Модель выбора программно-аппаратных средств защиты информации в коммерческих организациях Текст научной статьи по специальности «Компьютерные и информационные науки»

air exchange in system of heat supply a heat pump of low textile rooms ]// Izvestija vysshih uchebnyh zavedenij. Tehnologija tekstil'noj promyshlennosti. [News of higher educational institutions. Technology of the textile industry] 2016. № 5 (365). P. 210-215. [in Russian]

3. Alojan R.M., Fedoseev V.N., Petruhin A.B., Zajceva I.A., Voronov V.A., Emelin V.A. Analiz jenergojeffektivnosti vozdushnogo teplovogo nasosa i jelektrokotla v uslovijah tekstil'nogo i shvejnogo proizvodstva [The analysis of energy efficiency of an air heat pump and the electric boiler in the conditions of textile and sewing production] / R.M. Alojan., V. N.Fedoseev, A. B.Petruhin, I. A. Zajceva, V. A.Voronov, V. A. Emelin // Izvestija vysshih uchebnyh zavedenij. Tehnologija tekstil'noj promyshlennosti. [News of higher educational institutions. Technology of the textile industry]. 2016. № 4 (364). P. 5-12 [in Russian]

4. Bumagin A. Principy postroenija jeffektivnoj sistemy avtonom-nogo otoplenija [Principles of creation of efficient system of independent heating ] / A.Bumagin // Zhurnal "Akva-Term" [Akwa Term magazine] №6(58) // http://aqua-therm.ru/articles/articles_169.html [in Russian]

5. Voronov V. A., Emelin V. A., Fedoseev V. N., Zajceva I. A. Klima-ticheskie uslovija i faktory, vlijajushhie na proizvoditel'nost' vozdushnogo teplovogo nasosa [The climatic conditions and factors influencing efficiency of an air heat pump] // Teorija i praktika tehnicheskih, organizacionno-tehnologicheskih i jekonomicheskih reshenij [Theory and practice of technical, organizational and technological and economic solutions]. Sbornik nauchnyh trudov. 2015. P. 241-251. [in Russian]

DOI: https://doi.org/10.23670/IRJ.2017.58.083 Фот Ю.Д.

ORCID: 0000-0002-8819-9100, Кандидат технических наук, доцент, ФГБОУ ВО Оренбургский государственный университет МОДЕЛЬ ВЫБОРА ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

В КОММЕРЧЕСКИХ ОРГАНИЗАЦИЯХ

Аннотация

В статье приведена модель выбора программно-аппаратных средств защиты информации при внедрении в автоматизированную информационную систему коммерческой организации, с учетом величины возможного ущерба от реализации угрозы, риском информационной безопасности и стоимости программно-аппаратных средств защиты информации. Предложена условная схема оценки рисков информационной безопасности автоматизированной информационной системы коммерческой организации. Проведена экспериментальная оценка предложенной модели.

Ключевые слова: программно-аппаратные средства защиты информации, уровень защищенности информационной системы коммерческого предприятия.

Fot Yu.D.

ORCID: 0000-0002-8819-9100, PhD in Engineering, Associate Professor, FGBOU Orenburg State University CHOISE MODEL OF SOFTWARE AND HARDWARE INFORMATION SECURITY FACILITIES

IN COMMERCIAL ORGANIZATIONS

Abstract

The paper presents the model for selection of software and hardware information security tools for implementation into an automated information system of a commercial organization, taking into account the amount of possible damage from the implementation of the threat, the risk of information security, and the cost of software and hardware information security facilities. The author proposed a conditional scheme for assessment of information security risks of an automated information system of a commercial organization. The experimental estimation of the proposed model is carried out.

Keywords: software and hardware means of information security, level of security of information system of a commercial enterprise.

Современные темпы развития и распространения информационных технологий, обострение конкурентной борьбы требуют создания высокого уровня защищенности информационной автоматизированной системы коммерческих организаций (АИС КО), включающие в себя правовые, организационные, физические, а также программно-аппаратные меры защиты информации.

Под уровнем защищенности АИС КО, в данной статье, понимается совокупность различных вариантов программно-аппаратных средств защиты информации (ПАСЗИ). Для определения затрат на приобретение ПАСЗИ в первую очередь необходимо проводить анализ рисков информационной безопасности АИС КО, который позволит оценить существующий уровень защищенности.

В ходе исследования, на основе [1], была разработана условная схема оценки рисков информационной безопасности коммерческой организации (рис. 1).

