Подходы и методы обоснования целесообразности выбора средств защиты информации

Тип работы:
Реферат
Предмет:
Экономические науки


Узнать стоимость

Детальная информация о работе

Выдержка из работы

УДК 33: 004. 056
ПОДХОДЫ И МЕТОДЫ ОБОСНОВАНИЯ ЦЕЛЕСООБРАЗНОСТИ ВЫБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Нурдинов Р. А., Батова Т. Н.
Национальный исследовательский университет информационных технологий, механики и оптики, Санкт-
Петербург, Россия (197 101, Санкт-Петербург, пр. Кронверкский, д. 49), e-mail: org@mail. ifmo. ru_
Для решения проблемы выбора средств защиты информации (СЗИ) предлагается использовать два подхода: первый основан на оценке конкурентоспособности, второй — на оценке целесообразности их использования для конкретного объекта защиты. Проведён обзор методов оценки конкурентоспособности СЗИ, среди которых наиболее подходящими являются: метод, основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных оценок и метод тестирования. Разработано два метода оценки целесообразности использования СЗИ для конкретного объекта защиты: метод определения коэффициента нейтрализации угроз и метод анализа рисков информационной безопасности. Метод нахождения коэффициента нейтрализации угроз основан на экспертных оценках и носит субъективный характер. Метод, основанный на анализе рисков, предполагает определение экономической выгоды от использования СЗИ. Кроме того, на основании значения затратоёмкости информационных активов принимается решение о выборе оптимального
набора средств защиты информации для конкретного объекта защиты. _
Ключевые слова: информационный актив, средства защиты информации (СЗИ), риск информационной безопасности, объект защиты, модель угроз, коэффициент нейтрализации угроз, коэффициент экономической эффективности, рискоёмкость, затратоёмкость обеспечения безопасности.
APPROACHES AND METHODS OF RATIONALE CHOOSING OF INFORMATION PROTECTION FACILITIES
Nurdinov R. A., Batova T. N.
Research university of information technologies, mechanics and optics, St. Petersburg, Russia (197 101, Saint
Petersburg, Kronverkskiy pr., 49), e-mail: org@mail. ifmo. ru_
For a solution of a problem of choosing information protection facilities (IPF) two approaches are offered: the first one is based on the assessment of competitiveness, the second one is based on the assessment of the advisability of their using for a particular object of protection. We made review of the methods which evaluate competitiveness of the IPF. The most appropriate methods are: the first — finding of an integral index of the competitiveness, the second — expert evaluations, the third — testing method. For assessment of advisability of using the IPF for a particular object of protection two methods were developed: the method of determining the coefficient of threats neutralization and the method of risk analysis. The method of determining the coefficient of threats neutralization is subjective and based on expert evaluation. The method based on risk analysis assumes the determination of economic benefit from using IPF. Besides, the decision on choosing optimal set of information protection facilities for a particular object is based on the input intensities of information assets.
Key words: information asset, information protection facilities (IPF), risk of information security, object of protection, model of threats, coefficient of threats neutralization, economic efficiency ratio, input intensities of information assets, risk involved.
Развитие информационных технологий привело к тому, что обладание ценной информацией является одним из ключевых факторов успешного ведения бизнеса. Вместе с тем появляется всё большая необходимость в защите информации, доступ к которой ограничен. Вопрос выбора средств защиты информации из всего их многообразия является проблемой для многих предприятий. Часто можно наблюдать ситуации, когда выделенные на защиту информации денежные ресурсы не используются должным образом и, как следствие, не окупаются.
Цель исследования — разработка методов обоснования целесообразности выбора средств защиты информации.
Средства защиты информации (СЗИ) — это технические, программные, программно-технические средства, предназначенные или используемые для защиты информации [2]. Для принятия решения о выборе СЗИ предлагается использовать два подхода: первый основан на сравнительной оценке и определении уровня конкурентоспособности, второй предполагает оценку целесообразности использования СЗИ для конкретного объекта защиты. В работе исследовались оба подхода.
