Научная статья на тему 'АЛГОРИТМ ОПРЕДЕЛЕНИЯ АКТУАЛЬНОСТИ УГРОЗ НАРУШЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА'

АЛГОРИТМ ОПРЕДЕЛЕНИЯ АКТУАЛЬНОСТИ УГРОЗ НАРУШЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
69
24
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ СИСТЕМА / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / УЩЕРБ / УГРОЗА / РИСК / НЕЧЕТКАЯ ЛОГИКА / ДОСТУПНОСТЬ / БИЗНЕС-ПРОЦЕСС

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Оладько В. С.

Статья посвящена проблемам, связанным с управлением и обеспечением непрерывности бизнеса на предприятии. Рассмотрено влияние инцидентов информационной безопасности и катастроф на устойчивость функционирования информационной инфраструктуры предприятия, доступность данных и непрерывность бизнес-процессов. Показана актуальность управления непрерывностью деятельности. Обоснована необходимость оценки актуальности угроз и рисков в процессе управления непрерывностью деятельности. На основе методики оценки актуальности угроз безопасности персональным данным и методики оценки рисков нарушения информационной безопасности в банковских системах предложен модифицированный алгоритм определения актуальности угроз нарушения непрерывности деятельности предприятия.The article deals with the problems associated with managing business continuity across the enterprise. The impact of information security incidents and accidents on the sustainability of enterprise information infrastructure, data availability and business continuity reviewed. Levels of management information system of the enterprise allocated. The most critical elements of business continuity in the information infrastructure identified. The need to assess the relevance of threats and risks in the management of business continuity is justified. On the basis of methodologies for assessing the relevance of security threats personal data and methodologies for assessing the risks of violation of information security in the banking system will offer a modified algorithm for determining the relevance of threats discontinuity of the enterprise.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «АЛГОРИТМ ОПРЕДЕЛЕНИЯ АКТУАЛЬНОСТИ УГРОЗ НАРУШЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА»

3. Назаров А.Д., Благинин В.А. Электронное правительство России: понятие и сущность [Текст]. - Экономика и социум. 2015. № 2-1 (15). С. 615-619.

4. Назаров Д.М., Фесенко Я.Д., Назаров А.Д., Технология интеллектуального анализа лояльности (на примере абитуриента вуза) [Текст]. - BI-технологии в оптимизации бизнес-процессов Материалы международной научно-практической очно-заочной конференции "BI-технологии в оптимизации бизнес-процессов". 2013. С. 35-37.

Оладько В.С., к.техн.н. преподаватель

Финансовый университет при Правительстве РФ

Россия, г. Москва АЛГОРИТМ ОПРЕДЕЛЕНИЯ АКТУАЛЬНОСТИ УГРОЗ НАРУШЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА

Статья посвящена проблемам, связанным с управлением и обеспечением непрерывности бизнеса на предприятии. Рассмотрено влияние инцидентов информационной безопасности и катастроф на устойчивость функционирования информационной инфраструктуры предприятия, доступность данных и непрерывность бизнес-процессов. Показана актуальность управления непрерывностью деятельности. Обоснована необходимость оценки актуальности угроз и рисков в процессе управления непрерывностью деятельности. На основе методики оценки актуальности угроз безопасности персональным данным и методики оценки рисков нарушения информационной безопасности в банковских системах предложен модифицированный алгоритм определения актуальности угроз нарушения непрерывности деятельности предприятия.

Ключевые слова: информационная система, информационная безопасность, ущерб, угроза, риск, нечеткая логика, доступность, бизнес-процесс.

THE ALGORITHM TO DETERMINE THE ACTUAL THREATS TO

BUSINESS CONTINUITY

The article deals with the problems associated with managing business continuity across the enterprise. The impact of information security incidents and accidents on the sustainability of enterprise information infrastructure, data availability and business continuity reviewed. Levels of management information system of the enterprise allocated. The most critical elements of business continuity in the information infrastructure identified. The need to assess the relevance of threats and risks in the management of business continuity is justified. On the basis of methodologies for assessing the relevance of security threats personal data and methodologies for assessing the risks of violation of information security in the banking system will offer a modified algorithm for determining the relevance of threats discontinuity of the enterprise.