Исходные данные организации

Данные нормативно-методической базы в области обеспечения ИБ

Определение типов информационных

ресурсов г={г1,г2,...,гт}

1 этап

2

Определение перечня свойств ИБ для каждого типа информационногоресурса

Определение стоимости информационного ресурса $={81,82,...,8т}

3 этап Определение перечня источников угроз безопасности информации (нарушителей) Б с учетом их характеристик

4 этап Определение множество определенных действий У{У1,У2,.. .Утах}

Определение перечня типов объектов среды 1={11,12,...,1т} 2 этап -> Распределение типов объектов среды по уровням информационной инфраструктуры организации

<-

Данные о расположении источника угрозы относительно типов объектов среды ^ 5 этап Расчет вероятности реализации угрозы Ру,% Нереализуемая 0%

Статистические данные г Минимальная 1%-20%

Предположение о квалификации и ресурсах источникаугрозы ^

Средняя 21%-50%

Информацияо способах реализации угроз ^ Высокая 51%-70%

Информация о сложностях обнаружения реализации угрозы

г Очень высокая 71%-90%

Данные о наличии у рассматриваемых типов объектов среды защитных мер ^ Критиче ская 91%-100%

г

Степень влияния на деятельность и репутацию организации 6 этап Оценка степени тяжести последствий нарушения ИБ S(У), руб.

Объем людских ресурсов и временных затрат ^

Объем финансовых и материальных потерь ^

Данные о наличии у рассматриваемых типов объектов среды защитных мер

Объем уничтоженной информациипо каждому типу объекта среды г

_V

7 этап Определение риска информационной безопасности системы коммерческой организации Rу

Рис. 1 - Условная схема оценки рисков информационной безопасности АИС КО

Опираясь на данную схему, была разработана математическая модель. К исходным данным относятся:

• множество информативных ресурсов г={г1,г2,...,гт}, хранящихся в автоматизированной информационной системе коммерческой организации;

• множество типов объектов среды Ь={1ь12,.. .,1т};

• множество стоимостей информационного ресурса 8={&'1,&,2,...,&,т};

• множество конкретных нарушителей Б с учетом их характеристик ¥={у1,у2,...,у„};

• множество определенных действий Уд{У¡,У2,...Утах};

• множество способов использования информации Уи{Уиь..., Уитах}.

Задача выбора ПАСЗИ выражена через его эффект внедрения ПАСЗИ F, зависящий от степени тяжести последствий нарушения информационной безопасности S(У), оценки риска информационной безопасности Ry при допустимых затратах на программно-аппаратные средства защиты информации Z.

Расчет вероятности реализации угрозы РУ производился на основании статистики инцидентов угроз: средние статистические данные вероятности предотвращенных и успешных атак РС и усредненные данные экспертных оценок вероятности осуществления деструктивных действий РЭ.

Ру = (Рс + Рэ)/2, (1)

При этом:

где: СУд - количество успешных атак;

СУи - количество предотвращенных атак.

Рс = 1--^_ (2)

При оценке вероятности осуществления деструктивных действий РЭ экспертам предлагается опираться на шкалу, представленную на рис. 1.

Расчет оценки степени тяжести последствий нарушения ИБ от реализации определенных действий Уд для владельца информационного ресурса г коммерческой организации S(У) представляет собой сумму ущерба владельца от получения доступа к информационным ресурсам АИС КО S(Уд) и ущерба владельца от использования информационного ресурса АИС КО S(Уи):

5 (У) = 5]5 (Уд)+£5 (Уи), (3)

Таким образом, оценка риска информационной безопасности АИС КО, может быть представлена количественно, т.е. риск оценивается через числовое значение, в данном случае, через размер ожидаемых потерь за определенный период времени. Значение риска вычисляется отдельно для каждой угрозы, и в общем случае представляется как произведение вероятности угрозы на величину возможного ущерба от реализации угрозы.

Ду = 5 (У) ■ Ру, (4)

Затраты на приобретение программно-аппаратных средств защиты информации Z, должны быть значительно ниже оценки риска информационной безопасности автоматизированной информационной системы коммерческой организации Ry.

Представленная совокупность показателей оказывает влияние на эффект внедрения средств защиты информации в систему коммерческой организации. Эффект внедрения ПАСЗИ в автоматизированную информационную систему коммерческой организации F определяется как соотношение ущерба от реализации угрозы S(У) к разнице между оценкой риска информационной безопасности автоматизированной информационной системы коммерческой организации ЯУ и затратами на программно-аппаратные средства защиты информации Z.

