Файл: Метода оценки экономической эффективности системы защиты информации для коммерческих предприятий.pdf

В Е С Т Н И К П Н И П У
2020
Электротехника, информационные технологии, системы управления № 36 193
УДК 004.056.5
DOI: 10.15593/2224-9397/2020.4.12
А
.С. Шабуров, А.И. Шлыков
Пермский национальный исследовательский политехнический университет,
Пермь
, Россия
РАЗРАБОТКА
МЕТОДА ОЦЕНКИ ЭКОНОМИЧЕСКОЙ
ЭФФЕКТИВНОСТИ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ДЛЯ
КОММЕРЧЕСКИХ ПРЕДПРИЯТИЙ
Современные информационные системы подвергаются угрозам при недостаточной оцен- ке эффективности защиты информации. Эта проблема характеризует нарушение процесса управления информационной безопасностью. Очевидно, что нехватка научной базы методов и
алгоритмов оценки приводит к нарушению эффективности защиты. С позиции влияния на биз- нес при оценке экономической эффективности выявляются уязвимые показатели. Поэтому науч- ной задачей является обеспечение процесса функционирования системы защиты информации методом оценки экономической эффективности. Цель исследования: разработка актуального метода оценки экономической эффективности системы защиты информации на основе модели экономически эффективного функционирования системы. Методы: оценка экономической эф- фективности определяется аналитической и математической моделями лингвистического описа- ния эффективной системы защиты. На их основе строится метод из 9 последовательных этапов оценивания
. Он реализует организационный и математический алгоритм, основанный на методе анализа иерархий. Результаты: в статье приводятся результаты проектирования лингвистиче- ской модели в виде неориентированного графа подбора подсистем, требований и средств защи- ты информации для обеспечения максимальной экономической эффективности системы. Новиз- на подхода заключается в осуществлении предварительного расчёта результатов метода оценки экономической эффективности. Совместно с моделью, проведено проектирование метода оцен- ки
. Разработанный метод получил апробацию на реальном объекте защиты, с его помощью были получены достоверные показатели эффективности системы защиты информации. Результатами моделирования являются данные экономической эффективности, степени риска для информа- ционной системы, а также параметры модели, дающие словесное описания параметров эффек- тивной системы защиты, в том числе коэффициент защищенности. Практическая значимость:
разработанный метод испытан и применен в рамках улучшения показателей системы защиты на объекте
– коммерческом предприятии Пермского края. Также в статье даны рекомендации по применению метода в организационных мероприятиях по защите информации. Более того, авто- рами обозначены пути развития метода оценки экономической эффективности в виде многокри- териального подхода.
Ключевые
слова: эффективность защиты информации, экономическая эффективность, модели и методы оценки, многокритериальная оценка, метод парных сравнений, риск информа- ционной безопасности.

А.С. Шабуров, А.И. Шлыков
194
A.S. Shaburov, A.I. Shlykov
Perm National Research Polytechnic University, Perm, Russian Federation
DEVELOPMENT OF METHOD FOR ASSESSING THE ECONOMIC
EFFICIENCY OF THE INFORMATION SECUTITY SYSTEM
FOR COMMERCIAL ENTERPRISES
Modern systems are vulnerable to threats because of insufficient assessment of the information security effectiveness. This problem characterizes a breach of the information security management process. It is obvious that the lack of a scientific base of methods and assessment algorithms leads to a violation of protection effectiveness. From the standpoint of business impact, the cost-benefit assess- ment identifies vulnerable indicators, ensuring the reliability of business processes. Therefore, the sci- entific task is to ensure the process of information security system functioning by assessing economic efficiency. Purpose: development of an up-to-date method for assessing the economic efficiency of an information security system based on model of economically efficient functioning of the system. Meth-
ods: analytical and mathematical models of the linguistic description of an effective protection system determine the assessment of economic efficiency. The method based on it consists 9 consecutive stag- es of assessment. It implements an organizational and mathematical algorithm based on the hierarchy analysis method. Results: the article presents the results of designing a linguistic model in the form of an undirected graph. It selects subsystems, requirements and information security tools to ensure the maximal economic efficiency of the system. Graph carries out a preliminary calculation of the assessing economic efficiency results. Article provides the development of the assessment method connected with economical model. The developed method tested on a real protected object. Economical method calcu- lated indicators of the information security system efficiency. As a result, method calculates economic efficiency data, the degree of risk for information system, as well as model parameters. It gives a verbal description of the effective security system parameters including the protection coefficient. Practical
relevance: the developed method tested and applied in the framework of improving the performance of the security system at the facility based on commercial enterprise in Perm Krai. The article also pro- vides recommendations of using the method in organizational measures for information security. More- over, the authors offered the ways of implementation an economic efficiency assessment in the form of a multi-criteria approach.
Keywords: information security efficiency, economic efficiency, models and methods of as- sessment, multi-criteria assessment, method of paired comparison, information security risk.
Введение. Коммерческие компании в непростой мировой обста- новке всё больше подвергаются угрозам безопасности информации.
Согласно отчётам компаний Eset и Anti-Malware [1], этот факт обосно- ван неграмотным построением системы информационной безопасно- сти на предприятии. Ввиду того, что её недостатки можно оценить только в ходе аудита информационной безопасности, возникает про- блема достаточности оценки эффективности системы защиты инфор- мации (далее – СЗИ), корректное проведение которой даёт предпри- ятию подробные знания о недостатках. С точки зрения бизнеса именно экономический параметр эффективности актуален для возможности

