eng
Выпуск #1/2020
Е.Ряполова, М.Студянникова, А.Преснов
РАСЧЕТ РИСКА РЕАЛИЗАЦИИ УГРОЗ СИСТЕМЫ КОНФИДЕНЦИАЛЬНОГО ДОКУМЕНТООБОРОТА
РАСЧЕТ РИСКА РЕАЛИЗАЦИИ УГРОЗ СИСТЕМЫ КОНФИДЕНЦИАЛЬНОГО ДОКУМЕНТООБОРОТА
Просмотры: 3333
Представлен анализ статистических данных аналитического центра InfoWatch по проблеме исследования, приведен расчет уровня защищенности подсистемы конфиденциального документооборота на основе криптографических средств защиты, рассчитаны вероятности уязвимостей и реализации угроз, дана оценка риска.
Теги: confidential information cryptographic means of protection level of security of the system probability of a threat вероятность реализации угрозы конфиденциальная информация криптографические средства защиты уровень защищенности системы
Е.Ряполова, к.пед.н., доцент ОФ ПГУТИ,
М.Студянникова, к.пед.н., доцент ОФ ПГУТИ / studyannikovam@mail.ru,
А.Преснов, к.пед.н., доцент ОФ ПГУТИ
УДК 004.4, DOI: 10.22184/2070-8963.2020.86.1.72.76
Актуальность темы исследования обусловлена тем, что проблема защиты конфиденциальной документации в наше время стоит достаточно остро. Угрозы нарушения информационной безопасности носят масштабный характер. Стоит отметить, что количество утечек конфиденциальной информации стремительно растет с годами.
По данным аналитического центра InfoWatch, в 2018 году доля во всей совокупности зарегистрированных утечек конфиденциальной информации, сопряженных с мошенническими действиями в отношении данных, составила 8,5%. В российском распределении доля мошеннических инцидентов оказалась почти в три раза выше – 23,7% (рис.1).
Столь высокую долю мошеннических действий в российском "пироге" инцидентов можно объяснить совокупностью нескольких факторов.
Во-первых, Россия все глубже встраивается в глобальные цифровые процессы, и ценность каждой записи пользовательской информации становится вполне осязаемой в новую эпоху.
Во-вторых, внедрение средств защиты информации в целом пока отстает от темпов цифровизации.
В-третьих, в обществе пока не сформированы нравственные императивы по отношению к чужим данным. Менеджеры сотовых операторов, банковские клерки, полицейские и другие категории сотрудников, через которых регулярно проходят персональные данные, довольно часто воспринимают комплекс этой информации как свою вотчину, оставляют за собой моральное право обращаться с данными граждан по своему усмотрению [1].
В сознании таких сотрудников отсутствует понимание того, что чужие персональные данные – это не просто несколько строчек из базы данных, а личный актив, за которым стоят интересы конкретного гражданина, и порой зависит его судьба.
Как показывает опыт, низкую культуру обращения с конфиденциальной информацией за короткое время трудно повысить даже строгими законами и внедрением самых современных средств защиты. Для формирования правильных поведенческих установок требуется долгая и планомерная работа. Распределения инцидентов по виновникам в России и в мире имеют существенные различия. В глобальном масштабе существенную долю занимают мошеннические инциденты, спровоцированные действиями внешних злоумышленников. Соответственно, в мире меньше, чем в России, процент подобных инцидентов, случившихся по вине рядовых сотрудников (рис.2) [1].
В 2018 году в мире наибольшая доля утечек, сопряженных с мошенничеством, произошла через сетевой канал. В России же доминируют инциденты, случившиеся путем компрометации данных из бумажных архивов, а Сеть находится на втором месте с большим отставанием.
Для электронных документов угрозы особенно реальны, так как факт утечки и искажения конфиденциальной информации трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз классифицируются по степени риска следующим образом:
Наиболее актуальными для конфиденциального документооборота организации являются утечки, кражи и искажения информации. Риск от данных угроз целесообразнее решать за счет криптографических средств защиты.
Под расчетом уровня защищенности подсистемы конфиденциального документооборота на основе криптографических средств защиты понимается сравнительный анализ динамических изменений коэффициентов вероятности реализаций угроз после внедрения выбранных средств защиты.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы. В табл.1 представлена вероятность уязвимостей относительно реализации угроз до внедрения выбранных средств защиты и после внедрения средств защиты. Стоит отметить, что после внедрения выбранных средств в подсистему защиты конфиденциального документооборота организации уязвимости снижаются за счет нейтрализации угроз.
В табл.2 представлены данные вероятности реализации угрозы до внедрения средств защиты в подсистему защиты конфиденциального документооборота организации и вероятности реализации угроз после внедрения выбранных средств защиты.
На рис.3 представлена диаграмма, где более наглядно можно рассмотреть динамику показателей вероятности реализации угроз после внедрения средств защиты. В принятых обозначениях Ряд 1 отображает вероятность угрозы до внедрения средств защиты, Ряд 2 – вероятность угрозы после внедрения средств защиты.
