Главная
16+
Научный результат. Информационные технологии2016 Том 1, Выпуск №4, 2016
DOI: 10.18413/2518-1092-2016-1-4-29-35

МОДЕЛЬ ОЦЕНКИ И ПРОГНОЗИРОВАНИЯ РИСКОВ ИНВЕСТИРОВАНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ

Алексей Александрович Бабенко
Светлана Сергеевна Козунова

Aннотация

Исследование посвящено проблеме инвестирования информационной безопасности промышленных предприятий. Выделены инвестиции в информационную безопасность. Определены и проанализированы риски инвестирования информационной безопасности промышленных предприятий. В качестве решения исследуемой проблемы предложена формализованная модель оценки и прогнозирования рисков инвестирования информационной безопасности промышленных предприятий. Данная модель основана на определении значимости информационных активов, оценки рисков и прогнозировании ущерба. Проведён ряд экспериментальных исследований с разработанной моделью. В качестве инструмента реализации данной модели выбрана интерактивная среда для программирования численных расчётов и визуализации результатов MATLAB. Экспериментальные исследования предложенной модели показали возможность повышения эффективности и снижения рисков, а также прогнозирование рисков инвестирования информационной безопасности промышленных предприятий при помощи разработанного метода оценки и прогнозирования.



Ключевые слова: промышленные предприятия, оценка, прогнозирование, риск, инвестирование, информационная безопасность, модель, процесс

Введение

На эффективное функционирование промышленных предприятий (ПП) и поддержание высокого уровня их информационной безопасности (ИБ), помимо экономической среды, влияет устойчивая конкурентоспособность, которая зависит от ценности информационных активов (ИА), утечек информации, представляющей особый интерес для конкурирующих предприятий, злоумышленников и мошенников. Поэтому одной из основных задач ПП является обеспечение ИБ, с целью осуществления непрерывности технологических процессов. В условиях рыночных отношений проблема инвестирования ИБ ПП приобретает большое значение. Рост стоимости ИА влечет изменение структуры ИБ ПП, что обуславливает возникновение различных видов рисков инвестирования ИБ, ранее не присущих проектам ИБ.

Основной принцип, который должен соблюдаться при инвестировании ИБ ПП – эффективность. Для эффективности необходимо уменьшить ущерб и минимизировать риски инвестирования ИБ. На ПП наблюдается рост утечек информации (Рисунок 1). По количеству утечек конфиденциальных данных первое место в мировом рейтинге занимает США, второе – Россия, третье – Канада [1]. За 2014 г. максимальный ущерб от одного инцидента ИБ в российских компаниях составил 30 миллионов долларов, а средний ущерб в мире – 25 миллионов долларов [1].

Доля российских утечек информации в мировой статистике за 2013 г. составила 6%, что превысило 2012 год на 4% [3].

Рис. 1. Динамика утечек информации

Fig. 1. The dynamics of information leaks

Анализ работ [4-10] показал, что проблема оценки инвестиционных рисков ИБ не решена. Открытыми являются вопросы: снижение ущерба от потери информации, разработка инвестиционной стратегии, оценка эффективности проектов построения ИБ ПП. Отсутствуют методы инвестиционного анализа ИБ, характерные для ПП. Методики носят общий характер, и их сложно адаптировать под функциональные процессы ПП.

Инвестированиеинформационной безопасности промышленных предприятий

Авторы [4,6] подчёркивают необходимость управления инвестициями в ИБ не только как самостоятельной единицей, но и как составным объектом управления.

Для ПП, характерны следующие инвестиции: материальные (реальные активы); нематериальные (патенты, лицензии, научно-техническая документация и проектно-конструкторские работы); финансовые (ценные бумаги, депозиты, целевые банковские вклады); прямые (участие инвестора в выборе объекта инвестирования); косвенные (инвестиционные фонды, компании, размещающие наиболее эффективно финансовые средства).

Инвестирование ИБ – часть общего инвестиционного проекта, инвестиционные процессы зависят от структуры ПП. Специфичным является и формирование затрат на ИБ ПП [4,10]. Под промышленным риском будем понимать риск, который возникает при любых видах деятельности, связанных с производством продукции, её реализацией, финансовыми операциями, маркетингом, коммерцией, осуществлением социально-экономических и научно-технических проектов.