Метод оценки экономической системы защиты информации
195 переоценки качества СЗИ. На законодательном уровне и на уровне подзаконных нормативно-правовых актов не определяется, насколько эффективной должна быть система защиты информации. Помимо того действующие решения представлены в виде экспертных методов, зави- сящих от качества оценивающего, знаний информационной системы, а также умений внедрять алгоритмы информационной безопасности
(далее – ИБ). В таком случае трудность задачи качественной оценки экономической эффективности в моделях и методах представляется необходимостью при решении. Подход к моделированию экономиче- ской оценки представлен в труде Е.В. Бережной и В.И. Бережного [2], а конкретные методы эффективности были представлены в работе
Д.А. Полянского [3]. Кроме того, при моделировании экономической эффективности было принято ссылаться на баесовские модели А. Мот- цека [4] и Парето-эффективные модели [5–6]. Эти источники содержат частные подходы, но не предполагают систематизации знаний об оценке эффективности, как и не несут общего подхода к оценке в ходе аудита безопасности. Рассматриваемая проблема актуальна для об- ширной сферы бизнеса предприятий и организаций в Российской Фе- дерации, а необходимость решения определила тематику работы.
Понятие экономической эффективности СЗИ. Эффективность системы защиты информации – степень соответствия достигнутых ре- зультатов поставленным целям по защите информации. Методики рас- чёта показателя различны и зависят от того, с какой целью и на каком этапе функционирования СЗИ проводится оценка. Оценка эффективно- сти может осуществляться в процессе создания, приемки и эксплуата- ции СЗИ. Ключевым понятием является критерий оценки – признак, ос- нование принятия решения по оценке эффективности на соответствие предъявленным требованиям. Критериев эффективности системы защи- ты информации может быть много, однако выбор конкретных зависит от специфики проводимой оценки. На практике выделяют следующие типы критериев оценки эффективности работоспособной СЗИ [7]:
1)
критерий «эффект–затраты», позволяющий оценивать дости- жение СЗИ целей функционирования при заданных затратах;
2)
критерии качества СЗИ по определённым показателям, исключая варианты, не удовлетворяющие заданным ограничениям. Используются методы многокритериальной оптимизации (задается одна или несколько целевых функций – таким образом, решается задача оптимизации);

