УДК 681.324
C. Б. КОПИТКО*
*Каф. вищо! математики та статистики, Льв1вський навчально-науковий шститут ДВНЗ «Ушверситет бан-швсько! справи», проспект Т. Шевченка, 9, Льв1в, Укра!на, 79005, (032) 297-72-20, ел. пошта [email protected]
МОДЕЛЮВАННЯ СИСТЕМ I ПРОЦЕС1В ЗАХИСТУ ЕКОНОМ1ЧНО1 ШФОРМАЦП НА ТРАНСПОРТ1
Мета. Розглядаеться виршення проблеми захисту економ1чно! шформацп на транспорт^ яка визначаеть-ся як поеднання процедур, що реал1зують функцп збертання, обробки i передач1 даних з використанням обраного комплексу техшчних засобiв. Методика. Теоретико-методичною основою дослщження е працi вiтчизняних i зарубiжних вчених з фундаментальних аспектiв математичного моделювання шформацшно! безпеки в умовах ринково! економiки. Результата. Запропоновано принцип формування оптимально! стратеги розвитку системи захисту комп'ютерно! шформацп, що вщображае дп адмiнiстратора системи захисту шформацп, формалiзовано описуеться такими параметрами, як вектор змши цiн реалiзацil захисту вiд типо-вих шформацшних загроз та матрицею перехресних еластичностей збитк1в вiд типових iнформацiйних за-гроз.Наукова новизна. Обгрунтовано принцип формування оптимально! стратеги розвитку системи захисту комп'ютерно! економiчно! шформацп, що описуеться такими параметрами, як вектор змши цш реалiзацi! захисту ввд типових шформацшних загроз та матрицею перехресних еластичностей збитшв ввд типових ш-формацiйних загроз. Практична значимiсть. Запропоноваш автором положення та рекомендаци можуть бути використанi як теоретико-методична база управлшня ефективнiстю захисту шформацп для ПАТ «Укра!н-ська залiзниця», оск1льки, покращуючи захиснi елементи системи, адмшстратор тим самим змiнюе цши убезпечення вiд типових загроз, що впливатиме на величину критерш ефективносп системи.
Ключовi слова: захист економiчно! iнформацi!; обробка даних; передача даних; системи захисту; шфор-мацiйнi загрози; управлiння ефективнiстю захисту.
Постановка проблеми
1нформацшна безпека на сьогодшшнш день вщграе важливу роль у забезпеченш економ1ч-них штерес1в зал1знично! галуз^ оскшьки роз-виток обчислювально! техшки вщкривае нов1 можливост у застосуванш шформацшних тех-нологш. Кр1м ютотних позитивних сторш, впровадження сучасних шформацшних техно-логш мае також i негативний момент. В умовах реформування зал1зичного транспорту Укра!ни (створення ПАТ «Укра!нська зал1зниця»), не-правом1рне перекручування, знищення або роз-голошення певно! частини шформацп, так само як i дезоргашзащя процеав И обробки i пере-дач1 в шформацшно-керуючих системах завда-ють серйозно! матер1ально! та морально! шкоди багатьом суб'ектам, як беруть участь в проце-сах автоматизовано! шформацшно! взаемодп на транспорт! в цшому.
Аналiз останшх дослiджень i публiкацiй
Моделювання шформацшно! безпеки в умовах ринково! економши дослiджували такi в> домi зарубiжнi вченi, як Л. Гордон, М. Лоеб, К.Ланкастер та Ш1Ш. Рiзнi аспекти шформа-цiйно! безпеки в умовах використання комп'ютерних систем дослщжували такi укра!-нськi вчеш як О. Волошин, Ю. Венедиктов, В. Домарев, В. Кiгель, С. Левченко, В. Марченко, В. Мащенко, М. Притула, О. Плачинда, Р. Прус, Д. Рабчун, О. Сафонов та шшь
Видшення невир1шених ранiше частин зага-льноТ проблеми
Незважаючи на значний обсяг напрацювань з проблематики 1Б, ряд аспектiв методологи побудови ефективно! системи управлiння 1Б (СУ1Б) органiзацi! наразi ще не мають задов> льного вирiшення i подальшi дослiдження ви-значаються потребою розробки методологи
конструювання адекватних економшо-математичних моделей оптишзацл управлшня ефективнiстю систем захисту комп'ютерно! шформаци
Формулювання цiлей статтi
У рамках принципу формування оптимально! стратеги розвитку системи захисту комп'ютерно! шформаци, де шформащя розг-лядасться як об'ект захисту в комп'ютерних системах, дослщжено економiчнi аспекти побу-дови систем захисту комп'ютерно! шформаци та визначено концепщю проблеми управлшня !! ефектившстю.
