XIV Міжнародна наукова інтернет-конференція ADVANCED TECHNOLOGIES OF SCIENCE AND EDUCATION

Русский English
Научные конференции Наукові конференції

Скиба А.В. СПОСОБИ ОЦІНКИ ФАКТОРІВ ВПЛИВАЮЧИХ НА ВЕЛИЧИНУ ІНФОРМАЦІЙНИХ РИЗИКІВ

Скиба А.В.

Національний технічний університет України

«Київський Політехнічний інститут»,

Фізико - технічний інститут

СПОСОБИ ОЦІНКИ ФАКТОРІВ ВПЛИВАЮЧИХ НА ВЕЛИЧИНУ ІНФОРМАЦІЙНИХ РИЗИКІВ

Визначення інформаційних ризиків є складною задачею, зазвичай ці питання вирішуються з допомогою експертних методів, що вносять суб'єктивізм в оцінку ризику. Тому організація, спираючись на ці ризики може прийняти невірні рішення відносно інвестування в інформаційну безпеку, невірно визначенні ризики можуть призвести до переоцінки, а ще гірше до недооцінки ризиків. Тому вибір обґрунтованої моделі визначення інформаційних ризиків є актуальною проблемою.

Для вирішення даної проблеми необхідно розглянути існуючі стандарти та  методи визначення інформаційних ризиків. Всі сучасні стандарти в області безпеки, до яких відносяться ISO/IEC 17799, Sp 800-30 NIST, ISO/IEC 27001, AS/NZS 4360 та інші, відображають спільний процесний підхід до організації керування ризиками, що склався у міжнародній практиці. При цьому керування ризиками представляться як базова частина системи менеджменту якості організації. Стандарти носять відверто концептуальний характер, що дає змогу експертам з інформаційної безпеки реалізовувати будь-які методи, засоби та технології оцінювання, обробки та керування ризиками. З іншого боку, стандарти не містять рекомендацій щодо вибору будь-якого апарату оцінювання ризику, а також з синтезу заходів, засобів та сервісів безпеки, що використовуються для мінімізації ризиків.

Існують два методи оцінювання інформаційних  ризиків: якісний та кількісний.

Завданням якісної оцінки є визначення можливих видів ризиків, оцінка рівня серйозності загроз, виділення чинників, які впливають на рівень, обгрунтування різних можливих контрзаходів. Ці методики не надають кількісні або грошові значення компонентам і втратам. Вони достатньо популярні й відносно прості, і розроблені, як правило, на основі вимог міжнародного стандарту ISO 17799:2002.

Кількісний підхід дає можливість переходу від ймовірнісної оцінки ризика до числового значення. Методики надають реальні й осмислені числа всім елементам процесу аналізу ризиків. Цими елементами можуть бути вартість захисних заходів, цінність активу, збиток для бізнесу, частота виникнення загрози, ефективність захисних заходів, вірогідність використання уразливості і так далі. Кількісний аналіз дозволяє набути конкретного значення вірогідності (у відсотках) реалізації загрози. Кожен елемент у процесі аналізу вставляється в кількісному вигляді в рівняння визначення загального й залишкового ризику.

Також доволі часто використовується комбінація цих двох підходів, як правило на початкових етапах аналізу інформаційних ризиків, методологій що базуються на даному підході, використовується якісний, а на кінцевому - саме оцінки - кількісний.

Визначення оптимальних інвестицій в інформаційну безпеку  базується на моделі Гордона - Лоеба, яка була запропонована американськими дослідниками Лоуренсом Гордоном і Мартином Лоебом з університету Мєріленд у 2002 році і з того часу набула широкого розповсюдження. Модель призначена для визначення економічно обґрунтованого інвестування в інформаційну безпеку. Ця модель може бути використана для досягнення різних цілей безпеки: забезпечення цільстності інформації, її доступності, конфіденційності. Автори пропонують модель, яка враховуючи потенційний збиток від втрати інформації, вразливість цієї інформації, дає можливість розрахувати оптимальні інвестиції на захист такої інформації. Аналіз за цією моделлю може бути застосований лише для «середніх» ризиків, ця модель не придатна для аналізу оптимальних інвестиції в державну таємницю.

Наведені моделі для визначення оптимальних інвестицій в інформаційну безпеку, але слід зазначити що вони складні у використані. Найбільш ефективним підходом до проектування та дослідження систем захисту інформації є метод аналізу інформаційних ризиків. Постає питання у визначенні цих ризиків з більшою точністю для більшої конкретизації структури систем захисту інформації. Ця точність потрібна для того щоб оптимізувати вибір засобів та механізмів захисту, для оптимізації витрат на системи захисту інформації.

Використання мотиваційно-вартісних моделей дають вартісну характеристику та дають змогу на базі цих даних побудувати логіко-евристичну схему експертного оцінювання ймовірністних характеристик, що використовуються для обчислення інформаційних ризиків.

При використані економіко-вартісних моделей для оцінки ризику ми можемо отримати в результаті метод, який є оптимальним для визначення інвестицій в інформаційну безпеку і який показує, що оптимальні інвестиції зростають повільніше за зростання ймовірності загрози.

Література:

•1.     Симонов С., Анализ рисков, управление рисками, JetInfo № 1, 1999;

•2.     LAWRENCE A. GORDON and MARTIN P. LOEB "The Economics of Information Security Investment" ACM Transaction on Information and System Security, Vol.5, No4, November 2002, Pages 438-457

•3.     Matsuura, K., Productivity Space of Information Security in an Extension of the Gordon-Loeb's Investment Model, The Seventh Worckshop on the Economics of Information Security, 25-28 June 2008, Hanover, USA.

•4.     Huang, C.D./ Hu, Q., and Behara, R.S., Economics of Information Security Investment in the Case of Simultaneous Attacks, Proceedings of the Fifth Workshop on the Economics of Information Security. June 26-28, 2006, Cambridge, England

•5.     Willemson J., Extending the Gordon&Loeb Model for Information Security Investment. The Fifth International Conference on Availability, Reliability and Security ARES 2010, IEEE, 2010.

e-mail:shadekilla@i.ua


Залиште коментар!

Дозволено використання тегів:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>