Выбор варианта системы защиты информации по критерию обеспечения конкурентоспособности предприятия Текст научной статьи по специальности «Экономика и бизнес»

УДК 004.005+519.863

ВЫБОР ВАРИАНТА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ПО КРИТЕРИЮ ОБЕСПЕЧЕНИЯ КОНКУРЕНТОСПОСОБНОСТИ ПРЕДПРИЯТИЯ

Е.В. Попова3

а Санкт-Петербургский государственный экономический университет, Санкт-Петербург, Россия, serana5@inbox.ru Одной из проблем внедрения систем защиты информации является выбор оптимального многокритериального варианта, учитывающего стохастический характер взаимодействия параметров и использование нечисловой, неполной и неточной информации. Рассмотрено применение модифицированного метода рандомизированных сводных показателей. Предложена модель влияния информационной безопасности на изменение конкурентоспособности предприятия. Цель работы - определение количественного изменения конкурентоспособности предприятия после внедрения оптимизационного варианта системы защиты информации. Приведен пример использования модели на конкретном предприятии. Проведено сравнение прогнозных и реальных величин. Подтверждена обоснованность используемого критерия при выборе вариантов системы защиты информации.

Ключевые слова: конкурентоспособность, система защиты информации, информационная безопасность.

SELECTION OF INFORMATION PROTECTION SYSTEM BY ENSURING THE COMPETITIVENESS OF ENTERPRISES

H.V. Popova3

а Saint Petersburg State University of Economics, Saint Petersburg, Russia, serana5@inbox.ru

One of the problems concerning implementation of information protection systems is the choice of the optimal multi-criteria options, taking into account the stochastic nature of the interaction parameters and the usage of non-numeric, incomplete and inexact information. The application of the modified method of randomized aggregate indicators is considered. A model for the influence of information security on the change of the company competitiveness is proposed. The paper deals with determination of quantitative changes in the company competitiveness after implementation of the optimization variant of information protection system. An example of this model application at the particular enterprise is given. A comparison of planned and actual values is done. The validity of the criterion used in selecting the variants of data protection system is confirmed. Keywords: competitiveness, information protection system, information security.

Введение

Внедрение системы защиты информации (СЗИ) и обеспечение надежности и отказоустойчивости ее функционирования [1-4] способствуют усилению информационной безопасности (ИБ), эффективности бизнес-процессов, увеличению конкурентоспособности предприятия [5, 6]. Принятие роста уровня конкурентоспособности предприятия в качестве критерия выбора СЗИ доказывает руководителям предприятия необходимость затрат на ИБ и способствует пониманию важности решения проблем ИБ. В работах, посвященных ИБ, вклад изменения ИБ в количественную оценку конкурентоспособности не исследован. Цель данной работы - определение количественного изменения конкурентоспособности предприятия от внедрения СЗИ.

Решение оптимизационной задачи

В процессе выбора оптимальной СЗИ возникает задача сравнения характеристик исследуемых объектов. Трудность заключается в возникновении неопределенности стохастического характера, например, невыявленного противодействия, недостаточной проработки некоторых процессов функционирования создаваемой системы [7], неполного понимания последствий нарушения ИБ [8], ошибок измерения. Наличие зависимых переменных, подверженных случайному разбросу, сопровождается дефицитом информации. Указанные особенности затрудняют применение классических оптимизационных методов. Например, рискоориентированные подходы игнорируют стохастическую природу событий и явлений, которые возникают в процессе защиты информации, и не позволяют оперировать неполной, неточной и нечисловой информацией (ннн-информацией) [9-11]. В связи с этим в настоящей работе будет применяться модифицированный метод рандомизированных сводных показателей (ММРСП) [12]. Метод рандомизированных сводных показателей, разработанный Н.В. Ховановым и Ю.В. Федотовым, хорошо зарекомендовал себя при исследовании сложных объектов, когда существует недостаток информации о влиянии характеристик исследуемых объектов на оцениваемые показатели [13, 14]. Строится сводный показатель, аккумулирующий значения исходных показателей, описывающих соответствующие характеристики. При дефиците числовой информации в задаче возникает необходимость учета неопределенности. В результате байесовской рандомизации неопределенности отдельные показатели превращаются в соответствующие случайные величины. Задача градационного построения объектов сводится к задаче выявления стохастического доминирования между соответствующими рандомизированными сводными показателями. Модификация метода заключается в получении теоретического значения коэффициента, на основе которого происходит рейтингование исследуемых систем.

При выборе вариантов СЗИ каждый из них можно оценить по определенным критериям, причем по каждому критерию ранжирование объектов часто не совпадает. При этом ставится задача выбора ва-

рианта построения СЗИ, не прибегая к субъективному выбору доминирующего критерия. Например, необходимо построить СЗИ, которая имеет оптимизационные значения по защите предприятия от угроз нарушения доступности, целостности и конфиденциальности информации. В качестве критерия выбора оптимизационного варианта СЗИ предлагается увеличение конкурентоспособности предприятия. Пусть х=(х1,..,хт) - вектор исходных числовых характеристик исследуемой системы. За ЭуИБ обозначим условный эффект, равный разности ущербов до внедрения СЗИ и после:

ЭуИБ Удо Упос,

где Удо - величина ущерба в денежном выражении до внедрения СЗИ; Упос - величина ущерба в денежном выражении после внедрения СЗИ. Пусть ппос и пдо - число инцидентов после и до внедрения СЗИ соответственно, а Удо, Упос - средневзвешенные величины ущерба до и после внедрения СЗИ. В числи-

теле ппос представим как пдо, умноженный на коэффициент снижения количества нарушений Упос представим как Удо, умноженный на коэффициент уменьшения тяжести нарушений к2. Произведение коэффициентов %к2 и составляет коэффициент изменения конкурентоспособности р(х):

ЭуИБ = Удо - У« = Удо (г- Ур) = Уд. (i - Уд. Vfywy'

V у до J V ''до до / V ''до до

ЭуИБ = Удо(1 - к1(х)к2(х))= Удо(1 - р(х)), к2,р €[0,1] . (1)

Для увеличения условного эффекта (1) нужно выбрать минимальное значение коэффициента изменения конкурентоспособности. Для этого необходимо решение следующей оптимизационной задачи. Пусть х = (х1,..,хт) - вектор исходных числовых характеристик исследуемой системы. Тогда р(х0) = min(p(x)), р €[0,1] x°€Xd при ограничении Z(p)< Zd, где х° - оптимальное значение вектора; Xd - множество допустимых значений векторов числовых характеристик; Zd - допустимые затраты для предприятия. Необходимо выбрать наилучшее решение по построению СЗИ, характеристики которой обеспечат минимум коэффициента изменения конкурентоспособности при усилении информационной безопасности, учитывая допустимые затраты. Для решения этой задачи мы применим ММРСП. Получив теоретическое значение коэффициента изменения конкурентоспособности, мы сможем спрогнозировать снижение ущерба после внедрения оптимальной СЗИ и сравнить его с реальным.

Постановка векторной задачи и сведение ее к скалярной

При использовании экспертных оценок расхождения в оценивании объекта в совокупности намного превышают расхождения в оценивании объекта по определенному критерию. Использование ММРСП дает возможность построить сводные оценки и спроецировать оптимальный выбор объекта на выбор оптимального значения сводного показателя. ММРСП основан на экспертных оценках коэффициента изменения конкурентоспособности р(х) по шкале каждого из критериев. Пусть у нас есть к оцениваемых объектов (СЗИ), которые оцениваются по т критериям. Каждая отдельная координата р^ является функцией одной исходной характеристики х^: j = 1, ...,k; i = 1, ...,т, причем минимальное значение является наиболее предпочтительным. Для перехода к единым единицам измерения отдельных показателей выбираем нормирующие функции (р^СО), i = 1, ...,т q Е [0,1]. Значимость каждого критерия по отношению к

другим задается вектором весовых коэффициентов w=(w1,..,wm), wt >0. Так как важно относительное значение элементов вектора, вводится нормировка суммы w1 + —bwm = 1. Строится синтезирующая

функция Q^ = ^ wi. Дополнительное условие дискретности wt = {о, 1/n,..., (n -1//n, lj задает

(n + m — 1)!

размер множества допустимых векторов числовых коэффициентов N(m, n) =-1. Неопределен-

n !(m — 1)!

