CC BY
44
ЭКОНОМИКО-МАТЕМАТИЧЕСКИЕ МОДЕЛИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ НА ПРЕДПРИЯТИЯХ СВЯЗИ
Аннотация. Рассматриваются принципы построения моделей управления информационными рисками в системах условного доступа (СУД) предприятий связи. Назначение моделей состоит в экономическом обосновании выбора вариантов организации системы противодействия информационным атакам на СУД, представляющих собой набор мероприятий противодействия атакам. В качестве критериев и ограничений моделей используются значения вероятностей взлома СУД и нарушения обслуживания абонентов за определенный интервал времени и величина совокупной среднегодовой стоимости владения системой обеспечения информационной безопасности. Предлагается совокупность принципов построения моделей. Специфическими принципами построения моделей являются: адекватность параметров моделей особенностям управления информационными рисками в СУД; выбор временного интервала, соответствующего учету вероятности не более чем одной атаки; классификация атак по признаку однородности, что позволяет установить однозначность выбора противодействия разным видам атак; однократность затрат на защитное мероприятие при его многократном использовании для противодействия разным видам атак. Предлагаются три модели условной оптимизации и модель безусловной оптимизации системы защиты СУД от информационных атак, представляющие собой модели линейного программирования с двоичными переменными. Модель условной оптимизации совокупной среднегодовой стоимости владения системы управления информационными рисками предполагает наличие ограничений на вероятность возникновения рискового события, связанного со взломом СУД, и вероятность нарушения обслуживания абонентов СУД на протяжении выбранного интервала времени. На основе данной модели можно предложить две модели взаимообратных задач оптимизации, в которых критерий и ограничение меняются местами. В модели безусловной оптимизации отсутствуют условия соблюдения допустимых вероятностей возникновения рисковых событий, связанных со взломом и нарушением обслуживания абонентов СУД. Вместо этих условий в целевую функцию минимизации совокупной среднегодовой стоимости владения системой управления информационными рисками в СУД добавляются значения математических ожиданий среднегодовых затрат при возникновении рисковых событий. Предлагаемые модели могут быть решены с помощью ряда известных математических программных пакетов, например пакета MATLAB.
Ключевые слова. Экономико-математические модели, предприятия связи, управление информационными рисками, системы условного доступа, информационные риски, модели выбора защиты информации, информационные атаки, рисковые события.
Sokolov R.V., Nikolaev M.O.
ECONOMIC AND MATHEMATICAL MODELS OF INFORMATION RISK MANAGEMENT IN TELECOMMUNICATIONS
Abstract. The paper describes principles of information risk management in conditional access systems (CAS). The purpose of models is to justify the economical choice of options for an information system to counter attacks, which in turn is a set of measures to counter attacks. The criteria and limitations of models
ГРНТИ 06.35.51
© Соколов Р.В., Николаев М.О., 2016
Роман Владимирович Соколов - доктор экономических наук, профессор, профессор кафедры информационных систем и технологий Санкт-Петербургского государственного экономического университета. Михаил Олегович Николаев - аспирант кафедры информационных систем и технологий Санкт-Петербургского государственного экономического университета.
Контактные данные для связи с авторами (Соколов Р.В.): 191023, Санкт-Петербург, Садовая ул., д. 21 (Russia, St. Petersburg, Sadovaya str., 21). Тел.: 8 (812) 458-97-30, доб. 3314. E-mail: rsok7@rambler.ru.
used hacking probability values and customer service violation for a certain time interval the total value of the average annual cost of ownership of information security system. A set ofprinciples of building models is proposed. Specific principles of building models are: the adequacy of the model parameters to features of information risk management in CAS; selection of the time interval corresponding to the probability of not accounting for more than one attack; classification of attacks on the basis of uniformity that allows to set a clear choice to counter different kinds of attacks; the one-time cost of a protective action; its reuse to counter different kinds of attacks. Proposed three models of constrained optimization and one of unconstrained optimization system of protection against information attacks, which are a model of linear programming with binary variables. The model of constrained optimization of total average annual cost of ownership of information risk management system requires a limitation on the probability of occurrence of risk events associated with hacking a CAS and probability of violation of customer service during the selected time interval. On the basis of this model two opposite of the optimization problem are proposed in which the criteria and constraints are reversed. The unconstrained optimization model has no conditions for compliance with acceptable probability of occurrence of risk events associated with hacking and violation of customer service. Instead of these conditions values of the expectations of average annual costs in the event of risk events are added to the objective function of minimization of average annual ownership cost of control system. The proposed models can be solved with the help of a number of known mathematical software packages such as MATLAB.
