Экономическая эффективность системы защиты информации
advertisement
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«СИБИРСКАЯ ГОСУДАРСТВЕННАЯ ГЕОДЕЗИЧЕСКАЯ АКАДЕМИЯ»
(ФГБОУ ВПО «СГГА»)
Ю. А. Голиков, Л. Ю. Сульгина
ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Утверждено редакционно-издательским советом академии
в качестве учебно-методического пособия для студентов,
обучающихся по специальности 090103
«Организация и технология защиты информации»
Новосибирск
СГГА
2012
УДК 33: 004. 056. 5
Г604
Рецензенты: кандидат экономических наук, доцент СГГА В.А. Журавлев
кандидат экономических наук, доцент СГГА Т.Н. Гунбина
кандидат физико-математических наук, доцент СибГУТИ
А.П. Шерстяков
Голиков, Ю.А.
Г604
Экономическая эффективность системы защиты информации :
учеб.-метод. пособие / Ю.А. Голиков, Л.Ю. Сульгина. – Новосибирск :
СГГА, 2012. – 41 с.
ISBN 978-5-87693-556-4
В пособии изложен метод расчета экономической эффективности
системы защиты информации. Приведен пример расчета показателей
экономической эффективности системы защиты информации организации.
Ответственный редактор – доктор технических наук,
зав. лабораторией ИТ СО РАН М.И. Низовцев
Печатается по решению редакционно-издательского совета СГГА
УДК 33: 004. 056. 5
ISBN 978-5-87693-556-4
© ФГБОУ ВПО «СГГА», 2012
ВВЕДЕНИЕ
Учебно-методическое пособие по дисциплине «Экономика защиты информации» соответствует требованиям Государственного образовательного стандарта высшего профессионального образования
Российской Федерации по специальности 090103 «Организация и технология защиты информации».
В результате освоения теоретической части и выполнения практических расчетов студент должен:
- иметь представление:
• об организации экспертного опроса;
• о преобразовании первичной экспертной информации;
• об основах теории нечетких оценок качественных показателей;
- знать:
• экономическую модель информационных систем организации;
• методы проведения экспертизы информационных систем организации;
• цели и задачи аудита системы защиты информации;
• нормативную база аудита;
• алгоритм аудита информационной безопасности;
- уметь выявлять:
• угрозы информационной безопасности;
• точки уязвимости информационной системы;
• основные информационные ресурсы;
• состав элементов информационной системы, подверженных
воздействию угроз;
• состав элементов системы защиты информации;
• перечень количественных и качественных требований к системе защиты информации;
- уметь оценивать:
• значимость уязвимостей информационной системы путем
парных сравнений;
3
• причинно-следственные связи между угрозами и уязвимостями;
• коэффициент авторитета членов экспертной группы;
• вероятности возникновения угроз безопасности;
• ущерб от реализации угроз безопасности;
• вероятности устранения угроз безопасности;
- уметь рассчитывать основные показатели экономической эффективности системы защиты информации:
• затраты и стоимость информационной системы;
• риск для незащищенной системы;
• риск для защищенной системы;
• экономическую эффективность системы;
• коэффициент защищенности;
- уметь делать выводы по результатам проведенной экспертизы
и аудита системы защиты информации рассматриваемой организации
и защищенности информационной системы.
4
1. ПОКАЗАТЕЛИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
При оценке экономической эффективности системы защиты информации используются следующие показатели:
- стоимость защищаемой информации S И ;
- стоимость защищаемого объекта информации SОИ ;
- стоимость системы защиты информации SСЗИ ;
- суммарный риск информации RИ;
- суммарный риск объекта информатизации RОИ ;
- суммарный риск системы защиты информации RСЗИ ;
- вероятность возникновения угроз безопасности РВ ;
- вероятность реализации угроз безопасности Ру .
Взаимозависимости этих показателей носят вероятностный характер. Поэтому понятия точности и достоверности для количественной оценки этих зависимостей не всегда применимы, и их рассчитывают, используя теорию нечетких множеств. Основными показателями экономической эффективности системы защиты информации считаются:
- коэффициент защищенности;
- экономическая эффективность.
Экономически эффективной является системы защита информации, для которой выполняются следующие условия:
SСЗИ ≤ ∆RИ + ∆RОИ + ∆RСЗИ ,
SСЗИ ≤ S И + SОИ ,
(1)
где ∆RИ + ∆RОИ + ∆RСЗИ – общее снижение рисков для информационной системы.
В связи с тем, что многие показатели информационных систем
являются не количественными, а качественными, единственным способом проверки степени защищенности информационных систем является экспертиза. Для проведения экспертизы вначале создают ана5
литическую группу, которая организует деятельность экспертной комиссии (10–12 человек).
6
2. ПРЕОБРАЗОВАНИЕ ПЕРВИЧНОЙ
ЭКСПЕРТНОЙ ИНФОРМАЦИИ
При формализации информации в экспертных методах чаще всего используется шкала относительной значимости для сравнения двух
качественных отношений. Ряд числовых значений представляет собой некую оценочную шкалу, например, по методу Саати берутся
значения от 1 до 9 (табл. 1).
Таблица 1
Представление шкалы относительной значимости
Описание отношения первого объекта ко второму
Абсолютное (подавляющее) превосходство
Очевидное превосходство
Сильное (существенное) превосходство
Умеренное (слабое) превосходство
Равная значимость
Значение
9
7
5
3
1
Результаты первичной оценки параметров информационных систем – качественные и количественные описания – выставляются экспертами двумя способами:
- непосредственно по определенной шкале;
- путем сравнений.
Поскольку оцениваемые параметры разнородны, то для их использования в одной модели необходимо:
- преобразовать качественные описания в количественные;
- нормировать количественные задания с учетом значимости.