Виклад основного матерiалу дослщження
Особливо важливими при проектуваннi та моделюванш системи захисту iнформацi! (СЗ1) мають питання економiчного забезпечення !! життевого циклу. До компонентiв економiчного забезпечення належать оптимiзацiя структури системи захисту шформаци, оцшка економiчно! ефективносп, методики вибору оптимальних засобiв захисту шформаци. Саме щ питання на сьогодшшнш день недостатньо дослiдженi на залiзничному транспортi у зв'язку з тим, що там впроваджуеться державно-приватне партнерства, змiнюються форми власносп, зменшу-еться роль державного регулювання, розвива-еться нова сфера тдприемницько! дiяльностi -iнформацiйний бiзнес та iн. Не врегульовано також низку юридичних аспектiв щодо можли-востi функцiонування iнформацi! як специфiч-ного товару i ресурсу штелектуально! власнос-тi, що ускладнюе оформлення авторського права на програмш продукти.
Оптимiзацiя структури СЗ1. Як стверджу-еться у [1, с. 126], завдання оптимального синтезу СЗ1 стало одним iз найбшьш дослщжува-них напрямкiв iнформацiйно! безпеки. Тради-цiйно для його виршення використовують три методи, а саме [1, с. 127]: створення багатоаге-нтно! моделi СЗ1, яка складаеться з певно! су-купностi штелектуальних агентiв,створення СЗ1 iз готових юнуючих компонентiв на пiдставi рiзних ошташзацшних методик та створення СЗ1 з урахуванням вимог рiзних стандартiв, зо-крема мiжнародних.
Оптимiзацiя управлiння шформацшною безпекою органiзацi!. Однiею з головних вимог сучасних стандартiв 1Б е обов'язковють засто-
сування для захисту шформацшних ресурс!в оргашзаци СУ1Б. Згщно з галузевим стандартом [2, с. 3] система управлшня шформацшною безпекою, або СУ1Б (information security management system, ISMS) трактусться як «час-тина загально! системи управлшня, яка грунту-сться на тдход!, що враховуе б!знес-ризики, призначеш для розроблення, впровадження, функцюнування, мошторингу, перегляду, тдт-римування та вдосконалення 1Б». Враховуючи важливють такого суб'екта шформацшно! д!я-льносп, стае зрозумшим, чому дослщженню властивостей СУ1Б придшяеться така пильна увага. Ще одшею причиною уваги фах1вщв до проблем побудови та експлуатаци СУ1Б в орга-шзащях е недостатнш р!вень опрацьованост! багатьох аспекпв СУ1Б у стандартах 1Б [3, с.264].
Вщзначимо як перспективний тдхщ в оп-ташзаци СУ1Б такий нов!тнш напрям досль дження проблем 1Б як менеджмент iнформа-цтноХ безпеки. Часто до нього додають прик-метник "економ!чний", щоб шдкреслити його налаштовашсть на виршення проблем 1Б еко-ном!чними методами. Вважають, що його запо-чаткували сво!ми працями закордонш фах!вщ в робот![4]. В Укра!ш цей тдхвд у дослщженш проблем 1Б оргашзацш представлен! в роботах
[5, 6].
Дослщження сучасного стану обгрунтуван-ня р!шень у сфер! 1Б засв!дчив складн!сть i ба-гатогранн!сть проблеми управлiння ефектившстю захисту шформаци та уможливив щентифшащю певних тенденц!й наукових до-сл!джень процес!в !нформац!йно! безпеки. Зо-крема, можна стверджувати, що:
• проблема ошташзаци управл!ння ефектившстю захисту !нформац!! в КС нараз! не мае задов!льного вир!шення;
• сучасш стандарти 1Б в Укра!ш спрямо-ван! б!льше на окреслення вимог щодо р!вн!в забезпечення захищеност! даних та контур!в систем захисту ! тому потребують конкретиза-ц!! п!д час застосування на практиц!;
• спостер!гаеться суттевий вплив суб'ектив!зму досл!дник!в на результати кла-сиф!кац!! !нформац!йних загроз;
• ефектившсть систем захисту шформаци залежна вщ ступеня врахування мшливосп зовн!шнього агресивного середовища;
• проблеми управлшня ефектившстю захисту шформацп е головним завданням такого нов^нього науково-практичного напряму як менеджмент гнформацШног безпеки;
• визначення стацюнарних сташв системи захисту шформацп е одним ¡з найскладшших завдань шд час математичного моделювання процешв 1Б. Спрощення можливе через за-стосування функцш корисносп:
• проблему оптим1зацИ' управлшня ефективнютю захисту шформацп в КС доцшьно формал1зувати на засадах динам1чного програ-мування;
• для покращення об'ективност побудови модел1 загроз доцшьно застосувати методи data mining.
