Модель выбора программно-аппаратных средств защиты информации в коммерческих организациях
Приведена модель выбора программно-аппаратных средств защиты информации при внедрении в автоматизированную информационную систему коммерческой организации. Предложена условная схема оценки рисков информационной безопасности данной информационной системы.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 30.04.2018 |
| Размер файла | 257,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МОДЕЛЬ ВЫБОРА ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В КОММЕРЧЕСКИХ ОРГАНИЗАЦИЯХ
Фот Ю.Д.
ORCID:0000-0002-8819-9100, кандидат технических наук, доцент, ФГБОУ ВО Оренбургский государственный университет.
В статье приведена модель выбора программно-аппаратных средств защиты информации при внедрении в автоматизированную информационную систему коммерческой организации, с учетом величины возможного ущерба от реализации угрозы, риском информационной безопасности и стоимости программно-аппаратных средств защиты информации.Предложена условная схема оценки рисков информационной безопасности автоматизированной информационной системы коммерческой организации. Проведена экспериментальная оценка предложенной модели.
Ключевые слова: программно-аппаратные средства защиты информации, уровень защищенности информационной системы коммерческого предприятия.
The paper presents the model for selection of software and hardware information security tools for implementation into an automated information system of a commercial organization, taking into account the amount of possible damage from the implementation of the threat, the risk of information security, and the cost of software and hardware information security facilities. The author proposed a conditional scheme for assessment of information security risks of an automated information system of a commercial organization. The experimental estimation of the proposed model is carried out.
Keywords: software and hardware means of information security, level of security of information system of a commercial enterprise.
Современные темпы развития и распространения информационных технологий, обострение конкурентной борьбы требуют создания высокого уровня защищенности информационной автоматизированной системы коммерческих организаций (АИС КО), включающие в себя правовые, организационные, физические, а также программно-аппаратные меры защиты информации.
Под уровнем защищенности АИС КО, в данной статье, понимается совокупность различных вариантов программно-аппаратных средств защиты информации (ПАСЗИ). Для определения затрат на приобретение ПАСЗИ в первую очередь необходимо проводить анализ рисков информационной безопасности АИС КО, который позволит оценить существующий уровень защищенности.
В ходе исследования, на основе [1], была разработана условная схема оценки рисков информационной безопасности коммерческой организации (рис. 1).
Рис. 1 - Условная схема оценки рисков информационной безопасности АИС КО
Опираясь на данную схему, была разработана математическая модель.
К исходным данным относятся:
· множество информативных ресурсов r={r1,r2,…,rm}, хранящихся в автоматизированной информационной системе коммерческой организации;
· множество типов объектов среды L={l1,l2,…,lm};
· множество стоимостей информационного ресурса S={s1,s2,…,sm};
· множество конкретных нарушителей D с учетом их характеристик V={v1,v2,…,vn};
· множество определенных действий Уд{У1,У2,…Уmax};
· множество способов использования информации Уи{Уиi,…,Уиmax}.
Задача выбора ПАСЗИ выражена через его эффект внедрения ПАСЗИ F, зависящий от степени тяжести последствий нарушения информационной безопасности S(У), оценки риска информационной безопасности RУ при допустимых затратах на программно-аппаратные средства защиты информации Z.
Расчет вероятности реализации угрозы РУ производился на основании статистики инцидентов угроз: средние статистические данные вероятности предотвращенных и успешных атак РС и усредненные данные экспертных оценок вероятности осуществления деструктивных действий РЭ.
защита информация коммерческий автоматизированный
(1)
При этом:
(2)
где: СУд - количество успешных атак;
СУи - количество предотвращенных атак.
При оценке вероятности осуществления деструктивных действий РЭ экспертам предлагается опираться на шкалу, представленную на рис.1.
Расчет оценки степени тяжести последствий нарушения ИБ от реализации определенных действий Уд для владельца информационного ресурса r коммерческой организации S(У) представляет собой сумму ущерба владельца от получения доступа к информационным ресурсам АИС КО S(Уд) и ущерба владельца от использования информационного ресурса АИС КО S(Уи):
(3)
Таким образом, оценка риска информационной безопасности АИС КО, может быть представлена количественно, т.е. риск оценивается через числовое значение, в данном случае, через размер ожидаемых потерь за определенный период времени. Значение риска вычисляется отдельно для каждой угрозы, и в общем случае представляется как произведение вероятности угрозы на величину возможного ущерба от реализации угрозы.
(4)
Затраты на приобретение программно-аппаратных средств защиты информации Z, должны быть значительно ниже оценки риска информационной безопасности автоматизированной информационной системы коммерческой организации RУ.
Представленная совокупность показателей оказывает влияние на эффект внедрения средств защиты информации в систему коммерческой организации. Эффект внедрения ПАСЗИ в автоматизированную информационную систему коммерческой организации F определяется как соотношение ущерба от реализации угрозы S(У) к разнице между оценкой риска информационной безопасности автоматизированной информационной системы коммерческой организации RУ и затратами на программно-аппаратные средства защиты информации Z.