Для решения первой задачи нужно построить оценочные таблицы
(табл. 2, 3, 4, 5).
7
Таблица 2
Значимость уязвимостей (по шкале относительной значимости)
Лингвистическая оценка сравнения 1-й и 2-й уязвимостей
При наличии 1-й уязвимости 2-ю можно не учитывать
Существенное превосходство 1-й уязвимости над 2-й
Использование 1-й уязвимости предпочтительнее, чем 2-й
Чуть более высокая значимость 1-й уязвимости против 2-й
Одинаковая значимость сравниваемых уязвимостей
Значение
9
7
5
3
1
Таблица 3
Доступность уязвимостей (по ранговой шкале)
Лингвистическая оценка
Уязвимость общеизвестна, для ее использования не требуется спецсредств и особых способностей
Уязвимость общеизвестна, но для ее использования требуются дорогие или недоступные средства
Уязвимость распространенная, для ее использования требуются дорогие или недоступные средства
Уязвимость малоизвестна и для ее использования требуются дорогие и недоступные спецсредства или ресурсы
Использование уязвимости требует таких ресурсов и
средств, применение которых скрытно невозможно
Значение
9
7
5
3
1
Таблица 4
Вред от реализации угрозы (по шкале относительной значимости)
Лингвистическая оценка
Последствия 2-й угрозы ничтожны по сравнению с 1-й
Вред, наносимый 1-й угрозой, на порядок больше, чем 2-й
Вред, наносимый 1-й угрозой, в несколько раз больше, чем 2-й
Вред, наносимый 1-й угрозой, в 1–2 раза больше, чем 2-й
Вред наносимый 1-й и 2-й угрозами, отличается ≤ 10 %
8
Значения
9
7
5
3
1
Таблица 5
Ценность информации по ранговой шкале
Лингвистическая оценка ценности ресурсов на основе расчета заЗначения
трат на восстановление
Данный информационный ресурс важнейший для организации и его
9
потеря приводит к непоправимым последствиям
Затраты на ликвидацию последствий из-за потери ресурса сопоста7
вимы с годовыми экономическими показателями
Затраты на восстановление из-за потери ресурса существенны для
5
организации
Затраты на восстановление несущественны, но требуют дополни3
тельного времени
Восстановление из-за потери ресурса проводится в штатном порядке
1
Описание множества сравниваемых параметров с использованием шкалы относительной значимости представляется в виде матрицы
парных сравнений:
a11j ...a12j ...ainj
M Aj = a21j ...a22j ...a2jn ,
(2)
anj1...anj2 ...annj
где A = {a1 , a2 , ... an ) – множество параметров (вектор);
j = {1, 2, ... m} – номер эксперта.
Матрица (2) обратносимметричная, т. е.:
j
aαβ
=
1
.
j
aβα
(3)
Эксперт определяет только значения элементов матрицы выше
(или, наоборот, ниже) главной диагонали. При этом количество сравниваемых элементов определяется по формуле:
KC =
n ⋅ (n − 1)
.
2
9
(4)
Таким образом, матрица (2) может быть преобразована к виду:
1...
1
1
...
a21j anj1
M Aj = a21j ...1...
1
.
j
an 2
(5)
anj1...anj2 ...1
Для нахождения числовых значений параметров необходимо определить собственные значения матрицы и собственный вектор:
Aj = { X i j } , i = 1, ... n ,
(6)
j
который соответствует максимальному собственному значению λ max
оценок j-го эксперта.
10
3. ВЫЧИСЛЕНИЕ КОЭФФИЦИЕНТОВ
АВТОРИТЕТА ЭКСПЕРТОВ
Коэффициент авторитета (степень компетентности эксперта) –
это число, которое показывает, с каким весом включаются в статистическую обработку оценки данного эксперта. Коэффициенты авторитета могут задаваться как некоторые числа из (0, 1) на основе статистики предыдущих экспертиз. Также возможно вычисление коэффициентов авторитета на основе матрицы парных сравнений компетентности экспертов. Если статистических данных недостаточно и нельзя построить матрицу сравнения компетентности, то коэффициенты
авторитета могут быть определены на основе формальных сведений
об эксперте:
а) образование;
б) научная подготовка;
в) стаж работы по приоритетному направлению;
г) количество проведенных экспертиз.
Оценка может быть проведена с использованием шкалы баллов
(табл. 6).
Количество баллов по пунктам A, B, C, D суммируется, так определяется первичный балл эксперта Baj . Коэффициент авторитета с
учетом нормирования вычисляется по формуле:
K aj =
Baj
m
∑B
j =1
aj
Условие нормирования:
m
∑K
j =1
aj
11
= 1.
.
(7)
Таблица 6
Шкала оценки компетентности экспертов
Направления
А
В
С
D
Описание внутри направления
По приоритетному направлению
По смежной специальности
По направлению (неоконченное)
По смежной специальности (неоконченное)
Не совпадает с профилем экспертизы
Академик
Доктор наук
Кандидат наук
Аспирант, м.н.с.
Без ученой степени
Не менее 10 лет
Не менее 5 лет
Не менее 1 года
Менее 1 года
Отсутствует
Более 20
10–20
4–9
1–3
нет
Балл
5
4
3
2
0
5
4
3
2
0
5
4
3
1
0
5
4
3
1
0
Параметры информационных систем, представленные одним
экспертом, называются частными. Для определения общей оценки
параметра нужно произвести агрегирование частных оценок путем
усреднения.
12
4. ОСНОВНЫЕ ПОЛОЖЕНИЯ
ТЕОРИИ НЕЧЕТКИХ МНОЖЕСТВ
Для математического представления описаний качественных параметров информационных систем может быть использована теория
нечетких множеств. Значения таких параметров, как:
- «криптостойкость замка двери»;
- «значимость некоторой уязвимости»;
- «использование данной уязвимости злоумышленником требует
специальных средств»;
- «потенциал нарушителя»;
- «реализация данной угрозы наносит существенный вред организации»,
могут быть представлены нечетким множеством.
