Современные информационные технологии/
4. Информационная безопасность.
Мацюк
С.М.
Национальный
горный университет, г. Днепропетровск,
Украина
Анализ средств защиты
информации для оценки страхования информационных рисков
Постановка
проблемы. Отличительной чертой последних лет является быстрое развитие
информационных технологий. Поэтому и убытки, которые связаны с нарушением
работы информационных систем и утратой
ценной информации, способны мгновенно парализовать деятельность, как
небольшого, так и крупного промышленного предприятия.
Предотвращение и ликвидация угроз информационной безопасности
основывается на разработке и реализации комплекса средств и механизмов защиты.
Это могут быть организационные, экономические, технические, программные,
социальные, правовые и иные механизмы, обеспечивающие локализацию и
предотвращение угроз.
К экономическим механизмам предотвращения угроз информационной
безопасности можно отнести страхование, которое уменьшает
финансовые потери страхователя в случае реализации страховых рисков[1].
Страхование информационных рисков продолжает оставаться эксклюзивным видом страхования[2]. Основная
причина эксклюзивности заключается в
стоимости услуги. Профессиональные андеррайтеры, работающие в страховых
компаниях, не могут искусственно занижать размер страховых тарифов в погоне за
потенциальными клиентами по причине того, что
из собираемых страховщиками премий формируется фонд, который
впоследствии идет на компенсацию убытков страхователей. Недобор премий из-за
несоответствия величины риска тарифной ставки может привести к тому, что
страховым компаниям будет просто не из чего осуществлять выплаты в случае
массового наступления страховых случаев.
Так как в столь новом виде страхования, как страхование информационных
рисков, еще не существует жестких стандартов,
страхователь может торговаться по поводу стоимости своей страховой
защиты.
В этих случаях наиболее убедительный торг должен идти на основе математических выкладок, аргументировано
доказывающих, что размер страховых тарифов
основывается на результатах анализа информационной безопасности
предприятия.
Анализ достижений и публикаций. Для выделенных
ресурсов определяется их ценность как с точки зрения ассоциированных с ними
возможных финансовых потерь, так и с точки зрения ущерба репутации организации,
дезорганизации ее деятельности, нематериального ущерба от разглашения
конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов,
определяются угрозы безопасности и оцениваются вероятности их реализации. Таким
образом, определятся вероятности возможных финансовых потерь объекта
страхования.
В настоящее время известно множество методов оценки угроз, большинство из которых основаны на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны.
В таких методах ценность информационных ресурсов оцениваются с точки зрения стоимости их замены или восстановления. Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление. Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т.е. в стоимостном выражении. Далее разрабатывается система показателей в балльных шкалах (пример - от 1 до 8), По каждой группе ресурсов связанной с данной угрозой, оценивается уровень угрозы (вероятность реализации) и уровень уязвимости (степень легкости, с которой реализованная угроза способна привести к негативному воздействию).
В нормативных документах
подробно описаны необходимые процедуры которые надо выполнить для выявления и
анализа информационных угроз.
Эти процедуры выполняются специализированными
организациями и специально обученными специалистами. По этой причине страховые
компании очень часто не могут позволить себе заказать такую внешнюю экспертизу и поэтому нуждаются в упрощенной
методике оценки информационных рисков.
Основная часть. Для
анализа возможного ущерба при реализации угроз информационной безопасности предлагается использовать метод Монте-Карло. Этот метод позволяет
численно находить различные вероятностные характеристики случайной величины з,
зависящей от большого числа других случайных величин о1, о2, …, о n. Этот метод
сводится к следующему: разыгрывается последовательность случайных величин о1,
о2, …, о n для каждого розыгрыша определяется соответствующее значение
случайной величины з, а по найденным значениям строится эмпирическое
распределение вероятностей этой случайной величины.
Алгоритм
имитационного моделирования
1.Ранжирование угроз, выбор наиболее опасных
Например
А - нарушаемые
принципы безопасности:
1 - нарушение
конфиденциальности личной, служебной и другой доверительной информации;
2 - нарушение
целостности и достоверности хранимых данных с помощью специальных программ;
3 - нарушение
доступности системы, данных и услуг всем уполномоченным пользователям;
4 - несоблюдение
законов, правил, лицензий, договоров и этических норм при использовании
информации.
