ИССЛЕДОВАНИЕ МОДЕЛЕЙ ОЦЕНКИ ОПТИМАЛЬНОГО ОБЪЕМА ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

В настоящий момент организации нерационально вкладывают сред — ства в обеспечение в информационной безопасности: до 2/3 средств рас — ходуются впустую. Недостаток принципов и рекомендаций по выбору оптимального объема инвестиций обусловливает необходимость выра- ботки соответствующей методики оценки. В статье исследуется модель Гордона–Лоеба оценки оптимального объема инвестиций в информа — ционную безопасность и модель взаимосвязанных рисков. Даются прак- тические рекомендации по выбору и применению моделей, по выбору диапазона уязвимостей, на котором следует сосредоточить финансовые ресурсы, а также характеризуются слабые стороны моделей.

Ключевые слова: оптимальное инвестирование в информационную безопасность, модель Гордона–Лоеба, модель взаимосвязанных рисков.

Быстрое развитие компьютерных систем и сетевых технологий играет значительную роль в деятельности современ — ных компаний. Поскольку эти системы все более и более интегри — рованы в бизнес-процессы, а нарушение их защищенности влечет за собой потери, и порой значительные, защита информационных активов становится критичной. В то время как нарастал объем ис- следований, связанных с технической стороной защиты инфор — мации (например, рассматривающих антивирусы, криптографи — ческие методы, аппаратные средства), появилось лишь неболь — шое количество работ, затрагивающих экономические аспекты информационной безопасности (ИБ). В настоящий момент орга — низации нерационально вкладывают средства в обеспечение ИБ:

до 2/3 средств расходуются впустую. Возрастающая необходи — мость защиты информационных активов, а значит, и инвестирова- ния в эту защиту, а также недостаток принципов и рекомендаций по выбору оптимального объема инвестирования обусловливают необходимость исследования экономических аспектов безопас — ности информации и выработки методики оценки оптимального объема инвестиций в ИБ. Данная статья будет интересна менедже — рам, отвечающим за распределение средств на обеспечение безо — пасности информации организаций, поскольку дает им практи- ческие рекомендации по выбору оптимального объема средств для инвестирования в ИБ.

Модель Гордона–Лоеба

Гордон и Лоеб1 предложили экономическую модель, опреде — ляющую оптимальный объем инвестиций в ИБ для защиты задан — ного информационного ресурса. Модель рассматривает то, как уязвимость информации и потенциальные потери вследствие такой уязвимости влияют на оптимальный объем ресурсов, кото — рые должны быть вложены в защиту информации нейтральной к риску организацией. Риски в данной модели считаются незави — симыми.

Информационный ресурс характеризуется тремя параметра — ми: , t, ∈[0,1], и ∈[0,1], где  – потери, обусловленные наруше — нием защищенности информации, t – вероятность возникновения угрозы,  – уязвимость, определенная в модели как вероятность того, что реализованная угроза окажется успешной.

Хотя  зависит от использования информации (самой орга — низацией, конкурентами, хакерами) и меняется во времени, в мо — дели рассматривается, что  – фиксированное значение, конеч — ное и меньшее некоторого очень большого числа M. Таким обра — зом, модель не предназначена для случаев защиты национальных (государственных) активов или любых других, где потери могут быть катастрофическими. Для катастрофической потери  ≥ M предположение о нейтральности к риску организации становится нереалистичным.

Для заданного информационного ресурса вероятность потери равна vt, а ожидаемая потеря, обусловленная отсутствием инвес — тиций в ИБ, равна vt. Таким образом, для любой положительной вероятности угрозы (t > 0) ожидаемая потеря возрастает с возрас- танием уязвимости.

154

Исследование моделей оценки оптимального объема инвестиций…

Для данной модели делается упрощение, что организация мо- жет инвестировать в уменьшение уязвимости, но не может влиять на уменьшение угроз. Поэтому вероятность угроз t > 0 фиксирует — ся, и далее можно сфокусироваться на выборе объема инвестиций в целях уменьшения уязвимости. Поскольку t = const, определяет — ся значение L = t – потери или потенциальные потери, связанные с информационным ресурсом.

