Научная статья на тему 'Математическое моделирование обеспечения комплексной безопасности объектов информатизации кредитно-финансовой сферы'

Математическое моделирование обеспечения комплексной безопасности объектов информатизации кредитно-финансовой сферы Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
318
56
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ФОРМИРОВАНИЯ КОМПЛЕКСНОГО ПОДХОДА К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / AN INTEGRATED APPROACH TO INFORMATION SECURITY / УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТУ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ / INFORMATION SECURITY THREAT OBJECT CREDIT AND FINANCIAL SPHERE / ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ / PRINCIPLES OF PROVIDING COMPREHENSIVE SECURITY INFORMATION OF AN OBJECT / СТАТИСТИЧЕСКИЕ ВЕРОЯТНОСТИ / STATISTICAL PROBABILITY / ЭКСПЕРТНЫЕ ОЦЕНКИ / EXPERT EVALUATION / ЕДИНЫЙ ДИНАМИЧЕСКИЙ КОЭФФИЦИЕНТ ВОЗНИКНОВЕНИЯ УГРОЗЫ / A SINGLE DYNAMIC COEFFICIENT OF A THREAT / КОЭФФИЦИЕНТ УЩЕРБА / DAMAGE RATIO / КОЭФФИЦИЕНТА УЯЗВИМОСТИ / COEFFICIENT OF VULNERABILITY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Козьминых Сергей Игоревич

В работе представлена методика формирования комплексного подхода к обеспечению информационной безопасности объектов кредитно-финансовой сферы. Рассмотрены основные принципы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы. Отмечено, что при проектировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, необходимо провести выбор направлений и принципов ее реализации. Приведено математическое моделирование уровня комплексной безопасности объектов информатизации кредитно-финансовой сферы с использованием тории вероятностей, целью которого является получение функциональной зависимости для нахождения численного значения коэффициента уязвимости, оценивающего уровень комплексной безопасности объекта кредитно-финансовой сферы. Процесс математического моделирования разбит на пять этапов, в итоге которого получены составляющие и сама формула коэффициента уязвимости объекта информатизации, которые определяются с помощью математической обработки статистических данных и проведения экспертных опросов. В качестве вывода заключается, что разработанный математический аппарат позволяет получить количественную оценку как существующего, так и прогнозируемого уровня уязвимости объекта информатизации. Кроме того отмечена возможность данного математического подхода для оценки уровня комплексной безопасности объекта информатизации кредитно-финансовой сферы.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Mathematical Modelling of Credit and Finance Complex Security Solutions

This paper presents a methodology for an integrated approach to information security facilities credit and financial sphere. The basic principles of an integrated security information of the object credit and financial sphere. It is noted that the design of the system to provide a comprehensive security information of the object of credit and the financial sector, it is necessary to conduct choice of directions and principles for its implementation.The mathematical modeling of complex security level information of the objects-bank financial sphere using probabilities Torii, whose aim is to obtain a functional relationship to find the numerical value of the coefficient vulnerability evaluating level complex security object-bank financial sphere. The process of mathematical modeling is divided into five stages, as a result of which the components are obtained and the formula of the coefficient vulnerability information of the object which are determined by mathematical statistical data processing and peer poll. As a conclusion is that the developed mathematical formalism allows to obtain a quantitative assessment of both the existing and projected vulnerability information of the object. Also noted the possibility of the mathematical approach to assess a complex object-level security information of the credit and financial sphere.

Текст научной работы на тему «Математическое моделирование обеспечения комплексной безопасности объектов информатизации кредитно-финансовой сферы»

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ

Козьминых С.И.1

Аннотация: В работе представлена методика формирования комплексного подхода к обеспечению информационной безопасности объектов кредитно-финансовой сферы. Рассмотрены основные принципы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы. Отмечено, что при проектировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, необходимо провести выбор направлений и принципов ее реализации. Приведено математическое моделирование уровня комплексной безопасности объектов информатизации кредитно-финансовой сферы с использованием тории вероятностей, целью которого является получение функциональной зависимости для нахождения численного значения коэффициента уязвимости, оценивающего уровень комплексной безопасности объекта кредитно-финансовой сферы. Процесс математического моделирования разбит на пять этапов, в итоге которого получены составляющие и сама формула коэффициента уязвимости объекта информатизации, которые определяются с помощью математической обработки статистических данных и проведения экспертных опросов. В качестве вывода заключается, что разработанный математический аппарат позволяет получить количественную оценку как существующего, так и прогнозируемого уровня уязвимости объекта информатизации. Кроме того отмечена возможность данного математического подхода для оценки уровня комплексной безопасности объекта информатизации кредитно-финансовой сферы.