Р =--> шах, (5)

йу-г ' 4 '

Если F < 0, то затраты на систему защиты превышают выгоду от ее функционирования, из этого следует, что необходимо уменьшение текущих затрат на поддержание безопасности АИС КО. Выбирается другая совокупность вариантов программно-аппаратных средств защиты информации с минимальным риском ЯУ до получения положительного эффекта. Если F > 0, то выбирается совокупность вариантов программно-аппаратных средств защиты информации, соответствующая максимальному значению.

Экспериментальная оценка модели проводилась для угрозы «Спам». Пусть количество предотвращенных атак с использованием способа доступа к информационным ресурсам - 55 инцидентов за сутки, количество успешных атак -6 инцидентов за сутки. Предположим, в коммерческой организации работает 100 сотрудников, средняя зарплата которых составляет 14000 Р/месяц, т.е. 636,4 Р/день; среднее время, затрачиваемое на открытие и удаление письма -спама составляет 30 секунд, т.е. 0,000347 дня. Тогда, ущерб от реализации угрозы для владельца информационных ресурсов Б(У) = 397,75 Р/день.

Используя предложенную модель, определено влияние различных вариантов программно-аппаратных средств защиты информации на эффект внедрения средств защиты информации в систему коммерческой организации (табл.1.).

Таблица 1 - Оценка эффекта внедрения ПАСЗИ в АИС КО

Варианты ПАСЗИ is s a s

Показатели ^^ Эффекта внедрения ПАСЗИ в АИС КО Spam As Касперский, Symantec SpamAssassin, Касперский SpamAssassin, Symantec SpamAssassin Касперский Symantec

Pc,% 9,84% 9,84% 9,84% 9,84% 9,84% 9,84%

Рэ,% 2,00% 3,00% 4,00% 23,00% 15,00% 14,00%

Ру,% 5,92% 6,42% 6,92% 16,42% 12,42% 11,92%

S(Y), Р/день 397,75 Р 397,75 Р 397,75 Р 397,75 Р 397,75 Р 397,75 Р

Z2, Р/день 60,55 Р 48,20 Р 15,55 Р 3,20 Р 45,00 Р 12,35 Р

Ry , Р/день 23,55 Р 25,54 Р 27,52 Р 65,31 Р 49,40 Р 47,41 Р

Показатель эффекта ПАСЗИ, F внедрения -10,75 -17,55 33,22 6,40 90,39 11,34

Значение оценки риска R У, имеющее в данном случае денежное выражение, показывает вероятные потери от реализации угрозы РУ. Наименьшее значение риска от угрозы спама, возникает при использовании первого и второго варианта ПАСЗИ однако, затраты на использование и приобретение данного ПАСЗИ значительно выше других вариантов. Показателя эффекта внедрения ПАСЗИ указывает, что для коммерческой организации недопустимо использование первого и второго варианта ПАСЗИ.

Третий, четвертый, пятый и шестой варианты ПАСЗИ допускаются к внедрению в АИС коммерческой организации, но использование пятого варианта ПАСЗИ «Касперский» наиболее выгодно. Учитывая стоимость ущерба реализации угрозы, средств защиты информации, интегрированный показатель эффекта внедрения ПАСЗИ количественно составляет 90,39 единиц, и является лучшим.

Достоинством данной модели является то, что описанный объем работ по проведению оценки рисков, показывает количественные потери возможного ущерба коммерческой организации, и возможные пути устранения данных потерь с помощью программно-аппаратных средств защиты информации. Проведена экспериментальная оценка предложенной модели, что повышает достоверность исходных данных и, следовательно, результатов анализа.

Список литературы / References

1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30-11-2010 - М. : Стандартинформ, 2011. -51 с.

2. Фот, Ю. Д. Модель определения уровня защищенности системы отбора персонала организации / Ю. Д. Фот, А. С. Боровский // Интеллект. Инновации. Инвестиции, 2016. - № 2. - С. 117-123.

Список литературы на английском языке / References in English

1. GOST R ISO / IEC 27005-2010. Informacionnaya tehnologiya. Metodi isredstva obespesheniya bezopasnosti. Menedgment riska informacionnoi bezopasnosti. [GOST R ISO / IEC 27005-2010. Information technology. Methods and means of ensuring security. Information Security Risk Management.]. Vved 30-11-2010 [Introduced 30-11-2010] M. : STANDARTINFORM, 2011. - 51 S. . [in Russian]

2. Fot, Y. D. Model opredelenia zachichennocti sistemi otbora personala [Fot, Y. D. The model of determining the level of security of the personnel selection system of the organization] / Y. D. Fot, A.S. Borovskii // Intellect. Innovatii. Investicii, 2016. - No. 2. - s. 117-123. [Intellect. Innovation. Investments, 2016. - No. 2. - P. 117-123.] . [in Russian]