Нечеткое множество – это не только набор некоторых элементов,
но и степень их принадлежности множеству, т. е. соответствие описанию параметра.
Нечеткие множества по своим свойствам похожи на четкие множества, отличие заключается в том, что элемент нечеткого множества
может быть отнесен к таковому с некоторой вероятностью уверенности, находящейся в диапазоне от 0 до 1. При анализе качества систем
защиты информации нечеткие числа используют для описания соответствия некоторого качественного параметра требованиям стандарта.
Нечеткие множества несут в себе также свойство внутренней неопределенности. Если множество характеризует некоторое описание
систем защиты информации, то функция доверия, отражающая внутреннюю неопределенность множества, может служить показателем
достоверности такого описания.
Если нечеткое число получено на основе экспертной оценки и
определена степень доверия полученному значению каждого элемента нечеткого множества, то функция вероятности такого множества
13
показывает наиболее возможное четкое значение исследуемого параметра.
14
5. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель аудита – установление степени соответствия применяемых
в организации защитных мер выбранным критериям и анализ результативности систем управления информационной безопасностью. Для
объективной оценки состояния защищенности информационных систем организации, аудит должен проводиться независимыми от объекта аудита специалистами. Результаты аудита служат исходными данными для оценки качества систем защиты информации, в том числе
ее экономической эффективности.
Аудит проводится на основе международных и российских стандартов и других нормативных документов. Стандарты могут указывать разные наборы требований безопасности в зависимости от уровня защищенности информационных систем, который требуется обеспечить, ее принадлежности (коммерческое предприятие, государственное учреждение), а также назначения (финансы, промышленность,
связь и т. п.).
В процессе аудита проводится исследование информационной
системы организации в соответствии с формальной моделью (рис. 1).
1. В целом риск от реализации угроз информационной безопасности организации определяется при рассмотрении всех составляющих
графа (рис. 1), т. е. показателей вероятности реализации каждой угрозы и описания системы защиты ресурсов.
2. Угрозы целостности:
- ввод сотрудниками неверных данных или намеренное искажение информации;
- нарушение целостности данных в базе данных;
- подмена информации на съемных носителях;
- потеря информации в результате пожара и других чрезвычайных ситуаций;
- невозможность восстановления при отсутствии резервных копий критически важной информации;
- нарушение целостности программной среды, в том числе изменение настроек программного обеспечения.
15
Рис. 1. Модель взаимосвязи параметров информационных систем
и показателей экономической эффективности
системы защиты информации
3. Угрозы доступности:
- потеря или кража информации на резервных носителях;
- саботирование рабочего процесса;
- физическая порча оборудования (серверов);
- вывод из строя линий связи;
16
- нарушение адресности и своевременности информационного
обмена;
- нарушение передачи информации между филиалами организаций;
- нарушение работы системы контроля и управления доступом.
Часть угроз имеет отношение к нарушению двух из трех или всех
трех вышеуказанных качеств информации и информационных систем:
- возникновение техногенных аварий;
- проникновение посторонних в защищенное помещение;
- несанкционированный доступ путем использования чужих атрибутов разграничения доступа;
- злоупотребление полномочиями;
- несанкционированный доступ к информации сотрудниками организации;
- нецелевое использование программно-аппаратных средств сотрудниками организации;
- внедрение в информационную систему вредоносных программ
и заражение компьютерными вирусами;
- несанкционированный доступ к ресурсам операционной системы;
- технические сбои в работе систем сигнализации и охраны;
- порча оборудования технических средств охраны.
Наиболее значимые уязвимости.
1. Физические уязвимости:
- отсутствие или низкое качество контроля за состоянием территории организации;
- отсутствие или недоработки в системе контроля экологически
вредных производств;
- отсутствие физической защиты окон в выделенном помещении или неправильная установка решеток на окнах;
- недостаточная прочность дверей выделенного помещения;
- отсутствие пропусков у сотрудников организации;
17
- отсутствие или недостаточное количество источников бесперебойного питания, электрогенераторов;
- необеспеченность охраны средствами активной обороны;
- отсутствие охранной сигнализации в выделенном помещении;
- отсутствие пожарной сигнализации;
- отсутствие или недостатки в системе видеонаблюдения;
- отсутствие средств защиты от утечки информации по различным техническим каналам;
- отсутствие автоматизированной системы контроля и управления доступом;
- отсутствие выделенного помещения для сервера или физической защиты сервера;
- наличие физической связи локальной сети и компьютеров,
обрабатывающих конфиденциальную информацию, с внешней средой;
- недоработки аутентификационного механизма.
2. Программные уязвимости:
- отсутствие или недостаточное использование криптографической защиты информации;
- отсутствие системы резервирования данных;
- отсутствие или ограниченность аудита событий в компьютерной системе;
- отсутствие или недостатки системы разграничения доступа
пользователей;
- неорганизованность работы с паролями;
- отсутствие или недостатки в работе программных межсетевых
экранов;
- редкое обновление антивирусных баз;
- отсутствие контроля целостности файлов прикладных программ.
3. Организационные уязвимости:
- отсутствие аттестованных автоматизированных рабочих мест;
18
- отсутствие в организации или неадекватность концепции информационной безопасности;
- отсутствие инструкций пользователей с конфиденциальной
информацией и неопределенность в отношении ответственности за
нарушение требований информационной безопасности;
- неукомплектованность штата сотрудников службы безопасности;
- отсутствие учета съемных носителей информации;
- отсутствие специального хранилища носителей информации;
- отсутствие аппаратных средств защиты информации.
19
6. МЕТОДОЛОГИЯ РАСЧЕТА ПОКАЗАТЕЛЕЙ
ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ
При работе любой организации существует определенное количество угроз безопасности ( i = 1, ..., n ) которые характеризуются вероятностями возникновения Pbi и ущербом, наносимым каждой угрозой U i . Задачей системы защиты информации является устранение
каждой i-й угрозы. Полный ущерб, наносимый незащищенной системе информации, можно представить как сумму:
n
U = ∑ Pbi ⋅ U i .
(8)
i =1
Риск для незащищенной системы информации представляет собой произведение вероятностей возникновения угроз и ущерба в случае их реализации:
n
RНЗ = ∑ Pbi ⋅ U i .
(9)
i =1
Риск же для защищенной системы информации зависит еще и от
вероятности устранения i-й угрозы Pyi :
n
RЗ = ∑ Pbi ⋅ U i ⋅ (1 − Pyi ) .
(10)
i =1
Экономическая эффективность применения системы защиты информации через риски рассчитывается по формуле:
ЭФСЗИ =
RНЗ − RЗ
,
SСЗИ
(11)
где RНЗ − RЗ = ∆R – устраненный риск.
Коэффициент защищенности системы информации также можно
выразить через риски:
20
KЗ = 1 −
RЗ
.
RНЗ
(12)
Для расчета экономической эффективности коэффициента защищенности нужно провести экспертизу:
- значимости и доступности уязвимостей;
- уровня воздействия каждой угрозы на информационную систему;
- защищенных ресурсов и их стоимости.
Вначале изложим алгоритм оценки вероятности возникновения
угроз безопасности, которые зависят от величин значимости уязвимостей и показателей их доступности. Значимость уязвимостей определяется матрицей парных сравнений M jA в соответствии с (2), где
{a1 , a2 , ..., an )
– значения уязвимостей. Эта матрица удовлетворяет
выражениям (3)–(6).
Вектор показателей доступности определяется по табл. 3:
D = (d1j , d 2j , ..., d Sj ) .
(13)
Взаимосвязь между угрозами (строки) и уязвимостями (столбцы)
определяется матрицей причинно-следственных связей:
ρ11j ...ρ12j ...ρ1jS
j
M ПС
= ρ21j ...ρ22j ...ρ2j S ,
(14)
ρnj1...ρnj 2 ...ρnSj
где ρikj = 1 указывает на то, что k-я уязвимость может быть причиной
появления i-й угрозы по мнению j-го эксперта; а ρikj = 0 указывает на
то, что не может.
Умножая матрицу (14) размерностью (n × s) на матрицу (2) размерностью (n × n), получим матрицу размерностью (nxs) показателей
значимости уязвимостей для возникновения угроз:
21
w11j ...w12j ...w1jS
j
j
M ПЗ
= M Aj ⋅ M ПС
= w21j ...w22j ...w2jS .
(15)
wnj1...wnj2 ...wnSj
Величина
wikj
показывает степень влияния k-й уязвимости на по-
явление i-й угрозы.
Далее нужно дополнить матрицу (15) вектором (13) и определить
интегральный показатель влияния всех уязвимостей на возникновение i-й угрозы:
S
wi = ∑ wikj , i = 0, ..., n.
j
(16)
k =1
Нормализация вектора Ω = {w0j , w1j , ..., wnj } проводится так, чтобы
максимальному значению
wij
соответствовала величина 9, а мини-
мальному – 1.
Далее необходимо получить матрицу отношений элементов:
1...
1
1
...
w2j wnj1
M Ωj = w21j ...1...
1
.
wnj2
(17)
wnj1...wnj2 ...1
Нахождение вероятностей возникновения угроз безопасности по
оценкам j-го эксперта Pbij сводится к поиску собственных чисел матрицы (17) и собственного вектора Pbj = {Pbij } , i = 0, ..., n , соответствующего максимальному собственному значению.
Теперь перейдем к оценке ущерба, наносимого i-й угрозой незащищенной информационной системе. Ущерб U i чаще всего рассчитывают как относительную величину стоимости информационных
22
систем hi . Степень воздействия i-й угрозы на информационную систему hi оценивается экспертами при двух условиях:
0 ≤ hi ≤ 1,
n
(18)
h
=
1.
∑ i
i=1
При этом ущерб, который наносит i-я угроза незащищенной информационной системе, будет равен:
U i = hi ⋅ ( S И + SОИ + SСЗИ ).
(19)
Матрица парных сравнений степени вреда, наносимого угрозами,
строится экспертами на основе матрицы (2) с учетом
(3)–(6) и табл. 4:
h11j ...h12j ...h1jn
M Нj = h21j ...h22j ...h2 n ,
(20)
hnj1...hnj2 ...hnn
где hαβj (α, β = 1, ..., n) показывает, насколько вред, наносимый α-й угрозой, существеннее вреда, наносимого β-й угрозой.
Далее группа экспертов должна определить ценность информационных ресурсов методом парных сравнений по формулам (2)–(6)
и табл. 5:
1
1
1... j ... j
C21 CZ 1
1
(21)
M Cj = C21j ...1... j
CZ 2
CZj 1...C Zj 2 ...1
{ }
и рассчитать вектор относительной ценности С i = Ci j , i = 1, ..., z .
Стоимость каждого информационного ресурса определяется на
основе вектора ценности после выделения опорного элемента по
формуле:
23
S Иi =
Ci
⋅ S ИО ,
CO
(22)
где C O – относительная ценность опорного ресурса;
S ИО – его стоимость.
Стоимость всех элементов объекта информатизации, подверженных воздействию угроз, определяется их суммированием в расчете на
один год:
m
S
SОИ = ∑ ОИk ,
(23)
t
k =1
k
где SОИk – стоимость k-го элемента;
tk – срок его службы (лет);
m – количество элементов в объекте информатизации.