Первый подход. Для оценки конкурентоспособности СЗИ лучше всего подходят три известных метода: метод, основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных оценок и метод тестирования.
Интегральный показатель конкурентоспособности — это обобщенная численная характеристика конкурентоспособности товара, которая рассчитывается по формуле [5]:
_ КТ • КФ • КН. ,-. 4
ки — -кз-, (1)
где КИ — интегральный показатель конкурентоспособности-
КТ — коэффициент технической прогрессивности-
КФ — коэффициент функциональных возможностей-
КН — коэффициент соответствия нормативам-
КЗ — коэффициент затрат.
Коэффициенты К Т, КФ и КЗ находятся путём сравнения технических, функциональных и стоимостных показателей оцениваемого средства защиты информации с аналогичными показателями СЗИ конкурента, принятого за базу. Коэффициент К Н определяется в зависимости от того, насколько оцениваемое СЗИ соответствует установленным стандартам и нормативам и может принимать значения от 0,5 до 1.
Преимущество метода — учитывается ряд важных факторов, влияющих на уровень конкурентоспособности СЗИ. Недостатки — можно неправильно выбрать параметры для сравнения- не всегда есть возможность получить необходимую информацию о СЗИ.
Сущность метода экспертных оценок состоит в определении ряда технических, экономических и прочих параметров и присвоении СЗИ оценок по каждому из них [1]. Показатель конкурентоспособности определяется по формуле:
Ксзи- !11=11г ¦ рг, (2)
где КСЗИ — показатель конкурентоспособности средства защиты информации-
I/ - балльная оценка 1-го параметра-
р/ - коэффициент весомости /-го параметра-
И — количество оцениваемых параметров.
Для того чтобы выяснить, насколько мнения экспертов согласованы между собой, находится коэффициент конкордации Кендалла по следующей формуле:
1 2я
Ш- 12 я (3)
где W — коэффициент конкордации Кендалла-
Б — сумма квадратов отклонений рангов каждого эксперта от средней суммы рангов-
{ - количество экспертов-
Для проверки значимости находится критерий Пирсона (х):
X2 — f • (h — 1) • Ш. (4)
Полученное значение критерия Пирсона сравнивается с табличным значением х кр. Если х2 & gt- х2кр, то мнения экспертов значимы.
Преимущества метода экспертных оценок — в его простоте и возможности проводить сравнительную оценку при небольшом количестве исходных данных. Главный недостаток заключается в том, что результат полностью зависит от субъективного мнения экспертов.
Тестирование СЗИ может рассматриваться как отдельный метод оценки конкурентоспособности. Объект защиты, охраняемый СЗИ, специально подвергается атакам, либо эти атаки имитируются. Определяется количество или процент успешно отражённых атак. Тестирование чаще всего используется для сравнительной оценки программного обеспечения, например, антивирусов.
Анализ конкурентоспособности позволяет получить сравнительную оценку средств защиты информации для общего случая.
Второй подход. Для того чтобы получить результаты для конкретного потребителя, необходимо провести оценку целесообразности выбора и использования СЗИ, которая заключается в определении того, насколько они соответствуют потребностям предприятия в обеспечении информационной безопасности. Для этого предлагается использовать два метода.
Первый метод оценки целесообразности выбора и использования СЗИ для конкретного объекта защиты основан на определении коэффициента нейтрализации угроз и базируется на экспертных оценках. Он состоит из трёх этапов.
Этап 1. Характеристика объекта защиты
Определяется объект защиты, включающий в себя информацию, носители информации и информационные процессы, которые необходимо защищать. В качестве
объекта защиты может быть выбран отдельный компьютер, корпоративная сеть, помещение, предприятие и т. д.
