Игровой подход к оценке риска и формированию бюджета информационной безопасности предприятия Текст научной статьи по специальности «Экономика и бизнес»

ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS /-

' Том 10. № 2 (56). 2015

В. Н. Юрьев, докт. экон. наук, профессор, Федеральное государственное автономное образовательное учреждение высшего образования «Санкт-Петербургский государственный политехнический университет»,

[email protected]

игровой подход к оценке риска и формированию бюджета информационной безопасности предприятия

Рассматривается применение теории игр к оценке рисков информационной безопасности предприятия и выбора оптимальной стратегии при распределении бюджета в разрезе информационных активов . Элементами платежной матрицы парной антагонистической игры являются вероятности отражения атак на информационные ресурсы . Решение игровой модели, полученное в виде смешанной стратегии, используется для определения объема финансовых средств, вкладываемых в обеспечение информационной безопасности информационных активов

Ключевые слова: информационная безопасность, информационный актив, игровая модель, риски, бюджет ИТ .

введение

Информационные системы и высокие технологии повышают эффективность выполнения бизнес-процессов на предприятии, но также могут стать источником колоссального ущерба. Поэтому ИТ-рискам необходимо уделять не меньшее внимание, чем традиционным бизнес-рискам, причем следует учитывать как риски возникновения угроз информационной безопасности (ИБ), так и риски несоответствия стандартам безопасности.

Базовый набор требований, предъявляемых к информационным системам (ИС) и информационным технологиям (ИТ), определяется стандартами [8]. Дополнительные требования, учитывающие особенности конкретного предприятия, формируются на основе учета и анализа ИТ-рисков. В общем случае управление такими рисками включает периодическую оценку и выполнение мероприятий по снижению их уровня до приемлемой границы [6]. При этом величины выявленных рисков используются для определения размеров инвестиций в ИБ [3].

Стандарты в области ИБ, которые должны соблюдать российские предприятия, на-

пример ISO 17799, ISO 27001, BS7799, предусматривают определенные механизмы управления ИТ-рисками. Оценка последних позволяет предприятиям определять объем расходов на обеспечение ИБ и спланировать мероприятия по ее поддержке. Однако большинство программных продуктов, предназначенных для оценки и управления ИТ-рисками, базируются не на методологиях управления ИТ-рисками, а на стандартах ИБ, а потому позволяют определить не уровень рисков, а степень соответствия тому или иному стандарту. Кроме того, как правило, они не учитывают оценки владельцев информационных активов при определении величины потенциального ущерба. Мы исходим из того, что основой для выработки решений по управлению ИТ-рисками является характеристика, связывающая величину ущерба с вероятностью наступления негативного события, приводящего к этому ущербу [1; 7].

Постановка задачи

Информационные активы (ИА) являются главной частью всей системы управления, в которую предприятие вкладывает средства, они требуют защиты от несанкциони-

VJ2!

-ч ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS

Vol. 10. No. 2 (56). 2015 '

рованного доступа, хищения и разрушения. Существует множество типов ИА: информация (базы данных, хранилища данных, базы знаний, отдельные файлы); программно-аппаратные средства (серверы, компьютеры, электронные носители информации, сетевое оборудование); программное обеспечение (системные и прикладные программы различного назначения); оборудование связи (подстанции, коммутаторы, телефоны, медные и оптоволоконные кабели); различные документы; сотрудники предприятия (менеджеры, специалисты, рабочие, служащие) и др. Предприятие стремится минимизировать ущерб и максимизировать вероятность отражения нападения на ИА, в то время как злоумышленник добивается противоположной цели.

Допустим, что риску нападения на информационные ресурсы и ИС предприятия подвергаются п активов. Руководство компании располагает М единицами денежных средств, которые могут быть направлены на обеспечение ИБ. Пусть риск, определяемый как среднестатистическая вероятность атаки на у-й актив по некоторой отрасли (финансы, промышленность, транспорт и т. д.), равен ру, у = 1,п. Причем здесь может быть принята гипотеза, что чем больше эта вероятность, тем более совершенны разработанные и стандартизированные средства защиты, и следовательно, данный актив требует меньших затрат на обеспечение безопасности.

Предполагается, что вложение средств в ИБ каждого актива является независимым событием. Руководство предприятия может вкладывать в различные активы разное количество средств.

