Проблема оценки вероятности реализации угрозы при расчёте эффективности вложений в информационную безопасность
Рассмотрение проблемы определения вероятности реализации угрозы информационной безопасности при оценке эффективности инвестиций и эффективности системы защиты информации в целом. Оценка математического ожидания потерь на основе вероятности угроз.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 19.12.2017 |
Размер файла | 20,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Проблема оценки вероятности реализации угрозы при расчёте эффективности вложений в информационную безопасность
Проснеков Станислав Анатольевич
Аннотация
В статье рассмотрена проблема определения вероятности реализации угрозы информационной безопасности, при оценке эффективности инвестиций и эффективности системы защиты информации в целом. Рассмотрены существующие подходы к решению этого вопроса, предложен новый подход к оценке на основе существующих.
Ключевые слова: информационная безопасность, нечеткая логика, метод анализа иерархий, экспертная оценка
Постоянно ускоряющаяся информатизация общества и производства с каждым днем захватывает все новые сферы жизни. Даже совсем оторванные от высоких технологий виды деятельности вынуждены внедрять информационные технологии в свою работу для сохранения конкурентных преимуществ: например, спорт [7], медицина, образование. Такое развитие событий даже породило сетецентрическую парадигму управления в которой любая система рассматривается с точки зрения взаимосвязи служб, людей, информации и устройств, организованную с помощью средств сетевой связи [8], т.е. существование современного мира в отрыве от информационных технологий становится все менее возможным.
В связи с этим процессом интеграции все более остро становится вопрос информационной безопасности, ведь чем более зависима система от информационных технологий, тем более ощутимым будет ущерб в случае отказа этой системы или нарушения базовых свойств информации (конфиденциальность, целостность, доступность), которая этой системой обрабатывается. Но следует понимать, что, невозможно гарантировано предотвратить все возможные угрозы, соответственно необходимо достаточно точно представлять каких вложений потребует организация системы информационной безопасности и насколько они окупятся.
В общих чертах стоимость системы информационной безопасности не должна превышать возможный ущерб, иначе она теряет всякий смысл.
Оценка эффективности вложений в информационную безопасность достаточно сильно отличается от оценки любых других инвестиционных проектов и обладает только ей присущим рядом проблем. Если рассматривать типовую процедуру оценки привлекательности инвестиционного проекта в области ИБ, то его можно разделить на следующие этапы:
1. Оценка стоимости активов, включая нематериальные риски
a. Определение активов и их цены
b. Ранжирование активов по степени важности (цене)
2. Поиск типовых уязвимостей и каналов утечки информации
a. Поиск уязвимостей
b. Ранжирование уязвимостей по степени важности
3. Оценка математического ожидания потерь, на основе вероятности реализации угроз
a. Определение вероятности реализации по каждой угрозе или группе угроз информационный безопасность угроза
b. Расчет ожидаемых потерь по каждой угрозе
c. Расчет ожидаемых потерь по всем угрозам
4. Оценка стоимости внедрения и эксплуатации системы ИБ
a. Оценка стоимости внедрения
b. Оценка стоимости обучения сотрудников
c. Оценка расходов на эксплуатацию системы
5. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)
Из этих шагов, наибольшее количество вопросов вызывает шаг 3: оценка математического ожидания потерь, так как этот шаг один из ключевых, исходя из расчёта этой величины и определяется эффективность вложений и инвестиционная привлекательность. Если рассмотреть данный этап подробнее, то математическое ожидание возможных потерь представляет из себя величину:
Где m - ожидание потерь, p - вероятность реализации угрозы, v - стоимость актива, который подвергается угрозе.
С определением стоимости актива в большинстве случаев проблем не возникает, т.к. если актив материальный - то его цена известна, если не материальный, то существуют отработанные методики оценки стоимости нематериальных активов, например, затратный, доходный и сравнительный (рыночный) подходы. В первом случае считаем затраты на создание актива, во втором прибыль, которую он нам приносит, в третьем сравниваем с аналогами на рынке. [1]
В свою очередь с оценкой вероятности реализации не все так просто, в текущих стандартах и актуальных научных работах по данному направлению закрепилось несколько подходов к данному вопросу.
