МЕТОДИЧЕСКИЕ АСПЕКТЫ МОДЕЛИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ОРГАНИЗАЦИИ
METHODICAL ASPECTS OF MODELLING THE INFORMATION PROTECTION SYSTEM IN THE ORGANIZATION
удк 50.37.23,004.732.056 doi: 10.25631/pej.2019.2.64.70
СТЕЛЬМАШОНОК Елена Викторовна
заведующая кафедрой вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, доктор экономических наук, профессор, vitaminew@gmail.com
STELMASHONOK, Elena Viktorovna
Head of the Computer Systems and Programming Department, Saint Petersburg State University of Economics, Doctor of Economics, Professor, vitaminew@gmail.com
СТЕЛЬМАШОНОК Виталий Леонидович
доцент кафедры менеджмента и инноваций Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, stelmashonok@gmail.com
STELMASHONOK, Vitaly Leonidovich
Associate Professor at the Management and Innovation Department, Saint Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, stelmashonok@gmail.com
Аннотация.
Проблема обеспечения информационной безопасности предприятий и организаций бесспорно актуальна, а если ее рассматривать в контексте защиты объектов критической информационной инфраструктуры, то и необыкновенно остра. Данная статья посвящена вопросам моделирования системы защиты информационной системы организации, основанной на принципах экономической целесообразности и разумной достаточности использования механизмов защиты. В статье рассматриваются методические положения моделирования системы защиты информации, циркулирующей на объектах информатизации в организации. Основываясь на том положении, что построение систем обеспечения информационной безопасности является очень сложным и дорогостоящим процессом, рекомендуется оценивать тот ущерб, который организация может понести в результате реализации наиболее вероятных угроз.
Ключевые слова: информационная безопасность, система защиты информации, модель защиты, меры и средства защиты, информационные ресурсы, информационные угрозы.
© Стельмашонок Е. В., Стельмашонок В. Л., 2019.
Abstract.
The problem of information security of enterprises and organizations is undoubtedly relevant, and if it is considered in the context of the protection of critical information infrastructure, it is extremely acute. This article is devoted to the modeling of the information system protection system of the organization, based on the principles of economic feasibility and reasonable sufficiency of the use of protection mechanisms. The article discusses the methodological position of the modeling system for the protection of information circulating in the information objects in the organization. Based on the position that the construction of information security systems is a very complex and expensive process, it is recommended to assess the damage that the organization may suffer as a result of the implementation of the most likely threats.
Key words: information security, information security system, security model, measures and means of protection, information resources, information threats.
В современных условиях развития информационного общества на первое место выходят вопросы обеспечения цифрового суверенитета страны, что является важным условием устойчивого социально-экономического развития и сохранения суверенитета Российской Федерации в целом [1]. Для этого необходимо обеспечить развитие отечественной технической и электронной базы, программного обеспечения, так как информационные технологии становятся неотъемлемой частью всех сфер деятельности, главным «фактором ускорения экономического развития государства и формирования информационного общества» [2].
В рамках действующей Доктрины информационной безопасности, информационная безопасность трактуется как защищенность личности, общества и государства от внутренних и внешних информационных угроз, при которой обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-
экономическое развитие Российской Федерации, оборона и безопасность государства [3].
Законодательством рассматривается вопрос об обеспечении автономности российского сегмента сети Интернет, как гарантии цифрового суверенитета, предполагающего бесперебойное функционирование сетевой инфраструктуры на территории России, даже в случае недружественных действий со стороны иностранных государств, направленных на прекращение предоставления доступа к Всемирной сети [1].
В обеспечении информационной безопасности в не меньшей степени заинтересованы предприятия и организации России, особенно если речь идет о защите объектов критической информационной инфраструктуры.
Это требует разработки такой политики безопасности, основанной на анализе информационных угроз, чтобы в рамках выделенного бюджета были обеспечены определенные уровни конфиденциальности, целостности и доступности информационных ресурсов организации.