Keywords. Economic and mathematical models, telecommunications, information risk management, conditional access systems, information risks, models of information security selection, information attacks, risk events.
Целью статьи является рассмотрение принципов построения и разработка экономико-математических моделей управления информационными рисками на предприятиях связи на примере систем условного доступа. При этом под системой условного доступа (Conditional Access System) предприятия связи мы понимаем программно-аппаратный комплекс, предназначенный для ограничения доступа к платным кодированным цифровым спутниковым, кабельным, эфирным теле- и радиоканалам. Принципиальная структурная схема [1] систем условного доступа (СУД) представлена на рисунке.
Входящий информационный поток
Результирующий информационный поток
Л
KMS
Рис. Принципиальная структурная схема системы условного доступа
Как следует из представленного рисунка, информационный поток владельца контента, прежде чем достичь абонентов, проходит через СУД, задача которой - обеспечить прохождение информации к абонентам только при соблюдении определенных договорами условий по функциональности в соответствии с оплатой. На пути информационного потока встречается модуль скремблирования и шифрования ESS (Encryption and Scrambling System), который использует ключи скремблирования, генерируемые модулем KMS (Key Management System). Затем шифрованный информационный поток по-
ступает в модуль обслуживания абонентов SAS (Subscriber Authorization System), который обеспечивает аутентификацию абонентов и защиту декодеров и смарт-карт от несанкционированного доступа. Непосредственно у абонентов находится модуль безопасности аппаратно-программного обеспечения декодера SRS (Secured Receiver System), который обеспечивает декодирование информационного потока, поступающего в приемную аппаратуру абонента.
В настоящее время существуют десятки вариантов СУД, каждая из которых обсуживает десятки и сотни тысяч абонентов. В то же время, многие СУД подвергаются взлому в целях несанкционированного доступа к информации, а также характеризуются возникновением инцидентов в обслуживании абонентов под влиянием информационных рисков. Методам защиты информации, которые могут быть применены в СУД, посвящен ряд работ [2-5, 7]. Однако экономико-математическая поддержка выбора варианта защиты информации раскрыта недостаточно. Поэтому управление информационными рисками в СУД с применением экономико-математических моделей и методов является актуальной темой исследования.
Рассмотрим принципы и условия построения моделей управления информационными рисками в
СУД:
1. Экономико-организационное назначение моделей. Назначение моделей состоит в экономическом обосновании выбора и организации варианта защиты СУД от информационных атак, представляющего собой набор мероприятий противодействия этим атакам;
2. Адекватность параметров и переменных моделей особенностям управления информационными рисками в СУД. В состав параметров моделей должны входить параметры, характеризующие потоки информационных атак, мероприятий противодействия им, а также критерии и ограничения моделей. Переменные моделей должны характеризовать выбранный вариант системы информационной защищенности СУД;
3. Трехвариантный подход к оценке защищенности. Наличие к качестве критериев и ограничений модели значений вероятностей взлома СУД, нарушения обслуживания абонентов за определенный интервал времени и стоимостных затрат на обеспечение информационной безопасности, то есть трехстепенной подход к оценке системы информационной защищенности;
4. Формирование и ведение базы данных моделей. В качестве исходных данных целесообразно использовать базу данных видов угроз [8], их вероятностей и ущерба, полученных на основании статистической и прогнозной информации и возможных мероприятий по противодействию;
5. Возможность учета лингвистической неопределенности в исходных данных. Необходим учет лингвистической неопределенности в части возникновения информационных атак, возможностей противодействия им и величин ущерба в случае наступления рисковых событий;
6. Одноразовость затрат на защитные мероприятия при многоразовом использовании для противодействия разным видам атак. Отражение этого принципа в моделях обеспечивает снижение затрат на обеспечение информационной безопасности;
7. Выбор временного интервала в управлении информационными рисками. Предполагается, что выбор достаточно малого временного интервала позволяет считать вероятность появления однократной атаки существенно выше вероятности появления атаки большей кратности, которыми можно пренебречь. При этом математическое ожидание суммы ущерба за определенный период времени представлено как сумма математических ожиданий ущерба за каждый интервал (подпериод) данного период времени;
8. Классификация атак по принципу однородности. Разделение атак (угроз) по принципу их однородности осуществляется с тем, чтобы мероприятия по противодействию рисковым событиям определенного класса можно было бы считать не дополняющими друг друга. В этом случае результат выбора наиболее эффективного мероприятия не будет улучшаться при наличии другого мероприятия, противодействующего атакам данного типа.