Keywords: information system, information security, damage, threat, risk, fuzzy logic, availability, business process.

В настоящее время информационные технологии используются практически в любых предприятиях задействованных в разных отраслях экономики. По официальным данным статистики [1] в 2014 году более 93,8% организаций и предприятий использовали персональные компьютеры и 67,2% локальные вычислительные сети с доступом в интернет. При таком активном использовании информационных технологий инциденты безопасности, прерывания работы, сбои и отказы программного-аппаратного обеспечения, а также аварии в системах поддерживающей инфраструктуры неизбежны. В результате данных инцидентов часто нарушается непрерывность функционирования информационных систем (ИС) предприятий, и как следствие непрерывность деятельности и бизнес-процессов предприятия, что по данным исследования Техасского университета (США) приводит к потере 25% ежедневного дохода компании, а 43% случаев к полному прекращению деятельности.

Анализ литературных источников [2,3] показывает, что процесс функционирования ИС регламентируется, обеспечивается и управляется на четырех уровнях:

- аппаратный уровень включает технические средства и аппаратное обеспечение, наиболее критичными для непрерывности деятельности являются такие элементы аппаратной части как сервера и сетевое оборудование;

- программный уровень включает драйвера, системное и прикладное программное обеспечение ИС, ошибки, сбои и отказы на данном уровне могут привести к нарушению целостности и доступности обрабатываемых данных, потери при передачи и уничтожении при хранении;

— правовой уровень включает нормативно-методические документы, стандарты и руководящие документы регуляторов;

— организационный уровень включает персонал, должностные инструкции пользователей, информационные и бизнес-процессы в которые они вовлечены, а также планы и политики организации собственника ИС, в соответствии с которыми должна быть организована работа и обеспечена непрерывность функционирования ИС.

На каждом из перечисленных уровней возможны воздействия, как случайного характера, так и возникшие в результате деятельности злоумышленника последствием которых может стать нарушение непрерывности деятельности и возникновения ряда экономических рисков. Поэтому одним из подходов к обеспечению непрерывности бизнеса и безопасности данных и информационной инфраструктуры предприятия является применение процедур управления непрерывностью деятельности. В соответствии с ГОСТ Р 53647.1-2009 [4] одной из базовых задач управления

непрерывностью деятельности является идентификация актуальных угроз и оценка риска. Однако, в данном стандарте нет жестких требований или формализации процедур оценки рисков и актуальности угроз. Поэтому целью данной роботы является разработка алгоритма определения актуальности угроз нарушения непрерывности деятельности, который мог бы использоваться на практике в процессе управления непрерывностью бизнеса. При оценке защищенности системы или/и при проектировании системы защиты информации первым шагом при управлении непрерывностью бизнеса является определение перечня потенциальных угроз, которые могут привести к порыванию деятельности и нарушению доступности данных, подсистем и сервисов ИС. Как правило, при формировании списка потенциальных угроз используются статистические данные о:

- инцидентах информационной безопасности, зафиксированных на предприятии в течение некоторого периода (года, полугода, месяца и т.п.);

- природных и техногенных катастрофах, и вероятности их возникновения в регионе, где расположено предприятие и его информационная инфраструктура;

- террористической активности в данном регионе.

На основании этих данных формируется расширенный список возможных угроз, который затем будет анализироваться, обрабатываться и сокращаться. Поскольку в соответствии с [5], экономически невыгодно строить систему защиты абсолютно от всех угроз, это связано с тем, что в такой ситуации защита может стоить больше чем защищаемая информации и величина риска от нарушения непрерывности деятельности.

После составления списка потенциальных для предприятия угроз, влекущих за собой нарушение непрерывности функционирования, необходимо оценить тяжесть их последствий для конкретных бизнес-процессов предприятия. В соответствии с [5 - 7] для оценки тяжести последствий от угроз применяются количественные и качественные подходы, основанные на оценке величины ущерба, риска или частоты возникновения угроз. А на основании ранжирования полученной оценки опасности потенциальных угроз составить список актуальных угроз, защиту от которых и нужно реализовать в рамках управления непрерывностью деятельности. В качестве критериев ранжирования опасности угроз, в соответствии с [8-10], можно использовать значение риска, размер ущерба, уровень защищенности, коэффициента разрушительности угрозы и т.п.