Рассмотрим методические аспекты моделирования системы защиты информации в организации. В первую очередь определяется объем финансовых средств, выделяемых на обеспечение информационной безопасности на основе возможных потерь от реализации угроз, определяемой пятью уровнями лингвистической переменной, предложенное авторами статьи (таблица).
Так как невозможно учесть абсолютно все угрозы и защититься от всех них, то необходимо следовать принципу разумной достаточности и при определении угрозы обратить внимание на те угрозы, реализация которых может нанести наибольший ущерб организации.
Однако в отдельных случаях получение числовых значений потенциального ущерба для каждой конкретной угрозы на защищаемом объекте не всегда становится возможным, если в результате реализации угрозы наносится ущерб имиджу организации [5].
Основные характеристики исходного и повышенного уровня защиты подробно изучены в [6].
При определении угроз в организации на конкретном объекте информатизации рекомендуется использовать банк угроз безопасности информации, который сформирован
Федеральной службой по техническому и экспортному контролю (ФСТЭК) России, Государственным научно-исследовательским испытательным институтом проблем технической защиты информации ФАУ «ГНИИИ ПТЗИ ФСТЭК России» [7].
Так как возможные источники угрозы возникают вследствие наличия определенной уязвимости, то для выбора механизма защиты необходимо ее определение [8].
Наиболее полный список уязвимостей их параметров представлен на сайте ФСТЭК России [7].
Затем с помощью инструментов моделирования необходимо проводить оценку эффективности проекта информационной безопасности на основе показателей: коэффициентов защищенности системы, формулы (1,2,3), коэффициента экономической эффективности (8).
Общий коэффициент защищенности для системы защиты информации в организации может быть рассчитан по формуле
Кг =
I
}=1
Хц
(1)
п
Таблица
Значения лингвистической переменной возможных потерь от реализации угроз
№ п/п Значение лингвистической переменной возможных потерь организации от реализации угроз Расчетное значение получено авторами (кп) Эталонное значение, требуемый уровень защищенности организации
1 Очень низкие 0,07 0,4
2 Низкие 0,13 0,5
3 Средние 0,22 0,7
4 Высокие 0,27 0,8
5 Очень высокие 0,33 0,95
где К - общий коэффициент защищенности для г-го решения;
п - количество коэффициентов, характеризующих г-е решение;
х.. - значение .-го коэффициента защищенности г-го решения.
Далее рассчитывается коэффициент защищенности от каждой угрозы (Ь.) по формуле
тенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации [5].
Риск рассчитывается в денежном выражении как произведение вероятности реализации неблагоприятного события на величину возможных потерь при его реализации по формуле
X Kj
Ri = Pi х П
L =
j=i
n
(2)
X L
M =
(3)
n
P = 1 - L.
(4)
Возможные потери от одноразового воздействия угрозы могут быть описаны по формуле
П = Кп х S Л
(5)
(6)
где Ь - общий коэффициент защищенности от г-й угрозы;
К.. - коэффициент защищенности от г-й угрозы, обеспечиваемый .-м решением;
п - количество решений, защищающих от данной угрозы.
А общий коэффициент защищенности от всех видов информационных угроз может быть найден по формуле
где Я - риск;
Р. - вероятность реализации г-й угрозы;
П. - возможные потери от реализации г-й угрозы.
Предотвращенные потери - величина, противоположная риску, в денежном выражении рассчитывается как произведение вероятности того, что неблагоприятное событие не произойдет, на величину возможных потерь в случае реализации риска по формуле
Di = (1 - pi) • ni,
(7)
где М - общий коэффициент защищенности;
Ь. - общий коэффициент защищенности от .-й угрозы;
п - количество возможных угроз. Вероятность реализации угрозы представлена формулой
где П. - потери от реализации угрозы; КП - коэффициент потерь; 5Л. - стоимость актива организации, подлежащего защите;
Опасность угрозы определяется риском в случае ее успешной реализации. Риск - по-
где - Б. - предотвращенные потери от г-й угрозы;
р. - вероятность реализации г-й угрозы;
П. - возможные потери от реализации г-й угрозы.
