Модели оценки эффективности систем информационной безопасности
Автореферат кандидатской диссертации по экономике
На правах рукописи
ТИХОНОВ ДЕНИС ВАХТАНГИЕВИЧ
МОДЕЛИ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Специальность: 08.00.13 Ч Математические и инструментальные методы экономики;
08.00.05 Ч Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами (связь и информатизация)
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата экономических наук
Санкт-Петербург 2009
2
Работа выполнена на кафедре исследования операций в экономике ГОУ ВПО Санкт-Петербургский государственный инженерно-экономический
университет
Научный руководитель: кандидат экономических наук, доцент
Поснов Владимир Григорьевич
Официальные оппоненты: доктор экономических наук, профессор
Власов Марк Павлович
кандидат экономических наук, доцент Ананишнов Виктор Васильевич
Ведущая организация: ФГОУ ВПО Санкт-Петербургский госу-
дарственный университет
Защита состоится л15 июня 2009 года в 13 часов на заседании диссертационного совета Д 212.219.05 при ГОУ ВПО Санкт-Петербургский государственный инженерно-экономический университет по адресу: 191002, Санкт-Петербург, ул. Марата, 27, ауд. 422.
С диссертацией можно ознакомиться в библиотеке ГОУ ВПО Санкт-Петербургский государственный инженерно-экономический университет по адресу: 196084, Санкт-Петербург, Московский пр., д. 103 а.
Автореферат разослан л мая 2009 года.
Ученый секретарь диссертационного совета,
кандидат экономических наук, профессор В.М. Корабельников
3
I. Общая характеристика работы
Актуальность темы
Актуальность работы обусловлена необходимостью разработки экономико-математических методов и моделей представления функционирования систем информационной безопасности. В условиях быстрого развития информационных технологий проблема обеспечения безопасности выходит на первый план. Правильная оценка эффективности таких систем позволит при определенных затратах обеспечить максимальный уровень безопасности. Реализация даже одной угрозы информационной безопасности, может привести к катастрофическим последствиям для бизнеса.
В условиях перехода от индустриального общества к информационному, проблема защиты выходит на первый план. Информация стала полноценным ресурсом производства, подчас даже более ценным, чем материальные активы компаний. Владение информацией определяет успешность бизнеса, обеспечивает максимизацию прибыли, минимизацию издержек и повышенную конкурентоспособность. Недаром, крупнейшие мировые корпорации тратят на сохранение своих финансовых, технологических и прочих секретов огромные суммы, нередко сопоставимые с производственными издержками.
Проблема защиты информации возникла в тот момент, как люди впервые захотели сохранить некоторую информацию в секрете. Увы, на современном этапе развития технологий, сделать это становится все труднее и труднее. Угрозы могут возникать как от внутренних, так и внешних источников. Злоумышленники, ставящие целью украсть информацию, с целью развлечения или наживы, пользуются самыми разными способами. Чтобы обеспечить сохранность ценных данных и защитить информационные системы предприятия, необходимо не только досконально знать собственную информационную структуру и ее сильные и слабые стороны, но и великолепно разбираться в источниках информационных угроз. Знание того как происходит атака, может защитить от нее или свести потери от реализации к минимуму.
Наконец стоит учесть то, что существует не только огромное количество угроз, но и огромное количество средств противодействия. Они все различаются по параметрам, областям применения и стоимости. Необходимо учитывать, что создаваемая система должна быть, не только эффективна с технической точки зрения, но и с экономической. Специфика области применения заключается в том, что наши знания о системах защиты сильно ограничены, и принять управленческое решение в таких условиях крайне сложно.
Поэтому для построения системы безопасности необходимо провести оценку эффективности, как самой проектируемой системы, так и отдельных ее компонентов. Отметим, что если крупные корпорации могут провести всестороннее изучение предполагаемых к использованию средств с привлечением высокопрофессиональных узкоспециализированных экспертов, то небольшие фирмы не всегда имеют такую возможность. Подчас, решением этой проблемы занимается человек, не имеющий достаточной квалификации. В результате система получается неэффективной с технической или с экономической точки зре-
4
ния. Актуальность работы объясняется необходимостью разработки таких способов оценки, которые позволят выстроить качественную систему, даже не имея достаточных знаний в области и с привлечением минимального количества экспертов.
Теоретическая и методологическая основа диссертации
Основные теоретические аспекты проблемы защиты информации нашли отражение в работах отечественных и зарубежных ученых, таких как Шелупа-нов А.А., Мещеряков Р.В., Белов Е.Б., Райх В.В., Боер В.М., Ушаков СИ., Иванский В.П., Кузнецов П.У., Веллерсхоф Д. и др.
Проблемам и особенностям оценки эффективности систем информационной безопасности, а также моделированию поведения таких систем посвящены работы таких авторов, как Гриняев С.Н., Ухлинов Л.М., Стельмашонок Е.В., Тарзанов В.В., Власов М.П., Ананишнов В.В., Аникин И.В., Терзи А.В., Косма-чева И.М., Домарев В.В., Павловский Ю.Н., Демурчев Н.Г., Лепешкин О.М.
Анализ вышеуказанных работ показал, что при всей значимости этих исследований, модели оценки эффективности систем информационной безопасности в настоящее время проработаны недостаточно полно.
Цель и задачи исследования
Цель работы состоит в том, чтобы предоставить необходимый инструментарий для оценки системы и разработать математическую и имитационную модель, обеспечивающих для лица принимающего решения и эксперта создающего систему получение достоверных оценок эффективности. Проблема отсутствия системы защиты информации на предприятии приводит к экономическим потерям в результате кражи или повреждения ценной информации. Внедрение системы информационной безопасности позволит избежать экономических потерь и предотвратить реализацию информационных угроз.
Учитывая специфику области, надо помнить, что эксперты подчас не обладают полнотой информации об используемых компонентах защиты. Производители таких средств стараются держать алгоритмы защиты в секрете с целью повышения надежности таких систем. Поэтому решать задачу приходится в условиях неопределенности, что должно быть учтено в моделях.
Реализация поставленной цели предполагает постановку и решение ряда приоритетных задач:
- уточнение классификации информационных угроз с точки зрения их влияния на информацию и определение опасности, исходящей от каждой из угроз;
- выявление и систематизация условий и факторов, влияющих на информационную безопасность и определение принципов построения системы защиты;
- разработка методов и моделей систем информационной безопасности с учетом неполноты исходных данных;
- формализация основных процессов функционирования систем информационной безопасности, включая взаимодействие ее компонент, как с информационными угрозами, так и между собой внутри системы;
5
- разработка концептуальной модели системы информационной безопасности и ее построение с использованием стандартных средств проектирования;
- выбор математического аппарата и разработка математической модели для оценки эффективности функционирования системы;
- определение экономической эффективности системы защиты информации;
- построение имитационной модели функционирования системы, позволяющей провести испытание создаваемой системы еще на этапе ее проектирования;
- разработка методов оценки устойчивости спроектированной системы.
Предложенная модель оценки эффективности, в сочетание с разработанной имитационной моделью, позволяет определить итоговый показатель эффективности системы и ее устойчивость еще на этапе проектирования, тем самым сократив риски.
Объект и предмет исследования
Объектом исследования является деятельность по обеспечению информационной безопасности, включая оценку эффективности и проектирование системы. Предметом исследования являются наиболее существенные характеристики такой деятельности: общий показатель эффективности, показатели экономической эффективности и показатели устойчивости системы.
Научная новизна
Научная значимость работы заключается в анализе и усовершенствование методов, применяемых при оценке эффективности системы защиты информации, и в разработке математической модели, позволяющей оценить общую и экономическую эффективность системы. Научная новизна выносимых на защиту положений и выводов состоит в следующем:
- Предложен новый подход к классификации угроз по результату их воздействия на информацию. На основе предложенного метода произведена классификация угроз, применяемая в дальнейших исследованиях.
