Modele de evaluare a valorii informaţiei

Modelele valorii informațiilor protejate sunt modele de determinare a valorii informațiilor în vederea organizării protecției acesteia împotriva pierderii și copierii neautorizate.

Informația este intangibilă, dacă nu este aplicată unui mediu tangibil , dar în același timp poate juca un rol important. Odată cu dezvoltarea tehnologiei informației , a devenit posibilă multiplicarea informațiilor la infinit. Spre comparație, cu câteva secole în urmă, copiarea unui material purtător de informații necesita efort și timp considerabil; numai oameni special instruiți puteau crea copii. În acest moment, o cantitate semnificativă de informații este stocată pe medii digitale, iar copierea informațiilor nu mai este un proces creativ și costisitor.

În acest sens, probabilitatea scurgerii informațiilor protejate și distribuția acestora a crescut, fiind necesară aplicarea unor măsuri de protecție pentru a preveni scurgerea acestora. Pentru organizarea protecției informațiilor sunt necesare mijloace și eforturi, în legătură cu aceasta, este necesară corelarea valorii informațiilor protejate și pierderile asupra organizării protecției acestora. Pentru a rezolva această problemă, sunt introduse concepte suplimentare - modele ale valorii informațiilor. Următoarele modele pentru determinarea valorii informațiilor sunt considerate mai jos: model aditiv, analiza riscului, scară ordinală, rețea de submulțimi [1] .

Model aditiv

Să presupunem că există informații care sunt prezentate sub forma unui set finit de elemente, iar sarcina este de a evalua aceste informații în termeni de bani. Atunci când se utilizează un model aditiv, determinarea valorii se bazează pe evaluările experților ale componentelor acestor informații, iar cu obiectivitatea evaluărilor monetare ale componentelor sale, se calculează valoarea necesară - suma lor în termeni monetari. Problema principală este că evaluarea cantitativă a componentelor informaționale este adesea evaluată părtinitoare, chiar și atunci când este evaluată de specialiști cu înaltă calificare – motivul constă în eterogenitatea componentelor informaționale în ansamblu. Pentru a rezolva această problemă, se obișnuiește să se utilizeze o scară relativă ierarhică, care este o ordine liniară prin care componentele individuale ale informațiilor protejate sunt comparate în termeni de valoare între ele. Cazul unei singure scale este echivalent cu faptul că toate componentele care au o evaluare ordinală egală sunt echivalente între ele.

Ca exemplu, luați în considerare următoarea situație. Să fie date obiecte: evaluarea se face pe o scară de cinci puncte (1-5); rezultatul evaluării de către experți este vectorul valorilor obiectelor fiecăruia față de celălalt: . Să presupunem că prețul unuia dintre obiecte este inițial determinat (pentru certitudine, luați în considerare prețul primului obiect) - de exemplu, unități monetare. $n$ $O_{1},\dots, O_{n)$ $(3,1,\dots ,4)$ $150$

Pe baza acesteia se calculează costul unui punct, unități monetare, unde k este evaluarea primului obiect în puncte și, în mod similar, evaluarea se face în unități monetare ale altor obiecte: unități monetare etc. costurile componentelor informaționale dă suma - costul tuturor informațiilor. $C_{1}/k=50$ $C_{2}=50$

Să luăm în considerare situația inversă. Dacă se cunoaște costul final al informațiilor, atunci pe baza acestuia este posibil să se determine costul fiecărei componente a informațiilor prin transformare inversă (folosind o distribuție de punctaj).

Analiza riscului

Să presupunem că costul informației a fost estimat folosind un model aditiv pentru estimarea costului informațiilor. Evaluarea posibilelor pierderi se bazează pe valorile deja cunoscute ale componentelor informaționale, pe baza predicției posibilelor amenințări la adresa componentelor informaționale. Posibilitatea fiecărei amenințări este estimată folosind estimări probabilistice ale evenimentelor corespunzătoare: suma așteptărilor matematice de pierderi pentru fiecare dintre componente este calculată în funcție de distribuția posibilelor amenințări. Ca exemplu, luați în considerare următoarea situație. Să fie date n obiecte: , ale căror costuri sunt . Să presupunem că, dacă un obiect este deteriorat, costul altor obiecte nu scade și că pentru fiecare dintre obiecte: - probabilitatea de a provoca deteriorarea obiectului . Funcția de pierdere a daunelor pentru este următoarea: $O_{1},\dots, O_{n)$ $C_{1},\dots, C_{n)$ $p_{i}$ $O_{i}$ $O_{i}$

$W_{i}=C_{i}$ , dacă obiectul i este deteriorat,

$W_{i}=0$ , in caz contrar.

Estimarea cazului de realizare a pierderilor din realizarea amenintarilor la obiectul i este egala cu . Datorită ipotezelor presupuse, pierderea totală a sistemului se calculează ca suma pierderilor pe componente: . În acest caz, pierderile aşteptate (ca risc mediu) sunt determinate de expresia: . Există metode care implementează evaluarea automată a riscurilor, unele dintre ele sunt enumerate mai jos. Acest articol discută metodele utilizate pe scară largă pentru efectuarea analizei de risc: CRAMM, RiskWatch, GRIF. $EW_{i}=p_{i}C_{i}$ $W=W_{1}+\ldots +W_{n)$ $EW=\Sigma p_{i}C_{i}$

Metode populare pentru efectuarea analizei de risc

Metoda CRAMM

CRAMM (Metoda de management și analiză a riscurilor guvernamentale din Regatul Unit) este o metodă dezvoltată de Serviciul de securitate din Regatul Unit și este standardul guvernului britanic. Răspândit în întreaga lume, acest standard a fost utilizat atât de organizațiile comerciale, cât și de organizațiile guvernamentale din Marea Britanie din 1985. Metoda CRAMM a fost inventată de Insight Consulting Limited.

