Файл: Метода оценки экономической эффективности системы защиты информации для коммерческих предприятий.pdf

Метод оценки экономической
действующей системы оценки экономической ляющей оценку во время аудита ИБ в в несколько этапов), что позволяет рекомендовать вания на реальных объектах защиты тод параметры, с учётом требований тивности, представлены на рис. 3.
Рис. 3. Параметры безопасности экономической эффективности
Содержание проводимых при оценке ности этапов:
Этап 1. Создание комиссии и проведение
полагает, что будет проведена вероятностная пертным оцениванием. Поэтому на первом в составе нескольких человек в зависимости и получения данных об объекте информатизации привлекаются специализированные работники по защите информации, деятели науки осуществляющих подготовку студентов ная безопасность», и студенты смежных
Если эксперт по каким-то условиям ния оценочной деятельности, то состав с учётом соответствия требованиям. В
па составляется акт о создании комиссии
Этап 2. Получение комиссией исходных
ствующей СЗИ. В ходе внутреннего или
экономической системы защиты информации
201 экономической эффективности, опреде-
ИБ в строгой организационной форме позволяет рекомендовать метод для использо- защиты информации. Включаемые в ме- требований по оценке экономической эффек- безопасности при оценивании экономической эффективности при оценке экономической эффектив-
и проведение её оценки. Метод пред- вероятностная оценка в сочетании с экс- на первом этапе создается комиссия в зависимости от сложности расчётов информатизации (далее – ОИ). К работе специализированные работники сторонних организаций науки в области ИБ, работники кафедр, студентов по программе «Информацион- смежных программ подготовки. условиям не подходит для осуществле- то состав комиссии пересматривается требованиям. В результате выбора в рамках эта- комиссии по оценке.
комиссией исходных данных об объекте и дей-
внутреннего или внешнего аудита эксперты по-

А.С. Шабуров, А.И. Шлыков
202 лучают данные об информационной системе (далее – ИС) для оценки активов и рисков. Исходными данными считаются знания об ОИ, под- лежащие защите. Эта информация отражает стоимость информацион- ных активов организации, потенциальные угрозы и уязвимости для ОИ, требования законодательства и принятые меры по защите информации.
Этап 3. Формализация полученных данных. В методе будет ис- пользоваться шкала относительной значимости для сравнения двух ка- чественных отношений (метод Саати) [12]. Так решается задача анализа иерархий на основе выбора из нескольких критериев. В случае предла- гаемого метода критериями выступят уязвимости СЗИ, а также угрозы безопасности информации, которые считаются актуальными для ИС.
Поскольку критерии имеют свойство неоднородновсти, то применять их для построения рабочей модели можно в случае выполнения условий:
−
преобразование качественных описаний в количественные;
−
нормирование количественных описаний с учетом значимости.
Для решения задачи преобразования качественных описаний в количественные строятся таблица парных сравнений оценки уязви- мостей и угроз, а также таблица оценки ценности информации. Общий вид таблиц, представляющих собой лингвистическое сравнение двух параметров, показан в табл. 2.
Таблица 2
Парные сравнения двух параметров
Лингвистическая оценка сравнения 1-го и 2-го параметра
Значение
При наличии 1-го 2-й можно не учитывать
9
Существенное превосходство 1-го над 2-й
7
Использование 1-го предпочтительнее, чем 2-го
5
Чуть более высокая значимость 1-го против 2-го
3
Одинаковая значимость сравниваемых параметров
1
Описание множества сравниваемых параметров с использовани- ем шкалы относительной значимости представлено в виде матрицы парных сравнений [11]:
M
B
i
=
l
b
11
i
⋯
b
in
i
⋮
⋱
⋮
b
n1
i
⋯
b
nn
i
p, (3) где B
=
{b
1
,b
1
… b
n
} – множество уязвимостей, i
=
{1,2…n} – номер эксперта.