- На основе существующих математических методов представлен новый подход к оценке эффективности систем информационной безопасности с учетом неполноты сведений об используемых компонентах и их возможном взаимодействии между собой и с угрозами. Показатели были определены исходя из разработанного способа классификации угроз. Была предложена шкала оценки и определена удобная методика, используемая экспертами и лицом принимающим решение.
- Построена математическая модель оценки эффективности системы информационной безопасности. Модель предполагает оценку по совокупности частных показателей защищенности, соответствующих классификации информационных угроз. Представленная модель дополняется учетом значимости тех или иных компонент для получения итогового уровня безопасности.
- На основе математической модели построена имитационная модель для оценки функционирования системы безопасности на ранних стадиях проек-
6
тирования. Имитационная модель дополняется показателями оценки устойчивости системы, позволяющими оценить стабильность, как отдельных компонент, так и всей системы в целом. Такой способ позволит выявить возможные проблемы на ранней стадии проектирования и избежать возможных потерь от внедрения некачественной системы. 5. Разработан алгоритм комплексной оценки эффективности, включающий систему показателей, математическую модель и модель имитации функционирования системы безопасности, а также механизм оценки устойчивости системы и её компонент для поддержки принятия решений всеми заинтересованными субъектами.
Достоверность научных результатов
Достоверность и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок по теме диссертации, положительной оценки результатов на научных конференциях, а также практической проверкой результатов.
Практическая значимость работы
Направления практического использования связаны с разработкой и применением методов имитационного моделирования поведения системы. На практике проверить устойчивость и эффективность проектируемой системы практически невозможно. Все решения ведут к большим издержкам и сложностям их реализации. Данная работа предоставляет не только математический метод оценки эффективности, но и имитационную модель, которая позволит проверить и оценить работу системы еще на этапе ее проектирования.
Таким образом, практическая значимость сводится к возможности использования всего комплекса моделей, основанных на авторском подходе к оценке эффективности системы, методу классификации угроз и имитационному инструментарию с целью повышения эффективности расходования средств на защиту информационных систем предприятия.
Апробация результатов работы
Основные результаты были представлены на научной конференции студентов и аспирантов ГОУ ВПО Санкт-Петербургский государственный инженерно-экономический университет. Основные положения нашли отражение в опубликованных научных работах автора.
Публикации
Основные положения диссертации изложены в семи опубликованных научных работах, в том числе в рекомендованном ВАК издании общим объемом 1,23 п.л.
7
Структура и объем работы
Диссертация состоит из введения, трех глав, заключения и списка литературы, изложенных на 126 страницах.
П. Основное содержание работы
Во введении обоснована актуальность изучения проблематики предлагаемой работы. Определены цели и задачи исследования, а также положения, выносимые на защиту.
В первой главе произведен анализ предметной области и проанализированы возможные угрозы информационной безопасности. Примечательная особенность нынешнего периода Ч переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы.
Информация Ч сведения о лицах, фактах, событиях, явлениях и процессов независимо от формы их представления, уменьшающие степень неопределенности наших знаний. Информация является одним из наиболее общих понятий науки, обозначающим некоторые сведения, совокупность каких-либо данных, знаний.
Понятие линформация сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно ни использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается каждые пять лет.
Концепция информационной безопасности, как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты, должна в общем виде отвечать на три простых вопроса:
- что защищать?
- от чего защищать?
- как защищать?
С этими вопросами неотъемлемо связано понятие системы защиты, то есть комплекса мер и средств, а также деятельности на их основе, направленной на выявление, отражение и ликвидацию различных видов угроз. Принято различать следующие основные виды средств защиты:
- нормативно-правовые;
- организационные;
- технические.
Нормативно-правовые Ч включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе.
Организационные Ч правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой
8
тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки.
Технические средства Ч это комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся информации путем исключения несанкционированного доступа к ней с помощью технических средств съема.
Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.
Анализ угроз по их воздействию на информацию, позволяет классифицировать угрозы на следующие виды:
- угроза повреждения информации;
- угроза несанкционированного доступа к информации;
- угроза изменения информации;
- угроза уничтожения информации.
