Пример расчета коэффициента защищенности бизнес-процесса

 

Наименование угрозы	Значение коэффи­циента за­щищен­но­сти ri	Удельный вес угрозы по операциям (Кiab)	Удельный вес уг­розы Kia
1.Офор­мить дого­вор	2. Про­ве­рить нали­чие на складе	3. Зарезер­вировать товар	4. Прио­брести то­вар	5. Прихо­довать то­вар	6. Отгру­зить товар
1.Несанкцио­нирован­ный доступ наруши­телей	0,7	0,1				0,2	0,4	0,7
2. Сбои технических и программных средств Обработки информа­ции	0,9	0,05	0,08	0,02	0,05	0,07	0,03	0,3
Коэффициент защищенности бизнес-процесса Ra = 0,76

 

Ветвление приводит к возможному изменению состава биз­нес-операций при реализации бизнес-процесса.

Пример расчета коэффициента защищенности бизнес-про­цесса в соответствии с формулой (5.12), состоящего из шести опе­раций, подверженных атакам со стороны двух видов угроз, пред­ставлен в табл. 5.5.

Если рассчитанный коэффициент защищенности оказался ниже требуемого уровня, то для повышения защищенности бизнес-процесса требуется привлечение дополнительных финансовых ре­сурсов. При этом следует повышать защищенность наиболее «сла­бых звеньев» (операций) бизнес-процесса согласно величинам К_ib.

Для соответствующих бизнес-операций частные коэффици­енты защищенности r_ib должны быть выше коэффициентов защи­щенности среднего уровня r_i.

Тогда

. (5.16)

Зависимость величины r_i от затрат на нее повышение x_i на ка­чественном уровне представлен на рис. 5.10.

 

r_i

 

 

Δ r_i

 

x_i

Δ x_i

Рис. 5.10. Зависимость величины коэффициента защищенности
от за­трат на его повышение

 

Можно предложить, что в окрестностях исходной величины x_i зависимость r_i от x_i линейна. Тогда повышение коэффициента за­щищенности на величину D r_i можно определить по формуле

(5.17)

где удельное (в расчете на единицу затрат) повышение ко­эффициента защищенности

Модель оптимального распределения дополнительных затрат D C между операциями бизнес-процесса для повышения коэффици­ента его защищенности не ниже допустимого уровня в этом случае может быть представлена следующим образом в виде задачи ли­нейного программирования:

(5.18)

(5.19)

(5.20)

где – величина дополнительных затрат на повышение защищен­ности b-й операции бизнес-процесса.

Можно поставить взаимно обратную задачу в соответствии со следующей моделью, в которой ограничены денежные ресурсы ве­личиной ∆С ^{до п} .

(5.21)

(5.22)

(5.23)

В конечном итоге риск (вероятность) нарушение информаци­онной безопасности бизнес-процесса зависит не только от уровня информационной защищенности, но и от вероятности атаки на биз­нес-процесс во время его осуществления.

Если поток атак обладает свойствами стационарности, ординарно­сти и отсутствием последействия, то его можно считать распреде­ленным по закону Пуассона.

В этом случае вероятность m -кратной атаки на бизнес-процесс составляет, как известно, величину

(5.24)

где (5.25)

(5.26)

Как следует из формулы (5.24), вероятность однократной атаки существенно больше вероятности двукратной атаки, которая, в свою очередь, существенно больше трехкратной и т. д.

Наличие усредненного значения коэффициента защищенности позволяет сопоставлять его с вероятностями атак, независимо от их вида.

При этом риск (вероятность) нарушения бизнес-процесса Р_н при однократной атаке составляет величину

P_н = P_a (1)(1 – R_a), (5.27)

где P_a (1) – вероятность однократной атаки.

 

5.3.3. Проектирование системы информационной безопасности

 

Проектирование системы информационной безопасности яв­ляется составной частью работы по созданию и информатизации системы и осуществляется специализированным предприятием-ис­полнителем на условиях аутсорсинга с привлечением сотрудников службы безопасности предприятия-заказчика (администратора сис­темы по информационной безопасности и др.). В качестве техноло­гии проектирования предпочтение отдается применению типовых сертифицированных проектных решений и индивидуальной дора­ботки системы с использованием технологий канонического и ав­томатизированного проектирования.

Порядок проектирования системы информационной безопас­ности предлагает ГОСТ Р 51583-2000 «Порядок создания автомати­зированных систем в защищенном исполнении».