Самый распространённый подход - экспертная оценка, закреплен во множестве стандартов, например, в NIST "Risk Management Guide for Information Technology Systems" или Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" ФСТЭК России [3]. Представляет из себя оценку вероятности реализации экспертом, по количественной или качественной шкале. Как конкретно определяются значения шкалы и как их интерпретировать решает только эксперт.
Плюсы данного подхода: низкие затраты времени, а значит и оплаты работы эксперта. Недостатки: субъективность оценки, сильная зависимость от квалификации эксперта, сложность проверки т.к. шкалы оценки не регламентированы.
Следующий по популярности подход - статистические данные, часто авторы рекомендуют использовать статистические данные как помощь при экспертной оценке. Часто под этим понимается, что организации должна была вести базу инцидентов ИБ за последние несколько лет, из которой можно вывести если уж не вероятность реализации, то хотя бы частоту проявления угроз, к сожалению такие базы редкость, а какой-либо общей официальной статистики реализации или попыток реализации угроз - не существует, но есть сторонние организации такие как: ISACA [4], McAfee [5], Symantec [6], которые каждый год выпускают свои отчеты и рекомендации, зачастую содержащие в себе статистику. Но следует понимать, что такая статистика очень оторвана от реальности и учитывает только сферу интересов, компании выпустившей ее.
К плюсам данного подхода можно отнести логическую обоснованность, объективность и возможность полной или частичной проверки представленных данных.
Минусы данного подхода: не учитывается региональная и отраслевая специфика, практически невозможно применение в отрыве от других методов.
Последний из распространенных подходов - математическое или имитационное моделирование. В последнее время данный подход очень часто встречается в работах по направлению ИБ, как заявляют авторы работ, подход обладает неоспоримыми плюсами: математическая и логическая обоснованность, точность, объективность. Но за всем этим скрывается, точно такая же экспертная оценка. Причина этого кроется, во-первых, в том, что модель создается экспертом, который пытается формализовать свое представление о работе системы, а во-вторых из-за того, что для начала работы модели, необходимо дать ей входные данные, которые снова приходится получать экспертно.
Достоинства подхода: результат оценки приближается к объективному и логически обоснованному.
Недостатки: высокая сложность, большие затраты времени, необходимость высокой квалификации эксперта не только в области ИБ, но и в области имитационного/математического моделирования.
Исходя из рассмотренных методов, можно сделать вывод, что как бы не хотелось отказаться от субъективной экспертной оценки, фактически - это невозможно, исходя из этого остро встает вопрос, повышения качества экспертной оценки вероятности реализации.
Основной способ повышения точности экспертной оценки - это привлечение дополнительных экспертов, что влечет за собой дополнительные проблемы: увеличения времени и затрат для проведения оценки. Затраты можно снизить если привлекать экспертов заочно, но тогда требуется процедура, которая позволит опрашивать экспертов без длительного ввода их в курс дела. Для определения числового значения вероятности реализации необходимо: определить параметры влияющие на значение частоты реализации, зафиксировать шкалу, по которой эксперты будут оценивать вероятность реализации и механизм для интерпретации качественных оценок в числовое значение, а также методика сведения ответов экспертов к единому мнению. В качестве такого методики хорошо зарекомендовала себя нечеткая логика, призванная интерпретировать и формализовать логику эксперта.
Для применения нечеткой логики для определения значения вероятности реализации угрозы, необходимо задать лингвистические переменные, определить границы термов и сформировать базу правил. Затем, от каждого участвующего в опросе эксперта, потребуется задать значение лингвистических переменных, значения, полученные от разных экспертов, приводятся к среднему значению по каждой лингвистической переменной и, например, с помощью пакета FuzzyLogiсToolbox для Matlab получить итоговое значение вероятности реализации угрозы. Плюсы данного решения: объективный обоснованный механизм перевода качественной оценки в числовое значение, не требует много времени для применения, результат стремится к объективному. Минусы: необходимо понимание экспертом принципов нечеткой логики.
Исходя из вышесказанного вся процедура оценки приобретет вид:
1. Оценка стоимости активов, включая нематериальные риски
a. Определение активов и их цены
b. Ранжирование активов по степени важности (цене)
2. Поиск типовых уязвимостей и каналов утечки информации
a. Поиск уязвимостей
b. Ранжирование уязвимостей по степени важности
3. Оценка математического ожидания потерь, на основе вероятности реализации угроз
a. Определение лингвистических переменных и границ термов
b. Создание базы правил
c. Опрос экспертов и сведение результатов
d. Расчет вероятности реализации угроз
e. Расчет ожидаемых потерь по каждой угрозе
f. Расчет ожидаемых потерь по всем угрозам
4. Оценка стоимости внедрения и эксплуатации системы ИБ
a. Оценка стоимости внедрения
b. Оценка стоимости обучения сотрудников
c. Оценка расходов на эксплуатацию системы
5. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)
Использование при оценке вероятности реализации угрозы нечеткой логики, несколько усложняет процесс оценки взамен повышая его точность и обоснованность, но это касается только вопроса оценки вероятности реализации. Для повышения точности всего процесса оценки, необходимо привлечение экспертов, не только для оценки вероятности реализации, но и для оценки и ранжирования активов, угроз и средств, и методов защиты. Для решения такой задачи возможно использование метода анализа иерархий, который обладает следующими достоинствами в контексте оценки ИБ: повышение точности и объективности всей процедуры оценки, попарные сравнения не требуют длительного ввода в курс дела, метод содержит внутреннюю процедуру проверки согласованности результатов, метод позволяет упростить некоторые этапы анализа (например, ранжирование угроз).
Область применения МАИ необычайно широка благодаря тому, что он позволяет сравнивать, по выражению Т.Саати, "апельсины с яблоками", т.е. сущности, для которых не существует объективных числовых оценок [2]. Для использования метода необходимо незначительно перестроить полученную процедуру оценки:
1. Оценка стоимости активов, включая нематериальные риски
a. Определение активов и их цены
b. Ранжирование активов по степени важности (цене)
2. Поиск типовых уязвимостей и каналов утечки информации
a. Поиск уязвимостей
b. Ранжирование уязвимостей по степени важности
3. Оценка математического ожидания потерь, на основе вероятности реализации угроз
a. Определение лингвистических переменных и границ термов
b. Создание базы правил
c. Опрос экспертов и сведение результатов
d. Расчет вероятности реализации угроз
e. Расчет ожидаемых потерь по каждой угрозе
f. Расчет ожидаемых потерь по всем угрозам
4. Построение качественной модели проблемы в виде иерархии
a. Построение иерархии, включающей активы, уязвимости и средства защиты
b. Определение приоритетов всех элементов иерархии (попарное экспертное сравнение сравнение)
c. Синтез глобальных приоритетов альтернатив
d. Проверка на согласованность
e. Получение финального результата (выбор и обоснование средств защиты)
5. Оценка стоимости внедрения и эксплуатации системы ИБ
a. Оценка стоимости внедрения
b. Оценка стоимости обучения сотрудников
c. Оценка расходов на эксплуатацию системы
6. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)
Данный подход несет в себе несколько преимуществ перед стандартным подходом к оценке угроз: во-первых, возможно заочное привлечение дополнительных экспертов, во-вторых попарные сравнения решают вопрос ранжирования и приоритезации угроз и рисков, что позволяет сразу определить какие угрозы надо закрывать в первую очередь, в-третьих МАИ позволяет рассматривать сразу большое количество как проблем так и подходов к решение проблемы, которые могут быть совершенно разными по своему подходу (технически, организационные и другие меры защиты) что в конечном итоге уменьшает время и затраты необходимое на оценку.
Подводя итог нельзя не сказать о том, что существующая методика оценки позволяет отвечать на встающие перед ней вопросы в разумные сроки и с предсказуемым качеством оценки, что и объясняет ее распространение начиная с международных стандартов и заканчивая методиками ФСТЭК РФ. Рассматривая возможности получения лучших результатов в рамках общепринятой методики нельзя забывать о том, что в результате изменений методика должна остаться простой в применении и доступной широкому кругу специалистов, иначе применение методики на практике будет сильно ограничено или вообще невозможно. Автор считает, что рассмотренная в данной статье методика соответствует этим условиям и не требует кардинальной переподготовки существующих специалистов, при этом позволяя существенно повысить качество и обоснованность оценки.