Преимущество такой классификации заключается в том, что лицо принимающее решение сразу видит как реализация той или иной угрозы отразится на информационных активах предприятия. Такой подход позволяет наглядно оценить степень риска и построить концептуальную модель системы защиты, учитывающую все основные источники угроз.
Во второй главе на основе предложенной классификации строится концептуальная модель с использованием языка визуального моделирования UML. Для решения поставленных вопросов, необходимо построить модель, учитывающую не только уровень защищенности, как для отдельных компонент, так и для всей системы в целом, но и экономическую эффективность разрабатываемой системы. Для этого необходимо определиться с концептуальной моделью (рис. 1).
Функции защиты информации |
Задачи защиты информации |
Средства защиты информации |
Система защиты информации |
Рис. 1. Концептуальный подход к построению системы защиты информации
Оперируя такими понятиями как информационные активы, угрозы и уязвимости, мы можем проиллюстрировать, что такое риски.
9
Рис. 2. Область информационных рисков
Зона рисков находится на пересечении множеств угроз, уязвимостей и информационных активов и отмечена серым цветом (рис. 2).
Исходя из этого, мы можем построить концептуальную модель системы защиты (рис. 3). Основной является диаграмма вариантов использования. Модель Ч множество сущностей или актеров, взаимодействующих с системой с помощью, так называемых вариантов использования. Актер Ч любая сущность, взаимодействующая с системой извне. Вариант использования служит для описания сервисов, которые система предоставляет актеру. Другими словами, каждый вариант использования определяет некоторый набор действий, совершаемый системой при диалоге с актером.
Теперь на основе концептуальной модели и определенных типах угроз можно построить математическую модель оценки эффективности системы. В процессе руководства иерархическими экономическими системами руководители верхнего уровня планирует деятельность всей системы в целом, никогда не спускаясь до нижних уровней. В таких условиях знания руководства о механизмах работы нижних уровней и тех или иных средствах и процессах (в нашем
10
случае СЗИ) неточны, они приблизительны и расплывчаты. Особенность нашего случая состоит в том, что даже приглашенные эксперты могут не обладать всей полнотой информации, необходимой для принятия управленческого решения.
В таких условиях необходимо построить такую экономико-математическую модель, которая будет учитывать такого рода неопределенность исходных условий функционирования экономической системы.
Стоит помнить, что неопределенность, в той или иной степени, присуща всем процессам и отражается на принятии решений во всех областях. В общем случае она имеет две стороны: первая обусловлена вероятностным характером, вторая определяется неточностью и приблизительностью представлений о системе. Дать точную количественную оценку отдельным компонентам, как показывалось выше, невозможно. В результате мы даем лингвистическую оценку, например, высокий уровень защищенности. Но каждый может вкладывать в эту характеристику разное значение, отсюда и получается неопределенность.
Исходя из анализа видов угроз, можно выделить следующие показатели защищенности:
- показатель защиты от повреждения информации;
- показатель защиты от несанкционированного доступа к информации;
- показатель защиты от изменения информации;
- показатель защиты от уничтожения информации.
Чтобы дать оценку упомянутым выше четырем показателям и построить экономико-математическую модель, мы прибегли к научному направлению, основоположником которого является известный американский специалист по проблемам управления Ч Лотфи Заде. Он разработал аппарат, способный объединить формальные и неформальные методы анализа.
Для решения поставленной задачи использовался метод нечеткого моделирования, положительно зарекомендовавший себя во множестве схожих исследований. Оперируя понятиями нечеткой логики, была получена модель:
п
q = T,w&>(1)
г=1 п
где qt> qx, ig [1,4], qte [0,1], wtg [ОД] и ?>,. = 1;
i=\
q- общий показатель качества СЗИ;
qt- i-ый частный показатель качества СЗИ;
q\ - минимально допустимое значение / -го частного показателя качества СЗИ;
wt- весовой коэффициент /' -го частного показателя качества.
