Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Cybernetics and programming
Reference:

Determining the influence of the human factor on the main characteristics of security threats.

Derendyaev Denis Aleksandrovich

post-graduate student of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

battelnet.net@mail.ru
Other publications by this author
 

 
Gatchin Yurii Armenakovich

Doctor of Technical Science

professor of the Computing System Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

gatchin@mail.ifmo.ru
Other publications by this author
 

 
Bezrukov Vyacheslav Alekseevich

PhD in Technical Science

associate professor of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

bezrukov@mail.ifmo.ru
Other publications by this author
 

 

DOI:

10.25136/2644-5522.2019.3.19672

Received:

06-07-2016


Published:

19-11-2019


Abstract: The human factor is considered in the work from the point of view of threat of influence on information security problems. A review of the expert assessment of security threats over different years showed that the growing influence of the human factor is increasing all the time. The article outlines a number of security threats that are most affected by the human factor, which occupy leading positions in general statistics. The method of calculating the influence of the human factor on the main characteristics of information security threats is given: probability and criticality. The study was based on work with the probability of occurrence and criticality of unrelated threats to information security with the presence of the human factor. The paper reviews the expert assessment of information security threats, which consisted in identifying the most likely and critical threats to information security with the presence of a human factor. The above method of calculating the impact of the human factor on information security threats helps to understand how critical the impact of the human factor is, to clearly distinguish its influence and to trace the level of its impact, which is absent in most modern threat assessment methods due to the consideration of information security threats in general, without taking into account one or another factor .


Keywords:

human factor, probability of threat, calculation method, criticality of the threat, impact coefficient, Information Security, expert review, security threats, protection of information, single factor effect


Введение

Информационная безопасность с каждым годом становится всё более автоматизированной, что уменьшает влияние человека на процесс, но не исключает человеческого фактора, начиная от забытых паролей и заканчивая кражей информации.

Человеческий фактор – многозначный термин, описывающий возможность принятия человеком ошибочных или алогичных решений в конкретных ситуациях[1]. Корпорация Symantec и институт Ponemon Institute опубликовали результаты совместного исследования 2013 года «Оценка стоимости утечки информации: глобальный анализ» (2013 Cost of Data Breach Study: Global Analysis). Данные указывают на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации[2]. Помимо этого существуют и другие исследования, в которых данный аспект занимает лидирующие позиции, что делает вопрос влияния человеческого фактора актуальным[3].

Целью данной работы является определение влияния человеческого фактора на угрозы информационной безопасности. В ней рассмотрена экспертная оценка угроз безопасности за разные годы и представлен метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности.

Обзор угроз информационной безопасности с присутствием человеческого фактора с точки зрения экспертной оценки

Обзор угроз с точки зрения экспертной оценки строился на рассмотрении актуальных угроз безопасности из существующих исследований в этой области и дальнейшем выделении из актуальных угроз тех, в которых наиболее явно присутствует человеческий фактор.

Большинство экспертных оценок угроз информационной безопасности можно разделить на две группы: вероятность возникновения угрозы и её критичность. Из представленных общих статистик были выделены угрозы, на которые влияние человеческого фактора является наиболее явным.

С точки зрения вероятности, проведенное исследование компании Gartner Group выделяет ошибки персонала – 55%[4]. Другое исследование, проведенное infoWath, ставит на первое место кражу информации – 64% , а халатность сотрудников составляет – 43%[5]. Наиболее критичными являются кража информации – 40%[6], халатность сотрудников и их неправомерные действия – 70%[7], что следует из статистики приведенной компанией Perimetrix и исследования CSI/FBI Computer Crime and Security Survey.

Некоторые исследования за длительный период [8] указывают на рост угроз безопасности с присутствием человеческого фактора. Помимо этого можно выделить общие статистики IT trade association CompTIA и Defense Department IT professionals [9,10], в которых выделен человеческий фактор, как причина возникновения белее половины, а именно 52% и 55%, угроз безопасности.

По рассмотренным экспертным оценкам можно явно выделить тот факт, что человеческий фактор является одним из наиболее критичных факторов, оказывающих влияние на возникновение той или иной угрозы безопасности и занимает лидирующие позиции в общих статистиках, что указывает на недостаточные меры противодействия данной проблеме и делает рассмотрение данного вопроса актуальным, помимо этого определение влияние человеческого фактора в виде математического описания позволит использовать метод определения для различных угроз и проследить влияние фактора в динамике[11].

Метод расчета влияния человеческого фактора на угрозы информационной безопасности безопасности

Пусть множество не взаимосвязанных угроз информационной безопасности с присутствием человеческого фактора `B={b_(i)}, i=1,...,N .`

Положим далее, что на возникновение угроз безопасности множества `B` оказывают влияние различные, не зависящие друг от друга факторы `C={c_(i)}, i=1,...,K.` В таком случае вероятность возникновения любой угрозы из множества можно `B` расписать как сумму вероятностей под влиянием различных факторов: `P(b_(i))=P(b_(i)|c_(1))+...+P(b_(i)|c_(k))=sum_(i=1)^k P(b_(i)|c_(k)),sum_(i=1)^k P(b_(i)|c_(k))<1` (1)

Введем коэффициент влияния человеческого фактора на угрозы информационной безопасности `X={x_(i)}, i=1,...,N` и положим, что в нашем случае человеческим фактором будет `c_(1)` , тогда вероятность возникновения угрозы можно представить в виде:

`P(b_(i))=x_(i)*P(b_(i))+...+P(b_(i)|c_(k)), x_(i)<1` (2)

Так как мы рассматриваем множество не взаимосвязанных угроз информационной безопасности, то вероятность реализации `P_(B)` хотя бы одной угрозы, вызванной человеческим фактором, можно определить следующим образом:

`P_(B)=sum_(i=1)^n P(b_(i))=P(b_(1))+...+P(b_(n)) ,sum_(i=1)^n P(b_(i))<1` (3)

Подставляя (2) в (3), можно записать следующее выражение для определения вероятности `P_(B)` :

`P_(B)=(x_(1)*P(b_(1))+...+P(b_(i)|c_(k))+...+(x_(n)*P(b_(n))+...+P(b_(n)|c_(k)))` (4)

Вероятность всех угроз безопасности с присутствием человеческого фактора и только под его влиянием `P_(B)(c_(1))`можно представить в виде:` `

`P_(B)(c_(1))=sum_(i=1)^n P(b_(i)|c_(1))=x_(1)*P(b_(1))+...+x_(n)*P(b_(n)),sum_(i=1)^n P(b_(i)|c_(1))<1` (5)

В связи с тем, что затруднительно точно определить значение коэффициента влияния человеческого фактора на каждую из угроз в отдельности, воспользуемся средним значением коэффициента `<< x>>` : `<< x>>=(x_(1)+...+x_(n))/(n)` (6)

Тогда формула (5) примет вид:` `

`P_(B)(c_(1))=<< x>>*P(b_(1))+...+<< x>>*P(b_(n))=<< x>>(P(b_(1))+...+P(b_(n)))` (7)

Исходя из [12] общее значение вероятности угроз под влиянием только человеческого фактора составляет 70% или 0,7: `<< x>>*(P(b_(1))+...+P(b_(n)))=<< x>>*sum_(i=1)^n P(b_(i))=0,7` (8)

Тогда коэффициент влияния человеческого фактора равен: `<< x>>=(0,7)/(sum_(i=1)^n P(b_(i)))` (9)

Данный коэффициент актуален как для вероятности угрозы, так и для её критичности, тогда значение критичности угрозы под влиянием только человеческого фактора можно оценить как: `Z(b_(i)|c_(i))=<< x>>*Z(b_(i))` (10)

` `

Заключение

В результате работы мы получили оценку влияния человеческого фактора на угрозы информационной безопасности. Представленный метод помогает определить критичность рассматриваемого фактора для основных характеристик угроз, что в дальнейшем можно использовать для оптимизации системы безопасности от угроз информационной безопасности с упором на противодействие человеческому фактору для угроз, на которые он оказывает наиболее критичное воздейтсвие.

References
1. Chelovecheskii faktor [Elektronnyi resurs] // Wikipedia: elektronnaya biblioteka. - Rezhim dostupa: https://ru.wikipedia.org/wiki/, svobodnyi. Yaz. rus.
2. Prichina bol'shinstva utechek informatsii – sboi sistemy i chelovecheskii faktor [Elektronnyi resurs] // iso27000: informatsionnyi portal. 2013. Rezhim dostupa: http://www.iso27000.ru/novosti-i-sobytiya/prichina-bolshinstva-utechek-informacii-2013-sboi-sistemy-i-chelovecheskii-faktor , svobodnyi. Yaz. rus.
3. Gafner V.V. Informatsionnaya bezopasnost': uch. posobie. Rostov-na-Donu: Feniks, 2010. 324 s., svobodnyi. Yaz. rus.
4. Lyubinskii A. Problema "chelovecheskogo faktora" pri zashchite korporativnoi informatsii [Elektronnyi resurs] / A. Lyubinskii // Aladdin-rd.ru – 2004. - Rezhim dostupa: http://www.aladdin-rd.ru/company/pressroom/articles/2725/, svobodnyi. Yaz. rus.
5. Ugrozy bezopasnosti informatsii [Elektronnyi resurs] // DeHack :informatsionnyi portal. - Rezhim dostupa: http://dehack.ru/ugrozi/?all, svobodnyi. Yaz.rus.
6. Insaiderskie ugrozy v Rossii [Elektronnyi resurs] // Perimetrix.ru.-2009.-Rezhim dostupa:http://www.perimetrix.ru/downloads/rp/PTX_Insider_Security_Threats_in_Russia_2009.pdf , svobodnyi. Yaz. rus.
7. Zenkin D. Ofisnye predateli opasnee khakerov [Elektronnyi resurs] /D. Zenkin //CNews.ru.2004.Rezhim dostupa:http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, svobodnyi. Yaz. rus.
8. Human factors in Information Security Management System [Elektronnyi resurs] // The State of Security-2013. Rezhim dostupa: http://www.tripwire.com/state-of-security/security-data-protection/human-factors-effective-information-security-management-systems/ , svobodnyi. Yaz. angl.
9. Zenkin D. Ofisnye predateli opasnee khakerov [Elektronnyi resurs] / D. Zenkin // CNews.ru.2004. Rezhim dostupa: http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, svobodnyi. Yaz. rus.
10. Price A. Human Factors in Information Security [Elektronnyi resurs] //A. Price, V.C. Young // International Journal of Computer and Information Technology. Vol. 04. – Issue05. - 2015. Rezhim dostupa http://ijcit.com/archives/volume4/issue5/Paper040515.pdf, svobodnyi. Yaz. angl.
11. Korobeinikov A.G., Grishentsev A.Yu., Kutuzov I.M., Pirozhnikova O.I., Sokolov K.O., Litvinov D.Yu. Razrabotka matematicheskoi i imitatsionnoi modelei dlya rascheta otsenki zashchishchennosti ob''ekta informatizatsii ot nesanktsionirovannogo fizicheskogo proniknoveniya // NB: Kibernetika i programmirovanie. 2014. № 5. S. 14-25. DOI: 10.7256/2306-4196.2014.5.12889. URL: http://e-notabene.ru/kp/article_12889.html
12. Grishina N.V. Organizatsiya kompleksnoi sistemy zashchity informatsii. M.: Gelios ARV, 2007. 256 s., svobodnyi. Yaz. rus.