Вводится обозначение z > 0 – это денежные инвестиции в безо — пасность для защиты данного информационного ресурса. z изме- ряется в тех же единицах, что и потенциальные потери L. Целью инвестиции z является снижение вероятности нарушения защи — щенности информационного ресурса. Вводится S(z, ) – функция вероятности нарушения защищенности информационного ресурса (ФВНЗИР) с уязвимостью , притом что организация инвестиро — вала z в безопасность этого ресурса. Будем называть вероятностью нарушения защищенности значение функции S(z, ) при заданных z и .

Для построения экономической модели Гордон и Лоеб предпо — лагают, что функция S(z, ) дважды непрерывно дифференцируе — ма. Природа уязвимости и защищенности информации позволяет сделать следующие предположения касательно функции S(z, )2:

Аксиома 1. S(z, ) = 0 для любых z. Если информационный ре — сурс абсолютно неуязвим, то он будет оставаться идеально защи — щенным для любого количества инвестиций z, включая нулевые.

Аксиома 2. S(z, ) = 0 для любых . При отсутствии инвести — ций в информационную безопасность, вероятность нарушения за — щищенности информационного ресурса, обусловленная реализа — цией угрозы, является унаследованной от ресурса уязвимостью .

Аксиома 3. Для любых  Є (0;1) и для любых z, Sz(z, ) < 0 и Szz(z, ) > 0, где Sz – частная производная по z, а Szz – частная производная Sz по z. Более того, согласно модели Гордона–Лоеба, предполагается, что для любых  Є (0;1), lim S(z, ) → 0 при z → ∞. Таким образом, при достаточном инвестировании в информацион-

ную безопасность вероятность нарушения защищенности инфор — мационного ресурса можно сколь угодно приблизить к нулю.

Далее считается, что ФВНЗИР удовлетворяет предположе — ниям всех трех аксиом. С целью определения количества денеж — ных средств для инвестирования в защищенность информации, организация сравнивает ожидаемую прибыль от инвестиций со стоимостью инвестиций. Ожидаемая прибыль от инвестиций в ин — формационную безопасность, обозначенная через EBIS, равняется

155

С. В. Запечников, А. С. Полякова

уменьшению ожидаемых потерь организации, обусловленному до- полнительной защитой:

EBIS (z) = [ – S(z, )]L. (1) Ожидаемая чистая прибыль от инвестиций в информацион-

ную безопасность, обозначенная через ENBIS, равняется разности

EBIS и стоимости инвестиций:

ENBIS (z) = [ – S(z, )]L – z. Обозначим оптимальные инвестиции через z*().

Из аксиомы 3 следует, что S(z, ) строго выпукла как функция от переменной z, а значит, ENBIS строго вогнута как функция от переменной z.

Для определения оптимального уровня инвестиций в ИБ ре — шается задача поиска максимума функции:

ENBIS*(z) = ENBIS(z*) = maxz[ – S(z, )]L – z. Отсюда максимум z*() > 0 находится из условия равенства

нулю первой производной:

–Sz(z*, )L = 1,

где левая часть представляет собой предельную прибыль от инве — стиций, а правая – предельную стоимость инвестиций. Необходи — мо инвестировать в безопасность только до той точки, где предель — ная прибыль от инвестиций равняется предельной стоимости ин — вестиций.

Для заданного уровня уязвимости оптимальный объем инвес — тиций в информационную безопасность z* возрастает с возраста — нием угрозы t или потерь .

Оптимальный объем инвестиций в ИБ проиллюстрирован на рис. 1. Из уравнения (1) и аксиом 1 и 2 следует, что прибыль от инвестиций ENBIS(z) начинается в нуле и достигает L с возраста — нием уровня инвестиций. Стоимость инвестиций z показана с по- мощью прямой, составляющей угол 45° с осью z. Оптимальный объем инвестиций z* находится там, где разница между прибылью и затратами максимальна. В этой точке касательная к ENBIS(z*) имеет тангенс угла наклона, равный 1, что свидетельствует о том, что предельная прибыль равна предельной стоимости.

Гордон и Лоеб доказывают, что для ФВНЗИР, принадлежа — щих первому или второму классу, оптимальный уровень инвести- ций никогда не превосходит величины 1/e = 36,79% от ожидаемых потерь. Для широкого круга функций, принадлежащих первому и второму классам, оптимальный объем инвестиций в ИБ значи — тельно меньше максимума 36,79%.

Для первого класса ФВНЗИР оптимальный уровень инвести — ций в ИБ возрастает с увеличением уязвимости ресурса, а для вто — рого класса ФВНЗИР оптимальный уровень инвестиций в ИБ сначала возрастает с увеличением уязвимости ресурса, а затем убывает. Таким образом, второй класс ФВНЗИР показывает, что менеджерам стоит концентрировать финансовые ресурсы на защи — те информации в диапазоне средней уязвимости.

В исходную формулировку модели Гордона–Лоеба можно вне — сти уточнения и расширить ее.

Джен Уиллемсон (Jan Willemson) в своей работе3 показывает, что аксиома 3 выполняется не всегда: из неравенства Sz(z, ) < 0 следует, что если вначале полагалось  = 0, то невозможно умень — шить вероятность атаки строго до нуля независимо от того, на-

сколько большой объем инвестиций вкладывается в ИБ. Хотя это и может служить хорошим приближением для многих реаль — ных ситуаций, но совершенно точно существуют угрозы, кото — рые могут быть полностью устранены достаточным инвести- рованием в меры ИБ. Он приводит уточнение этой аксиомы и формулирует аксиому 3’: Функция S(z, ) дважды непрерывно дифференцируема и

Sz(z, ) ≤ 0 и Szz(z, ) ≥ 0,

а также для любых , lim S(z, ) → 0 при z → ∞.

Далее путем конструирования специального класса функций, удовлетворяющих аксиомам 1, 2, 3’, Уиллемсон показывает, что оптимальный объем инвестиций достигает 50% ожидаемой потери в отсутствие инвестиций в ИБ (в отличие от 36,79 в модели Гордо — на–Лоеба). Также Уиллемсон показал, что если убрать условие не — прерывности второй производной ФВНЗИР, то можно получить уровень оптимальных инвестиций в ИБ, близкий к 100% от ожи — даемых потерь. Возможность убрать это условие он обосновывает тем, что непрерывность первой производной необходима для су- ществования второй производной, но по существу нет причин для второй производной быть непрерывной.

159

С. В. Запечников, А. С. Полякова

Также Уиллемсон отмечает4 необходимость условия монотон — ности ФВНЗИР по . В противном случае для некоторой инвести — ции z можно найти такие начальные уровни уязвимостей 1 < 2, что после инвестирования z получим S(z, 1) > S(z, 2). Это проти — воречит представлениям, однако аксиомы 1–3 не запрещают такой случай.

В аксиоме 3 прописано ограничение  < 1. Иными словами, если изначально уровень уязвимости составляет  = 1 (любая атака будет успешной), то будет невозможно уменьшить эту уяз — вимость, какой бы объем ни был инвестирован в ИБ. Это противо — речит общепринятым представлениям о защите информационного ресурса, поэтому стоит считать, что  Є (0,1).