Bazată pe o abordare integrată a evaluării riscurilor, metoda CRAMM combină metode cantitative și calitative de analiză a riscului și poate fi aplicată atât la organizațiile mari, cât și la cele mici. Există diferite versiuni ale CRAMM pentru diferite tipuri de organizații, acestea diferă în baze de cunoștințe (profile): există un profil comercial și un profil guvernamental (cu care este posibil să se efectueze un audit în conformitate cu cerințele standardului american ITSEC - așa-numita „carte portocalie”) [2] .

Metoda RiskWatch

Dezvoltat de compania americană RiskWatch Inc., produsul software cu același nume servește ca un instrument puternic pentru analiza și managementul riscurilor. Această familie de produse este utilizată pentru diferite tipuri de audit de securitate și conține următoarele instrumente:

RiscWatch for Physical Security - un instrument pentru metodele fizice de protejare a sistemelor informatice;
RiscWatch for Information Systems este un instrument aplicat riscurilor informaționale;
HIPAA-WATCH pentru industria medicală - Instrumentul de evaluare a conformității HIPAA;
RiskWatch RW17799 pentru ISO17799 - pentru evaluarea cerințelor standardului ISO17799.

Criteriile de evaluare și gestionare a riscurilor în metoda RiskWatch sunt „anual loss prediction” (ALE – Annual Loss Expectancy) și o evaluare a calculului ROI (Return on Investment) – „rentabilitatea investiției”.

Metoda GRIF

Spre deosebire de sistemele occidentale de analiză a riscurilor, care sunt destul de greoaie și nu necesită utilizare independentă de către managerii IT și administratorii de sistem, sistemul GRIF are o interfață intuitivă. Dar cu toată simplitatea sa, sistemul GRIF implementează un număr mare de algoritmi de analiză a riscurilor care iau în considerare mai mult de o sută de parametri, iar sistemul este capabil să ofere cea mai precisă evaluare a riscurilor care apar în sistemul informațional. O caracteristică importantă a GRIF este de a oferi o oportunitate de evaluare independentă, fără implicarea experților, a riscurilor în sistemul informațional, evaluarea stării actuale și calcularea investițiilor pentru a asigura securitatea informațiilor.

Scară ordinală

Există cazuri în care nu este necesară sau posibilă corelarea valorii informațiilor în unități monetare (de exemplu, informații cu caracter personal, informații militare sau politice, a căror evaluare în termeni monetari poate fi nerezonabilă), dar poate face sensul de a compara componentele informaționale individuale ale unei componente în raport cu alta. Ca exemplu, putem lua în considerare situația din structurile de stat, în care informațiile sunt clasificate în funcție de secret. La rândul lor, semnele de secretizare reprezintă scale ordinale de valori, de exemplu: neclasificat, pentru uz oficial, secret, secret, de importanță deosebită (NS, DSP, C, SS, OV); dupa sistemul american: neclasificat, confidential, secret, top secret (U, Conf, S, TS). Cu cât clasa gâtului este mai mare, cu atât valoarea informațiilor protejate este mai mare și, prin urmare, în raport cu aceasta, se aplică cerințe mai mari pentru protecția acesteia împotriva accesului neautorizat.

Modelul grilei de valori

Modelul grilă de valori este o generalizare a scării ordinale. Să presupunem că dat este o mulțime finită parțial ordonată în raport cu relația binară , adică pentru fiecare este adevărată : $SC$ $<$ $A,B,C$

reflexivitate: $A>A,$
tranzitivitate: $A<B,B<C=>A<C,$
antisimetrie: $A<B,B<A=>A=B.$

Prin definiție, pentru A, B∈SC, un element C=A⊕B∈SC se numește cea mai mică limită superioară (limită superioară) dacă:

$A<=C,B<=C$ ,
$A<=D,B<=D=>C<=D$ pentru toată lumea . $D\în SC$

În acest caz, existența elementului în sine nu este necesară . Dacă condiția existenței unei limite superioare minime este îndeplinită, atunci unicitatea rezultă din antisimetrie. Prin definiție, un element este numit cea mai mare limită inferioară pentru A, B∈C (limită inferioară) dacă $A\oplus B$ $E=A\otimes B\in SC$

$E<A,E<B,$
$D<A,D<B=>D<E.$

Existența acestei limite inferioare este, de asemenea, opțională. Dacă există, atunci unicitatea decurge din antisimetrie. Prin definiție, se numește rețea dacă pentru oricare există și . $(SC,<)$ $A,B\in SC$ $A\oplus B\in SC$ $A\otimes B\in SC$

Note

↑ Grusho, Timonina, 1996 .
↑ 5200.28-STD, Trusted Computer System Evaluation Criteria (Orange Book) Arhivat la 2 octombrie 2006 la Wayback Machine din publicațiile Rainbow Series

Literatură

Grusho A. A., Timonina E. E. Valoarea informaţiei // Fundamentele teoretice ale protecţiei informaţiei. - M . : Editura Agenţiei Yachtsman, 1996. - S. 52-55.
Simonov S. Tehnologii moderne de analiză a riscurilor în sistemele informaţionale // PCWEEK. - 2001. - Nr. 37 .

Link -uri

Lista informațiilor clasificate ca secret de stat