Ключевые слова: формирования комплексного подхода к обеспечению информационной безопасности, угроза информационной безопасности объекту кредитно-финансовой сферы, принципы обеспечения комплексной безопасности объекта информатизации, статистические вероятности, экспертные оценки, единый динамический коэффициент возникновения угрозы, коэффициент ущерба, коэффициента уязвимости.

' Р01: 10.21681/2311-3456-2018-1-54-63

Введение условный образ, сконструированный для упроще-

Для реализации комплексного подхода к ре- ния их исследования. шению проблемы обеспечения информационной Моделирование системы защиты информации

безопасности объектов кредитно-финансовой заключается в ее формализованном отображе-

сферы необходимо использование таких научных нии в каком-либо виде, адекватном исследуемой

методов, как моделирования систем и процессов системе, и получении с помощью построенной

защиты информации. Целями такого моделиро- модели необходимых характеристик реальной

вания являются поиск оптимальных решений по системы. Таким образом, весь процесс модели-

управлению системой защиты информации, оцен- рования можно разделить на две составляющие:

ка эффективности использования различных ме- построение модели и реализацию модели с целью

ханизмов защиты, определение свойств системы получения необходимых характеристик системы

защиты, установление взаимосвязей между ее ха- защиты информации.

рактеристиками и показателями. Часто для определения показателей безопас-

Известно, что модель представляет собой логи- ности информации достаточно знать вероятност-ческое или математическое описание компонен- ные характеристики угроз и возможную эффектов и функций, отображающих свойства модели- тивность механизмов защиты. Получение таких руемого объекта или процесса и используется как характеристик, хотя и затруднено, тем не менее, не

1 Козьминых Сергей Игоревич доктор технических наук, Финансовый университет при Правительстве Российской Федерации, г. Москва, Россия. E-mail: [email protected]

является неразрешимой задачей. Однако игнорирование взаимовлияния угроз и средств защиты, а также невозможность определения ожидаемого ущерба от воздействия различных факторов и ресурсов, необходимых для обеспечения защиты, дает возможность использовать методы моделирования в основном для общих оценок при определении степени того внимания, которое должно быть уделено проблеме защиты информации на объекте кредитно-финансовой сферы.

Прежде чем перейти к описанию математической модели обеспечения комплексной безопасности объекта кредитно-финансовой сферы, следует определить, в чем же заключается комплексный подход к обеспечению информационной безопасности.

1. Комплексный подход к обеспечению информационной безопасности объектов кредитно-финансовой сферы

Для того чтобы понять суть комплексного подхода к обеспечению информационной безопасности объектов кредитно-финансовой сферы предлагается перейти к рассмотрению классификации основных направлений обеспечения комплексной безопасности объекта информатизации рис.1.

Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы с потенциально возможными и реально возникающими угрозами необходима стройная и целенаправленная организация процесса противодействия. Причем реализация этого процесса должна включать использование всех возможных сил и средств защиты с целью недопущения, пресечения и оперативной ликвидации последствий нештатных ситуаций и чрезвычайных происшествий. То есть процесс защиты от всевозможных угроз должен иметь комплексный характер.

Предлагаемый перечень основных направлений обеспечения комплексной безопасности объектов информатизации кредитно-финансовой сферы наглядно демонстрирует, что если, например, пожарную, охранную, техногенную и другие виды безопасности можно обеспечить независимо друг от друга, то информационную безопасность можно надежно обеспечить только при условии реализации всех указанных на (рис. 1) направлений.

Вместе с тем для некоторых объектов информатизации кредитно-финансовой сферы не все направления обеспечения комплексной безопасности могут быть не актуальны. Например, если объект находится благоприятной климатической зоне и не ведет какую-либо производственную де-

ятельность, то соответствующими направлениями безопасности можно пренебречь.

Чаще всего на объектах информатизации кредитно-финансовой сферы, бывают наиболее актуальны такие направления обеспечения безопасности, как:

- охранная безопасность;

- информационная безопасность;

- пожарная безопасность;

- экономическая безопасность;

- юридическая безопасность;

- безопасность трудовой деятельности (охрана труда).

При выборе необходимых направлений обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы необходимо руководствоваться результатами анализа рисков, которым он может быть подвержен, а также анализом элементов защиты, представляющими наибольшую ценность для всего объекта.

Кроме того, при формировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы необходимо определить, в соответствии с какими принципами она будет создаваться. Основными принципами обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы должны быть:

Комплексность. Обеспечение безопасности всех наиболее значимых элементов защиты и объекта в целом от различных видов угроз всеми возможными способами и средствами.

Своевременность. Предполагает постановку задач по обеспечению комплексной безопасности объекта информатизации кредитно-финансовой сферы на ранних стадиях проектирования путем разработки системы обеспечения комплексной безопасности на основе анализа и прогнозирования возможных угроз безопасности.

Непрерывность. Постоянное соблюдение мер обеспечения комплексной безопасности в процессе функционирования объекта информатизации кредитно-финансовой сферы, а также осуществление контроля по их выполнению.

Активность. Меры обеспечения информационной безопасности должны иметь упреждающий характер. Необходимо в первую очередь разрабатывать и внедрять меры обеспечения безопасности, не допускающие возникновения угроз на объекте и пресекающие их в момент возникновения. На объекте должно быть обеспечено маневрирование силами и средствами обеспечения безопасности, использование нестандартных мер защиты.

Рис. 1. Классификация основных направлений обеспечения комплексной безопасности объекта информатизации

Целенаправленность. Реализация мер обеспечения безопасности, направленных на защиту объекта информатизации кредитно-финансовой сферы от конкретных, наиболее вероятных угроз его безопасности, способных причинить наибольший ущерб.

Универсальность. Использование таких мер, которые способны защитить объект от наибольшего количества наиболее вероятных и опасных угроз его безопасности.

Надежность. Обеспечивается использование таких мер безопасности, которые способны обеспечить максимально возможное (эффективное) противодействие дестабилизирующим факторам (угрозам);

Законность. Предполагает разработку системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы на основе федерального законодательства и других действующих нормативных актов в области обеспечения безопасности. Необходима гармонизация норм, требований и правил обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы с нормами безопасности Российской Федерации и международными нормами.

Обеспечение баланса интересов общества, государства, хозяйствующих объектов, потребителей при обеспечении комплексной безопасности объекта информатизации кредитно-финансовой сферы.

Обоснованность. Предлагаемые меры и средства защиты объекта информатизации кредитно-финансовой сферы должны реализовываться в соответствии с современным уровнем развития науки и техники, быть обоснованными с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.

Экономическая целесообразность. Обеспечивается сопоставимостью возможного ущерба и затрат на обеспечение безопасности. Необходимо руководствоваться критерием эффективность -стоимость.

Специализация. Предполагает привлечение к разработке, внедрению мер и средств защиты на объектах информатизации кредитно-финансовой сферы специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами.

Взаимодействие и координация. Предполагает осуществление мер обеспечения безопасности на основе четкого взаимодействия всех заинтересованных подразделений и служб объекта, сторонних специализированных организаций в этой области, а также интеграцию с правоохранительными органами и органами государственного управления.

Централизация управления. Предполагает самостоятельное функционирование подсистем безопасности объекта информатизации кредитно-финансовой сферы по единым организационным, функциональным и методологическим принципам с централизованным управлением деятельностью всей системы обеспечения комплексной безопасности.

Совершенствование. Предусматривает постоянное совершенствование методов, мер и средств обеспечения безопасности объектов на основе собственного опыта, научных достижений, нормативно-технических требований, накопленного отечественного и зарубежного опыта.

Планирование. Предполагает рациональное распределение ресурсов в процессе обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы.

Ответственность должностных лиц за выполнение конкретных мер по обеспечению комплексной безопасности объекта информатизации кредитно-финансовой сферы.

Приоритет в обеспечении комплексной безопасности объекта информатизации кредитно-финансовой сферы должен отдаваться охране жизни и здоровья людей, защите конфиденциальной информации.

Таким образом, при проектировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, необходимо провести выбор направлений и принципов ее реализации. Эти же направления и принципы необходимо заложить в концепцию обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, которая служит основой создания системы обеспечения комплексной безопасности.

2. Использование тории вероятностей для математического моделирования уровня комплексной безопасности объектов информатизации кредитно-финансовой сферы

Существует два варианта создания системы информационной безопасности объектов кредитно-финансовой сферы:

1. Объект информатизации только создается -система информационной безопасности формируется «с нуля».

