Критерии и показатели эффективности защиты информации

Щуровская А.Ю., Унтилов А.М.

Одесская национальная академия связи им. Поповa

Критерии и показатели эффективности

защиты информации

В современных условиях динамично развивающихся экономических, социальных, общественно-политических, технологических процессов коммерческое предприятие должно обеспечивать себе стабильное положение и авторитет на рынке, должно уметь защитить свой бизнес и, соответственно, свою информацию.

Массовое создание, внедрение и эксплуатация информационных систем привели к возникновению спектра новых проблем в сфере безопасности личности, общества и государства. Внимание к этим проблемам закономерно. Если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится [7]. Утверждают также [5], 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.

Примерная структура последствий неэффективного обеспечения информационной безопасности в американских организациях такова [8]: кража конфиденциальной информации — 20-25% от общего годового ущерба; фальсификация финансовой информации — 21-25%; заражение вредоносными программами — 11-12%; нарушение доступа к Web-сайтам — 1-11%; срыв работы информационной системы — 4-10%; незаконный доступ сотрудников к информации — 4-9%; другие виды ущерба — 14-33%.

В таких условиях все более широко распространяется мнение, что защита информации должна по своим характеристикам быть соразмерной масштабам угроз [1]. Отклонение от этого правила чревато дополнительным ущербом.

Таким образом, проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения.

Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.

Нет сомнений, что защита критически важных для собственников информационных систем соответствует многочисленным международным, национальным, корпоративным, нормативным и методическим документам. Применяются весьма дорогостоящие технические средства и внедряются строго регламентированные организационные мероприятия. Однако нет ответа на самый важный вопрос — насколько предлагаемое или уже реализованное решение хорошо, какова его планируемая или реальная эффективность. Такому положению, сложившемуся сейчас в информатике, но невозможному в области обеспечения интегрированной безопасности объектов традиционной инженерии (например, таких, как авиация, транспорт или энергетика) есть ряд причин:

- игнорирование системного подхода как методологии анализа и синтеза СЗИ;

- отсутствие механизмов полного и достоверного подтверждения качества СЗИ;

- недостатки нормативно-методического обеспечения информационной безопасности, прежде всего в области показателей и критериев.

Уже в первых работах по защите информации были изложены основные постулаты, которые не утратили своей актуальности и по сей день [4]: абсолютную защиту создать нельзя; система защиты информации (СЗИ) должна быть комплексной; СЗИ должна быть адаптируемой к изменяющимся условиям.

К этим аксиомам нужно добавить и другие суждения. Во-первых, СЗИ должна быть именно системой, а не простым, во многом случайным и хаотичным набором некоторых технических средств и организационных мероприятий, как это зачастую наблюдается на практике. Во-вторых, системный подход к защите информации должен применяться, начиная с подготовки технического задания и заканчивая оценкой эффективности и качества СЗИ в процессе ее эксплуатации.

Эффективность имеет непосредственную связь с другими системными свойствами, в том числе качеством, надежностью, управляемостью, помехозащищенностью, устойчивостью. Поэтому количественная оценка эффективности позволяет измерять и объективно анализировать основные свойства систем на всех стадиях их жизненного цикла, начиная с этапа формирования требований и эскизного проектирования.

В соответствии с современной теорией оценки эффективности систем, качество любого объекта, в том числе и СЗИ, проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения.

Проектирование, организация и применение СЗИ фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределенности. Кроме того, присутствуют и другие причины неоднозначности, такие как недостаточно полная информация для принятия управленческих решений или социально-психологические факторы. Поэтому, например, этапу проектирования СЗИ естественным образом сопутствует значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределенность свойств СЗИ или ее отдельных элементов и не учитывают случайный характер атак. Поэтому объективной характеристикой качества СЗИ — степенью ее приспособленности к достижению требуемого уровня безопасности в условиях реального воздействия случайных факторов, может служить только вероятность, характеризующая степень возможностей конкретной СЗИ при заданном комплексе условий. В общей теории систем такая характеристика называется вероятностью достижения цели операции или вероятностью выполнения задачи системой. Данная вероятность должна быть положена в основу комплекса показателей и критериев оценки эффективности СЗИ. При этом критериями оценки служат понятия пригодности и оптимальности. Пригодность означает выполнение всех установленных к СЗИ требований, а оптимальность — достижение одной из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы. При выборе конкретного критерия необходимо его согласование с целью, возлагаемой на СЗИ.

