Информационное письмо
Образец оформления статьи
Анкета автора
14.05.2016

Проблема оценки вероятности реализации угрозы при расчёте эффективности вложений в информационную безопасность

Проснеков Станислав Анатольевич
Аспирант кафедры вычислительных систем и программирования Санкт-Петербургский государственный экономический университет г. Санкт-Петербург, Российская Федерация
Аннотация: в статье рассмотрена проблема определения вероятности реализации угрозы информационной безопасности, при оценке эффективности инвестиций и эффективности системы защиты информации в целом. Рассмотрены существующие подходы к решению этого вопроса, предложен новый подход к оценке на основе существующих.
Ключевые слова: информационная безопасность, нечеткая логика, метод анализа иерархий, экспертная оценка
Электронная версия
Скачать (793.8 Kb)

Постоянно ускоряющаяся информатизация общества и производства с каждым днем захватывает все новые сферы жизни. Даже совсем оторванные от высоких технологий виды деятельности вынуждены внедрять информационные технологии в свою работу для сохранения конкурентных преимуществ: например, спорт [7], медицина, образование. Такое развитие событий даже породило сетецентрическую парадигму управления в которой любая система рассматривается с точки зрения взаимосвязи служб, людей, информации и устройств, организованную с помощью средств сетевой связи [8], т.е. существование современного мира в отрыве от информационных технологий становится все менее возможным.

В связи с этим процессом интеграции все более остро становится вопрос информационной безопасности, ведь чем более зависима система от информационных технологий, тем более ощутимым будет ущерб в случае отказа этой системы или нарушения базовых свойств информации (конфиденциальность, целостность, доступность), которая этой системой обрабатывается. Но следует понимать, что, невозможно гарантировано предотвратить все возможные угрозы, соответственно необходимо достаточно точно представлять каких вложений потребует организация системы информационной безопасности и насколько они окупятся.
В общих чертах стоимость системы информационной безопасности не должна превышать возможный ущерб, иначе она теряет всякий смысл.

Оценка эффективности вложений в информационную безопасность достаточно сильно отличается от оценки любых других инвестиционных проектов и обладает только ей присущим рядом проблем. Если рассматривать типовую процедуру оценки привлекательности инвестиционного проекта в области ИБ, то его можно разделить на следующие этапы:

1. Оценка стоимости активов, включая нематериальные риски

a. Определение активов и их цены

b. Ранжирование активов по степени важности (цене)

2. Поиск типовых уязвимостей и каналов утечки информации

a. Поиск уязвимостей

b. Ранжирование уязвимостей по степени важности

3. Оценка математического ожидания потерь, на основе вероятности реализации угроз

a. Определение вероятности реализации по каждой угрозе или группе угроз

b. Расчет ожидаемых потерь по каждой угрозе

c. Расчет ожидаемых потерь по всем угрозам

4. Оценка стоимости внедрения и эксплуатации системы ИБ

a. Оценка стоимости внедрения

b. Оценка стоимости обучения сотрудников

c. Оценка расходов на эксплуатацию системы

5. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)

Из этих шагов, наибольшее количество вопросов вызывает шаг 3: оценка математического ожидания потерь, так как этот шаг один из ключевых, исходя из расчёта этой величины и определяется эффективность вложений и инвестиционная привлекательность. Если рассмотреть данный этап подробнее, то математическое ожидание возможных потерь представляет из себя величину:

1.png

Где m – ожидание потерь, p – вероятность реализации угрозы, v – стоимость актива, который подвергается угрозе.

С определением стоимости актива в большинстве случаев проблем не возникает, т.к. если актив материальный – то его цена известна, если не материальный, то существуют отработанные методики оценки стоимости нематериальных активов, например, затратный, доходный и сравнительный (рыночный) подходы. В первом случае считаем затраты на создание актива, во втором прибыль, которую он нам приносит, в третьем сравниваем с аналогами на рынке. [1]

В свою очередь с оценкой вероятности реализации не все так просто, в текущих стандартах и актуальных научных работах по данному направлению закрепилось несколько подходов к данному вопросу.

Самый распространённый подход – экспертная оценка, закреплен во множестве стандартов, например, в NIST "Risk Management Guide for Information Technology Systems" или Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России [3]. Представляет из себя оценку вероятности реализации экспертом, по количественной или качественной шкале. Как конкретно определяются значения шкалы и как их интерпретировать решает только эксперт.

Плюсы данного подхода: низкие затраты времени, а значит и оплаты работы эксперта. Недостатки: субъективность оценки, сильная зависимость от квалификации эксперта, сложность проверки т.к. шкалы оценки не регламентированы.

Следующий по популярности подход – статистические данные, часто авторы рекомендуют использовать статистические данные как помощь при экспертной оценке. Часто под этим понимается, что организации должна была вести базу инцидентов ИБ за последние несколько лет, из которой можно вывести если уж не вероятность реализации, то хотя бы частоту проявления угроз, к сожалению такие базы редкость, а какой-либо общей официальной статистики реализации или попыток реализации угроз – не существует, но есть сторонние организации такие как: ISACA [4], McAfee [5], Symantec [6], которые каждый год выпускают свои отчеты и рекомендации, зачастую содержащие в себе статистику. Но следует понимать, что такая статистика очень оторвана от реальности и учитывает только сферу интересов, компании выпустившей ее.

К плюсам данного подхода можно отнести логическую обоснованность, объективность и возможность полной или частичной проверки представленных данных.

Минусы данного подхода: не учитывается региональная и отраслевая специфика, практически невозможно применение в отрыве от других методов.

Последний из распространенных подходов – математическое или имитационное моделирование. В последнее время данный подход очень часто встречается в работах по направлению ИБ, как заявляют авторы работ, подход обладает неоспоримыми плюсами: математическая и логическая обоснованность, точность, объективность. Но за всем этим скрывается, точно такая же экспертная оценка. Причина этого кроется, во-первых, в том, что модель создается экспертом, который пытается формализовать свое представление о работе системы, а во-вторых из-за того, что для начала работы модели, необходимо дать ей входные данные, которые снова приходится получать экспертно.

Достоинства подхода: результат оценки приближается к объективному и логически обоснованному.

Недостатки: высокая сложность, большие затраты времени, необходимость высокой квалификации эксперта не только в области ИБ, но и в области имитационного/математического моделирования.

Исходя из рассмотренных методов, можно сделать вывод, что как бы не хотелось отказаться от субъективной экспертной оценки, фактически – это невозможно, исходя из этого остро встает вопрос, повышения качества экспертной оценки вероятности реализации.

Основной способ повышения точности экспертной оценки – это привлечение дополнительных экспертов, что влечет за собой дополнительные проблемы: увеличения времени и затрат для проведения оценки. Затраты можно снизить если привлекать экспертов заочно, но тогда требуется процедура, которая позволит опрашивать экспертов без длительного ввода их в курс дела. Для определения числового значения вероятности реализации необходимо: определить параметры влияющие на значение частоты реализации, зафиксировать шкалу, по которой эксперты будут оценивать вероятность реализации и механизм для интерпретации качественных оценок в числовое значение, а также методика сведения ответов экспертов к единому мнению. В качестве такого методики хорошо зарекомендовала себя нечеткая логика, призванная интерпретировать и формализовать логику эксперта.

Для применения нечеткой логики для определения значения вероятности реализации угрозы, необходимо задать лингвистические переменные, определить границы термов и сформировать базу правил. Затем, от каждого участвующего в опросе эксперта, потребуется задать значение лингвистических переменных, значения, полученные от разных экспертов, приводятся к среднему значению по каждой лингвистической переменной и, например, с помощью пакета FuzzyLogiсToolbox для Matlab получить итоговое значение вероятности реализации угрозы. Плюсы данного решения: объективный обоснованный механизм перевода качественной оценки в числовое значение, не требует много времени для применения, результат стремится к объективному. Минусы: необходимо понимание экспертом принципов нечеткой логики.

Исходя из вышесказанного вся процедура оценки приобретет вид:

1. Оценка стоимости активов, включая нематериальные риски

a. Определение активов и их цены

b. Ранжирование активов по степени важности (цене)

2. Поиск типовых уязвимостей и каналов утечки информации

a. Поиск уязвимостей

b. Ранжирование уязвимостей по степени важности

3. Оценка математического ожидания потерь, на основе вероятности реализации угроз

a. Определение лингвистических переменных и границ термов

b. Создание базы правил

c. Опрос экспертов и сведение результатов

d. Расчет вероятности реализации угроз

e. Расчет ожидаемых потерь по каждой угрозе

f. Расчет ожидаемых потерь по всем угрозам

4. Оценка стоимости внедрения и эксплуатации системы ИБ

a. Оценка стоимости внедрения

b. Оценка стоимости обучения сотрудников

c. Оценка расходов на эксплуатацию системы

5. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)

Использование при оценке вероятности реализации угрозы нечеткой логики, несколько усложняет процесс оценки взамен повышая его точность и обоснованность, но это касается только вопроса оценки вероятности реализации. Для повышения точности всего процесса оценки, необходимо привлечение экспертов, не только для оценки вероятности реализации, но и для оценки и ранжирования активов, угроз и средств, и методов защиты. Для решения такой задачи возможно использование метода анализа иерархий, который обладает следующими достоинствами в контексте оценки ИБ: повышение точности и объективности всей процедуры оценки, попарные сравнения не требуют длительного ввода в курс дела, метод содержит внутреннюю процедуру проверки согласованности результатов, метод позволяет упростить некоторые этапы анализа (например, ранжирование угроз).

Область применения МАИ необычайно широка благодаря тому, что он позволяет сравнивать, по выражению Т.Саати, «апельсины с яблоками», т.е. сущности, для которых не существует объективных числовых оценок [2]. Для использования метода необходимо незначительно перестроить полученную процедуру оценки:

1. Оценка стоимости активов, включая нематериальные риски

a. Определение активов и их цены

b. Ранжирование активов по степени важности (цене)

2. Поиск типовых уязвимостей и каналов утечки информации

a. Поиск уязвимостей

b. Ранжирование уязвимостей по степени важности

3. Оценка математического ожидания потерь, на основе вероятности реализации угроз

a. Определение лингвистических переменных и границ термов

b. Создание базы правил

c. Опрос экспертов и сведение результатов

d. Расчет вероятности реализации угроз

e. Расчет ожидаемых потерь по каждой угрозе

f. Расчет ожидаемых потерь по всем угрозам

4. Построение качественной модели проблемы в виде иерархии

a. Построение иерархии, включающей активы, уязвимости и средства защиты

b. Определение приоритетов всех элементов иерархии (попарное экспертное сравнение сравнение)

c. Синтез глобальных приоритетов альтернатив

d. Проверка на согласованность

e. Получение финального результата (выбор и обоснование средств защиты)

5. Оценка стоимости внедрения и эксплуатации системы ИБ

a. Оценка стоимости внедрения

b. Оценка стоимости обучения сотрудников

c. Оценка расходов на эксплуатацию системы

6. Оценка выгоды от внедрения системы, вычисление показателя ROI (или аналогичных)

Данный подход несет в себе несколько преимуществ перед стандартным подходом к оценке угроз: во-первых, возможно заочное привлечение дополнительных экспертов, во-вторых попарные сравнения решают вопрос ранжирования и приоритезации угроз и рисков, что позволяет сразу определить какие угрозы надо закрывать в первую очередь, в-третьих МАИ позволяет рассматривать сразу большое количество как проблем так и подходов к решение проблемы, которые могут быть совершенно разными по своему подходу (технически, организационные и другие меры защиты) что в конечном итоге уменьшает время и затраты необходимое на оценку.

Подводя итог нельзя не сказать о том, что существующая методика оценки позволяет отвечать на встающие перед ней вопросы в разумные сроки и с предсказуемым качеством оценки, что и объясняет ее распространение начиная с международных стандартов и заканчивая методиками ФСТЭК РФ. Рассматривая возможности получения лучших результатов в рамках общепринятой методики нельзя забывать о том, что в результате изменений методика должна остаться простой в применении и доступной широкому кругу специалистов, иначе применение методики на практике будет сильно ограничено или вообще невозможно. Автор считает, что рассмотренная в данной статье методика соответствует этим условиям и не требует кардинальной переподготовки существующих специалистов, при этом позволяя существенно повысить качество и обоснованность оценки.

Список литературы:

1. Приказ Министерства экономического развития и торговли Российской Федерации (Минэкономразвития России) от 20 июля 2007 г. N 256 г. Москва «Об утверждении федерального стандарта оценки «Общие понятия оценки, подходы к оценке и требования к проведению оценки (ФСО N 1)».

2. Саати Т. Принятие решений. Метод анализа иерархий. – Москва.: Радио и связь, 1993.

3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России / [Электронный ресурс] – Режим доступа. – URL: http://www.consultant.ru/document/cons_doc_LAW_77814/ (дата обращения: 11.11.2015)

4. ISACA Journal, Volume 6, 2015 / [Электронный ресурс] – Режим доступа. – URL: http://www.isaca.org/Journal/Pages/default.aspx (дата обращения: 12.11.2015)

5. 2015 Internet Security Threat Report, Volume 2015 / [Электронный ресурс] – Режим доступа. – URL: http://www.symantec.com/security_response/publications/threatreport.jsp (дата обращения: 12.11.2015)

6. Отчет McAfee Labs об угрозах, ноябрь 2014 [Офиц.сайт] URL: http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q3-2014.pdf (дата обращения: 12.11.2015)

7. Багрова О.М. Повышение эффективности управленческих решений тренера по городошному спорту путем интеграции информационных технологий и традиционной системы спортивной подготовки // Nauka-rastudent.ru. – 2015. – No. 12 (24) / [Электронный ресурс] – Режим доступа. –http://naukarastudent.ru/24/3119/ (дата обращения: 08.01.2016)

8. Елизаров М.А, Архитектура сетей сетецентрического управления // ВЕСТНИК СПбГЭУ. 2014. № 8 (75). С. 91-94.