Тема 4. Выбор оптимального набора средств защиты информации от критических угроз и уязвимостей.
Цель: закрепить теоретические знания и получить практические навыки по количественной оценке эффективности снижения риска от использования дополнительных средств защиты и формирование оптимального набора в рамках инвестиционного бюджета на ИБ.
Задание. На основании данных о выявленных критических угрозах, уязвимостях и угрозах риска для информационных ресурсов объекта защиты, полученных при выполнении задания 3, а также исходного списка средств, снижающих риски ИС (табл. 4.1 методических указаний), требуется:
1) Сформировать исходный набор дополнительных средств защиты, закрывающих наиболее опасные уязвимости и критические угрозы;
2) провести оценку альтернативных контрмер по снижению рисков;
3) выполнить оценку издержек на создание и использование дополнительных средств защиты;
4) отранжировать варианты средств защиты по относительному критерию снижение риска на единицу издержек и сформировать оптимальный их набор с учетом бюджета ИБ.
Выполнение работы.
1. Для каждого альтернативного варианта средств защиты рассчитывается обобщенная мера изменений всего набора переменных, характеризующих вклад в снижение риска ИС в баллах:
где
- вес ресурса f с размещенной
информацией в общей стоимости защищаемых
ресурсов;
- критичность угроз j для
ресурса f (см. задание 3);
- значимость (вес) переменных, характеризующих эффективность средств защиты (см. таблицу 4.2 методических указаний);
- балльная оценка снижения уровня риска
по угрозе j при использовании
средства защиты h по
фактору эффективности l
(см. таблицу 4.2).
Состав переменных, используемых для оценки, зависит от характера деструктивных факторов, определяющих угрозы (переменные: 1.1, 1.2, 1.3, 1.4, 1.5 используются при характеристике злоумышленных действий).
Для обеспечения сопоставимости значений эффективности для всего набора исходного списка средств защиты их необходимо нормализовать по формуле:
Расчеты занесены в таблицу 4.1
Таблица 4.1. Оценка снижения риска локальных угроз от использования альтернативных средств защиты.
Переменное состояние, l |
rl |
Локальные угрозы
( |
||||||||||||||
УЛ111(0,01*0,36) |
УЛ122(0,01*0,27) |
УЛ132(0,01*0,08) |
||||||||||||||
Индексы альтернативных средств защиты |
||||||||||||||||
1.1 |
2.1 |
2.2 |
3.1* |
3.2* |
1.2 |
1.3* |
3.3* |
1.4* |
1.5* |
2.3* |
3.4* |
3.5* |
||||
1.1/2.1 |
0,15/0,3 |
4/0,6 |
4/0,6 |
2/0,3 |
2/0,6 |
4/0,6 |
2/0,3 |
4/0,6 |
2/0,6 |
2/0,6 |
4/0,6 |
4/0,6 |
6/1,8 |
2/0,6 |
||
1.2/2.2 |
0,25/0,1 |
4/1 |
2/0,5 |
2/0,5 |
0/0 |
2/0,2 |
4/1 |
6/0,6 |
0/0 |
4/0,4 |
6/0,6 |
2/0,2 |
6/0,6 |
4/0,4 |
||
1.3/2.3 |
0,3/0,15 |
2/0,6 |
2/0,6 |
4/1,2 |
0/0 |
6/0,9 |
4/1,2 |
6/0,9 |
4/0,6 |
4/0,6 |
8/1,2 |
2/0,6 |
4/0,6 |
2/0,6 |
||
1.4/2.4 |
0,1/0,25 |
2/0,2 |
4/0,4 |
0/0 |
2/0,5 |
2/0,5 |
4/0,4 |
8/2 |
4/1 |
4/1 |
6/1,5 |
8/2 |
4/1 |
4/1 |
||
1.5/2.5 |
0,2/0,2 |
0/0 |
4/0,8 |
0/0 |
2/0,4 |
2/0,4 |
2/0,4 |
4/0,8 |
2/0,4 |
4/0,8 |
8/1,6 |
6/1,2 |
2/0,4 |
2/0,4 |
||
|
0,0086 |
0,0104 |
0,0072 |
0,0054 |
0,0094 |
0,0089 |
0,0132 |
0,007 |
0,0027 |
0,0044 |
0,0037 |
0,0035 |
0,0024 |
|||
|
0,0477 |
0,0576 |
0,0399 |
0,0299 |
0,0521 |
0,0493 |
0,0731 |
0,0388 |
0,015 |
0,0244 |
0,0205 |
0,0194 |
0,0133 |
|||
)
2. Оценка издержек, связанных с разработкой (приобретением) и функционированием дополнительных средств защиты информации, основывается на совместном использовании двух методов известной структуры статей совокупной стоимости владения (табл. 4.2 методических указаний) и калибровки ее значения на основе шкалы разностей (см. табл. 4.3), отражающей возможный прирост в баллах отдельных статей относительно базового уровня.
Прирост издержек в относительной форме определяется по формулам:
где
- прирост издержек по статье l
от базового уровня в баллах от использования
средства защиты h;
- удельный вес статьи l в
совокупной стоимости владения.
Расчеты сведены в таблицу 4.2.
Таблица 4.2.Оценка издержек на создание и использование дополнительных средств защиты
Статьи затрат СВВ СЗИ |
|
Локальные угрозы |
||||||||||||||
УЛ111(0,01*0,36) |
УЛ122(0,01*0,27) |
УЛ132(0,01*0,08) |
||||||||||||||
Индексы альтернативных средств защиты |
||||||||||||||||
1.1 |
2.1 |
2.2 |
3.1 |
3.2 |
1.2 |
1.3 |
3.3 |
1.4 |
1.5 |
2.3 |
3.4 |
3.5 |
||||
1.Предпроизводствен -ные затраты |
0,08 |
2/0,16 |
2/0,16 |
4/0,32 |
2/0,16 |
6/0,48 |
0/0 |
2/0,16 |
0/0 |
2/0,16 |
4/0,32 |
2/0,16 |
4/0,32 |
0/0 |
||
2. Единовременные затраты на технические и аппаратные средства |
0,3 |
4/1,2 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
2/0,6 |
4/1,2 |
0/0 |
4/1,2 |
6/1,8 |
0/0 |
2/0,6 |
||
3. Вложения в программное обеспечение |
0,27 |
2/0,54 |
4/1,08 |
2/0,54 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
2/0,54 |
4/1,1 |
||
4.Вложение в информационное обеспечение |
0,1 |
2/0,2 |
2/0,2 |
4/0,4 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
2/0,2 |
4/0,4 |
0/0 |
||
5. Текущие расходы на материалы и электроэнергию |
0,02 |
4/0,08 |
2/0,04 |
4/0,08 |
2/0,04 |
2/0,04 |
6/0,12 |
2/0,04 |
4/0,08 |
8/0,16 |
2/0,04 |
0/0 |
0/0 |
0/0 |
||
6. Зарплата обслуживающего персонала |
0,04 |
4/0,16 |
4/0,16 |
4/0,16 |
2/0,08 |
2/0,08 |
4/0,16 |
6/0,24 |
4/0,16 |
2/0,08 |
2/0,08 |
4/0,16 |
2/0,08 |
8/0,3 |
||
7. Расходы на ремонт и восстановление |
0,03 |
4/0,12 |
2/0,06 |
2/0,06 |
0/0 |
0/0 |
6/0,18 |
6/0,18 |
4/0,12 |
2/0,06 |
2/0,06 |
0/0 |
0/0 |
2/0,1 |
||
8. Расходы на поддержание инфраструктурных подразделений |
0,01 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
||
9.Зарплата управленческого персонала |
0,03 |
0/0 |
0/0 |
0/0 |
0/0 |
2/0,06 |
0/0 |
0/0 |
2/0,06 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
||
10. Снабженческие расходы |
0,01 |
0/0 |
0/0 |
0/0 |
2/0,02 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
4/0,04 |
4/0,04 |
0/0 |
0/0 |
||
11. Расходы на обучение персонала |
0,01 |
4/0,04 |
4/0,04 |
2/0,02 |
2/0,02 |
2/0,02 |
4/0,04 |
0/0 |
0/0 |
0/0 |
2/0,02 |
2/0,02 |
4/0,04 |
0/0 |
||
12. Потери о простоев ИС |
0,1 |
2/0,2 |
4/0,4 |
2/0,2 |
0/0 |
0/0 |
0/0 |
0/0 |
0/0 |
2/0,2 |
4/0,4 |
4/0,4 |
2/0,2 |
6/0,6 |
||
|
0,009 |
0,0077 |
0,006 |
0,002 |
0,002 |
0,001 |
0,003 |
0,004 |
0,001 |
0,001 |
0,002 |
0,001 |
0,002 |
|||
|
0,216 |
0,185 |
0,144 |
0,045 |
0,046 |
0,023 |
0,072 |
0,096 |
0,024 |
0,025 |
0,047 |
0,026 |
0,048 |
|||
3. Осуществляется ранжирование и выбор оптимального набора средств защиты информации.
Традиционным критерием выбора альтернативы является показатель «относительная эффективность»:
Вместе с тем ранжирование вариантов по данному критерию не всегда обеспечивает выбор наилучшего варианта. Это связано с тем, что при сравнении альтернатив в количестве более двух важны не абсолютные значения издержек и полезности, а их приращения (т.е. предельные значения). В соответствии с положениями предельного анализа переход от одного варианта к другому целесообразен только в том случае, если связанные с ним дополнительные издержки будут полностью компенсированы.
Ранжирование вариантов выполняется в таблице 4.3. в следующей последовательности:
а) определяются нормируемые значения вектора показателей .
б) альтернативные варианты упорядочиваются по возрастанию издержек. При этом издержки, в связи с ограниченностью финансовых ресурсов, рассматриваются как более важные по отношению к полезности;
в) для каждой пары упорядоченных смежных альтернатив рассчитываются первые разности показателей и и их отношение по формулам:
г)
варианты средств защиты, у которых
значение
< 0, исключаются из ряда, поскольку
дополнительные издержки, связанные с
их реализацией не окупаются от прироста
эффективности защиты;
д)
оставшиеся в списке варианты средств
защиты ранжируются по убыванию критерия
.
Они являются основой для формирования
оптимального их набора;
е) формируется оптимальный набор средств защиты ИС путем последовательного включения в соответствии со значением их ранга. Процесс формирования завершается при выполнении ограничения:
где
- общий уровень риска ИС с учетом всех
потенциальных угроз;
- значение допустимого остаточного
риска по ИС;
- вклад средств защиты h в снижение риска ИС.
Таблица 4.3. Ранжирование и отбор допустимых вариантов средств защиты по эффективности их влияния на снижение информационных рисков.
Критерии отбора и ранжирования |
Индексы альтернативных средств защиты, упорядоченных по возрастанию дополнительных издержек, h |
|||||||||||||
1.2 |
1.4 |
1.5 |
3.4 |
3.1 |
3.2 |
2.3 |
3.5 |
1.3 |
3.3 |
2.2 |
2.1 |
1.1 |
||
Нормализованный вектор дополнительных издержек, |
0,023 |
0,024 |
0,025 |
0,026 |
0,045 |
0,046 |
0,047 |
0,048 |
0,072 |
0,096 |
0,144 |
0,185 |
0,216 |
|
Нормализованный вектор вклада средств в снижение риска, |
0,0477 |
0,0576 |
0,0399 |
0,0299 |
0,0521 |
0,0493 |
0,0731 |
0,0388 |
0,015 |
0,0244 |
0,0205 |
0,0194 |
0,0133 |
|
Разности показателей смежных вариантов |
|
|
0,001 |
0,001 |
0,001 |
0,019 |
0,001 |
0,001 |
0,001 |
0,024 |
0,024 |
0,048 |
0,041 |
0,031 |
|
|
0,0099 |
-0,536 |
-0,01 |
0,0222 |
-0,003 |
0,0238 |
-0,034 |
-0,024 |
0,0094 |
-0,004 |
-0,001 |
-0,006 |
|
Показатели эффективности |
|
2,1 |
2,4 |
1,6 |
1,15 |
1,16 |
1,07 |
1,6 |
0,8 |
0,2 |
0,3 |
0,14 |
0,1 |
0,06 |
|
|
9,9 |
-536 |
-10 |
0,1 |
-3 |
23,8 |
-34 |
-1 |
0,04 |
-0,08 |
-0,02 |
-0,2 |
|
Исключение вариантов с < 0 |
|
|
- |
- |
|
- |
|
- |
- |
|
- |
- |
- |
|
Ранжирование отобранных вариантов в соответствии с убыванием |
|
2 |
|
|
3 |
|
1 |
|
|
4 |
|
|
|
|
Таблица 4.4.Оптимальный набор средств защиты информации от угроз.
Номер |
Индекс |
Вид средства защиты информации |
1 |
2.3 |
Резервирование программных средств и информации |
2 |
1.4 |
Приобретение технических средств повышенной надежности |
3 |
3.1 |
Разработка положения о конфиденциальной информации |
4 |
3.3 |
Визуальный контроль доступа за входящими в помещение |
Вывод: В таблице 4.4. приведен список оптимальных средств защиты с учетов всех видов ранжирования, и отбора. Как видно из списка преобладают средства защиты организационных средств, на втором месте технические средства. И замыкают программные средства. Создав эту таблицу, мы выбрали средства защиты информации, которые максимально помогут противодействовать критическим угрозам