Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Cybernetics and programming
Reference:

Mathematical model for evaluating the impact coefficient of a single factor on information security threats

Derendyaev Denis Aleksandrovich

post-graduate student of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

battelnet.net@mail.ru
Other publications by this author
 

 
Gatchin Yurii Armenakovich

Doctor of Technical Science

professor of the Computing System Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

gatchin@mail.ifmo.ru
Other publications by this author
 

 
Bezrukov Vyacheslav Alekseevich

PhD in Technical Science

associate professor of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

bezrukov@mail.ifmo.ru
Other publications by this author
 

 

DOI:

10.7256/2306-4196.2016.5.19608

Received:

30-06-2016


Published:

29-01-2017


Abstract: Currently, more attention is paid to the protection of information resources against various threats. There are numerous methods of risk assessment and management, which are aimed at minimizing the threats to information security. However, the risk assessment generally considered a threat, that is, under the action of all potential factors. Wherein the one or other factor may have more influence on the particular threat than others. The paper presents a mathematical model for evaluating the impact coefficient of a single factor on information security threats. The study was based on the evaluation of probability of occurrence and criticality of unrelated threats to information security. The study was based on the probability of occurrence and criticality of unrelated threats to information security. The mathematical model presented in the paper makes it possible to assess the characteristics of threats under the influence of a specific factor. This in turn helps to understand how much a single factor strongly influences information security. The data obtained makes it possible to optimize the protection system counteracting the most critical factors.


Keywords:

expert opinion , optimization of protection, threat risk, information security, human factor, impact factor, critical threats, likelihood of the threat, influence factor, mathematical model


Введение

Борьба с угрозами информационной безопасности является важным аспектом функционирования множества современных предприятий в связи с циркуляцией в них большого объема конфиденциальной информации, кража, модификация или уничтожение которой приведет к финансовым потерям в организации. Модели, методы и средства защиты информации (ЗИ), используемые на предприятиях, различны и, как правило, выбираются в результате решения одной из задач вида `min, R>=R_(dop)>` или `max, S<=S_(dop)>` , `S` где – затраты на разработку, внедрение и сопровождение системы ЗИ на предприятии; `S_(dop)` – допустимая стоимость системы ЗИ на предприятии; `R` – уровень защиты, обеспечиваемый выбранным вариантом системы ЗИ; `R_(dop)` – допустимый уровень качества системы ЗИ в целом [1]. Уровень защиты характеризуется величиной остаточного риска, получившегося в результате влияния механизмов системы ЗИ на риски угроз информационной безопасности. При расчете рисков угроз чаще всего используют следующую формулу:`R=P*Z` , где `R` – риск угрозы информационной безопасности; `P` – вероятность угрозы; `Z` – критичность угрозы для предприятия [2,3]. Критичность и вероятность угрозы определяются путем экспертных оценок или статистическим методом. Однако при определении этих критериев та или иная угроза рассматривается целиком, под действием всех возможных факторов. Математическое описание коэффициента влияния отдельно взятых факторов может помочь лучше разобраться в причинах возникновения угроз информационной безопасности, что делает рассмотрение данного вопроса актуальным.

Целью данной работы является представление коэффициента влияния отдельно взятого фактора на угрозу информационной безопасности в виде математической модели.

Математическое описание коэффициента влияния конкретного фактора на угрозы информационной безопасности

Пусть множество всех не взаимосвязанных угроз информационной безопасности `A={a_(i)}` , `i=1,...,L` , тогда множество не взаимосвязанных угроз информационной безопасности с присутствием конкретного фактора `B={b_(i)}` , `i=1,...,N` и `Asub B .`

Положим далее, что на возникновение угроз безопасности множества `B` оказывают влияние различные, не зависящие друг от друга факторы `C={c_(i)}` , `i=1,...,K` . В таком случае вероятность возникновения любой угрозы из множества `B` можно представить как сумму вероятностей под влиянием различных факторов:

`P(b_(i))=P(b_(i)|c_(1))+...+P(b_(i)|c_(k))=sum_(i=1)^k P(b_(i)|c_(k))` , `sum_(i=1)^k P(b_(i)|c_(k))<1` (1)

Введем множество коэффициентов влияния конкретного фактора на угрозы информационной безопасности `X={x_(i)}`, `i=1,...,N` и положим, что в нашем случае, интересующим нас фактором будет `c_(1)` , тогда вероятность возникновения угрозы можно представить в виде:

`P(b_(i))=x_(i)*P(b_(i))+...+P(b_(i)|c_(k))` , `x_(i)<1` (2)

Так как мы рассматриваем множество не взаимосвязанных угроз информационной безопасности, то вероятность реализации `P_(B)` хотя бы одной угрозы, вызванной конкретным фактором, можно определить следующим образом:

`P_(B)=sum_(i=1)^n P(b_(i))=P(b_(1))+...+P(b_(n)),` `sum_(i=1)^n P(b_(i))<1` (3)

Подставляя (2) в (3), можно записать следующее выражение для определения вероятности `P_(B)` :

`P_(B)=(x_(1)*P(b_(1))+...+P(b_(1)|c_(k)))+...+(x_(1)*P(b_(n))+...+P(b_(n)|c_(k)))` (4)

Вероятность всех угроз безопасности с присутствием конкретного фактора и только под его влиянием `P_(B)(c_(1))` можно представить в виде:

`P_(B)(c_(1))=sum_(i=1)^n P(b_(i)|c_(1))=x_(1)*P(b_(1))+...+x_(n)*P(b_(n)),` `sum_(i=1)^n P(b_(i)|c_(1))<1` (5)

В связи с тем, что затруднительно точно определить значение коэффициента влияния конкретного фактора на каждую из угроз в отдельности, воспользуемся средним значением коэффициента`<< x>>` :

`<< x>>=(x_(1)+...+x_(n))/n` (6)

Тогда формула (5) примет вид:

`P_(B)(c_(1))=<< x>>*P(b_(1))+...+<< x>>*P(b_(n))=<< x>>*(P(b_(1))+...+P(b_(n)))` (7)

Коэффициент влияния конкретного фактора равен:

`<< x>>=(sum_(i=1)^n P(b_(i)|c_(1)))/(sum_(i=1)^n P(b_(i)))` (9)

Данный коэффициент актуален как для вероятности угрозы, так и для её критичности, тогда значение критичности угрозы под влиянием только конкретного фактора можно оценить как:

`Z(b_(i)|c_(1))=<< x>>*Z(b_(i))` (10)` `

Пример расчета

Рассчитаем коэффициент влияния человеческого фактора на угрозы информационной безопасности.

Проведем анализ экспертных оценок угроз информационной безопасности с условием присутствия в них влияния человеческого фактора. Большинство экспертных оценок угроз информационной безопасности можно разделить на две группы: вероятность возникновения угрозы и её критичность. С точки зрения вероятности выделяются ошибки персонала и несанкционированный доступ[4,5]. Наиболее критичными являются кража информации, халатность сотрудников и их неправомерные действия[6]. Определенные исследования за длительный период[7] указывают на рост вероятности возникновения угроз безопасности с присутствием человеческого фактора. Помимо этого можно выделить общие статистики [8,9], в которых явно выделен человеческий фактор, как причина возникновения белее половины всех угроз безопасности.

Составим примерную таблицу. Для критичности представим следующую градацию: низкая 0-33, средняя 34-66, высокая 67-100. Малым влиянием человеческого фактора в данном примере можно пренебречь, так как будет находиться среднее значение коэффициента влияния для наиболее подверженных влиянию угроз информационной безопасности.

