Содержание к диссертации
Введение
Глава 1. Методологические подходы к анализу и управлению рисками в области защиты информации 10
1.1. Информация и особенности ее защиты 10
1.2. Классификация организаций по уровню требований, преъявляемых ими к информационной безопасности 11
1.3. Процесс анализа и управления информационными рисками 15
1.4. Методики оценки рисков 18
1.5. Средства анализа и управления информационными рисками 33
1.5.1. Обзор основных стандартов в области защиты информации и управления рисками 33
1.5.2. Обзор инструментальных средств анализа и управления информационными рисками 41
Выводы по первой главе 56
Глава 2. Разработка методики анализа рисков для информационной системы организации 58
2.1. Постановка задачи анализа рисков 58
2.2. Инвентаризация и классификация информационных ресурсов 60
2.3. Определение перечня угроз 63
2.4. Определение понятия информационного риска и подходы к его оценке 65
2.5. Методика оценки интегрального уровня риска для информационной системы в целом 77
2.6. Управление информационными рисками 86
2.6.1. Задача оптимального распределения денежных средств между отдельными направлениями защиты информации 87
2.6.2. Задача определения оптимального объема денежных средств, необходимого для обеспечения информационной безопасности 89
Выводы по второй главе 92
Глава 3. Анализ защищенности информационной системы ВУЗа 94
3.1. Актуальность вопросов защиты информации в современном ВУЗе... 94
3.2. Информационная система ВУЗа 95
3.3. Определение угроз 100
3.4. Оценка уровня риска 101
3.5. Определение оптимального объема денежных средств, необходимого для обеспечения безопасности исследуемой информационной системы ВУЗа 112
Выводы по третьей главе 116
Заключение 118
Список литературы
- Классификация организаций по уровню требований, преъявляемых ими к информационной безопасности
- Обзор основных стандартов в области защиты информации и управления рисками
- Методика оценки интегрального уровня риска для информационной системы в целом
- Определение оптимального объема денежных средств, необходимого для обеспечения безопасности исследуемой информационной системы ВУЗа
Введение к работе
Актуальность исследования. В последнее время быстрое развитие технологий передачи и обработки информации сделало ее одним из ценнейших ресурсов. На сегодняшний день информация приобретает уникальную ценность и является одним из критически важных ресурсов — это новые идеи, производственные, коммерческие секреты и т.д. Все это не могло не наложить свой отпечаток на ведение бизнеса на всех уровнях. Информация используется для принятия важных стратегических решений и от того, насколько она будет достоверна и актуальна, может зависеть дальнейшая судьба фирмы. Разглашение или утечка конфиденциальной коммерческой информации могут повлечь значительные финансовые убытки, а также негативно отразиться на имидже компании. Уничтожение одного или нескольких информационных ресурсов способно надолго парализовать деятельность целого предприятия. Поэтому, совершенно очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми проблемами бизнеса. Наиболее актуальны эти вопросы для компаний, имеющих отношение к информационным технологиям, к банковскому сектору, к услугам связи, к инновационным проектам и т.п.
Таким образом, перед современным бизнесом остро встает задача обеспечения надежной защиты своих информационных ресурсов. Однако, как и любая другая защита, защита информации является делом крайне дорогостоящим, и далеко не всегда руководители предприятий осознают, что такие вложения являются крайне выгодными, позволяя существенно снизить потери, связанные с информационными рисками. Большинство публикаций, посвященных вопросам информационной безопасности, изобилуют техническими подробностями, при этом абсолютно упускают из виду проблему экономической целесообразности тех или иных решений. Так, основная масса существующих стандартов используют понятие "модели нарушителя", которое позволяет определить возможности злоумышленника,
5 против которого направлена система защиты информации. Однако такой подход позволяет лишь оценить надежность системы и не учитывает ее стоимостные характеристики. Вместе с тем вопрос экономической эффективности является ключевым при принятии решений о выделении различных денежных сумм на реализацию отдельных программ и мероприятий по обеспечению информационной безопасности. На сегодняшний день наиболее распространенным способом решения данного вопроса является применение систем анализа рисков, позволяющих оценить риски в информационной системе и выбрать оптимальный по эффективности вариант контрмер.
В настоящее время существует целый ряд программных продуктов, ориентированных на оценку информационных рисков организаций. Однако подавляющее большинство из них рассматривают лишь риски, связанные с компьютерной подсистемой информационной инфраструктуры компании, оставляя в стороне бумажный документооборот, проблему защиты информации при телефонных и личных переговорах, а также другие процессы в организации, в ходе которых происходит передача, обработка или хранение информации. Кроме того, такие программные продукты в своей работе используют лишь общие рекомендации по защите компьютерных сетей и часто не учитывают конкретных особенностей информационной инфраструктуры фирмы.
Все это зачастую "ставит в тупик" руководителей высшего звена, которые в последнее время, осознавая важность проблемы обеспечения информационной безопасности на предприятии, начинают уделять ей существенно больше внимания. Однако при этом далеко не всегда они могут обоснованно оценить объем денежных средств, необходимый для решения задач информационной безопасности. Кроме того, не менее важным является распределение данных средств между отдельными задачами, касающимися обеспечения защиты информации. Эта проблема, как правило, решается исключительно на основе интуитивных предположений руководителей
6 подразделений без опоры на формальное обоснование экономической целесообразности данного решения.
Таким образом, актуальность данной работы обусловлена существующей на сегодняшний день потребностью в создании методик управления финансовыми активами в рамках решения задач обеспечения информационной безопасности и снижения уровня информационных рисков.
Цели и задачи исследования. Целью диссертационного исследования является построение методики оценки информационных рисков организации и оптимизация распределения средств, выделенных на реализацию мероприятий информационной безопасности.
В соответствии с поставленной целью в диссертации поставлены и решены следующие задачи:
классификация организаций по уровню требований, предъявляемых ими к информационной безопасности;
сравнительный анализ существующих методик оценки информационных рисков и обзор основных стандартов в области защиты информации и управления рисками;
обзор существующих инструментальных средств анализа и управления информационными рисками с целью выявления их основных характеристик, а также сильных и слабых сторон;
выявление состава параметров, влияющих на оценку информационного риска;
определение вида и свойств функции зависимости риска от средств, вложенных в мероприятия информационной безопасности;
построение математической модели зависимости уровня информационного риска от объема денежных средств, выделяемых на решение задач информационной безопасности, а также распределения этих средств между отдельными направлениями обеспечения защиты;
разработка методики оценки уровня риска для информационной инфраструктуры организации, а также подходов к оптимизации расходов на информационную безопасность;
апробация разработанной методики при решении задачи анализа рисков для информационной системы ВУЗа.
Объект и предмет исследования. Объектом диссертационного исследования является информационная инфраструктура организации.
Предметом исследования выступают риски, возникающие в процессе обработки и хранения информации в организации, а также их зависимость от объемов финансирования мероприятий, связанных с защитой информации.
Теоретическая и методологическая основа исследования.
Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в предметных областях экономики, математики, информационной безопасности, риск-менеджмента, теории оптимального управления. В частности, разработки и исследования следующих российских авторов: Домарева В.В., Кононова А.А., Петренко С.А и Симонова СВ.
В работе также применялись:
международные стандарты в области защиты информации и анализа информационных рисков (ISO 15408, ISO 17799, BSI и др.);
руководящие документы Гостехкомиссии России;
описания существующих как отечественных, так и зарубежных инструментальных средств анализа и управления информационными рисками (COBRA, CRAMM, Гриф и др.);
нормативные и законодательные акты, принятые на территории Российской Федерации.
Научная новизна. Поставлена и решена новая актуальная научная проблема: разработка методики оценки и управления информационными
8 рисками, учитывающей структуру финансирования мероприятий информационной безопасности в коммерческой организации.
Предмет защиты составляют следующие результаты, полученные лично автором и содержащие элементы научной новизны:
проведен сравнительный анализ существующих средств и методик анализа информационных рисков и выявлена ограниченность существующих подходов;
построена математическая модель, описывающая зависимость уровня риска для информационной инфраструктуры организации от объемов финансирования задач информационной безопасности;
разработана методика анализа рисков информационной инфраструктуры организации;
формализована задача оптимизации распределения средств, выделенных на обеспечение информационной безопасности, между мероприятиями по защите отдельных информационных ресурсов;
формализована задача оптимизации финансирования мероприятий информационной безопасности.
