Оценка эффективности инвестиций в информационную безопасность кратко

Обновлено: 05.07.2024

ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

Реалии современного бизнеса таковы, что в условиях агрессивной рыночной среды практически любая компания постоянно сосредоточена на поддержании своей конкуренто-способности. И акцент здесь все больше смещается от конкурентоспособности продуктов или услуг к конкурентоспособности компании в целом. Очевидно, что основным инструментом поддержания конкурентоспособности компании является стратегическое бизнес-планирование, направленное на развитие ее адаптивности и повышение устойчивости к воздействию рыночной среды.

Одним из критериев, определяющих финансовую устойчивость компании, являются темпы роста прибыли, опережающие темпы роста затрат на содержание компании. Поэтому на первый план выходят вопросы управления затратами и минимизации издержек. Довольно часто в этих условиях страдают ИТ-бюджеты компаний (особенно в тех организациях, где ИТ не является основным фактором производства), потому что качество и эффективность информационной системы влияют на конечные финансовые показатели опосредованно, через качество бизнес-процессов. Что касается бюджетов на защиту информации, то в этом случае, как правило, финансирование и вовсе ведется по остаточному принципу.

И здесь очень важно ответить на вопрос: как относиться к вложениям в информационную безопасность (ИБ) – как к затратам или как к инвестициям? Необходимо для себя разрешить противоречие: если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат позволит решить тактическую задачу освобождения средств. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность бизнеса в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Именно такой подход позволяет определить цели и задачи построения системы защиты информации (СЗИ), а самое главное, он дает возможность сосредоточиться на результатах, ожидаемых от внедрения этой системы.

Эффекты, которых мы достигаем

Основным экономическим эффектом, к которому стремится компания, создавая СЗИ, является существенное уменьшение материального ущерба вследствие реализации каких-либо существующих угроз информационной безопасности. При этом, руководствуясь статистическими данными различных аналитических служб, можно сделать вывод о том, что ущерб этот вполне реален и измеряется в денежных единицах. Например, по данным обзора информационной безопасности и компьютерных преступлений, подготовленного Институтом компьютерной безопасности США при участии ФБР (CSI/FBI Computer Crime and Security Survey), в 2003 году объем ущерба от утечки конфиденциальной информации среди 530 участвовавших в опросе коммерческих и государственных предприятий США составил более 70 млн долл., ущерб от хакерских атак – более 65 млн долл., а ущерб от вирусов – более 270 млн долл. Здесь следует учитывать, что все участвовавшие в опросе организации обладают СЗИ. Так, системы межсетевого экранирования используют 98%, системы антивирусной защиты – 99%, а системы анализа защищенности – 73%. Следовательно, можно предположить, что отсутствие этих систем защиты, а также многих других (контроля доступа, обнаружения вторжений, биометрии и т. д.) привело бы к еще более серьезным последствиям для бизнеса этих предприятий.

Таким образом, обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл. А достижение этой цели должно осуществляться экономически оправданными мерами. Принимать решение о финансировании проектов по ИБ целесообразно лишь в том случае, когда вы уверены, что не просто увеличили расходную часть своего бюджета, а произвели инвестиции в развитие компании. При этом отдача от таких инвестиций должна быть вполне прогнозируемой.

Именно поэтому в основе большинства методов оценки эффективности вложений в информационную безопасность лежит сопоставление затрат, требуемых на создание СЗИ, и ущерба, который может быть причинен компании из-за отсутствия этой системы.

Методы, которые мы выбираем

Когда представляется возможным выразить эффект от внедрения СЗИ в денежных единицах, оценка экономической эффективности такого внедрения становится делом техники. Сегодня для оценки эффективности СЗИ довольно часто используются такие показатели, как отдача на инвестиционный капитал (Return of Investments – ROI) и совокупная стоимость владения (Total Cost of Ownership – TCO).

ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта (в общем случае под инвестициями понимают ТСО). При принятии решения об инвестициях полученное значение сравнивают со средним в отрасли либо выбирают проект с лучшим значением ROI из имеющихся вариантов. Несмотря на длительный опыт применения этого показателя в ИТ, на сегодняшний день достоверных методов расчета ROI не появилось, а попытки определить его путем анализа показателей деятельности компаний, внедривших у себя те или иные информационные технологии, привели к появлению показателя ТСО, предложенного компанией Gartner Group в конце 80-х годов.

В основу общей модели расчета ТСО положено разделение всех затрат на две категории: прямые и косвенные. Под косвенными затратами, как правило, понимаются скрытые расходы, которые возникают в процессе эксплуатации СЗИ. Эти незапланированные расходы могут существенно превысить стоимость самой системы защиты. По данным той же Gartner Group, прямые затраты составляют 15–21% от общей суммы затрат на использование ИТ.

Одним из ключевых преимуществ показателя ТСО является то, что он позволяет сделать выводы о целесообразности реализации проекта в области ИБ на основании оценки одних лишь только затрат. Тем более, что в случае с защитой информации нередко возникает ситуация, когда экономический эффект от внедрения СЗИ оценить нельзя, но объективная необходимость в ее создании существует.

Очень чистые стоимости

Целью любых инвестиций является увеличение притока денежных средств (в данном случае – уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени. Ведь очевидно, что за получение через год экономического эффекта в размере 100 рублей сегодня инвесторы будут готовы заплатить существенно меньшую сумму, а никак не эти же 100 рублей.

Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, то есть приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

Нередко ставка дисконтирования определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital – WACC). Это средняя норма дохода на вложенный капитал, которую приходится выплачивать за его использование. Обычно WACC рассматривается как минимальная норма отдачи, которая должна быть обеспечена инвестиционным проектом.

Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (Net Present Value – NPV). По сути, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:

где CF_i – чистый денежный поток для i -го периода, CF₀ – начальные инвестиции, r – ставка дисконтирования (стоимость капитала, привлеченного для инвестиционного проекта).

При значении NPV большем или равном нулю, считается, что вложение капитала эффективно. При сравнении нескольких проектов принимается тот из них, который имеет большее значение NPV, если только оно положительное.

Предположим, некой компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы обнаружения вторжений (IDS). Допустим, известна величина риска, исчисляемая в денежном выражении (20 000 долл. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения IDS сократится на 70%. Стоимость IDS составляет 15 000 долл. Ставку дисконтирования возьмем среднюю для ИТ рынка – 30 %. Подробнее потоки денежных средств по данному проекту представлены в таблице.

Если на основе данных, представленных в таблице, рассчитать показатель ROI, то получится, что внедрение IDS в данном случае даст экономический эффект, на 39% превышающий вложения. При анализе этого проекта с учетом стоимости капитала мы имеем следующий результат: инвестирование в этот проект не будет эффективным, так как значение NPV будет отрицательным (3014).

Кроме того, можно рассчитать внутренний коэффициент отдачи (Internal Rate of Return – IRR). Для этого необходимо найти такую ставку дисконтирования, при которой значение NPV будет равно нулю. В данном случае получим значение IRR равное 15%. Это значение имеет конкретный экономический смысл дисконтированной точки безубыточности. В этой точке дисконтированный поток затрат равен дисконтированному потоку доходов. Данный показатель также позволяет определить целесообразность вложения средств.

В рассматриваемом примере инвестиции в проект нецелесообразны, так как мы получили значение IRR меньше заданной ставки дисконтирования (30%).

Анализируй это

Очевидно, что для оценки эффективности инвестиций в создание СЗИ недостаточно лишь определения показателей. Необходимо еще учесть риски, связанные с реализацией того или иного проекта. Это могут быть риски, связанные с конкретными поставщиками средств защиты информации, или риски, связанные с компетентностью и опытом команды внедрения.

Кроме того, полезно проводить анализ чувствительности полученных показателей. Например, в рассмотренном примере увеличение исходного значения риска всего на 12% приведет к получению положительного значения NPV и увеличению ROI на 8%. А если учесть, что риск – это вероятностная величина, то погрешность в 12% вполне допустима. Так же можно проанализировать чувствительность полученных результатов и к другим исходным данным, например к затратам на администрирование.

Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и ТСО решение о создании СЗИ принимается на основе качественной оценки возможных эффектов.

Кроме того, сложно себе представить расчет показателей эффективности инвестиций, например, для такого проекта, как сертификация СЗИ на соответствие стандарту ISO 17799.

Такие дополнительные способы анализа сделают полученные результаты оценки более полезными и понятными.

И все-таки данные – основа информации!

Любой метод оценки эффективности инвестиций в ИБ является всего лишь набором математических формул и логических выкладок, корректность применения которых – только вопрос обоснования. Поэтому качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность.

Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.

Организации продолжают увеличивать бюджеты, выделяемые на информационную безопасность (ИБ). При этом многие финансовые директора воспринимают эти затраты не только как средство, помогающее обеспечить защиту от киберугроз, но и как фактор, содействующий развитию бизнеса. Налицо новая тенденция: ИБ приобретает дополнительное значение, становясь средством обеспечения инновационных аспектов роста организации. Более того, многие финансовые директора уже видят в сфере ИБ не столько статью затрат, сколько источник прибыли.

Несомненно, процессы цифровизации ощутимо стимулируют развитие частного бизнеса, объединяя людей, процессы, данные и вещи. К сожалению, при этом увеличивается и уязвимость организаций к кибератакам, что чревато массой проблем (нарушения бизнес-деятельности, потеря доверия заказчиков, репутационные риски и т. п.).

Становится все очевиднее, что инновационные технологии и стратегии ИБ, учитывающие курс на цифровизацию, вполне могут нейтрализовать преимущества киберпреступников во времени и инициативе. При этом сама цифровизация может способствовать созданию весьма существенных бизнес-преимуществ в плане ускорения операционного реагирования, улучшения адаптивности и информированности, формирования потребительской лояльности, снижения рисков и улучшения общей конкурентоспособности.

При достаточных инвестициях в информационную безопасность нельзя обойтись без оценки ее эффективности. Существует множество методик, основанных на сложных математических моделях, описывать их в небольшой статье не имеет смысла. В данной статье мы рассмотрим два типа информационной безопасности, а также различные подходы к оценке их эффективности.

Первый тип ИБ – инфраструктурная безопасность (защита технической инфраструктуры организации)

К этой части информационной безопасности можно отнести те средства, которые защищают IТ-инфраструктуру, – компьютеры, серверы, каналы передачи информации. Такая безопасность практически не зависит от того, чем занимается защищаемая организация, важным является только размер и структура организации. В остальном все системы защиты инфраструктуры подобны, способы защиты даже не всегда возможно выбрать, требования к ним определяют регуляторы. Тут надо поставить антивирус, тут – систему обнаружения вторжений, этот канал зашифровать, доступ на сервер организовать с помощью такой-то системы аутентификации и т.п. Выбрать можно только из короткого списка разрешенных продуктов, который чем короче, тем больше компания и тем критичнее данные она обрабатывает. В такой ситуации довольно сложно оценивать эффективность затраченных средств – если их не затратить, то можно сначала получить весомые санкции, а в пределе – запрет заниматься определенными видами деятельности. Поэтому сложно оценивать эффективность того, что тебе навязывают. Большинство компаний рассматривает средства, затраченные на выполнение требований регуляторов, не как инвестиции, эффективность которых и надо оценивать, а как еще один налог, который надо минимизировать любыми законными способами.

Оценка эффективности ИБ в статике не имеет практического смысла, ее смысл в динамике – показывать, что защищенность растет год от года при постоянных расходах или остается такой же при снижении расходов. Однако при такой оценке необходимо учитывать различие разных типов корпоративной информационной безопасности и применять к ним разные критерии: если для инфраструктурной безопасности больше важна доступность (работает/не работает), то в оценке эффективности средств и мер бизнес-безопасности большее значение имеют конфиденциальность и целостность информации.