Стоимость элементов системы защиты информации SСЗИ также
определяется на год, как сумма всех затрат на информационную
безопасность по всем позициям.
И, наконец, эксперты должны оценить вероятности устранения
угроз безопасности информационной системы. Вероятность устранения i-й угрозы Pyi определяется тем, насколько полно учтены качественные и количественные требования к системе защиты информации
при ее проектировании. Вероятность устранения i-й угрозы по оценкам j-го эксперта определяется из выражения:
l
P = ∑ viqj ⋅ xiqj ,
j
yi
(24)
q =1
где viqj – весовой коэффициент значимости q-го требования для устранения i-й угрозы по оценке j-го эксперта;
xiqj – степень выполнения количественного и качественного q-го
требования к системе защиты информации для устранения i-й угрозы.
24
7. ПРИМЕР РАСЧЕТА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
В результате аудита информационной системы организации установлены следующие угрозы информационной безопасности:
1. Утечка информации в процессе передачи по линии связи.
2. Ввод сотрудниками неверных данных в информационную систему.
3. Физическая порча серверов.
4. Проникновение посторонних лиц в защищаемое помещение.
5. Заражение информационной системы компьютерными вирусами.
Экспертной группой выявлены следующие уязвимости информационной системы организации:
1. Отсутствие средств защиты от утечки информации по различным техническим каналам.
2. Отсутствие охранной сигнализации в выделенном помещении.
3. Неорганизованность работы с паролями.
4. Редкое обновление антивирусных баз.
5. Использование нелицензионного программного обеспечения.
6. Отсутствие инструкций пользователей с конфиденциальной
информацией.
7. Отсутствие автоматизированной системы контроля и управления доступом.
I этап расчета
Сформируем экспертную группу из 3 экспертов и вычислим их
коэффициенты авторитета. Для этого воспользуемся табл. 6 и формулой (7).
Сведения о 1-м эксперте:
А – направление работ – по системам защиты информации;
В – научная подготовка – доктор технических наук;
С – стаж работы по приоритетному направлению – 12 лет;
25
D – количество проведенных экспертиз – 23.
Сведения о 2-м эксперте:
А – направление работ – по смежной специальности (программист);
В – кандидат технических наук;
C – 7 лет;
D – 15 экспертиз;
Сведения о 3-м эксперте:
А – направление работ – по системам защиты информации (неоконченное);
В – аспирант;
С – 2 года;
D – 3 экспертизы.
Проведем оценку авторитета по шкале баллов (см. табл. 6):
1-й эксперт: В01 = 5 + 4 + 5 + 5 = 19 баллов,
2-й эксперт: В02 = 4 + 3 + 4 + 4 = 15 баллов,
3-й эксперт: В03 = 3 + 2 + 3 + 1 = 9 баллов.
По формуле (7) оценим коэффициенты авторитета с учетом нормирования:
Для 1-го эксперта:
B
19
K a1 = 3 a1 =
= 0, 44 .
19 + 15 + 9
∑ Baj
j =1
Для 2-го эксперта:
B
15
Ka2 = 3 a2 =
= 0,35 .
43
∑ Baj
j =1
Для 3-го эксперта:
B
9
Ka3 = 3 a3 =
= 0, 21.
43
∑ Baj
j =1
26
II этап расчета
На основе табл. 2 по образцу матриц (2) и (5) эксперты строят
матрицу парных сравнений уязвимостей (табл. 7).
Таблица 7
Матрица парных сравнений уязвимостей (данные 1-го эксперта)
1
2
3
4
5
6
7
1
–
1
1/7
1
1/5
1/3
1/3
2
1
–
1/7
1/5
1/5
1/3
1
3
7
7
–
1
1
1
5
4
1
5
1
–
1
1/7
5
5
5
5
1
1
–
1/7
1/3
6
3
3
1
7
7
–
1
7
3
1
1/5
1/5
3
1
–
Примечание. В данном примере далее мы будем приводить только данные 1-го эксперта, а в роли 2-го и 3-го эксперта предлагается
выступить студентам.
По ранговой шкале (см. табл. 3) каждый из экспертов составляет
вектор доступности уязвимостей (табл. 8).
Таблица 8
Доступность уязвимостей (данные 1-го эксперта)
Порядковый номер уязвимостей
Значение доступности
1
7
2
9
3
9
4
5
5
9
6
7
7
7
Затем каждый эксперт строит матрицу причинно-следственных
связей между угрозами и уязвимостями, пользуясь матрицей (14)
(табл. 9).
27
Таблица 9
Матрица причинно-следственных связей между угрозами
и уязвимостями организации (данные 1-го эксперта)
У
Г
Р
О
З
Ы
№
1
2
3
4
5
1
1
0
0
0
1
2
1
0
1
1
1
Уязвимости
3
4
1
1
0
1
0
0
0
0
0
1
5
1
1
0
0
1
6
1
1
0
0
1
7
1
1
1
0
1
III этап расчета
Используя методику, изложенную в уравнениях (15)–(17), эксперты рассчитывают вероятности возникновения угроз безопасности.
Такой расчет может быть проведен с использованием программного
обеспечения, предназначенного для обработки многомерных матриц,
например, программы MS Excel.
Расчет вероятностей возникновения угроз безопасности { Pbi } , по
данным 1-го эксперта, дал следующие результаты (табл. 10).
Таблица 10
Вероятности возникновения угроз
Номера угроз
Значения вероятностей
1
0,040
2
0,180
3
0,080
4
0,030
5
0,280
Степени воздействия угроз {hi } эксперты определяют по матрице
(20) и табл. 4, 1-й эксперт оценил их следующим образом (табл. 11).
Таблица 11
Степени воздействия угроз информационной системе
Номера угроз
Значения hi
1
0,10
2
0,15
28
3
0,15
4
0,10
5
0,25
IV этап расчета
На этом этапе определяется стоимость всех информационных ресурсов.
В результате аудита аналитической группой сформирован следующий перечень защищаемых информационных ресурсов.
1. Лицензированное программное обеспечение.
2. База данных 1С.
3. Документы.
4. Ключ для электронного документооборота.
{ }
Вектор относительной ценности ресурсов C j
рассчитывается
на основе матрицы парных сравнений (21) после выделения опорного
элемента (табл. 12).
Таблица 12
Вектор относительной ценности ресурсов
Номер ресурса
Значения C j
1
2
3
4
0,280
0,300
0,260
0,160
Примечание. Сумма всех C j должна быть равна единице.
В качестве опорного элемента выбрана база данных 1С, стоимость которой за год составила S ИХ = 300 тыс. руб.
Стоимость остальных трех ресурсов можно вычислить по формуле (9):
SИ1 =
С1
0, 280
⋅ S ИХ =
⋅ 300 = 280 тыс. руб.;
0,300
СХ
SИ 3 =
С3
0, 260
⋅ S ИХ =
⋅ 300 = 260 тыс. руб.;
0,300
СХ
SИ 4 =
С4
0,160
⋅ S ИХ =
⋅ 300 = 160 тыс. руб.
СХ
0,300
29
Стоимость четырех информационных ресурсов за год равна:
S И = S И 1 + S ИХ + S И 3 + S И 4 = 280 + 300 + 260 + 160 = 1 000 тыс. руб.
V этап расчета
Этот этап посвящен расчету стоимости всех элементов объекта
информации, подверженных воздействию угроз S ОИ , а также определению стоимости всех элементов системы защиты информации за год.
Аналитическая группа в результате проведения аудита составила
следующий список элементов информационной системы организации, подверженных воздействию угроз.
1) ПК сервер 1С, цена 25 тыс. руб.
2) Серверная операционная система Windows 2007 Server (затраты на восстановление 3 тыс. руб.).
3) Программные средства для бухгалтерского учета 1С 7.7. Бюджет (затраты на восстановление 3 тыс. руб.).
4) ПК с системой электронного документооборота, стоимость
оборудования 27 тыс. руб.
5) Средства передачи данных (модем, концентратор), цена оборудования 2,5 тыс. руб.
6) Сейф для хранения различных информационных носителей,
цена 36 тыс. руб.
7) Средства пожарной сигнализации. Техническое обслуживание
за год 4 тыс. руб.
8) Система контроля доступа посетителей в помещение – видеодомофон Commax DPV-4KE. Цена оборудования 3,5 тыс. руб.
Цена элементов объектов информатизации, подверженных воздействию угроз, и их стоимость в расчете на 1 год представлены
в табл. 13.
Общая стоимость элементов защищаемого объекта информатизации в расчете на 1 год составит:
8
SОИ = ∑ SОИi = 5 + 1 + 2 + 5, 4 + 0,5 + 3 + 4 + 0,7 = 21,6 тыс. руб.
i =1
30
Таблица 13
Годовая стоимость элементов объекта информатизации,
подверженных воздействию угроз
Порядковый номер элементов
Цена, тыс. руб.
Срок службы, лет
Стоимость за год, S ОИi тыс. руб.
1
25
5
5
2
3
3
1
3
2
1
2
4
27
5
5,4
5
2,5
5
0,5
6
36
12
3
7
4
1
4
8
3,5
5
0,7
Аналитическая группа после проведения аудита составила следующий список элементов системы защиты информации организации:
1. Расходы на программные средства защиты информации (антивирус – 6 шт. по 1 тыс. руб. на 1 год).
2. Анализ рисков информационной безопасности (9 тыс. руб. в год).
3. Замена отработанных средств обработки информации на новые (25 тыс. руб. в год).
4. Техническая поддержка персонала при внедрении средств защиты информации (8 тыс. руб. в год).
5. Учебные курсы «Технология обеспечения информационной
безопасности» (12 тыс. руб. в год).
6. Контроль нарушений работоспособности компонентов системы защиты информации (8 тыс. руб. в год).
7. Обслуживание программно-технических средств защиты и сетевого оборудования (1,5 тыс. руб. в месяц).
8. Помощь и обучение пользователей информационной системы
организации (2 тыс. руб. в месяц).
9. Восстановление баз данных и других информационных элементов (3 тыс. руб. в месяц).
10. Анализ политики безопасности организации (1 тыс. руб.
в месяц).
Полная стоимость системы защиты информации за один год будет равна:
31
10
SСЗИ = ∑ SСЗИi = 1 · 6 + 9 + 25 + 8 + 12 + 8 + 1,5 · 12 +2 · 12 +
i =1
+ 3 · 12 + 1 · 12 = 158 тыс. руб.
VI этап расчета
Для расчета вероятности устранения угроз безопасности аналитической группой проведен аудит степени выполнения требований
к средствам защиты информации организации.
Вначале был составлен перечень количественных требований
к системе защиты информации с их оптимальными значениями:
1. Количество камер видеонаблюдения – 4.
2. Регулярность резервирования данных – 12 раз в год.
3. Количество источников бесперебойного питания – 3 штуки.
4. Регулярность сканирования данных на наличие вирусов –
1 раз в неделю.
5. Количество датчиков пожарной сигнализации – 12 штук.
6. Количество сейфов для хранения информационных носителей
и документов – 4 штуки.
Экспертами путем анализа реального положения были получены
нормированные значения степени выполнения количественного требования для устранения каждой угрозы X iq (в табл. 14 заполнены
только ячейки для требований, имеющих отношение к устранению
данной угрозы; в остальных ячейках – значение 0).
Таблица 14
Степень выполнения количественных требований для устранения угроз
У
Г
Р
О
З
Ы
(i)
1
2
3
4
5
1
0
0
0,9
0,9
0,1
Количественные требования (qn)
2
3
4
0,08
0
0,02
0,08
0
0,02
0,08
0
0,02
0
0
0
0,5
0
0,9
32
5
0
0
0
0
0
6
0
0
0
0
0,2
Затем был составлен перечень качественных требований (ql)
к системам защиты информации с указанием характеристик, от которых зависит их выполнение.
1. Поддержка целостности базы данных 1С.
2. Обеспечение работоспособности оборудования.
3. Оперативное выявление фактов несанкционированного доступа к информационным ресурсам и утечки информации.
4. Обеспечение надежности функционирования охранной и пожарной сигнализаций.
Степени выполнения качественных требований для устранения
угрозы X iq были оценены экспертами следующим образом (в табл. 15
заполняются только ячейки для требований, имеющих отношение
к устранению данной угрозы; в остальных ячейках – значение 0).
Таблица 15
Степень выполнения качественных требований для устранения угроз
У
Г
Р
О
З
Ы
1
2
3
4
5
Качественные требования (ql)
1
2
0,6
0,9
0,7
0,8
0
0,9
0
0
0,1
0,5
3
0,9
0,3
0,1
0
0,3
4
0,1
0
0,4
0,9
0
Весовые коэффициенты значимости количественных и качественных требований для устранения угроз vik проставляются непосредственно экспертами. После этого, пользуясь формулой (24), эксперты рассчитали вектор вероятности устранения угроз безопасности
информационной системе организации { Pyi } , (табл. 16).
33
Таблица 16
Вероятности устранения угроз безопасности организации
Номера угроз
Значения вероятностей
1
0,250
2
0,300
3
0,360
4
0,400
5
0,500
VII этап расчета
Теперь, пользуясь формулами (8)–(12), можно рассчитать итоговые показатели качества системы защиты информации организации.
В соответствии с выражениями (9), (19), риск незащищенной информационной системы:
RНЗ = P bi ⋅U1 + Pb 2 ⋅ U 2 + Pb 3 ⋅ U 3 + P4 ⋅ U 4 + Pb 5 ⋅ U 5 ,
где U1 = h1 ⋅ ( S И + SОИ + SСЗИ ) = h1 ⋅ S И Σ ;
U 2 = h2 ⋅ S И Σ ; U 3 = h3 ⋅ S И Σ ;
U 4 = h4 ⋅ S И Σ ; U 5 = h5 ⋅ S И Σ .
По результатам IV этапа расчета:
S И Σ = S И + SОИ + SСЗИ = 1 000 + 21,6 + 158 = 1 179,6 тыс. руб.
Подставляя в выражения для U i значения
hi
из табл. 11, получим:
U1 = 0,10 ⋅1 179,6 = 117,96 тыс. руб.
U 2 = 0,15 ⋅1 179,6 = 176,94 тыс. руб.
U 3 = 0,15 ⋅1 179,6 = 176,94 тыс. руб.
U 4 = 0,10 ⋅ 1 179,6 = 117,96 тыс. руб.
U 5 = 0, 25 ⋅ 1 179,6 = 294,9 тыс. руб.
Используя значения Pbi из табл. 10, можно рассчитать значения
RНЗ :
RHЗ = 0,040 · 117,96 + 0,180 · 176,94 + 0,080 · 176,94 +
+ 0,030 · 117,96 + 0,280 · 294,9 = 136,833 тыс. руб.
Риск защищенной информационной системы, в соответствии
с формулами (10), (19) и данными для вероятностей устранения угроз
табл. 16, будет равен:
34
RЗАЩ = Pb1 ⋅ U1 (1 − Py1 ) + Pb 2 ⋅ U2 (1 − Py 2 ) + Pb3 ⋅ U3 (1 − Py 3 ) + Pb 4 ⋅ U4 (1 − Py 4 ) +
+ Pb5 · U5(1 – Py5) = 0,040 · 117,96 · (1 – 0,250)+ 0,180 · 176,94 · (1 –
– 0,300) + 0,080 · 176,94 · (1 – 0,360) + 0,030 · 117,96 · (1 – 0,400) +
+ 0,280 · 294,9 · (1 – 0,500) = 78,3 тыс. руб.
При значениях: RНЗ = 136,833 тыс. руб.,
RЗ = 78,3 тыс. руб.,
SСЗИ = 158 тыс. руб.
экономическая эффективность системы защиты информации, рассчитанная по формуле (11), составит:
ЭФСЗИ =
136,833 − 78,3
= 0,370 .
158
Коэффициент защищенности информационной системы в соответствии с выражением (12) будет равен:
К ЗАЩ = 1 −
78,3
= 0, 428 .
136,833
Сведем теперь итоговые показатели экономической эффективности системы защиты информации в таблицу (табл. 17).
Таблица 17
Основные показатели экономической эффективности
системы защиты информации организации
Наименование показателей
Риск для незащищенной системы
Риск для защищенной системы
Стоимость средств защиты информации
Экономическая эффективность, относительная единица
Коэффициенты защищенности
35
Значение тыс. руб.
136,833
78,3
158,0
0,370
0,428
VIII этап расчета
На этом этапе эксперты делают выводы по результатам аудита
и экспертизы и предлагают меры для повышения экономической эффективности и коэффициента защищенности информационной системы.
Система защиты информации оказалась экономически неэффективной, поскольку эффект от вложения средств в систему защиты
информации, т. е. снижение риска 136,833 – 78,300 = 58,533 тыс. руб.,
оказался меньше затрат на его достижение в 157 / 58,533 = 2,68 раза.
Защищенность информационной системы, т. е. вероятность её
противодействия любой угрозе составляет 42,8 % (см. табл. 17), т. е.
тоже недостаточна, что вызвано не очень высоким уровнем выполнения стандартов информационной безопасности. Совершенствование
системы защиты информации может быть достигнуто при повышении исполнения требований стандартов безопасности в данной организации.
36
8. ЗАДАНИЕ НА ПРАКТИЧЕСКУЮ РАБОТУ
1. Выбрать конкретную организацию (предприятие) и провести
в ней аудит состояния информационной безопасности:
а) выявить основные угрозы информационной безопасности в количестве большем или равном 5;
б) определить уязвимости информационной системы в количестве большем или равном 7;
в) сформировать экспертную группу из трех или более человек
и рассчитать коэффициенты авторитета экспертов.
2. Все дальнейшие действия студент совершает в роли эксперта.
Первое задание эксперту:
- построить матрицу парных сравнений уязвимостей (см. табл. 7);
- по ранговой шкале составить вектор доступности уязвимостей
(см. табл. 3);
- составить матрицу причинно-следственных связей между угрозами и уязвимостями (см. (14)).
3. Изложить алгоритм расчета вероятностей возникновения угроз
безопасности информационной системы (см. (15)–(17)). Для последующих расчетов воспользоваться значениями вероятностей возникновения угроз из табл. 10 с учетом заданного варианта расчета.
Примечание. Вариант расчета студент выбирает, умножая значения вероятностей таблицы 10 на свой номер в экзаменационной ведомости, и на 1 %. Например, для номера 7 все значения величин
табл. 10 умножаются на 1,07 и т. п.
4. Изложить алгоритм расчета степени воздействия угроз {hi }
и выбрать значения {hi } для своего варианта из табл. 11 (см. примечание к п. 3).
5. Составить перечень защищаемых информационных ресурсов
(4 или более), выбрать из них опорный, составить вектор относительной ценности ресурсов (см. табл. 12) и рассчитать стоимость всех информационных ресурсов.
37
6. Составить список элементов информационной системы организации, подверженных воздействию угроз (8 или более), и рассчитать их годовую стоимость.
7. Составить список элементов системы защиты информации
и рассчитать их годовую стоимость.
8. Сформировать перечень количественных (6 или более) и качественных (4 или более) требований к системе защиты информации.
Составить матрицы степени выполнения количественных и качественных требований для устранения угроз безопасности (см. табл. 14
и 15). Изложить алгоритм расчета вероятностей устранения угроз
безопасности { Pyi } и выбрать значение { Pyi } для своего варианта из
табл. 16 (см. примечание к п. 3).
9. Пользуясь формулами (8)–(12) и примером VIII этапа расчета,
вычислить для своего варианта основные показатели экономической эффективности системы защиты информации организации
(см. табл. 17).
10. Сделать выводы по результатам проведенного аудита и экспертизы и предложить меры для повышения экономической эффективности и коэффициента защищенности информационной системы.
38
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ГОСТ РИСО/МЕК 15408-1–2001. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Ч. 2. Функциональные
требования безопасности.
2. Полянский Д.А., Файман О.И. Экономика защиты информации: учеб. пособие. – Владимир: Изд-во Владимир. гос. ун-та, 2009. –
92 с.
3. Ларина И.Н. Экономика защиты информации: учеб. пособие. –
М.: МГИУ, 2007. – 92 с.
4. Кузин А., Нежданов И., Ющук Е. Дезинформация и активные
мероприятия в бизнесе. – Казань, 2009. – 314 с.
5. Гашков С.Б., Применко З.А., Чернев М.А. Криптографические
методы защиты информации. – М.: Изд. центр Академия, 2010. – 304 с.
6. Высшая математика для экономистов / Под ред. Н.Ш. Кремера.
– М.: ЮНИТИ. 2004. – 439 с.
7. Сборник задач по математике для вузов. Часть 1. Линейная алгебра и основы математического анализа: учеб. пособие для вузов /
Под ред. А.В. Ефимова и Б.П. Демидович. – М.: Наука, 1986. – 464 с.
8. Информационная безопасность и защита информации: учеб.
пособие / В.П. Мельников, С.А. Клейменов, А.М. Петраков; под ред.
С.А. Клейменова. – М.: Изд. центр «Академия», 2011. – 336 с.
39
СОДЕРЖАНИЕ
Введение ............................................................................................... 3
1. Показатели экономической эффективности системы защиты
информации .................................................................................. 5
2. Преобразование первичной экспертной информации ............. 7
3. Вычисление коэффициентов авторитета экспертов ...............11
4. Основные положения теории нечетких множеств ................. 13
5. Аудит информационной безопасности..................................... 15
6. Методология расчета показателей экономической
эффективности ........................................................................... 20
7. Пример расчета экономической эффективности системы
защиты информации .................................................................. 25
8. Задание на практическую работу.............................................. 37
Библиографический список ............................................................. 39
40
Учебное издание
Голиков Юрий Александрович
Сульгина Лариса Юрьевна
ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Редактор Е.К. Деханова
Компьютерная верстка Л.Н. Шиловой
Изд. лиц. ЛР № 020461 от 04.03.1997.
Подписано в печать 06.09.2012. Формат 60 × 84 1/16.
Усл. печ. л. 2,38. Тираж 100. Заказ
.
Гигиеническое заключение
№ 54.НЦ.02.953.П.133.11.01. от 19.11.2001.
Редакционно-издательский отдел СГГА
630108, Новосибирск, 108, Плахотного, 10.
Отпечатано в картопечатной лаборатории СГГА
630108, Новосибирск, 108, Плахотного, 8.