Модель взаимосвязанных рисков

В связи с тем что информационные системы интегрированы и взаимосвязаны, решения организации относительно инвестиций в ИБ затрагивают не только эти организации, но и другие. Свойст — во взаимосвязанности рисков информационной безопасности обусловливает различные внешние эффекты. Инвестиции в ИБ могут вызывать положительные внешние эффекты: организация, увеличивая свой уровень ИБ путем инвестирования в технические решения, может снизить вероятность нарушения защищенности других организаций-партнеров через компьютерную сеть. Напро — тив, внешние эффекты могут быть и отрицательными: возросший уровень ИБ организации может перенаправить атаки злоумыш — ленников с высокозащищенного сервера на менее защищенные серверы, а значит, риски других организаций возрастают. Отсюда в случае положительных внешних эффектов организация, вероят — но, будет инвестировать меньшую долю от ожидаемых потерь в от — сутствие инвестиций в ИБ, а в случае отрицательных – бóльшую. В первом случае имеем нецелевые атаки, во втором – целевые.

Вухен Шим5 показывает, что инвестиции, направленные на борьбу с нецелевыми атаками, призванными навредить как можно большему числу уязвимых систем, вызовут положительные внеш — ние эффекты, поскольку возросшие инвестиции организации сни — зят риски для других организаций, связанных с данной систе — мой. Он также показал, что инвестиции, направленные на борьбу с целевыми атаками, призванными причинить ущерб конкретной компьютерной системе, вызовут отрицательные внешние эффек — ты, поскольку возросшие инвестиции организации перенаправят

атаки на другие организации и тем самым увеличат риски других организаций. Связи между типами атак и проблемой внешних эф- фектов показаны на рис. 4.

Шим разработал модель взаимосвязанных рисков, расширяю — щую модель Гордона–Лоеба. Он рассматривает два класса ФВНЗИР, представленные Гордоном и Лоебом, при условии взаи- мосвязанности рисков. Пусть Li, i, zi, Si (zi, i) – потенциальные потери, уязвимость, инвестиции в ИБ и ФВНЗИР i-й организа — ции, соответственно. Для упрощения модели рассматриваются две идентичные организации (i = 1, 2), т. е. такие, что z1 = z2, L1 = L2,

1 = 2, S1(z1, 1) = S2(z2, 2).

Оптимальный уровень инвестиций в случае идентичности ор- ганизаций принимает вид:

zII*

 

1 (1) = ln[1/(–21L1(ln 1))]/ ln 1. Положительные внешние эффекты моделируются путем клас-

сификации эффектов на прямые и косвенные. Под прямыми эф — фектами имеется в виду влияние инвестирования организации на свою собственную ФВНЗИР, а под косвенными – влияние инвес — тирования других организаций на ФВНЗИР этой организации. Для моделирования косвенных эффектов используется параметр , показывающий степень взаимосвязанности информационных систем двух организаций (0≤  ≤1). Чем выше , тем выше степень взаимосвязанности. Тогда ФВНЗИР для организации 1 может быть выражена так:

Модель Гордона–Лоеба предназначена для оценки оптималь — ного объема инвестиций в ИБ в случае независимых рисков. Мо — дель взаимосвязанных рисков базируется на модели Гордона– Лоеба и является ее расширением для случая положительных и отрицательных внешних эффектов. При отрицательных внеш — них эффектах оптимальный объем инвестиций оказывается выше или равен оптимальному объему в модели с независимыми риска- ми, а область нулевых инвестиций оказывается меньше, чем в мо — дели с независимыми рисками. При положительных внешних эффектах оптимальный объем инвестиций оказывается ниже или равен оптимальному объему в модели с независимыми рисками, а область нулевых инвестиций оказывается такой же, как в модели с независимыми рисками.

На рис. 5 и 6 показана зависимость оптимального объема инве — стиций от уязвимости (черным цветом), а также изменение его при положительных и отрицательных внешних эффектах.

В случае применения модели Гордона–Лоеба оптимальный объ — ем инвестиций в ИБ не превышает 36,97% от ожидаемых потерь. В модели взаимосвязанных рисков с отрицательными внешними эффектами оптимальный объем инвестиций в ИБ не превосходит

73,56% от ожидаемых потерь. В модели взаимосвязанных рисков с положительными внешними эффектами оптимальный объем инве-

стиций в ИБ не превосходит (1 + )–1 . 36,97% от ожидаемых потерь.