А.С. Шабуров, А.И. Шлыков
196 3)
искусственные критерии, позволяющие оценивать интеграль- ный эффект («линейная свертка» частных показателей, нечеткие множества).
Всего существует несколько основных подходов к оцениванию эффективности защиты информации, каждый из которых предполагает требования по его обеспечению: опытный, экономический и т.д.
В данной работе будет применяться экономический подход с точки зрения задач, связанных с решением проблемы экономического обос- нования функционирования СЗИ на предприятии.
Экономическая эффективность системы защиты информации – это эффективность СЗИ, рассчитанная экономическим методом, т.е. затраты на СЗИ должны эффективно обеспечивать функционирование системы в рамках правовых документов и административных регла- ментов. Или иначе, это мера минимизации риска за счёт функциониро- вания СЗИ [8].
При этом требования, а также применение методов функцио- нальной стандартизации в области ИБ изложены в стандарте ГОСТ
ИСО/МЭК 15408-02, а также в ГОСТ Р ИСО/МЭК 27002-2012, в связи с которыми определены метрики оценки эффективности КСЗИ. Исходя из требований заказчика, для оценки подбираются измеряемые крите- рии и метрики экономической эффективности. В разрабатываемом ме- тоде решено придерживаться следующих метрик эффективности [9]:
−
показатели риска для защищенной и незащищенной системы;
−
показатель экономической эффективности системы защиты информации;
−
коэффициент защищенности от актуальных угроз для СЗИ.
Из этих параметров следует, что результатом модели и метода бу- дет являться многокритериальная оценка. Этот факт позволяет взгля- нуть на функционирование СЗИ под разными ракурсами, произвести комплексную оценку, а также определить корреляцию между критерия- ми. Для проектирования модели оценки экономической эффективности
СЗИ будет применяться ситуационный анализ в предметной области экономических параметров информационной безопасности. Достоинст- во способа – сочетание субъективных оценок экспертов, косвенным об- разом влияющие на результаты оценки (вычисление весовых коэффици- ентов), и объективных данных о СЗИ: актуальные угрозы и уязвимости, информационные ресурсы, статистические данные.

Метод оценки экономической системы защиты информации
197
Проектирование модели оценки экономической эффективно-
сти системы защиты информации. В рамках моделирования приме- няется следующая семиотическая цепочка (последовательность не- скольких параметров системы безопасности), состоящая из 4 взаимо- связанных единиц функционирования СЗИ компании: множество под- систем системы защиты (P
i
) – множество требований по защите (T
j
) – множество средств защиты (M
k
) – задаваемый параметр экономической эффективности системы (E . Эта цепочка и взаимодействие между её звеньями представлена на рис. 1
Рис. 1. Цепочка единиц функционирования КСЗИ
С точки зрения моделирования экономической эффективности используется математическая модель (1), представляющая собой соче- тание вероятностной и многокритериальной методик оценки. В общем виде она будет выглядеть так:
ЭФ
СЗИ
=
∆R
S
сзи
,
(1) где ∆R
– устраненный риск, S
сзи
– стоимость системы защиты ин- формации.
Задача моделирования сводится к нахождению оптимального соста- ва множества подсистем системы защиты (P
i
), множества требований по защите (T
j
), множества средств защиты (M
k
) и параметра экономической эффективности системы защиты информации (E). Образ СЗИ, исходя из условий экономической эффективности, собирается из элементов систе- мы. Модель демонстрирует структурно-функциональную схему СЗИ в совокупности средств защиты, требований и подсистем, из чего видно, будет или не будет обеспечивать она эффективное функционирование.
Весовые коэффициенты P, T, M обозначают лингвистические ве- личины подсистем, требований и средств защиты и определяются
E
КСЗИ
Р
i
T
j
M
k

А.С. Шабуров, А.И. Шлыков
198 согласно следующим правилам. К примеру, P
3
– подсистема управления информационной безопасностью, T
11
– требование Приказа ФСТЭК
№ 17 по аутентификации в системе защиты, M
42
– система виброакусти- ческой защиты «Шторм-2». Коэффициенты модели зависят от среды моделирования и выбора эксперта, основанного на результатах аудита на объекте. Средства защиты информации M выбираются из баз данных средств защиты информации (например, Государственный реестр сер- тифицированных средств защиты ФСТЭК, другие базы данных) или среди доступных предприятию средств – в случае, когда необходимо провести оценку экономической эффективности СЗИ предприятия.
Множество T собирается в модель из требований, распространяющихся на систему защиты нормативно-правовыми или локальными актами по защите информации. Подсистемы защиты информации P определяются в процессе формирования на объекте базы требований T и средств защи- ты информации M, а также исходя из требований к составу подсистем заказчика оценки или нормативно-правовых актов.
Стоимость S
сзи моделируется средствами защиты информации
(далее – СрЗИ), а ∆R формируется, исходя из того, перекрывают ли требования T
j
и подсистемы P
i
актуальные угрозы и уязвимости. Мо- дель дополняется экспертной или статистической оценкой параметров, представляющих собой субъективную оценку подмножества методом анализа иерархий. Оценка лежит в пределах {1,9}, где 1 означает «эле- мент не функционирует», 9 – «элемент удовлетворяет параметру эф- фективности». Так, оценки модели принимают значения, показываю- щие, достаточно ли эффективен элемент. Модель представляет собой граф множества состояний, в котором отражены элементы, представ- ленные в табл. 1.
Таблица 1
Соответствие модели реальным показателям КСЗИ
Обозначение в модели
Значения диапазона
Интерпретация на КСЗИ
P
{P
1
, P
2
, ..., P
n
}
Множество подсистем КСЗИ
T
{T
1
, T
2
, ..., T
m
}
Множество требований по защите
M
{M
1
, M
2
, ..., M
q
}
Множество средств защиты
E
Функциональный
Параметр экон. эффект-ти
b
EP
, b
PT
, b
TM
{1;9}
Множество состояния переходов