Вероятность отражения нападения на актив у, в который на ИБ вложено dуу средств, предполагается равной, например, qj¡ = 1- (1- ру У" [2]. При этом

п _

^d" = М,, I = 1, т,

у=1

где I — номер стратегии; т — количество стратегий (конечное число).

Если все выделенные средства расходуются полностью, то М1 + М2 +... + Мт = М.

Необходимо распределить денежные средства на обеспечение информационной безопасности имеющихся активов оптимальным образом.

Модель стратегической игры обеспечения ИБ

Очевидно, что в сфере ИБ складывается конфликтная ситуация, поскольку руководство предприятия и злоумышленники, стремясь к своим целям, имеют возможность предпринимать конкретные действия, причем степень достижения цели каждой стороной зависит от того, как поступает другая сторона. Необходимость формализованного анализа и принятия решений в конфликтных ситуациях привела к созданию теории игр, задачей которой служит выработка научно обоснованных рекомендаций по рациональному образу действий участников конфликта (игроков).

Множество игроков обозначается I = {1,2,..., п}. Если два игрока (п = 2), то игра называется парной, если п > 2, то игра — множественная. Любое возможное для игрока действие представляет его стратегию. Процесс игры состоит в выборе каждым из игроков своих стратегий s¡ е SI, в результате чего складывается игровая ситуация. Если сложилась ситуация s = [, s2,..., sn ], то игрок 1е I получает выигрыш который зависит не только от стратегии игрока , но и от стратегий всех остальных игроков. Кортеж G = { ,Н, представляет математическую модель конфликта — стратегическую игру [4; 5].

Ситуацию обеспечения ИБ можно описать математической моделью антагонистической игры с нулевой суммой. Из приведенного выше определения следует, что I = {1,2} и выполняется Н^) + Н2^) = 0, s е S. Распределение М средств по активам представляет стратегию руководства, стремящегося максимизировать вероятность отражения диверсион-

юо

ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS /-

' Том 10. № 2 (56). 2015

ной атаки. Атакующая сторона (абстрактное лицо) желает противоположного результата [4].

Особенностью данной модели является комбинация стратегической игры двух лиц и игры с природой в условиях риска, для решения которой обычно применяют критерий Байеса. Это объясняется тем, что, если предприятие (игрок 1) принимает целенаправленный выбор стратегии, то злоумышленник (игрок 2) подвергает нападению тот или иной актив случайным образом со среднестатистической вероятностью [5]. Стратегии предприятия представляют собой наиболее разумные, по мнению руководства, варианты распределения бюджета, выделяемого на обеспечение ИБ, по выбранным информационным активам.

Итак, мы получаем стратегическую игру, а именно антагонистическую игру двух лиц с нулевой суммой, где первый игрок — предприятие, второй игрок — нападающая сторона. Распределение денежных средств на обеспечение ИБ в соответствии с выбранными стратегиями может быть представлено в виде табл. 1.

Таблица 1. Стратегии распределения средств по активам

Table 1. The strategies of determining the amount of funds invested in assets

Таблица 2. Платежная матрица стратегической игры

Table 2. The payoff matrix of two-player antagonistic game

Стратегии Активы компании Общая сумма вложений

1 2 n

1 d„ d12 d,n M,

2 d21 d22 d2n M2

m dm, dm2 dmn Mm

Поскольку цель компании максимизировать вероятность сохранения ИБ, то перейдем к платежной матрице вероятностей (табл. 2).

Вероятность отражения атаки на те активы, в которые деньги не планируется вкладывать, автоматически равна 0, поскольку qn = 1- (1- р1 )0 = 0.

Стратегия Вероятности отражения атаки в разрезе активов

1 2 n

1 q12 qm

2 q21 q22 q2n

m qm1 qm2 qmn

Вероятности нападения на ИА P1 P2 Pn

Объем выделяемых средств d ц в части наглядности вычислений целесообразно задавать в миллионах или сотнях тысяч денежных единиц.