Рассмотрим возможные варианты моделей управления информационными рисками в СУД. Для этого опишем модель условной оптимизации совокупной стоимости владения системой управления информационными рисками в СУД при ограничениях по вероятности взлома и нарушения обслуживания абонентов СУД:
П — Т,т ем Пт^т
|т ем 11тлт
(3)
(4)
(5)
(6) (7)
(2)
где П - совокупная среднегодовая стоимость владения системой управления информационными рисками СУД; Рвз , Рвздоп - соответственно, вероятность и допустимая вероятность возникновения рискового события, связанного со взломом СУД, на протяжении интервала времени (подпериода); Роб , Робдоп - соответственно, вероятность и допустимая вероятность нарушения обслуживания абонентов СУД на протяжении заданного интервала времени; Хт - двоичная переменная, принимающая значение 1, если в СУД однократно или большее число раз используется т-й механизм для предотвращения угроз, переменная принимает значение 0 в противном случае; - двоичная переменная, принимающая значение 1, если для противодействия 1-ой угрозе используется т-й механизм, и принимающая значение 0 в противном случае; Пт - совокупная среднегодовая стоимость владения т-м механизмом противодействия угрозам; двз - вероятность возникновения однократной атаки, угрожающей взлому СУД на протяжении заданного интервала времени (подпериода), при котором многократными атаками можно пренебречь; цоб - вероятность возникновения однократной атаки, угрожающей бесперебойному обслуживанию абонентов СУД на протяжении заданного интервала времени, при котором многократными атаками можно пренебречь; - вероятность отражения атаки 1-го вида с помощью т-го механизма; ^ - удельный вес атак 1 - го вида:
}вз - множество видов атак, угрожающих взлому СУД; 1об - множество видов атак, угрожающих бесперебойному обслуживанию абонентов СУД; I - множество видов угроз (атак) на СУД; M - множество механизмов противодействия атакам.
Условие (4) означает, что для каждой угрозы должен быть выбран механизм противодействия, причем только один, так как результат выбора наиболее эффективного мероприятия не будет улучшаться другими мероприятиями для угроз данного класса при детальной классификации их по принципу однородности.
Неравенство (5) обеспечивает однократность учета затрат на многократное использование т-го механизма противодействия угрозам [6]. Это неравенство соответствует следующему выражению:
На основе рассмотренной модели можно предложить модель взаимно-обратной задачи оптимизации, в которой критерии и ограничения меняются местами. Так, задача условной оптимизации, в которой в качестве критерия выступает минимизация вероятности взлома СУД на протяжении заданного интервала времени, имеет следующий вид:
е 1ВЗ ^ — 1 , е 1об ^ — 1
1 , если V; е/ У1т = 1, 2, 3...
, если ¿,1 е/ 11т ~ 1,
0 , если ^ е/У(т = 0.
^вЗ — ЧвзС1 е IВЗ^íVm еМг1т^1т)^т^пг,
П— V П У ^ П
ВЗ
(8)
(9)
(10)
V™ ем^1т = 1 .V т е М .V I е I, Хт — У1т > 0, V т е М , V £ е I, Хт = { 0,1 т ем, У1т = { 0,1 т ем , V г е I,
т
(11) (12)
(13)
где Пдоп - допустимая совокупная среднегодовая стоимость владения системой управления информационными рисками СУД.
Аналогичный вид имеет модель условной оптимизации, в которой в качестве критерия выбран минимум вероятности нарушения обслуживания абонентов СУД на протяжении выбранного интервала времени.