Метод оценки экономической
В качестве интерпретации формальной
СЗИ (рис. 1) была построена модель функционирования КСЗИ, представленная
Рис. 2. Модель экономически эффективного
Поскольку модель оперирует лингвистическими позволяет проследить связь между исполнением щью средств защиты информации внутри димо обозначить числовое выражение тывая, что моделирование экономической к устранению рисков СЗИ путём поиска весовыми коэффициентами, результат лен коэффициентом защищённости (
дение требований и подсистем моделируют ведение СрЗИ моделируют стоимость
E = K
з
=
где R
НЗ
– риск для незащищенной системы системы.
Данный коэффициент показывает мационная система от рисков ИБ, т системы защиты (P
i
) множества требований
экономической системы защиты информации
199 интерпретации формальной модели представления модель экономически-эффективного представленная на рис. 2. эффективного функционирования СЗИ оперирует лингвистическими величинами, это между исполнением требований с помо- информации внутри подсистем защиты. Необхо- выражение, которое выражает модель. Учи- экономической эффективности сводится путём поиска оптимальных связей между результат моделирования будет представ- защищённости (K
з
, принимая факт, что произве- моделируют устранение риска, а произ- стоимость СЗИ [10]:
= 1–
R
з
R
НЗ
, (2) незащищенной системы, R
з
– риск для защищенной показывает, насколько защищена инфор-
ИБ, т.е. перекрывают ли подсистемы требований по защите(T
j
) множества

А.С. Шабуров, А.И. Шлыков
200 средств защиты (M
k
) угрозы и уязвимости. Соответственно, если пере- крывают – смоделированная система экономически эффективна и при- годна к эксплуатации. Если этого не происходит (K
з
= 0) или происхо- дит недостаточно эффективно (K
з
≤ 0,5), то параметры системы в виде
СрЗИ и подсистем пересматриваются, пока СЗИ не достигнет доста- точной эффективности.
В результате параметры подсистем, требований и экономической эффективности системы задаются в соответствии с нормативными акта- ми, стандартами, условиями функционирования СЗИ компании, а пара- метры СЗИ необходимо подобрать с учётом актуальных уязвимостей и угроз, а также согласно требованию по эффективности системы.
Разработка метода оценки экономической эффективности
СЗИ. На основе предложенной модели создается метод расчёта эконо- мической эффективности СЗИ, основанный на методике парных сравне- ний. Он представляет собой поэтапное оценивание параметров системы защиты с учётом угроз и уязвимостей ИБ, а также стоимости активов организации и рисков, связанных с возможной реализацией угроз.
Сущность метода сводится к выполнению 9 этапов оценки, каж- дый из которых представляет тот или иной процесс оценки экономиче- ской эффективности. Расчёты в методе производились согласно форму- лам методики [11], однако процесс оценки был изменен в соответствии с поэтапным оцениванием и переоцениванием результатов моделирова- ния СЗИ (см. рис. 2). Научная новизна по отношению к используемой методике заключается в применении к ней разработанной модели оцен- ки экономической эффективности для формирования первичных данных о СЗИ, а также в возможности переоценки результатов при получении нежелательных исходов в виде неэффективной системы защиты. Таким образом, решается научная задача совершенствования используемых подходов к моделированию оценки экономической эффективности.
Стоит отметить, что метод [11] не позволяет обнаружить связь между общей неэффективностью СЗИ и неэффективностью отдельного её элемента, а также степень его влияния на экономическую эффектив- ность. Применение модели оценки, благодаря первичной оценке с по- мощью лингвистических параметров, позволяет обнаружить неэффек- тивный элемент на графе экономической эффективности. Кроме того, в подход к оцениванию также заложены механизмы организационного обеспечения информационной безопасности (в виде создания постоянно