2015-04-30
492
Рис. 2.6. Соотношение рентабельности защитных мер и ущерба от реализации угроз во времени (разрывы в точках - моменты времени реализация угроз).
- чем выше значимость зоны dj, тем более эффективной должна быть ее защита и, следовательно, тем больше средств необходимо выделять для ее организации;
- в системах с высоким уровнем эффективности общей защиты большая часть издержек должна быть связана с обеспечением безопасности особо важных зон или зон с максимальной относительной значимостью. Так, при общей эффективности защиты Е = 95% и значимости особо важной зоны dj = 0,9 имеем Еj более 89%, что практически совпадает с общей величиной Е.
Следует, однако, подчеркнуть, что эти предпосылки справедливы только по отношению к структуре системы из независимых зон и требуют уточнений для других более сложных структур.
Анализ показывает, что при некоторых других допущениях (равнозначность угроз, линейный характер основных зависимостей и др.) относительная величина q выигрыша по затратам на ресурсы будет определяться из неравенства:
(2.3)
Можно показать, что величина эффекта как экономия затрат на безопасность определяется, помимо факторов затратного характера, и разбросом относительной значимости зон. Так, например, если система безопасности состоит из четырех зон с относительной значимостью d1 = 0,8; d2 =0,1; d3 =0,07 и d4 =0,03 (что соответствует некоторым коммерческим структурам с охраняемой внешней территорией), то в соответствии с формулой (2.3) получим значение q і 2,62. То есть оптимизация распределения ресурсов позволит в данном случае обеспечить равную общую эффективность защиты при в 2,62 раза меньших расходах (по сравнению с затратной схемой использования ресурсов).
Оптимизация распределения ресурсов по зонам защиты позволит экономически обосновать выбор для каждой из них и предприятия в целом состав комплекса специальных технических средств. Критерием оптимальности этой композиции может быть выбрана сумма средних потерь от реализации угроз и затрат на систему защиты предприятия.
Достаточно обоснованные модели анализа рисков бизнеса предлагаются в [83]. Эти модели отличаются корректным использованием логико-вероятностного метода моделирования сложных структур сетевого типа с циклами и повторными элементами, позволяющего анализировать риск проявления угроз. Здесь дают следующее определение риска. Риск - это ситуативная характеристика деятельности банка или фирмы, отображающая неопределенность ее (деятельности) исхода и возможные неблагоприятные последствия в случае неуспеха. Риск выражается вероятностью получения таких нежелательных для банка или фирмы результатов, как потери в величине их прибыли и возникновение убытков вследствие сокращения ресурсной базы, неплатежей по кредитам.
Несмотря на сложный математический аппарат, применяемый в [83], задача расчета рисков сводится к составлению двоичных таблиц граф-моделей и последующей реализации на ЭВМ.
Более простой и сопоставимый по точности метод оценки риска угроз безопасности и расчета затрат на намечаемые меры защиты можно применить, используя предложенную нами методику декомпозиции видов угроз, соответствующих защитных мер и затрат по координатам «кубика безопасности» (рис. 2.1 – 2.4).
Обозначим вероятность реализации j-й угрозы в отношении k-го защищаемого элемента при не использовании i-го способа (метода) защиты Pijk, а ущерб предприятия от ее реализации Lijk. Тогда математическое ожидание ущерба от реализации ijk-й угрозы
Очевидно, что математическое ожидание ущерба от реализации j-й угрозы в результате не использования i-го способа (метода) защиты по всем k защищаемым элементам в этом случае будет
.
Соответственно, математическое ожидание ущерба от реализации всех угроз в отношении k-го защищаемого элемента при неприменении i-го способа (метода) защиты составит
Математическое ожидание ущерба от неприменения всех способов (методов) защиты k-го элемента от j-й угрозы составит
Тогда, очевидно, максимально-допустимые затраты на систему обеспечения безопасности предприятия (в смысле не превышения затрат на ее содержание над полным математическим ожиданием ущерба от реализации всех угроз в отношении всех защищаемых элементов при применении всех методов защиты) будут равны полному математическому ожиданию ущерба от их реализации:
Оптимальность затрат на организацию защиты определяется на периоде, в течение которого функционирует предприятие. Этот период должен (по крайней мере) равняться периоду Т, на котором определялась вероятность реализации угроз.
