CC BY
97Естественные и технические науки
AXBOROT XAVFSIZLIGIXAVFLARINI BAHOLASHNING MIQDORIY USULLARINI TAHLIL QILISH
R.X. Djurayev1, Sh.Yu. Djabbarov2, O.A. Xasanov3
Ushbu maqolada telekommunikatsiya tarmoqlarining axborot xavfsizligini baholashning yondashuvlari va tamoyillari muhokama qilingan. Axborot xavfsizligi xavflarini miqdoriy baholash usullari keltirilgan. Miqdoriy axborot xavfsizligiga zamonaviy uslubiy yondashuvlar keltirilgan. Axborot xavfsizligi xavflarini baholashning miqdoriy usullarini tahlil qilish amalga oshirilgan.
Kalitso'zlar: axborot xavfsizligi, xavf, tahdid, faktor (omil), zaiflik, investitsiya, resurs.
Telekommunikatsiya tarmoqlarining axborot xavfsizligi (AX) xavflarini tahlil qilish deganda AXni ta'minlash xarajatlarini baholash bilan bog'liq qarorlar qabul qilish uchun zarur bo'lgan AXga potentsial tahdidlarni aniqlash va tahlil qilishni o'z ichiga olgan ma'lumotlarni olish jarayoni tushuniladi.
AX xavfi telekommunikatsiya operatorining tajovuzkor tomonidan AX tahdidini amalga oshirishi natijasida olingan ehtimollik va kattalik qiymatlarini o'z ichiga oladi.
Xavflarni baholash qaysi resurslar va qanday tahdidlardan himoya qilinishi kerakligini, shuningdek, ma'lum resurslarni qay darajada himoya qilish kerakligini aniqlash bo'yicha faoliyatni o'z ichiga oladi. Xavf ehtimoli va xavfsizlikka tahdid yuzaga kelgan taqdirda etkazilgan yo'qotishlar miqdori bilan belgilanadi, xavfni baholash mavjud xavflarni aniqlash va ularning hajmini baholashdan iborat.
Hozirgi vaqtda telekommunikatsiya tarmog'ining AXni baholashning ikkita asosiy yondashuvi keng tarqalgan:
- AXni baholashning sifatli usuli telekommunikatsiya tarmog'ining xavfsizlik darajasining AX sohasidagi standartlar yoki standartlardan birining qat'iy belgilangan talablariga muvofiqligini tekshirishga asoslangan;
- AXni baholashning miqdoriy usuli AXning raqamli xususiyatlarini aniqlashga asoslangan.
Telekommunikatsiya tarmoqlarining AXni baholashning muhim yo'nalishlaridan biri bu telekommunikatsiya texnologiyalari AXning raqamli tavsiflarini (miqdoriy mezonlarni) aniqlashga asoslangan yo'nalishdir. Xatarlarni miqdoriy baholash metodologiyasi AX tahdidlariga duchor bo'lgan taqdirda mumkin bo'lgan yo'qotishlarning aniq raqamlarini taqdim etadi. Ma'lumki, AX sohasidagi faoliyatning asosiy maqsadi axborot texnologiyalaridan foydalanish bilan bog'liq xavflarni iqtisodiy jihatdan ma'lum darajada kamaytirishdir.
Miqdoriy usul sezilarli darajada ko'proq vaqt talab qiladi, chunki har bir xavf omili (faktori)ga ma'lum bir qiymat beriladi, bu amalga oshirilgan resurslar va ob'ektlarning tahlili bo'yicha to'liq ma'lumot beradi.
Rasmiy usul himoyaning butun telekommunikatsiya tarmog'ini qamrab olishini va quyidagilarga ishonch borligini ta'minlaydi:
- barcha mumkin bo'lgan xavflar aniqlangan;
- resurslarning zaif tomonlari aniqlanadi va ularning darajasi baholanadi;
- tahdidlar aniqlanadi va ularning darajasi baholanadi;
- samarali qarshi choralar ko'riladi;
- telekommunikatsiya tarmog'ining AXni ta'minlash bilan bog'liq xarajatlar o'zini oqlaydi.
iR.X. Djurayev, TATU, MUT va T kafedrasi dotsenti.
2Sh.Yu. Djabbarov, TATU, MUT va T kafedrasi dotsenti.
3O.A. Xasanov, TATU, MUT va T kafedrasi assistenti.
Xalqaro amaliyot shuni ko'rsatadiki, xavfni miqdoriy baholash metodologiyasi xavf tahlilining to'liq versiyasiga mos keladi, ya'ni to'liq versiya va xavfni miqdoriy baholash AXga talablar kuchaygan taqdirda qo'llaniladi. Asosiy versiyadan farqli o'laroq, resurslar, xavf va zaifliklarning xususiyatlari u yoki bu shaklda baholanadi va qoida tariqasida, bir nechta himoya variantlarining xarajat / samaradorlik nisbati tahlili amalga oshiriladi.
Shunday qilib, to'liq xavf tahlilini o'tkazishda quyidagilar zarur bo'ladi:
- resurslarning qiymatini aniqlash;
- standart to'plamga o'rganilayotgan axborot tizimiga tegishli bo'lgan tahdidlar ro'yxatini qo'shish;
- tahdidlar ehtimolini baholash;
- resurslarning zaifligini aniqlash;
- AXning zarur darajasini ta'minlovchi yechimni taklif qilish.
Xatarlarni miqdoriy baholash uchun yo'qotishlar chastotasini va narxini (yo'qotishlar miqdorini taqsimlash) axborot resurslari narxiga qarab baholash kerak. Xavf hajmini baholashda nafaqat uskunani almashtirish yoki ma'lumotni tiklash bilan bog'liq to'g'ridan-to'g'ri xarajatlarni, balki telekommunikatsiya tarmoqlarining normal ishlashini to'xtatish natijasida kelib chiqadigan yo'qotishlar miqdorini ham hisobga olish kerak.
AX xavfini baholashning klassik miqdoriy algoritmiga ko'ra, kutilayotgan yo'qotishlar quyidagicha aniqlanadi [1]:
Axborot aktivi * Ta'sirga uchrash omili * Yillik sodir bo'lish chastotasi = = Kutilayotgan yillik yo'qotishlar
bu yerda: axborot aktivi (Asset Value - AV) - apparat va dasturiy ta'minot, to'plangan va qayta ishlangan ma'lumotlar to'plami. Axborot aktivlari ularni ishlab chiqish, litsenziyalash, saqlash va almashtirish xarajatlarini baholash yo'li bilan o'lchanishi mumkin;
Ta'sirga uchrash omili ^Exposure Factor - EF) - amalga oshirilgan tahdid muayyan aktivga olib kelishi mumkin bo'lgan yo'qotish foizi (muayyan tahdid ma'lum bir zaiflik bilan mos kelganda);
Kutilayotgan yagona yo'qotish (Single Loss Expectancy - SLE) Xavf pul birliklarida hisoblanadi. Har qanday tahdid uchun unga duchor bo'lgan aktivning qiymati olinadi va uni ta'sir qilish omiliga ko'paytiriladi. Oraliq natijada tahdidni amalga oshirishda kutilayotgan yo'qotish olinadi, bu yagona yo'qotishni kutish deb ataladi;
SLE = EF * AV (1)
Yillik sodir bo'lish chastotasi (Annual Rate of Occurrence, ARO) - muayyan aktivga nisbatan tahdid ko'rinishlarining kutilayotgan soni: tahdid bilan bog'liq xavf qanchalik katta bo'lsa, uning qiymati shunchalik yuqori bo'ladi;
Kutilayotgan yillik yo'qotishlar (Annual Loss Expectancy - ALE). Natijada, quyidagi formuladan foydalanib, bir yil davomida aktivning kutilayotgan moliyaviy yo'qotishlarini aniq bir tahdiddan hisoblash mumkin:
ALE = SLE * ARO. (2)
Shunday qilib, xavflarni boshqarish uchun ishonib topshirilgan mutaxassislar tomonidan muvaffaqiyatli qo'llanilishi mumkin bo'lgan miqdoriy xavflarni baholash uchun formulalardan foydalanishni osonlashtirish mumkin.