Если игра, заданная платежной матрицей (табл. 2), имеет седловую точку, т. е. если выполнено условие

max(min(1- (1 - p f')) =

1</<m 1<'< n

= min(max(1- (1- pl )d/')),

1<' < n 1</< m '

то оптимальная стратегия финансирования ИБ компании найдена. В противном случае решение игры может быть найдено в смешанных стратегиях путем сведения к задаче линейной оптимизации вида (1) и двойственной к ней задачи вида (2).

m

B(у) = Xу-, ^ min

/=1

m

X(1-(1-pt f) • У; > 1, ' = 1,n ; (1)

/=1

у , > 0 , / = 1,m

n

C(x) = XX' ^ max

'=1

X(1-(1-Pt f) • Xi < 1, / = 1m. (2)

'=1

xl > 0, ' = 1,n

Если у = (у*, у 2,..., ym) — оптимальный план задачи (1), а x* = (x*, x2,..., x'n) — опти-

-ч ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS

Vol. 10. No. 2 (56). 2015 '

мальный план задачи (2), то цена игры определяется как

1 1

V =-=-.

I у; I

ху

1=1 у=1

Координаты оптимальной смешанной стратегии первого и второго игрока вычисляются соответственно по формулам

* *

. у, . . X *

u =^•у =■

I у*

Z = v • Xj =■

X:

Dj = Ё u •d j , j=1,n

Пример

Страте- Информационные активы, млн руб.

гия Первый Второй Третий

1 5 10 15

2 5 15 10

3 5 20 5

4 5 5 20

5 10 10 10

6 10 15 5

7 10 5 15

8 15 5 10

9 15 10 5

10 20 5 5

Риск, pj 0,03 0,01 0,02

Используя выражение вероятности отражения атаки на активы q 1у = 1- (1- ру , получим матрицу А вероятностей сохранения ИБ активов в зависимости от объемов вкладываемых средств:

Л =

1=1 у=1

Далее, используя смешанную стратегию, определим объем средств ^у), вкладываемый в у-й актив, по формуле

'0,141 0,141 0,141 0,141 0,263 0,263 0,263 0,367 0,367 v0,459

0,096 0,140 0,182 0,049 0,096 0,140 0,049 0,049 0,096 0,049

0,261л 0,183 0,096 0,332 0,183 0,096 0,261 0,183 0,096 0,096 ,

Рассмотрим три актива, на обеспечение ИБ которых планируется выделить 30 млн руб. Вероятность нападения на 1-й актив равна 0,03, на 2-й актив — 0,01, на 3-й — 0,02. Возможное распределение средств может быть охарактеризовано стратегиями, которые представлены в табл. 3.

Таблица 3. Стратегии распределения денежных средств

Table 3. The strategies of determining the amount of funds

Нижняя цена игры а = 0,096, а верхняя Р = 0,182. Как видим, седловая точка отсутствует, и игра не решается в чистых стратегиях. Цена игры находится в интервале 0,096 < v< 0,182.

Поиск смешанных стратегий произведем при помощи решения задач линейной оптимизации вида (3) и (4) применительно к полученным входным данным.

Оптимальный план задачи (3) у = (0; 4,2132; 1,8146; 0; 0; 0,5706; 0; 0; 0; 0), а оптимальный план задачи (4) х* = (1,2433; 3,6116; 1,7435).

Решение игры в смешанных стратегиях будет следующим:

и' = (0; 0,6385; 0,2751; 0; 0; 0,0864; 0; 0; 0; 0); г* = (0,1884; 0,5474; 0,2642); Цена игры V = 0,1516.

Объемы финансирования активов предприятия получаются такие:

D1 = 0,6385 • 5 + 0,2751 • 5 + 0,0864 • 10 = 5,432 млн руб.

D2 = 0,6385 • 15 + 0,2751 • 20 + 0,0864 • 15 = 16,3755 млн руб.

D3 = 0,6385 • 10 + 0,2751 • 5 + 0,0864 • 5 = 8,19235 млн руб.

Суммарный объем финансирования в ИБ предприятия по трем активам составит 5,432 + + 16,3755 + 8,1925 = 30 млн руб., что соответствует общей сумме выделенных инвестиций. Таким образом, произведено оптимальное распределение финансовых

ПРИКЛАДНАЯ ИНФОРМАТИКА / JOURNAL OF APPLIED INFORMATICS

Том 10. № 2 (56). 2015

B( У) = У1 + У2 + Уз + У 4 + У5 + Уб + + У7 + У8 + У9 + У10 ^ min 0,141y1 + 0,141у2 + 0,141У3 + 0,141у4 + +0,263y5 + 0,263y6 + 0,263y7 + +0,367y8 + 0,367y9 + 0,459y10 > 1 0,096y1 + 0,140 y2 + 0,182y3 + 0,049y4 " + 0,096y5 + 0,140y6 + 0,0499y7 + ; (3) +0,049y8 + 0,096y9 + 0,049y10 > 1 0,261y1 + 0,183 y2 + 0,096y3 + 0,332y4 + 0,183y5 + 0,096y6 + 0,261y7 + + 0,183y8 + 0,096y9 + 0,096y10 > 1 y > 0 , i = 110.

C(x) = x1 + x2 + x3 ^ max 0,141x1 + 0,096x2 + 0,261x3 < 1 0,141x1 + 0,140x2 + 0,183x3 < 1 0,141x1 + 0,182x2 + 0,096x3 < 1 0,141x1 + 0,049x2 + 0,332x3 < 1 0,263x1 + 0,096x2 + 0,183x3 < 1 <0,263x1 + 0,140x2 + 0,096x3 < 1. (4) 0,263x1 + 0,049x2 + 0,261x3 < 1 0,367x1 + 0,049x2 + 0,183x3 < 1 0,367x1 + 0,096x2 + 0,096x3 < 1 0,459x1 + 0,049x2 + 0,096x3 < 1 xy > 0 , j = 1,3.

средств на обеспечение информационной безопасности активов предприятия.

Заключение

В предлагаемой постановке задачи введено предположение, что чем больше вероятность нападения на актив и чем большее количество средств вложено в обеспечение ИБ, тем больше вероятность отражения атаки на информационный актив. Такой подход не единственно возможный. Дело в том, что зависимость, на основании которой определяются элементы платежной матрицы (табл. 2), может быть задана другой формулой, или же вообще элементы платежной матрицы могут устанавливаться экспертами — специалистами в области ИБ. Кроме того, предлагаемую игровую модель целесообразно применять совместно с дру-

гими количественными методами оценки риска, которые базируются на таких показателях, как ALE (оценка ожидаемых годовых потерь для конкретного актива от реализации одной угрозы), TCO (совокупная стоимость владения), ROI (возврат инвестиций), NPV (чистая текущая стоимость), CVAR (условная стоимостная мера риска) [7].

Список литературы:

1. Гaлaтенко В. А. Основы информационной безопасности I под ред. члена-корр. РАН В. Б. Бете-лина. М.: НОУ «ИНТУИТ», 2003. — 2B4 с.

2. Дубов А. М, Лaгошa Б. А, Хру^лев Е. Ю. Моделирование рисковых ситуаций в экономике и бизнесе: учеб. пособие I под ред. Б. А. Лаго-ши. М: Финансы и статистика, 1999. — 17e с.

3. Игнaтьев В. А. Информационная безопасность современного коммерческого предприятия: монография. Старый Оскол: ООО «ТНТ», 2005. — 44B с.

4. Колокольцов В. Н. Математическое моделирование многоагентных систем конкуренции и кооперации (Теория игр для всех): учеб. пособие I В. Н. Колокольцов, О. А. Малафеев. СПб.: Лань, 2012. — e24 c.

5. Силкинa Г. Ю. Теория риска и моделирование рисковых ситуаций: учеб. пособие I Г. Ю. Силки-на. — СПб.: Изд-во Политехн. ун-та, 2012. — 111 с.

e. Силкинa Г. Ю, Шевченко С. Ю. Модели и инструменты современного риск-менеджмента II Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Экономические науки. 2009. Т. e-l. № 90. С. 188-194.

7. Юрьев В. Н, Эрмaн С. А. Теоретико-вероятностная модель оценки рисков информационной безопасности предприятия II Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Экономические науки. 2014. № 4 (199). С. 188-194.

8. Стандарты в области управления рисками информационной безопасности. URL: http:IIxn—7sbab7afcqes2bn.xn--p1aiIcontentI standarty-v-oblasti-upravleniya-riskami-informacionnoy-bezopasnosti.