Расчет частных показателей защищенности происходит с использованием аппарата нечеткой логики. Сначала получаются нечеткие значения:
к
*,=Ew>аа (2)
где i = l,n, j= I, к, Vz g Z, Vc g С и VwgW;
z. Ч /' -ый частный показатель защищенности;
11
сц Ч j-ая характеристика, в виде трапециевидного нечеткого числа, / -го частного показателя защищенности; мла Ч у'-ый весовой коэффициент, в виде треугольного нечеткого числа, /-го
частного показателя защищенности;
ZЧ множество частных показателей защищенности;
С Ч множество характеристик частного показателя защищенности;
WЧ множество весовых коэффициентов частного показателя защищенности.
В таблицах 1 и 2 представлены лингвистические значения характеристик частного показателя защищенности и весовых коэффициентов.
Таблица 1 Значения показателей оценки защищенности информации, в виде трапециевид-
ных нечетких чисел
Лингвистическая оценка |
Модальное значение функции принадлежности |
евый коэффициент нечеткости |
Правый коэффициент нечеткости |
Очень-очень низкое значение |
0-5 |
0 |
6 |
Очень низкое значение |
11-17 |
6 |
6 |
Низкое значение |
23-33 |
6 |
10 |
Среднее значение |
43-57 |
10 |
8 |
Высокое значение |
65-77 |
8 |
5 |
Очень высокое значение |
82-90 |
5 |
3 |
Очень-очень высокое значение |
93-100 |
3 |
0 |
Таблица 2 Значения весовых коэффициентов, в виде треугольных нечетких чисел
Лингвистическая оценка |
Модальное значение функции принадлежности |
евый коэффициент нечеткости |
Правый коэффициент нечеткости |
Очень-очень низкое |
0,05 |
0,05 |
0,02 |
Очень низкое |
0,07 |
0,02 |
0,03 |
Низкое |
0,13 |
0,05 |
0,02 |
Среднее |
0,25 |
0,05 |
0,05 |
Высокое |
0,4 |
0,05 |
0,08 |
Очень высокое |
0,5 |
0,04 |
ОД |
Очень-очень высокое |
0,6 |
0,03 |
ОД |
Парное произведение двух нечетких чисела (трапециевидного) иа В (треугольного) получается через использование а-уровня и имеет вид:
C = A-B = [(a-y)-(c-a);(b + 8)-(c + P)f u[ar-c;6-c]\аа (3)
12
Суммирование двух нечетких чисел дает трапециевидное нечеткое число вида:
В = С1+С2=[(а[-у[) + (а'2-у'2иЪ[ + 5[) + (Ъ'2+д'2)Г vj[a[+a'2,b[ + K}1.а (4)
В формуле расчета итогового показателя защищенности используются четкие значения в интервале [0,1], а результат полученный при расчете частного показателя защищенности представляет собой нечеткое число. Следовательно, нам необходимо осуществить дефаззификацию результата, а затем его нормализацию. Дефаззификация нечеткого множества по правилу центра тяжести осуществляется по формуле:
и
\и Х jUA(u)du
Р<=-и--------------- >(5)
\jUA(u)du
и
где ptЧ четкое шкалированное значение.
Физическим аналогом этой формулы является нахождение центра тяжести плоской фигуры, ограниченной осями координат и графиком функции принадлежности нечеткого множества.
Нормализация бального значения проводится по формуле:
Д =а Р,-Рттаа =а Pi(в,
^гаа max minа maxаа 'а V /
Р~рр
Последнее, что осталось определить Ч это значения весовых коэффициентов wt. При условии равнозначности всех частных показателей защищенности, их весовые коэффициенты определяются как:
"ж4- (7)
N
где ?>,- =1;
г=1
N Ч количество частных показателей.
Следует помнить, что на самом деле частные показатели защищенности неравнозначны, они будут задаваться экспертами.
Необходимо построить модель, учитывающую не только уровень защищенности, как для отдельных компонент, так и для всей системы в целом, но и экономическую эффективность разрабатываемой системы. Самый простой, и достоверный способ оценки экономической эффективности могут дать два показателя. Первый основан на нахождении разницы между стоимостью информации и дисконтированной стоимостью проекта.