С выполнением требований более или менее ясно, но даже если инфраструктурная безопасность не навязывается и появляется в компании по своей воле, оценить ее эффективность довольно сложно. Это часть инфраструктуры, без которой она (инфраструктура) просто не работает. Корпоративная электронная почта без антиспама загнется в считанные дни. По статистике, доля спама в почтовом трафике превышает 98%, а значит, на одно актуальное письмо приходится 48–99 мусорных писем. С доступом в Интернет, предоставленным сотрудникам без обязательной установки антивируса на интернет-шлюз и на рабочие станции, корпоративная сеть заполнится вирусами, которые в конце концов нарушат ее работу. И так далее, каждый элемент инфраструктурной информационной безопасности закрывает одну или несколько угроз прежде всего самой инфраструктуре организации. Наличие такой инфраструктуры почти автоматически подразумевает наличие средств ее защиты, поэтому о какой эффективности может идти речь? Разве кто-то считает эффективность наличия бумаги в принтерах и электрического тока в лампочках? Это, кстати, не означает, что такие расходы нельзя оптимизировать: если говорить об электричестве, то можно внедрять энергосберегающие технологии, вводить автоматическое отключение искусственного освещения при отсутствии в помещении людей или на восходе солнца и т.д. Поэтому расходы на инфраструктурную информационную безопасность можно и нужно оптимизировать и при необходимости сокращать.

Однако для оценки эффективности одной цифры расходов на инфраструктурную информационную безопасность мало – что-то должно быть в числителе дроби, в знаменателе которой стоят расходы. Интуитивно понятно, что если сократить расходы при том же качестве, то эффективность повысится, но как узнать, что качество осталось неизменным? Предположим, вы заменили антивирусное решение на вдвое более дешевое, но как узнать, что защита осталась на том же уровне, а значит, и эффективность повысилась вдвое? Предположим, что количество инцидентов с заражением вирусами не изменилось, в идеале как было нулевым, так и осталось. Но кто даст гарантии, что после уменьшения расходов на антивирус у вас в сети не поселился троян, перекачивающий вовне ваши данные, а значит, и деньги? Можно, конечно, провести внешний аудит и потратить на него деньги, но это сведет на нет всю экономию на антивирусах. А если, не дай бог, найденный троян сидит здесь еще со времен старого, дорогого антивируса?

К тому же внешний фон изменений все время меняется: основную часть внешних рисков компания не в состоянии контролировать и сохранять на том же уровне. Поэтому собственная статистика – не самый хороший инструмент оценки эффективности. В этом году количество инцидентов меньше, чем в прошлом, эффективность вроде бы выросла. Но вот заслуга ли это тех, кто планирует информационную безопасность в организации? Возможно, в прошлом году офисный центр, в котором компания арендует помещение, стал объектом террористического акта, а в этом году такого теракта не было. Может измениться фон любых внешних угроз – стихийных бедствий, терактов, хакерских атак, вирусных эпидемий, DDoS-атак.

Поэтому большинство компаний не обременяют себя поисками инструментов оценки эффективности средств инфраструктурной информационной безопасности, просто включая расходы на нее в стоимость инфраструктуры, как включают стоимость предохранителей электрической цепи в стоимость расходов на инфраструктуру освещения.

Иногда, правда, встречаются подходы "от стоимости инцидентов". Предположим, когда-то какая-то система в конкретной организации упала на сутки из-за вируса или не работала те же сутки из-за DDoS-атаки. Это привело к точно посчитанным убыткам. Умножаем эту цифру на 365 и делим на годовые расходы на антивирус или защиту от DDoS-атак, получаем эффективность. Понятно, что такая оценка эффективности излишне избыточна, но встречается, когда надо обосновать расходы на ИБ.

Другая часть ИБ – бизнес-безопасность (защита собственно информации и бизнес-процессов)

К ней можно отнести системы защиты от утечек, противодействия мошенничеству, защиты приложений. Их эффективность зависит не только от выбранного технического средства, но и от понимания того, кто это средство настраивает, процессов создания, обработки, передачи, архивирования и уничтожения информации.