Таблица 1. Возможные критерии эффективности СЗИ

Концепция эффективности СЗИ

Критерии эффективности

Пригодность

1. Приемлемый результат

2. Допустимая гарантия

3. Допустимый гарантированный результат

Оптимальность

1. Наилучший результат

2. Наилучший средний результат

3. Наибольшая вероятность гарантии результата

4. Наибольший гарантированный результат

Обычно при синтезе системы возникает проблема решения задачи с многокритериальным показателем. Некоторые авторы рассматривают показатели эффективности, которые предназначены при решении задачи сравнения различных структур СЗИ. Предлагается также использовать показатели эффективности вероятностно-временного характера, имеющие смысл функций распределения. В частности, к ним относятся вероятность преодоления системы защиты информации за некоторое время [3].

В современных нормативных документах по информационной безопасности, используется, как известно, классификационный подход. Гораздо более конструктивными являются вероятностные методы, нашедшие широкое распространение в практике обеспечения безопасности в других прикладных областях. В соответствии с этими методами уровни гарантий безопасности СЗИ трансформируются в доверительные вероятности соответствующих оценок показателей. Для решения данной задачи можно рекомендовать теорию статистических решений [6], позволяющую находить оптимальные уровни гарантий безопасности.

Во-первых, оценка оптимального уровня гарантий безопасности в определяющей степени зависит от ущерба, связанного с ошибкой в выборе конкретного значения показателя эффективности. Во-вторых, для получения численных оценок риска необходимо знать распределения ряда случайных величин. Это, конечно, в определенной степени ограничивает количественное исследование уровней гарантий безопасности, предоставляемых СЗИ, но, тем не менее, во многих практических случаях такие оценки можно получить, например, с помощью имитационного моделирования или по результатам активного аудита СЗИ.

Таблица 2. Возможные показатели эффективности СЗИ

Требования СЗИ	Вид показателя эффективности СЗИ
Наступление или отсутствие события	Вероятность события
Достижение требуемых характеристик	Вероятность достижения результата не ниже требуемого уровня
Отклонение от заданных характеристик	Средний квадрат уклонения результата от требуемого значения
Обеспечение гарантированного уровня характеристик	Квантиль заданного уровня гарантии
Не установлены	1. Математическое ожидание результата 2. Дисперсия результата 3. Средний риск

Для ответа на вопрос, в какой мере система защиты информации обеспечивает требуемый уровень безопасности, необходимо оценивать эффективность СЗИ показателями, носящими вероятностный характер. Совершенствование нормативной базы, методического обеспечения в области информационной безопасности должно происходить, прежде всего, в этом направлении. Содержательные результаты по оценке эффективности систем защиты информации могут быть получены при системном подходе. Разумеется, количественная оценка эффективности СЗИ требует больше усилий, чем используемые качественные методы [2]. Однако и отдача, прежде всего экономическая, будет намного весомее, а интересы, как заказчика, так и разработчика СЗИ, будут защищены более надежно.

Литература:

1. Баутов А. Экономический взгляд на проблемы информационной безопасности // Открытые системы. – 2002. – № 2. – С.34-37.

2. Галатенко В. Информационная безопасность - основы. Системы управления базами данных, 1996, № 1.

3. Горбунов А., Чуменко В. Выбор рациональной структуры средств защиты информации в АСУ. http://kiev-security.org.ua/box/2/26.shtml

4. Де Гроот М. Оптимальные статистические решения. –М.: Мир, 1974. –492 с.

5. Ездаков А., Макарова О. Как защитить информацию // Сети – 1997. – № 8.

6. Пугачев В.С. Теория вероятностей и математическая статистика. М.: Наука, 1979. – 496с.

7. Сабынин В. Специалисты, давайте говорить на одном языке и понимать друг друга.: http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=4178&pos=9&stp=50&cd=15&cm=2&cy=2010

8. Сэйер П. Lloyd страхует от хакеров. Computerworld Россия, 2000, № 30.