Оцшювання ефективносп системи S захисту шформацп здшснюеться на шдстав1 деяко! функцп корисност , оскшьки практика викори-стання функцш корисносп у моделюванш р1з-них сощально-економ1чних процешв [7, с. 4376; 8, с. 128-150; 9, с. 25-60, с. 84-116; 10, с. 133-176; 11, с. 176-200;] засвщчуе наявшсть поверхонь стацюнарних точок. ïï значення ха-рактеризуе якють системи захисту у перюд t gT , якщо S знаходиться в сташ 9(t). Оче-
видш вимоги до функцiï С (9(t)) мають бути такими:
1) якщо з точки зору адмшютратора системи стан 9 ■ (t) е якюшшим, нiж 9k (t) , то мае вико-нуватись умова
c (9 (t)) > c (9k (t));
2) якщо для двох рiзних сташв 9. (t) Ф 9k (t) системи захисту S (t) виконуеться нерiвнiсть (1), то ефективнють системи S (t ) у сташ 9. (t ) е кращою, шж у сташ 9k (t) , i тому стан 9. (t) системи захисту шформацп е якюшшим вщ
стану 9k(t );
3) якщо для двох рiзних станiв 9j (t) i 9k (t)
системи S (t) захисту шформацп значення цiльовоï функцп однаков^ тобто виконуеться рiвнiсть
c (9 (t )) = c (9k (t )) (2)
то це означае однакову якють реалiзацiï функцш захисту шформацп системою S (t) у вказаних станах.
Маючи проспр 0 можливих станiв системи S на часовому промiжку T та функцiю корис-ност c (9), оптимальну траекторiю розвитку
системи захисту шформацп можна представити лшею станiв з максимальним значенням ефек-тивностi. Схематично це показано на рис. 1, де ламана лшя зображае оптимальну стратепю розвитку системи захисту комп'ютерноï шфор-мацiï, овали - множини сташв системи для вщповщних перiодiв, точки - окремi стани множин, а криш - це гшерповерхш максимально!' ефективностi захисту шформацп.
(1)
Рис. 1. Принцип формування оптимальноï стратеги розвитку системи захисту комп'ютерноï еко-
номiчноï iнформацiï (авторська розробка)
© С. Б. Копитко 2016 53
t
Застосовуючи управлшня U (t) до систе-ми S(t), можемо змшити !! стан. Оскшьки за-стосування управлшня вщбуваеться у дискретш моменти часу t g T, то нов1 стани системи за-хисту будуть належати до наступного перюду. Отже, формально можна записати сшввщно-шення
h (в, (t, ),UMt)) = вк (tM),
(3)
де h - деяка функщя переходу мiж станами системи S .
На етапi концептуалiзацп основно! проблеми наукового дослщження управлiння, що вiдображаe дн адмшютратора системи захисту шформацп, формалiзовано описувалось такими параметрами як вектор змши цш реалiзацп захисту вщ типових iнформацiйних загроз та матрицею перехресних еластичностей збиткiв вiд типових шформацшних загроз. Покращую-чи захисш елементи системи, адмiнiстратор тим самим змшюе цiни убезпечення вiд типових загроз, що впливатиме на величину кри-терда ефективностi системи. Призначенням матрицi еластичностей е забезпечення переходу системи захисту у стацюнарний стан пiсля l! модифшацн.
Суттевою вимогою способу формалiзацп екстремально! проблеми управлшня ефек-тивнiстю захисту шформацп для ПАТ «Украшська залiзниця»е застосування функци корисностi для оцiнювання рiвня захищеностi даних. З цiею метою необхщне вмiння щенти-
S(t)
фшувати стацiонарнi стани системи V ' для
перiодiв t G T. Тому найперше потрiбно ро-зробити модель визначення таких стацюнарних станiв. Процес розробки моделi визначення
S(t)
стацiонарного стану системи V '
здiйснювався за три етапи, а саме:
вибiр прототипу функци корисностi системи захисту шформацн iз сукупностi iснуючих;
адаптацiя вибрано! функци корисност в контекстi iнформацiйноl безпеки;
розробка ЕММ пошуку стацiонарного стану системи S(t) з використанням адаптовано! функци' корисностi.