Б - возможность предотвращения - оцениваются возможности
предотвращения угрозы для конкретной АИС в реальных условиях:
1 - легко; 2 -
трудно; 3 - очень трудно; 4 - невозможно.
В - обнаружение угрозы - оценивается возможность обнаружения
угрозы (автоматическая или ручная):
1 - легко; 2 -
трудно; 3 -невозможно.
Г - возможность нейтрализации / восстановления. Оцениваются
усилия необходимые для нейтрализации угрозы (для принципов безопасности А1 и
А4) или восстановления нормальной работы (для принципов безопасности А2 и А3):
1 - легко; 2-
трудно; 3 - очень трудно; 4 - невозможно.
Д - частота
появления. Данная оценка отражает сравнительную характеристику частоты
появления конкретной угрозы в сравнении с другими угрозами:
0 - неизвестна; 1
- низкая; 2 - средняя; 3 - высокая; 4 - сверх высокая.
Е - потенциальная
опасность - оценивается опасность угрозы с точки зрения ущерба, который может
понести АИС в случае реализации угрозы:
1 - низкая; 2 -
высокая; 3 - сверх высокая.
Ж - источник
появления:
1 - внутренний; 2
- внешний.
Под внутренним источником понимается воздействие внутренних факторов, таких, как персонал, сбои и т.п. К внешним относят такие факторы, как стихийные бедствия, техногенные факторы (например, отключение электроэнергии), преднамеренные воздействия отдельных нарушителей или групп на безопасность АИС.
З - уровень
необходимых знаний - оценивается уровень профессиональной подготовки
нарушителей для подготовки и реализации соответствующей угрозы:
1 - фундаментальные знания системной организации ресурсов,
протоколов связи и др.;
2 - знание операционной системы;
3 -
знание языков программирования;
4 - элементарные знания в области вычислительной техники.
И - затраты на
проектирование и разработку злоупотребления:
1 - большие; 2 -
средние; 3 - незначительные затраты.
К - простота
реализации:
1 - очень трудно; 2
- трудно; 3 - относительно нетрудно;
4 - легко;
Л - потенциальное
наказание в рамках существующего законодательства. Следует отметить, что здесь
необходимо рассматривать такие аспекты, как дисциплинарные взыскания,
гражданская и уголовная ответственность:
1 - строгое наказание (вплоть до уголовной ответственности);
2 - незначительное наказание;
3 - наказание отсутствует.
2. Задаётся характер распределения вероятностей
угроз
3. На основе выбранного распределения проводится
имитация выбранных угроз и с учётом
полученных значений рассчитывается возможный ущерб
|
Угрозы безопасности |
А |
Б |
В |
Г |
Д |
Е |
Ж |
З |
И |
К |
Л |
Ком-плексная оценка |
|
Ошибки
пользователя |
1,2,3 |
3.0 |
2.5 |
3.5 |
2.0 |
2.5 |
1.0 |
4.0 |
3.0 |
2.5 |
1.5 |
2.98 |
|
Перехват ПЭМИН |
1 |
3.5 |
3.0 |
4.0 |
0.5 |
1.5 |
2.0 |
4.0 |
2.0 |
2.5 |
2.5 |
2.98 |
|
Перехват
информации |
1 |
3.5 |
2.5 |
3.5 |
3.0 |
2.5 |
2.0 |
1.0 |
1.5 |
2.5 |
2.5 |
2.93 |
|
… |
…. |
… |
… |
… |
… |
|
|
|
|
|
|
…. |
4. На основе полученных в результате имитации данных
рассчитываются критерии, количественно характеризующие риск ИС (матожидание
ущерба, дисперсия, среднеквадратическое отклонение и др.).
Литература
Скриник А. П., Мервинський А. И "Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности в банковской сфере" Computer World", №33(377)
2.
Табаков
А.Б Разработка моделей оптимизации средств защиты информации для оценки
страхования информационных рисков.
3.
«Энциклопедия
финансового риск-менеджмента» под. ред.
Лобанова А. А. -М: 2005.