(5)
Если F < 0, то затраты на систему защиты превышают выгоду от ее функционирования, из этого следует, что необходимо уменьшение текущих затрат на поддержание безопасности АИС КО. Выбирается другая совокупность вариантов программно-аппаратных средств защиты информации с минимальным риском RУ до получения положительного эффекта. Если F > 0, то выбирается совокупность вариантов программно-аппаратных средств защиты информации, соответствующая максимальному значению.
Экспериментальная оценка модели проводилась для угрозы «Спам». Пусть количество предотвращенных атак с использованием способа доступа к информационным ресурсам - 55 инцидентов за сутки, количество успешных атак - 6 инцидентов за сутки. Предположим, в коммерческой организации работает 100 сотрудников, средняя зарплата которых составляет 14000 ?/месяц, т.е. 636,4 ?/день; среднее время, затрачиваемое на открытие и удаление письма-спама составляет 30 секунд, т.е. 0,000347 дня. Тогда, ущерб от реализации угрозы для владельца информационных ресурсов S(У) = 397,75 ?/день.
Используя предложенную модель, определено влияние различных вариантов программно-аппаратных средств защиты информации на эффект внедрения средств защиты информации в систему коммерческой организации (табл.1.).
Таблица 1 - Оценка эффекта внедрения ПАСЗИ в АИС КО
Значение оценки риска RУ, имеющее в данном случае денежное выражение, показывает вероятные потери от реализации угрозы РУ. Наименьшее значение риска от угрозы спама, возникает при использовании первого и второго варианта ПАСЗИ однако, затраты на использование и приобретение данного ПАСЗИ значительно выше других вариантов. Показателя эффекта внедрения ПАСЗИ указывает, что для коммерческой организации недопустимо использование первого и второго варианта ПАСЗИ.
Третий, четвертый, пятый и шестой варианты ПАСЗИ допускаются к внедрению в АИС коммерческой организации, но использование пятого варианта ПАСЗИ «Касперский» наиболее выгодно. Учитывая стоимость ущерба реализации угрозы, средств защиты информации, интегрированный показатель эффекта внедрения ПАСЗИ количественно составляет 90,39 единиц, и является лучшим.
Достоинством данной модели является то, что описанный объем работ по проведению оценки рисков, показывает количественные потери возможного ущерба коммерческой организации, и возможные пути устранения данных потерь с помощью программно-аппаратных средств защиты информации. Проведена экспериментальная оценка предложенной модели, что повышает достоверность исходных данных и, следовательно, результатов анализа.
Список литературы / References
1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30-11-2010 - М. :Стандартинформ, 2011. - 51 с.
2. Фот, Ю. Д. Модель определения уровня защищенности системы отбора персонала организации / Ю. Д. Фот, А. С. Боровский // Интеллект. Инновации. Инвестиции, 2016. - № 2. - С. 117-123.
Размещено на Allbest.ru
...Подобные документы
Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа [605,0 K], добавлен 23.04.2015Особенности информационной безопасности банков. Человеческий фактор в обеспечении информационной безопасности. Утечка информации, основные причины нарушений. Комбинация различных программно-аппаратных средств. Механизмы обеспечения целостности данных.
контрольная работа [22,3 K], добавлен 16.10.2013Анализ информации, обрабатываемой на объекте, и программно-аппаратных средств обработки информации. Организационные методы контроля доступа. Программно-аппаратные и технические устройства защиты, датчикового контроля, видеонаблюдения и сигнализации.
реферат [291,7 K], добавлен 22.11.2014Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
дипломная работа [2,6 M], добавлен 01.07.2011Характеристика предприятия Datalif. Проектирование и внедрение системы защиты информации в компьютерной сети с рекомендациями по внедрению аппаратных средств обеспечения безопасности информации. Модель нарушителя и угроз, оценка риска их реализации.
курсовая работа [1,3 M], добавлен 30.03.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Описание метода анализа иерархий и программно-апаратных средств аутентификации: электронных ключей и идентификаторов. Анализ рынка программно-аппаратных средств аутентификации и выбор наилучшего средства при помощи построения иерархической структуры.
курсовая работа [407,6 K], добавлен 07.05.2011Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Организационно-функциональная структура компании. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности. Система видеонаблюдения и пропускного контроля. Расчёт показателей экономической эффективности проекта.
дипломная работа [1,2 M], добавлен 25.03.2013Средства обеспечения информационной безопасности. Возможные каналы утечки информации. Защита данных с помощью шифрования. Обзор видов технических устройств, защищающих системы, и принцип их действия. Программно-аппаратный комплекс средств защиты.
курсовая работа [475,7 K], добавлен 01.03.2015Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.
контрольная работа [401,8 K], добавлен 03.12.2012Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.
контрольная работа [25,5 K], добавлен 12.07.2014Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.
курсовая работа [725,1 K], добавлен 11.04.2016Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Программно-технические способы обеспечения информационной безопасности: защита от несанкционированного доступа; системы аутентификации и мониторинга сетей; антивирусы; анализаторы протоколов; криптографические средства. Статистика утечек информации.
реферат [1,2 M], добавлен 29.01.2013