З огляду на вщсутшсть на сьогодш зразкiв функцiй корисностi систем захисту шформацп та зiставивши переваги i недолiки двох шляхiв !х конструювання - або через адаптацiю юную-
чих функцш корисност под1бних процеив, або побудову спещальних функцш корисност про-цесу шформацшно! безпеки - стд реал1зувати шлях для конструювання функци корисност
S(t)
системи V '. Виб1р прототипу функци корис-
ност c (e(t)) системи S(t) здшснювався методом аналогИ через встановлення под1бност1 процесу шформацшно! безпеки з деяким шшим економ1чним процесом, для якого юнують апробоваш практикою зразки функцш корис-носп.
Доцшьшсть застосування теорл корисност для оцшювання ефективност функцюнування систем захисту комп'ютерно! шформацл поля-гае в тому, що методом аналоги встановлюеть-ся под1бн1сть процесу захисту даних з процесом придбання благ споживачем у ринковш еконо-мшд. З урахуванням контексту проблеми захисту шформацн будуеться анал1тично-под1бна функщя корисност системи захисту комп'ютерних даних, яка використовуеться для визначення !! стацюнарних сташв у перюди пром1жку управлшня. Характерною особливю-тю тако! функци корисност системи захисту шформацп е розр1знення двох р1вн1в захищено-ст (мшмально-необхщного та достатнього) i використання затратно! еластичност збиткiв вiд типових iнформацiйних загроз для оцшю-вання вiрогiдно! поведшки системи у наступ-ний перюд. Стацiонарний стан системи захисту даних асощюетъся iз тими станами, у яких функцiя корисностi приймае максимальне зна-чення.
Вирiшення проблеми захисту шформацн на транспорт iстотно залежить вщ використо-вувано! iнформацiйно! технологи, яка визна-чаеться як поеднання процедур, що реалiзують функци зберiгання, обробки i передачi даних з використанням обраного комплексу техшчних засобiв. В основi захисту iнформацi!, в тому чис.т i iнформацi!, що становить комерцшну таемницю, лежить принцип правильно! ор-ганiзацi! руху iнформацi!, яка враховуе методи обробки шформацп.
Висновки
Виршення проблеми захисту шформацн на транспорт ютотно залежить вiд використову-вано! iнформацiйно! технологi!, яка визначаеть-ся як поеднання процедур, що реалiзують фун-
кцп збершання, обробки i передачi даних з ви-користанням обраного комплексу техшчних засобiв. В основi захисту шформацп, у тому чи^ й шформацп, що становить комерцшну таемницю, лежить принцип правильноï оргаш-зацiï ïï руху, яка враховуе методи обробки ш-формацiï. Запропонований принцип формування оптимальноï стратегiï розвитку системи захисту комп'ютерноï iнформацiï, що вщображае дiï адмiнiстратора системи захисту шформацп, формалiзовано описувавався такими параметрами, як вектор змши цш реалiзацiï захисту вiд типових шформацшних загроз та матриця перехресних еластичностей збитюв вiд типових шформацшних загроз.
Перспективи подальших дослiджень у цьому напрямку
Подальшi дослiдження полягають у доцшь-ностi застосування теорп корисностi для ощ-нювання ефективносп функцiонування систем захисту комп'ютерноï шформацп , суть яюн в тому, щоб методом аналогiï встановлюеться подiбнiсть процесу захисту даних з процесом придбання благ споживачем у ринковш еконо-мiцi.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Марченко В. А. Формализованная технология проектирования системы защиты информации / В. А. Марченко // Комп'ютерш засоби, мереж1 та системи. - 2007. - № 6. - C. 126-132.
2. Система управлшня шформацшною безпекою. Вимоги (ISO/IEC 27001:2005, MOD): ГСТУ
СУ1Б 1.0/IS0/IEC 27001:2010. - Кшв : Нащона-льний банк Украши, 2010. - 49 с.
3. Сафонов А. С. Применение организационно-технических методов для развития системы информационной безопасности организации / А. С. Сафонов, О. Е. Плачинда, Ю. П. Венедиктов. // Пращ Одеського полтгех-шчного ушверситету. - 2011. - Вип. 1(35). -С. 262-266.
4. Gordon L. A. The economics of information security investment / L. A. Gordon, M. P. Loeb // ACM Transactions on Information and System Security.
- 2002. - Vol. 5, № 4. - P. 438-457.
5. Левченко £. Умови юнування сщловок точки в багаторубiжних системах захисту шформацп / £. Левченко, Р. Прус, Д. Рабчун // Безпека ш-формацп. - 2013. - Т. 19. - 31. - С. 13-20.
