Сетевое издание
Современные проблемы науки и образования
ISSN 2070-7428
"Перечень" ВАК
ИФ РИНЦ = 1,006

ПОДХОДЫ И МЕТОДЫ ОБОСНОВАНИЯ ЦЕЛЕСООБРАЗНОСТИ ВЫБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Нурдинов Р.А. 1 Батова Т.Н. 1
1 Национальный исследовательский университет информационных технологий, механики и оптики
Для решения проблемы выбора средств защиты информации (СЗИ) предлагается использовать два подхода: первый основан на оценке конкурентоспособности, второй – на оценке целесообразности их использования для конкретного объекта защиты. Проведён обзор методов оценки конкурентоспособности СЗИ, среди которых наиболее подходящими являются: метод, основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных оценок и метод тестирования. Разработано два метода оценки целесообразности использования СЗИ для конкретного объекта защиты: метод определения коэффициента нейтрализации угроз и метод анализа рисков информационной безопасности. Метод нахождения коэффициента нейтрализации угроз основан на экспертных оценках и носит субъективный характер. Метод, основанный на анализе рисков, предполагает определение экономической выгоды от использования СЗИ. Кроме того, на основании значения затратоёмкости информационных активов принимается решение о выборе оптимального набора средств защиты информации для конкретного объекта защиты.
затратоёмкость обеспечения безопасности
рискоёмкость
коэффициент экономической эффективности
коэффициент нейтрализации угроз
модель угроз
объект защиты
риск информационной безопасности
средства защиты информации (СЗИ)
информационный актив
1. Васюхин О. В. Основы ценообразования. – СПб.: СПбГУ ИТМО, 2010. – 56 с.
2. ГОСТ Р ИСО/МЭК 50922-2006 «Защита информации. Основные термины и определения»
3. Ларина И. Е. Экономика защиты информации: Учебное пособие. – М.: МГИУ, 2007. – 92 с.
4. Международный стандарт ИСО/МЭК 27005-2008 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», 70 с.
5. Молочнова К. Н. Доклад «Методы оценки технико-экономических показателей проектов программных средств» / руководитель д-р техн. наук, проф. Попов Ф. А. – Бийск, 2008.

Развитие информационных технологий привело к тому, что обладание ценной информацией является одним из ключевых факторов успешного ведения бизнеса. Вместе с тем появляется всё большая необходимость в защите информации, доступ к которой ограничен. Вопрос выбора средств защиты информации из всего их многообразия является проблемой для многих предприятий. Часто можно наблюдать ситуации, когда выделенные на защиту информации денежные ресурсы не используются должным образом и, как следствие, не окупаются.

Цель исследования – разработка методов обоснования целесообразности выбора средств защиты информации.

Средства защиты информации (СЗИ) – это технические, программные, программно-технические средства, предназначенные или используемые для защиты информации [2]. Для принятия решения о выборе СЗИ предлагается использовать два подхода: первый основан на сравнительной оценке и определении уровня конкурентоспособности, второй предполагает оценку целесообразности использования СЗИ для конкретного объекта защиты. В работе исследовались оба подхода.

Первый подход. Для оценки конкурентоспособности СЗИ лучше всего подходят три известных метода: метод, основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных оценок и метод тестирования.

Интегральный показатель конкурентоспособности – это обобщенная численная характеристика конкурентоспособности товара, которая рассчитывается по формуле [5]:

, (1)

где КИ – интегральный показатель конкурентоспособности;

КТ – коэффициент технической прогрессивности;

КФ – коэффициент функциональных возможностей;

КН – коэффициент соответствия нормативам;

КЗ – коэффициент затрат.

Коэффициенты КТ, КФ и КЗ находятся путём сравнения технических, функциональных и стоимостных показателей оцениваемого средства защиты информации с аналогичными показателями СЗИ конкурента, принятого за базу. Коэффициент КН определяется в зависимости от того, насколько оцениваемое СЗИ соответствует установленным стандартам и нормативам и может принимать значения от 0,5 до 1.

Преимущество метода – учитывается ряд важных факторов, влияющих на уровень конкурентоспособности СЗИ. Недостатки – можно неправильно выбрать параметры для сравнения; не всегда есть возможность получить необходимую информацию о СЗИ.

Сущность метода экспертных оценок состоит в определении ряда технических, экономических и прочих параметров и присвоении СЗИ оценок по каждому из них [1]. Показатель конкурентоспособности определяется по формуле:

, (2)

где KСЗИ – показатель конкурентоспособности средства защиты информации;

Il – балльная оценка l-го параметра;

βl – коэффициент весомости l-го параметра;

h – количество оцениваемых параметров.

Для того чтобы выяснить, насколько мнения экспертов согласованы между собой, находится коэффициент конкордации Кендалла по следующей формуле:

, (3)

где W – коэффициент конкордации Кендалла;

S – сумма квадратов отклонений рангов каждого эксперта от средней суммы рангов;

f – количество экспертов;

Для проверки значимости находится критерий Пирсона (χ2):

. (4)

Полученное значение критерия Пирсона сравнивается с табличным значением χ2кр. Если χ2 > χ2кр, то мнения экспертов значимы.

Преимущества метода экспертных оценок – в его простоте и возможности проводить сравнительную оценку при небольшом количестве исходных данных. Главный недостаток заключается в том, что результат полностью зависит от субъективного мнения экспертов.

Тестирование СЗИ может рассматриваться как отдельный метод оценки конкурентоспособности. Объект защиты, охраняемый СЗИ, специально подвергается атакам, либо эти атаки имитируются. Определяется количество или процент успешно отражённых атак. Тестирование чаще всего используется для сравнительной оценки программного обеспечения, например, антивирусов.

Анализ конкурентоспособности позволяет получить сравнительную оценку средств защиты информации для общего случая.

Второй подход. Для того чтобы получить результаты для конкретного потребителя, необходимо провести оценку целесообразности выбора и использования СЗИ, которая заключается в определении того, насколько они соответствуют потребностям предприятия в обеспечении информационной безопасности. Для этого предлагается использовать два метода.

Первый метод оценки целесообразности выбора и использования СЗИ для конкретного объекта защиты основан на определении коэффициента нейтрализации угроз и базируется на экспертных оценках. Он состоит из трёх этапов.

Этап 1. Характеристика объекта защиты

Определяется объект защиты, включающий в себя информацию, носители информации и информационные процессы, которые необходимо защищать. В качестве объекта защиты может быть выбран отдельный компьютер, корпоративная сеть, помещение, предприятие и т.д.

Этап 2. Построение модели угроз

В зависимости от размера предприятия, численности персонала, охраняемой информации, используемых средств и методов защиты, описания типового нарушителя и прочих факторов отбираются существующие угрозы и угрозы, которые могут возникнуть. Эксперты определяют вероятность реализации каждой i-ой угрозы:

, (5)

где pri – вероятность реализации i-ой угрозы;

pti – вероятность возникновения i-ой угрозы;

pvi – вероятность возникновения уязвимости для реализации i-ой угрозы.

После этого экспертами определяется относительная оценка потерь (доля ущерба) в случае реализации i-ой угрозы – di, которая может принимать значения от 0 до 1.

Для каждой угрозы определяется уровень значимости, равный произведению вероятности её реализации на относительную оценку потерь:

, (6)

где zi – уровень значимости угрозы.

Этап 3. Определение коэффициента нейтрализации угроз

Выбирается, характеризуется, исследуется и, по возможности, тестируется оцениваемое СЗИ. Экспертами определяется оценка уровня противодействия СЗИ каждой i-ой угрозе – ai, которая представляет собой целое число в интервале от 0 до 10.

Коэффициент нейтрализации угроз определяется по формуле:

, (7)

где amax – максимальное значение оценки, равное 10;

n – количество угроз.

На основании полученных результатов можно, во-первых, сделать выбор в пользу средства защиты информации с наибольшим значением коэффициента нейтрализации угроз, а во-вторых, принять решение о целесообразности использования СЗИ. Шкала для принятия решения может выглядеть следующим образом:

· КНУ < 0,05 – СЗИ нецелесообразно использовать;

· 0,05 ≤ КНУ < 0,2 – СЗИ компенсирует небольшую часть угроз и может использоваться как дополнительное;

· 0,2 ≤ КНУ < 0,5 – СЗИ частично компенсирует угрозы и может использоваться вместе с другими СЗИ;

· 0,5 ≤ КНУ < 0,8 – СЗИ в большей степени компенсирует угрозы и может использоваться как основное, вместе с которым рекомендуется использовать дополнительные СЗИ;

· 0,8 ≤ КНУ – СЗИ рекомендуется к использованию в качестве основного; дополнительные СЗИ могут использоваться по желанию.

Плюсы данного метода в том, что он достаточно прост и не требует сложных расчетов, минусы – субъективность полученного результата и отсутствие стоимостной оценки объекта защиты и средств защиты информации.

Второй метод оценки целесообразности выбора и использования СЗИ для конкретного объекта защиты предполагает определение экономической выгоды от внедрения СЗИ на основе анализа рисков информационной безопасности. Он состоит из пяти этапов.

Этап 1. Определение стоимости информационных активов

Различают два вида активов [4]:

· первичные активы (бизнес-процессы и действия, информация);

· активы поддержки (аппаратные средства, программное обеспечение, сеть).

Для каждого из активов определяется стоимость sj, которая зависит от затрат на создание или покупку актива, а также возможной выгоды от его использования [4]. Стоимость всех активов складывается, образуя стоимость объекта защиты SОЗ.

Этап 2. Определение перечня актуальных угроз

Составляется перечень угроз, которые существуют или могут возникнуть. После этого строится матрица угроз и активов размерностью n на m, где n – количество угроз, m – количество активов. Для каждой i-ой угрозы по отношению к j-му активу определяется вероятность реализации prji.

Этап 3. Расчёт цены полного риска

Для каждого актива рассчитывается вероятность реализации хотя бы одной угрозы:

, (8)

где prj – вероятность реализации хотя бы одной угрозы j-му активу.

Предполагается, что в случае реализации для j-го актива хотя бы одной из угроз, ущерб равняется стоимости актива:

qj = sj. (9)

Это достигается за счёт детализации активов и тщательного выбора актуальных угроз.

Считается, что угрозы могут быть реализованы независимо друг от друга. Далее вычисляется цена риска Rj для каждого j-го актива по формуле:

. (10)

Цена полного риска равна сумме цен риска для всех активов:

. (11)

Этап 4. Расчёт цены остаточного риска после внедрения СЗИ

После внедрения СЗИ процедура расчета цены риска выполняется повторно. Определяется цена остаточного риска RОСТ, которая должна быть меньше цены полного риска RПОЛН.

Этап 5. Оценка эффективности использования СЗИ

Коэффициент экономической эффективности от использования СЗИ вычисляется по формуле:

, (12)

где SСЗИ – затраты на СЗИ, которые включают в себя цену покупки, а также затраты на внедрение. Если ЕСЗИ > 1, то данное СЗИ целесообразно использовать, и напротив, если ЕСЗИ ≤ 1 – то нецелесообразно.

Однако на основании полученных значений коэффициента экономической эффективности нельзя определить наиболее оптимальный набор средств защиты информации для конкретного объекта защиты. Для этого необходимо учитывать как затраты на СЗИ, так и цену остаточного риска после их внедрения. Кроме того, нельзя допустить, чтобы затраты на СЗИ превысили стоимость информационных активов, поскольку в таком случае они будут неоправданны. Поэтому авторами предлагается использовать показатель затратоёмкости информационных активов, который находится по формуле:

ω = , (13)

где ω – затратоёмкость информационных активов.

Данный показатель определяет, какую часть от стоимости информационных активов составляют суммарные затраты, включающие в себя реальные затраты на СЗИ и ожидаемые затраты от реализации угроз безопасности информации, выраженные в виде цены остаточного риска. Наилучшим вариантом выбора СЗИ из нескольких будет тот, при котором значение затратоёмкости информационных активов будет наименьшим.

Выражение (12) можно разложить на слагаемые и ввести следующие обозначения:

ω = , (14)

где ε – затратоёмкость обеспечения безопасности информационных активов;

k – рискоёмкость информационных активов.

Выражение (13) подходит для выбора средств защиты информации, а выражение (12) для обоснования целесообразности их использования. Данный метод универсален, поскольку позволяет вычислять и сравнивать показатели экономической эффективности и затратоёмкости информационных активов для разных средств защиты информации и объектов защиты. Его недостатки – сложно определить цену риска; выводы, основанные на оценке неопределённости, как правило, актуальны не больше года.

Результаты оценки конкурентоспособности и оценки целесообразности использования могут не совпадать, поскольку конкурентоспособность определяется для общего случая, а целесообразность использования – исходя из конкретных особенностей потребителя.

Таким образом, предложенные методы могут служить инструментом для принятия решений о выборе и использовании средств защиты информации для конкретных информационных активов с учётом особенностей деятельности предприятия.

Рецензенты:

Васюхин О. В., д-р экон. наук, профессор, заведующий кафедрой «Прикладной экономики и маркетинга» Национального исследовательского университета информационных технологий, механики и оптики, г. Санкт-Петербург.

Каторин Ю. Ф., д-р в. наук, профессор кафедры «Безопасных информационных технологий» Национального исследовательского университета информационных технологий, механики и оптики, г. Санкт-Петербург.


Библиографическая ссылка

Нурдинов Р.А., Батова Т.Н. ПОДХОДЫ И МЕТОДЫ ОБОСНОВАНИЯ ЦЕЛЕСООБРАЗНОСТИ ВЫБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ // Современные проблемы науки и образования. – 2013. – № 2. ;
URL: https://science-education.ru/ru/article/view?id=9131 (дата обращения: 29.03.2024).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1,674