References

1. Galatenko V. A. Osnovу informacionnoj bezopas-nosti [Foundations of information security]. Ed. by

Vol. 10. No. 2 (56). 2015

ПРИКЛАДНАЯ ИНФОРМАТИКА I JOURNAL OF APPLIED INFORMATICS

Corresponding Member of the Russian Academy of Sciences V. B. Betelin. Moscow, NOU "INTUIT", 2003. 284 p.

2. Dubov A. M, Lagosha B. A., Hrustalev E. Ju. Mod-elirovanie riskovyh situacij v jekonomike i biznese: Ucheb. posobie [Risk modeling in economics and business: Study Guide]. Ed. by B. A. Lagosha. Moscow, Finansy i statistika Publ., 1999. 176 p.

3. Ignat'ev V. A. Informacionnaja bezopasnost sovre-mennogo kommercheskogo predprijatija: Mono-grafija [Information security of the modern commercial enterprise: Monograph]. Staryj Oskol, OOO «TNT» Publ., 2005. 448p.

4. Kolokol'cov V. N. Matematicheskoe modelirovanie mnogoagentnyh sistem konkurencii i kooperacii (Teorija igr dlja vseh): Uchebnoe posobie [Mathematical modeling of competition and cooperation in multi-agent systems (Game theory for everyone): Study Guide]. SPb. Lan' Publ., 2012. 624 p.

5. Silkina G. Ju. Teorija riska i modelirovanie riskovyh situacij: ucheb. posobie [The theory of risk and modeling of risk situations: Study Guide]. SPb.: Publ. Politehn. un-ta, 2012. 111 p.

6. Silkina G. Ju., Shevchenko S. Ju. Modeliiinstrumenty sovremennogo risk-menedzhmenta [The models and the instruments of the modern risk-management]. Nauchno-tehnicheskie vedomosti Sankt-Peterburg-skogo gosudarstvennogo politehnicheskogo univer-siteta. Jekonomicheskie nauki — St. Petersburg state polytechnical university Journal. Economics journal, 2009, vol. 6-1 no. 90, pp. 188-194 (in Russian).

7. Jur'ev V. N., Erman S. A. Teoretiko-verojatnostna-ja model' ocenki riskov informacionnoj bezopas-nosti predprijatija [Probability-theoretical model of risk evaluation of enterprise information security]. Nauchno-tehnicheskie vedomosti Sankt-Peterburg-skogo gosudarstvennogo politehnicheskogo univer-siteta. Jekonomicheskie nauki. — St. Petersburg state polytechnical university Journal. Economics journal, 2014, no. 4 (199), pp. 188-194 (in Russian).

8. Standarty v oblasti upravleniia riskami informatsi-onnoi bezopasnosti [Standards in the field of information security and risk management]. URL: http://xn----7sbab7afcqes2bn.xn--p1ai/content/stan-darty-v-oblasti-upravleniya-riskami-informacionnoy-bezopasnosti.

V. Yuriev, St. Petersburg Polytechnic University, Saint Petersburg, Russia, [email protected]

The game approach to evaluation of risks and formation of information security budget of an enterprise

Information security risk management includes periodic evaluation of the quality of practice giving reduce to risks and returning risks for an acceptable level. Generally quantitative and qualitative indicators of detected risks are used in forming enterprise information security budget. It is suggested to solve the problem of forming information security budget by evaluation of the enterprise information assets and using game theory and strategic approach. The probabilities of reflection of unauthorized access to enterprise information resources became the elements of the payoff matrix of two-player antagonistic game. The probability of reflection of the attacks to information assets is described by the function with two arguments: 1) average probability of attack in a certain economic field; 2) value of invested funds to improve the information asset security. This approach allows distributing the total amount of funds allocated to provide enterprise information security in selected information assets areas. It is offered to find the solution of the antagonistic game with the use of linear optimization methods. The mixed strategies obtained by solving the antagonistic game are used to determine the amount of funds invested in security of different information assets. The model developed in this paper represents the combination of strategic two-player antagonistic game and a game of a single player against nature in terms of risk, which is solved by using the Bayesian information criterion. Keywords: information security, information assets, game theory models, business risk, IT budget.

About author: V. Yuriev, Dr of Economics, Professor For citation:

Yuriev V. The game approach to evaluation of risks and formation of information security budget of an enterprise, Prikladnaya Informatika — Journal of Applied Informatics, 2015, vol. 10, no. 2 (56), pp. 121-126 (in Russian).