Этап 2. Построение модели угроз
В зависимости от размера предприятия, численности персонала, охраняемой информации, используемых средств и методов защиты, описания типового нарушителя и прочих факторов отбираются существующие угрозы и угрозы, которые могут возникнуть. Эксперты определяют вероятность реализации каждой 1-ой угрозы:
Рп = Рй • Ру-, (5)
где рг1 — вероятность реализации 1-ой угрозы-
рп — вероятность возникновения 1-ой угрозы-
рУ1 — вероятность возникновения уязвимости для реализации 1-ой угрозы. После этого экспертами определяется относительная оценка потерь (доля ущерба) в случае реализации 1-ой угрозы — которая может принимать значения от 0 до 1.
Для каждой угрозы определяется уровень значимости, равный произведению вероятности её реализации на относительную оценку потерь:
zi = рн • di, (6)
где 21 — уровень значимости угрозы.
Этап 3. Определение коэффициента нейтрализации угроз
Выбирается, характеризуется, исследуется и, по возможности, тестируется оцениваемое СЗИ. Экспертами определяется оценка уровня противодействия СЗИ каждой 1-ой угрозе — а1, которая представляет собой целое число в интервале от 0 до 10.
Коэффициент нейтрализации угроз определяется по формуле:
Кну, (7)
атах ?1=1 ?1
где атах — максимальное значение оценки, равное 10- п — количество угроз.
На основании полученных результатов можно, во-первых, сделать выбор в пользу средства защиты информации с наибольшим значением коэффициента нейтрализации угроз, а во-вторых, принять решение о целесообразности использования СЗИ. Шкала для принятия решения может выглядеть следующим образом:
• КНУ & lt- 0,05 — СЗИ нецелесообразно использовать-
• 0,05 & lt- КНУ & lt- 0,2 — СЗИ компенсирует небольшую часть угроз и может использоваться как дополнительное-
• 0,2 & lt- КНУ & lt- 0,5 — СЗИ частично компенсирует угрозы и может использоваться вместе с другими СЗИ-
• 0,5 & lt- КНУ & lt- 0,8 — СЗИ в большей степени компенсирует угрозы и может использоваться как основное, вместе с которым рекомендуется использовать дополнительные СЗИ-
• 0,8 & lt- КНУ — СЗИ рекомендуется к использованию в качестве основного- дополнительные СЗИ могут использоваться по желанию.
Плюсы данного метода в том, что он достаточно прост и не требует сложных расчетов, минусы — субъективность полученного результата и отсутствие стоимостной оценки объекта защиты и средств защиты информации.
Второй метод оценки целесообразности выбора и использования СЗИ для конкретного объекта защиты предполагает определение экономической выгоды от внедрения СЗИ на основе анализа рисков информационной безопасности. Он состоит из пяти этапов. Этап 1. Определение стоимости информационных активов Различают два вида активов [4]:
• первичные активы (бизнес-процессы и действия, информация) —
• активы поддержки (аппаратные средства, программное обеспечение, сеть).
Для каждого из активов определяется стоимость Б) которая зависит от затрат на создание или покупку актива, а также возможной выгоды от его использования [4]. Стоимость всех активов складывается, образуя стоимость объекта защиты БоЗ. Этап 2. Определение перечня актуальных угроз
Составляется перечень угроз, которые существуют или могут возникнуть. После этого строится матрица угроз и активов размерностью п на т, где п — количество угроз, т -количество активов. Для каждой 1-ой угрозы по отношению к ]-му активу определяется вероятность реализации р)
Этап 3. Расчёт цены полного риска
Для каждого актива рассчитывается вероятность реализации хотя бы одной угрозы:
РП — 1- ПР=1(1 — Ргр), (8)
где рц — вероятность реализации хотя бы одной угрозы ]-му активу.
Предполагается, что в случае реализации для ]-го актива хотя бы одной из угроз, ущерб равняется стоимости актива:
Я] =) (9)
Это достигается за счёт детализации активов и тщательного выбора актуальных угроз. Считается, что угрозы могут быть реализованы независимо друг от друга. Далее вычисляется цена риска Я) для каждого ]-го актива по формуле:
^ = Рп • Я). (10)
Цена полного риска равна сумме цен риска для всех активов:
Кполы = !& quot-=1. (11)
Этап 4. Расчёт цены остаточного риска после внедрения СЗИ
После внедрения СЗИ процедура расчета цены риска выполняется повторно. Определяется цена остаточного риска ЯосТ, которая должна быть меньше цены полного риска Яполы.