Для ПП характерны следующие инвестиционные процессы ИБ: затраты на приобретение технических средств (ТС); затраты на покупку оборудования, программных и аппаратных средств; покупка и ввод в эксплуатацию систем защиты информации (СЗИ); приобретение лицензий на использование СЗИ и ТС; приобретение и ввод в эксплуатацию средств обеспечения отказоустойчивости; разработка технической документации. Так, инвестирование ИБ ПП является сложным процессом. Необходимо управлять инвестициями в ИБ, оценивая и прогнозируя возможные риски.

Риски инвестирования информационной безопасности промышленных предприятий

Большинство рисков инвестирования ИБ ПП полностью устранить нельзя, однако их можно снизить. Наличие таких рисков может привести к построению некачественной или малоэффективной системы защиты информации (СЗИ), что приведёт к утрате информации. Изменения, происходящие в разных отраслях экономики и рыночной конъюнктуре, привели к возникновению новых видов рисков ИБ, которые ранее не были присущими ПП [4].

К рискам инвестирования ИБ ПП относятся:

  1. Мегаэкономические зависят от развития экономики в мире.
  2. Макроэкономические риски экономической системы государства.
  3. Микроэкономические – внутренние риски отдельного предприятия.
  4. Производственные – простои на производстве, выход из строя производственных фондов.
  5. Временные – нарушения сроков поставки продукции или изготовления, а также сроков внедрения проектов по ИБ.
  6. Финансовые – убытки, отсутствие возможности выплачивать обязательные платежи.
  7. Коммерческие – снижение объёма реализации, изменение курса валют, налогового законодательства, стоимости активов.
  8. Рыночной конъюнктуры – изменение экономической конъюнктуры, нестабильная ситуация экономического рынка продукции.
  9. Страховые – последствия, происходящие после застрахованных событий.
  10. Организационные – последствия, происходящие в результате некачественной организации.
  11. Кредитные – возмещение денежных средств по кредиту.
  12. Технико-производственные – выход из строя технических средств и систем.
  13. Прединвестиционные связаны с выбором стратегии инвестирования.
  14. Чистые – стихийные бедствия, катастрофы, недееспособность организации.
  15. Допустимые – финансовые потери не превышают расчётные суммы прибыли по инвестируемому объекту.
  16. Критические – финансовые потери превышают расчётные суммы валового дохода по инвестируемому объекту.
  17. Постинвестиционные – несвоевременный выход производства на предусмотренную проектную мощность, недостаточное обеспечение сырьём, материалами, техническим оснащением, слабая маркетинговая политика.

В [7] предложен метод распределения ресурсов, оценка и анализ затрат и выгод. Данный метод можно использовать как инструмент оценки рисков. В качестве инструмента снижения рисков инвестирования ИБ ПП авторами предложена модель, экспериментальные исследования которой подтвердили её эффективность.

Формализованная модель оценки и прогнозирования рисков инвестирования информационной безопасности промышленных предприятий

Базовая единица модели оценки и прогнозирования рисков инвестирования ИБ ПП – оценка значимости ИА:

,                                                                            (1)

где СО – стоимость ИА; С – капитал, вложенный в эксплуатацию этого ИА. Значимость ИА измеряется в единицах. Значимость ИА – это процесс определения ценности информации. Признак эффективности затрат на построение ИБ ПП:

,                                                                                  (2)

где ef – ожидаемый экономический эффект; a – расходы на разработку СЗИ. 

Единичный риск определяется как:

,                                                                    (3)

где pi – вероятность реализации i-ой угрозы нарушения ИБ; ui – ущерб от i-ой угрозы нарушения ИБ ПП. Оценка совокупного риска инвестирования ИБ ПП:

.                                                                        (4)

Обозначим группу приоритета как Gj, где ,  k<n, а Wj – вес простых рисков по группам приоритетов. Число рисков, входящих в Gj, обозначим Nj. Веса простых рисков удовлетворяют следующим условиям:

 и .                                                               (5)

Отношение приоритетов A, то есть их сравнение:

.                                                                            (6)

Вес группы с наименьшим приоритетом:

.                                                                        (7)

Вес других групп приоритетов определяется так:

.                                                            (8)

Расчёт весов произвольных факторов для единичного риска внутри одной приоритетной группы производится по формуле:

.                                                                                (9)

Потенциальный ущерб ИА:

,                                                                           (10)

где  – воздействие угрозы нарушения ИБ (или риска) на ИА; T – ценность ИА; pm – вероятность возникновения m-го рискового события.

