автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Метод анализа и управления рисками безопасности защищенной информационной системы

Львова Анастасия Владимировна

МЕТОД АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ БЕЗОПАСНОСТИ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ

СИСТЕМЫ

Специальности

05.13.01 - Системный анализ, управление и обработка информации

(энергетика, приборостроение, информатика, производственные процессы)

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

7 3 АПР 200Э

Москва - 2009

Работа выполнена в Московском энергетическом институте (техническом университете) на кафедре Управления и информатики.

Научный руководитель доктор технических наук,

профессор Бородюк Виталий Павлович

Официальные оппоненты доктор технических наук,

профессор Мельников Юрий Николаевич

кандидат технических наук Тульский Сергей Александрович

Ведущая организация Всероссийский научно-исследовательский

институт проблем вычислительной техники и информатизации (ВНИИПВТИ)

Защита состоится 14 мая 2009 г. в 16 час. 00 мин. на заседании диссертационного совета Д 212.157.08 прй Московском энергетическом институте (техническом университете) по адресу:

Москва, ул. Красноказарменная, д. 14 в Малом актовом зале МЭИ.

С диссертацией можно ознакомиться в библиотеке МЭИ (ТУ).

Отзывы на автореферат в двух экземплярах, заверенные печатью, просим направлять по адресу: 111250, Москва, ул. Красноказарменная, д. 14, Ученый совет МЭИ (ТУ).

Автореферат разослан "/3 " СМъН&ЛЯь 2009 г.

Ученый секретарь

диссертационного совета Д 212.157.08, кандидат технических наук, доцент

Анисимов Д.Н.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы

В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.

Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений.

При разработке системы защиты необходимо решить целый ряд задач, среди которых можно назвать классифицирование информации и отнесение ее к категории ограниченного доступа, прогнозирование и своевременное выявление угроз безопасности, создание механизма и условий оперативного реагирования на угрозы ИБ, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств, обеспечение максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, повышение экономической эффективности системы защиты, соизмерение выделяемых средств с коммерческой ценностью закрываемой информации.

Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня без опасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места.

Существуют различные способы проведения оценки рисков. Они отличаются методами оценивания их составляющих - вероятности и ущерба. Наиболее распространено использование экспертных оценок в совокупности с балльными шкалами значений, что затрудняет трактовку результатов расчетов. Эффективность анализа рисков снижает также рассмотрение типовых угроз ИБ применительно к конкретной организации с характерными для нее информационными ресурсами. В связи с этим обстоятельством актуальной является задача разработки метода анализа и управления рисками, опирающегося на показате-

ли, пригодные для количественной экспертной оценки. При этом оценки необходимо получать в денежном выражении, что позволило бы использовать строгие формулы для расчетов и адекватно интерпретировать результаты.

Важным также является вопрос, какой объем средств следует тратить на внедрение, поддержание и модификацию системы ИБ организации. Для ответа на него необходимо использовать некоторый показатель экономической эффективности для оценки выгоды по отношению к затратам. При этом возникает ряд трудностей с интерпретацией экономических показателей для области ИБ. Решение вопроса формирования адекватного показателя экономической эффективности системы защиты, удобного для оценивания, является на сегодняшний день актуальным.

Объект и предмет исследования

Объектом исследования в диссертации является класс систем информационной безопасности крупных коммерческих организаций, для которых существует потребность построения (адаптации) системы ИБ адекватно конкретным угрозам.

Предметами исследования являются: » процессы управления информационной безопасностью организации;

• теоретические подходы к анализу рисков ИБ;

• инструментальные средства анализа и управления рисками ИБ;

• способы оценки экономической эффективности систем ИБ.

Целью диссертации является разработка метода анализа и управления рисками безопасности с возможностью оценки экономической эффективности системы защиты и вариантов ее модификации.

Для реализации поставленной цели с учетом анализа открытых литературных источников были поставлены и решены следующие основные задачи:

1. Сравнительный анализ основных стандартов, подходов к решению задачи анализа и управления рисками безопасности, критериев оценки экономической эффективности системы защиты, используемых инструментальных программных средств. Выявление ограничений в применении рассмотренных подходов и решений.

2. Разработка метода анализа и управления рисками с учетом выявленных недостатков существующих подходов и решений.

3. Разработка показателя оценки экономической эффективности затрат на создание и эксплуатацию системы защиты и вариантов ее модификации.

4. Реализация разработанных подходов в виде программной инструментальной системы.

5. Внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).

Методы исследования.

Для решения поставленных задач использовались математические модели оценки рисков, рентабельности, теории информации, теории множеств, методы объединения экспертных оценок. При разработке программной реализации инструментальной системы применялись технологии информационного поля,

унифицированный язык моделирования данных ЦМЬ, объектно-ориентированное проектирование и программирование.

Достоверность результатов.

Обоснованность научных положений, выводов и рекомендаций, сформулированных в диссертации, подтверждается:

• непротиворечивостью исходных предпосылок получения конечного результата - показателя рентабельности системы ИБ, выраженного через риски;

• результатами внедрения разработанного метода анализа и управления рисками на ИБС МЭИ (ТУ), подтверждающими, что результаты использования метода совпадают с экспертной оценкой специалистов;

• апробацией полученных результатов среди квалифицированных специалистов на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.) и на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.)

Научная новизна.

1. Предложен новый метод анализа и управления рисками безопасности информационной системы. Метод оперирует данными только по конкретным (реально действующим) противникам организации с учетом их возможностей, намерений, мотивации на реализацию угроз, что позволяет повысить достоверность исходных данных и результатов анализа.

2. Проведена классификация и описание типовых информационных носителей и нарушителей ИБ с указанием возможных способов реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к защищаемой информации, а также вариантов противодействия, что позволяет аналитику более полно описывать угрозы реально действующего противника.

3. В качестве оценки выгоды от функционирования системы защиты предложен показатель нериска как произведение вероятности нереализации угрозы на ущерб от ее реализации. Показатель позволяет оценивать экономический эффект на основе имеющихся данных без проведения дополнительного анализа.

4. На основе показателя нериска разработан показатель оценки экономической эффективности системы защиты в виде рентабельности, который позволяет учитывать специфические параметры функционирования системы ИБ и действий конкретных противников.

Практическая значимость работы.

Разработанный метод анализа и управления рисками может быть использован любой организацией для контроля и управления защищенностью значимых ресурсов, но в первую очередь метод ориентирован на применение в крупных коммерческих организациях, имеющих службу ИБ, и заинтересованных в нахождении компромисса между затратами, выделяемыми на защиту, и достигаемым уровнем безопасности.

Метод реализован в виде инструментальной системы, которая дает возможность специалистам по информационной безопасности организации:

• проводить накопление статистики инцидентов в области ИБ;

• описывать структуру информационной системы организации и моделировать различные варианты системы защиты;

• оценивать риски ИБ организации на основе статистических данных и экспертных оценок, обрабатываемых с использованием метода групповой оценки объектов;

• оценивать экономическую эффективность системы ИБ, используя показатель рентабельности.

Использование результатов диссертации. На основе разработанного метода анализа и управления рисками, а также показателя оценки экономической эффективности разработана инструментальная система. Данная система внедрена в рамках информационно-вычислительной сети МЭИ (ТУ). Использование результатов диссертации подтверждает акт об использовании.

Апробация работы. Основные результаты работы докладывались и обсуждались на XIV Международной конференции «Информационные средства и технологии» (Москва, МЭИ (ТУ), октябрь 2006 г.), на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.), на XVII Международном научно-техническом семинаре (Алушта, сентябрь 2008 г.), на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.).

Публикации. По результатам диссертационного исследования опубликованы шесть печатных работ, в том числе две в журнале «Вестник МЭИ», включенном в перечень ведущих рецензируемых научных журналов ВАК РФ. В публикациях, написанных в соавторстве, автору принадлежат основные результаты.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав с выводами к ним, заключения, списка литературы и приложения. Основной текст работы изложен на 168 страницах машинописного текста и включает 12 рисунков и 31 таблицу. Список литературы содержит 104 источника. Объем приложения составляет 30 страниц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность решаемой в диссертации научно-технической проблемы, сформулированы цель и задачи исследования, научная новизна и практическая ценность проведенных исследований.