Этап 5. Оценка эффективности использования СЗИ
Коэффициент экономической эффективности от использования СЗИ вычисляется по формуле:
Т7 _ КПоЛН _ коСТ /1
есзи = -0-, (12)
осзи
где 8Сзи — затраты на СЗИ, которые включают в себя цену покупки, а также затраты на внедрение. Если ЕСЗИ & gt- 1, то данное СЗИ целесообразно использовать, и напротив, если ЕСЗИ & lt- 1 — то нецелесообразно.
Однако на основании полученных значений коэффициента экономической эффективности нельзя определить наиболее оптимальный набор средств защиты информации для конкретного объекта защиты. Для этого необходимо учитывать как затраты на СЗИ, так и цену остаточного риска после их внедрения. Кроме того, нельзя допустить, чтобы затраты на СЗИ превысили стоимость информационных активов, поскольку в таком случае они будут неоправданны. Поэтому авторами предлагается использовать показатель затратоёмкости информационных активов, который находится по формуле:
^ _ °СЗИ + коСТ /1
Ю--о-, (13)
ьоЗ
где ю — затратоёмкость информационных активов.
Данный показатель определяет, какую часть от стоимости информационных активов составляют суммарные затраты, включающие в себя реальные затраты на СЗИ и ожидаемые затраты от реализации угроз безопасности информации, выраженные в виде цены остаточного риска. Наилучшим вариантом выбора СЗИ из нескольких будет тот, при котором значение затратоёмкости информационных активов будет наименьшим.
Выражение (12) можно разложить на слагаемые и ввести следующие обозначения:
ю = °СЗИ+коСТ = °сзи =? + к, (14)
где 8 — затратоёмкость обеспечения безопасности информационных активов-
к — рискоёмкость информационных активов.
Выражение (13) подходит для выбора средств защиты информации, а выражение (12) для обоснования целесообразности их использования. Данный метод универсален, поскольку позволяет вычислять и сравнивать показатели экономической эффективности и затратоёмкости информационных активов для разных средств защиты информации и объектов защиты. Его недостатки — сложно определить цену риска- выводы, основанные на оценке неопределённости, как правило, актуальны не больше года.
Результаты оценки конкурентоспособности и оценки целесообразности использования могут не совпадать, поскольку конкурентоспособность определяется для общего случая, а целесообразность использования — исходя из конкретных особенностей потребителя.
Таким образом, предложенные методы могут служить инструментом для принятия решений о выборе и использовании средств защиты информации для конкретных информационных активов с учётом особенностей деятельности предприятия.
Список литературы
1. Васюхин О. В. Основы ценообразования. — СПб.: СПбГУ ИТМО, 2010. — 56 с.
2. ГОСТ Р ИСО/МЭК 50 922−2006 «Защита информации. Основные термины и определения»
3. Ларина И. Е. Экономика защиты информации: Учебное пособие. — М.: МГИУ, 2007. — 92 с.
4. Международный стандарт ИСО/МЭК 27 005−2008 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», 70 с.
5. Молочнова К. Н. Доклад «Методы оценки технико-экономических показателей проектов программных средств» / руководитель д-р техн. наук, проф. Попов Ф. А. — Бийск, 2008.
Рецензенты:
Васюхин О. В., д-р экон. наук, профессор, заведующий кафедрой «Прикладной экономики и маркетинга» Национального исследовательского университета информационных технологий, механики и оптики, г. Санкт-Петербург.
Каторин Ю. Ф., д-р в. наук, профессор кафедры «Безопасных информационных технологий» Национального исследовательского университета информационных технологий, механики и оптики, г. Санкт-Петербург.

ПоказатьСвернуть
Заполнить форму текущей работой