Распределение работ по стадиям проектирования системы ин­формационной безопасности представлено на рис. 5.8.

 

Рис. 5.8. Распределение работ по стадиям проектирования системы информационной безопасности

Опытная эксплуатация

Предпроектная стадия начинается с обследования информа­ционной системы предприятия. Предметом анализа является ин­формация, характеризующаяся определенным уровнем секретности и подвергающаяся возможным атакам со стороны существующих угроз в процессах ее обработки. Этот анализ должен выполняться применительно как к информационной инфраструктуре в целом, так и к отдельным компонентам базы данных, передаваемой ин­формации, а также информации, используемой в бизнес-процессах при процессном подходе к управлению.

Техническое проектирование начинается с разработки кон­цепции информационной безопасности. В развитие принятой кон­цепции анализируется возможность использования типовых средств защиты информации, а также разрабатываются дополни­тельные методы и механизмы защиты информации, отвечающие условиям предприятия-заказчика.

Важным этапом стадии технического проектирования явля­ется построение математической модели, выбора варианта системы информационной безопасности. В качестве математического аппа­рата построения модели могут быть использованы модели: опти­мального программирования, аппарат теории игр и др. Во всех слу­чаях итоговыми показателями решения задачи выбора варианта системы информационной безопасности являются: комплексный показатель информационной защищенности, соответствующие ему стоимостные затраты на защиту информации, частные показатели информационной защищенности отдельных информационных ком­понентов, соответствующие этим показателям стоимостные за­траты, показатели информационной защищенности бизнес-процес­сов и соответствующие стоимостные затраты.

В техническом проекте должны быть предложены методы об­наружения ошибок в информации, возникающих в результате ее искажения под влиянием атак, требуется также разработать поря­док резервирования информации для ее восстановления в случае обнаружения ошибок.

Рабочее проектирование предусматривает разработку про­граммного обеспечения системы информационной безопасности, сопроводительных документов (руководство пользователей, руко­водство администратора системы информационной безопасности, тестовой документации, описания архитектуры системы). Заканчи­вается стадия рабочего проектирования тщательным тестированием системы информационной безопасности.

Заключительная стадия – ввод в действие и сопровождение – включает в себя обучение обслуживающего персонала информаци­онной системы предприятия и включенной в нее системы инфор­мационной безопасности, а также конечных пользователей. После этапа опытной эксплуатации системы и устранения обнаруженных неполадок в ее работе осуществляется приемка-сдача системы в со­ответствии с ТЗ, утвержденным в итоге выполнения предпроектной стадии. По завершении стадии ввода проводят аттестацию внедре­ния системы защиты информации. После утверждения акта при­емки-сдачи наступает этап постоянной эксплуатации системы, включающий в себя мониторинг ее функционирования и сопровож­дение со стороны предприятия-разработчика.

В заключение отметим, что с учетом рассмотренных особен­ностей, структуры и возможностей процессного подхода инфра­структура защиты информации должна обеспечивать:

· ориентацию всех процессов защиты на главный конечный ре­зультат – обеспечение необходимого уровня защиты информации в управлении бизнес-процессами;

· построение моделей бизнес-процессов с разметкой парамет­ров информационной безопасности;

· выявление, локализацию и устранение последствий реализа­ции всех возможных видов угроз;

· интеграцию функций защиты в единый автоматизирован­ный процесс;

· осуществление ресурсосберегающего управления защитой информации;

· регламентацию процессов защиты по приоритету, срочно­сти, рискам и т. д.;

· адаптацию политики безопасности к организационной струк­туре и информационной инфраструктуре предприятия;

· реализацию планово-предупредительной деятельности по обеспечению защиты информации бизнес-процессов;

· определение и разграничение ответственности участников бизнес-процессов за предотвращение конкретных видов угроз;

· возможность точного определения результатов функциониро­вания системы защиты информации (учет и отчет­ность по каждому виду угроз, сбор статистики, мониторинг теку­щего состояния, оценка рисков и т. д.);

· возможность развития и оптимизации процессов защиты на основе количественных оценок;

· управление информационными рисками применительно к бизнес-процессам.

 

 

5.4. Примеры типовых информационных систем

 

Основным признаком классификации типовых информацион­ных систем является их функциональность. По этому признаку ин­формационные системы подразделяются на локальные, малые, средние и крупные интегрированные системы. Примеры типовых информационных систем различных классов представлены в табл. 5.6.

Таблица 5.6

⇐ Предыдущая6789101112131415Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: