CC BY
34
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
The person of each region is determined by methods of management of economy, rational use of regional benefits, search of methods of a combination of national and regional social and economic interests. The regional economy develops the strategic line items of regional development of productive forces determining enhancement of the territorial organization of the country.
Formation and development of modern Russian federalism is closely connected with development and implementation of regional state policy which main objectives are proclaimed a welfare of citizens, integrity of the state, territorial justice. List of references:
1. "Target development programs of regions: recommendations about enhancement of development, financing and implementation" - Love V.Ya., Zaytsev I.F., Voyakina A.B., Pchelintsev O.S., Gertsberg L.Ya., G.A. PWM.
2. Fundamentals of regional economy: The textbook for higher education institutions. - 5th prod. - M.: Prod. house of GU HSE, 2006.
3. Federal law "About the State Forecasting and Programs of Social and Economic Development of the Russian Federation";
4. Andreyev A. V. Regional economy: the textbook for higher education institutions / A.V. Andreyev. - SPb: St. Petersburg, 2012. - 464 pages.
5. Vakhromov E.N. Regional economy in multi-level structure of market economy / E.N. Vakhromov//the Messenger of the Irkutsk state university. 2009. — No. 2. — Page 26-30.
6. Kistanov V.V. Regional economy of Russia: Textbook / V.V. Kistanov, N.V. Kopylov. - M.: Finance and statistics, 2011. - 584 pages.
7. Kozyeva I. L. Economic geography and regionalistika: textbook(s). L. Kozyeva, E.N. Kuzjbozhev. — M.: KNORUS, 2012. - 346 pages.
© Galagan Tatyana, 2018
УДК 004.056.5
Д.А. Горбунова
студент 1 курса ОГУ, г. Оренбург, РФ, E-mail: DaryaGorbunova2402@yandex.ru
ОСОБЕННОСТИ ПРИМЕНЕНИЯ МЕТОДА ОЦЕНКИ ЗАТРАТ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ АНАЛИЗА РИСКОВ
Аннотация
Данный метод поможет специалисту по информационной безопасности четко представить, сколько
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
организация может потерять денег в случае реализации угрозы, какие места в информационной системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег. Целью данной статьи является повышение уровня защищенности информации за счет устранения рисков, воздействующих на предприятие. В исследовании применялся сравнительный метод, который позволил выявить сходства и различия между разработанным методом оценки рисков информационной безопасности и его современными аналогами. В разработанном методе оценка производится в 5 этапов и на выходе можно вывести до 3-х отчетов. Были рассмотрены особенности применения разработанного метода на предприятии. Средство является бюджетным вариантом своих аналогов. Интерфейс программного средства отличается простотой в освоении новым пользователем.
Ключевые слова
Риск информационной безопасности, информационная безопасность, риск, метод оценки рисков, анализ информационной системы.
Целью данной статьи является повышение уровня защищенности информации за счет устранения рисков, воздействующих на предприятие.
Для достижения данной цели были решены следующие задачи:
1 Исследование разработанного метода оценки затрат для защиты информации на предприятии;
2 Исследование аналога разработанного метода оценки затрат для защиты информации на предприятии;
3 Выявлены особенности разработанного метода оценки затрат для защиты информации на предприятии.
Для обоснования вложения средств в информационную безопасность необходимо выполнить полный анализ информационной системы, функционирующей на предприятии. В анализе должны быть рассмотрены такие места информационной системы предприятия, которые будут наиболее уязвимы для атак злоумышленника. Анализ информационной системы предприятия поможет специалисту по ИБ четко представить, сколько составят денежные потери предприятия в случае реализации одной из угроз, какие места в информационной системе наиболее уязвимы, какие меры следует предпринять для повышения уровня защищенности. Анализ информационной системы будет подтвержден документально, это позволит обосновать необходимость руководству выделить денежные средства на обеспечение информационной безопасности.
Для решения данной задачи были разработаны специализированные методики и программные средства анализа и контроля информационных рисков [3],[2].
Среди наиболее распространенных методик можно выделить RiskWatch [2],[3]. RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов:
первый этап - определение предмета исследования;
второй этап - ввод данных, описывающих конкретные характеристики системы;
третий этап - количественная оценка риска;
четвертый этап - генерация отчетов.
Это программное средство позволяет оценить не только те риски, которые являются актуальными для предприятия на данный момент, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств защиты. В качестве недостатков можно выделить высокую стоимость лицензии (от 10.000 долл. за одно рабочее место для небольшой компании).
Разработанный метод [4] оценки затрат на основе анализа рисков позволяет устранить данные недостатки.
Исходными данными для метода оценки рисков являются: характеристики активов, используемых для деятельности предприятия, модель угроз, матрица вероятности воздействия угрозы на актив.
Оценка рисков в разработанном методе производится в несколько этапов:
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
1 Идентификация активов.
Далее происходит идентификация активов (ai, a2, ..., aN). Для их описания пользователь должен указать следующие параметры для каждого актива:
- Время восстановления актива (t(a)) - показатель длительности простоя деятельности организации, до возобновления актива (активов). Измеряется в днях.
- Стоимость восстановления (С(а)) - показатель денежных затрат организации для восстановления актива (активов). Измеряется в рублях. Данный параметр может включать себя ремонт или приобретение нового актива взамен старого.
- Количество активов (N) - количественная характеристика актива. Измеряется в штуках.
2 Идентификация и оценка угроз.
Перед определением актуальных угроз (yi, y2, ..., ум) определяется уровень исходной защищенности. Для этого определяется значение для 7-ми характеристик, имеющих значения: низкий, средний и высокий. В конце рассчитывается процентной соотношение всех характеристик. Если не менее 70% характеристик имеют значение «высокий», то исходный уровень защищенности - высокий. Если не выполняется предыдущее условие и не менее 70% характеристик имеют значение не ниже, чем «средний», то исходный уровень защищенности - средний. Если не выполнится ни один из двух пунктов, то уровень защищенности низкий.
В зависимости от исходного уровня защищенности определяется значение коэффициента Y1 -возможность реализации угрозы.
- 0 - для высокой степени исходной защищенности;
- 5 - для средней степени исходной защищенности;
- 10 - для низкой степени исходной защищенности.
Далее необходимо указать данные, полученные специалистом по ИБ, в таблице определения актуальных угроз (рисунок 1).
Определение актуальных чгроз
Угрозы Вероятность реализации Возможность реализации Опасность Актуальность л
1 .Угрозы от утечки по техническим каналам:
1.1 Угрозы утечки акустической информации Средний Средний Низкий не актуально
1.2 Угрозы утечки виаовой информации Средний Средний Средний актуально
1.3 Угрозы утечки информации по каналам ПЭМИН Низкий Средний Низкий не актуально
1.4 Угроза доступа к терминалу:
1.4.1 Угроза хищения параметрической информации с терминала; Высокий Высокий Высокий актуально
1.4.2 Угроза имитации терминала. Высокий Высокий Высокий актуально
1.5 Угрозы баз данный:
1.5.1 Угрозы внедрения сценария: v
Примечание:
Вероятность реализации угрозы - определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности. Значения: Маловероятно -
Рисунок 1 - Определение актуальных угроз
После определяется вероятность реализации угрозы. Данный параметр имеет 4 вербальные градации, которые определяют значение коэффициента Y2:
- 0 - для маловероятной угрозы;
- 2 - для низкой вероятности угрозы;
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
- 5 - для средней вероятности угрозы;
- 10 - для высокой вероятности угрозы.
Используя значения коэффициентов Y1 и Y2, для каждой угрозы, рассчитывается значение реализуемости угрозы - вероятность, что угроза реализуется успешно (Y).
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0<Y<0,3, то возможность реализации угрозы признается низкой;
если 0,3<Y<0,6, то возможность реализации угрозы признается средней;
если 0,6<Y<0,8, то возможность реализации угрозы признается высокой;
если Y>0,8 , то возможность реализации угрозы признается очень высокой.
Далее заполняется столбец со значениями опасности угрозы. Данный параметр имеет 3 вербальные градации:
- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Затем программа, следуя правилу отнесения угрозы к актуальной, характеризует все угрозы из общего перечня.
3 Оценка вероятности воздействия угрозы на актив.
После происходит ввод показателей оценки вероятности воздействия угрозы на актив (P(an,ym), 0<P(an,ym)<1). Ввод производится вручную пользователем в матрицу размерностью NxM.
4 Расчет рисков.
Далее программа выполняет подсчет рисков по базовой формуле R=P*S, где R - риск, P - вероятность реализации угрозы, S - денежные потери.
Для наиболее эффективного использования данного метода были разработаны рекомендации по применению для специалиста по информационной безопасности.
Время применения данного метода ограничивается уровнем знаний специалиста по ИБ, а так же системных требований персонального компьютера.
Для компьютеров с тактовой частотой 1800 Гц и оперативной памятью 256 Мбайт рекомендуется не превышать объем виртуальной памяти 50 Мбайт. Превышение данного значения приведет к значительному увеличению потребления ресурсов компьютера.
Необходимо наличие программ Microsoft Word 2007 и Microsoft Excel 2007 на персональном компьютере, для корректного формирования отчета.
Пользователь программного средства должен владеть знаниям в области ИБ, для быстрого и корректного использования.
Оценить ожидаемый экономический эффект от введения в использование разрабатываемого программного средства можно путем расчета и сравнения приблизительных значений приведенных затрат до его внедрения и во время его использования. Для данного метода расчет ожидаемого экономического эффекта можно произвести по формуле (1):
Ээф = N *(ti-t2)* Счтс-Ен* К,
где, t1, t2 - среднее время, затрачиваемое на анализ рисков до и после внедрения программного средства в год;
Счтс - средняя часовая тарифная ставка сотрудника;
Ен - нормативный коэффициент окупаемости капитальных вложений;
N - количество сотрудников, использующих метод автоматизированного анализа рисков;
К - дополнительные капитальные вложения на разработку программного обеспечения.
Средняя часовая тарифная ставка сотрудника составляет 50 рублей. Количество сотрудников в отделе
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
информационных технологий и защиты информации равно 3.
Стоимость разработки программного продукта может быть рассчитана по формуле (2).
К = МВС + Э + ЗПР + Н (2)
где: Мвс - затраты на вспомогательные материалы, руб.; Э - затраты на электроэнергию, руб.; ЗПр - заработная плата разработчика, руб.; Н - накладные расходы, руб.
Накладные расходы составляют 10% от суммы заработной платы разработчика. Заработная плата разработчика составляет 18000 рублей в месяц.
Затраты на электроэнергию рассчитываем по формуле (3).
Э = Р + Сэ + Кзаг + Тобщ, (3)
где: P - мощность потребляемой электроэнергии, кВт; Сэ - стоимость одного киловатт-часа электроэнергии, руб.; R3Ar - коэффициент загрузки компьютера;
Тобщ - общие затраты труда на разработку программного продукта, часов.
При подстановке в формулу (3) числовых значений, затраты на электроэнергию составляют:
Э = 0,5 * 1,85 * 0,6 * (80 * 8) = 355 При подстановке в формулу (2) полученных значений, рассчитывается примерная стоимость разработки программного продукта:
К = 490 + 355 + 18000 + 2500 = 21345 Таким образом, подставив полученные значения в формулу (1), можно рассчитать ожидаемый экономический эффект от разработки и использования данного программного обеспечения:
ЭЭФ = 3 * (1235 - 988) * 50 - 0,25 * 21345 = 31713 руб Экономический эффект является положительным, что свидетельствует о том, что выгода от разработки программного обеспечение превысит затраты на его разработку. Достоинствами рассмотренного метода являются:
- Автоматизация расчетных формул для определения значения рисков [1]. Операция расчета рисков вручную занимает у специалистов ИБ много времени, поэтому автоматизация этого процесса значительно увеличит скорость работы;
- Автоматизирование составления модели угроз. Составление модели угроз является важным этапом для расчета рисков при их реализации. При составлении данной модели необходимо выполнять множество расчетов для каждой возможной угрозы. Автоматизация данного процесса так же увеличит скорость работы специалиста ИБ;
- Сохранение рабочего процесса во время выполнения любого из этапов расчета рисков. Так же были выявлены следующие недостатки метода:
- Защита файла с результатами работы программы, ограничена специфическим форматом данных;
- Расчет рисков на предприятии в данном программном средстве выполняется одним экспертом, что допустимо, но для уточнения результатов необходимо учитывать мнение большего количества экспертов.