ный выбор вектора весовых коэффициентов из фиксированного множества моделируется случайным выбором из этого множества. Получается случайный вектор w =(ivx,.,wm), который приводит к аддитивному рандомизированному сводному показателю (З^Сц, w) = Ei^Li Wi. В качестве оценки рандомизированного сводного показателя используется математическое ожидание Q^ =MQ<-i\ а мерой точности оценки служит стандартное отклонение = Достоверность доминирования рандомизированного сводного показателя <2(т) над <2® вычисляется по формуле Р({<3(т) ><2®}) > а, где а Е [0,1] , т,1 = 1, ..., к. Все показатели получены при дефиците информации, касающейся весовых коэффициентов. При использовании ннн-информации I значительно сокращается количество значений рандомизированного вектора весовых коэффициентов w (/). Учет ннн-информации повышает точность оценок весовых коэффициентов, сводных показателей, уменьшает стандартные отклонения и приближает вероятность доминирования к единице. Сравнивая полученные сводные показатели, мы сравниваем системы защиты информации и методом рейтингования получаем многокритериальный оптимизационный вариант для данного предприятия и теоретическое значение коэффициента изменения конкурентоспособности.

Разработка модели влияния информационной безопасности на изменение конкурентоспособности

предприятия

В работе [15] была выведена формула количественного подсчета конкурентоспособности предприятия при изменении ИБ:

К Ь ь аД + Э иБ (х) С б + Еб (2)

Кпред = ЬаЬ-бДб-Х + Е + , (2)

/=1 агДг С + Е, +

где а.1 - доля товара (услуги) в объеме продаж за анализируемый период, доли единицы; а^ = 1; Ь^ -относительный вес рынка, на котором представлен товар организации; С^ - покупная цена продукции; Е^ - сопутствующие затраты на использование; о^ - коммерческая оценка качества. Индекс «б» означает те же показатели, но по отношению к базовым товарам и услугам.

Влияние ИБ на изменение конкурентоспособности предприятия отражают следующие соотношения: р0(х) = тт(р(х)), р е[0,1] х е Xй , формула подсчета конкурентоспособности (2) при ограничении Z(р) <1а. Выбирая лучшее решение по реализации СЗИ, получаем минимальное значение коэффициента изменения конкурентоспособности, увеличение конкурентоспособности предприятия и обеспечение направления количественного роста этой величины.

Пример применения модели влияния информационной безопасности на изменение конкурентоспособности предприятия

В период с 2009 г. по 2011 г. на предприятии ООО «Балтрос-Сервис» был проведен эксперимент по внедрению оптимального варианта СЗИ и подсчета изменения конкурентоспособности предприятия. Это малое предприятие, занимающееся маркетинговыми исследованиями рынков, состоит из 8 сотрудников, из которых 5 имеют дело с информационными технологиями. В 2009 г. в основном изучалось предприятие, подбиралась структура и состав будущих СЗИ, службы ИБ. В 2010 г. происходило внедрение. В 2011 г. изучалась работа предприятия после внедрения СЗИ. В 2012-2013 г.г. обобщались и систематизировались данные эксперимента. После консультаций с сотрудниками компаний, отвечающими за информационные технологии, были выявлены ущербы, причиненные компании в результате нарушений ИБ за 3 года - 175 тыс. руб., 149 тыс. руб. и 93 тыс. руб. соответственно. При построении СЗИ для данного предприятия использовались бесплатные лицензионные продукты для малых предприятий, один человек, отвечающий за информационные технологии, был назначен контролером ИБ и получил прибавку к зарплате. Было предложено три варианта реализации СЗИ. Системы оценивались по трем показателям: целостность, доступность, конфиденциальность (т=3), относительная значимость которых измеряется ве-

1

совыми коэффициентами №1,№2,№3, которые отсчитываются с шагом к=~, п = 4 . Множество всех

4

возможных векторов весовых коэффициентов ш® = (м/1®,м/2®,м/з^) состоит из N элементов, М(т,п) = 15 (табл. 1). Для оценки объектов сформируем вектор = (р!р:), рр^-1), ] = 1,2,3, где каждая отдельная координата является функцией одной исходной характеристики. После опроса экспертов получим матрицу значений коэффициентов изменения конкурентоспособности (табл. 2) по выбранным показателям целостности, доступности и конфиденциальности, причем минимальные значения означают более предпочтительные оценки. Эксперты дают эти значения по сетке от 0 до 1 с шагом 0,1 (табл. 2).

(t) w., 1,00 0,75 0,50 0,25 0,00 0,75 0,50 0,25 0,00 0,50 0,25 0,00 0,25 0,00 0,00

(t) w7 0,00 0,25 0,50 0,75 1,00 0,00 0,25 0,50 0,75 0,00 0,25 0,50 0,00 0,25 0,00

(t) w| 0,00 0,00 0,00 0,00 0,00 0,25 0,25 0,25 0,25 0,50 0,50 0,50 0,75 0,75 1,00

t 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Таблица 1. Дискретные значения весовых коэффициентов

j P^ P? P?

1 0,4 0,5 0,6

2 0,5 0,6 0,5

3 0,6 0,4 0,6

Таблица 2. Оценка коэффициентов изменения конкурентоспособности трех вариантов СЗИ

по трем критериям

j я? 4?

1 0 0,5 1

2 0,5 1 0,5

3 1 0 1

Таблица 3. Нормированные показатели коэффициентов изменения конкурентоспособности

Для получения ^¿(р'--'"1) проведем линейную нормировку р^ (табл. 3) и подсчитаем возможные значения сводного показателя (табл. 4) трех оцениваемых объектов у = 1,2,3. В качестве искомых стохастических оценок трех оцениваемых объектов вычисляем математические ожидания = —-Ц^™'""1 (З^Со1'--'"1), в качестве мер точности таких оценок - стандартные отклонения =

~ . Результаты сведены в табл. 5. Затем рассчитываются вероятности попарного доминирования рандомизированных сводных показателей по формуле Р(], I) = Р^О'--'-' ><2®}). Итоговые значения представлены в табл. 6.

Ç(t)(<7(3)) 1,00 0,75 0,50 0,25 1,00 1,00 0,75 0,50 0,25 1,00 0,75 0,50 0,10 0,75 1,00

Ç(t)(<7(2)) 0,50 0,40 0,75 0,875 1,00 0,40 0,625 1,00 0,875 0,50 0,625 0,625 0,40 0,625 0,50

ÇW(gM) 1,00 0,875 0,75 0,40 0,50 0,75 0,625 0,50 0,375 0,50 0,385 0,25 0,25 0,125 0,00

t 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Таблица 4. Значения рандомизированных сводных показателей

j ÇÛ) 5Ü)

1 0,4773 0,077

2 0,6466 0,040

3 0,6733 0,085

Таблица 5. Математические ожидания и дисперсии сводных показателей коэффициентов изменения

конкурентоспособности трех вариантов СЗИ

P(j,l) 1 2 3

1 0,000 0,25 0,307

2 0,75 0,000 0,428

3 0,692 0,571 0,000

Таблица 6. Достоверность выявленного доминирования

В стохастической дискретной модели неопределенности задания весовых коэффициентов мы получили сводные оценки объектов <2^, меры точности этих объектов вероятности попарного доминирования рандомизированных сводных показателей Р(]',Г). Все вычисления сделаны при дефиците информации о весовых коэффициентах, что послужило причиной малой точности (большие и Р, близкие к 0,5). В результате опроса экспертов у нас появилась дополнительная ннн-информация / = {0,25 <м/х <0,5; 0 <м/2 < 0,5; 0,25 < м/3 < 0,75}. Она редуцирует число всех возможных числовых коэффициентов до числа допустимых весовых коэффициентов (табл. 7). Далее рассчитываются все допустимые значения сводных показателей для трех оцениваемых объектов (табл. 8). В качестве искомых стохастических оценок возьмем математическое ожидание а в качестве мер точности - стандарт-

ные отклонения 5(^(/) (табл. 9). Вероятности попарного доминирования Р(/,/)(/) представлены в табл. 10.

t (t) w| (t) (t)

1 0,25 0,00 0,75

2 0,25 0,25 0,50

3 0,25 0,50 0,25

4 0,50 0,00 0,50

5 0,50 0,25 0,25

Таблица 7. Редуцированные значения весовых коэффициентов с учетом ннн-информации

t ç(t)(g(1)) ç(tW2)) ç(tW3))

1 0,75 0,40 1,00

2 0,625 0,625 0,75

3 0,50 1,00 0,50

4 0,50 0,50 1,00

5 0,385 0,625 0,75

Таблица 8. Значения сводных показателей с учетом ннн-информации

j C0)(/)

1 0,552 0,022

2 0,63 0,041

3 0,8 0,034

Таблица 9. Математические ожидания и дисперсии сводных оценок с учетом ннн-информации

PÜMO 1 2 3

1 0,00 0,20 0,00

2 0,80 0,00 0,20

3 1,00 0,80 0,00

Таблица 10. Вероятности попарного доминирования с учетом ннн-информации

Учет ннн-информации повышает точность оценок сводных показателей, уменьшает стандартные отклонения и увеличивает достоверность рейтингования, так как вероятности доминирования приближаются к единице. Мы выбираем СЗИ с наименьшим математическим ожиданием, небольшим стандартным отклонением и большой достоверностью рейтингования. Иначе говоря, получается первый вариант СЗИ.

Математическое ожидание Ç^CO = 0,552 выбранной СЗИ мы проецируем на первоначальную оценочную шкалу экспертов (табл. 2) и получаем значение коэффициента изменения конкурентоспособности для данной СЗИ р(х) = (0,6 — 0,4) • 0,552 + 0,4 = 0,510 . Условный эффект равен ЭуИБ = У2оо9 • (1_ р) = 175 • (1 - 0,510) = 85750 руб. Тогда условный эффект для каждого товара или услуги равен Э'уШ = 85750/n , где n - количество производимых товаров или предоставляемых услуг на

предприятии. Так как использовались бесплатные программные продукты, а один человек был назначен контролером ИБ и получил прибавку к зарплате 51600 руб. в год, затраты, приходящиеся на каждый товар или услугу, будут равны Z'=Z/n=51600/n. Конкурентоспособность предприятия равна

F 85750

n a'F' + сб + Eб

=Zab аб/ X - 51600 ■ (3)

'= "'r' ci + Ej +-

n

Очевидно относительное увеличение конкурентоспособности данного предприятия. В 2011 г. уда -лось подсчитать реальный ущерб, который составил 93 тыс. руб. Соотношения ниже показывают коэффициенты изменения конкурентоспособности и условные эффекты, полученные на основании оптимизационных и реальных значений:

Рреал=У2011/У2009=93/175=0,531; ЭуИБреал = У2009 - У2011 = 82 000 руб.; ЭуИБтеор = 85750 руб.

Можно сделать вывод, что теоретические результаты оказались близки к реальным. После внедрения оптимизационного варианта СЗИ произошло усиление ИБ и увеличение конкурентоспособности предприятия (3).

Заключение

Предложено решение многокритериальной оптимизационной задачи выбора системы защиты информации, основанное на ее сведении к скалярной задаче, когда в качестве критерия выбран обобщающий коэффициент изменения конкурентоспособности предприятия, зависящий от частных критериев эффективности системы защиты информации. Определена зависимость между техническими характеристиками системы защиты информации, которые оцениваются по выбранным критериям, и единым экономическим показателем количественного изменения конкурентоспособности предприятия. Благодаря этому прослеживается связь между эффективностью бизнес-процессов предприятия и эффективностью работы системы защиты информации. Проведено внедрение оптимального варианта системы защиты информации по критерию обеспечения конкурентоспособности предприятия на малом предприятии ООО «Балтрос-Сервис». Итоги эксперимента показали уменьшение ущерба в результате нарушения информационной безопасности и увеличение уровня конкурентоспособности предприятия. Количественное изменение конкурентоспособности предприятия после внедрения оптимизационного варианта системы защиты информации наглядно демонстрирует обоснованность повышенного внимания к информационной безопасности на предприятии.

References

1. Bogatyrev V.A., Bibikov S.V. Otsenka funktsional'noi bezopasnosti dublirovannykh vychislitel'nykh system [Estimation of functional safety for the duplicated Computing systems]. Scientif'c and Technical Journal of Information Technologies, Mechanics and Optics, 2012, no. 2 (78), p. 146.

2. Bogatyrev V.A., Bogatyrev A.V. Funktsional'naya nadezhnost' system real'nogo vremeni [Functional reliability of realtime systems]. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, 2013, no. 4 (86), pp. 150-151.

3. Bogatyrev V.A., Bogatyrev A.V., Golubev I.Yu., Bogatyrev S.V. Optimizatsiya raspredeleniya zaprosov mezhdu klasterami otkazoustoichivoi vychislitel'noi sistemy [Queries distribution optimization between clusters of fault-tolerant computing system]. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, 2013, no. 3 (85), pp. 77-82.

4. Bogatyrev V.A. Exchange of duplicated computing complexes in fault-tolerant systems. Automatic Control and Computer Sciences, 2011, vol. 45, no. 5, pp. 268-276. doi: 10.3103/S014641161105004X

5. Zakutina G.P., Kedrovskaya L.G., Shumov Yu.A. Informatsionnoe obespechenie konkurentosposobnosti produktsii i uslug [Information support of the competitiveness of products and services]. 2nd ed. Moscow, IPKIR Publ., 1992.

6. Kudtyavtsev V.V. Povyshenie konkurentosposobnosti predpriyatii pri pomoshchi kommunikatsionnykh vozdeistvii [Improving the competitiveness of enterprises using communication actions]. Pishchevaya promyshlennost', 2006, no. 7, p. 18.

7. Domarev V.V. Bezopasnost' informatsionnykh tekhnologii. Metodologiya sozdaniya system zashchity [Safety of information technology. Methodology for creating protection systems]. Kiev, OOO TID Dia Soft Publ., 2001, 688 p.

8. Koneev I.R., Belyaev A.V. Informatsionnaya bezopasnost'predpriyatiya [Information security of a company]. St. Petersburg, BKhV-Peterburg Publ., 2003, 752 p.

9. Gatchin Y. A., Arustamov S. A., Suhostat V. V. Tekhnologiya informatsionnogo obespecheniya biznes-protsessov v ekstremal'nykh situatsiyakh [The dataware technology of business process in emergency situations]. Otkrytoe obrazovanie, 2010, no. 4, pp. 10-20.

10. CRAMM (CCTA Risk Analysis and Management Method). Available at: http://rm-inv.enisa.europa.eu/methods/m_cramm.html (accessed 08.02.14).

11. Peltier T.R. Information security risk analysis. 3rd ed. Taylor & Francis Publ., 2010, 440 p.

12. Popova E.V. Mnogokriterial'nyi optimizatsionnyi vybor sistemy zashchity informatsii dlya malykh predpriyatii [Multicriteria optimization selection of information security system for small businesses]. Trudy VIII Sankt-Peterburgskoi mezhregional'noi konferentsii "Informatsionnaya bezopasnost' regionov Rossii" [Proc. VIII St. Petersburg Interregional Conference "Information security of regions of Russia"]. St. Petersburg, Russia, 2013, pp. 191-192.

13. Hovanov N.V., Fedotov Yu.V. Complex production systems' performance measurement: estimation of aggregate indices under uncertainty. Discussion paper #28(R)-2006. Available at: http://dspace.gsom.pu.ru/jspui/bitstream/123456789/91/1/28%28R%29_2006.pdf (accessed 09.02.14).

14. Hovanov N., Yudaeva M., Hovanov K. Multicriteria estimation of probabilities on basis of expert non-numeric, nonexact and non-complete knowledge. European Journal of Operational Research, vol. 195, no. 3, pp. 857-863. doi: 10.1016/j.ejor.2007.11.018

15. Popova E.V. Raschet konkurentosposobnosti malykh predpriyatii sfery servisa pri usilenii informatsionnoi bezopasnosti [Calculation of competitiveness of small enterprises in the service area at strengthening information security]. Vestnik rossiiskoi akademii estestvennykh nauk, 2012, no. 3, pp. 48-51.

Попова Елена Владимировна - ассистент, Санкт-Петербургский государственный экономический

университет, Санкт-Петербург, Россия, serana5@inbox.ru

Helen V. Popova - assistant, Saint Petersburg State University of Economics, Saint Peters-

burg, Russia, serana5@inbox.ru

Принято к печати 29.01.14 Accepted 29.01.14