Прогнозирование рисков инвестирования ИБ ПП основано на общем ожидаемом ущербе Uо, который может быть нанесён всеми рисками инвестирования:

.                                                                            (11)

Прогнозирование рисков инвестирования ИБ ПП сводится к полному или частичному устранению (минимизации). Изменение чистых инвестиций определяется так:

,                                                                (12)

где Inv – величина инвестиций в отчётном периоде, которая влияет на информационные процессы предприятия и построения СЗИ; k0 – величина краткосрочных обязательств в отчётном периоде, находящихся в зависимости от технических средств производства и их масштаба; b0 – фактический объём продаж; b1 – прогнозируемый объём продаж.

Таким образом, прогнозирование рисков инвестирования ИБ ПП позволяет достичь экономического эффекта и осуществить оптимизацию инвестиций в ИБ ПП.

Эффективность и работоспособность предложенной модели

С формализованной моделью был проведён ряд испытаний в MATLAB, показавшие эффективность и возможность применения данной модели на практике. Данные, участвующие в испытании, были предоставлены ПП, деятельность которого связана со строительством и проектированием сооружений.

По результатам проведения оценки значимости ИА максимальная оценка составила 200 при стоимости ИА в 2000 руб. и капиталом, вложенным в эксплуатацию ИА, размером 10000 руб. Минимальная оценка – 2,6 при стоимости ИА 446000 руб. и 171000 руб. – капитал, вложенный в эксплуатацию ИА.

Признак эффективности затрат на построение ИБ составил 0,25, а ожидаемый экономический эффект – 250000 руб. Проведена оценка простых рисков при различных вероятностях реализации угрозы нарушения ИБ. Утечка проектной документации оценена в 115000 руб (0,5). Нарушение целостности ИА – 2100 руб (0,3). Потеря документации по исследованию маркетинговой политики – 600 руб. (0,1). Утечка платёжных данных – 320000 руб. (0,8). Результаты определения приоритета рисков представлены в таблице 1. Определение приоритетов рисков инвестирования ИБ ПП представляет собой идентификацию рисков. Прогнозирование позволяет определить последствия причинённых ущербов.

В результате прогнозирования, возможно определить, какие потери можно принять, а какие потери приведут к ухудшению положения предприятия. Модель, является риск-ориентированной. Это предполагает наличие системного анализа ситуации, являющейся индивидуальной для определённого промышленного предприятия.

При прогнозировании рисков инвестирования ИБ ПП, предоставляющей услуги в сфере газового оборудования, были получены следующие результаты: максимальный риск от 160000 руб. до 17900 руб., средний – от 86000 руб. до 102000 руб., низкий – от 3800 руб. до 22000 руб. (Рисунок 2).

На основе результатов, полученных при использовании предложенной модели, было построено дерево решений, отображающее прогнозы при проведении инвестирования ИБ ПП (Рисунок 3). Дерево решений отображает результаты прогнозирования, полученные при использовании предложенной модели. А1, А2 и А3 – процессы инвестирования ИБ ПП.

 

Таблица 1

Результаты определения приоритета риска

Table 1

The results of the risk priority

Приоритет риска

Отношение приоритетов

Вес простых рисков

Средний

0,7

4

Средний

0,33

2

Низкий

0,08

0,5

Высокий

1

6

Общее количество приоритетов: 4

Вес наименьшего приоритета: 0,16

Вес других приоритетов: 0,32

Потенциальный ущерб ИА

Воздействие угрозы (или риска) на ИА

Вероятность возникновения риска

187789 тыс. руб.

80000 руб.

0,9

338000 тыс., руб.

78000 руб.

0,4

108000000, млн. руб.

900000 руб.

0,6

360000, тыс. руб.

36000 руб.

0,2

108333 тыс. руб.

15000 руб.

0,1

11250 тыс. руб.

6000 руб.

0,1

Общий ожидаемый ущерб: 109005672 руб.

 

Рис. 2. Результаты прогнозирования рисков инвестирования ИБ ПП

Fig. 2. The results of investment risk prediction of IS of IE

Рис. 3. Дерево решений инвестиционной политики ИБ ПП

Fig. 3. Investment Policy Decision Tree of IS of IE

А1 – принятие решения о проведении инвестиционной политики по защите ИА. А2 – принятие решения о прогнозировании рисков инвестирования ИБ ПП. А3 – принятие решения об отсутствии прогнозирования рисков инвестирования ИБ ПП.