Различают ущерб непосредственный и опосредованный.
Непосредственный связан с причинением материального, морального, финансового, физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации [5].
В качестве примера нанесения непосредственного и косвенного вреда владельцу информации рассмотрим атаку на веб-сервер, который обрабатывает заказы покупателей в интернет-магазине. Пусть он при работе круглый год и круглосуточно приносит в среднем 3000 руб. в час, тогда в год - 26 280 000 руб. Убыток в случае выхода из строя сервера на 7 часов в случае успешной БоБ-атаки составит 10 500 руб. В случае потери актива компания,
которая владеет интернет-магазином, может потерпеть убытки в результате негативного отношения покупателей к выходу из строя веб-сервера. Естественно, расчет косвенных убытков является наиболее трудной задачей и почти никогда не бывает точным. Допустим, чтобы восстановить репутацию, компания должна потратить 120 000 на рекламу интернет-магазина и ожидать, что годовой объем продаж упадет на 0,5%, т. е. на 87 600 руб. Сложив две полученные величины, получим косвенный ущерб в виде 187 600 руб.
В случае реализации одной угрозы можно вычислить ожидаемый разовый ущерб, который по сути представляет собой денежную величину, характеризующую потенциальный ущерб для компании в данном случае. Ее вычисляют умножением стоимости актива на величину фактора подверженности воздействию (процент величины ущерба от реализации угрозы конкретному активу). Если стоимость актива 40 000 руб. и в результате пожара ущерб составит 15% от его стоимости. соответственно, ожидаемый разовый ущерб будет равен 6000 руб.
Коэффициент экономической эффективности средств защиты информации отражает объем предотвращенных потерь на единицу защищенности и расчитывается по формуле
К=-
I в,
м
-•100%.
(8)
Оценка эффективности построенной системы защиты информации может быть произведена на основе полученного коэффициента экономической эффективности [9; 10].
Рассмотрим основные этапы моделирования системы защиты информации в организации.
Для решения поставленной задачи необходимо ознакомиться с информационными ресурсами организации (Это один из наиболее важных моментов в исследовании организации при разработке системы безопасности, так как именно информационная система и является объектом защиты.):
• Описание информационной структуры включает в себя описание основной производственной и управленческой информации, цир-
кулирующей в организации (какие документы в каких отделах составляются, кому передаются, где хранятся).
• Описание корпоративной информационной системы организации (КИС) - в данном разделе описываются аппаратные и программные средства (топология сети, расположение серверов, программного обеспечения).
• Описание существующей системы информационной безопасности.
Для оценки информационных рисков организации предоставляется список из базовых угроз безопасности:
1) угроза несанкционированного доступа;
2) угроза анализа сетевого трафика;
3) угроза удаленного администрирования;
4) угроза подмены доверенного объекта или субъекта распределенной вычислительной системы;
5) угроза внедрения в распределенную вычислительную систему ложного объекта;
6) угроза отказа в обслуживании;
7) угроза нарушения целостности;
8) угроза проникновения вредоносных разрушающих программ (компьютерных вирусов);
9) угроза от инсайдеров (несанкционированные действия нарушителей из числа сотрудников организации).
В зависимости от описанной информационной структуры организации, его информационного окружения и прошлого опыта определяется оценка возможных потерь в случае реализации каждой угрозы. Целесообразно выделить пять уровней потерь:
• очень высокие;
• высокие;
• средние;
• низкие;
• очень низкие.
Для правильного анализа рисков и управления ими для каждой угрозы необходимо определить следующее [6]:
• источник угрозы;
• компоненты системы, на безопасность которых влияет данная угроза;
• уровень серьезности угрозы;
• частоту возникновения событий, представляющих данную угрозу.