Список литературы
1. Приказ Министерства экономического развития и торговли Российской Федерации (Минэкономразвития России) от 20 июля 2007 г. N 256 г. Москва "Об утверждении федерального стандарта оценки "Общие понятия оценки, подходы к оценке и требования к проведению оценки (ФСО N 1)".
2. Саати Т. Принятие решений. Метод анализа иерархий. - Москва.: Радио и связь, 1993.
3. "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" ФСТЭК России / [Электронный ресурс] - Режим доступа. - URL: http://www.consultant.ru/document/cons_doc_LAW_77814/ (дата обращения: 11.11.2015)
4. ISACA Journal, Volume 6, 2015 / [Электронный ресурс] - Режим доступа. - URL: http://www.isaca.org/Journal/Pages/default.aspx (дата обращения: 12.11.2015)
5. 2015 Internet Security Threat Report, Volume 2015 / [Электронный ресурс] - Режим доступа. - URL: http://www.symantec.com/security_response/publications/threatreport.jsp (дата обращения: 12.11.2015)
6. Отчет McAfee Labs об угрозах, ноябрь 2014 [Офиц.сайт] URL: http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q3-2014.pdf (дата обращения: 12.11.2015)
7. Багрова О.М. Повышение эффективности управленческих решений тренера по городошному спорту путем интеграции информационных технологий и традиционной системы спортивной подготовки // Nauka-rastudent.ru. - 2015. - No. 12 (24) / [Электронный ресурс] - Режим доступа. -http://naukarastudent.ru/24/3119/ (дата обращения: 08.01.2016)
Размещено на Allbest.ru
...Подобные документы
Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.
презентация [288,1 K], добавлен 22.12.2015Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Системный анализ существующих угроз информационной безопасности. Математическая модель оценки стойкости криптографической системы защиты информации. Разработка псевдослучайной функции повышенной эффективности с доказанной криптографической стойкостью.
дипломная работа [1,3 M], добавлен 30.11.2011Понятие и сущность информационной безопасности, существующие угрозы для школьников в интернете. Этапы разработки системы информационной безопасности и ее организация в школе, структура и компоненты, а также анализ и оценка практической эффективности.
дипломная работа [1,0 M], добавлен 27.10.2017Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Понятие, цели и задачи информационной безопасности. Угрозы информационной безопасности и способы их реализации. Управление доступом к информации и информационным системам. Защита сетей и информации при работе в Интернете. Понятие об электронной подписи.
контрольная работа [37,1 K], добавлен 15.12.2015Понятие системы информационной безопасности, ее цели состав. Классификация нарушителей; угрозы, особенности и примеры их реализации. Средства защиты информации: шифрование, авторизации, идентификации и аутентификации пользователей; антивирусные программы.
презентация [947,4 K], добавлен 19.09.2016Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Характеристика потенциальных угроз информации в информационной системе фирмы. Принцип функционирования программного обеспечения, разработка модулей и проект таблиц баз данных. Требования безопасности при работе на ПЭВМ, оценка эффективности проекта.
дипломная работа [3,6 M], добавлен 28.06.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Особенности функционирования предприятия и его информационной системы как объектов информационной безопасности. Функциональная оценка эффективности интегральной системы защиты информации, структурно-функциональная схема проекта по ее совершенствованию.
курсовая работа [1,1 M], добавлен 28.05.2015Структура и особенности ОС Linux, история ее развития. Информационная безопасность: понятие и регламентирующие документы, направления утечки информации и ее защиты. Расчет создания системы информационной безопасности и исследование ее эффективности.
курсовая работа [77,3 K], добавлен 24.01.2014Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Угрозы безопасности для персонального компьютера руководителя районного узла электросвязи, подключенного в локальную вычислительную сеть. Разработка политики безопасности, технические средства ее реализации. Экономическая целесообразность решений.
контрольная работа [27,7 K], добавлен 09.07.2009