В результате применения данного метода на предприятие были получены следующие результаты (рисунок 2).
Расчет и ранжирование рисков
.Ys Угроза Риио рублиднн
У15 Вирусы шифров альшнкн; 1059
VII Rootkhs; 775
У9 Угроза атак типа «Отказ в обслуживании». 699
У22 Действия вредоносных программ (вирусов) 693
У28 Сбой системы электроснабжения 607
У4 SQL-инъекции; 524
Рисунок 2 - Результат расчета рисков
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №02/2018 ISSN 2410-6070
На рисунок были вынесены наиболее затратные (иначе говоря, опасные) угрозы (значение рисков больше или равно 500 рублей).
Полученные цифры можно трактовать следующим образом - если ежедневно откладывать денежную сумму, равную значению риска, то накопления смогут покрыть последствия реализованной угрозы, когда она случится. Руководству организации следует решить, устраивают ли их эти цифры, или необходимо снизить риски.
В заключение был выполнен сравнительный анализ разработанного метода с известным аналогом. Данный анализ представлен в таблице 1.
Таблица 1
Сравнительный анализ
Признак Программное средство «Risk Watch» Программное средство «Метод оценки затрат на защиту информации на основе анализа рисков»
Наличие стандартов ISO 17799 ГОСТ Р ИСО/МЭК 27005-2010
Количество этапов для расчета 4 5
Количество отчетов 4 3
Сложность освоения Сложно Просто
Стоимость 10.000 $ Бесплатно
Были рассмотрены особенности применения разработанного метода на предприятии. Средство является бюджетным вариантом своих аналогов. Интерфейс программного средства отличается простотой в освоении новым пользователем. Для каждого этапа существует пояснительное окно со справкой в нижней части окна. Отчеты позволяют узнать степень актуальности всех, внесенных в алгоритм, угроз. Список использованной литературы:
1 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждена ФСТЭК России 14 февраля 2008 г.;
2 Астахов А.М. Искусство управления информационными рисками учеб. пособие для студентов вузов / А. М. Астахов. - Изд. ДМК Пресс, 2010, С. 312;
3 Белов, П.Г. Управление рисками, системный анализ и моделирование в 3 ч. часть 1: Учебник и практикум для бакалавриата и магистратуры / П.Г. Белов. - Люберцы: Юрайт, 2016. - С. 211;
4 Горбунова, Д.А. Метод оценки затрат на защиту информации на основе анализа рисков: прикладная программа / Д.А. Горбунова, Т.З. Аралбаев. - Оренбург.: УФЭР. - 2017. - №1407.
© Горбунова Д.А., 2018
УДК 352/354-1
Резникова О.С.
д.э.н., заведующий кафедрой управления персоналом и экономики труда Института экономики и управления (ФГАОУ ВО «КФУ им. В.И. Вернадского»)
os@crimea.com Джавадова Ю.С. магистр 2 года обучения, кафедры управления персоналом и экономики труда Института экономики и управления (ФГАОУ ВО «КФУ им. В.И. Вернадского»)
ryabova_95@rambler.ru,
СОВЕРШЕНСТВОВАНИЕ ПРОЦЕССА НАЙМА ПЕРСОНАЛА
Аннотация
Найм работников — это совокупность специальных операций, осуществляемых для поиска
