Тема магістерської роботи « Аналіз та оцінка ризику для СЗІ».
Мета роботи:
1) Розробка бінарної моделі втрат, зумовлених реалізацією загроз.2) Розробка алгоритму розрахунку вартісної міри ризику Value at Risk.
3) Визначення економічної ефективності систем захисту інформації.
4) Розрахунок вартості ризику для систем захисту інформації банківської мережі та їх економічної ефективності.
Робота складається з вступу, чотирьох розділів, висновку:
HYPERLINK \l "_Toc247824718" 1. АНАЛІЗ РИЗИКІВ В ОБЛАСТІ ЗАХИСТУ ІНФОРМАЦІЇ.
HYPERLINK \l "_Toc247824725" 2. ВАРТІСНІ МІРИ РИЗИКУ.
HYPERLINK \l "_Toc247824731" 3. ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ.
4. МОДЕЛЮВАННЯ ТА ОЦІНКА РИЗИКУ ДЛЯ СИСТЕМ ЗАХИСТУ БАНКІВСЬКОЇ МЕРЕЖІ.
В наш час інформаційні технології проникли майже у всі сфери життя людей і тому важливість захисту інформації набула особливого значення. Жодна інформаційна система не може функціонувати без системи захисту, адже завжди є ймовірність, що таємною інформацією заволодіють сторонні особи.
Забезпечення режиму ІБ полягає у реалізації наступних завдань:
Вироблення політики безпеки;
Визначення сфери (меж) системи управління інформаційною безпекою та конкретизація цілей її створення;
Оцінка ризиків;
Вибір контрзаходів, які забезпечують режим ІБ;
Управління ризиками;
Аудит системи управління ІБ
Важливими моментами є оцінка ризиків, вибір контрзаходів і управління ризиками.
Розробка методології оцінки ризиків для СЗІ є ключовим завданням магістерської роботи.
Однією з найпоширеніших вартісних мір ризику є міра Value at Risk (вартість під ризиком).
Нехай EMBED Equation.3 – випадкова величина втрат за певний період. Вартістю (ціною) ризику за рівня довіри EMBED Equation.3 називають максимальні можливі з ймовірністю EMBED Equation.3 втрати за цей період:
EMBED Equation.3
Означимо функцію розподілу випадкової величини втрат:
EMBED Equation.3
EMBED Equation.3 .
Легко показати, що в цьому випадку вартість ризику дорівнює квантилю порядку EMBED Equation.3 для функції EMBED Equation.3 :
EMBED Equation.3
Важливим є метод розрахунку VaR для дискретно розподіленої випадкової величини.
Нехай втрати є дискретно розподіленою випадковою величиною зі значеннями EMBED Equation.3 та ймовірностями EMBED Equation.3 .
Тоді функція розподілу, запишеться так:
EMBED Equation.3 , EMBED Equation.3 , EMBED Equation.3 , EMBED Equation.3 , EMBED Equation.3 .
За означенням вартості ризику легко встановити формули для цього випадку
EMBED Equation.3 , EMBED Equation.3 , EMBED Equation.3 , EMBED Equation.3 .
Це ілюструє наведений малюнок.
Для оцінки фінансової ефективності інвестицій в СЗІ введемо поняття чистої теперішньої вартості інвестиційного проекту.
Чиста теперішня вартість (чиста приведена вартість, англ. Net present value, скорочено – NPV) – це різниця між теперішньою вартістю доходів і теперішньою вартістю інвестованих коштів.
В роботі на основі VaR і NPV розроблена методологія оцінки ризику та визначення ефективності системи захисту.
Для цього розроблена бінарна ймовірнісна модель втрат, зумовлених реалізацією загроз. Припустимо що відома кількість атак ki, за період часу. Тоді для і-тої загрози можливі такі ситуації:
Якщо захист спрацює, то з ймовірністю qi маємо втрати Vi , i = 1…N;
При провалі загрози з ймовірністю 1- qi отримаємо втрати Wi, i = 1…N.
Тому випадкова величина втрат від і-тої загрози дорівнює: EMBED Equation.3 EMBED Equation.3 , а сумарна величина втрат буде рівна EMBED Equation.3 . Випадкова величина EMBED Equation.3 дискретно розподілена з EMBED Equation.3 станами. Деякий стан EMBED Equation.3 матиме вказану ймовірність
EMBED Equation.3 k=0… EMBED Equation.3 -1.
Алгоритм перебору всіх можливих ситуацій описаний на слайді.
Далі проводиться розрахунок вартості ризику за формулами для дискретно розподіленої випадкової величини.
Оцінка вартості втрат зумовлених реалізацією загроз дозволяє оцінити загальну ефективність СЗІ.
Впровадження чи модернізацію СЗІ будемо розглядати як інвестиційний проект на EMBED Equation.3 років. Впровадження захисту EMBED Equation.3 проти загрози EMBED Equation.3 , EMBED Equation.3 , вимагає капітальних вкладень в сумі EMBED Equation.3 та річних витрат на обслуговування – EMBED Equation.3 , а випадкова величина річних збитків дорівнює EMBED Equation.3 .
Сумарні капітальні затрати та річні витрати на обслуговування для деякого профілю захисту EMBED Equation.3 позначимо так:
EMBED Equation.3 , EMBED Equation.3 .
Для оцінки ефективності СЗІ використаємо чисту теперішню вартість затрат та випадкових втрат, яка буде випадковою величиною:
EMBED Equation.3 ,
де EMBED Equation.3 – необхідна процентна ставка.
Тоді загальною оцінкою ефективності СЗІ з урахуванням втрат, зумовлених можливими атаками, буде квантиль порядку EMBED Equation.3 від EMBED Equation.3 ,
тобто величина EMBED Equation.3
EMBED Equation.3 Практичні розрахунки в роботі проведені на прикладі банківської корпоративної мережі. Структура банківської системи показана на схемі.
Для проведення розрахунків було розглянуто 15 засобів захисту. Їх параметри вказані в таблиці. Тут є ціна засобів захисту, вартість річного обслуговування, кількість, ймовірність відмови, можливі втрати при спрацюванні, можливі втрати при відмові і можлива кількість атак на систему за рік.
Підготовлено програму на мові Object Pascal в середовищі Delphy, яка на основі бінарної моделі втрат розраховує вартість ризику для заданого профілю захисту, а також загальний показник економічної ефективності інвестицій NPVa. Розрахунки проводились для двох профілів захисту. В нашому випадку дорожчі і надійніші засоби захисту виявились менш ефективними, тому що витрати на них є більшими, ніж гроші, які вони дозволять зекономити у порівнянні з дешевими засобами.


Висновки
Розглянуто вартісну міру ризику VAR, отримано формулу для її розрахунку на основі емпіричної функції розподілу випадкової величини втрат.
Запропоновано бінарну модель випадкових втрат, зумовлених загрозами для систем захисту інформації.
Розроблено алгоритм розрахунку функції розподілу втрат та обчислення показника ризику VAR EMBED Equation.3 і показника ефективності інвестицій NPV EMBED Equation.3 .
Побудовано функцію розподілу випадкової величини втрат, зумовленої загрозами. Розраховано показники ризику. Проведено розрахунки для двох різних профілів захисту корпоративної банківської мережі, які виявили значні резерви для оптимізації системи захисту.
Отриманий результат дозволяє оцінити економічну ефективність систем захисту інформації, на його основі може бути розроблена методологія оптимізації систем захисту.