2. Объект информатизации уже функционирует

- система информационной безопасности имеется, требуется повысить ее уровень за счет оптимизации мер защиты.

Для специалистов, работающих в области обеспечения информационной безопасности, проще создавать систему «с нуля» поскольку на первом этапе исключается анализ существующей системы безопасности. Но, к сожалению, чаще всего встречается второй вариант, когда руководители объекта информатизации не уделяют должного внимания безопасности до тех пор, пока не случается какое-либо чрезвычайное происшествие с серьезными последствиями. Тогда он готов на любые затраты, лишь бы этого не повторилось. Самое сложное в данной ситуации найти квалифицированных специалистов, которые смогли бы грамотно провести анализ существующей системы информационной безопасности, выявить причины по которым она дала сбой, разработать план мероприятий по её совершенствованию, провести оптимизацию затрат и наладить контр ол ь з а её эффективным функционированием.

Для решения первой из перечисленных з а да ч

- проведения анализа состояния системы информационной безопасности и в целом комплексной безопасности объектов кредитно-финансовой сферы, был разработан специальный математический аппарат определения коэффициента уязвимости объекта информатизации.

Цель: Получить функциональную зависимость для нахождения численного значения ноэффи-циента уязвимости, оценивающего уро вень комплексной безопасности объекта кредитно-финансовой сферы.

Исходные данные:

1. Статистические вероятности возникновения угроз с учетом региональной компоненты, периодом реализации угроз (данные МВД и МЧС РФ).

2. Экспертные оценки вероятности возникновения угроз.

3. Экспертные оценки подверженности угрозам элементов защиты.

4. Экспертные оценки возможных последствий и коэффициента ущерба от реализации каждо й угрозы.

5. Экспертные оценки влияния мер по предотвращению угроз на этапе предупреждения.

6. Экспертные оценки влияния мер на этапе пресечения угроз.

7. Экспертные оценки влияния мер на этапе ликвидации последствий от реализации угроз.

Процесс математического моделирования обеспечения комплексной безопасности объекта кредитно-финансовой сферы включает шесть этапов.

На первом этапе необходимо определить единый динамический коэффициент возникновения угрозы. Единый динамический коэффициент возникновения угрозы - учитывает динамику статистического значения, само статистическое значение и вероятность возникновения данной угрозы, полученное экспертным путем. Обозначим его как

РР е [0;1]

Введем следующие обозначения:

В

СТАТ

[0;1]

статистическая вероятность

возниксовпния угрозы;

РскАп п [0;У] - экспертная оценка везоятно-сти встникновения егрозы;

Р"ТАТ - статястичеокая ввроятносньвозезк-новенпп угзозы за п год, одя п = 1994,1992,...,2017 год. Д е [О;1] - динаминояная составляющая. То гда:

Р . р

сксп

(РСТАТ + юЩ

( 1)

где :

Ю .

в«-Т ^ рв

стат гствт ■>

ВрР~Т — рр

стат а стРАт

в

ИР—Т АрР Астат -Остен;

стат

А ртзУ рт ^

гстат — рстат

в

СНбО

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(2)

Ияпользуя значения везоятностей возникновения угроз, строиться спектр угроз, производится ранжирование угроз по значимости, а также определяются пределы значимости, то есть уровень угроз, которые будут рассматриваться (рис. 2).

На этом рисунке выделены максимальный и минимальный пределы значимости, соответственно: Р ах и р^п, следующим образом:

- если рП > р;ах, то данная угроза Р^ принимается к рассмотрению и имеет наивысший приоритет в плане ее предотвращения;

-если си > К > Ртах ,то дан н ая у Фоз а

прин има ется к рассм отрен ию и и меет ср едни й прио р итет;

-е ели бр > Р^о^то даннооугркзое РП мвжно пренеб|зечь повсем, илнн уставовоэз оизкий пряв ор итет

Таном оТразом, еще ов нечвлэном этане, после; анэлиза и гренеи угроз нюжнн проипвеспи пеоео-

Р

Р'

тах

Р

г

тт

<1-о-о-<)-<)-X

0 1 2 3 4 5 6 7 8 9 10 11 12 ... N кол.угроз Рис.2. Спектр угроз. Пределы значимостиугроз

начальную фсльаранию угроз, имею щих серьёзное значение для данного объекта или предпринимательской деятельности.

На втнром этаке необходимо определитн элементы защиты объекта информатизации органа внутренних ддл, подверженные воздействиям угроз, также определить ьоэффице ент уязвимости объектн и построить гистограмму уязвемосте объекта информатизации оргада внутртнних дтл.

Под уязвимостью будем пономить свмжстпо элемента защиты Оыть подвеуженннм еозрей-ствию угроз (деетс°)илизерующим <^мактс>|:-аал/1). Количмстсеннмй оцевеоу умзвммемти яе$ля€?тс вв коэффициент уязвимости, который о бюзначает-ся пап КдкАгп (= [0,1], вде т = - колиееетво элементов защите,

Определяется величина К^ет экеспемр^тнь^!м путем.

Гистограмм уязвимостп нтноитвся по каждому элементу знщиты. Рассматриваются следующнв элементызнщтты:

- персонал сорцггл^и^амм!^!/!, посетители;

- манереальные ценнонти, вплючая недвижс-

мость и трааспортные средства;

- информация ;

- финансовая деятельность (оказание услуг);

- этеномическая деятельноать;

- юридическся двятел ьнокти;

- инновационная демтельность.

Оаалогично, как с длавероятностей возникновения угроз вводятся п|ееделы вначимости уязвимости, киторые остгс)ны>1 не (рис. 3).

На тоетьем стапе не?c>ё5^сс^:сиn/^o определить последствия уфоз и сровести расчет коэффициента ущерба объекта информатизации органа вну-зренних дел.

[3 случаях, когда угроза реализуется, то есть нсстуиает та или иная чреоеычайная ситуация в дуятсльностм орпанизации: грабеж, убийство, сража тажной информации, несанкционированный доступ к конфидеициальным данным и т.п., следует рассматривать последствия от реализацим угроз, то есть моральные, материальные, физические, информационные и другие потери, который несет нбъект кредитно-финансовой сферы.

н и

X

п --( , I , 1-( 1-►

1 2 3 4 5 6 количество элементов

Рис. 3. Гистограмма уязвимости. Пределы значимости уязвимости олементы защиты объекта информатизации

Оцениваются последствия конкретной i угрозы единым безразмерным параметром - коэффициентом ущерба от реализации соответствующей угрозы, которую обозначаем как Кущу е [0,1], где i = 1,N - номер рассматриваемой угро зы, j = 1,M - номер возможного последствия соответствующей угрозы.

На четвертом этапе проводится определение риска, связи вероятности угрозы с коэффициентом ущерба, определение уровня риска и построение спектра рисков.

Риск - это вероятностная величина, определяемая о условиях возникновения ущорба, умени-шения поибыли и розникновения других возможных предполагаемых потерь в слрсад реализации угроз на объекте.

Под риском понимается производное выражение от двух величи н: вероятносто возникно-внния угроз,/ и коэффициентаущярба.

Количественное яначение риска сазыгаееся урхвнем риска и обозначается Rp е [0Д]:, где соответственно Г = КМЗ - немер рассматриваемой угрозЫ: j = l,M - номер воиможного последствия соответствующей угрозыг

Rij = P- 'КУЩу (3)

Г-осле аолучения к(злич^ст^^нного значеаия уровней риска акроиться спектр |оихков оля элс-ментов знщитыг объект- кредитно-финансовой сфераг Определяются уровни значений, по которым иаждынх риск соотоосят с лингвистичессими перемкнными, топа: оченс осасно, опасно, доста-тохоо опасне, и сому подобное, еелс оцепа -ги^ сков проводится экспертдми.

Это делается для онределения пределос допустимого (приемлемого) риска. Под ним понимаются угрозыр последствия которых сохраняют ра-бoтocпocoPнoclгь (кН"ьекта феди-но-финкнсс-из еферы1 и не сри-одят к серьезньпм потерям.

На четвертом этапе прово-нтня одеонх ор)га-ннзационюы1х н технических мероприитий гкг за-щитс информации, рсочет Е1епоЕ!1^1х коэффицибн-тов защитнын мероприяткй, (наделяются этапы их проведения.

Противодейстнин щгрознм, как ууж^ быхю ост-мечено панен, осуществляится комплексом ораа-ниоационныих и тнонических мерoприятий. К н им относятся вне действия обьнита оредитно-фбнан-сякой сфн-ы1, направленные на пр^^Ерупрезжкииеение^ присеченее и ликвидацию последствио различного рода угроз.

Реализацию системы обеспечения информационной безопасности, как было представлено на модели процесса борьбы с противоправными действиями, направленными на защи щаемую информацию можно поделить на три этапа:

1. Этап предупреждения. Время до возникновения угрозы: используются превентивные меры безопасности, проводится обучение и тренировки персонала объекта кредитно-финансовой сферы, службы безотазаости объекта, внедряются инженерзо-технические средства знщиты объекта, тзкие как охрцнно-зожарная сигналнзцция, видеонаблюдение, системы контроля и управления доступом и другие.

2. Этац пресечения. [3ремя аеализацня угрозы: используются мены по пресечению дтстабилизи-рующзх факторов, как правило, это меры опера-тианого реагирования.

3. Этап ликвидации поиледствий. В рем я по-сли реализарии уфозы: осуществляется оперс-тивные действия «по горяним следам», проводятся аварийно-спасательаые работы, исцользу-ются оперативные планы выхода из кризисных ситуаций, подкаючаются резервные источники электропетанья, восстанавляваетск котерянная информац ия и не.

Уньтыеаатся то, сто оаждое мероприятке может воздействовать не тольпо на одну конкретно угрозу, а также то, что каждую угрозу может блокирозать толако набор мероприятий.

Тасже учитывается, что каждое мероприятие импет разлкчные преимущества на конфетном атспе, напримке, охранная неснализтция играет важную роль кеь срздство обнаружения и не имеет ар и нцапиаль ео го знаиеиия при л ик-виьацие поспес^вин, если кражс информации ужт сосетшена. Пccэтccl^cy каждое меропри яти е прсдцтавляется вектором с весовыма коэффициентами вклада по блокированию кфоз на каждо м этапе.

На пятом этаье необходимо определить ко-эффициееь уязвимолти объккта ьтформцтизации кредитно-финансовой сферы.

Прьнцип формирования составляющих коэф-фищеента уязвимости оНъектн инфс^ати зации приведен сз -рис. Н).

Кюффициент уясвимости объскта информатизации нpидитно-финансовой сферы - это количественная оценка уровня безопасности объекта сащиты на исследуемый мрмент времени в конкретных уцловьях его функцзонироаания.

1. ЭТАП ПРЕДУПРЕЖДЕНИЯ

МП IМ 121

КРИМИННОГЕННАЯ ОБСТАНОВКА В РЕГИОНЕ

2. ЭТАП ПРЕСЕЧЕНИЯ

IМ 21 IМ 221

Kmi |

ОБЛАСТЬ УГРОЗ

|УГ1| |УГ2|...[yrNl

[

[I

экс

Р CT

ОБЪЕКТ ИНФОРМАТИЗАЦИИ

Кг

ЭЛЕМЕНТЫ ЗАЩИТЫ

|ЭЛ 1| |ЭЛ2| ...[элТ|

и

I Кмз I

возможный

УЩЕРБ

П11 I П 12 IП N

3. ЭТАП ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ

|мзЦ |м321... [мзг|

Рис. 4. Принцип формирования составляющих коэффициента уязвимости объекта инфо/иматизации кредитно-финансовой сферы

Значение коэффициента уязвимости будет рассчитываться следующим образом:

KößHÄ ^ KößQÄi' ßi ,

(4)

где KößHAi - коэффициент уязвимости по i-ой угрозе;

в - весоной коэффициент уерозы по ее максимальному коэффициннтуущерСе,определается как:

м

K к

-УЩу

ß, =

J

(5)

i м i

max ^ Кущц j

Значении коэффициента уязаимости обть<оккт^ информатизации по i-ой угрозе будет определяться:

м — M_K ' ' ^PfENi , \_ .

Кж^ — jKMj +а K , (6)

j—l a'ij ЛMlj + 2'j Лм2j + 3j

2'j 1^U2ij 1 3ij M3ij

где^ KMij , KM 2ij ' KM —ij

полезность исиользо-вания юго г^егрлопрзият^ия на соотхстствующих 1,22 или 3 этапах блопоровки п-ой угрозы;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

а^су^азу - внсоныи поэффициенты степени алияния -ноо мпроприятия на соответствующих ^т^г^-зх блозннгрэо^ипи пой угрооы.

Численныо значения состнсляющих коэффициента уязвимости объекта информатизации определяются с помощью математической обработки статистсческии данных и проведенных эксперт-аых охросов.