Метод оценки экономической системы защиты информации
203
Условие относительности означает, что матрица (3) обратносим- метрична [13]:
b
xy
i
=
1
b
yx
i
. (4)
Каждым экспертом строится матрица парных сравнений уязви- мостей на основании табл. 2. Следующим шагом, по ранговой шкале каждый эксперт должен составить вектор доступности уязвимостей для злоумышленника:
V
=
v
1
i
,v
2
i
…
v
S
i
. (5)
Взаимосвязь между угрозами и уязвимостями определяется мат- рицей причинно-следственных связей, её строит каждый эксперт. Мат- рица выглядит так:
M
УУ
i
=
l
с
11
i
⋯
с
1S
i
⋮
⋱
⋮
с
n1
i
⋯
с
nS
i
p. (6)
Этап 4. Расчёт вероятности возникновения угроз. В ходе этапа рассчитываются вероятности возникновения угроз на основании мат- риц, полученных в предыдущем этапе. Это необходимо для выявления зависимости между существующими уязвимостями и возникающими угрозами. Для текущего этапа перемножаются матрицы относительной значимости уязвимостей и причинно-следственных связей уязвимостей и угроз. Таким образом, получится единственная матрица показателей значимости уязвимостей для возникновения угроз:
M
ПЗ
i
=
M
УУ
i
·M
B
i
. (7)
Далее нужно дополнить матрицу (7) вектором (8) и определить интегральный показатель влияния всех уязвимостей на возникновение
k-й угрозы:
w
k
i
=
∑ w
kr
i
, i
=
0,…, n.
S
r=1
(8)
Нормализация вектора W проводится так: максимальному значе- нию соответствует величина 9, а минимальному – 1. Далее необходимо получить матрицу отношений элементов:
M
W
i
=
l
1
⋯
1/w
1n
i
⋮
⋱
⋮
w
n1
i
⋯
1
p. (9)

А.С. Шабуров, А.И. Шлыков
204
Нахождение вероятностей возникновения угроз безопасности по оценкам i-го эксперта P
bji
сводится к поиску собственных чисел матри- цы (9) и собственного вектора P
bi
– максимальному собственному зна- чению вероятности. Впоследствии производится расчёт ущерба от
i-й угрозы незащищенной ИС. Ущерб
U
i
рассчитывают как относи- тельную величину стоимости ИС – h
i
. Степень воздействия i-й угрозы на информационную систему h
i
оценивается экспертами при наличии двух условий:
0 ≤ h
i
≤ 1,
∑ h
i
=1
n
i=1
. (10)
При этом ущерб от i-й угрозы для незащищенной ИС определяет- ся как [6]:
U
i
=h
i
(S
и
+S
ои
+S
cзи
). (11)
Матрица парных сравнений степени вреда, наносимого угрозами, строится экспертами на основе матрицы (6) с учетом (7)–(9) и табл. 2:
M
H
i
=
l
h
11
i
⋯
1/w
1n
i
⋮
⋱
⋮
w
n1
i
⋯
1
p, (12) где h
αβ
i
=
α,β
=
1,…, n показывает, насколько вред, наносимый α-й уг- розой, существеннее вреда, наносимого β-й угрозой.
Этап 5. Определение стоимости информационных ресурсов. Сле- дующим шагом группа экспертов вычисляет ценность информационных ресурсов ОИ методом парных сравнений по формулам (7)–(9) и табл. 2:
M
C
i
=
l
1
⋯
1/C
k1
i
⋮
⋱
⋮
C
k1
i
⋯
1
p (13) и определить вектор относительной ценности:
С
s
j
=
tC
j
i
u, i
=
0,…, k
. (14)
Стоимость каждого отдельно взятого информационного ресурса определяется на основе вектора ценности после выделения элемента по формуле:
S
Иi
=
C
j
s
C
0
vvvv
S
ИО
, (15) где C
s
0
– относительная ценность ресурса; S
ИО
– его стоимость.
Этап 6. Расчёт стоимости объектов, подверженных угрозам.
На этом этапе считается стоимость тех объектов, которые являются

