МОДЕЛЬ ВЫБОРА ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В КОММЕРЧЕСКИХ ОРГАНИЗАЦИЯХ

Научная статья
DOI:
https://doi.org/10.23670/IRJ.2017.58.083
Выпуск: № 4 (58), 2017
Опубликована:
2017/04/17
PDF

Фот Ю.Д.

ORCID:0000-0002-8819-9100, кандидат технических наук, доцент, ФГБОУ ВО Оренбургский государственный университет.

МОДЕЛЬ ВЫБОРА ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В КОММЕРЧЕСКИХ ОРГАНИЗАЦИЯХ

Аннотация

В статье приведена модель выбора программно-аппаратных средств защиты информации при внедрении в автоматизированную информационную систему коммерческой организации, с учетом величины возможного ущерба от реализации угрозы, риском информационной безопасности и стоимости программно-аппаратных средств защиты информации. Предложена условная схема оценки рисков информационной безопасности автоматизированной информационной системы коммерческой организации. Проведена экспериментальная оценка предложенной модели.

Ключевые слова: программно-аппаратные средства защиты информации, уровень защищенности информационной системы коммерческого предприятия.

Fot Yu.D.

ORCID: 0000-0002-8819-9100, PhD in Engineering, Associate Professor, FGBOU, Orenburg State University

CHOISE MODEL OF SOFTWARE AND HARDWARE INFORMATION SECURITY FACILITIES IN COMMERCIAL ORGANIZATIONS

Abstract

The paper presents the model for selection of software and hardware information security tools for implementation into an automated information system of a commercial organization, taking into account the amount of possible damage from the implementation of the threat, the risk of information security, and the cost of software and hardware information security facilities. The author proposed a conditional scheme for assessment of information security risks of an automated information system of a commercial organization. The experimental estimation of the proposed model is carried out.

Keywords: software and hardware means of information security, level of security of information system of a commercial enterprise.

Современные темпы развития и распространения информационных технологий,  обострение конкурентной борьбы требуют создания высокого уровня защищенности информационной автоматизированной системы коммерческих организаций (АИС КО), включающие в себя правовые, организационные, физические, а также программно-аппаратные меры защиты информации.

Под уровнем защищенности АИС КО, в данной статье, понимается совокупность различных вариантов программно-аппаратных средств защиты информации (ПАСЗИ). Для определения затрат на приобретение ПАСЗИ в первую очередь необходимо проводить анализ рисков информационной безопасности АИС КО, который позволит оценить существующий уровень защищенности.

В ходе исследования, на основе [1], была разработана условная схема оценки рисков информационной безопасности коммерческой организации (рис. 1).

04-04-2017 10-24-56

Рис. 1 – Условная схема оценки рисков информационной безопасности АИС КО

 

Опираясь на данную схему, была разработана математическая модель.

К исходным данным относятся:

  • множество информативных ресурсов r={r1,r2,…,rm}, хранящихся в автоматизированной информационной системе коммерческой организации;
  • множество типов объектов среды L={l1,l2,…,lm};
  • множество стоимостей информационного ресурса S={s1,s2,…,sm};
  • множество конкретных нарушителей D с учетом их характеристик V={v1,v2,…,vn};
  • множество определенных действий Уд12,…Уmax};
  • множество способов использования информации Уи{Уиi,…,Уиmax}.

Задача выбора ПАСЗИ выражена через его эффект внедрения ПАСЗИ F, зависящий от степени тяжести последствий нарушения информационной безопасности S(У), оценки риска информационной безопасности RУ при допустимых затратах на программно-аппаратные средства защиты информации Z.

Расчет вероятности реализации угрозы РУ производился на основании статистики инцидентов угроз: средние статистические данные вероятности предотвращенных и успешных атак РС и усредненные данные экспертных оценок вероятности осуществления деструктивных действий РЭ.

04-04-2017 10-27-12  (1)

При этом: 04-04-2017 10-27-27  (2)

где: СУд - количество успешных атак;

       СУи - количество предотвращенных атак.

При оценке вероятности осуществления деструктивных действий РЭ экспертам предлагается опираться на шкалу, представленную на рис.1.

Расчет оценки степени тяжести последствий нарушения ИБ от реализации определенных действий Уд для владельца информационного ресурса r коммерческой организации S(У) представляет собой сумму ущерба владельца от получения доступа к информационным ресурсам АИС КО S(Уд) и ущерба владельца от использования информационного ресурса АИС КО Sи):

04-04-2017 10-28-41  (3)

Таким образом, оценка риска информационной безопасности АИС КО, может быть представлена количественно, т.е. риск оценивается через числовое значение, в данном случае, через размер ожидаемых потерь за определенный период времени. Значение риска вычисляется отдельно для каждой угрозы, и в общем случае представляется как произведение вероятности угрозы на величину возможного ущерба от реализации угрозы.