В данной работе для оценки актуальности угроз автором предлагается модифицированный алгоритм, основанный на документах «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 и РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».

Алгоритм определения актуальных угроз можно представить в виде следующей последовательности шагов (см. рис. 1.).

Шаг 1. Начало работы. Выбор оператором из списка угроз, множества потенциальных для предприятия угроз нарушения непрерывности

Т е {Т},] = \...ш

деятельности. Каждая потенциальная угроза

) к , где т -

Т] = {РТ1, ЯТ:, } РТ!

V'

- }'■

}

отобранное число угроз, характеризуется кортежем

- вероятность реализации у угрозы, : - коэффициент реализуемости у ЭТ:

угрозы, : - показатель опасности для у угрозы.

Шаг 2. Ввод вероятностей реализации угроз безопасности. Вероятность реализации угрозы - РТ, определяется экспертным путем, и характеризует, насколько вероятным является реализация конкретной угрозы непрерывности деятельности для данного предприятия складывающихся условиях обстановки. Описывается множеством базовых значений РТУ = {маловероятно, низкая вероятность, средняя вероятность, высокая вероятность}={0, 2, 5, 10}.

Рис.1. Блок-схема алгоритма определения актуальных угроз нарушения непрерывности бизнеса

Шаг 3. Расчет коэффициентов реализуемости угроз по формуле 1, на основе данных полученных на шаге 2.

ИР + РТ;

ЯТ; =--,

20 (1)

Где ILP - уровень исходной защищенности в ИС, зависит от технических и эксплуатационных характеристик, описывается множеством базовых значений ILP={высокий, средний, низкий}={^11, Y12, Y13}={0, 5, 10}. RT - реализуемость угрозы, описывается множеством базовых значений RTY= {низкая, средняя, высокая, очень высокая}=^31, Y32, Y33, Y34}, перевод значений, полученных при расчете формулой 1, из количественной шкалы в качественную осуществляется по формуле 2.

Если 0 < ЯТ < 0.3, ЯТ-=У31 Если 0.3<ЯТ < 0.6, ЯТ;=У32 Если 0.6<ЯТ < 0.8, ЯТ-=У33 Если 0.8<ЯТ, ЯТ.=У34

(2)

Шаг показателя

4. Ввод опасности

угрозы - DT, формируется экспертным путем, характеризуется множеством базовых значений DTY={низкая, средняя, высокая} = ^41, Y42, Y43}.

Шаг 5. Определение множества актуальных угроз {АТ} — {Т}. Каждая

актуальная угроза АТк е{АТ}1 ^ _ 1 ' ^ < т, где d - число актуальных угроз, отбирается по правилу, описанному системой нечетких высказываний Ь1:

Еу - высказывание вида: <R Tесть Y3i и DT есть Y4j> А - высказывание вида: <{AT}={AT}+Ti> (<Лвключается в {AT}>) Шаг 6. Для каждой актуальной угрозы производится расчет риска. Оценка риска производится в количественной форме на основе количественных оценок:

- Р - стоимость информации, бизнес-процессов в ИС предприятия выраженная в количественной денежной форме, вводится непосредственно оператором и определяется экспертным путем;

- RT - коэффициент реализуемости угрозы, выраженный в количественной форме, рассчитанный на шаге 3 по формуле 1.

Риск рассчитывается по следующему правилу, описанному формулой (3):

0, если RTj < 0.3

[0.01P ;0.2P], если 0.3 < RT < 0.6 Risk (T:) = f J' J

: [0.21P ;0.5P], если 0.6<RT < 0.8

[0.51P ;P], если RT > 0.8

Полученная оценка риска реализации каждой актуальной угрозы учитывается при выборе стратегии обеспечения непрерывности бизнеса на предприятии и применении специализированных средств защиты и восстановления. К подобным средствам можно отнести механизмы повышения надежности компонентов информационной инфраструктуры [8], средства резервного копирования и восстановления данных, территориально удаленные площадки и центры обработки данных, облачные технологии и технологии виртуализации [11].