AXni ta'minlashda xavflarni baholashni amaliy amalga oshirishdagi asosiy qiyinchilik xavfni miqdoriy baholash uchun zarur bo'lgan dastlabki ma'lumotlarni olishdir. Natijada, tahdidlarning namoyon bo'lishi va ularning oqibatlari darajasi to'g'risidagi ma'lumotlarni to'plash va qayta ishlashning ma'lum tizimini yaratish vazifasi, shuningdek, ushbu ma'lumotlarni qayta ishlash va birlashtirish bo'yicha tashkiliy-uslubiy hujjatlarni ishlab chiqish vazifasi paydo bo'ladi. Kerakli ma'lumotlarni turli manbalardan olish mumkin: test va sertifikatlash natijalari, ma'lumotlar bazalari, mutaxassislarning fikrlari, ekspertlar va boshqalar.
Yuqorida aytib o'tilganidek, xavflarni baholashning miqdoriy usulidan foydalanganda, tahdidlar ta'sirining kuchi va ularning paydo bo'lish ehtimoli uchun raqamli qiymatlarni belgilash kerak. Xavfning bor yoki yo'qligini aniqlash uchun statistik modeldan foydalangan holda xavf miqdorini aniqlash kerak.
1.1-rasmda ta'sirlar o'rtasidagi bog'liqlik, hodisalar ehtimolining chastotasi va xavfni qabul qilish chegaralari ko'rsatilgan. A hodisasining yuzaga kelish xavfi kichik va maqbul chegaralarda, shuning uchun uni qabul qilish mumkin. C hodisasining yuzaga kelish xavfi maqbul chegaradan yuqori, bu juda katta oqibatlarga olib kelishi mumkin, shuning uchun uni qabul qilib bo'lmaydi, buning natijasida tahdidlarni amalga oshirish oqibatlari va / yoki ularning paydo bo'lish ehtimoli kamayadi. Qabul qilinadigan chegaralar orasidagi hududda joylashgan B holatining xavfi to'g'risida qaror qabul qilish qiyin.
Hodisa ehtimolini yuzaga kelish chastotasi
1.1-rasm - Xavflarni baholash
Xalqaro amaliyot shuni ko'rsatadiki, bugungi kunda telekommunikatsiya tarmoqlarining AX xavfini miqdoriy baholash usullari mavjud emas. Ammo xavfni miqdoriy baholash usullari uzoq vaqtdan beri boshqa sohalarda, masalan, bank tizimlari, sug'urta, axborot texnologiyalari va boshqalarda qo'llanilgan.
AX xavflarini baholashning miqdoriy usullaridan foydalanganda, tahlilchilar hisoblash uchun zarur bo'lgan miqdorlarni to'g'ri baholash muammosiga duch kelishadi.
Xavfning qiymati har qanday turdagi shkalalar yordamida yoki to'g'ridan-to'g'ri ma'lum bir davrdagi xavfning ma'lum bir turi bilan bog'liq bo'lgan pul ko'rinishidagi hisoblangan yo'qotishlar miqdori bilan ifodalanishi mumkin.
Kamdan-kam hollarda AT xavflarini baholovchilar ushbu muammoni hech qanday xato va muammosiz hal qilish uchun ishonchli ma'lumotlarga ega bo'ladilar.
Bundan tashqari, tashkilotning ba'zi qimmatli resurslari uchun yo'qotishlar miqdorini aniq aniqlash qiyin. Bu, masalan, maxfiy ma'lumotlarning tarqalishiga tegishli. Ushbu qiymatni aniqlash uchun turli xil biznes jarayonlarini to'g'ri amalga oshirish uchun ma'lumotlarning dolzarbligi va ularning tashkiliy bo'linma va natijada butun tashkilot faoliyati uchun ahamiyati aniqlanishi kerak. AT xavflarini baholash uchun foydalaniladigan asosiy munosabatlar quyidagicha ko'rsatilgan:
R = P-W va P = F ■ V (3)
bu yerda: R - tavakkalchilik miqdori;
P - ma'lum bir davr uchun hodisalarning ehtimoliy yoki prognoz qilingan soni, buning natijasida tashkilot ma'lum yo'qotishlarga duchor bo'ladi;
W - yo'qotishlar miqdori - bitta voqea sodir bo'lgan taqdirda aktivlarning o'rtacha yo'qotilishini prognozlash;
F - tahdidning paydo bo'lish chastotasi;
V - axborot tizimining (yoki uning elementlarining) tahdidga zaifligi, bu mavjud zaiflik orqali tahdidning amalga oshishi ehtimoli.