Перейдем к построению модели безусловной оптимизации управления информационными рисками в СУД. В этой модели отсутствуют условия соблюдения допустимых вероятностей возникновения рисковых событий, связанных со взломом и нарушением обслуживания абонентов СУД. Вместо этих условий в целевую функцию минимизации совокупной среднегодовой стоимости владения системой управления информационными рисками в СУД добавляются значения оценок математических ограничений среднегодовых затрат при возникновении рисковых событий. В качестве ограничений остаются лишь ограничения на значения независимых переменных задачи. Таким образом, модель безусловной оптимизации имеет следующий вид:
где ЬВЗ - усредненные затрата на восстановление СУД после взлома; Ьоб - усредненные затраты, связанные с нарушением договорных обязательств по обслуживанию абонентов СУД, в случае возникновения рискового события; Мвз - количество выбранных интервалов (подпериодов) в течение года для оценки вероятности появления рисковых событий, связанных со взломом СУД; - количество выбранных интервалов (подпериодов) в течение года для оценки вероятности появления рисковых событий, связанных с нарушением обслуживания абонентов СУД.
Длина интервалов времени выбирается достаточно малой с тем, чтобы вероятность однократного появления рискового события в течение выбранного интервала значительно превосходила вероятность многократного появления рисковых событий, ею, в этой связи, можно было пренебречь. Оценка математического ожидания суммарных потерь при появлении рисковых событий в течение года учитывается как сумма математических ожиданий потерь при появлении отдельных рисковых событий.
Предложенные выше экономико-математические модели представляют собой модели линейного программирования с двоичными переменными. Для нахождения решения по этим моделям можно воспользоваться известными математическими пакетами, например пакетом МЛТЬЛБ и др. Нахождение решения следует искать в человеко-машинном диалоге. Целесообразно также использовать сценарный подход на основе оптимистического, пессимистического и наиболее вероятного сочетания исходных данных. Предложенные модели можно использовать в качестве основы для нечетко-логического моделирования управления информационными рисками, учитывая лингвистическую неопределенность ряда исходных данных. Результаты расчета по моделям могут быть использованы для страхования информационных рисков.
Итак, в результате проведенного исследования нами получены следующие результаты:
• обоснована актуальность решения задач управления информационными рисками в СУД;
• сформулированы принципы построения моделей управления информационными рисками в СУД;
• предложена модель оптимизации совокупной среднегодовой стоимости владения системой управления информационными рисками при ограничениях на вероятности взлома и нарушения обслуживания абонентов СУД;
• предложены модели решения взаимно-обратных задач, в которых в качестве условия оценки фигурируют вероятности взлома или нарушения обслуживания абонентов СУД;
• построены модели безусловной оптимизации управления информационными рисками в СУД, в которых в целевой функции учитываются затраты как на противодействие рисковым событиям, так и потери при их возникновении.
(16)
(17)
(18) (19)
(15)
ЛИТЕРАТУРА
1. Костин М. Системы условного доступа. [Электронный ресурс]. Режим доступа: http://www.telesputnik.ru/ archive/109/article/62.html (дата обращения 10.10.2016).
2. Курило А.П. Обеспечение информационной безопасности бизнеса. М.: БДЦ-пресс, 2005. 512 с.
3. Михальчук С.А., Стельмашонок Е.В. Управление параметрами системы защиты информации в условиях их неопределенности на основе вероятностно-статистической модели // Комплексная безопасность бизнеса в условиях экономической нестабильности: материалы научно-практической конференции / Санкт-Петербургский государственный экономический университет. СПб., 2014. С. 115-118.
4. Симонов С.В. Современные концепции управления информационными рисками. [Электронный ресурс]. Режим доступа: http://www.pmproiy.ru/content/rus/85/850-article.asp (дата обращения 10.10.2016).
5. Стельмашонок Е.В., Тарзанов В.В., Соколовская С.А. Управление информационной безопасностью предприятия на основе сбалансированной системы показателей // Инновационные преобразования в производственной сфере: сборник научных трудов международной научной конференции. СПб., 2012. С. 289-294.
6. Соколов Р.В. Проектирование информационных систем. СПб.: СПбГИЭУ, 2012. 334 с.
7. Черешин Д.С., Кононов А.А., Новицкий Е.Г., Цыгичко В.Н. Методика оценки рисков нарушения информационной безопасности в автоматизированных информационных системах: препринт. М.: Институт системного анализа РАН, 1999.
8. IT-Grundschutz Manual, BSI. [Электронный ресурс]. Режим доступа: https://www.bsi.bund.de/EN/TheBSI/the-bsi_node.html (дата обращения 10.10.2016).