ВЫПОДЫ

м\/1;^"1гемглг1п-х<;Ески!|1 аппзрот по-^^олячсст^ счлусотв 1>;оли|а(^стЕге1нн;/1^ оцепху как су-щecтвующeзо,такспрогнозируeмосоуpоаияуязви-

ело^сти объекта информатизации. Если формулу (6) перевернуть «кверху ногами» то мы можем получить численное значение коэффициента защищен ности объекта информатизации, поскольку уя звимость объекта информатизации есть величина обратная его защищенности.

Крометого, следует отметить возможность данного математического подхода для оценки уровня комплексной безопасности объекта информатизации, поскольку при оценке вероятности угроз безопасности могут выбираться все возможные угрозы безопасности, которые напрямую могут быть не связаны с информационной безопасностью объекта, но в случае их реализации могут зн ачительно сни зить уровень информационной безопаснонти. Опато же если мы оцениваем полный перечень возможных угроз, то и перечень выбранных для их нейтрализации мер безопасности позволит обеспечить комплексную безопасность объекта информатизации.

В заключении следует сказать, что в настоящее время разработан программный продукт, позволяющий в автоматизированном режиме проводить эпспертные опросы, с использованием математического аппарата обрабатывать результаты, аыводить их в виде тчблиц и графиков. И в конечном нбЕнулптате определять, как существующий уровень информационной безопасности объекта, так и прогнозируемый при реализации дополнительных мер безопасно сти. Применение данного проираммноао продукта на целом ряде объектов понаолило обинкечкть эффективный подход к соаванпк вадежной системы информационной бeиоравиостр ипониТной противостоять всем возможным рискам.

i=1

Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор МГТУ им. Н.Э. Баумана, Москва, Россия. E-mail: [email protected]

Литература

1. Аверченков В.И., Рытов М.Ю. Организационная защита информации: учеб. пособие для вузов. Брянск: БГТУ, 2009.

2. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Колдуев Н.А. Обеспечение информационной безопасности бизнеса / 2-е издание перераб. и доп. М.: Альпина Паблишерз, 2011. 265 с.

3. Гафнер В.В. Информационная безопасность: учебное пособие. - Ростов н/Д: Феникс, 2010. 324 с.

4. Лапин В.В. Основы информационной безопасности органов внутренних дел [Текст]: учеб. пособие (в вопросах и ответах) / В. В. Лапин; МосУ МВД России. - М.: МосУ МВД России, 2012.

5. Козьминых С.И. Методологические основы обеспечения комплексной безопасности объекта, фирмы, предпринимательской деятельности. Монография. М-во внутренних дел Российской Федерации, Московский ун-т. Москва, 2005. 21 С.

6. Козьминых С. И. Организация защиты информации в российской полиции. Учебное пособие. М.: Юнити-Дана, 2017. 407 с.

7. Барабанов М.В., Денисенцев С.А., Кашин В.Б. и др. Радиоэлектронная борьба. От экспериментов прошлого до решающего фронта будущего. М.: Центр анализа стратегий и технологий, 2015. 248 с.

8. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 318 С.

9. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. Учебное пособие. М.: «Гелиос АРВ», 2006. 528 С.

10. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие. М.: Форум - ИНФРА-М, 2007. 607 С.

11. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. Учебное пособие. М.: Академия, 2007. 331 С.

12. Шиверский А.А. Защита информации: проблемы теории и практики. М.: Юристъ, 1996. 112 с.

13. Аглицкий И. Состояние и перспективы информационного обеспечения российских банков // Банковские технологии, №1, 1997. С.25-28.

14. Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. - СПБ: Питер, 1997 г.

15. Заратуйченко О.В. Концепции построения и реализации информационных систем в банках // СУБД, №4.1996.

16. Кузнецов В.Е. Измерение финансовых рисков // Банковские технологии, №9. 1997. 76-78 С.

17. Тарасов П.И. Диасофт предлагает комплексные решения для банков // Мир ПК, №5. 1998.

MATHEMATICAL MODELING OF CREDIT AND FINANCE COMPLEX SECURITY SOLUTIONS

Kozminykh S.I.2

Abstract. This paper presents a methodology for an integrated approach to information security facilities credit and financial sphere. The basic principles of an integrated security information of the object credit and financial sphere. It is noted that the design of the system to provide a comprehensive security information of the object of credit and the financial sector, it is necessary to conduct choice of directions and principles for its implementation.The mathematical modeling of complex security level information of the objects-bank financial sphere using probabilities Torii, whose aim is to obtain a functional relationship to find the numerical value of the coefficient vulnerability evaluating level complex security object-bank financial sphere. The process of mathematical modeling is divided into five stages, as a result of which the components are obtained and the formula of the coefficient vulnerability information of the object which are determined by mathematical statistical data processing and peer poll. As a conclusion is that the developed mathematical formalism allows to obtain a quantitative assessment of both the existing and projected vulnerability information of the object. Also noted the possibility of the mathematical approach to assess a complex object-level security information of the credit and financial sphere.

