Нікуленко О.Д. АНАЛІЗ МОДЕЛІ ДЛЯ ОЦІНКИ ВТРАТ, ЩО ПОВ’ЯЗАНІ З РЕАЛІЗАЦІЄЮ ПОГРОЗ ДОСТУПНОСТІ ДЛЯ ІНФОРМАЦІЙНИХ СИСТЕМ

АНАЛІЗ МОДЕЛІ ДЛЯ ОЦІНКИ ВТРАТ, ЩО ПОВ’ЯЗАНІ З РЕАЛІЗАЦІЄЮ ПОГРОЗ ДОСТУПНОСТІ

ДЛЯ ІНФОРМАЦІЙНИХ СИСТЕМ

Нікуленко О. Д.

к.т.н., доцент каф. КСМ, ДонНТУ, Губенко Н. Є.

Донецький національний технічний університет, УКРАЇНА

Источник:“Сучасні інформаційні технології 2011”( МІТ - 2011)/ Матеріали першої Міжнародної конференції студентів і молодих науковців, 12-13 травня 2011р, ВНЗ “Одеський національний політехнічний університет”, 2011 - Том 2, с. 114-115.

Головна мета створення моделі оцінки втрат побудова системи, де будуть використані майже всі теоретичні знання і математичні формули, що мають відношення до цієї теми. На даний момент такі системи ще не мають широкого практичного застосування, тому стоїть завдання створення універсального апарату для розрахунку втрат для інформаційних систем.

Для створення моделі оцінки втрат необхідно розробити подмоделі оцінок для кожної з властивостей інформації (доступність, конфіденційність, цілісність).

Не дивлячись на наявність декількох методик оцінок, у даній роботі буде описано докладніше оцінцка втрат від загрози доступності, у відповідності з підходом, що запропонував Грездов у роботі 1.

Загроза доступності це обмеженість доступу до ресурсу або повна його відсутність, яка може відбутися у випадку навмисної або випадкового дії. Формула для розрахунку втрат від загроз доступності:

L = Lнд + Lв + Lп + Lвд;

де Lнд – втрати від несвоєчасного надання послуг з доступу до інформації; Lв – втрати, що пов'язані з відновленням працездатності; Lп – втрати, що пов'язані з простоєм вузла системи; Lвд – втрати, що пов'язані з втратою доходу.

Втрати від несвоєчасного надання послуг з доступу, Lнд, звично зафіксовані у договорі з експлуатації.

Втрати, що пов'язані з відновленням працездатності розраховуються:

де Zc_i - зарплатня співробітника в місяць, котрий відновлює працездатність атакованого вузла системи; Nc - кількість співробітників, які відновлюють працездатність; tв - час відновлення працездатності; Т – кількість робочих годин вузла системи на місяць. [1]

Втрати, що пов'язані з простоєм атакованого вузла:

де Zc_i – зарплатня в місяць співробітника атакованого вузла системи; Nc – кількість співробітників на атакованому вузлі системи; tn – час простою вузла системи; Т - кількість робочих годин вузла системи на місяць [1].

Втрати, що пов'язані з втратою доходу визначаються:

де D – річний дохід від використання атакованого вузла системи; tв , tn , - аналогічні формулам (2) і (3). Т – період роботи системи протягом року [1].

Модель оцінки втрат не є відокремленою, а складова частина загальної моделі захисту інформації. Схематично представлення моделі оцінки втрат представлено на рисунку 1.

Рис 1. Представлення моделі оцінки втрат

Як показує аналіз, для оптимізації витрат на захист, мінімізацію фінансування і отримання найкращого результату, доцільно розробити модель оцінки втрат. До переваг використання даної моделі оцінки слід віднести: простоту розрахунку, тобто всі показники, які використовуються у формулах, є відкритими даними; наочність, тобто певні показники втрат дають можливість реальної оцінки поняття «втрачений прибуток»; легке навчання користувачів методикою роботи з моделлю; можливість використання на будь-якому, навіть невеликому підприємстві. До недоліків моделі слід віднести те, що немає можливості прогнозування нових потенційних загроз, не враховується можлива інфляція; суб'єктивність оцінки значимості інформації.

Виконав аналіз моделі оцінки втрат від загроз доступності, можна зробити висновок, що, не дивлячись на те, що модель є складовою частиною системи інформаційної безпеки підприємства, їй слід приділяти максимум уваги. Завдяки цій моделі власники підприємств зможуть реально оцінити ситуацію з бізнесом і виділити достатньо коштів для відповідності рівню безпеки висунутим вимогам – забезпечення заданих параметрів, одним з котрих є доступність.

СПИСОК ЛІТЕРАТУРИ

1. Грездов, Г. Г. Способ решения задачи формирования комплексной системы защиты информации для автоматизированных систем 1 и 2 класса [Текст] / Г. Г. Грездов // ( Препринт/ НАН Украины. Отделение гибридных управляющих систем в энергетике ИПМЭ им. Г. П. Пухова НАН Украины; № 01/2005 ) – Киев : ЧП Нестреровой, 2005. – С. 66.