3 = CI-PV,(8)
где Э Ч экономический эффект от внедрения системы информационной безопасности;
CIЧ стоимость информации;
PVЧ дисконтированная стоимость проекта, рассчитываемая по следующее формуле:
13
Nа Пр
где CFtЧ денежные потоки / -го периода;
г Ч ставка дисконтирования; N Ч число периодов.
Таким образом, если значение Э получилось положительным, значит, система эффективна, так как ее стоимость оказывается меньше стоимости защищаемой информации.
Второй показатель определяется как отношение прироста защищенности к дополнительному рублю затрат, что можно выразить формулой:
*=?.аа (ю)
где SЧ экономическая эффективность от увеличения уровня информационной
безопасности;
ALЧ прирост защищенности;
АС Ч дополнительные затраты.
Увеличение уровня защищенности информации требует несения дополнительных издержек, однако каждый дополнительный рубль будет менее эффективен. В определенный момент достигается такая точка, после которой увеличение стоимости системы будет нецелесообразно, так как прирост уровня защищенности будет минимален.
С другой стороны экономическую эффективность можно определить исходя из величины предотвращенных потерь. Существуют модели, позволяющие определить эту величину по каждому из типов угроз, однако этот вопрос выходит за рамки диссертационного исследования.
Следует помнить, что создается именно система, а не отдельный набор компонент. Учесть возможные нестыковки и противоречия в математической модели невозможно. Именно поэтому в рамках диссертации автором было предложено расширить алгоритм оценки имитационной моделью.
Проектированию имитационной модели посвящена третья, заключительная, глава диссертации. Имитационная модель предназначена для комплексной оценки предполагаемых к использованию мер и средств защиты информации. Она позволяет имитировать атаки на информационную инфраструктуру в соответствие с концептуальной и математической моделью. Такая модель отражает взаимодействие различных элементов системы защиты и позволяет проверить устойчивость системы во времени. Проведя ряд имитационных экспериментов, мы сможем проследить за поведением системы во времени и составить предварительное заключение о надёжности и непротиворечивости системы на ранних стадиях проектирования. Перед тем как начинать разработку имитационной модели, необходимо понять концепцию имитации.
Общую концепцию имитации работы системы информационной безопасности можно продемонстрировать на схеме (рис. 4).
Для оценки эффективности имитационной модели СЗИ воспользуемся следующим показателем эффективности:
а |
_
(11)
где а Ч показатель абсолютной эффективности;
Ч интенсивность потока заявок;
juЧ интенсивность обслуживания поступающих заявок.
Наконец последним шагом в алгоритме оценки эффективности, является проверка устойчивости самой системы. Для оценки устойчивости системы в процессе функционирования, воспользуемся показателем энтропии системы. Устойчивому состоянию будет соответствовать критерий максимума энтропии. Предполагается, что значения показателя Ч это результаты наблюдения над случайной величиной X, оформленные в виде статистической совокупности или временного ряда (рис. 10).
17
2а 3 4а 5 6аа t
Рис. 10. Временной ряд показателя защищенности
Найдем частоту появления случайной величины в каждом интервале:
да.
п |
R
(12)
где гi>'=l;
t=\
п Ч количество наблюдений.
Найдем энтропию как энтропию дискретной случайной величины. Таким образом, значение Sможет быть найдено по следующей формуле:
S = -XP/-log2(P/).
(13)
Таким образом, получим выражение энтропии показателя, представленного временным рядом данных. Найдем максимально возможную энтропию временного ряда:
^шах = !g2 - = !g2 п . (14)
Чтобы провести дальнейший анализ, необходимо нормализовать значение энтропии, то есть перейти к безразмерному показателю:
Я |
S
5~' (15)
где SЧ энтропия дискретной случайной величины; ^тах Ч максимальная энтропия.