Buning sababi shundaki, AT xavflarini baholash ko'pincha kutilgan yo'qotishning kattaligi sifatida taqdim etiladi, bu uchta asosiy qiymatdan foydalangan holda aniqlanadi:
- tashkilotning to'g'ri ishlashi uchun resursning qiymati (masalan, ma'lumot), pul bilan belgilanadi;
- resurslarga tahdidlarning paydo bo'lish chastotasi (masalan, qayta ishlangan ma'lumotlar uchun), bu ma'lum bir davr ichida sodir bo'lgan hodisalar soni sifatida aniqlanadi (amalda, bir yil davri eng ko'p qo'llaniladi);
- axborot tizimining (yoki uning elementlarining) tahdidga zaifligi, bu hodisa natijasida yo'qotishning ehtimoliy miqdori sifatida aniqlanadi.
Xavflarni miqdoriy baholashning eng keng tarqalgan va eng ko'p qo'llaniladigan usuli bu ALE (Annual Loss Expected) - kutilayotgan yillik yo'qotishlar usuli. Kutilayotgan yillik yo'qotishning kattaligi AT ga salbiy ta'sir ko'rsatadigan voqea ehtimoli va kutilayotgan yo'qotishning kattaligi natijasidir. U quyidagi modellar ko'rinishida taqdim etilgan:
ALE = (hodisa ehtimoli) * (yo'qotish miqdori) (4)
ALE = £ IO ) F ,
(5)
¿=i
bu yerda: (O1, O2,..., On) - hodisalarning salbiy oqibatlari majmui; I (Oi) - hodisa natijasida zarar miqdori; Fi - hodisa chastotasi.
Tashkilot uchun kutilayotgan yillik yo'qotishlar barcha kutilayotgan yillik yo'qotishlar yig'indisiga teng bo'ladi. Yuqoridagi usulga asoslangan boshqa ko'plab AT xavflarini baholash modellari ham mavjud. Ular muayyan tashkilotning o'ziga xos ehtiyojlari va holatlariga moslashtirilgan. Ushbu usullar orasida Robert Kortni (Robert Courtney) tomonidan ishlab chiqilgan Kortni usulini ajratib ko'rsatish mumkin, bu ALE usuliga o'xshab, voqea bilan bog'liq yo'qotishlar miqdori natijasida yuzaga kelishi mumkin bo'lgan yo'qotishlarni baholashga va ehtimollikni aniqlaydigan ko'rsatkichga asoslangan. Kortni xavfini baholash kontseptsiyasi quyidagi formulaga asoslanadi:
R = P -C, (6)
bu erda: P - tashkilot uchun yo'qotishlarning sabablari bo'lgan ma'lum bir yillik hodisalarning sodir bo'lish ehtimoli;
C - bitta hodisa natijasida ma'lum bir tashkilot uchun yo'qotishlar.
10/+i-3
ALE =10--(7)
3
bu yerda: f - yo'qotishlarga olib keladigan hodisalarning ma'lum chastotasini belgilaydigan indeks;
i - tegishli hodisa natijasida etkazilgan zarar darajasini belgilovchi indeks. Kortni usuli tahdidlarning 5-ta umumiy guruhini ajratadi, xususan:
- tasodifiy ma'lumotlar ma'lumotlarning tasodifiy o'zgarishini aniqlash imkonini beradi;
- ma'lumotlarning tasodifiy o'chirilishi;
- ma'lumotlarni qasddan oshkor qilish;
- ma'lumotlarni ataylab o'zgartirish;
- ma'lumotlarni ataylab yo'q qilish.
Ushbu usul AQSh milliy institutlari tomonidan xavflarni rasmiy tahlil qilish usuli sifatida qabul qilingan.
1.1-jadvalda ALE usuliga asoslangan bir nechta olingan xavfni baholash ko'rsatkichlarini aniqlash usullari keltirilgan.
1.1-jadval
Faktor (omil) Simvol Qiymatni aniqlash usuli
Kutilayotgan yillik yo'qotishlar ALE n ALE = £ I (Oi) Ft i=1
ALE yordamida tejashni kamaytirish S S = ALE (asosiy daraja) - ALE (yangi himoya bilan)
Afzalliklari B B = S + yangi xavflardan foyda
Investitsiya daromadi ROI b ROI = — , bu erda: C - ximoya xarajatlari
Axborot xavfsizligiga investitsiyalarning daromadliligi ROSI (RE x % RM ) - SC SC bu erda: RE - xavfga chalinish ta'siri; RM - xavfni minimallashtirish; SC - axborot xavfsizligi xarajatlari.
Ichki daromad darajasi IRR q VAt -Ct 0 1 (1 + IRR) ' bu erda: C0 - boshlang'ich investitsiya qiymati; Ct - t yilda investitsiya xarajatlari.
Axborot tizimi xavflarini boshqarish jarayonining ketma-ket bosqichlarini keltiramiz [2]:
- 1-bosqich - axborotni yig'ish (axborot tizimi resurslarini aniqlash va tasniflash, keyingi tahlil qilinishi kerak bo'lgan axborot tizimi resurslari to'g'risidagi ma'lumotlarni yig'ish);
- 2 bosqich - Fisher nazoratining 11 punktida tahdidlarni identifikatsiyalash (Kurtni usuli bo'yicha tahdidlarni oldindan aytib o'tilgan 5-ta tahdid guruhiga tasniflash jarayoni), masalan: sotib olish, uzatish, shaklni o'zgartirish, ma'lumotlarni o'zgartirish, ma'lumotlarni qabul qilish, qayta ishlash, ko'chirish, o'chirish, ma'lumotlardan foydalanish va hk.;
- 3-bosqich - xavfni baholash; xavf darajasi (8) formula bo'yicha Kortni usuli bilan aniqlanadi;
R _ T i p _ 1
Nn in m in m in
Rmax Tmax ^ Pmax 25 (8)
- 4-bosqich - boshqaruv mexanizmlarini ishlab chiqish (natijada har bir aniqlangan xavf uchun tegishli boshqaruv mexanizmi tanlanishi kerak: oldini oluvchi, topuvchi yoki tuzatuvchi);
- 5-bosqich - yuqorida aytib o'tilgan ROI (Return on Investment -investitsiyalar rentabelligi) ko'rsatkichidan foydalangan holda ma'lum mexanizmlarni biznesni baholash mexanizmining iqtisodiy rentabelligini baholash, quyidagi formula bilan ifodalanadi:
ROI=Muayyan davr uchun operatsion foyda /Investitsion kapital qiymati (9)
Muayyan nazorat mexanizmlari uchun ushbu usul bilan aniqlangan xavf miqdori operatsion foyda sifatida talqin qilinadi va nazorat mexanizmining taxminiy qiymati qo'yilgan kapital miqdori sifatida ko'rib chiqiladi.
Keyingi usulni ko'rib chiqamiz - AX xavfini tahlil qilish usuli (ISRAM - Information Security Risk Analysis Method). ISRAM usuli yuqorida tavsiflangan ALE usuliga asoslanadi va asosiy vosita sifatida anketa so'rovidan foydalanadi. AT xavflarini baholash quyidagi formula bo'yicha amalga oshiriladi:
Xavf =
IT
I w Pi
m
I T 2
I wj P J
(10)
n
m
*
n
by yerda: i - hodisalar ehtimolini baholash bo'yicha anketa savolining raqami;
j - ta'sirni baholashga oid so'rovnomadagi savollar soni;
m, n - so'rovda qatnashganlar soni;
wi, wj - "i" va "j" savollarining og'irliklari;
pi, pj - tanlangan "i" va "j" javoblariga mos keladigan qiymatlar;
T1 - hodisalarning yuzaga kelish ehtimoli jadvali;
T2 - sodir bo'lgan hodisalarning salbiy natijalari jadvali.
AX xavfini miqdoriy baholash uchun yuqorida ko'rib chiqilgan usullardan tashqari, boshqa usullar ham mavjud [3]. Ulardan ba'zilarini ko'rib chiqamiz.
Monte-Karlo usuli stoxastik (tasodifiy) jarayonning ko'p sonli realizatsiyalarini olishga asoslangan bo'lib, uning ehtimollik xarakteristikalari echilayotgan muammoning xususiyatlariga to'g'ri keladigan tarzda shakllanadi.
Monte-Karlo usuli bo'yicha stoxastik taqsimlash funktsiyasi yordamida olingan muammoning echilishi natijasini aniqlash uchun xavflar simulyatsiya qilinadi. Bu stoxastik taqsimotdan qiymatning o'zboshimchalik bilan tanlanishini kafolatlaydi (ruletka g'ildiragining aylanishiga o'xshash bo'lib, unda har bir keyingi nomli raqam ixtiyoriy tanlanadi). Shunday qilib, ishonchli baholash uchun zarur bo'lgan ehtimollik taqsimotidan qayta namuna olish foydalanuvchiga bir nechta boshqa mumkin bo'lgan natijalar namunasini ko'rish imkonini beradi. Ushbu usul odatda sug'urta kompaniyalari tomonidan mulkni baholashda va hokazolarda qo'llaniladi.
Monte-Karlo usulini qo'llashda quyidagi harakatlar amalga oshiriladi [4]:
- maqsadga erishish ehtimolini aniqlash;
- butun loyiha darajasida xavfning miqdoriy bahosini va zarur qo'shimcha xarajatlarni aniqlash;
- xavfning ustuvor darajalarini, ularning butun loyiha darajasida xavf indeksiga qo'shgan hissasini miqdoriy baholash orqali aniqlash;
- xarajatlar smetasi va harakatlar rejasiga kichik real o'zgartirishlar kiritish.
Noravshan kompleks baholash (Fuzzy Comprehensive Evaluation- FCE) usulida
noravshan munosabatlar nazariyasi va miqdoriy tahlil uchun zarur bo'lgan ba'zi qiyin olingan miqdoriy omillar kombinatsiyasidan foydalaniladi; bu usul bir darajali yoki ko'p darajali bo'lishi mumkin. Elektron tijorat tizimi kabi murakkab tizim uchun noravshan kompleks baholashning ko'p darajali usuli ko'rib chiqildi.
Ko'p darajali FCE usulidan foydalanganda quyidagi bosqichlar bajariladi:
- 1-bosqich - X predmet sohasi ba'zi atributlarga ko'ra S kichik to'plamlarga bo'linadi va quyidagicha ifodalanadi:
S
X = UXt (11)
i=1
bu erda Xt = x, X, 2,... xip J = 1,2,. ..,S;
i2T ■■ r^ip'. p -Xi dagi omillar soni;
- 2-bosqich - har bir Xi-ni baholash uchun yagona FCE darajasiga o'tish. Agar hisob-kitoblar to plami quyidagicha taqdim etilsaY = {y, y, y,..., ym} u holda Xi vaznini belgilovchi omillar to'plami quyidagicha bo'ladi:
A = (an,a12,a,3,...,a,p ) (12)
Z « = i (13)
r=1
Xi bir omil uchun baholash matritsasi Ri hisoblanadi. Bir omilli baholash modeli quyidagi formula bo'yicha hisoblanishi mumkin:
A ■Ri = Bi (7=1,2,3,..., S); (14)
- 3 bosqich - Bi omil sifatida qaraladigan har bir Xi baholashda yagona omil hisoblanadi; shu tarzda munosabat matritsasi olinishi mumkin:
Bi
R =
B2
B3
Bs
(15)
Xi, X ning bir qismi sifatida bitta atributni ifodalaydi. Og'irlik qiymatiga ko'ra, ularning to'plamini quyidagi formula bo'yicha hisoblash mumkin:
A = («j ,a2 ,a3,..., as) (16)
va keyin FCE modelining ikkinchi darajasini quyidagicha olish mumkin:
A * R = B. (17)
Ushbu jarayonni davom ettirib, uch yoki ko'p darajali modelni olish mumkin.
Tarmoq va axborot tizimidan tashkil topgan elektron tijorat tizimi apparat va dasturiy ta'minot, tashqi va ichki omillarni o'z ichiga olgan murakkab tizimdir. Turli omillarni har tomonlama ko'rib chiqish natijasida olingan xavfni baholash modeli 1.2-rasmda ko'rsatilgan.