Метод оценки экономической системы защиты информации
205 уязвимыми для угроз безопасности информации, они непосредственно защищаются СЗИ. Стоимость элементов объекта, подверженных воз- действию угроз, определяется их суммированием:
S
ОИ
=
∑ S
ОИj
m
j=1
, (16) где S
ОИj
– стоимость j-го элемента; m – количество элементов объекта.
Стоимость элементов КСЗИ S
СЗИ
определяется как сумма всех за- трат на информационную безопасность по всем позициям и считается аналогично формуле (16).
Этап 7. Расчёт вероятности устранения угроз информации. Да- лее эксперты должны оценить вероятность устранения угроз безопас- ности. Вероятность устранения j-й угрозы P
yj
определяется тем, на- сколько полно учтены качественные и количественные требования к КСЗИ при ее проектировании. Вероятность устранения j-й угрозы по оценкам i-го эксперта определяется из выражения:
P
yj
i
=
∑ k
jq
i
⋅
x
jq
i
l
q=
1
, (17) где k
jq
i
– весовой коэффициент значимости q-го требования для устра- нения j-й угрозы по оценке i-го эксперта; x
jq
i
– степень выполнения ко- личественного и качественного требования к СЗИ для устранения j-й угрозы.Весовые коэффициенты проставляются непосредственно экс- пертами по правилам, установленным этапом 3.
Этап 8. Расчёт итоговых показателей экономической эффек-
тивности системы защиты информации на объекте информатизации
При работе организации существует определенное количество угроз безопасности (i = 1, ..., n), которые характеризуются вероятно- стями возникновения P
bi
и ущербом, наносимым каждой угрозой U
i
Задачей СЗИ является устранение i-й угрозы. Полный ущерб незащи- щенному ОИ можно представить как сумму возможных ущербов:
U=
∑
P
bi
U
i
n
i=
1
. (18)
Риск для незащищенного ОИ [14] представляет собой произведе- ние вероятностей возникновения угроз и ущерба в случае их реализа- ции и показывает, какой вероятный ущерб понесёт предприятие при реализации угрозы информационной безопасности в условиях, когда
СЗИ на объекте моделируется с неработающими функциями:
R
НЗ
=
∑ P
bi
U
i
n
i=1
. (19)

А.С. Шабуров, А.И. Шлыков
206
Риск же для защищенного ОИ зависит от вероятности устранения
i-й угрозы P
yi
:
R
з
=
∑ P
bi
U
i
(1–P
yi
)
n
i=1
. (20)
Чем выше будет вероятность устранения угрозы СЗИ предпри- ятия, тем меньший риск понесет компания в случае реализации угроз.
Экономическая эффективность применения системы защиты информа- ции через риски рассчитывается по формуле (1). Через риски выразим коэффициент защищенности ОИ – получим коэффициент экономиче- ской эффективности системы защиты информации из формулы (2).
Для расчета экономической эффективности и коэффициента за- щищенности нужно провести все вышеперечисленные этапы. Система считается тем больше экономически эффективной, чем выше показатель устранения рисков на предприятии за счёт суммарной стоимости систе- мы защиты информации [15]. Если отношение 1:1, то система не пере- крывает риски информационной безопасности, об эффективности речь также не идёт, т.е. данная разность должна быть меньше, чем 1.
Этап 9. Принятие решения об экономической эффективности
СЗИ. В результате расчётов экспертной группой принимается решение, является ли СЗИ экономически эффективной. Если она эффективна, то принимается решение о её внедрении (модификации) на ОИ, создается проект по внедрению СЗИ на ОИ [16–17]. Если СЗИ признается неэф- фективной или её эффективность недостаточна для принятия решения о внедрении, то такая СЗИ отправляется на доработку по параметрам, которые в ходе расчёта негативно влияют на общую экономическую эффективность системы.
Апробация модели и метода на объекте защиты. Для проверки работоспособности модели и метода на реальном объекте защиты было выбрано коммерческое предприятие ООО «Компания» (реальное на- звание предприятия не указывается), которое осуществляет свою дея- тельность на территории Пермского края. Для моделирования эффек- тивной системы защиты информации использовались данные СЗИ на предприятии, а также Государственный реестр сертифицированных средств защиты информации ФСТЭК [18]. Требования к СЗИ предъяв- лялись, исходя из бизнес-процессов организации (обработка персо- нальных данных, ведение конфиденциальных переговоров, наличие коммерческой тайны). Состав подсистем защиты моделировался, исхо- дя из потребностей организации в защите критичных ресурсов.

Метод оценки экономической системы защиты информации
207
Результаты моделирования графической модели (см. рис. 2) были визуализированы в системе Gephi. В результате визуализации на графе были выделены оптимальные пути решения, т.е. наилучшие параметры системы защиты информации в лингвистической форме. Вершины и рёбра в графе, отмеченные красным цветом, обеспечивают макси- мальную экономическую эффективность, тогда как серые вершины не- эффективны. Модель экономически эффективной системы защиты ин- формации на объекте показана на рис. 4.
Рис. 4. Визуализация экономически-эффективной
СЗИ на объекте защиты
В результате моделирования экономически эффективной СЗИ на объекте защиты были оценены параметры эффективности модели с помощью описанного метода парных сравнений. Полученные пока- затели оценки экономической эффективности системы защиты инфор- мации «Компания» отражены в табл. 3.
Таблица 3
Результаты расчёта итоговых показателей экономической эффективности
Показатель
Значение
Стоимость средств защиты информации, тыс. руб.
174
Риск для незащищенной системы, тыс. руб.
1 809
Риск для защищенной системы, тыс. руб.
648,5
Экономическая эффективность, относительная единица
6,67
Коэффициент защищенности, относительная единица
0,64

А.С. Шабуров, А.И. Шлыков
208
Результаты моделирования экономически эффективной СЗИ на объекте, а также оценка этих результатов по методу показали эффектив- ность модели. Показатели составляют 6,67, что означает эффективность работы СЗИ по устранению выявленных рисков ИБ [19]. Содержание
СЗИ позволяет снизить стоимость рисков в рублях в 3 раза, при этом обеспечивая отличный коэффициент защищенности ресурсов в 0,64.
Перспективы использования модели и метода оценки эконо-
мической эффективности систем защиты информации. В результа- те проектирования модели и реализующего её оценку метода можно определить не только рекомендации по практическому применению моделей и методов оценки экономической эффективности, но также и сделать вывод по перспективам развития оценки эффективности
СЗИ. Результатом проектирования стала модель экономически эффек- тивного функционирования системы защиты информации, с помощью которой можно представить СЗИ предприятия в качестве совокупности подсистем защиты, требований и СрЗИ. Это позволяет увидеть зако- номерности между действующей системой и её экономической эффек- тивностью, но также приводит СЗИ к формализации для оценки эко- номической эффективности разработанным методом. Применение метода на реальном объекте продемонстрировало, что модель и метод оценки позволяют провести качественную оценку экономической её эффективности, показывая понятный и конкретный результат. Поло- жительный результат апробации метода позволяет рекомендовать на- учную работу к применению на действующих объектах защиты ин- формации коммерческих предприятий. Показатели оценки помогут сформировать рекомендации по модернизации СЗИ объекта для увели- чения эффективности защиты информации, а также исправить недочё- ты, уменьшающие эффективность СЗИ.
Кроме того, приведенный случай многокритериальной и ком- плексной оценки экономической эффективности СЗИ является опти- мальным и рекомендуется к применению в модели, отраженной в формулах (1)–(3). Закономерным следствием из рекомендаций явля- ются резюмированные перспективы оценки экономической эффектив- ности в СЗИ. Поскольку оценка в модели и методе осуществляется многокритериально [20], появляется возможность использования но- вых критериев оценки внутри них, основанных на вероятностных, эко-

Метод оценки экономической системы защиты информации
209 номических и оперативных (рисковых) показателях. Это позволит расширить возможности оценки экономической эффективности, вклю- чая возможность оценки эффективности через разные показатели.
Библиографический список
1.
Анализ рынка ИБ в России. Ч. 1 [Электронный ресурс]. – URL: https://www.anti-malware.ru/analytics/Market_Analysis/analysis-information- security-market-russia-part-1 (дата обращения: 17.10.20).
2.
Бережная Е.В. Математические методы моделирования сис- тем. – М.: Финансы и статистика, 2006. – 432 с.
3.
Полянский Д.А. Экономика защиты информации. – Владимир:
Изд-во ВлГУ, 2009. – 592 с.
4.
Motzek A., Möller R. Context- and bias-free probabilistic mission impact assessment // Computers & Security. – 2017. – № 65. – P. 166–186.
DOI: https://doi.org/10.1016/j.cose.2016.11.005 5.
Selection of Pareto-efficient response plans based on financial and operational assessments / A. Motzek, R. Möller, H. Debar, J. Garcia-Alfaro,
G.G. Granadillo // EURASIP Journal on Information Security. – 2017. –
№ 1. – P. 1–22. DOI: https://doi.org/10.1186/s13635-017-0063-6 6.
Aslanyan Z., Nielson F. Pareto Efficient Solutions of Attack-
Defence Trees // International Conference on Principles of Security and Trust.
– 2015. – P. 95–114. DOI: https://doi.org/10.1007/978-3-662-46666-7_6 7.
Маслова Н.А. Методы оценки эффективности систем защиты информационных систем // Искусственный интеллект. – 2008. – № 4. –
С. 253–264.
8.
Anderson R., Moore T. The Economics of Information Security //
Science. – 2006. – № 314. – P. 610–613. DOI: https://doi.org/10.1126/ science.1130992 9.
Wheeler E. Security Risk Management: Building Information
Security Risk Management Program from the Ground Up // Syngress
Publishing. – 2011.
10.
Economics of Information Security and Privacy III [Электрон- ный ресурс]. – URL: https://ru.scribd.com/document/379404173/Econo mics-of-Information-Security-and-Privacy-III/ (дата обращения: 15.10.2020).
11.
Голиков Ю.А. Экономическая эффективность системы защи- ты информации. – Новосибирск: СГГА, 2012. – 41 с.

А.С. Шабуров, А.И. Шлыков
210 12.
Баранова Е.К. Методики анализа и оценки рисков ИБ // Обра- зовательные ресурсы и технологии. – 2015. – № 1(9). – С. 73–79.
13.
Цуканова О.А. Экономика защиты информации. – СПб.:
Изд-во НИУ ИТМО, 2014. – 79 с.
14.
ГОСТ Р ИСО/МЭК 27005-2010. Информационная техноло- гия. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности // Доступ из справ.-правовой системы
КонсультантПлюс.
15.
Шлыков А.И., Шабуров А.С. О формализации подходов к разработке моделей многокритериальной оценки эффективности сис- тем защиты информации // Автоматизированные системы управления и информационные технологии: материалы всерос. науч.-техн. конф.
(г. Пермь 9–11 июня 2020 г.). – Пермь: Изд-во Перм. нац. исслед. поли- техн. ун-та, 2020. – Т. 2. – С. 408–414.
16.
Положение Гостехкомиссии от 25 ноября 1994 г. по аттеста- ции объектов информатизации по требованиям безопасности инфор- мации // Доступ из справ.-правовой системы КонсультантПлюс.
17.
ГОСТ Р ИСО/МЭК 17799-2005. Информационная техноло- гия. Практические правила управления информационной безопасно- стью // Доступ из справ.-правовой системы КонсультантПлюс.
18.
Государственный реестр сертифицированных средств за- щиты информации N РОСС RU.0001.01БИ00 [Электронный ресурс]. –
URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty- po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-serti- fitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00 (да- та обращения: 22.10.2020).
19.
Актуальные киберугрозы – 2019 [Электронный ресурс]. –
URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity- threatscape-q1-2019/ (дата обращения: 17.10.20).
20.
Шлыков А.И. Разработка модели определения критичных ре- сурсов и связанных с ними рисков информационной безопасности //
Инновационные технологии: теория, инструменты, практика: материа- лы XI Междунар. интернет-конф. молодых ученых, аспирантов, сту- дентов (15 ноября – 31 декабря 2019 г.). – Пермь: Изд-во Перм. нац. исследов. политехн. ун-та. – 2019. – C. 244–248.