ТЕХНИЧЕСКИЕ НАУКИ
МЕТОДИКА АНАЛИЗА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СФЕРЕ С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКОЙ ЛОГИКИ Картак В.М.1, Гатиятуллин Т.Р.2
1Картак Вадим Михайлович - доктор технических наук, профессор, заведующий кафедрой; 2Гатиятуллин Тимур Радикович - магистр, кафедра вычислительной техники и защиты информации, факультет информатики и робототехники, Уфимский государственный авиационный университет, г. Уфа
Аннотация: в настоящее время существует множество методик оценки рисков информационной безопасности, но конкретно для финансовых организаций есть только методика, предложенная стандартом Банка России, однако использование аппарата нечеткой логики позволит расширить возможность данной методики, также позволит оптимально использовать качественные и количественные оценки входных параметров, представленные экспертами.
Ключевые слова: информационная безопасность, методика оценки рисков, нечеткая логика, риски информационной безопасности, анализ рисков.
Анализ рисков информационной безопасности имеет основополагающее значение для безопасности любой организации. Он нужен для обеспечения контроля за тем, чтобы средства безопасности и расходы полностью соответствовали рискам, которым подвергается организация.
Безопасность в любой системе должна быть соизмерима с ее рисками. Тем не менее, процесс определения того, какие средства контроля безопасности являются приемлемыми и экономически эффективными, нередко является сложным, а иногда и субъективным. Одной из основных функций анализа риска безопасности является то, чтобы этот процесс был более объективным [2].
Особого внимания относительно рисков информационной безопасности заслуживает банковская сфера, так как стоимость информации в компаниях, работающих в данной области, ещё выше за счёт превалирования персональных данных клиентов, обладание которыми даёт возможность получить несанкционированный доступ к финансовым ресурсам [2].
На данный момент не существует стандартизированной методики анализа и оценки рисков информационной безопасности для кредитных организаций, обязательной для применения банками России. Тем не менее, существует методика анализа и оценки рисков ИБ в организациях банковской системы РФ, разработанная в 2009 году Банком России. Банковский стандарт информационной безопасности СТО БР ИББС-1.0-2014 определил требование проведения оценки рисков нарушения информационной безопасности. Настоящая методика устанавливает рекомендуемые способы и порядок проведения оценки рисков нарушения ИБ организации БС РФ, являющейся составной частью системы менеджмента ИБ организации [1].
Для решения задачи оценки рисков информационной безопасности в настоящее время наиболее часто используются следующие программные комплексы: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS и ряд других.
Существует ряд различных подходов к анализу рисков. Они разбиваются на два типа: количественные и качественные.
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными
значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. К таким методикам, например, можно отнести RiskWatch.
Однако, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. В таком случае применяется качественный метод. При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0... 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. К этому виду относится методика FRAP.
Очевидно, что среди описанных в данной работе методик нет идеального варианта для кредитных организаций, так как ни одна компания-разработчик не ставила своей целью создание алгоритма анализа и оценки рисков ИБ для предприятий какой-либо конкретной сферы.
Для устранения недостатков методик анализа и оценки рисков ИБ предлагается использовать нечёткую логику (далее - НЛ), которая позволяла бы определять величину риска на основе субъективных оценок всех уровней информационной безопасности.
Использование аппарата нечеткой логики для оценки рисков является актуальным при недостатке данных практических знаний. Аппарат нечеткой логики гарантирует функционирование такой системы, в которой человеческое мышление и недостоверные сведения могут оказать воздействие на анализ рисков. Таким образом область применения НЛ довольно широкая, так как множество рисков нельзя проверить или они могут быть неизвестными, это подтверждают ежедневные новости о компьютерной безопасности [3].
Для создания методики оценки рисков нужно сформировать экспертную систему, которая была бы выполнена в виде системы нечёткого вывода и давала возможность определять величину риска на основе субъективных оценок всех рубежей информационной безопасности.
Применение в данной методике экспертных оценок и табличных форм дает возможность использовать аппарат нечеткой логики для оценки рисков нарушения информационной безопасности. Данный вид логики позволит расширить возможность методики оценки рисков стандарта Банка России и более оптимально использовать качественные и количественные оценки входных параметров, представленные экспертами.
Список литературы
1. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Общие положения» СТО БР ИББС-1.3-2016 [от 01-03-2016] // Сайт Банка России. [Электронный ресурс]. Режим доступа: www.cbr.ru/ (дата обращения: 14.02.2018).
2. Родина Ю.В. Оценка риска нарушения информационной безопасности по модели нечёткой логики с корректировкой параметров её терм-множеств. [Электронный ресурс] // Управление экономическими системами: электронный научный журнал, 2011. № 6. Режим доступа: http://www.uecs.ru/ (дата обращения: 4.02.2018).
3. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности, М: Образовательные ресурсы и технологии, 2015. (1). С. 73-79.