Elektron tijorat tizimi uchun ishlatiladigan yuqoridagi FCE modeli quyidagilarni o'z ichiga oladi:
- tasdiqlangan X omillar to'plami.
X = {Xi, X2, X3, X4} ={xavfsizlikni boshqarish, maxfiylikni ta'minlash, xavfsizlik auditi va monitoringi, hodisalarga javob berish va tiklash},
bu erda: Xi = {X11, X12} ={tashkilot, normalar va qoidalar};
X2 = {X21, X22, X23, X24, X25} = {xaker hujumlariga qarshi choralar; virusga qarshi choralar; shifrlash; dasturiy ta'minotni yo'q qilishning oldini olish choralari; serverni zahiralash};
X3 = {X31, X32, X33, X34, X35} = {xavfsizlik auditi; operatsion tizim jurnali; jurnal yuritish; kirishni boshqarish; foydalanuvchi identifikatsiyasi};
X4 = {X41, X42, X43, X44} = {hodisaga javob; tiklash usullari; ma'lumotlarni nusxalash; favqulodda vaziyat rejasi};
- baholashning olingan natijasi Y = {y1, y2, y3, y4, y5} = {juda yuqori xavf,..., juda kichik xavf};
- har bir Xi uchun FCEning birinchi darajasi.
Ekspertlar tomonidan baholanganda Xi uchun baholash matritsasidagi yagona omil; to'plamning og'irligi Ai mutaxassislar tomonidan hisoblab chiqilishi mumkin; m(av) uchun, Bi (i=1, 2,3, 4) birinchi baholash natijasini olish mumkin.
- elektron tijorat uchun ikkinchi darajali FCE:
A to'plamining og'irligi ushbu sohada malakali mutaxassislar tomonidan hisoblanishi mumkin.
B = A
Bi B2
B3 B.
B - baholash natijasining ikkinchi darajasi. Keyingi baho darajalari xuddi shu tarzda hisoblanishi mumkin.
Ushbu elektron tijorat xavflarini tahlil qilish asosan xavflarning turlari va hajmini aniqlaydi. Etarli miqdordagi statistik ko'rsatkichlar yo'qligi sababli klassik matematika yordamida xavfni hisoblash qiyin, shuning uchun noravshan matematika nazariyasi va analitik ierarxiya jarayonidan foydalangan holda FCE asosida elektron tijorat tizimi uchun xavfni baholash modeli taklif qilindi.
Xavflarni boshqarish elektron tijorat uchun xavflarni aniqlash, xavflarni baholash va xavflarni boshqarishni o'z ichiga oladi. Xavflarni baholash uning muhim tarkibiy qismidir. Xavflarni baholash jarayonida xavfning kattaligi aniqlanadi, so'ngra xavfni to'liq bartaraf etish yoki uni maqbul darajaga tushirish uchun nazorat mexanizmlari qo'llaniladi.
Miqdoriy xavfni baholash usulining afzalliklari va kamchiliklari. Xavflarlarni miqdoriy baholash usulidan foydalanish raqamli ma'lumotlardagi xavflarni, ya'ni raqamli ko'rinishda kutilayotgan yo'qotishlarni (turli shkalalar, pul ifodalari) va ushbu yo'qotishlarning ehtimoli yoki chastotasini (masalan, yillik kutilayotgan yo'qotishlar) aniqlash imkonini beradi. Ushbu usullarni qo'llash natijasida xavfni yanada aniqroq baholash olinadi.
Miqdoriy xavfni baholash usulining asosiy afzalliklari quyidagilardan iborat:
- xavflar moliyaviy yo'qotishlar ustuvorligiga muvofiq tartibga solinadi;
- aktivlar moliyaviy qadriyatlarning ustuvorliklariga muvofiq tartibga solinadi;
- xavflarni boshqarish natijalari AXga investitsiyalarni qaytarishga yordam beradi;
- xavfni miqdoriy baholash natijalari boshqaruvning aniq terminologiyasida ifodalanishi mumkin (masalan, pul ko'rinishida. Ehtimollik ma'lum foizda ifodalanadi);
- xavf miqdorini aniqlashning aniqligi vaqt o'tishi bilan ortib boradi, chunki tashkilot tajriba orttirish jarayonida tarixiy ma'lumotlar yozuvlarini yaratadi;
- natijalar ob'ektiv jarayonlarga asoslanadi.
