Проблема выбора средств защиты информации (СЗИ) актуальна для большинства коммерческих предприятий. К её решению можно подойти с двух сторон. Во-первых, необходимо выбирать лучшие СЗИ среди аналогов, т.е. проводить оценку их конкурентоспособности. Для этого существует определённый набор методов, например, метод нахождения интегрального показателя конкурентоспособности, метод экспертных оценок и метод, основанный на тестировании СЗИ. Во-вторых, необходимо учитывать целесообразность использования СЗИ для конкретного объекта защиты (ОЗ). Оценка целесообразности использования СЗИ заключается в определении того, насколько оно соответствует потребностям предприятия в обеспечении информационной безопасности.
Целью исследования является разработка метода обоснования целесообразности выбора и использования СЗИ на основе определения коэффициента нейтрализации угроз. Разработанный метод предполагает построение модели угроз для ОЗ, определение уровня противодействия угрозам, а также расчёт коэффициента нейтрализации угроз (КНУ) для конкретного СЗИ. Метод базируется на экспертных оценках. Рекомендуется наличие от трёх до пяти экспертов, выбранных из числа специалистов службы безопасности предприятия, либо привлечённых со стороны. Оценка целесообразности использования СЗИ согласно данному методу проводится в четыре этапа, которые представлены на рисунке.
КНУ= i=1nai∙ziamax∙i=1nzi
Рисунок. Этапы оценки целесообразности использования СЗИ
Этап 1 – определение объекта защиты
Объект защиты (ОЗ) – информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации [2]. В качестве ОЗ может быть выбран отдельный компьютер, оборудование, сеть предприятия, серверная, помещение для проведения переговоров, предприятие в целом и т.д.
Этап 2 – построение модели угроз
Прежде всего, необходимо выбрать актуальные для объекта защиты угрозы на основе типового перечня угроз. Их состав может зависеть от размера организации, численности персонала, охраняемой информации, используемых средств и методов защиты, описания типового нарушителя и прочих факторов.
Далее эксперты определяют вероятность реализации каждой i-ой угрозы:
pri= pti∙ pvi , (1)
где pri– вероятность реализации i-ой угрозы;
pti– вероятность возникновения i-ой угрозы;
pvi– вероятность возникновения уязвимости для реализации i-ой угрозы.
После этого вместо конкретного значения потенциального ущерба определяется относительная оценка потерь или доля ущерба. Она рассчитывается экспертным методом и может принимать значения от 0 до 1.
В конце второго этапа для каждой угрозы определяется уровень её значимости, равный произведению вероятности её реализации на относительную оценку потерь:
zi= pri∙ di , (2)
где zi– уровень значимости i-ой угрозы;
di – доля ущерба объекту защиты от реализации i-ой угрозы.
Этап 3 – определение коэффициента нейтрализации угроз
На данном этапе определяется средство защиты информации, характеризуются его компоненты, принципы действия, ограничения применения и т.д. СЗИ тестируется, если это возможно. На основании этого экспертами определяется оценка уровня противодействия СЗИ каждой i-ой угрозе – ai. Она выставляется в интервале от 0 до 10 со следующей градацией:
0 – СЗИ никак не противодействует данной угрозе;
2 – в СЗИ есть механизмы, которые могут незначительно затруднить реализацию данной угрозы, однако это противодействие незначительно;
4 – СЗИ имеет механизмы, которые частично компенсируют данную угрозу, но их можно обойти;
6 – СЗИ затрудняет реализацию данной угрозы;
8 – СЗИ хорошо справляется с данной угрозой, её реализация возможна при больших стараниях и затратах со стороны злоумышленника;
10 – СЗИ полностью исключает возможность реализации данной угрозы.
Оценки 1,3,5,7 и 9 характеризуют промежуточные состояния.
Среднее значение экспертной оценки заносится в таблицу. На его основании, и на основании результатов, полученных на втором этапе, для СЗИ определяется коэффициент нейтрализации угроз для данного ОЗ по следующей формуле:
КНУ= i=1nai∙ziamax ∙i=1nzi,(3)
где КНУ – коэффициент нейтрализации угроз;
amax – максимальное значение оценки, равное 10.
То есть коэффициент нейтрализации угроз равен отношению уровня нейтрализации угроз для СЗИ к уровню полной нейтрализации всех угроз.
Этап 4 – принятие решения о целесообразности использования
Нужно понимать, что для конкретного предприятия и конкретного объекта защиты может быть определено конкретное минимально-допустимое значение коэффициента нейтрализации угроз. В общем случае предлагается использовать шкалу для принятия решения, представленную на рисунке.
Цель использования метода – добиться значимого уровня КНУ для данного объекта защиты, выбирая при этом наиболее подходящие средства защиты информации.
Данный метод может использоваться для сравнения нескольких СЗИ, приблизительно равных по цене. Основной плюс метода в простоте его реализации. Основной минус в том, что он не учитывает взаимосвязь стоимости объекта защиты со стоимостью СЗИ.
В заключение хотелось бы отметить, что данный метод, несмотря на свои недостатки, может использоваться для принятия решения о целесообразности использования конкретных средств защиты информации коммерческими предприятиями.
Литература:
Варфоломеев А.А. Основы информационной безопасности: Учебное пособие [Текст] / А.А. Варфоломеев – М.: РУДН, 2008. – 412 с.
ГОСТ Р ИСО/МЭК 50922-2006 «Защита информации. Основные термины и определения», 12 с.
Ярочкин В.И. Информационная безопасность: Учебник для вузов [Текст] / В.И. Ярочкин – М.: Академический Проект, 2004. – 544 с.