По статистике, доля спама в почтовом трафике превышает 98%, а значит, на одно актуальное письмо приходится 48–99 мусорных писем. С доступом в Интернет, предоставленным сотрудникам без обязательной установки антивируса на интернет-шлюз и на рабочие станции, корпоративная сеть заполнится вирусами, которые в конце концов нарушат ее работу. И так далее, каждый элемент инфраструктурной информационной безопасности закрывает одну или несколько угроз прежде всего самой инфраструктуре организации. Наличие такой инфраструктуры почти автоматически подразумевает наличие средств ее защиты, поэтому о какой эффективности может идти речь?

Второй особенностью систем бизнес-безопасности является то, что ее эффективность зависит не только от ее функционала, но и от эффективной обратной связи средств контроля с пользователями информационных систем – своими сотрудниками или клиентами. Вспомните внедрение выделенных полос для движения общественного транспорта в Москве – сначала просто рисование полос, потом предупреждение водителей о недопустимости езды по ним и штрафах за это, потом оповещение о наличие системы контроля – видеокамер. И только после того как водители начали получать "письма счастья", это правило начало действовать. То же самое и в любой бизнес-системе информационной безопасности: сначала рисуется идеальный профиль, затем вводятся допустимые отклонения от него, вводится система контроля и определяется способ обратной связи пользователей информационной системы.

При правильной постановке такого процесса может проявиться ложное чувство неэффективности решения в среднесрочной перспективе: сначала резкий всплеск количества инцидентов (внедрен инструмент их детектирования), потом уменьшение такого количества (склонные к нарушениям сотрудники уволены, наказаны или воспитаны, а новые сотрудники сразу начинают работать в новой среде), затем расходы идут, а среднее количество инцидентов не снижается – достигнут эффективный уровень конкретного процесса. Если перестать поддерживать такую систему технически или организационно, перестать давать обратную связь пользователям – количество инцидентов быстро вернется на первоначальный уровень.

Аннотация: На примере оценки средств криптозащиты показан подход, позволяющий провести экономическое обоснование расходов организации на обеспечение информационной безопасности и сделать обоснованный выбор мер и средств обеспечения информационной безопасности.

Цель лекции

Рассмотреть преимущества и недостатки существующих методов обоснования инвестиций в средства обеспечения ИБ;
Выделить набор финансово-экономических показателей для оценки эффективности СКЗИ с экономических позиций
Изучить методику экономической оценки эффективности СКЗИ

Текст лекции

Важность экономического обоснования инвестиций в ИБ подчеркивал В.Мамыкин, директор по информационной безопасности кабинета президента Microsoft в России и СНГ, в своих выступлениях на конференциях Security @ Interop '2008 и IT-Summit'2008 [7.48]. Согласно [7.49], большинство зарубежных компаний (84%) используют ROI и другие инструменты для оценки инвестиций в ИБ, которые составляют в среднем 5% всего ИТ-бюджета. В России на ИБ идет 0,5% ИТ бюджета, т.е. в 10 раз меньше. Такую ситуацию В.Мамыкин напрямую связывает с тем, что в нашей стране пока не получила широкого распространения практика оценки эффективности средств обеспечения ИБ с экономических позиций.

Расчет финансово-экономических показателей СЗИ позволяет решить следующие задачи [7.47]:

Обоснование внедрения системы по обеспечению информационной безопасности на предприятии с экономической точки зрения;
Оценка экономической эффективности внедрения или замены системы безопасности информации ;
Прогнозирование расходов по созданию/ функционированию/ модернизации СЗИ (задача управления бюджетом);
Сравнение по экономическим критериям нескольких вариантов создания СЗИ, построенных на различных архитектурах (системах и компонентах), с целью выбора оптимального варианта реализации проекта (задача выбора ИТ-стратегии).

Качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь , будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность . Одним из основных вопросов является оценка затрат на ИБ. Выбор необходимой степени защиты должен учитывать ряд критериев: уровень секретности информации; ее стоимость ; время, в течение которого она должна оставаться в тайне и т.д. Известный криптограф Брюс Шнайер (Bruce Schneier) в работе [7.26] подчеркивает, что термин " безопасность " лишен смысла без сведений о том, от кого и на какой срок защищена информация . Это утверждение применимо как к системам обеспечения безопасности в целом, так и к их важнейшему компоненту - средствам криптографической защиты информации .

Средства криптографической защиты информации (СКЗИ) представляют собой средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности. Росс Андерсон (Ross J Anderson), ведущий эксперт в области информационной безопасности , в своей статье [7.3] приходит к выводу, что при оценке уровня защищенности специалист должен принимать во внимание не только технические характеристики криптосистемы , получаемые путем криптоанализа и анализа информационных потоков , но использовать также и экономические инструменты.

Рассмотрим возможность разработки методики анализа эффективности СКЗИ с учетом того, каким угрозам защищаемая информация будет подвергаться со стороны злоумышленников .

Для решения поставленной задачи необходимо:

формализовать процесс оценки эффективности криптографической защиты;
разработать математическую модель угроз безопасности информационных ресурсов, защищенных с использованием криптографических средств ;
обеспечить криптоаналитика набором инструментальных средств, позволяющих оценить стойкость криптографических средств по отношению к идентифицированным угрозам ;
провести анализ существующих методов оценки СКЗИ с экономических позиций и выбрать финансово-экономические показатели, подходящие для экономической оценки инвестиций в СКЗИ.

Поставленные цели согласуются с задачами, вошедшими в перечень основных направлений и приоритетных проблем научных исследований в области информационной безопасности Российской Федерации, который был разработан секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации при активном участии ведущих ученых и специалистов научных учреждений и организаций РАН, вузов, федеральных органов исполнительной власти, работающих в различных областях, связанных с обеспечением национальной безопасности (см. [7.44], пп. 46, 47 и 56).

Процесс оценки эффективности криптографической защиты

Анализ существующих подходов

При оценке эффективности СКЗИ важнейшим критерием считается криптостойкость, т.е. способность противостоять атакам криптоаналитика [7.40]. Такой подход не учитывает других важных требований к криптосистемам , а именно (см. [7.46]):

минимальный объем используемой ключевой информации;
минимальная сложность реализации (в количестве машинных операций);
стоимость;
высокое быстродействие.

Кроме того, использование СКЗИ, обеспечивающих устойчивость к взлому ниже некоторой "фоновой" вероятности, является экономически неоправданным [7.35]. Например, если вероятность выхода компании из бизнеса равна 2 30 (менее чем один из миллиона), то есть ли смысл для защиты информации , которая может нанести компании ущерб , сопоставимый с кризисом рынка, использовать алгоритм, вероятность вскрытия которого за приемлемое время составляет 2 100 ?

В статье В.П.Иванова [7.38] эффективность криптографических средств защиты предлагается оценивать с использованием математического аппарата теории массового обслуживания и теории катастроф на основе вероятностно-временной группы показателей, в числе которых:

среднее время безопасного функционирования защищаемой системы;
время безопасного функционирования защищаемой системы с вероятностью НСД не выше заданной;
экономическая эффективность созданной системы защиты информации .

Выбор показателей эффективности представляет интерес, однако методика имеет ряд критических недостатков, которые делают невозможным ее применение на практике для оценки современных СКЗИ. В первую очередь это границы применимости: методика подходит только для оценки криптосистем , принадлежащих по классификации Ж.Брассара (Gilles Brassard) [7.6] к классу криптосистем ограниченного использования, стойкость которых основывается на сохранении в секрете алгоритмов зашифрования и расшифрования . Однако, согласно фундаментальному допущению Кирхгоффа (Auguste Kerckhoffs) [7.14], стойкость криптосистемы должна основываться не на секретности алгоритмов зашифрования и расшифрования , а на секретности некоторого значения, которое называется ее ключом. Все современные криптосистемы построены по этому принципу, и исследования их надежности всегда должны проводиться в предположении, что потенциальному противнику о криптосистеме известно все, за исключением используемого ключа.