Разработанный алгоритм может быть автоматизирован и использоваться в процессе управления непрерывность бизнеса на предприятии.

Использованные источники:

1. Мониторинг развития информационного общества в Российской Федерации//Федеральная служба государственной статистики. [Электронный ресурс]. - Режим доступа: URL: http://www.gks.ru/wps/wcm/connect/rosstat main/rosstat/ru/statistics/science and

innovations/it technology/ (дата обращения 08.12.2015).

2. Максимов Д.Н. Формирование модели управления бизнес-процессами предприятия легкой промышленности на основе информационных технологий //Экономика и социум. 2015. №2(15). [Электронный ресурс]. -Режим доступа: URL: http://www.iupr.ru/domains data/files/zurnal 15/Maksimov%20D.N.%20%28inf ormacionnye%20i%20kommunikativnye%20tehnologii%29.pdf (дата обращения 08.12.2015).

3. Багров Е.В. Мониторинг и аудит информационной безопасности на предприятии// Вестник ВолГУ. - 2011. - Серия 10. Вып. 5. - С. 54 - 56.

4. ГОСТ Р 53647.1-2009. Национальный стандарт Российской Федерации «Менеджмент непрерывности бизнеса. Часть1. Практическое руководство».// Электронный фонд правовой и нормативно-технической документации. [Электронный ресурс]. - Режим доступа: URL: http://docs.cntd.ru/document/gost-r-53647-1-2009 (дата обращения 08.12.2015).

5. Жаринова С.С., Бабенко А.А. Оптимизация инвестиций в информационную безопасность предприятия// Информационные системы и технологии. - 2014. - №3(83). - С.114 - 123.

6. Аткина В.С., Воробев А.Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов//Информационные системы и технологии. - 2015. -

№1(87). - С.125 - 131.

7. Миков Д.А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной безопасности//Вопросы кибербезопасности.

- 2014. - №4(7). - С.49-54.

8. Морозов И.Н., Пророков А.Е., Богатиков В.Н. Рискоустойчивое управление надежностью информационных систем//Труды Кольского научного центра РАН. - 2011. - №7. - С.71-80.

9. Whitman, M.E., & Mattord, H.J. Management of Information Security (Fourth Edition). Cencage Leammgю - 2014. Р. 566.

10.Landoll, D.J. The security risk assessment handbook (Second Edition). Boca Raton, BC: CRC Press. -2011 - Р. 474.

11.Молчанов А.Н., Белов Ю.С. Обзор технологий распределённых вычислительных систем. Электронный журнал: наука, техника и образование.

- 2015. - №3. [Электронный ресурс]. - Режим доступа: URL: http://nto-iournal.ru/uploads/articles/fb7b27e13fc71299262c37364f7065c0.pdf (дата обращения 14.03.2016).

Силаев К.О. магистрант 1 курса факультет «Вычислительные системы»

Силаева А.Н. магистрант 2 курса факультет «Вычислительные системы» Томский государственный университет систем управления и

радиоэлектроники (ТУСУР) Россия, г. Томск МЕТОДЫ ДЛЯ АНАЛИЗА КРИВЫХ ПАДЕНИЯ ДОБЫЧИ, ПРИМЕНЯЕМЫЕ В ТОПЛИВНО-ЭНЕРГЕТИЧЕСКОЙ СФЕРЕ В статье рассматриваются существующие методы анализа добычи нефти, такие как метод Арпса, Фетковича, Картера и Палацио -Блэсингейма. Осуществляется выбор метода для создания встраиваемого программного модуля. С помощью созданного модуля проводится прогноз темпов снижения добычи нефти и газа на основе реальных производственных данных.

Ключевые слова: скважина, кривая падения, дебит, экспоненциальное падение, гармоническое падение, гиперболическое падение.

METHODS FOR ANALYSIS OF DECLINE CURVES USED IN FUEL AND ENERGY SPHERE

The article discusses the existing methods of analysis of oil production, such as a method of Arps, Fetkovich, Carter and Palacio - Blesingeym. Selects the method for creating embedded software module. By creating a module carried out a forecast rate of decline of oil and gas on the basis of actual production data.

i Надоели баннеры? Вы всегда можете отключить рекламу.