраструктуру и бизнес-процессы. оно является опасной характеристикой IT-системы. Слабые места тоже можно классифицировать. 1. Технические слабые места. Сюда относятся IT-инфраструктура, технические компоненты, приложения и т.д. Например, приложение может быть написано с ошибками, оборудование может иметь плохую конструкцию, климатическая установка серверной может иметь недостаточную мощность и т.д. 2. Человеческие слабые места. Сюда относятся все люди, как-то связанные с нашей IT-системой. Например, персонал, ответственный за информационную безопасность, может иметь недостаточную квалификацию или быть подверженным влиянию социальной инженерии. 3. организационные слабые места. Сюда относится все, что регулирует деятельность. Например, доступ админис-
Щербак А.В. тратора не защищен паролем, и все сотрудники могут получить полный доступ к серверу. Другой пример — передача через интернет в незашифрованном виде файла, содержащего конфиденциальную информацию. оценивать значение слабых мест все труднее из-за растущей сложности информационных технологий и все более глубокого их проникновения. Для оценки необходима признанная система критериев. Примером такой системы является Common Vulnerability Scoring System, которая на сегод- няшний день существует в версии 3.0. Система предусматривает оценку слабых мест с разных сторон, выделяют три группы показателей (метрик): 1) качественная оценка уязвимости (не зависит от времени и программного обеспечения); 2) показатели, характеризующие реакцию производителя уязвимого продукта с момента обнаружения слабого места до его устранения; 3) показатели, учитывающие требования к конкретной системе, в которой работает уязвимый продукт. Если существует слабое место, через него в любой момент может произойти атака. Атаки, как правило, проводятся умышленно и связаны с неправомочным и нежелательным действием. При этом организации наносится вред и/или нападающий может создать для себя какие-то преимущества или нанести вред третьим лицам. Атаки могут проводиться по чьему-то поручению. Направление атаки — логический путь к точке атаки. Возможные направления атаки: путь из интернета через межсетевой экран (точка атаки), внутрисетевые роутеры к системе управления конвейером (цель атаки); путь через локальную консоль администратора (точка атаки) в вычислительный центр к центральному серверу данных (цель атаки). Когда направление атаки дополняется выбранной техникой для атаки, то говорят о векторе атаки. Примеры: путь через экс плойт (инструмент атаки) в программный код опе-
Доступ онлайн
В корзину