Еще одним недостатком методики, описанной в работе [7.38], является то, что она не учитывает зависимости эффективности криптосистемы от условий ее использования. Очевидно, эффективность одной и той же криптосистемы в разных контекстах может существенно отличаться, т.к. среда функционирования системы накладывает определенные ограничения на возможные сценарии атак .

Существуют методики, позволяющие построить модели угроз и уязвимостей информационных систем и на основе анализа рисков получить количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты (см., например, [7.39]):

метод CRAMM , разработанный Агентством по компьютерам и телекоммуникациям Великобритании по заданию Британского правительства [7.9];
семейство программных продуктов RiskWatch от одноименной американской компании [7.23];
комплексная система анализа и управления рисками информационной системы ГРИФ, созданная отечественной компанией Digital Security [7.10].

Эти инструментальные средства полезны специалисту при проведении аудита систем обеспечения безопасности предприятия, однако они не учитывают специфики СКЗИ и, как показано в [7.34], не подходят для решения поставленной в данной работе задачи.

Наконец, существуют методы формального анализа криптопротоколов. Криптографический протокол [7.24] регламентирует последовательность действий, выполняемых двумя и более сторонами для решения какой-либо задачи с использованием криптографических преобразований и алгоритмов. Можно выделить три основных класса методов анализа криптопротоколов:

Дедуктивные методы, основанные на автоматическом доказательстве теорем , связанных со свойствами исследуемого криптопротокола [7.5];
Методы анализа состояний, моделирующие криптопротокол в виде конечного автомата [7.4];
Методы статического анализа, объектом исследования в которых являются потоки данных и управления [7.7].

Перечисленные подходы имеют существенный недостаток: все они построены на предположении, что используемые в протоколе криптографические примитивы идеальны. Рассматривается только концептуальная схема протокола, от конкретных методов шифрования и их подверженности атакам злоумышленника принято абстрагироваться.

Модель процесса оценки эффективности СКЗИ

Наиболее эффективным при выборе и оценке криптографической системы считается использование экспертных оценок [7.46]. При оценке эффективности СКЗИ необходимо принимать во внимание взаимосвязь факторов, определяющих ее подверженность атаке определенного типа. Упрощенное графическое представление модели сценария атаки изображено на рис. 7.1. Во избежание избыточности из модели исключен элемент "Защищаемые ресурсы", который задается неявно - через элемент " Злоумышленник " (характер зашифрованной информации определяет возможных злоумышленников , которые могут осуществлять попытки взлома в целях нарушения конфиденциальности , целостности или доступности).

На основании предложенной модели сценария атаки построена модель угроз безопасности информационных ресурсов из трех элементов [7.30] - ABC-модель ("A" от англ. Attack - атака, "B" от англ. code-Breaker - взломщик шифра , "C" от англ. Cryptosystem - криптосистема ). Математическое описание ABC - модели дано позже, здесь мы рассмотрим процесс экспертной оценки эффективности криптографической защиты (графическая модель процесса изображена на рис. 7.2).

Целью этапов 1-3 является построение ABC -модели. Первый этап - определение объекта исследования. Здесь описываются конкретные характеристики криптосистемы . На втором этапе задаются параметры, определяющие тип потенциальных взломщиков криптосистемы . Как будет показано в следующем разделе, при наличии формальных представлений исследуемой криптосистемы и потенциальных злоумышленников мы можем перейти к третьему этапу, т.е. определить типы атак , которым подвержена криптосистема , а также связанный с ними риск.

Четвертый этап представляет собой анализ устойчивости криптосистемы к атакам , определенным на третьем этапе. Для проведения криптоанализа специалиста необходимо обеспечить набором инструментальных средств, исследование и разработке которых будет рассмотрена далее.

Наконец, пятый этап предполагает использование различных подходов к оценке экономической эффективности инвестиций в СКЗИ на основании данных, полученных на этапах 1-4.

Читайте также: