3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи

Использование метода экспертного оценивания в совокупности с правилом композиции соответствий множеств позволяет определить состав комплекса средств защиты информации. Создание математической модели возможно с различными вариантами применения теории как обычных множеств, так и нечетких множеств.

Сравнительный анализ методик выбора средств защиты информации показал, что их отличие объясняется тем, что в разных моделях использовались разные исходные данные об элементах множеств.

В модели выбора средств защиты информации на основе четких множеств с четкими соответствиями для каждой угрозы определяется экспертная оценка значимости, т.е. элементы множества угроз отображаются на элементы множества оценок. Каждая угроза характеризуется несколькими коэффициентами нечеткого соответствия – со всеми имеющимися уровнями обстановок.

В модели выбора средств защиты информации на основе четких множеств с четкими соответствиями состав множества угроз не изменялся, а полученные для каждой угрозы оценки значимости использовались для вычисления общих оценок угроз.

Использование представленных методик выбора средств защиты информации позволяет определить количественный и качественный состав комплекса средств защиты объекта в зависимости от предполагаемой угрозы на основе экспертно-аналитического метода количественных приближенных оценок.

Оценка эффективности разработки КСЗИ

При внедрении КСЗИ ставится задача минимизации суммарных затрат путем изменений капитальных и эксплуатационных затрат, которая в общем случае сводится к оптимизации показателя общей эффективности мероприятий по обеспечению безопасности [20]:

(13)

где Y₁^k – возможный ущерб k-го вида до внедрения КСЗИ; Y₂^k – возможный ущерб k-го вида после внедрения КСЗИ; – суммарные затраты на внедрение средства безопасностиb-го вида за счет изменений ∆К_з – капитальных и ∆Э_з – эксплуатационных затрат.

Риск от реализации угрозы рассчитывается по формуле:

(24)

,

где Y – возможный ущерб от реализации угрозы; P – вероятность реализации угрозы нарушителем.

Можно выделить три варианта повышения эффективности мероприятий по обеспечению комплексной безопасности объекта защиты:

1

(25)

.

2

(26)

.

3

(27)

.

Вероятный ущерб от реализации угрозы определяется следующим образом:

(28)

_,

где Y¹ – прямые потери; Y² – затраты на ликвидацию и расследование; Y³ – социально-экономические потери; Y⁴ – косвенный ущерб;Y⁵ – экологический ущерб;Y⁶ – потери от выбытия трудовых ресурсов; Y⁷ – ущерб от потери информационных ресурсов.

Все потенциальные угрозы безопасности объекта защиты так или иначе влияют на его экономическое состояние и на соотношение «затраты – ущерб» при управлении безопасностью. В этой связи целесообразно таким образом формировать программу управления, чтобы затраты на обеспечение безопасности были адекватны потенциальным угрозам. Подобная ситуация предопределяет необходимость оценки вероятности реализации угрозы.

Оценка вероятности реализации угроз и связанная с этим оценка возможных потерь – наиболее сложная и ответственная часть всего процесса обеспечения безопасности. От того, насколько, с одной стороны, достаточно полно выявлены реальные и прогнозируемые (потенциальные) угрозы, зависит в конечном итоге степень защищенности объекта. С другой стороны, сознательное превышение достаточности при учете тех угроз, влияние которых непосредственно на функционирование объекта маловероятно или локализация которых невозможна, или малоэффективна, приведет к существенному завышению затрат на безопасность и может существенно сказаться на реально достигаемой экономической эффективности защиты.

Отсюда возникает задача оптимизации уровня защищенности объекта от угроз, позволяющая достичь максимальной эффективности выбранного варианта комплекса защитных мер. При этом необходимо учитывать весьма важное ограничение: несмотря на кажущееся наличие прямой зависимости между размерами выделяемых на защиту средств и эффективностью защиты, существует предельно-допустимая величина затрат, определяемая рентабельностью проектируемой системы защиты – нормой прибыли на инвестируемые в нее средства.

Повышение рентабельности защиты возможно как за счет обоснованной экономии издержек на ее организацию и эксплуатацию, так и за счет их оптимального распределения по пространству угроз.

Другое направление сокращения издержек заключается в зонировании системы безопасности. Решающее значение для формирования эффективной системы безопасности в целом имеет взаимное расположение зон защиты, образующих в совокупности ее структуру. Отдельные специалисты выделяют три основных вида структур систем безопасности:

• система независимых или непересекающихся зон;

• система с частичным пересечением зон;

• система из полностью зависимых, или «вложенных» друг в друга зон защиты.

Самой простой в организационном отношении является структура независимых зон защиты [19]. В такой структуре каждая из зон автономна при противодействии внешним и внутренним угрозам. Это позволяет достаточно оперативно и полно использовать для реализации задач защиты собственные материально-технические ресурсы, однако делает невозможным использование ресурсов других зон, высвобождающихся при отсутствии угроз. Качество противодействия угрозам в системах с независимыми зонами оценивается частными и общими показателями эффективности (рентабельности) защиты. В частности, при статистически независимых угрозах общая эффективность защиты (Е) оказывается линейно связанной с частными показателями эффективности защиты E_j(j =1,..., М) каждой из М зон:

(14)

где δ_j – относительная значимость j-й зоны защиты:

(15)

где M – число зон защиты в проектируемой структуре системы безопасности объекта;

N_j – общее число угроз, проявляющихся в j-й зоне защиты;

Р_ij– вероятность проявления угроз i-го вида в j-й зоне защиты;

d_ij – абсолютная значимость j-й зоны защиты в отношении i-го вида угроз.