В первой главе содержится обзор стандартов, теоретических подходов к анализу рисков, показателей экономической эффективности систем ИБ, а также инструментальных средств анализа рисков, существующих на рынке. К наиболее популярным стандартам в области ИБ можно отнести 1SO/IEC 17799:2005, BSI, NIST SP 800-30, ГОСТ Р ИСО/МЭК 17799, BS 7799 - 1, 2, 3.

Основной задачей стандартов является описание требований, которые необходимо выполнить для обеспечения базового уровня защищенности ИС. Подходы к решению этой задачи различаются. Так ISO/IEC 17799 описывает

общие принципы построения систем ИБ, в BSI обсуждаются «частные» случаи организации защиты, NIST рассматривает вопросы управления рисками. Выбор подходящего стандарта для внедрения обуславливается потребностями организации. При этом обеспечение соответствия требованиям стандарта является важным условием для дальнейшего анализа рисков и повышения экономической эффективности систем защиты.

Среди основных существующих подходов к анализу рисков выделяются табличные методы, анализ с использованием нечеткой логики, применение теории игр, построение моделей потенциальных нарушителей. Каждый из них обладает своими достоинствами и недостатками, которые были сформулированы в рамках работы.

Значение риска позволяет оценить уровень защищенности ресурсов без обсуждения стоимости системы защиты. Для оценки экономической эффективности в основном используются такие показатели как: Возврат от инвестиций, Совокупная стоимость владения, Чистая приведенная стоимость, основными недостатками которых является сложность в оценке исходных данных для проведения расчетов.

Автором были проанализированы наиболее популярные инструментальные средства анализа рисков, такие как инструменты базового уровня (справочные материалы, COBRA), CRAMM, DS Office, «Авангард». Был изучен их функционал, описаны особенности.

В результате проведенного анализа и выявленных недостатков были сформулированы следующие предпосылки и требования к разрабатываемому методу анализа и управления рисками.

1. Уровень информационной безопасности защищаемой системы должен соответствовать требованиям стандарта (ISO 17799, ГОСТ Р 15408-2002 и др.).

2. Требуется проводить накопление собственной статистики организации по инцидентам в области ИБ и использовать ее в качестве исходных данйых для анализа.

3. Необходимо, чтобы исходные оцениваемые параметры описывали конкретного действующего, а не предполагаемого противника. Это позволит увеличить достоверность результатов оценивания.

4. Необходимо исключить использование качественных шкал при оценке параметров рисков и перейти к реальным числовым величинам в денежном выражении (непрерывная шкала).

5. Риск должен быть выражен количественно, в денежных единицах измерения.

6. Необходимо ввести экономический показатель эффективности системы защиты, зависящий только от параметров, определяющих функционирование системы защиты.

7. Метод должен позволять оперативно учитывать меняющиеся внешние условия, используя экономический показатель как индикатор приемлемости (целесообразности) измененного варианта системы защиты.

Вторая глава содержит подробное описание разработанного автором метода анализа и управления рисками. Основное отличие модели заключается в том, что она оперирует данными по конкретным противникам организации, которые выявлены службой безопасности на сегодняшний день. Это дает возможность повысить достоверность экспертных оценок по сравнению с моделями потенциальных нарушителей. При этом в анализе рисков участвуют только те ресурсы, которые интересуют этих противников, и которые в связи с этим можно оценить денежно.

Условные обозначения.

• t (trespasser) - конкретный противник организации, мотивированный на получение выгоды от реализации угрозы деструктивного воздействия на определенную информацию;

• i (information) - информация, интересующая противника;

• у (resource) — ресурс организации (физический, технический, персонал, в том числе носители информации);

• d(i), d(r) (doing) - действие противника по отношению к информации или ресурсу;

• s(i\...ia), 1...rp) (security facility) - средство (мера) защиты (СЗ) по отношению к информации или ресурсам;

— и(5) - количество ресурсов, защищаемых СЗ;

• M(i, t) (method)- способ реализации угрозы (РУ) противником в отношении информации. Включает определенный способ доступа и способ использования информации (ИИ);

M(i,t) = (Ma(i,t)',Mr(i,t))\

— Ma(i, t) (access) - способ доступа противника к информации; доступ осуществляется через ресурсы г с помощью действий d(r).

— Mr(i, t) (realization) - способ использований информации противником; ИИ производится с помощью действия d(i):

• о(М) (occurrence) - инцидент в области ИБ;

о(М) = (о(Ма); о(Мг)), где М = (Ма;Мг);

— N(M) = N(o(M)) (number) - количество инцидентов в области ИБ с использованием способа РУ, зафиксированных в статистических данных;

— N(Ma), N(Mr) - количество инцидентов в области ИБ с использованием способа доступа и способа ИИ:

N(Ma) = Ns(Ma) + Nf(Ma), N(Mr) = Ns(Mr) + NfiMr), где

- Ns(Ma), Ns(Mr) (success) - количество успешных атак в области ИБ с использованием способа доступа и способа ИИ;

- Nf(Ma), Nf(Mr) (failure) - количество предотвращенных атак в области ИБ с использованием способа доступа и способа ИИ;

• G(M) (gain) - экспертная оценка выгоды, получаемой противником от РУ;

• V(M) (value) - оценка стоимости для противника РУ: V(M) = V(Ma) + V(Mr)\

— V(Ma) - оценка стоимости получения доступа способом Ма\

— V(Mr) - оценка стоимости использования информации способом Mr, Для расчета оценок стоимости используются следующие экспертные оценки:

- Ve(s(i)), Ve(s(r)) - экспертная оценка стоимости «взлома» средства защиты s на ресурсе г и для информации /.

- Ve(r, d(r)) - экспертная оценка затрат противника на осуществление действия d на ресурс г, не связанных со «взломом» средств защиты.

- Ve(i, d(i)) - экспертная оценка затрат противника на осуществление действия d над информацией /' после получения доступа.

0(i, f) (opposition) - экспертная оценка возможных финансовых потерь противником t, получившим и реализующим информацию г, вследствие контрдействий владельца информации, применения им компрометирующей информации, данных службы безопасности, полученных методами агентурной и технической разведки;

Р(М) (probability)- оценка вероятности РУ способом М. Оценка вероятности РУ рассчитывается на основании статистики инцидентов, анализа мотивации противника и психологической предрасположенности противника*

— Р1(М) - компонента вероятности, рассчитанная на основании статистики инцидентов, рассчитывается как вероятность выполнения двух совместных событий: получения доступа и использование информации;

— Р2(М) - компонента вероятности, рассчитанная на основании анализа мотивации противника; а именно оценок выгоды от РУ, затрат на РУ, потерь от контрдействий;

— Р\М) - компонента вероятности, оцениваемая экспертами и показывающая психологическую предрасположенность противника на РУ;

L(M) (loss) - оценка финансовых потерь владельца информации от РУ способом М:

L(M)=L(Mä)+L(Mr), где

— L(Mä) - оценка финансовых потерь за счет нарушения средств защиты, ресурсов в процессе получения доступа.

— L(Mr) - оценка финансовых потерь за счет использования информации противником.

Для расчета оценок финансовых потерь используются следующие статистические данные:

- L(o(Ma)) (occurrence loss) - ущерб владельца от нарушения ресурсов в процессе успешного доступа в инциденте о(М);

- L(o(Mr)) - ущерб владельца от успешного ИИ в инциденте о(М) (судебные издержки, командировки, смена персонала и т.д.).

Для расчета оценок финансовых потерь организации от деструктивных действий противника используются следующие экспертные оценки:

- Le(r, d(r)) (expert) -оценка потерь от действия d на ресурс г;

- Le(i, d(i)) - экспертная оценка финансовых потерь за счет использования информации противником.

R (risk) - риск; R - нериск;

— R(M) - оценка риска РУ способом М, является произведением вероятности РУ на ущерб от РУ;

— R(i) - оценка риска для информации г, рассчитывается как максимальный риск РУ для данной информации;

— R(M) - оценка нериска РУ способом М, является произведением вероятности нереализации угрозы на ущерб от РУ.

— R(i) - оценка нериска для информации г, соответствует минимальному нериску РУ для данной информации.

• С (cost) - оценка суммарной стоимости средств (мер) защиты;

— C(î) - оценка финансовых затрат на средство защиты s.

Для расчета оценок финансовых затрат используются следующие экспертные оценки:

- Ci(s) (install) - экспертная оценка стоимости покупки, установки и настройки СЗ (внедрения меры защиты) на один ресурс;

- Cu(s) (usé) - экспертная оценка стоимости эксплуатации СЗ в год;

- Cr(s) (removal) - экспертная оценка стоимости вывода из эксплуатации СЗ;

• I(s) (indirect gain) - экспертная оценка косвенной выгоды от внедрения СЗ;

• Profit (profitability) - оценка рентабельности системы ИБ организации. Автором предлагается оценивать выгоду суммарными нерисками по информации, подвергающейся угрозам противников, в сумме с косвенной выгодой от внедрения средств защиты.

Процедура анализа и управления рисками.

1. Выявление конкретных противников t, te {/,,...,/„,}. Их характеристика.

2. Описание структуры организации:

2.1. описание значимых ресурсов г, re ;

2.2. описание информации/, / е {/,,...,/„,};

2.3. описание действий противника над ресурсами d(r), d(r)e{d^...,dndr} и над информацией d(i), d(ï) е {du...,dnd,} ;

2.4. описание используемых средств защиты s(ia,...,ip), s(ry,...,rs), s e{s,,...,sM} для информации и ресурсов.

3. Получение экспертных оценок:

3.1. Ve(r, d(r)), Ve(i, d(i)) - затраты противника на осуществление действий над ресурсами и информацией, не связанных со «взломом» СЗ:

re{r{,...,rj, d(r) e {d\,...,drdr}, ie {/,,...,/„,}, d(i)e{d,,...,dnl!l}-

3.2. Ve(s(r)), Ve(s(i)) - затраты противника на «взлом» СЗ ресурса и информации соответственно; s е {.s,,...,^} ;

3.3. Ci(s), Cu(s), Cr(s) - затраты владельца информации на СЗ, s е {s, ; 3.4.1(s) - косвенная выгода от внедрения СЗ s, s е {s, ,...,s„,} ;

Ъ.5.Ье(г, d(r)), Le(i, d(i)) - ущерб владельца от деструктивных действий противника по отношению к ресурсами и информации: ге{г„...,гяг}, d(r)e{dv...,d„dr}, i е {iv...,ij, d(ï) e{dv...,d„J.

4. Описание способов РУ.

4.1. Выявление способов доступа. Доступ реализуется через некоторые ресурсы с помощью определенных действий:

Ma{i,t) e {Ma„...,Manma}- Ma(i, t)= {(r, d(r))l r e {r„...,r„}, d(r)&{d„...,dadr}y,

4.2. Выявление способов использования информации.

Mr{i,t) е {Mr„...,Mrnmr}; Mr(i, t) = (/; ' e {iv...,ij, d(i) e {d,,...,d„J.

4.3. Определение способов реализации угроз как комбинации способов доступа и способов использования информации.

Ма.ОеМ,...,^};

M(;,i) = {(Ma(i,ty,Mr(i,t)) I Ма(/,0 е {^....Мг^М/ЧМ) € {Мг„...,Мгпш}}.

4.4. Экспертная оценка параметров, характеризующих способы РУ МО,/) 6 {M,,...,M„m}: G(M), /^(М), 0(i, t), где Р3(Л/) е [0;1], и по умолчанию 0(i, t) = 0.

5. Фиксация значений:

5.1.фиксируется конкретная информация /, ' £ {/,,...,/„,■};

5.2.фиксируется конкретный противник t, t е {?,,...,/„,};

5.3. фиксируется конкретный способ РУ, а именно - M{i, t) = (Мг; Л-fr),

6. Анализ статистических данных об инцидентах в области ИБ.

6.1. Описание инцидентов в области ИБ: о(М), о{М) е {о,,...,о1Ю}, о(Л/) = (о(Ма)\ о(Мг)).

6.2. Указание ущерба владельца по каждому инциденту: L(o(Ma)), L(o{Mr)).

6.3. Подсчет количества успешных и предотвращенных атак по инцидентам: Ns{Mä), NfiMa), Ns(Mr), NJ[Mr).

Дальнейшие расчеты производятся при наличии достаточного объема статистических данных:

Ns(Ma) + NfiMa) = Na > 0, Ns(Mr) + ЩМг) = Nr > 0, по умолчанию Na = Nr = 10.

6.4. Расчет оценки компоненты вероятности РУ на основании статистики инцидентов:

Р\М)=Р\Ма)-Р\Мг),

Р](Ма) = Ns(Ma) P'(Mr) = ^

Ns(Ma) + Nf{Ma)' Ns(Mr) +Nf(Mr)'

7. Анализ мотивации противника на реализацию угрозы.

7.1. Расчет стоимости РУ для противника: V(M) = V(Ma) + V{Mr)-, где V(Ma) - оценка стоимости получения доступа, вычисляется как сумма экспертных оценок осуществления деструктивных действий и «взлома» средств защиты ресурсов, входящих в данный способ доступа, а также информации, к которой осуществляется доступ:

V(Ma) = £ Mr, d(r)) + X Z Ve(s(r)) + Ve(s(i));

У(Мг) - оценка стоимости использования информации, равная экспертной оценке выполнения действия над информацией после получения доступа:

У(Мг) = Уе(1, г(0).

7.2. Расчет оценки компоненты вероятности РУ на основании анализа мотивации противника:

Г2 0(М)-У{М)-0(Ц) С{М)

Расчет производится только при наличии значений всех компонент формулы Р1{М). При отсутствии оценок некоторых компонент Р2(М) считается неоцененным, что учитывается при расчете общей оценки вероятности.

8. Вычисление общей оценки вероятности РУ.

I К-Ру№

9 , V = 1,...,3.

V

Коэффициенты: к\ - статистический, к2 - мотивационный, /с3 - психологический. Коэффициенты рассчитываются следующим образом: = 0, если Р" не оценено, V = 1.. .3; К +ЯГ) приЛв + Лг, < ЛГ;

¿1 = 1 при Ыа + Иг> Ы; ку = 1, если Ру рассчитано, V = 2,3.

Л/"- граничное значение, задается экспертом, по умолчанию N = 10.

9. Расчет оценок риска и нериска для способа РУ.

9.1. Расчет оценки ущерба от РУ для владельца информации:

Ь(М) = Ь(Ма) + Ь{Мг); где Ь(Ма) - ущерб владельца от получения доступа, рассчитывается на основании статистики инцидентов (усредненные по статистике успешных инцидентов финансовые потери от получения доступа способом Ма) и на основании суммарных потерь от действий <1 на ресурсы г, через которые осуществляется доступ:

ЩЩаЩЫгЛгЪ

Ь(Ма) = —^—¿—2----¡:- г е Д/я;

к] +1

ЦМг) - ущерб владельца от ИИ, рассчитываются на основании статистики инцидентов (усредненные по статистике успешных инцидентов финансовые потери от ИИ способом Мг) и на основании экспертной оценки потерь за счет действия по использованию информации:

ь{Мг>Ш±г---

к, +1

где к\ - статистический коэффициент. 9.2. Расчет оценок риска и нериска для способа РУ:

R(M) = L{Ai)-P(M)-, R(M) = L(M)-[\-P(M)].

10. Выбор следующих не рассмотренных значений.

10.1. Переход к п. 5.3 и выбор следующего способа РУ M(i, t). В случае рассмотрения всех значений переход к п. 10.2.

10.2. Переход к п. 5.2 и выбор следующего противника t. В случае рассмотрения всех значений переход к п. 11.

11. Нахождение риска и нериска для информации.

Риск для информации - максимальный риск по всем способа РУ для этой информации:

R(i) = max R(M{i,t)) = R(Mmax (0), соответствует

способу РУ Л/гаах(0, М е {М,,...,М„И}.

Нериск для информации (выгода от системы защиты) - величина непоне-сенного ущерба для способа РУ с максимальным риском для информации:

R(i) = R(Mmxl(i)).

12. Переход к п. 5.1 и выбор не рассмотренной информации i. В случае рассмотрения всех значений переход к п. 13.

13. Нахождение максимального и минимального риска для системы ИБ организации:

Rmm = max R{i)5 что соответствует способу РУ ЛГах;

Ятш =minR(i), что соответствует способу РУ A/1™1; / е {/,,...,/„,}.

14. Вычисление оценки рентабельности системы ИБ:

PRofit =-<-^-, где

С = I C(s) = £ n(s)-[Ci{s) + Си (5)], 5 £ , i е (h, -JJ.

s s

К- нормировочный коэффициент.

Коэффициент К вводится для приведения значения суммарных нерисков в рамки максимально возможных потерь: max L(M)

' £1(лгах(0)'где

max L(M) - максимально возможный ущерб от РУ для организации;

М ,1

- максимальное значение для суммы нерисков 2Ж

i I

15. Анализ результатов.

15.1. Если получено, что Profit < 0, затраты на систему защиты превышают выгоду от ее функционирования. Этот факт может инициировать уменьшение текущих затрат на поддержание ИБ организации. Выбира-

ется средство защиты, соответствующее способу РУ с минимальным риском 7?min (А/пш), процесс функционирования системы обеспечения ИБ организации без этого средства или снижение затрат на него (эксплуатационных расходов). Процедура повторяется с п. 5 до получения положительной рентабельности.

15.2. Если получено, что Profit > 0, можно попытаться повысить экономическую эффективность системы защиты. Для этого рассматривается способ РУ с максимальным риском Rmax (Л/"гх) и моделируется введение нового средства защиты на его предотвращение. Процедура повторяется с п. 4.

Если значение рентабельности при этом увеличилось - затрата на использование этого средства принимается, если уменьшилось - отклоняется. Процедура повторяется до тех пор, пока суммарный (или максимальный) риск не достигнет допустимого значения, установленного экспертом, а рентабельность при этом будет положительна. В случае использования показателя рентабельности как целевого критерия возможно проведение дальнейшего моделирования с целью повышения рентабельности при ограничении на риски.

Оценка параметров в п. 3, 4.4 процедуры проводится экспертом (группой экспертов) в денежных единицах. Для обработки экспертных оценок в работе использован метод групповой оценки объектов, описанный в литературе и адаптированный к специфике решаемой задачи. В качестве объектов рассматриваются способы реализации угроз. В рамках данного метода существует алгоритм вычисления коэффициентов компетентности экспертов.

Предложенный метод анализа и управления рисками ИБ организации имеет следующие основные особенности.

1. В рамках метода осуществлен переход от абстрактных моделей потенциальных нарушителей к реальным выявленным противникам, что дает возможность оперативно реагировать и перестраивать систему защиты в зависимости от внешних условий.

2. В качестве исходных данных предложены параметры, которые могут быть оценены количественно, в денежных единицах. Их значения связаны с конкретными убытками и выгодой, которые несет сторона защиты и противник в случае атаки.

3. Защищаемая информация и противники, для которых параметры не могут быть оценены, не участвуют в рассмотрении. Это повышает достоверность исходных данных и, следовательно, результатов анализа.

4. Оценка вероятности реализации угрозы противником - рассчитываемый показатель. Исходными данными служат статистика инцидентов в области ИБ, оценка степени мотивировки противника на осуществление злонамеренных действий.

5. Введено понятие нериска как величины непонесенных потерь организации от действий противника за счет существующей системы ИБ. Показатель служит аналогом выгоды от системы ИБ.

6. В качестве оценки эффективности затрат на ИБ введен показатель рентабельности. Его значение чувствительно к изменению затрат и уровня рисков. Неотрицательное значение рентабельности говорит о «неубыточносги» системы ИБ.

7. При использовании разработанного метода существует возможность повышения экономической эффективности системы защиты путем снижения определенных рисков за счет перераспределения затрат на ИБ адекватно текущей ситуации.

Также в данной главе проведепа классификация и описание типовых информационных носителей и нарушителей ИБ с указанием возможных способов реализации угроз нарушения конфиденциальности, целостности и доступности защищаемой информации. Выделены типовые носители: персонал; документы, информация на бумажных носителях; технические средства хранения, обработки и передачи информации; физические излучения, в том числе речевая информация. Описаны типы нарушителей: посторонний (не сотрудник организации); представитель власти; сотрудник; администратор; программист; субъект защиты (сотрудник, занимающийся вопросами ИБ).

Типы нарушителей выделены исходя из специфики выполняемых ими функций и имеющихся полномочий. Список может быть дополнен с учетом специфики конкретной организации. Знание типовых угроз позволяет аналитику, использующему разработанный метод анализа и управления рисками по конкретным противникам более полно описывать их угрозы.

Третья глава содержит описание процесса моделирования и разработки инструментальной системы, реализующей предложенный метод анализа и управления рисками, а также оценку экономической эффективности. На рис. 1 представлена модель структуры инструментальной системы, созданная на языке имь.

Порядок работ с системой следующий. На первом этапе осуществляется ввод исходных данных о структуре ИС, конкретных противниках, их способах реализации угроз, экспертах. Также вводятся данные об инцидентах в области ИБ организации, таких образом происходит накопление статистики. Экспертами проводится оценка параметров формальной модели. Далее система осуществляет необходимые расчеты и генерирует итоговый отчет с результатами: значениями рисков по всем способам РУ противников, значением рентабельности существующей системы защиты.

Лицо, принимающее решения, анализирует уровни защищенности ресурсов и может использовать систему для моделирования различных вариантов структуры системы ИБ для нахождения лучших вариантов защиты с точки зрения стоимости и качества.

Рис. 1. Модель функциональной структуры инструментальной системы.

В четвертой главе описывается процесс внедрения результатов работы в рамках информационно-вычислительной сети МЭИ (ТУ) (ИБС). Работа проводилась совместно с ИВЦ МЭИ (ТУ). Сеть имеет распределенную структуру и включает около 3500 компьютеров, 150 серверных систем.

В процессе выявления конкретных противников ИБС было получено, что данных по конкретным лицам или организациям нет, или они не доступны. При этом наиболее распространенными и насущными проблемами для пользователей являются спам и вирусы. По этим противникам ведется сбор статистики, осуществляются меры противодействия. Таким образом, было решено провести анализ рисков для спама и вирусов, исключив из алгоритма некоторые параметры, характеризующие личность нарушителя.

В качестве исходных были использованы статистические данные систем мониторинга ИВС, заключения и оценки технических специалистов ИВЦ, накопленная статистическая информация по работе с заявкам пользователей, по вирусам, официальные документы, статьи, описания. В качестве требований по безопасности экспертами было сформулировано обеспечение доступности сетевых сервисов.

Был рассмотрен исходный состав системы защиты ИВС от спама и вирусов, а также 6 его комбинаций. Результаты представлены в таблице 1. Числовые значения параметров (кроме рентабельности) даны в руб. из расчета на месяц.

Таблица 1. Результаты анализа рисков по спаму и вирусам.

Вариант 1 2 J 3 4 5 6 7

Угроза Параметры Spam-Assassin Sophos Symantec Spam- Spam-Assassin J Assassin Sophos I Symantec Spam- Assassin Sophos Symantec Sophos Symantec

5 и Î!S a s о с о * и с Р(Щ 6,13 % 6,13 %| 6,13 % Ц 6,13% 0% 0% 0%

¿(Л/0 25000 25000 250001 25000 25000 25000 25000

Л (МО 1533 1533 1533 1533 0 0 0

Л (Л/о 23466 23466 23466 23466 25000 25000 25000

I Спам Вирус I без по- 1 метки | Р(.щ 5,73 % 5,73 % 5,73 % 5,73 % 100 % 100% 100%

25000 25000 25000 25000 25000 25000 25000

R(Mi) 1 1434 1434 1434 1434 25000 25000 25000

Д(Л/2) 23565 23565 23565 23565 0 0 0

Р(М}) 1 2,55% 10,5 % 44,5 % 53 % 2,55 % 10,5 % 1 44,5 %

¿(М3) | 1590 15У0 1590 liyu 1590 1DVU 1590

Д(Л/3) 40,5 167,1 708 843 40,5 167,1 708

Д(Л/з) 1551 1473 1422 882 747 1551 1419 1422 1096 882

Стоимость ср-в защиты С 1148 375,3 52,2 323,1 j

Рентабельность Profit 0,052 0,24 1,35 j 13,3 J -il -1 -1 j

Получено, что исследуемый вариант системы защиты (вариант 1) имеет минимальные риски и вероятность реализации угрозы по двум угрозам, минимальные суммарные риски, максимальная стоимость системы ИБ. При этом рентабельность положительна. Это говорит о том, что затраты на защиту оправданы. Другие варианты отличаются большими рисками, что недопустимо, а также отрицательной рентабельностью.

Надежность защиты (уменьшение вероятностей и суммарных рисков) может быть повышена путем усиления антивирусной защиты и добавления дополнительных элементов для фильтрации спама. При планировании ввода дополнительных средств защиты нельзя забывать об экономической эффективности таких денежных вложений. Следует изначально спроектировать изменения, описать их с использованием разработанной инструментальной системы, просчитать для предполагаемой конфигурации оценки вероятностей реализации угроз, рисков, рентабельности, и после этого обоснованно принимать решения по управлению конфигурацией системой безопасности.

Оценки уровня защищенности, а также рекомендации по усилению защиты ИБС, полученные по результатам анализа с использованием разработанного метода анализа и управления рисками, согласуются с экспертными оценками специалистов ИВС.

Для иллюстрации работы метода при анализе рисков по конкретным противникам было проведено их моделирование для МЭИ как организации. Были описаны противники: хакерская группа «Мошенники», целью которой является фальсификация электронных платежей института, и фирма «Разработка», заин-

тересованная в краже коммерческих разработок МЭИ. Пример полной характеристики противника по угрозам представлен в таблице 2.

Таблица 2. Характеристика противника «Мошенники».__

Характеристика Описание Обозначение

Название Хакерская группа «Мошенники» h

Информация Электронные счета, электронные переводы h

Требования Целостность, доступности информации

Носители информации, ресурсы: 1 .Персонал-. 1) Администратор бухгалтерии 2) Сотрудники бухгалтерии (4 человека) 3) Субъект защиты 2. Технические средства: 1) Сервер 1 бухгалтерии 2) Рабочие станции сотрудников 3) Лккки связи локальной ВС бухгалтерии 4) Открытый канал связи «МЭИ- банк». Гъ Г4 г> Гь п ' 3 rg

Способы получения доступа противника к информации 1 Персонал. 1.1 Посредством неформальных контактов с персоналом (гз, г4, г}) - действие d(,. 1.2 Подкуп персонала (г}, г4, г5) - действие di. 2 Технические средства. 2.1 НСД к инф-ии в ЛВС из Internet с целью несанкционированной модификации или уничтожения (r6, rj) - действие я?8. 2.2 Перехват инф-ии, передаваемой по открытым каналам связи с целью модификации, уничтожения, фальсификация в каналах связи (г8, г$) - действие d$. 2.3 Использование штатных средств ЛВС для модификации, уничтожения, фальсификация инф-ии (незаблокированных станций, визуально, при помощи подбора паролей и др.) (г6> rj) - действие din. Ma(r3, d6) Ма(п, d6) Ma(r5, d6) Ma(r}, dj) Ма(гц, rf7) Ma(r5, di) Ma(r6, d%) Ма(п, dt) Ma(rt, dg) Ma(rg, dg) Ma(re,d\o) Ma(rbd 10)

Способы ИИ Перевод денег на собственные счета - действие d\\. Mr(i2,du)

Было произведено моделирование системы средств защиты МЭИ, в состав которой вошли: система управления доступом, система конфиденциального делопроизводства, система бумажного документооборота, антиспам и антивирусные средства, средства ЭЦП, пропускная система, система интеллектуального анализа трафика, резервирования и архивирования данных, организационные меры в виде обучения и премирования сотрудников, правила работы с оборудованием. Общая стоимость покупки и эксплуатации в год составляет 1066 тыс.руб.

Пример 1: в качестве противников выявлены только спам и вирусы. Результаты анализа рисков с учетом полной системы защиты следующие: R(i\)~ 18,54 тыс.руб. / = 65,0 тыс.руб.

R{i,)= 285,50 тыс.руб. С= 1066,0 тыс.руб.

Profit = -0,67

Получена отрицательная рентабельность, следовательно, затраты на такую мощную защиту не оправданы в случае данных противников.

Пример 2: обнаруживается новый противник - хакерская группа. Результаты расчетов по каждому способу реализации угроз для всех противников следующие:

/?(/,)= 18,54 тыс. руб. /= 65,0 тыс. руб.

R(h)= 285,50 тыс. руб. С= 1066,0 тыс. руб.

R(i2) = 2615,6 тыс. руб.

ЖЬ) = 2414,4 тыс. руб. Profit = 1,59

Получено, что рентабельность стала положительной - затраты на защиту оправданы. Но уровень рисков слишком велик, следовательно, уровень защищенности низок и должен быть повышен. В соответствии с разработанным методом необходимо найти способ реализации угрозы с максимальным риском и промоделировать ввод дополнительной защиты. Получено, что это угроза, состоящая из способа доступа Ма{гъ d%) и способа ИИ Mr(i2, du). Моделируем ввод средства защиты - системы обнаружения и предотвращения атак из Internet, стоимостью 100,0 тыс. руб. и косвенной выгодой 25,0 тыс. руб. После пересчета параметров получено:

R(U)= 18,54 тыс. руб. 1= 90,0 тыс. руб.

R(ii)= 285,50 тыс. руб. С= 1166,0 тыс. руб.

Л(г2)= 2114,2 тыс. руб.

R(i2) = 2805,7 тыс. руб. Profit = 1,73

Риски снизились, стоимость системы защиты естественно возросла, но и рентабельность возросла. Следовательно, ввод данного средства защиты экономически оправдан и может быть осуществлен.

В результате внедрения и произведенного моделирования работы предложенного метода анализа и управления рисками можно сделать вывод о том, что параметры для оценки рисков и рентабельности удобны для работы и отражают действительную ситуацию по защищенности ресурсов организации.

В заключении приводятся основные результаты и выводы, полученные автором в ходе выполнения работы.

ЗАКЛЮЧЕНИЕ

В процессе решения задач, поставленных в диссертации, получены следующие основные научные и практические результаты:

1. Проведен обзор популярных международных стандартов ИБ, теоретических подходов к анализу рисков, критериев оценки эффективности, программных средств анализа и управления рисками. Выявлены достоинства и недостатки, сформулированы требования к разработке нового метода.

2. Разработан новый метод анализа и управления рисками, основывающийся на использовании знаний только по действующим угрозам ИБ организации. В качестве исходных данных предложены новые параметры, получаемые путем экспертного оценивания.

3. Проведена классификация и описание типовых информационных носителей и нарушителей ИБ. Указаны возможные способы реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к информации на различных носителях для разных типов нарушителей. Также приведены примеры способов противодействия указанным угрозам.

4. Предложен показатель оценки экономической эффективности вложений в ИБ организации в виде рентабельности, адаптированный к специфике предметной области ИБ. Основываясь на значениях параметров предложенного метода, показатель позволяет оценить экономическую эффективность существующей системы ИБ, а также планируемых мероприятий по изменению системы ИБ согласно текущим угрозам.

5. Выполнена работа по реализации предложенного метода и показателя экономической эффективности в виде инструментальной системы.

6. Осуществлено внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).

7. Выполнено моделирование анализа и управления рисками по конкретным противникам применительно к МЭИ (ТУ) для иллюстрации объема работ по проведению полного анализа рисков ИБ организации, а также возможностей управления рисками согласно разработанному методу.

Основные положения диссертации изложены в следующих публикациях:

1. Бородюк В. П., Львова А. В. Повышение экономической эффективности системы информационной безопасности. И Вестник МЭИ №4. - 2007.

2. Бородюк В. П., Крепков И. М., Львова А. В. Результаты анализа функционирования корпоративной компьютерной сети МЭИ (ТУ). // Вестник МЭИ №2,2009.

3. Бородюк В. П., Львова А. В. Методика определения оптимального уровня защиты информационной системы по критерию рентабельности // Труды XIV Международной конференции «Информационные средства и технологии». М.: МЭИ, 2006.

4. Львова А. В. Повышение рентабельности системы безопасности бизнеса // Труды XVI Международного научно-технического семинара. Алушта, сентябрь 2007 г. - СПб.: ГУАП, 2007.

5. Львова А. В. Как уменьшить затраты на безопасность бизнеса. // Технологии информационного общества: Тезисы докладов московской отраслевой научно-технической конференции. - М.: Инсвязьиздат, 2007.

6. Васильева Т. Н., Львова А. В., Хорьков С. Н. Применение оценок рисков при защите от реальный угроз информационной безопасности. // Современные технологии в задачах управления, автоматики и обработки информации: труды XVII Международного научно-технического семинара. Алушта, сентябрь 2008 г. - СПб.: ГУАП, 2008.

Подписано в печать У, О И, О&'Зак. S0 ТИр. Ю0 Пл (М" Полиграфический центр МЭИ(ТУ) Красноказарменная ул.,д.13

ВВЕДЕНИЕ.

1. РИСКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ.

1.1. Задача анализа и управления рисками.

1.2. Обзор стандартов в области ИБ.

1.3. Технологии анализа и управления рисками.

1.4. Показатели оценки экономической эффективности ИБ.

1.5. Инструментальные средства анализа рисков.

1.5.1. Инструменты базового уровня.

1.5.2. Инструменты управления рисками.

Выводы по главе.

2. РАЗРАБОТКА МЕТОДА АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ.

2.1. Проблемы анализа рисков.

2.2. Этапы построения системы защиты.

2.3. Угрозы безопасности информации.

2.4. Классификация потенциальных нарушителей.

2.5. Формализация процедуры расчета и управления рисками.

2.5.1. Основные принципы.

2.5.2. Процедура анализа рисков.

2.6. Получение и обработка экспертных оценок.

Выводы по главе.

3. РАЗРАБОТКА ИНСТРУМЕНТАЛЬНОЙ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ.

3.1. Функциональные задачи системы.

3.2. Структура информационной системы.

3.3. Разработка структуры предметной области.

3.3.1. Информационное поле данных.;.

3.3.2. Описание предметной области.

3.4. Порядок работ с инструментальной системой.

Выводы по главе.

4. ВНЕДРЕНИЕ РЕЗУЛЬТАТОВ РАБОТЫ.

4.1. Объект исследования.

4.2. Выявление и характеристика реальных угроз.

4.2.1. Значимые ресурсы ИВС.

4.2.2. Выбор реальных угроз для анализа.

4.3. Исходные данные для анализа рисков.

4.3.1. Основные параметры.

4.3.2. Средства защиты.

4.3.3. Статистические данные.

4.3.4. Экспертные оценки.

4.4. Проведение анализа рисков ИБ для ИВС МЭИ.

4.4.1. Адаптированный алгоритм оценивания.

4.4.2. Результаты и их интерпретация.

4.5. Примеры выполнения анализа рисков по конкретным противникам. 141 Выводы по главе.

Актуальность.

В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.

Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений. Для разработки системы защиты необходимо решить следующие основные задачи [1]:

- классифицирование информации, отнесение информации к категории ограниченного доступа (служебной тайне);

- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и г • юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей; повышение экономической эффективности системы защиты, соизмерение выделяемых средств с коммерческой ценностью закрываемой информации.

Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня безопасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места.

Существуют различные способы проведения оценки рисков. Они отличаются методами оценивания их составляющих - вероятности и ущерба. Наиболее распространено использование экспертных оценок в совокупности с балльными шкалами значений, что затрудняет трактовку результатов расчетов. Эффективность анализа рисков снижает также рассмотрение типовых угроз ИБ применительно к конкретной организации с характерными для нее информационными, ресурсами. В связи с этим обстоятельством актуальной является задача разработки метода анализа и управления рисками, опирающегося на показатели, пригодные для количественной экспертной оценки. При этом оценки необходимо получать в денежном выражении, что позволило бы использовать строгие формулы для расчетов и адекватно интерпретировать результаты.

Важным также является вопрос, какой объем средств следует тратить на внедрение, поддержание и модификацию системы ИБ организации. Для ответа на него необходимо использовать некоторый показатель экономической эффективности для оценки выгоды по отношению к затратам. При этом возникает ряд трудностей с интерпретацией экономических показателей для области . ИБ. Решение вопроса формирования адекватного показателя экономической эффективности системы защиты, удобного для оценивания, является на сегодняшний день актуальным.

Целью исследований является разработка метода анализа и управления рисками безопасности с возможностью оценки экономической эффективности системы защиты и вариантов ее модификации.

Основными задачами исследований являются:

1) Проведение сравнительного анализа основных стандартов, подходов к решению задачи анализа и управления рисками безопасности, критериев оценки экономической эффективности системы защиты, используемых инструментальных программных средств. Выявление ограничений в применении рассмотренных подходов и решений.

2) Разработка метода анализа и управления рисками с учетом выявленных недостатков существующих подходов и решений.

3) Разработка показателя оценки экономической эффективности затрат на создание и эксплуатацию системы защиты и вариантов ее модификации.

4) Реализация разработанных подходов в виде программной инструментальной системы.

5) Внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).

Объектом исследования являются методы, подходы, инструментальные средства анализа и управления рисками ИБ организации, а также показатели оценки экономической эффективности вложений в ИБ.

Методы исследований.

Для решения поставленных задач использовались математические модели оценки рисков, рентабельности, теории информации, теории множеств, методы объединения экспертных оценок. При разработке программной реализации инструментальной системы применялись технологии информационного поля, унифицированный язык моделирования данных UML, объектно-ориентированное проектирование и программирование.

Научная новизна.

1) Предложен новый метод анализа и управления рисками безопасности информационной системы. Метод оперирует данными только по конкретным (реально действующим) противникам организации с учетом их возможностей, намерений, мотивации на реализацию угроз, что позволяет повысить достоверность исходных данных и результатов анализа. 1

2) Проведена классификация и описание типовых информационных носителей и нарушителей ИБ с указанием возможных способов реализации угроз по отношению к защищаемой информации, а также вариантов противодействия, что позволяет аналитику более полно описывать угрозы реально действующего противника.

3) В качестве оценки выгоды от функционирования системы защиты предложен показатель нериска как произведение вероятности нереализации угрозы на ущерб от ее реализации. Показатель позволяет оценивать экономический эффект на основе имеющихся данных без проведения дополнительного анализа.

4) На основе показателя нериска разработан показатель оценки экономической эффективности системы защиты в виде рентабельности, который позволяет учитывать специфические параметры функционирования системы ИБ и действий конкретных противников.

Достоверность результатов.

Достоверность полученных результатов, сформулированных в диссертации, подтверждается:

• непротиворечивостью исходных предпосылок получения конечного результата — показателя рентабельности системы ИБ, выраженного через риски;

• результатами внедрения разработанного метода анализа и управления рисками на ИВС МЭИ (ТУ), подтверждающими, что результаты использования метода совпадают с экспертной оценкой специалистов;

• апробацией полученных результатов среди квалифицированных специалистов на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.) и на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.)

Практическая значимость.

Разработанный метод анализа и управления рисками может быть использован любой организацией для контроля и управления защищенностью значимых ресурсов, но в первую очередь метод предназначен для крупных коммерческих организаций, имеющих службу ИБ, и заинтересованных в нахождении компромисса между затратами, выделяемыми на защиту, и достигаемым уровнем безопасности.

Метод реализован в виде инструментальной системы, которая дает возможность специалистам по информационной безопасности организации:

• проводить накопление статистики инцидентов в области ИБ;

• описывать структуру информационной системы организации и моделировать различные варианты системы защиты;

• оценивать риски ИБ организации на основе статистических данных и экспертных оценок, обрабатываемых с использованием метода групповой оценки объектов;

• оценивать экономическую эффективность системы ИБ, используя показатель рентабельности.

Апробация. Материалы диссертации были доложены:

1. на XIV Международной конференции «Информационные средства и технологии» (Москва, МЭИ (ТУ), октябрь 2006 г.);

2. на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.);

3. на XVII Международном научно-техническом семинаре (Алушта, сентябрь 2008 г.);

4. на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.).

Публикации. Основные материалы диссертации были опубликованы в б печатных работах [25], [41], [42], [43], [44], [45].

Структура и объем работы. Диссертация состоит из введения, 4 глав с выводами к ним, заключения, списка литературы и приложения.

Результаты работы были успешно внедрены в рамках информационно-вычислительной сети МЭИ (ТУ). При этом алгоритм работы системы был адаптирован к специфике ИВС. На основании проведенного анализа рисков и рентабельности системы защиты ИВС были сделаны обоснованные выводы о том, что существующий вариант системы защиты ИВС является работоспособным, экономически выгодным и достаточно надежным. Были вынесены рекомендации по повышению качества функционирования системы защиты.

Для иллюстрации работы метода при анализе угроз по конкретным противникам было проведено их моделирование применительно в МЭИ (ТУ) как к организации. Таким образом, был показан объем работ по проведению полного анализа рисков, а также возможности по управлению рисками согласно разработанному методу.

ЗАКЛЮЧЕНИЕ

В работе был представлен обзор наиболее популярных международных стандартов информационной безопасности, теоретических подходов к анализу рисков, критериев оценки эффективности систем ИБ, а также программного обеспечения анализа и управления рисками, представленного сегодня на рынке.

В процессе исследований был выявлен ряд недостатков существующих подходов. На основании анализа недостатков были сформулированы требования к разработке метода анализа и управления рисками, решающего данную задачу более эффективно.

На основании предъявленных требований был разработан новый метод анализа и управления рисками, основывающийся на использовании знаний только по текущим действующим угрозам информационной безопасности организации. В связи с этим в качестве исходных данных были предложены новые параметры, получаемые путем экспертного оценивания. Значения данных параметров могут быть получены экспертами на основе знаний об информационной, технической структуре организации, а также на основе проведения разведки и аналитики по выявлению текущих противников и угроз, проистекающих от них. В качестве основных отличий метода можно выделить следующие:

• осуществлен переход от абстрактных типов потенциальных нарушителей к реальным выявленным противникам;

• параметры метода оцениваются количественно, в денежных единицах; их значения связаны с конкретными убытками и выгодой, которые несет сторона защиты и противник в случае атаки;

• вероятность реализации угрозы противником рассчитывается на основании статистики инцидентов в области ИБ, оценки степени его мотивировки и психологической расположенности к осуществлению противоправных действий.

Для облегчения практического использования разработанного метода была проведена классификация и описание типовых информационных носителей и нарушителей ИБ. Указаны возможные способы реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к информации на различных носителях для разных типов нарушителей. Также приведены примеры способов противодействия указанным угрозам.

В работе предложен показатель оценки экономической эффективности вложений в ИБ организации в виде рентабельности, адаптированной к специфике предметной области ИБ. На основании значений параметров разработанного метода анализа рисков показатель позволяет оценить экономическую эффективность существующей системы ИБ, а также планируемых мероприятий по изменению системы ИБ согласно текущей ситуации по угрозам в отношении организации.

Разработанный метод была реализован в виде инструментальной системы. Система имеет модульную структуру и создана с использованием объектно-ориентированного программирования. Для учета всех функциональных требований к системе было проведено бизнес и системное моделирование с использованием современного языка UML проектирования информационных систем.

1. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2005.-384 с.

2. Симонов С. В. Технологии и инструментарий для управления рисками // Jet Info. Информационный бюллетень. № 2(117). - 2003.

3. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям // Jet Info. Информационный бюллетень. -№6(133).-2004.

4. Гамза В. А. Банковская безопасность: современная ситуация // Информационная безопасность. №5. - 2005.

5. Итоги года 2005 // Информационная безопасность. №6. - 2005.

6. Научные и методологические проблемы информационной безопасности (сборник статей). Под ред. В. П. Шерстюка. Издание 2-е, стереотипное. — М.: МНЦМО, 2005.

7. Стельмашонок Е. В. Экономико-организационные и программно-технические вопросы обработки и защиты информации. Сборник научных статей. СПб.: ИНЖЕКОН., 2003.

8. Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики. http://nwaktiv. ru/textstat2/index. html

9. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний. http:/Avw\v. deeplace. md/rus/section/l 72/

10. Мельников Ю. Н., Теренин А. Возможности нападения на информационные системы банка из интернета и некоторые способы отражения этих атак. Часть 2 // Банковские технологии. № 2. - 2003. http://www. bre. ru/security/19907. html

11. И. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель.

12. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные требования безопасности.

13. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3: Требования доверия к безопасности.

14. Савельев М., Просяников Р. Станут ли общими «Общие критерии» // Byte. -№8. 2004. http://www.bvtemag.ru/?ID=602972

15. Кислов P. И Экономические аспекты управления информационными рисками // Защита информации. Конфидент. №4-5. - 2002. http://nwa.ktiv. ru/textstatl /index, html

16. Скородумов Б., Иванов В. Стандарты информационной безопасности. http://www. bre. ги/security/10808. html

17. Карасев Р. Ю. Моделирование оценки затрат, требуемых для обеспечения защиты информации. Сборник научных трудов. Серия «Естественнонаучная» №1 (7) СевКавГТУ // Ставрополь, 2004.

18. Ронин Р. Своя разведка. Практическое пособие. Минск: «Харвест», 1997.

19. Рахман П. А. Пример выявления и устранения узкого места в ИВС МЭИ (ТУ). http://icc.mvei.ru/documents/00000S04.html.

20. Рахман П. А. Средства мониторинга и диагностики информационно-вычислительной сети ВУЗ. http://icc. mpei.rii/documents/00000880.pdf.

21. Интернет портал МЭИ (ТУ). http://www. mpei. ru/StartPage.asp.

22. Правила работы в ИВС МЭИ (ТУ). http://net. mpei. ru/lang/ras/ustav seti/ustav. asp.

23. Конин A. JI., Беляков А. В., Хорьков С. Н. Проблемы надежности и производительности ИВС МЭИ (ТУ), http://network.mpei.ас.ги/common/- grpview/gi^pview.asp?gipid-edabf23e-9a87-4014-b8ca-3b3efdfe7bf4

24. Хорьков С. Н. Электронная почта в ИВС МЭИ (ТУ). Рабочая группа по эксплуатации ИВС МЭИ (ТУ). http .-//network, mpei. ас. ги/common/ srpview/srpview.asp?orpid=edabf23e-9a87-4014-b8ca-3b3efdfe7bf4

25. Бородюк В. П., Львова А. В. Повышение экономической эффективности системы информационной безопасности. // Вестник МЭИ №4. 2007.

26. Медведовский И. ISO 17799: Эволюция стандарта в период 2002 2005. http://citcity. ru/11352/

27. Медведовский И. Особенности систем анализа информационных рисков на примере алгоритма ГРИФ. http.VAvww. bre.ги/security/22122.html

28. Акимов Е. IT-security. Экономическая эффективность и управление ' рисками. http://www. doc flow, ги/'analyticfull. asp?param ~32185

29. Петренко С. Оценка затрат компании на Информационную безопасность.

30. Digital Security. Алгоритм: модель анализа угроз и уязвимостей. http://www. dsec. ru/down load/threatsjvuln.pdf

31. Стандарты Управления ИТ и их роль. Перевод: Трутнев Д. P. Ernst Jan Oud, CIS A, IS Control Magazine, Volume 3, 2005. http.VAvww. isaudit. ru/itvalue. htm

32. Цирлов В., Марков А. Управление рисками — нормативный вакуум информационной безопасности. // Открытые системы, №8, 2007.

33. ГОСТ Р ИСО/МЭК 17799-2005. Практические правила. http://www. vsesost. com/Catalog/2262.shtml

34. Кольдичева Ю. Когда экономить нельзя, но хочется. // Сети/ Network World, №10, 2004. http:/Avww. osp.ru/nets/2004/10/151927/

35. Арзуманов С. В. Оценка эффективности инвестиций в информационную безопасность. // Защита информации. Инсайд, №1, 2005. http://www. inside-zi.ru/pases/1 2005/23.html

36. Чикалев И., Леденко С. Во что обходится информационная безопасность. // БДМ. Банки и деловой мир. 2006. http.VAvww.bdm.ru/arhiv/2006/07/60.htm.

37. Евланов Л. Г., Кутузов В. А. Экспертные оценки в управлении. М.: Экономика, 1978.

38. UML и Rational Rose 2002, Уэнди Боггс, Майкл Боггс, Переводчик М. Кузьмин. М., «ЛОРИ», 2004.

39. Лощинин А. А. Информатизация в административных системах. М., 1999.

40. Лощинин А. А. Технологии информатизации административных органов территорий.// Информатика и вычислительная техника. 1997.

41. Бородюк В. П., Львова А. В. Методика определения оптимального уровня защиты информационной системы по критерию рентабельности // Труды XIV Международной конференции «Информационные средства и технологии». М.: МЭИ, 2006.

42. Бородюк В. П., Крепков И. М., Львова А. В. Результаты анализа функционирования корпоративной компьютерной сети МЭИ (ТУ). // Вестник МЭИ №2, 2009.

43. Львова А. В. Повышение рентабельности системы безопасности бизнеса // Труды XVI Международного научно-технического семинара. Алушта, сентябрь 2007 г. СПб.: ГУАП, 2007.

44. Львова А. В. Как уменьшить затраты на безопасность бизнеса. // Технологии информационного общества: Тезисы докладов московской отраслевой научно-технической конференции. — М.: Инсвязьиздат, 2007.

45. Анализ рисков. Управление рисками. // Jet Info. Информационный бюллетень, №1, 1999.

46. Аудит безопасности информационных систем. // Jet Info. Информационный бюллетень, №9, 1999.

47. Jet Info. Информационный бюллетень. №10, 2000.

48. Анализ защищенности корпоративных автоматизированных систем. // Jet Info. Информационный бюллетень, №7, 2002.

49. Стандарт СоЫТ. // Jet Info. Информационный бюллетень, №1, 2003.

50. Технологии и инструментарий для управления рисками. // Jet Info. Информационный бюллетень, №2, 2003.

51. Профили защиты на основе «Общих критериев». Аналитический обзор. // Jet Info. Информационный бюллетень, №3, 2003.

52. Информационная безопасность: экономические аспекты. // Jet Info. Информационный бюллетень, №10, 2003.

53. Методология оценки безопасности информационных технологий по общим критериям. // Jet Info. Информационный бюллетень, №6, 2004.

54. Потресов Р. Полицейские и воры. // Chip, №4, 2003.

55. Рахман П. А. Краткий технический обзор ИВС МЭИ (ТУ). http://icc. mpei. ги/'documents/00000305. html

56. Теренин А. А. Методика построения защищенной вычислительной сети электронных платежей. Автореферат диссертации на соискание степени кандидата технических наук. Москва, 2004.

57. NIST. Risk Management Guide for Information Technology Systems. lBooz Allen Hamilton Inc. July 2002.

58. Стандарт банка России. СТО БР ИББС-1.1.2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности. http://www.cbr.ru/credit/Gubzidocs/stl 1 .pdf.

59. Стандарт банка России. СТО БР ИББС-1.2.2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. http://www. cbr. ru/credit/Gubzidocs/st 12.pdf.

60. Орлов С. Управляемая безопасность. // LAN. Журнал сетевых решений, №10, 2005.

61. Покровский П. Оценка информационных рисков. // LAN. Журнал сетевых решений, №10, 2004.

62. Куканова Н. Методика оценки риска ГРИФ 2006 из состава Digital Security Office. http://\vww.dsec. ru/about/articles/erif ar methods/.

63. Лопарев С., Шелупанов А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия. // Вопросы защиты информации, № 4,' 2003.

64. Куканова Н. Описание классификации угроз DSECGT. http: //www, dsec. ru/about/articles/dsecct/

65. Куканова Н. Современные методы и средства анализа и управления рисками информационных систем компаний. http://www, dsec. rufabout/articles/ar compare/

66. Куканова H. Управление инцидентами информационной- безопасности. // Открытые системы, №10, 2006:

67. Оценка безопасности автоматизированных систем. // Jet Info. Информационный бюллетень, № 7, 2005.

68. Доценко С. М. Повышение объективности: исходных данных как альтернатива методу нечеткой логики при оценке риска информационной безопасности. // Защита информации. Конфидент, №5, 2004.

69. Маховенко Е. Б. Теоретико-числовые методы в криптографии. М., «Гелиос АРВ», 2006.

70. Маховенко- Е. Б., Ростовцев А. Г. Исчислительный подход к анализу безопасности, www.ssl.stu.neva.ru/ssl/archieve/calcapproach.pdf

71. Бешелев С. Д., Гурвич Ф. Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980.

72. Китаев Н. Н. Групповые экспертные оценки. М., «Знание», 1975.

73. Зайдель А. Н. Элементарные оценки ошибок измерений. М., «Наука», 1965.

74. Панкратьев В. Организация конфиденциального делопроизводства. http: //www, bre. ru/securitv/18816. html

75. Копейкин Г., Лапина Н. Психологические- аспекты информационной безопасности организации. // Защита информации. Кофидент, № 3, 2003:

76. Баутов А. Эффективность защиты информации. http: //www, bre. ru/securitv/19165. html

77. Филиппова И. Выбор по расчету. // Инфобизнес онлайн. http://www.bre.ru/securitv/19851.html

78. Козлачков С. Основные направления развития систем информационной безопасности. // Системы безопасности, № 5, 2003.

79. Костров Д. Разграничение информации в современном коммерческом предприятии. // Защита информации. Кофидент, № 2, 2004.

80. Муравьева И. Новый взгляд на службу информационной безопасности компании. http://www. bre. ru/securitv/20033. html

81. Оголюк А., Щеглов А. Технологии построения системы защиты сложных информационных систем. // Экономика и производство, №3, 2001.

82. Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Политика ФАПСИ в области распространения и использования криптосредств. // Защита информации. Конфидент. № 1, 2002.

83. Стивен Браун. Виртуальные частные сети. М.: ЛОРИ, 2001.

84. Пархоменко Н., Яковлев С., Пархоменко П., Мисник Н. Угрозы информационной безопасности. Новые реалии и адекватность классификации. // Защита информации. Конфидент № 6, 2003.

85. Надежность технических систем и техногенный риск. Электронное учебное пособие МЧС России, http://www.obzh.ru/nad/index.html

86. Орлов А. И. Теория принятия решений. Учебное пособие. М.: Издательство «Март», 2004. http://www.aup.ru/books/rn 157/

87. Кевин Мандиа, Крис Просис. Защита от вторжений. Расследование компьютерных преступлений. М.: ЛОРИ, 2005.

88. Стюарт Макклуре, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Проблемы и решения сетевой защиты. М.: ЛОРИ, 2001.

89. Risk Matrix User^s Guide. Version 2.2. MITRE Corporation, 1999.

90. The Open Group. Plenary Boundaryless Information Flow: Keeping IT Secure. http://archive.opengroup.org/sfo2003/proceedings/plenarymonday/index.htm

91. Thomas R. Peltier. Information Security Risk Analysis. 2001.

92. Christian Mulder. Assessing the Dangers. Finance & Development, December 2002, Volume 39, № 4.http ://www. imf. org/external/pubs/ft/fandd/2002/12/mul der. htm

93. Ernst & Young. Information Security Survey 2001. Russia and the CIS. http://www.cnews.ru/reviews/free/oldcom/security/ey survey.shtml

94. CNews. Средства защиты информации и бизнеса 2008. http://www.cnews.rU/reviews/free/security2008/#l

95. Alan Calder, Steve Watkins. Information Security Risk Management for ISO 27001/is0 17799. IT Governance Publishing, 2007.

96. Bruce Schneier. The Psychology of Security, 2008. http://www.schneier.com/essay-155.pdf

97. Bruce Schneier. E-Mail Security. John Wiley & Sons, 1995.

98. Purser S. A Practical Guide to Managing Information Security. 2004.

99. Participating With Safety. Материалы семинара. http://www.library.cies.ru/online/?bid=223101 .IS Auditing Guideline: Corporate Governance of Information Systems. ISACA Guidelines, 2000.

100. IS Auditing Guideline: Planning the IS Audit. ISACA Guidelines, 2000.

101. IS Auditing Guideline: Using the Work of Other Auditors and Experts. ISACA Guidelines, 2000.

102. F. Cohen. Managing Network Security: Balancing Risk, December 1998. http ://all .net/j ournal/netsec/9 812. html.