Для правильной оценки серьезности угрозы необходимо учитывать факторы:
• для источников предсказуемых угроз -закономерность, возможности, доступные ресурсы системы, причины привлекательности;
• для источников случайных угроз - географические факторы, человеческие факторы и факторы, влияющие на ошибки в работе оборудования.
Далее в зависимости от важности угрозы, т. е. от величины возможных потерь, предлагается выбрать из предложенного списка те угрозы, риск по которым является неприемлемым и, следовательно, от реализации которых следует защитить систему.
Проект системы защиты информации разрабатывается сроком на пять лет. Ежегодно организацией выделяется определенная сумма на обеспечение информационной безопасности. Не потраченные в текущий год средства перераспределяются в бюджет следующего года.
От каждой угрозы предусмотрены необходимые средства защиты. Каждое из них характеризуется своими значениями показателей. Организация должна оценить эффективность каждого выбираемого средства. Необходимо основываться на соотношении эффективность-стоимость, а также принимать во вни-
мание возможность использования одного и того же средства для защиты от нескольких угроз, срок покупаемой лицензии и количество пользователей каждой лицензии.
В результате:
• формируются годовые отчеты о затратах на информационную безопасность, где будут указаны приобретенные СЗИ и их стоимость, суммарные годовые затраты и остаток денежных средств на конец каждого года;
• для каждого отчетного года готовится обоснование выбора программных средств: анализ цена-эффективность, сравнительный анализ программных средств, защищающих от одной угрозы, анализ цена-преимущество. По каждому программному средству представляются значения показателей защищенности и итоговый коэффициент защищенности программного средства;
• по каждой угрозе - возможные потери, вероятность реализации угрозы, коэффициент защищенности по угрозе, риск, доход (предотвращенные потери);
• рассчитываются общий коэффициент защищенности информационной системы и коэффициент экономической эффективности системы защиты информации.
Затем разрабатываются мероприятия по улучшению системы защиты информации.
Список литературы
1. О необходимости обеспечения автономности российского сегмента сети Интернет как гарантии цифрового суверенитета. URL: https://www.pnp.ru/opinions/o-neobkhodimosti-obespecheniya-avtonomnosti-rossiyskogo-segmenta-seti-internet-kak-garantii-cifrovogo-suvereniteta.html (дата обращения: 13.01.2019).
2. Стельмашонок Е. В., Стельмашонок В. Л. Объектно-ориентированный подход к моделированию системы защиты информации // Петербургский экономический журнал. 2018. № 2. С. 30-42.
3. Доктрина информационной безопасности Российской Федерации от 5 декабря 2016 года № Пр-646. http://docs.cntd.ru/document/420384668 (дата обращения: 12.01.2019).
4. Общие вопросы технической защиты информации. Методы оценки опасности угроз. URL: https://www.intuit.ru/studies/courses/2291/591/lecture/12687?page=2 (дата обращения: 17.02.2019).
5. Стельмашонок Е. В. Информационная инфраструктура поддержки и защиты корпоративных бизнес-процессов: экономико-организационные проблемы. СПб.: СПбГИЭУ, 2005. 151 с.
6. Банк данных угроз безопасности информации. URL: http://bdu.fstec.ru/ threat?size=100 (дата обращения: 17.02.2019).
7. Сервис создания моделей угроз. URL: http://www.threat-model.eom/#readme (дата обращения: 14.01.2019).
8. Enikeeva L. A., Stelmashonok E. V., Stelmashonok V. L. Models of optimizing the information security industry infrastructure // Mediterranean Journal of Social Sciences, MCSER Publishing, Rome-Italy. 2015. Vol. 6. № 5. P. 353-359.
9. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. М.: ДМК Пресс, 2017. 389 с. URL: https://www.litres.ru/aleksandr-petrenko/audit-bezopasnosti-intranet-22806624/ (дата обращения: 14.01.2019).
10. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. М.: ДМК Пресс, 2004. 384 с.