Практическая значимость заключается в разработке методики оценки и управления информационными рисками, учитывающей особенности финансирования мероприятий информационной безопасности в коммерческой организации и позволяющей оценить экономическую эффективность бюджета, выделенного на защиту информации.
Область применения результатов исследования. Методики, созданные в рамках диссертационного исследования, могут быть использованы руководством компаний для определения оптимального объема финансирования, выделяемого на защиту информации, а также руководителями подразделений, отвечающих за информационную безопасность, при распределении средств между отдельными мероприятиями. Кроме того, предложенные методики могут быть
9 использованы в работе компаний, осуществляющих аудит информационной безопасности.
Полученные результаты также будут полезны будущим специалистам в области информационной безопасности компаний. Материалы диссертационного исследования могут использоваться в учебном процессе.
Апробация результатов. Результаты исследования докладывались на Всероссийской научно-практической конференции «Математика, информатика, естествознание в экономике и в обществе», проходившей в Московской финансово-юридической академии, 22 ноября 2007 года.
Публикации. По материалам диссертационного исследования опубликовано 5 научных работ общим объемом 2 п.л.
Структура работы. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.
Классификация организаций по уровню требований, преъявляемых ими к информационной безопасности
Существуют различные подходы к анализу и управлению рисками. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, так называемого уровня зрелости организации, а также специфики ее деятельности. Проблема анализа и управления информационными рисками может ставиться и решаться по-разному в зависимости от степени зрелости организации.
На сегодняшний день существуют несколько моделей определения уровня зрелости компаний. Так, например, аналитическая компания Gartner Group выделяет 4 уровня зрелости компании — начиная с нулевого уровня и заканчивая третьим [55]. Университет Carnegie Mellon University предлагает расширенную модель определения уровня зрелости компании и выделяет 5 уровней зрелости с точки зрения различного понимания проблем информационной безопасности [113]. Модель, определяемая стандартом COBIT, выделяет уже 6 уровней зрелости организации [118]. Характеристика организации для каждого уровня зрелости в зависимости от модели представлена в Приложении 1. В рамках данного исследования использование столь подробного подхода к уровням зрелости организации не требуется, так как наибольший интерес представляют исключительно методы анализа информационных рисков, применяемые в компании. В связи с этим рассмотрим упрощенную трехуровневую модель (табл. 1.1).
Уровень зрелости Требование кИБ Анализ иуправлениерисками Информационные ресурсы Инструментальные средства 0 Отсутствует понимание проблемы ИБ Не осуществляется Информация не представляет какой-либо ценности для организации Не применяются 1 Минимальные требования к режиму ИБ Базовый анализ рисковКачественные методики анализа рисков Информационные системы не содержат особо ценной информации ПО «Cobra»ПО «SoftwareTool»ПО «КОНДОР» 2 Повышенные требования к режиму ИБ Полный анализ рисков Количественные и качественные методики анализа рисков Информационные системы содержат критичную информацию ПО «CRAMM» ПО «Marion» ПО «RiskWatch» ПО «ГРИФ» ПО «АванГард» О уровень:
Информационные ресурсы не представляют особой ценности. Задачи обеспечения режима информационной безопасности неактуальны. Анализ и управление информационными рисками не производится. Информационная безопасность реализуется штатными средствами операционных систем и приложений. 1 уровень:
Ценность информационных ресурсов не является чрезмерно высокой, однако важно не упустить каких-либо существенных аспектов при обеспечении информационной безопасности. В этом случае достаточно выполнения основных требований к режиму информационной безопасности, а именно: следовать стандартам и рекомендациям, например ISO 17799, обеспечивающим минимальный уровень информационной безопасности. На данном уровне используется упрощенный, так называемый базовый подход к анализу и управлению рисков, при котором может рассматриваться стандартный набор наиболее распространенных угроз безопасности, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д., без оценки их вероятности. Для нейтрализации этих угроз применяется типовой набор контрмер, а вопросы эффективности защиты не рассматриваются. Так же возможно применение качественных методик оценки информационных рисков [2].
Ценность информационных ресурсов настолько высока, что нарушение режима информационной безопасности чревато тяжелыми последствиями. В этом случае предъявляются повышенные требования в области информационной безопасности и применяется полный вариант анализа рисков. При проведении полного анализа рисков происходит построение модели организации с точки зрения информационной безопасности, которая включает в себя следующие моменты: для выделенных ресурсов определяется их ценность как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.п. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации. При этом важно определить не только качественные, но и количественные оценки угроз безопасности, уязвимостей и ценности информационных ресурсов. Далее на основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью [2]. Для проведения полного анализа рисков, как правило, используются специализированные программные средства, основанные на современных базах знаний и процедурах логического вывода. Данные инструментальные средства анализа рисков позволяют построить структурные и объектно-ориентированные модели информационных активов компаний, модели угроз и модели рисков, с помощью которых можно выявить такие информационные ресурсы компании, риск нарушения защищенности которых является критическим. Кроме того, инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании и сравнивать между собой по критерию «эффективность-стоимость» различные варианты комплексов мер защиты и контроля. Наиболее известными программными продуктами этого класса являются: CRAMM (Великобритания), MARION (Франция), Risk Watch (США), ГРИФ и АванГард (Россия) [6]. Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области информационной безопасности, позволяющая оценивать риски и уязвимости, а также эффективность различных вариантов контрмер в определенной ситуации [98]. Рассмотрим подробнее основные этапы процесса анализа рисков, характерного для организаций, относящихся к первому и второму уровням зрелости.
Обзор основных стандартов в области защиты информации и управления рисками
Качественные методики, а также инструментальные средства анализа и управления рисками в большинстве своем разработаны на основе требований стандартов информационной безопасности, посвященных практическим вопросам организации режима защиты информации на предприятии. Так, например, один из наименее трудоемких подходов при базовом анализе рисков заключается в том, что оценку риска можно определить по степени отклонения от установленного образца, то есть требований, которые закреплены в нормативных документах [60]. Это прежде всего международные и национальные стандарты оценки информационной безопасности и управления ею - ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита, отражающие вопросы информационной безопасности, -COBIT, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им.
Наиболее значимыми нормативными документами в области информационной безопасности, определяющими критерии для оценки защищенности информационной системы, являются «Общие критерии оценки безопасности ИТ» (The Common Criteria for Information Technology Security Evaluation/ISO 15408) и «Практические правила управления информационной безопасностью» (Code of practice for Information Security Management/ISO 17799) [9].
Стандарт ISO 15408, принятый в 1999 году, наиболее полно представляет критерии для оценки механизмов безопасности программно-технического уровня. При проведении работ по анализу защищенности информационной системы (ИС), а также средств вычислительной техники (СВТ) «Общие критерии оценки безопасности информационных технологий» ("ОК") целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности ИС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость "ОК" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Достоинствами "ОК" являются полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы.
Вместе с тем в "ОК" главное внимание уделено защите от несанкционированного доступа. Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остались не рассмотренными, так же как и многие другие вопросы, требующие привлечения специальных методов или являющиеся смежными по отношению к безопасности информационных технологий, например, оценка административных мер безопасности, методики оценки различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации.
"ОК" могут использоваться для выбора приемлемых мер защиты информации, поскольку в них содержатся критерии оценки требований безопасности. Представляется, что для крупной (как государственной, так и коммерческой) организации использование "ОК" для планирования и оценки своей системы безопасности может быть весьма продуктивно. А вот для небольших фирм, возможно, более целесообразным будет применение менее формализованных подходов.
Помимо формулирования требований к новой системе "ОК" весьма желательно использовать и для описания функциональности уже действующей системы информационной безопасности, например, с целью постановки задачи по ее модернизации [18, 47, 77, 102, 134].
Во введении говорится о том, что некоторые меры контроля могут не понадобиться, и что могут потребоваться некоторые дополнительные меры, не включенные в материал стандарта, а также приводится полезная информация о том, как достичь защищенного состояния информации внутри организации. Точный набор средств, мер и действий по управлению, включаемый в каждую программу безопасности, определяется в процессе оценки угроз.
Таким образом, стандарт ISO 17799 представляет собой набор рекомендаций, подходящий любому типу организации независимо от ее размера и направления деятельности. Он изначально создавался максимально гибким, чтобы дать возможность любому, кто будет использовать его на практике, свободу в выборе конкретного решения.
Методика оценки интегрального уровня риска для информационной системы в целом
Полученное выше выражение для уровня риска является достаточно общим и может быть применено как к отдельному объекту, так и к большим наборам информационных объектов. Так, задав уровень ущерба и функцию, описывающую вероятность реализации угрозы для такого набора объектов, с помощью данной формулы получим оценку риска. Однако на практике использование подобного подхода для сколь бы то ни было значительных по объему информационных структур будет крайне затруднительным, так как при этом потребуется учесть большое количество различных факторов, влияющих на данную зависимость.
Напротив, для отдельных информационных объектов подобные функции могут быть построены достаточно легко, так как для конкретной пары "информационный объект - угроза" не составит значительного труда оценить как вероятность реализации данной угрозы и частоту опасных событий, так и возникающий при этом экономический ущерб. Затем, определив указанные параметры для каждой пары, можно получить интегральную оценку уровня риска и для информационной системы в целом. Однако даже для достаточно небольшой организации количество таких пар будет крайне велико. В связи с этим необходимо предусмотреть меры, которые позволят снизить трудоемкость процесса оценки.
Как было сказано выше, для каждой пары "информационный объект -угроза" необходимо определить три параметра: ущерб от реализации угрозы, количество опасных событий и вероятность реализации угрозы в рамках одного такого события.
Рассмотрим вопрос определения ущерба для всех информационных объектов системы с точки зрения снижения трудоемкости данного процесса. В составленном на этапе инвентаризации перечне информационных объектов содержится достаточно большое количество схожих объектов. В связи с этим возможно объединить такие объекты в группы на основе совпадения их характеристик.
Основным признаком для объединения объектов в группы является однотипность информации, содержащейся в этих объектах. Так, не могут быть объединены информационные объекты, содержащие данные, относящиеся к разным сферам деятельности организации. К примеру, в одну группу попадет финансовая отчетность различных филиалов компании, однако данные о выплатах заработной платы сотрудникам должны относиться к другой группе, так как они отражают информацию, имеющую принципиально другую ценность, и ущерб от реализации угроз для нее будет значительно отличаться.
Другим существенным параметром, учитываемым при разбиении объектов на группы, является степень важности информации ввиду того, что последствия от утечки или уничтожения открытой, конфиденциальной информации и информации, составляющей государственную тайну, будут различны [24, 38, 95].
Кроме того, следует помнить, что ценность большинства информационных объектов с течением времени снижается. Так, бухгалтерская отчетность и планы развития компании 10-летней давности будут представлять существенно меньшую ценность, чем аналогичные документы за текущий период времени, а техническая документация на изделие, давно снятое с производства, будет менее важна, чем те же материалы, но относящиеся к перспективным разработкам.
В результате необходимо определить уровень потерь по всем угрозам (или группам угроз) только для одного представителя из каждой группы. При этом ущерб будет зависеть не от самой угрозы, а от результата ее реализации. Так, не имеет значения, была ли информация утрачена в результате пожара или неосторожных действий сотрудника. Таким образом, проводя оценку ущерба, можно также разделить множество угроз на группы. В простейшем случае это могут быть семь групп: угрозы, приводящие к нарушению свойств конфиденциальности, целостности, доступности информации, а также различные комбинации данных свойств. Однако при этом следует помнить, что потери от реализации одних и тех же угроз могут существенно меняться при переходе от одной группы информационных объектов к другой, что необходимо учитывать при разделении угроз на группы. Так, компьютерные вирусы могут нанести серьезный ущерб информации, обрабатываемой с помощью вычислительной техники, однако не представляют никакой опасности для документов на бумажных носителях.
Рассмотрим оценки вероятности реализации угроз для различных информационных объектов. Очевидно, что данный параметр будет зависеть исключительно от формы представления информации и мер, предпринимаемых для ее защиты. При этом не будет иметь никакого значения конкретное информационное содержание объекта, так как воздействие при реализации угрозы будет одинаковым для всех документов. Так, при взломе компьютерной системы, обрабатывающей закрытую информацию, компрометации подвергнется вся информация независимо от ее тематики.
Кроме того, на вероятность реализации угроз могут влиять такие факторы, как месторасположение объекта, контингент сотрудников и т.д. Так, вероятность пожара будет существенно выше в старом доме с деревянными перекрытиями и обветшавшей проводкой, чем в новом офисном здании, оснащенном современными системами пожаротушения.
В результате вышесказанного имеет смысл объединить информационные объекты в блоки на основе их расположения и мер, принимаемых для их защиты. Таким образом, в один блок попадают документы, хранящиеся вместе и обрабатываемые одинаковым способом. Следствием такого объединения будет являться то, что для всех объектов, входящих в один информационный блок, угрозы реализуются одновременно, а меры защиты, предпринимаемые для обеспечения безопасности одного из этих объектов, автоматически будут распространяться и на остальные. При этом очевидно, что аналогичные свойства будут присущи параметру /Л, описывающему количество опасных событий за некоторый период времени.
В результате вышесказанного имеет смысл при оценке уровня риска остановиться на понятии информационного блока, так как оно с одной стороны уменьшает трудоемкость за счет снижения уровня детализации рассматриваемой системы, а с другой - позволяет не приносить в жертву точность вычислений, так как в любом случае именно информационный блок будет являться тем минимальным элементом, который пострадает в результате реализации угрозы.
Таким образом, целесообразно будет применить описанную выше формулу для определения уровня риска именно к информационным блокам. Для этого необходимо задать наиболее вероятное количество опасных событий Мц для рассматриваемого блока, функцию вероятности реализации угрозы и уровень ущерба в случае ее реализации.
Значение математического ожидания Мц количества опасных событий для информационного блока может быть получено либо на основе имеющихся статистик, либо с помощью экспертных оценок.
В соответствии с построением информационных блоков функция, описывающая вероятность реализации угрозы, будет общей для всех элементов блока, а значит, и для блока в целом. Таким образом, остается лишь определить параметр ущерба для информационного блока. Воспользуемся допущением, что при реализации угрозы для нескольких информационных объектов потери по каждому из объектов будут независимыми друг от друга [53]. Подобные допущения часто используются на практике, так как в большинстве случаев сохраняют достоверность описания предметной области и в худшем случае позволяют получить границу уровня потерь. В результате принятого допущения значение ущерба для информационного блока в целом будет равно сумме ущербов по всем элементам данного блока. Кроме того, следует помнить, что хранение и обработка информации невозможны без аппаратного обеспечения, следовательно, при оценке ущерба необходимо также учитывать средства, требующиеся для восстановления данного оборудования.
Определение оптимального объема денежных средств, необходимого для обеспечения безопасности исследуемой информационной системы ВУЗа
Рассмотрим задачу нахождения экономически обоснованного объема денежных средств, необходимого для обеспечения информационной безопасности. Воспользуемся полученными на предыдущем этапе функциями, описывающими уровень информационного риска для отдельных элементов рассматриваемой системы. Если на мероприятия по информационной безопасности выделять только обязательный минимум средств, необходимый для функционирования информационной системы, то значение потерь составит 390 600 тыс.руб., что в 113,6 раз больше, чем при найденном решении. Таким образом, выделяя ежегодно 2 603 тыс.руб. на обеспечение информационной безопасности, при оптимальном распределении данных средств можно добиться сокращения среднегодовых затрат в данной области на 387 160 тыс.руб.
Данный пример демонстрирует возможности использования построенной методики оценки риска в задачах оптимизации, а также в создании экономически оправданной политики информационной безопасности. Ее применение позволит заложить четкие методологические основы в процесс планирования объема бюджета на информационную безопасность за счет выбора системы контрмер, которая обладала бы наилучшим соотношением цена-качество.
1. Активное развитие информационных технологий в области высшего образования привело к тому, что количество проблем, связанных с информационной безопасностью в ВУЗе, возросло многократно. Повышение уровня открытости информационной системы ВУЗа и рост интенсивности обмена с внешними по отношению к данной системе клиентами и ресурсами приводят к снижению защищенности системы и способны обернуться крупными финансовыми потерями для института. В связи с этим ВУЗу, как и коммерческой организации, будет актуально проведение комплексного анализа информационных рисков, который позволит оценить уровень возможных потерь, а также определить эффективный комплекс контрмер.
2. Для участка информационной системы ВУЗа были определены перечень информационных объектов и список актуальных угроз. На основе полученных экспертных оценок были построены функции, описывающие зависимость уровня риска для информационного объекта от объема денежных средств, вкладываемых в меры по противодействию угрозам безопасности. После чего была описана зависимость уровня риска для информационной системы в целом от объема финансирования задач безопасности и распределения данных денежных средств между отдельными направлениями защиты.
3. На основе построенной модели была сформулирована и решена задача нахождения оптимального уровня финансирования мер по противодействию угрозам информационной безопасности. Предложенный бюджет финансирования мероприятий по защите информации позволил в более чем на порядок снизить общие затраты, связанные с информационной системой ВУЗа.
4. Рассмотренный пример анализа уровня информационного риска показывает, что применение предложенной методики позволяет существенно снизить общие расходы, связанные с информационной безопасностью, и эффективно распределить денежные средства между отдельными задачами защиты информации.
5. Приведенный расчет уровня риска для участка информационной системы может рассматриваться в качестве первого этапа для проведения полномасштабного анализа рисков для информационной системы ВУЗа в целом.
1. Сравнительный анализ наиболее распространенных методик и программных продуктов, предназначенных для оценки уровня информационного риска, показал, что в подавляющем большинстве случаев специфика исследуемой информационной системы не учитывается, а анализ уровня риска строится на сравнении используемых в организации мер защиты с требованиями, прописанными в соответствующих стандартах.
2. Анализ методик количественной оценки информационных рисков, а также основанных на них программных продуктов показал, что при оценке риска используются исключительно статические оценки вероятности реализации угроз, что приводит к необходимости повторного проведения расчетов для проверки эффективности различных вариантов контрмер.
3. Анализ общей направленности наиболее распространенных методик и программ оценки информационных рисков показал, что на современном этапе развития данной области наибольшее внимание уделяется техническим средствам и организационно-административным мерам защиты информации, при этом практически не рассматривается вопрос об определении требуемого уровня финансирования для реализации указанных мер.
4. Проведенный комплекс исследований текущего состояния дел в области анализа информационных рисков позволяет сделать вывод о необходимости создания новой методики анализа информационных рисков, позволяющей эффективно управлять финансовыми активами для обеспечения экономически обоснованного уровня защиты информации.
5. Предложен способ оценки уровня риска для информационного объекта с помощью функции, в качестве аргументов которой выступает объем денежных средств, выделяемых на защиту объекта, а также их распределение между отдельными мероприятиями информационной безопасности.
6. Разработана математическая модель зависимости денежного выражения информационного риска для организации от объемов финансирования отдельных статей бюджета, влияющих на уровень информационной безопасности. Данная модель может быть использована при решении различных задач, связанных с анализом влияния бюджета информационной безопасности на общий уровень информационного риска для данной системы.
7. На основе предложенной математической модели разработана методика оценки текущего уровня информационного риска для организации, а также рассмотрены задачи оптимального распределения денежных средств, выделяемых на защиту информационных ресурсов, между отдельными задачами информационной безопасности, включая задачу определения экономически обоснованного объема финансирования, выделяемого на защиту информации.
8. Рассчитан уровень информационного риска для участка информационной системы ВУЗа и предложен оптимальный вариант распределения денежных средств между отдельными задачами, связанными с защитой информации. Результаты расчета показывают, что отсутствие мер по защите информации может привести к существенным финансовым потерям, в то же время эффективное планирование статей бюджета, влияющие на информационную безопасность, позволяет более чем на порядок снизить расходы, связанные с информационными рисками.
9. Показана практическая значимость и продемонстрирована эффективность применения функциональной зависимости риска от объемов денежных средств при решении задачи оптимизации финансирования мероприятий информационной безопасности.
