> ћетодолог≥¤ анал≥з≥в ризик≥в

ћетодолог≥¤ анал≥з≥в ризик≥в

ќдним з можливих п≥дход≥в до розробки методик анал≥зу ризик≥в Ї нагромадженн¤ статистичних даних про под≥њ, ¤к≥ в≥дбулись , анал≥з ≥ класиф≥кац≥¤ причин, ви¤вленн¤ фактор≥в ризику. Ќа основ≥ ц≥Їњ ≥нформац≥њ можна оц≥нити загрози й уразливост≥ в ≥нших ≥нформац≥йних системах.

ѕрактичн≥ складност≥ в реал≥зац≥њ цього п≥дходу наступн≥: по-перше, повинний бути з≥браний дуже великий матер≥ал про под≥њ в ц≥й област≥; по-друге, застосуванн¤ цього п≥дходу виправдано далеко не скр≥зь. якщо банк≥вська система досить велика (м≥стить багато елемент≥в, розташована на велик≥й територ≥њ), маЇ давню ≥стор≥ю, то под≥бний п≥дх≥д виправданий. якщо пор≥вн¤но невелика, використовуЇ нов≥тн≥ елементи технолог≥њ (дл¤ ¤коњ поки немаЇ достов≥рноњ статистики), оц≥нка ризик≥в ≥ уразливост≥ може ви¤витис¤ недостов≥рною.

јльтернативою статистичному п≥дходу Ї п≥дх≥д, заснований на анал≥з≥ особливостей технолог≥њ. ”т≥м, цей п≥дх≥д також не ун≥версальний: темпи технолог≥чного прогресу в област≥ ≥нформац≥йних технолог≥й так≥, що оц≥нки, що мають, в≥днос¤тьс¤ до застар≥лих чи застар≥ваючих технолог≥й, дл¤ нов≥тн≥х технолог≥й таких оц≥нок поки не ≥снуЇ.

«агроза сама по соб≥ не несе н≥¤кого збитку дл¤ д≥¤льност≥ банку: вона ≥снуЇ об'Їктивно, потенц≥йно, поза залежн≥стю в≥д нашого знанн¤ про њњ ≥снуванн¤. ќднак у де¤кий момент часу кожна загроза може перейти з потенц≥йноњ в реальну, тобто реал≥зуватис¤. ” цей момент часу банк вже маЇ визначений збиток, ¤кщо реал≥зац≥¤ даноњ загрози не була вчасно в≥двернена, ≥ банк маЇ справу з коеф≥ц≥Їнтом збитку в≥д реал≥зац≥њ даноњ загрози.

ѕри виконанн≥ методики повного анал≥зу ризик≥в приходитьс¤ вир≥шувати р¤д складних проблем:

як визначити ц≥нн≥сть ресурс≥в?

як скласти повний список загроз ≥нформац≥йноњ безпеки й оц≥нити њхн≥ параметри?

як правильно вибрати контрзаходи й оц≥нити њхню ефективн≥сть? ¬≥дпов≥дно до цього методика оц≥нюванн¤ ризик≥в м≥стить к≥лька етап≥в:

- ≥дентиф≥кац≥¤ ресурсу й оц≥нюванн¤ його к≥льк≥сних показник≥в чи визначенн¤ потенц≥йно негативного впливу на банк≥вську д≥¤льн≥сть;
- оц≥нюванн¤ загроз;
- оц≥нюванн¤ вразливост≥;
- оц≥нюванн¤ ≥снуючих ≥ передбачуваних засоб≥в забезпеченн¤ ≥нформац≥йноњ безпеки;
- оц≥нюванн¤ ризик≥в.

–изик характеризуЇ небезпека, ¤к≥й може п≥ддаватис¤ банк ≥ ≥нформац≥йна система, ¤ка використовуЇтьс¤ банком дл¤ своЇњ д≥¤льност≥. ≤ при оц≥нюванн≥ ризик≥в враховуютьс¤ потенц≥йний негативний вплив в≥д небажаних под≥й ≥ показники значимост≥ розгл¤нутих вразливост≥ ≥ загроз дл¤ них.