Можно также ввести процентное определение энтропии:
Я' = Н -100%. (16)
Эта величина будет показывать процент полученной энтропии. То есть процент от максимально возможной энтропии, при данном количестве наблюдений. Для итоговой оценки устойчивости всей системы в целом, предлагается использовать обобщенный показатель энтропии, рассчитываемый по формуле:
Т.н.
f-fЧа '=1
п |
где Я, |
общ.
общ. |
обобщенный показатель энтропии системы;
Я. Ч показатель энтропии /-ой подсистемы; п Ч количество подсистем.
(17)
18
III. Основные выводы и рекомендации
Выполненное исследование позволяет сделать следующие выводы и рекомендации:
- Обеспечение информационной безопасности предприятия Ч одна из основных задач, решение которой обеспечивает безопасность предприятия и стабильный экономический рост. Оценка эффективности проектируемой системы и испытание ее на ранних стадиях входят в задачу лиц принимающих решения и группы экспертов, привлеченных для проектирования системы.
- Нерешенность теоретических, методических и практических проблем в области оценки эффективности систем информационной безопасности приводит к тому, что существующие методики оценки эффективности, основанные на использовании только количественных, и, преимущественно закрытых, данных, не могут гарантировать полную объективность оценок эффективности проектируемой системы, а значит и эффективность инвестирования средств в создание такой системы.
- Комплексный подход к оценке такого сложного явления как проектирование системы защиты информации; прогноз ее эффективности, как с технической, так и с экономической точки зрения; анализ всех возможных слабых мест системы и ее компонент; а также анализ возможного поведения системы и оценка устойчивости, как самой системы, так и ее компонент должны основываться на современных экономико-математических методах и инструментальных средствах, дающих надежные непротиворечивые данные.
- Научно-обоснованный порядок формирования оценки технической и экономической эффективности системы защиты информации по комплексу показателей, оказывающих наиболее существенное влияние на общий уровень защищенности, направлен на развитие теории и практики оценки эффективности этих систем и может быть практически использован лицами принимающими решение.
IV. Перечень работ, опубликованных автором по теме диссертации
Статьи, опубликованные в рекомендуемых ВАК изданиях:
1.аа Тихонов Д.В. Оценка эффективности систем защиты информации // Вестник
ИНЖЭКОНа. Сер. Экономика. Вып. 7 (26). СПб.: 2008. Ч С. 210-212. Ч
0,3 п.л.
Статьи, опубликованные в прочих изданиях:
2.а Тихонов Д-В., Стелъмашонок Е.В. Использование объектно-
ориентированного подхода при решении задач информационной безопасности
// Современные информационные технологии обработки и защиты информа
ции: Сб. науч. тр.: СПбГИЭУ. Ч 2005. Ч 0,28 п.л / 0,14 п.л.
19
- Тихонов Д.В. Современные методы защиты информации в экономических информационных системах // Менеджмент и экономика в творчестве молодых исследователей. ИНЖЭКОН-2006. IX науч.-практ. конф. студ. и асп. СПбГИЭУ 18, 19 апреля 2006 г.: Тез. докл.: СПбГИЭУ. Ч 2006. Ч 0,1 п.л.
- Тихонов Д.В. Проблемы обеспечения информационной безопасности экономических информационных систем // Современные проблемы экономики, социологии и права: сб. науч. ст. асп. СПбГИЭУ. Вып. 2.: СПбГИЭУ. Ч 2007. Ч 0,25 п.л.
- Тихонов Д.В. Экономический аспект информационной безопасности // Современные проблемы экономики, социологии и права: сб. науч. ст. асп. СПбГИЭУ. Вып. 3.: СПбГИЭУ. Ч 2007. Ч 0,14 п.л.
- Тихонов Д.В. Методы оценки стоимости информации // Современные проблемы экономики, социологии и права: сб. науч. ст. асп. СПбГИЭУ. Вып. 4.: СПбГИЭУ. Ч 2008. Ч 0,14 п.л.
- Тихонов Д.В. Применение логического вывода при проектировании систем информационной безопасности // Современные проблемы экономики, социологии и права: сб. науч. ст. асп. СПбГИЭУ. Вып. 5.: СПбГИЭУ. Ч 2008. Ч 0,16 п.л.