04-04-2017 10-28-52  (4)

Затраты на приобретение программно-аппаратных средств защиты информации Z, должны быть значительно ниже оценки риска информационной безопасности автоматизированной информационной системы коммерческой организации RУ.

Представленная совокупность показателей оказывает влияние на эффект внедрения средств защиты информации в систему коммерческой организации. Эффект внедрения ПАСЗИ в автоматизированную информационную систему коммерческой организации F определяется как соотношение ущерба от реализации угрозы S(У) к разнице между оценкой риска информационной безопасности автоматизированной информационной системы коммерческой организации RУ и затратами на программно-аппаратные средства защиты информации Z.

04-04-2017 10-30-03  (5)

Если F < 0, то затраты на систему защиты превышают выгоду от ее функционирования, из этого следует, что необходимо уменьшение текущих затрат на поддержание безопасности АИС КО. Выбирается другая совокупность вариантов программно-аппаратных средств защиты информации с минимальным риском RУ до получения положительного эффекта. Если F > 0, то выбирается совокупность вариантов программно-аппаратных средств защиты информации, соответствующая максимальному значению.

Экспериментальная оценка модели проводилась для угрозы «Спам». Пусть количество предотвращенных атак с использованием способа доступа к информационным ресурсам - 55 инцидентов за сутки, количество успешных атак - 6 инцидентов за сутки. Предположим, в коммерческой организации работает 100 сотрудников, средняя зарплата которых составляет 14000 ₽/месяц, т.е. 636,4 ₽/день; среднее время, затрачиваемое на открытие и удаление письма-спама составляет 30 секунд, т.е. 0,000347 дня.  Тогда, ущерб от реализации угрозы для владельца информационных ресурсов S(У) = 397,75 ₽/день.

Используя предложенную модель, определено влияние различных вариантов программно-аппаратных средств защиты информации на эффект внедрения средств защиты информации в систему коммерческой организации (табл.1.).

Таблица 1 - Оценка эффекта внедрения ПАСЗИ в АИС КО

04-04-2017 10-31-09

Значение оценки риска RУ, имеющее в данном случае денежное выражение, показывает вероятные потери от реализации угрозы РУ. Наименьшее значение риска от угрозы спама, возникает при использовании первого и второго варианта ПАСЗИ однако, затраты  на использование и приобретение данного ПАСЗИ значительно выше других вариантов. Показателя эффекта внедрения ПАСЗИ указывает, что для коммерческой организации недопустимо использование первого и второго варианта ПАСЗИ.

Третий, четвертый, пятый и шестой варианты ПАСЗИ допускаются к внедрению в АИС коммерческой организации, но использование пятого варианта ПАСЗИ «Касперский» наиболее выгодно. Учитывая стоимость ущерба реализации угрозы, средств защиты информации, интегрированный показатель эффекта внедрения ПАСЗИ количественно составляет 90,39 единиц, и является лучшим.

Достоинством данной модели является то, что описанный объем работ по проведению оценки рисков, показывает количественные потери возможного ущерба коммерческой организации, и возможные пути устранения данных потерь с помощью программно-аппаратных средств защиты информации. Проведена экспериментальная оценка предложенной модели, что повышает достоверность исходных данных и, следовательно, результатов анализа.

Список литературы / References

  1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30-11-2010 – М. : Стандартинформ, 2011. – 51 с.
  2. Фот, Ю. Д. Модель определения уровня защищенности системы отбора персонала организации / Ю. Д. Фот, А. С. Боровский // Интеллект. Инновации. Инвестиции, 2016. - № 2. - С. 117-123.

Список литературы на английском языке / References in English

  1. GOST R ISO / IEC 27005-2010. Informacionnaya tehnologiya. Metodi isredstva obespesheniya bezopasnosti. Menedgment riska informacionnoi bezopasnosti. [GOST R ISO / IEC 27005-2010. Information technology. Methods and means of ensuring security. Information Security Risk Management.]. Vved 30-11-2010 [Introduced 30-11-2010] M. : STANDARTINFORM, 2011. – 51 S. . [in Russian]
  2. Fot, Y. D. Model opredelenia zachichennocti sistemi otbora personala [Fot, Y. D. The model of determining the level of security of the personnel selection system of the organization] / Y. D. Fot, A.S. Borovskii // Intellect. Innovatii. Investicii, 2016. - No. 2. - s. 117-123. [Intellect. Innovation. Investments, 2016. - No. 2. - P. 117-123.] . [in Russian]