ИСПОЛЬЗОВАНИЕ
МЕТОДОВ МАТЕМАТИЧЕСКОГО МОДЕЛИРОВАНИЯ ДЛЯ ПОСТРОЕНИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ С УСЛОВИЕМ ПРИМЕНЕНИЯ МЕХАНИЗМА СТРАХОВАНИЯ
А.Б. Табаков
Применение высоких информационных технологий XXI века, с одной стороны,
ведет к значительным
преимуществам в деятельности предприятий и организаций, а с другой
–
потенциально создает предпосылки для утечки, хищения, утраты,
искажения,
подделки, уничтожения, копирования и блокирования информации и, как
следствие,
нанесение экономического, социального или других видов ущерба, т.е.
проблема
информационных рисков и нахождения путей снижения ущерба становится с
каждым
годом все острее.
Практика функционирования автоматизированных
информационных систем показывает, что достижение 100%-го уровня
безопасности –
дело дорогое и не всегда целесообразное, так как:
· даже самая совершенная на сегодня система информационной защиты не может противодействовать угрозам, которые могут возникнуть в последующем;
· стоимость комплексной защиты может оказаться значительно выше, чем стоимость защищаемых информационных ресурсов.
Важность проблемы защиты информации в нашей
стране подчеркивает факт создания по инициативе Президента Российской
Федерации
доктрины информационной безопасности. Методы обеспечения информационной
безопасности
Российской Федерации согласно Доктрине разделяются на правовые,
организационно-технические и экономические.
Экономические методы обеспечения
информационной безопасности Российской Федерации включают в себя:
разработку
программ обеспечения информационной безопасности Российской Федерации и
определения порядка их финансирования, совершенствование системы
финансирования
работ, связанных с реализацией правовых и организационно-технических
методов
защиты информации, создание системы страхования информационных рисков
физических и юридических лиц.
Именно соединение классических (программных и
технических) методов защиты информации и механизма страхования могут
помочь
компании создать наиболее надежную систему информационной безопасности
(СИБ).
К сожалению, страхование информационных
рисков продолжает оставаться в нашей стране эксклюзивным видом
страхования.
Основная причиной этого заключается в стоимости услуги.
Профессиональные
андеррайтеры, работающие в страховых компаниях, не могут до беспредела
искусственно
занижать размер страховых тарифов в погоне за потенциальными клиентами.
Необходимо помнить, что именно из собираемых страховщиками премий
формируется
фонд, который впоследствии идет на компенсацию убытков страхователей.
Недобор
премий из-за несоответствия величины риска тарифной ставки может
привести к
тому, что страховым компаниям будет просто не из чего осуществлять
выплаты в
случае массового наступления страховых случаев.
Однако, учитывая тот факт, что в столь новом
виде страхования, как страхование информационных рисков, еще не
существует
жестких стандартов работы с клиентами и то, что страховщикам приходится
пропагандировать индивидуальный подход к потенциальным клиентам,
страхователь
может торговаться по поводу стоимости своей страховой защиты. Причем
торг это
должен идти на основе математических выкладок, аргументированно
доказывающих,
что работа по обеспечению информационной безопасности ведется и
осуществляется
на должном уровне.
Страхователь должен четко представлять, что
чем больше он потратил на безопасность своей информационной системы,
чем
надежней СИБ, тем ниже вероятность того,
что злоумышленнику удастся проникнуть и нарушить целостность хранящейся
информации, тем меньше ему придется
заплатить страховой компании за полис.
Большую помощь в построении эффективной СИБ
могут оказать методы математического моделирования. Во-первых, именно с
их
помощью можно наглядно доказать менеджерам, что вложение средств в СИБ
действительно экономит деньги компании (непонимание нужности СИБ со
стороны менеджеров
компании является в большинстве случаев основным тормозом в ее
развитии), а,
во-вторых, в условиях ограниченности ресурсов, отпущенных на СИБ, с
помощью
этих методов можно выбрать наиболее оптимальный набор средств защиты, а
также
промоделировать, насколько созданная СИБ окажется эффективной в борьбе
против
наиболее распространенных угроз. В рамках данной статьи рассматривается
моделирование несанкционированного доступа (НСД).
