Современные информационные технологии/
Информационная безопасность
Литовченко
И. В., Саксонов Г. М.
Национальный
горный университет, Украина
Математическая модель
системы управления информационной безопасности
Успех современной компании и ее развитие в условиях
острой конкуренции в значительной степени зависит от применения ИТ,
следовательно, от степени обеспечения ИБ. Так как организация информационной
безопасности – это непрерывный процесс, который нуждается в управлении, то
существует и необходимость в создании эффективной системы управления информационной
безопасности (СУИБ). В соответствии с международным стандартом ISO/IEC 27001, СУИБ – это часть общей
системы менеджмента предприятия, направленная на обеспечение выбора адекватных
и пропорциональных средств управления защитой, которые защищают информационные
активы и придают уверенности заинтересованным сторонам.
В работе [1] предложена модель управления
информационной безопасности
организации.
Суть этой модели заключается
в следующем. Пусть З(t) – затраты на бизнес в
организации по времени, а затраты на информационную безопасность не предполагаются.
Также допускается, что доход предприятия определяется функцией Д(t),
также зависящей от времени ведения бизнеса
Предполагается, что эти функции линейны и
предприятие рентабельно.
Тогда функции изменения доходности и стоимости
ведения бизнеса могут быть представлены в виде
Рис. 1. Схема ведения бизнеса
Прибыль предприятия всегда будет положительная и
равна П(t) = Д(t) - З(t).
Предполагается, что в какой-то момент времени Т
происходит инцидент нарушения безопасности, а реакция на этот инцидент
происходит через интервал времени Δt после момента времени
Т.
Тогда момент времени Т+ Δt =
Тр – будет моментом времени начала реакции организации на инцидент.
Рис. 2. Схема ведения бизнеса без СУИБ
В работе [1] предполагается, что доходность
бизнеса уменьшается на ΔД и после этого может быть в худшем случае
остаться на уровне Д(Тр).
Момент времени Тр может быть
определен только моментом уменьшения доходности предприятия от планируемой
(естественно, если на это нет ни каких экономических, финансовых,
административных и т. п. причин). Область Д – определяет возможные изменения
активности бизнеса.
Во втором варианте ведения бизнеса,
предполагается, что организация имеет в своем составе СУИБ и естественно
затрачивает на это дополнительные ресурсы.
Тогда предполагается, что система СУИБ должна
обнаружить инцидент в момент времени Тоб и остановить его действия в момент Тост. Причем всегда
выполняется Тост≥Тоб.
Существует 3 возможных варианта:
I.
Время
обнаружения Тоб и время устранения возможных последствий инцидента Тост
находятся в пределах диапазона времени (Т; Тр). Т. е. средства СУИБ производят
обнаружение и действия по устранению последствий инцидента, прежде чем наступит
момент времени воздействия инцидента на организацию. В этом случае в момент
времени Тост доход предприятия уменьшится на величину затрат Зи,
необходимых для восстановления бизнеса средствами СУИБ. Причем ущерб на
предприятии будет отсутствовать.
Рис. 2. Схема ведения бизнеса с СУИБ
(вариант 1)
II.
Происходит
в случае, если время устранения возможных последствий инцидента Тост
расположено за пределами диапазона времени (Т; Тр). Следовательно, средства
СУИБ не позволяют устранить действие инцидента к моменту времени Тр,
в результате чего в момент времени Тр предприятие терпит ущерб в
виде Зб (затрат бизнеса на инцидент) и возможного изменения
активности бизнеса (угол наклона Д(t)), а в момент времени Тост
СУИБ расходует Зи для устранения инцидента и его последствий причем они
будут превышать Зи варианта I. Из этого следует, что
доход предприятия будет уменьшен на величину Зб+Зи (у. д.
е.)
Рис. 2. Схема ведения бизнеса с СУИБ
(вариант 2)
III.
Моменты
времени обнаружения Тоб и устранения возможных последствий инцидента
Тост находятся за пределами временного диапазона (Т; Тр).
Тогда в момент времени Тр доходность предприятия уменьшится на
величину Зб, которая превышает Зб второго случая.
Снижение активности бизнеса происходит еще до наступления момента времени Тоб.
А в момент времени Тост доход предприятия уменьшится на величину затрат
Зи, требуемых для устранения инцидента и восстановления бизнеса
средствами СУИБ. Этот вариант имеет
большую вероятность обнаружения и обработки инцидента внешним источником, до
того, как это реализуется средствами СУИБ предприятия, что повлечет за собой
прекращение бизнеса в целом.
Рис. 2. Схема ведения бизнеса с СУИБ
(вариант 3)
Предложенная модель может использоваться для
оценки степени эффективности защитных мер предназначенных для снижения
оцененных рисков организации. В виду того, что приведенная модель является
обобщенной, она требует некоторой детализации
и конкретизации.
Как известно, ценность данных организации
изменяется с течением времени. По этому, при моделировании СУИБ организации, существует
необходимость учитывать возможные изменения полезности информации организации,
а следовательно, и изменения требований к их защищенности. Выполнение данного условия
дает возможность построения адекватной
СУИБ, в соответствии с проведенным анализом рисков и с учетом экономических
показателей бизнеса.
Литература:
1. Сапегин Л.Н.,
Бочкарев С.Л. Оценка эффективности системы менеджмента
информационной. - ФГУП
"ПНИЭИ" , 2007
2.
ISO/IEC 27001:2005, Информационные технологии. Методы защиты.
Системы управления информационной безопасностью. Требования.