События, наступившие в результате принятия какого-либо решения обозначены как а0, а1, а2, а3. Благоприятное событие а2 – риски инвестирования ИБ были корректно спрогнозированы, с установлением прибыли 130 тыс. руб. В результате наступления события а2 была получена прибыль размером 65 тыс. руб. и 130 тыс. руб. После наступление события а2, последовало событие , которое добавило дополнительную прибыль в размере 25 тыс. руб. (рост стоимости ИА) и 175 тыс. руб. (стоимость системы обеспечения ИБ ПП из-за возрастания отказоустойчивости).  – событие, носящее неблагоприятный характер, при проведении недостаточного или ошибочного прогнозирования. Эксперимент показал, что прогнозируемый ущерб составил бы 130 тыс. руб. При применении предложенной модели, такое событие не произошло. Событие а3 отражает отсутствие оценки и прогнозирования рисков инвестирования ИБ, в результате чего предприятие может потерять 200 тыс. руб. Нейтральное событие  прогнозирует прибыль 25 тыс. руб., которую можно получить, в случае если инвестирование ИБ не подверглось ни одному риску. События а0 и а1 носят неблагоприятный характер, и наступают в случае частичного или полного вывода из строя СЗИ. При наступлении таких событий может произойти нулевой риск, или а0 – событие, в результате которого наступает финансовый убыток в размере 130 тыс. руб. При событии а1 финансовые потери не наблюдались.

Заключение

В результате реализации модели оценки и прогнозирования рисков инвестирования ИБ ПП наблюдается повышение качества инвестирования ИБ, снижение рисков инвестирования ИБ ПП, что позволяет оценить комплекс проведённых мероприятий как эффективный.

Разработанная модель оценки и прогнозирования рисков инвестирования ИБ функционирует в условиях, характерных для ПП. Расчёт, на базе которого производится оценка рисков, автоматизирован. Преимуществом разработанной модели, является возможность прогнозирования рисков инвестирования ИБ, присущих ПП.

Список литературы

  1. Панасенко А. Конфиденциальные данные продолжают утекать. – [Электронный ресурс]. – URL: http://www.anti-malware.ru/analytics/Threats_Analysis/Sensitive_data_continue_leak (дата обращения: 3.04.2016).
  2. Zecurion Analytics. Утечки конфиденциальной информации. – [Электронный ресурс]. – URL: http://www.zecurion.ru/upload/iblock/fe3/Zecurion_Data_leaks_2015.pdf (дата обращения: 8.04.2016).
  3. Воронина Ю. Менеджеры подвели / Российская Бизнес – газета. №936 (7) – [Электронный ресурс]. – URL: http://www.rg.ru/2014/02/25/utechka.html (дата обращения: 3.02.2016).
  4. Козунова С.С., Бабенко А.А. Система оптимизации рисков инвестирования информационной безопасности промышленных предприятий // Вестник компьютерных информационных технологий. 2016. №7 (145). С.22-29.
  5. Разработка иерархической многокритериальной процедуры оценки качества экспертов / Путивцева Н.П., Игрунова С.В., Бекетова Е.Ю., Капитан С.А. // Научный результат. 2016. Выпуск №1 (1). С 39-47.
  6. Gordon, L.A., M.P. Loeb and T. Sohail. 2010. Market Value of Voluntary Disclosures Concerning Information Security // MIS Quarterly. Vol. 34, No. 3. 567-594 p.
  7. Lawrence A. Gordon, Martin P. Loeb, Lei Zhou Investing in Cybersecurity: Insights from the Gordon-Loeb Model // Journal of Information Security. 2016. Vol.07 No.02. 49-59 p.
  8. Козунова С.С., Бабенко А.А., Зубарева Е.В. Анализ процедуры оценки инвестиций в информационную безопасность // Фундаментальные проблемы науки. 2016. Ч.1. С.21-24.
  9. Finogeev A, Fionova L, Finogeev A, Nefedova I, Finogeev E, Vinh T.Q., Kamaev V. 2015. Methods and tools for secure sensor data transmission and data mining in energy SCADA system. Communications in Computer and Information Science 535. 474-484 p.
  10. Bodin, L., L.A. Gordon and M.P. Loeb. 2008. Information Security and Risk Management // Communications of the ACM, Vol. 51, No. 4. 1-9 p.