6. Левченко £. Г. Ошгашзацшш задачi менеджменту шформацшно1 безпеки / £. Г. Левченко,
A. О. Рабчун // Сучасний захист шформацп. -2010. - №1. - С. 16-23.
7. Волошин О. Ф. Теорiя прийняття ршень : навч. поабник / О. Ф. Волошин, С. О. Мащенко. -Кшв : ВПЦ "Кшвський ушверситет", 2006. -304 с.
8. Домарев В. В. Безопасность информационных технологий. Системный подход / В. В. Домарев.
- Кшв : ООО ТИД "ДС", 2004. - 992 с.
9. Югель В. Р. Методи i моделi шдтримки прийняття ршень у ринковш економщ : монографiя /
B. Р. Югель. - Кшв : ЦУЛ, 2003. - 202 с.
10. Ланкастер К. Математическая экономика : [пер. с англ.] / К. Ланкастер. - Москва : Сов. радио, 1972. - 464 с.
11. Притула М. М. Динам1чш моделi та методи прийняття ршень у ринковш економщ : навч. поабник / М. М. Притула. - Л^в : Видавничий центр ЛНУ iм. I. Франка, 2007. - 256 с.
С. Б. КОПЫТКО*
*Каф. высшей математики и статистики, Львовский учебно-научный институт ГВУЗ «Университет банковского дела», проспект Т. Шевченко, 9, Львов, Украина, 79005, (032) 297-72-20, эл. почта [email protected]
МОДЕЛИРОВАНИЕ СИСТЕМ И ПРОЦЕССОВ ЗАЩИТЫ ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ НА ТРАНСПОРТЕ
Цель. Рассматривается решение проблемы защиты экономической информации на транспорте, которая определяется как сочетание процедур, реализующих функции хранения, обработки и передачи данных с использованием выбранного комплекса технических средств. Методика. Теоретико-методической основой исследования являются труды отечественных и зарубежных ученых по фундаментальным аспектам математического моделирования информационной безопасности в условиях рыночной экономики. Результаты. Предложен принцип формирования оптимальной стратегии развития системы защиты компьютерной инфо-
© С. Б. Копитко 2016
рмации, отражающий действия администратора системы защиты информации, который формализировано описывался такими параметрами, как вектор изменения цен реализации защиты от типовых информационных угроз и матрица перекрестных эластичностей убытков от типовых информационных угроз .Научная новизна. Обоснован принцип формирования оптимальной стратегии развития системы защиты компьютерной экономической информации, который описывается такими параметрами, как вектор изменения цен реализации защиты от типовых информационных угроз и матрица перекрестных эластичностей убытков от типовых информационных угроз. Практическая значимость. Предложенные автором положения и рекомендации могут быть использованы в качестве теоретико-методической базы управления эффективностью защиты информации для ПАО «Украинская железная дорога»', поскольку улучшая защитные элементы системы, администратор тем самым изменяет цены страхования от типичных угроз и влияет на величину критерия эффективности системы.
Ключевые слова: защита экономической информации; обработка даннях; передача даннях; системы защиты; информационные угрозы; управление эффективностью защиты.
S. B. KOPYTKO*
*Dep. of Mathematics and Statistics, Lviv educational institute SHEE "University of Banking", Shevchenko Avenue, 9, Lviv, Ukraine, 79005, (032) 297-72-20, e-mail [email protected]
MODELING SYSTEMS AND PROCESSES OF INFORMATION PROTECTION OF ECONOMIC TRANSPORT
Goal. We consider solving the problem of the protection of economic information on transport, which is defined as a combination of procedures that implement the functions of storing, processing and transmitting data using the selected set of technology. Method. Theoretical and methodological basis of the study is the work of domestic and foreign fundamental aspects of mathematical modeling information security in a market economy. Results. The principle for the formation of the optimal strategy of development of information protection, reflecting the actions the administrator of information security, formalized described vector parameters such as price changes security typical implementation of information threats and matrix cross elasticities losses typical information threats. Scientific novelty. The principles forming the optimal development strategy for protecting computer systems of economic information described vector parameters such as price changes security typical implementation of information threats and matrix cross elasticities losses typical information threats. The practical significance. Proposed Author regulations and guidelines can be used as theoretical and methodological basis of performance management protection for PJSC 'Ukrainian Railways' as improving the security elements of the system administrator thus changing prices securing typical threats that affect the value of test system efficiency ..
Key words: protection of economic information; data processing; data transfer systems; security; threat information; performance management protection.
Надшшла до редколегн 27.05.2016.
Стаття рекомендована до друку д-ром екон. наук, проф. Мщенком М. I. та д-ром екон. наук, проф. Фещуном Р. В.