Решение первой задачи можно осуществить с
помощью модели, основанной на использования коэффициента roi), определяемого по формуле:
где roi -
показатель изменения ROI(Return on Investment) из-за
инвестиций в ИБ;
Доходы– изменение в
доходах, обусловленное инвестициями в ИБ;
Расходы –
изменение в
расходах, обусловленное инвестициями в ИБ;
Инвестиции–
инвестиции, сделанные в ИБ.
Прямого влияния на рост доходов система информационной безопасности не имеет, поэтому, как правило, не следует ожидать роста увеличения выручки компании после инвестиций в CИБ. Однако нельзя сразу приравнивать к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система защиты информации сказывается на росте доходов компании. Например, согласно исследованиям компании PriceWaterhouseCoopers, именно недостаточно обеспеченная безопасность электронных платежей стала основным барьером для пользователей, т.е. создание надежной СИБ в таких системах обусловливает доверие клиентов, а значит, и приток денег.
Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано, например, с ограничением доступа к информации, не требующейся для работы, в результате исключается доступ к развлекательным сайтам, а также с уменьшается объем неслужебной переписки.
При построении СИБ обойтись без расходов не возможно, так как всегда присутствуют операционные затраты – это и разработка проекта, и обучение, создание средств защиты информации. Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта.
Главное направление уменьшения расходов, т.е. то, ради чего система информационной безопасности строится или модернизируется, – увеличение рискозащищенности.
Для эффективного функционирования системы информационной безопасности предприятия её необходимо оснастить комплексом аппаратных и программных средств защиты от различных информационных угроз таким образом, чтобы оптимизировать некоторый критерий оптимальности создания СИБ. При этом считается, что информационные угрозы между собой не связаны.
В общем случае полагаем, что задано множество информационных угроз (ИУ), которые могут возникнуть в автоматизированной информационной системе (АИС) предприятия, и множество аппаратных и программных средств защиты (СЗ), с помощью которых эти угрозы могут быть нейтрализованы. Причем для каждого сочетания ИУ–СЗ определено число r1(ij) – эффективность нейтрализации i-м средством защиты j-й информационной угрозы. Для построения математической модели введем переменную y(i,j), равную 1, если j-я ИУ нейтрализуется с помощью i-го СЗ, и равную нулю – в противном случае.
Дадим содержательную и формальную постановку задач выбора оптимальной СИБ в терминах теории графов, а также представим методы их решения. Для этого построим такой двудольный граф G (X,U), (X= ÈXi, i = 1,2), что вершины множества в X1 отвечают аппаратным и программным средствам защиты, а вершины множеств в X2 – соответствующим информационным угрозам (рис.1). Каждый элемент (вершина) множества X1 характеризуется ценой и эффективностью по нейтрализации информационных угроз.
X1 X2
.
Рис 1. Двудольный граф
Каждой вершине множества X\X2 присваивается вес, равный стоимости, что соответствует СЗ, а каждой дуге (i,j)ÎU - вес, z(i,j) = 1,0. Тогда задача выбора оптимальной СИБ будет заключаться в максимизации эффективности нейтрализации множества информационных угроз различными средствами защиты при ограничениях на объем затрат Q. Формальная постановка задачи имеет следующий вид:
m
n
å
å r1(ij) y(ij)
Þ max
j=1 i=1
при ограничениях
n
å r2(i) * sign
å y(ij) £ Q
,
i =1 xj Î X2
n
" xj Î X2 , å
y(ij) = 1;
xi Î X1
"(ij) Î U
, y(ij)
= 1,0.
где r2(i) – затраты на приобретение i-го СЗ.
Если необходимо минимизировать затраты на средства защиты от информационных угроз в АИС предприятия при ограничении на заданный уровень эффективности P, то формальная постановка задачи будет иметь вид:
n
m
å
r2(i)
* sign å
y(ij) Þ
min
i=1
j=1
m
n n
å
å
r1(ij) y(ij) ¤
å (max r1(ij) ) £ P;
j=1
i=1
i=1 j
" xj
Î X2 , å y(ij) = 1;
xi
Î
X1
"(ij) Î U, y(ij) = 1,0.
В данной модели предполагается, что наивысший уровень эффективности СИБ будет тогда, когда для нейтрализации каждой угрозы будет выбрано средство защиты с максимальной эффективностью. Наивысший уровень эффективности СИБ равен сумме максимальных элементов в каждом столбце матрицы r1(ij).
Следует учитывать, что выбор наиболее оптимального набора классических средств защиты информации в условиях ограничения на объем ресурсов не гарантирует того, что данная система действительно окажется эффективной при противодействии информационным рискам. При этом следует учитывать, что практическое применение механизма страхования, а значит, и создание эффективной СИБ становится возможным лишь в случае, если вероятность наступления рисков причинения вреда АИС компании является достаточно малой величиной.
Рассмотрим модель, позволяющую определить вероятность причинения вреда АИС компании при НСД.
Защита от НСД строится на практике как последовательность преград, после успешного преодоления которых злоумышленник получает доступ к информационным и/или программным ресурсам АИС.
Нарушитель в состоянии проникнуть в систему лишь при условиях, что
· во-первых, ему станет известна (в том числе случайным образом) система защиты в части, необходимой для достижения его целей;
· во-вторых, он успеет получить доступ к информационным и/или программным ресурсам системы до того, как эта система защиты видоизменится (после чего перед нарушителем возникнет проблема повторного преодоления защитных преград);
Обозначим через – номер преграды, препятствующей доступу к информации типа. Тогда вероятность того, что изначально безошибочная информация, в процессе хранения в базе данных, не окажется умышленно искаженной из-за НСД к моменту выдачи пользователю определяется выражением:
,
где – вероятность преодоления преграды;
– количество преград системы защиты.
При условии существования стационарных распределений времени между соседними изменениями параметров системы защиты и времени вскрытия системы защиты, вероятность преодоления преграды существует и равна:
,
где – функция распределения времени между соседними изменениями параметров преграды системы защиты,
– величина обратная математическому ожиданию времени между соседними изменениями параметров системы защиты, – функция распределения времени преодоления преграды системы защиты.
Исходя из этого выражения, можем записать формулу вероятности преодоления всей системы защиты, то есть, преодоление всей последовательности преград механизмов защиты.
,
где – номер преграды системы защиты,
– количество преград системы защиты.
Возможных вариантов для функции распределения времени между соседними изменениями параметров системы защиты преграды может быть несколько:
Вариант 1. Параметры системы защиты изменяются через постоянный интервал времени, т.е. является детерминированной:
,
Вариант 2. Интервалы времени между соседними изменениями параметров определяются случайным образом, например, с помощью генератора псевдослучайной последовательности.
.
Возможные варианты для функции распределения времени преодоления преграды системы защиты :
Вариант 1. Время преодоления преграды системы защиты является постоянным
Вариант 2. Рассмотрим случай, когда время преодоления злоумышленником преграды системы защиты неизвестно.
,
где – масштабный коэффициент, с помощью которого мы можем учитывать как трудоемкость операций, так и уровень подготовленности и технической оснащенности злоумышленника.
Соответственно вероятность преодоления всей системы защиты будет определяться на основе следующих формул в зависимости от времени преодоления защиты информации:
,
·
смена
параметров системы
осуществляется через равные
промежутки времени, а время преодоления преграды неизвестно:
.
.
Создание надежной системы информационной безопасности компании возможно, но только в случае активного соединения классических (программных и технических) и экономических методов защиты информации. Эффективное же задействование экономических механизмов, позволяющих сгладить убытки компании, связанные с причинением ущерба АИС, возможно только в случае наличия СИБ, гарантирующей с большой вероятностью сохранность информации. Именно в создание наиболее эффективной относительно противодействия информационным рискам СИБ в условиях ограничений на выделяемые ресурсы, а также при определении вероятности причинения ущерба АИС основными информационными угрозами (задействование механизма страхования) существенную помощь может оказать приведенный выше комплекс моделей.