Если же для различных видов угроз периоды определения вероятности их реализации отличаются, то здесь будет иметь место некоторая неопределенность. Так, если в качестве расчетного периода принять период минимальной длительности, то, с одной стороны, это увеличивает затраты на защиту от тех угроз, вероятность реализации которых определялась на более продолжительном периоде. С другой стороны, в течение короткого периода не все виды угроз могут реализоваться, а, значит, они могут быть и не учтены в принятии мер защиты от них. Тогда при реализации проектируемой системы возникает опасность проявления неучтенных угроз, обусловливающих дополнительный ущерб и превышение связанных с их локализацией затрат. При этом система защиты может оказаться нерентабельной, не обеспечивающей к тому же решение задач обеспечения безопасности. На наш взгляд, неопределенность в проявлении различного вида угроз в краткосрочных периодах может быть разрешена с организацией статистики этих проявлений и актуализацией по накопленным статистическим данным структуры, функций и затрат на систему безопасности.
Рассмотрим теперь ситуацию, когда расчетный период, на котором определялась вероятность реализации угроз, принимался достаточно продолжительным. В этом случае в целом по периоду затраты на систему безопасности будут минимальными, но в отдельные промежутки времени (когда может реализоваться угроза с вероятностью, определенной на более коротких периодах) ущерб от реализации угроз может превысить затраты на систему безопасности. И тогда она может оказаться нерентабельной (с точки зрения рентабельности предприятия в целом) и не выполнит на этом коротком периоде свою задачу.
Возможный выход из такого противоречия - применение минимаксного подхода теории игр. Он предполагает достижение минимума затрат на такую систему безопасности, которая обеспечивает максимальную результативность. То есть обеспечивает защиту от максимально допустимого ущерба как результата реализации угрозы, вероятность проявления которой определялась на коротком периоде, и размер ущерба от которой может на этом периоде необратимо дестабилизировать деятельность предприятия. Естественно, минимаксный подход будет целесообразен при более двух различающихся по продолжительности периодов, на которых определялись вероятности реализации угроз.
Из проведенного исследования методов анализа риска угроз (п. 2.2) следует, что получение большей величины прибыли оказывается связанным и с возможностью больших потерь, то есть при меньшей величине издержек защиты - больше математическое ожидание ущерба. При этом зачастую традиционные вероятностные методы не позволяют выбрать предпочтительный, компромиссный вариант. В этом плане компромисс между значениями издержек, прибыли и средними величинами экономических потерь от реализации угроз может быть установлен с применением аппарата теории полезности [54].
Теория полезности основана на том, что при выполнении достаточно общих условий на множестве исходов G существует функция полезности f(g), gÎG, среднее значение которой (математическое ожидание) полностью отражает предпочтения ЛПР и его склонность к риску.
В общем случае, если задано множество исходов G = {g1, g2,..., gn}, а каждый из вариантов ujÎU характеризуется набором вероятностей pi(uj) наступления каждого исхода gi(
), в случае выбора варианта uj, математическое ожидание функции полезности
Здесь отождествляются понятия «исход» gi и «случайное значение критерия» Ki, а отношение ЛПР к риску учитывается при построении функции полезности.
Если случайный критерий K (исход g) может принимать значение из некоторого интервала, то есть gÎ[ a,b], то вероятностная характеристика задается либо функцией Fu(g), либо плотностью распределения Wu(g). В этом случае функция полезности f(g) также является непрерывной, а ее математическое ожидание
В общем случае теория полезности позволяет построить функцию полезности на множестве исходов, причем последние могут оцениваться любым образом, но так, чтобы их можно было упорядочить.
Таким образом, в качестве эмпирической системы с отношениями (ЭСО) выступает совокупность возможных исходов G = {g1, g2,..., gn} носитель системы, а также отношение предпочтения, заданное на этом множестве, такое, что все исходы могут быть представлены в виде ранжирующего ряда в порядке возрастания их предпочтительности:
g1Ðg2Ð…Ðgn.
Здесь знак «Ð» означает большую предпочтительность
Для построения числовой системы с отношениями (ЧСО), гоморфно отображающей ЭСО, в качестве носителя используются шкальные значения полезности исходов f(g) (носитель ЧСО), а в качестве отношения - отношение упорядочивания полезностей по величине, то есть при заданной ранжировке исходов для полезностей должно выполняться условие
f(g1<f(g2)<...<f(gn),
где «<» - знак неравенства.
Важнейшим свойством функции полезности является учет отношения ЛПР к риску. Это достигается путем установления одинаковой предпочтительности между получением наверняка некоторого (любого из множества G) исхода g и получением с вероятностью f(g) наилучшего исхода gn и с вероятностью [1 - f(g)] наихудшего исхода g1. Таким образом, использование функции полезности связано с переходом от детерминированного выбора (получения исхода g наверняка) к выбору с риском, при котором можно получить более предпочтительный исход gn>g с вероятностью f(g), но можно получить менее предпочтительный исход g1<g с вероятностью [1 - f(g)].
Переход к выбору с риском задается тройкой <gn, f(g), g1>, которая иногда называется базовой лотереей и обозначается 
(рис. 2.7).
| 
| 
|
 
| ||
| 
|
Рис. 2.7. Базовая лотерея, отображающая функцию полезности.
Вообще понятие лотереи очень удобно для описания задачи выбора в условиях риска для случая конкретного множества исходов G. Так, для случая n исходов, то есть при G = {g1, g2,..., gn} задача выбора сводится к выбору набора вероятностей p1(u), p2(u),..., pn(u), соответствующих альтернативе (стратегии) uÎU (риc. 2.8) и может быть представлена в виде лотереи lu.
| 
|
|
  
|
…
|
…
|
|
|
Рис. 2.8. Лотерея со многими исходами.
Кроме простых возможны и сложные лотереи, такие, в которых в качестве исходов выступают другие лотереи (рис 2.9).
| 
| 
| ||
 
|
| 
| 
| |
  
|
…
|
| ||
|
| … | |||
|
| ||||
Рис. 2.9. Сложная лотерея с любыми исходами.
Это как раз характерно для случая связанных угроз, при которых реализация одной угрозы увеличивает вероятность реализации другой и вызывает появление новых угроз.
Напомним, что выбор варианта (стратегии) оказывает влияние только на вероятности исходов лотереи, но множество исходов G остается неизменным.
Естественно возникает вопрос, какие условия должны быть выполнены, чтобы можно было построить функцию полезности и использовать ее для выбора варианта (стратегии)? То есть для любого из возможных исходов gÎG ЛПР должен ответить на вопрос, при какой вероятности f(g) получения наиболее предпочтительного исхода gn в базовой лотерее участие в этой лотерее для него одинаково по предпочтительности с получением исхода g наверняка? Для этого:
1) ЛПР должен сопоставить каждому из исходов gÎG соответствующую базовую лотерею, одинаковую с ним по предпочтительности.
2) Должно выполняться правило замены: если в любой лотерее один из исходов заменить другим, равным ему по предпочтительности, то новая и исходная лотерея будут одинаковы по предпочтительности.
3) Должно выполняться правило свертывания. Оно заключается в том, что сложная лотерея L1 и простая лотерея L2 (рис. 2.10) одинаковы по предпочтительности если
| 
| ||||||||||
| |||||||||||
 
| 
| 
| |||||||||
 
|
| ||||||||||
 
| 
|
| 
| ||||||||
    
| 
| 
| 
| ||||||||
|
|
| |||||||||
 
| |||||||||||
| 
| ||||||||||
|
|
| ||||||||||
Рис. 2.10. Правило свертывания сложной лотереи.
Функция полезности задает некоторые шкальные значения, которые упорядочены по величине также как и сами исходы по предпочтительности. Для задания функции полезности необходимо выбрать масштаб. Поскольку функция полезности f(g) играет роль вероятности в базовой лотерее, ясно, что она 0 £ f(g) £ 1.
Так, для наилучшего исхода gn функция полезности должна быть максимальной, причем f(gn) = 1, а для наихудшего исхода g1 примем f(g1) = 0.
Выводы по главе
1. Определено понятие «угроза безопасности предприятия». Разработана классификация по видам угроз, их объектам – направлениям, субъектам – источникам, методам и средствам защиты от них. Предложена классификация умышленных информационных угроз, отвечающая требованиям безопасности автоматизированных систем обработки информации. Представленные классификации отличает возможность использования их для идентификации угроз применительно к специфическим особенностям деятельности конкретных предприятий.
2. Разработана графическая трехмерная модель безопасности предприятия, отображающая структуру требований (потребностей) безопасности. Предложенная графическая интерпретация безопасности позволяет для каждого защищаемого объекта выявить допустимое сочетание вероятных угроз, средств и методов защиты от них, реализуемых структурными подразделениями службы безопасности.
3. Проанализированы существующие теоретические и практические подходы к экономическому обоснованию структуры службы безопасности предприятия на основе анализа риска реализации угроз и оценки экономической эффективности предпринимаемых мер защиты от этих угроз.
4. Определено понятие «риск угроз безопасности предприятия». Предложенный подход в анализе риска, во многом снимающий недостатки традиционных методов, позволяет обосновать выбор эффективного варианта комплекса планируемых мероприятий, обеспечивающих защиту предприятия с допустимыми для его экономики значениями экономических потерь, то есть с незначительными (допустимыми) изменениями параметров деятельности. Конкретизированы этапы анализа риска угроз информационной безопасности предприятия, обеспечивающие защиту его конфиденциальной информации.
5. Сформулирован комплекс показателей экономического эффекта (величина сэкономленных потерь) и экономической эффективности системы безопасности предприятия (абсолютной и относительной эффективности системы и методов защиты). Каждый из этих показателей может трактоваться как критерий оптимальности задач синтеза и структуризации защитной системы.
6. Исходя из зонного принципа организации защиты, сформулированы важнейшие условия структуризации системы защиты в целом. Обоснованы выявленные зависимости показателей эффективности защиты от значимости зон, а также соотношения между рентабельностью защитных мер и величиной ущерба от реализации угроз во времени.
7. Разработан метод оценки риска угроз безопасности и расчета затрат на намечаемые меры защиты. Он основан на декомпозиции и идентификации видов угроз по координатам трехмерной модели. Использование этого метода позволяет выбрать комплекс защитных мер, адекватный требованиям безопасности конкретного предприятия, и спрогнозировать затраты на них.
8. Предложены математические модели теории полезности, позволяющие установить компромисс между значениями издержек, прибыли и средними величинами экономических потерь от реализации угроз системе безопасности выбранной структуры.
*) Следует отметить, что не всегда представляется возможным оценить вероятность появления той или иной угрозы. Однако для большинства видов угроз такая оценка все же выполнима.
*) Зарубежные фирмы расходуют значительные суммы (по отдельным данным - до 15% средств из чистой прибыли) на компенсацию потерь, вызванных неполадками вычислительной техники.