Из (15) следует, в частности, сравнительно простая оценка предельного «снизу» качества (надежности) защиты каждой из зон:

(31)

где Q₀– уровень качества (надежности) системы защиты в целом.

Исходя из зонного принципа организации защиты, можно сформулировать ряд важных предпосылок по структуризации системы защиты в целом [20]:

1. чем выше значимость зоны d_j, тем более эффективной должна быть ее защита и, следовательно, тем больше средств необходимо выделять для ее организации;

2. в системах с высоким уровнем эффективности общей защиты большая

часть издержек должна быть связана с обеспечением безопасности особо важных зон или зон с максимальной относительной значимостью.

Так, при общей эффективности защиты Е = 95% и значимости особо важной зоны d_jj=0,9 частная эффективность защиты E_j более 89%, что практически совпадает с общей величиной Е.

Однако эти предпосылки справедливы только по отношению к структуре системы из независимых зон и требуют уточнений для других более сложных структур. Анализ показывает, что при некоторых других допущениях (равнозначность угроз, линейный характер основных зависимостей и др.) относительная величина q выигрыша по затратам на ресурсы будет определяться из неравенства:

.

Величина эффекта, как экономия затрат на безопасность, определяется, помимо факторов затратного характера, и разбросом относительной значимости зон. Так если система безопасности состоит из четырех зон с относительной значимостью: d1 = 0,8; d2 = 0,1; d3 = 0,07; d4 = 0,03 (что соответствует некоторым коммерческим структурам с охраняемой внешней территорией), то в соответствии с формулой (25) получим значение q > 2,62, то есть оптимизация распределения ресурсов позволит в данном случае обеспечить равную общую эффективность защиты при в 2,62 раза меньших расходах (по сравнению с затратной схемой использования ресурсов).

Оптимизация распределения ресурсов по зонам защиты позволит экономически обосновать выбор для каждой из них и объекта защиты в целом состав комплекса специальных технических средств. Критерием оптимальности этой композиции может быть выбрана сумма средних потерь от реализации угроз и затрат на систему защиты.

О

(33)

бозначим вероятность реализации j-й угрозы в отношении k-го защищаемого элемента при неиспользовании i-го способа (метода) защиты Р_ijk а ущерб компании от ее реализации L_ijk. Тогда математическое ожидание ущерба от реализации ijk-й угрозы:

.

О

(34)

чевидно, что математическое ожидание ущерба от реализации j-й угрозы в результате неиспользования i-го способа (метода) защиты по всем к защищаемым элементам в этом случае будет:

.

С

(35)

оответственно математическое ожидание ущерба от реализации всех угроз в отношении k-го защищаемого элемента при неприменении i-го способа (метода) защиты составит:

.

Математическое ожидание ущерба от неприменения всех способов (методов) защиты k-го элемента от j-й угрозы составит:

(36)

Тогда максимально допустимые затраты на систему обеспечения безопасности предприятия (в смысле непревышения затрат на ее содержание над полным математическим ожиданием ущерба от реализации всех угроз в отношении всех защищаемых элементов при применении всех методов защиты) будут равны полному математическому ожиданию ущерба от их реализации:

(37)

.

Оптимальность затрат на организацию защиты определяется на периоде, в течение которого функционирует объект защиты и на тот период, на который разрабатывается стратегия. Этот период должен (по крайней мере) равняться периоду Т, на котором определялась вероятность реализации угроз.

Если же для различных видов угроз периоды определения вероятности их реализации отличаются, то здесь будет возникать некоторая неопределенность. Так, если в качестве расчетного периода принять период минимальной длительности, то, с одной стороны, это увеличивает затраты на защиту от тех угроз, вероятность реализации которых определялась на более продолжительном периоде. С другой стороны, в течение короткого периода не все виды угроз могут реализоваться, а значит, они могут быть и не учтены в принятии мер защиты от них. Тогда при реализации проектируемой системы возникает опасность проявления неучтенных угроз, обусловливающих дополнительный ущерб и превышение связанных с их локализацией затрат. При этом система защиты может оказаться нерентабельной, не обеспечивающей к тому же решение задач обеспечения безопасности. Неопределенность в проявлении различного вида угроз в краткосрочных периодах может быть разрешена с организацией статистики этих проявлений и актуализацией по накопленным статистическим данным структуры, функций и затрат на систему безопасности.

Рассмотрим теперь ситуацию, когда расчетный период, на котором определялась вероятность реализации угроз, принимался достаточно продолжительным. В этом случае в целом по периоду затраты на систему безопасности будут минимальными, но в отдельные промежутки времени (когда может реализоваться угроза с вероятностью, определенной на более коротких периодах) ущерб от реализации угроз может превысить затраты на систему безопасности. И тогда она может оказаться нерентабельной (с точки зрения рентабельности предприятия в целом) и не выполнит на этом коротком периоде свою задачу.

Возможный выход из такого противоречия – применение минимаксного подхода теории игр[17]. Он предполагает достижение минимума затрат на такую систему безопасности, которая обеспечивает максимальную результативность, то есть обеспечивает защиту от максимально допустимого ущерба как результата реализации угрозы, вероятность проявления которой определялась на коротком периоде, и размер ущерба от которой может на этом периоде необратимо дестабилизировать деятельность предприятия. Естественно, минимаксный подход будет целесообразен при более двух различающихся по продолжительности периодах, на которых определялись вероятности реализации угроз.