2 Sergey Kozminykh, Dr.Sc. (Technical Sc), Professor University of Finance under the Governments of the Russian Federation, Moscow, Russia. E-mail: [email protected]

Keywords: an integrated approach to information security, information security threat object credit and financial sphere, the principles of providing comprehensive security information of an object, statistical probability, expert evaluation, a single dynamic coefficient of a threat, damage ratio, coefficient of vulnerability.

References

1. Averchenkov V.I., Rytov M.Yu. Organizatsionnaya zashchita informatsii: ucheb. posobie dlya vuzov. Bryansk: BGTU, 2009.

2. Andrianov V.V., Zefirov S.L., Golovanov V.B., Kolduev N.A. Obespechenie informatsionnoy bezopasnosti biznesa / 2-e izdanie pererab. i dop. M.: Al'pina Pablisherz, 2011. 265 P.

3. Gafner V.V. Informatsionnaya bezopasnost': uchebnoe posobie. - Rostov n/D: Feniks, 2010. 324 P.

4. Lapin V.V. Osnovy informatsionnoy bezopasnosti organov vnutrennikh del [Tekst]: ucheb. posobie (v voprosakh i otvetakh) / V. V. Lapin; MosU MVD Rossii. - M.: MosU MVD Rossii, 2012.

5. Koz'minykh S.I. Metodologicheskie osnovy obespecheniya kompleksnoy bezopasnosti ob''ekta, firmy, predprinimatel'skoy deyatel'nosti. Monografiya. M-vo vnutrennikh del Rossiyskoy Federatsii, Moskovskiy un-t. Moskva, 2005. 21 P.

6. Koz'minykh S. I. Organizatsiya zashchity informatsii v rossiyskoy politsii. Uchebnoe posobie. M.: Yuniti-Dana, 2017. 407 P.

7. Barabanov M.V., Denisentsev S.A., Kashin V.B. i dr. Radioelektronnaya bor'ba. Ot eksperimentov proshlogo do reshayushchego fronta budushchego. M.: Tsentr analiza strategiy i tekhnologiy, 2015. 248 P.

8. Skiba V.Yu., Kurbatov V.A. Rukovodstvo po zashchite ot vnutrennikh ugroz informatsionnoy bezopasnosti. SPb.: Piter, 2008. 318 P.

9. Tikhonov V.A., Raykh V.V. Informatsionnaya bezopasnost': kontseptual'nye, pravovye, organizatsionnye i tekhnicheskie aspekty. Uchebnoe posobie. M.: «Gelios ARV», 2006. 528 S.

10. Partyka T.L., Popov I.I. Informatsionnaya bezopasnost'. Uchebnoe posobie. M.: Forum - INFRA-M, 2007. 607 P.

11. Mel'nikov V.P., Kleymenov S.A., Petrakov A.M. Informatsionnaya bezopasnost' i zashchita informatsii. Uchebnoe posobie. M.: Akademiya, 2007. 331 P.

12. Shiverskiy A.A. Zashchita informatsii: problemy teorii i praktiki. M.: Yurist'', 1996. 112 P.

13. Aglitskiy I. Sostoyanie i perspektivy informatsionnogo obespecheniya rossiyskikh bankov, Bankovskie tekhnologii, No 1, 1997, pp. 25-28.

14. Abramov A.V. Novoe v finansovoy industrii: informatizatsiya bankovskikh tekhnologiy. - SPB: Piter, 1997.

15. Zaratuychenko O.V. Kontseptsii postroeniya i realizatsii informatsionnykh sistem v bankakh, SUBD, No 4.1996.

16. Kuznetsov V.E. Izmerenie finansovykh riskov // Bankovskie tekhnologii, No 9. 1997, 76-78 pp.

17. Tarasov P.I. Diasoft predlagaet kompleksnye resheniya dlya bankov, Mir PK, No 5. 1998.

i Надоели баннеры? Вы всегда можете отключить рекламу.