Таблица. Показатели угроз информационной безопасности

Угроза Вероятность,% Критичность,% Присутствие ч/ф
НСД 25 73 +
Ошибки персонала 20 21 +
Кража информации 17 57 +
Халатность 12 38 +
Вирусы 15 68 -
Стихийные бедствия 1 89 -
Программные сбои 10 42 -

Согласно исследованию CompTIA [10] в 52% случаях возникновения угрозы информационной безопасности основополагающим фактором был именно человеческий, то есть `sum_(i=1)^n P(b_(i)|c_(1))=0,52` , тогда коэффициент влияния человеческого фактора равен:

`<< x>>=(0,52)/(0,25+0,2+0,17+0,12)=0,7`

Критичность угрозы информационной безопасности «НСД» под действием человеческого фактора определяется следующим образом:

`Z_(nsd)=07*73%=51%`

В данном конкретном случае значение коэффициента влияния человеческого фактора получилось 0,7, однако полученное значение может принимать разные значения для конкретного предприятия в зависимости от исходных данных.

Заключение

В результате работы мы получили математическую модель оценки коэффициента влияния отдельно взятого фактора на угрозы информационной безопасности и рассмотрели её на примере человеческого фактора. Полученные результаты являются индивидуальными и зависят от значения входных параметров модели, сама же модель может быть использованна для определения значения коэфициента влияния любого фактора.

References
1. Gatchin Yu.A. Matematicheskie modeli otsenki infrastruktury sistemy zashchity informatsii na predpriyatii / Yu.A. Gatchin, I.O. Zharinov, A.G. Korobeinikov// Nauchno-tekhnicheskii vestnik informatsionnykh tekhnologii, mekhaniki i optiki. – 2012. – № 2 (78). – S.92-95.
2. Gafner V.V. Informatsionnaya bezopasnost': ucheb. posobie. – Rostov na Donu: Feniks, 2010.-324 s.
3. Grishina N.V. Organizatsiya kompleksnoi sistemy zashchity informatsii. — M.: Gelios ARV, 2007. — 256 s.
4. Insaiderskie ugrozy v Rossii [Elektronnyi resurs] // Perimetrix.ru.-2009.Rezhimdostupa:http://www.perimetrix.ru/downloads/rp/PTX_Insider_Security_Threats_in_Russia_2009.pdf , (data obrashcheniya: 29.05.2016).
5. Ugrozy bezopasnosti informatsii [Elektronnyi resurs] //DeHack :informatsionnyi portal.-Rezhim dostupa: http://dehack.ru/ugrozi/?all, (data obrashcheniya: 27.05.2016).
6. Zenkin D. Ofisnye predateli opasnee khakerov [Elektronnyi resurs] /D. Zenkin//CNews.ru.2004.Rezhimdostupa:http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, (data obrashcheniya: 29.05.2016).
7. Human factors in Information Security Management System [Elektronnyi resurs] // The State of Security-2013. Rezhim dostupa: http://www.tripwire.com/state-of-security/security-data-protection/human-factors-effective-information-security-management-systems/ , (data obrashcheniya: 27.05.2016).
8. Erkin A.V. Chelovecheskii faktor v obespechenii informatsionnoi bezopasnosti avtomatizirovannoi sistemy elektronnogo dokumentooborota: teoriya i praktika proyavleniya [Elektronnyi resurs] / A.V. Erkin // Voprosy upravleniya.-2011 (№3). Rezhim dostupa: http://vestnik.uapa.ru/en/issue/2011/03/5/, (data obrashcheniya: 30.05.2016).
9. Price A. Human Factors in Information Security [Elektronnyi resurs] //A. Price, V.C. Young // International Journal of Computer and Information Technology.-Volume 04. – Issue05.-2015.Rezhim dostupa http://ijcit.com/archives/volume4/issue5/Paper040515.pdf, (data obrashcheniya: 30.05.2016).
10. Berr J. Computer security's weak link: Humans[Elektronnyi resurs] / J. Berr // CBS News: informats. portal. – 04, 2015. – Rezhim dostupa: http://www.cbsnews.com/news/the-human-element-and-computer-security/ (data obrashcheniya: 30.05.2016).