показник≥в ц≥нност≥ ресурсу;
≥мов≥рност≥ реал≥зац≥њ загроз;
простоти використанн¤ уразливост≥ при виникненн≥ загроз;
≥снуючих чи планованих до впровадженн¤ засоб≥в забезпеченн¤ ≥нформац≥йноњ безпеки, скорочують ≥мов≥рн≥сть виникненн¤ загроз ≥ негативних вплив≥в.

¬изначенн¤ ц≥нност≥ ресурс≥в.

–есурси звичайно п≥дрозд≥л¤ютьс¤ на к≥лька клас≥в, наприклад, ф≥зичн≥, програмн≥ ≥ дан≥. ƒл¤ кожного класу повинна ≥снувати сво¤ методика оц≥нки ц≥нност≥ елемент≥в.

ƒл¤ оц≥нки ц≥нност≥ ресурс≥в вибираЇтьс¤ придатна система критер≥њв. ритер≥њ повинн≥ дозвол¤ти описати потенц≥йний збиток, пов'¤заний з порушенн¤м конф≥денц≥йност≥, ц≥л≥сност≥, приступност≥.

÷≥нн≥сть ф≥зичних ресурс≥в оц≥нюють з погл¤ду вартост≥ њхньоњ зам≥ни чи в≥дновленн¤ працездатност≥. ÷≥ варт≥сн≥ величини пот≥м перетвор¤тьс¤ в ¤к≥сну шкалу, що використовуЇтьс¤ також дл¤ ≥нформац≥йних ресурс≥в. ѕрограмн≥ ресурси оц≥нюютьс¤ тим же способом, що ≥ ф≥зичн≥, на основ≥ визначенн¤ витрат на њхнЇ придбанн¤ чи в≥дновленн¤.

якщо дл¤ ≥нформац≥йного ресурсу ≥снують особлив≥ вимоги до конф≥денц≥йност≥ ц≥л≥сност≥, то оц≥нка цього ресурсу виробл¤Їтьс¤ по т≥й же схем≥, тобто у варт≥сному вираженн≥.

р≥м критер≥њв, що враховують ф≥нансов≥ втрати, у банках можуть бути присутн≥ми критер≥њ, що в≥дбивають:

- збиток репутац≥њ банку;
- неприЇмност≥, зв'¤зан≥ з порушенн¤м д≥ючого законодавства;
- збиток дл¤ здоров'¤ персоналу;
- збиток, пов'¤заний з розголошенн¤м персональних даних окремих ос≥б;
- ф≥нансов≥ втрати в≥д розголошенн¤ ≥нформац≥њ;
- ф≥нансов≥ втрати, пов'¤зан≥ з в≥дновленн¤м ресурс≥в;
- втрати, пов'¤зан≥ з неможлив≥стю виконанн¤ зобов'¤зань;
- збиток в≥д дезорган≥зац≥њ д≥¤льност≥ банку.

ћожуть використовуватис¤ й ≥нш≥ критер≥њ залежно в≥д проф≥лю банку. ќц≥нка характеристик фактор≥в ризику. –есурси повинн≥ бути проанал≥зован≥ з погл¤ду оц≥нки впливу можливих атак (спланованих д≥й внутр≥шн≥х чи зовн≥шн≥х зловмисник≥в) ≥ р≥зних небажаних под≥й природного походженн¤. “акож потенц≥йно можлив≥ под≥њ називаютьс¤ загрозами безпеки. р≥м того, необх≥дно ≥дентиф≥кувати уразливост≥ - слабост≥ в систем≥ захисту, що уможливлюють реал≥зац≥ю загроз.

ƒл¤ того щоб конкретизувати ≥мов≥рн≥сть реал≥зац≥њ загрози розгл¤даЇтьс¤ де¤кий в≥др≥зок часу, прот¤гом ¤кого передбачаЇтьс¤ захищати ресурс. ≤мов≥рн≥сть того, що загроза реал≥зуЇтьс¤, визначаЇтьс¤ наступними факторами:

приваблив≥стю ресурсу (цей показник враховуЇтьс¤ при розгл¤д≥ загрози навмисного впливу з боку людини);
можлив≥сть використанн¤ ресурсу дл¤ одержанн¤ доходу (показник враховуЇтьс¤ при розгл¤д≥ загрози навмисного впливу з боку людини);
простотою використанн¤ уразливост≥ при проведенн≥ атаки

¬ даний час в≥домо безл≥ч метод≥в оц≥нюванн¤ загроз, б≥льш≥сть з ¤ких побудован≥ на використанн≥ таблиць. “ак≥ методи пор≥вн¤но прост≥ у використанн≥ ≥ досить ефективн≥. ќднак не сл≥д говорити про кращий метод, тому що в р≥зних випадках вони будуть р≥зними. ¬ажливо з на¤вного р≥зноман≥тт¤ метод≥в вибрати саме той, котрий забезпечив би в≥дтворен≥ результати дл¤ даного банку.

Ќа першому кроц≥ оц≥нюЇтьс¤ негативний вплив (показник ресурсу) по заздалег≥дь визначен≥й шкал≥, наприклад в≥д 1 до 5, дл¤ кожного ресурсу, ¤кому загрожуЇ небезпека (стовпчик b у табл.1.)

Ќа другому - по заздалег≥дь задан≥й шкал≥, наприклад в≥д 1 до 5, оц≥нюЇтьс¤ ≥мов≥рн≥сть реал≥зац≥њ кожноњ загрози.

“аблиц¤..1 ¬≥рог≥дн≥сть реал≥зац≥њ загрози з урахуванн¤м показник≥в вразливост≥

¬≥рог≥дн≥сть реал≥зац≥њ загрози з урахуванн¤м показник≥в вразливост≥
«агроза ј	5	2	10	2
ƒис≥фиптор загрози (а)	ѕоказник негативного впливу (ресурсу) (№)	≤мов≥рн≥сть реал≥зац≥њ загрози (с)	ѕоказник ризику (њњ)	–анг загрози (е)
«агроза B	2	4	8	3
«агроза C	3	5	15	1
«агроза C	1	3	3	5
«агроза E	4	1	4	4
«агроза P	2	4	8	3

Ќа третьому кроц≥ обчислюЇтьс¤ показник ризику. ” найпрост≥шому вар≥ант≥ методики це робитьс¤ шл¤хом множенн¤ (bхс). ќднак необх≥дно пам'¤тати, що операц≥¤ множенн¤ визначена дл¤ к≥льк≥сних шкал. ƒл¤ рангових (¤к≥сних) шкал вим≥ру, ¤кими Ї показник негативного впливу й ≥мов≥рн≥сть реал≥зац≥њ загрози, прим≥ром, зовс≥м необов'¤зково показник ризику, що в≥дпов≥даЇ ситуац≥њ b=1, c=3, буде екв≥валентний b=3, c=1. ¬≥дпов≥дно, повинна бути розроблена методика оц≥нюванн¤ показник≥в ризик≥в стосовно до конкретного банку.

Ќа четвертому кроц≥ загрози ранжуютьс¤ за значенн¤ми њхнього фактора ризику.

ќц≥нюванн¤ р≥вн≥в ризику. –озгл¤немо метод, побудований на використанн≥ таблиць ≥ враховуючий т≥льки варт≥сн≥ характеристик ресурс≥в.

÷≥нн≥сть ф≥зичних ресурс≥в оц≥нюЇтьс¤ з погл¤ду вартост≥ њхньоњ зам≥ни в≥дновленн¤ працездатност≥ (тобто к≥льк≥сних показник≥в). ÷≥ варт≥сн≥ величини пот≥м перетвор¤тьс¤ в ¤к≥сну шкалу, що використовуЇтьс¤ також дл¤ ≥нформац≥йних ресурс≥в. ѕрограмн≥ ресурси оц≥нюютьс¤ тим же способом, що ≥ ф≥зичн≥, виход¤чи з витрат на њхнЇ придбанн¤ чи в≥дновленн¤.

якщо дл¤ ≥нформац≥йного ресурсу ≥снують особлив≥ вимоги до конф≥денц≥йност≥ чи ц≥л≥сност≥, то оц≥нка цього ресурсу виробл¤Їтьс¤ по т≥й же схем≥, тобто у варт≥сному вираженн≥.

≥льк≥сн≥ показники ≥нформац≥йних ресурс≥в оц≥нюютьс¤ на п≥дстав≥ опитувань сп≥вроб≥тник≥в банку (власник≥в ≥нформац≥њ) - тих хто може оц≥нити ц≥нн≥сть ≥нформац≥њ, визначити њњ характеристики ≥ ступ≥нь критичност≥. Ќа основ≥ результат≥в опитуванн¤ виробл¤Їтьс¤ оц≥нюванн¤ показник≥в ≥ ступен¤ критичност≥ ≥нформац≥йних ресурс≥в дл¤ найг≥ршого вар≥анта розвитку под≥й. –озгл¤даЇтьс¤ потенц≥йний вплив на б≥знес-процес при можливому несанкц≥онованому ознайомленн≥ з ≥нформац≥Їю, зм≥н≥ ≥нформац≥њ, в≥дмовленн≥ в≥д виконанн¤ обробки ≥нформац≥њ, неприступност≥ на р≥зн≥ терм≥ни ≥ руйнуванн≥.

ƒал≥ розробл¤Їтьс¤ система показник≥в у бальних шкалах. “аким чином, к≥льк≥сн≥ показники використовуютьс¤ там, де це припустимо ≥ виправдано, а ¤к≥сн≥ - там, де к≥льк≥сн≥ оц≥нки неможлив≥.

ѕо кожн≥й груп≥ ресурс≥в, зв'¤зан≥й з даною загрозою, оц≥нюЇтьс¤ р≥вень останньоњ (≥мов≥рн≥сть реал≥зац≥њ) ≥ ступ≥нь уразливост≥ (легк≥сть з ¤кою реал≥зована загроза здатна привести до негативного впливу). ќц≥нюванн¤ виробл¤Їтьс¤ в ¤к≥сних шкалах.

ѕод≥л ризик≥в на прийн¤тн≥ ≥ не прийн¤тн≥. ≤нший спос≥б оц≥нюванн¤ ризик≥в складаЇтьс¤ в под≥л≥ њх т≥льки на прийн¤тн≥ ≥ не прийн¤тн≥. ѕ≥дх≥д грунтуЇтьс¤ на тому, що к≥льк≥сн≥ показники ризик≥в використовуютьс¤ т≥льки дл¤ њх упор¤дкуванн¤ ≥ визначенн¤ першочергових д≥й. јле це можна дос¤гти ≥ з меншими витратами.

ћатриц¤, використовувана в даному п≥дход≥, м≥стить не числа, а т≥льки символи ƒ (ризик допустимо) ≥ Ќ (ризик не допустимо).

ожен р¤док у матриц≥ визначаЇтьс¤ показником ресурсу, а кожен стовпець - ступенем небезпеки загрози й уразливост≥. –озм≥р матриц≥, що враховуЇ к≥льк≥сть ступен≥в загроз ≥ вразливост≥, категор≥й ресурс≥в, може бути ≥ншим ≥ визначаЇтьс¤ конкретним банком.

—в≥товий досв≥д банк≥вськоњ д≥¤льност≥, узагальненн¤ досв≥ду роботи прорв≥дних украњнських ≥ рос≥йських банк≥в показують, що системоутворюючим елементом керуванн¤ ризиками в б≥знес≥ Ї ≥нформац≥йно-анал≥тична д≥¤льн≥сть. —аме на њњ баз≥ ≥ будуЇтьс¤ система комплексноњ безпеки, що покликана ви¤вл¤ти ≥ прогнозувати зовн≥шн≥ ≥ внутр≥шн≥ загрози життЇво важливим ≥нтересам, а також зд≥йснювати необх≥дний комплекс д≥й з њх попередженн¤ ≥ нейтрал≥зац≥њ.

ѕри прогнозуванн≥ ≥ м≥н≥м≥зац≥њ ризик≥в ≥нформац≥йна п≥дтримка маЇ визначальне, але не вин¤ткове значенн¤. ƒл¤ р≥шенн¤ проблеми необх≥дно почати ц≥лий комплекс заход≥в, спр¤мований на забезпеченн¤ п≥дприЇмництва й особистост≥. Ўтучне вичленовуванн¤ одного з елемент≥в комплексу (нав≥ть найважлив≥шого) не вир≥шуЇ задачу ц≥лком.

¬ даний час немаЇ стрункоњ системи класиф≥кац≥њ п≥дприЇмницьких ризик≥в. ¬с≥ ≥снуюч≥ нин≥ п≥дходи до класиф≥кац≥њ ризик≥в недостатньо повно в≥дбивають розмањт≥сть ризик≥в, тому представл¤Їтьс¤ обов'¤зковим визначенн¤ њхн≥х тип≥в ≥ угрупованн¤ по визначених ознаках.

ѕершочерговою задачею Ї оц≥нка стану керуванн¤ ризиками в банку, що припускаЇ проходженн¤ наступних етап≥в:

установленн¤ причин, фактор≥в, джерел ризику в банку;
≥дентиф≥кац≥¤ ризик≥в банку;
побудова проф≥лю ризику;
≥нтегральна оц≥нка ризику банку по проф≥лю;
анал≥з використовуваних у банку заход≥в щодо керуванн¤ ризиками;
оц≥нка ефективност≥ застосовуваних заход≥в.

ƒосл≥дженн¤ стану керуванн¤ ризиками проводитьс¤ при дотриманн≥ наступних принцип≥в:

- збиток репутац≥њ банку;
- порушенн¤ д≥ючого законодавства;
- збиток дл¤ здоров'¤ персоналу;
- збиток, пов'¤заний з розголошенн¤м персональних даних окремих ос≥б;

ѕриведена сукупн≥сть параметр≥в використовуЇтьс¤ в комерц≥йному вар≥ант≥ методу. ¬ ≥нших верс≥¤х сукупн≥сть буде ≥ншою. “ак, у верс≥њ, використовуваноњ в ур¤дових закладах, додаютьс¤ так≥ област≥, ¤к нац≥ональна безпека ≥ м≥жнародн≥ в≥дносини. ќдержанн¤ зв≥т≥в ≥ обговоренн¤ њх.

Ќа першому етап≥ може бути п≥дготовлено к≥лька тип≥в зв≥т≥в (меж≥ системи, модель, визначенн¤ ц≥нност≥ ресурс≥в).

якщо ц≥нност≥ ресурс≥в низьк≥, можна використовувати базовий вар≥ант захисту. ” такому випадку досл≥дник може в≥дразу перейти в≥д етапу 1 до етапу 3. ќднак дл¤ адекватного обл≥ку потенц≥йного впливу ¤коњ-небудь загрози, вразливост≥, що мають висок≥ р≥вн≥, варто використовувати скорочену верс≥ю етапу 2. ÷е дозвол¤Ї розробити б≥льш ефективну схему захисту.

≈тап 2. јнал≥з загроз ≥ вразливостей Ќа другому етап≥:

комплексност≥, що дозвол¤Ї охопити орган≥зац≥йн≥, ≥нформац≥йн≥, виробничо-техн≥чн≥, соц≥альн≥, економ≥чн≥, юридичн≥ аспекти проблеми;
науковост≥, що базуЇтьс¤ на визначенн≥ оптимального вар≥анта д≥й дл¤ дос¤гненн¤ поставленоњ задач≥;
системност≥, що представл¤Ї об'Їкт досл≥дженн¤ у вигл¤д≥ ц≥л≥сноњ Їдиноњ системи;
прогресивност≥, що пол¤гаЇ у в≥дпов≥дност≥ досл≥дженн¤ передовим методам ≥ методикам в≥тчизн¤ного ≥ закордонного досв≥ду.

ƒосл≥дженн¤ орган≥зац≥њ керуванн¤ ризиками в банку доц≥льно проводити в три етапи (рис..1.).

–ис. 1. —хема проведенн¤ досл≥дженн¤ орган≥зац≥њ керуванн¤ми ризиками.