1.2-rasm. Elektron tijorat tizimining AX xavflarini baholash modeli
Miqdoriy xavfni baholash usulining asosiy kamchiliklari quyidagilardan iborat:
- aktivlarni aniqlash va baholashdagi qiyinchiliklar;
- hodisalarning sodir bo'lish chastotasini aniqlash uchun statistik ma'lumotlarning etishmasligi;
- miqdoriy ko'rsatkichlar o'lchovning masshtabiga va aniqligiga bog'liq;
- tahlil natijalari noto'g'ri va hatto chalg'ituvchi bo'lishi mumkin;
- usullar sifat tavsifi bilan to'ldirilishi kerak (sharh, talqin shaklida);
- ushbu usullar yordamida amalga oshirilgan tahlil, qoida tariqasida, katta moliyaviy xarajatlarni, ko'proq tajribali tahlilchilarni va qo'shimcha vositalarni talab qiladi;
- katta miqdordagi statistik ma'lumotlar kerak, masalan, hodisalar, tahdidlarning chastotasi va ehtimoli va boshqalar;
- ushbu usullarni qo'llashning yanada murakkab jarayoni, matematik vositalardan foydalanishning majburiyligidir;
- ishtirokchilarning sub'ektiv fikriga asoslanib, xavflarga tayinlangan qiymatlarning ta'siri;
- ishonchli natijalar va konsensusga erishish jarayoni juda uzoq davom etadi;
- hisoblash murakkab va ko'p vaqt talab qilishi mumkin;
- natijalar faqat pul ko'rinishida taqdim etiladi va ularni izohlash qiyin;
- o'tish qiyin bo'lgan miqdoriy xavfni baholash jarayonining tajribasini talab
qiladi.
Umumiy xolda xavflarni miqdoriy baholashning eng keng tarqalgan usullari ALE (Annual Loss Expected), AX xavfini tahlil qilish usuli (ISRAM - Information Security Risk Analysis Method), Monte-Karlo usuli va Noravshan kompleks baholash (Fuzzy Comprehensive Evaluation- FCE) usullari ko'rib chiqildi.
Taxlil natijasi shuni ko'rsatdiki xavflarni miqdoriy baholashning eng keng tarqalgan va eng ko'p qo'llaniladigan usuli bu ALE (Annual Loss Expected) usuli ekanligi ma'lum bo'ldi.
Foydalanilgan adabiyotlar ro'yxati
1. Зинкевич В., Штатов Д. Информационные риски: анализ и количественная оценка // «Бухгалтерия и Банки» № 2, 2007, с. 48-53.
2. Artur Rot. ITRisk Assessment: Quantitative and qualitative approach. Proceedings of the world congress on engineering and science, San Francisco, USA, 2008.
3. Mohammed A. Bashir, Nicolas Christin. Three Case Studies in Quantitative Information Risk Analysis - http://www.andrew.cmu.edu/user/ nicolasc/publications
4. Valentin P. Mazareanu. Risk management and analysis: risk assessment (qualitative and quantitative). 2007. - http://anale.feaa.uaic.ro/anale/resurse.
5. Корченко, А. Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. / А. Г. Корченко — К.: «МК-Пресс», 2006. — 320 с.: ил.
6. Джураев Р.Х., Джаббаров Ш.Ю., Умирзаков Б.М. Сетевая безопасность. Учебник. -Т.: "Алояачи", 2019, 308 с.
© R.X. Djurayev, Sh.Yu. Djabbarov, O.A. Xasanov, 2022.
ANALYSIS OF QUANTITATIVE METHODS FOR ASSESSING THE RISK OF
INFORMATION SECURITY
R.X. Djurayev, Sh.Yu. Djabbarov, O.A. Xasanov
This paper discusses approaches and principles for assessing the information security of telecommunication networks. Methods for quantitative assessment of information security risks are given. Modern methodological approaches to the quantitative protection of information are presented. The analysis of quantitative methods for assessing information security risks has been carried out.
Key words: information security, risk, threat, factor, vulnerability, investment, resource.
© R.X. Djurayev, Sh.Yu. Djabbarov, O.A. Xasanov, 2022.