Соответственно, риск рассчитывается по формуле:
Рриск = Ругрозы × Руязвимости × Uцена потери, (1)
где Pуязвимости – вероятность уязвимости;
Ругрозы – вероятность угрозы;
Uцена потери – стоимость информации [4].
В табл.3 представлена оценка риска до модернизации подсистемы защиты конфиденциального документооборота организации и после внедрения выбранных средств защиты.
На рис.5 представлена диаграмма, где более наглядно можно рассмотреть динамику показателей рисков реализуемых угроз в денежном эквиваленте после внедрения средств защиты. В принятых обозначениях Ряд 1 отображает риск вероятности угрозы до внедрения средств защиты, Ряд 2 – риск вероятности угрозы после внедрения средств защиты.
Исходя из расчетов можно сделать вывод, что в каждой реализуемой угрозе с помощью внедренных средств защиты уязвимость снижена максимально. Соответственно, снижены риски потерь организации – почти в шесть раз снижается сумма рисков финансовых потерь, которые были неизбежны без модернизации подсистемы защиты конфиденциального документооборота.
Таким образом, рассмотрев уровень защищенности подсистемы конфиденциального документооборота на основе криптографических средств защиты организации, можно перейти к рассмотрению трудоемкости разработки проекта по модернизации подсистемы защиты конфиденциального документооборота на основе криптографических средств защиты для организации, расчету себестоимости модернизируемой системы защиты конфиденциального документооборота и расчету экономического эффекта.
ЛИТЕРАТУРА
Официальный сайт: InfoWatch [Электронный ресурс] – Режим доступа. – URL: https://www.infowatch.ru/
Вихорев С.В., Кобцев Р.Ю. Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент. 2001. № 2.
Закон Российской Федерации "О коммерческой тайне" (Закон РФ № 98-ФЗ от 29 июля 2004 года (ред. от 11 июля 2011 года)).
Закон Российской Федерации "О лицензировании отдельных видов деятельности" (Закон РФ № 99-ФЗ от 27 апреля 2011 года в редакции от 6 декабря 2007 года).
Закон Российской Федерации "О персональных данных" (Закон РФ № 152-ФЗ от 27 июля 2006 года) (ред. от 4 июня 2014 года).
Закон Российской Федерации "О техническом регулировании" (Закон РФ № 184-ФЗ от 27 декабря 2002 года с изменениями и дополнениями).
Закон Российской Федерации "Об электронной цифровой подписи" (Закон РФ № 63-ФЗ от 30 марта 2011 года).
Методика определения угроз безопасности информации в информационных системах. – ФСТЭК России, 2015.
Методы анализа и оценки информационных потоков [Электронный ресурс] – Режим доступа. – URL: http://shapemenu.ru/1622020221198/
Минин И.В., Минин О.В. Защита конфиденциальной информации при электронном документообороте. Учебное пособие. – М.: НГТУ, 2011. 154 с.
М.Студянникова, к.пед.н., доцент ОФ ПГУТИ / studyannikovam@mail.ru,
А.Преснов, к.пед.н., доцент ОФ ПГУТИ
УДК 004.4, DOI: 10.22184/2070-8963.2020.86.1.72.76
Актуальность темы исследования обусловлена тем, что проблема защиты конфиденциальной документации в наше время стоит достаточно остро. Угрозы нарушения информационной безопасности носят масштабный характер. Стоит отметить, что количество утечек конфиденциальной информации стремительно растет с годами.
По данным аналитического центра InfoWatch, в 2018 году доля во всей совокупности зарегистрированных утечек конфиденциальной информации, сопряженных с мошенническими действиями в отношении данных, составила 8,5%. В российском распределении доля мошеннических инцидентов оказалась почти в три раза выше – 23,7% (рис.1).
Столь высокую долю мошеннических действий в российском "пироге" инцидентов можно объяснить совокупностью нескольких факторов.
Во-первых, Россия все глубже встраивается в глобальные цифровые процессы, и ценность каждой записи пользовательской информации становится вполне осязаемой в новую эпоху.
Во-вторых, внедрение средств защиты информации в целом пока отстает от темпов цифровизации.
В-третьих, в обществе пока не сформированы нравственные императивы по отношению к чужим данным. Менеджеры сотовых операторов, банковские клерки, полицейские и другие категории сотрудников, через которых регулярно проходят персональные данные, довольно часто воспринимают комплекс этой информации как свою вотчину, оставляют за собой моральное право обращаться с данными граждан по своему усмотрению [1].
В сознании таких сотрудников отсутствует понимание того, что чужие персональные данные – это не просто несколько строчек из базы данных, а личный актив, за которым стоят интересы конкретного гражданина, и порой зависит его судьба.
Как показывает опыт, низкую культуру обращения с конфиденциальной информацией за короткое время трудно повысить даже строгими законами и внедрением самых современных средств защиты. Для формирования правильных поведенческих установок требуется долгая и планомерная работа. Распределения инцидентов по виновникам в России и в мире имеют существенные различия. В глобальном масштабе существенную долю занимают мошеннические инциденты, спровоцированные действиями внешних злоумышленников. Соответственно, в мире меньше, чем в России, процент подобных инцидентов, случившихся по вине рядовых сотрудников (рис.2) [1].
В 2018 году в мире наибольшая доля утечек, сопряженных с мошенничеством, произошла через сетевой канал. В России же доминируют инциденты, случившиеся путем компрометации данных из бумажных архивов, а Сеть находится на втором месте с большим отставанием.
Для электронных документов угрозы особенно реальны, так как факт утечки и искажения конфиденциальной информации трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз классифицируются по степени риска следующим образом:
- непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;
- кражи и подлоги информации;
- стихийные ситуации внешней среды;
- заражение вирусами [2].
Наиболее актуальными для конфиденциального документооборота организации являются утечки, кражи и искажения информации. Риск от данных угроз целесообразнее решать за счет криптографических средств защиты.
Под расчетом уровня защищенности подсистемы конфиденциального документооборота на основе криптографических средств защиты понимается сравнительный анализ динамических изменений коэффициентов вероятности реализаций угроз после внедрения выбранных средств защиты.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы. В табл.1 представлена вероятность уязвимостей относительно реализации угроз до внедрения выбранных средств защиты и после внедрения средств защиты. Стоит отметить, что после внедрения выбранных средств в подсистему защиты конфиденциального документооборота организации уязвимости снижаются за счет нейтрализации угроз.
В табл.2 представлены данные вероятности реализации угрозы до внедрения средств защиты в подсистему защиты конфиденциального документооборота организации и вероятности реализации угроз после внедрения выбранных средств защиты.
На рис.3 представлена диаграмма, где более наглядно можно рассмотреть динамику показателей вероятности реализации угроз после внедрения средств защиты. В принятых обозначениях Ряд 1 отображает вероятность угрозы до внедрения средств защиты, Ряд 2 – вероятность угрозы после внедрения средств защиты.
Соответственно, риск рассчитывается по формуле:
Рриск = Ругрозы × Руязвимости × Uцена потери, (1)
где Pуязвимости – вероятность уязвимости;
Ругрозы – вероятность угрозы;
Uцена потери – стоимость информации [4].
В табл.3 представлена оценка риска до модернизации подсистемы защиты конфиденциального документооборота организации и после внедрения выбранных средств защиты.
На рис.5 представлена диаграмма, где более наглядно можно рассмотреть динамику показателей рисков реализуемых угроз в денежном эквиваленте после внедрения средств защиты. В принятых обозначениях Ряд 1 отображает риск вероятности угрозы до внедрения средств защиты, Ряд 2 – риск вероятности угрозы после внедрения средств защиты.
Исходя из расчетов можно сделать вывод, что в каждой реализуемой угрозе с помощью внедренных средств защиты уязвимость снижена максимально. Соответственно, снижены риски потерь организации – почти в шесть раз снижается сумма рисков финансовых потерь, которые были неизбежны без модернизации подсистемы защиты конфиденциального документооборота.
Таким образом, рассмотрев уровень защищенности подсистемы конфиденциального документооборота на основе криптографических средств защиты организации, можно перейти к рассмотрению трудоемкости разработки проекта по модернизации подсистемы защиты конфиденциального документооборота на основе криптографических средств защиты для организации, расчету себестоимости модернизируемой системы защиты конфиденциального документооборота и расчету экономического эффекта.
ЛИТЕРАТУРА
Официальный сайт: InfoWatch [Электронный ресурс] – Режим доступа. – URL: https://www.infowatch.ru/
Вихорев С.В., Кобцев Р.Ю. Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент. 2001. № 2.
Закон Российской Федерации "О коммерческой тайне" (Закон РФ № 98-ФЗ от 29 июля 2004 года (ред. от 11 июля 2011 года)).
Закон Российской Федерации "О лицензировании отдельных видов деятельности" (Закон РФ № 99-ФЗ от 27 апреля 2011 года в редакции от 6 декабря 2007 года).
Закон Российской Федерации "О персональных данных" (Закон РФ № 152-ФЗ от 27 июля 2006 года) (ред. от 4 июня 2014 года).
Закон Российской Федерации "О техническом регулировании" (Закон РФ № 184-ФЗ от 27 декабря 2002 года с изменениями и дополнениями).
Закон Российской Федерации "Об электронной цифровой подписи" (Закон РФ № 63-ФЗ от 30 марта 2011 года).
Методика определения угроз безопасности информации в информационных системах. – ФСТЭК России, 2015.
Методы анализа и оценки информационных потоков [Электронный ресурс] – Режим доступа. – URL: http://shapemenu.ru/1622020221198/
Минин И.В., Минин О.В. Защита конфиденциальной информации при электронном документообороте. Учебное пособие. – М.: НГТУ, 2011. 154 с.
Отзывы читателей