При выборе той или иной модели прежде всего нужно решить, возможно ли пренебречь взаимосвязанностью рисков в данном конкретном случае. Для этого необходимо исследовать взаимо — действие данной организации с другими, а также ее положение на рынке. Если положительные и/или отрицательные внешние эффекты существенны, то разумнее применение модели взаимо — связанных рисков. Положительные внешние эффекты существен — ны, когда несколько организаций связаны, например, компьютер — ной сетью. В этом случае инвестирование одной из организа — ций в свою информационную безопасность повлечет уменьшение уязвимости и второй организации. Отрицательные внешние эф — фекты существенны, когда велика вероятность того, что увеличе — ние защищенности одной организации перенаправит атаки зло — умышленников на рассматриваемую.

Однако модель взаимосвязанных рисков рассматривает иден — тичные организации, что далеко не всегда имеет место. В случае неидентичности организаций может возникнуть ситуация, когда внешними эффектами можно пренебречь. Например, состояние рынка таково, что на нем существует один безусловный лидер, об — ладающий информацией высокой ценности, и огромное количе — ство приближенно идентичных между собой организаций, чьи продукты не столь хороши. Тогда отрицательный внешний эффект инвестиций в ИБ безусловного лидера на идентичные менее успешные организации минимизируется из-за большого числа этих организаций, поскольку вероятность перенаправления атаки

164

Исследование моделей оценки оптимального объема инвестиций…

именно на эту организацию мала. В таком случае нет смысла ис — пользовать модель взаимосвязанных рисков и можно применить модели Гордона–Лоеба.

В табл. 1 приведена сравнительная характеристика модели

Гордона–Лоеба и модели взаимосвязанных рисков.

Модель Гордона–Лоеба и модель взаимосвязанных рисков строятся на двух классах ФВНЗИР. Анализ первого класса гово — рит о том, что менеджерам стоит сосредоточивать свои финансо — вые ресурсы на информационных ресурсах большой уязвимости, в то время как анализ второго класса показывает необходимость инвестирования в ИБ информационных ресурсов среднего диапа — зона уязвимости. Можно аргументировать выбор одного из двух классов размерами ожидаемых потерь в случае отсутствия инвес- тирования в ИБ. Если информация чрезвычайной важности и ожидаемый ущерб велик, то разумнее выбрать первый класс ФВНЗИР и защищать высокоуязвимые ресурсы, дабы минимизи — ровать потери. Но не стоит забывать, что модели не рассматри — вают случай катастрофичных потерь, поскольку в этом случае предположение о нейтральности к риску организации не под- тверждается. В случае же, когда ожидаемый ущерб не столь велик, прибыть от инвестиций в защищенность высокоуязвимых ресур — сов мала. Например, для случая конфиденциальности знание того, что организация продает определенный бизнес-модуль, может стать почти общедоступной. В этом случае из-за множественных источников потенциальной утечки информации будет слишком дорого контролировать персонал и бизнес-контакты, чтобы предо — ставить хотя бы базовый уровень ИБ. Следовательно, разумнее использовать второй класс ФВНЗИР и концентрировать финан — совые ресурсы на защите информационных ресурсов из диапазона средней уязвимости.

У моделей есть и слабые стороны.

Модель Гордона–Лоеба содержит неточности, которые, одна — ко, не влияют на выбор первого и второго класса ФВНЗИР. Вслед- ствие незначительного ослабления условия в модели Гордона– Лоеба становится возможным построить пример, когда оптималь — ный объем инвестиций достигает 50% и даже 100% от ожидаемых потерь.

Обе модели базируются на двух специфических классах ФВНЗИР, и остается неясным, дадут ли другие классы функций похожие результаты.

165

С. В. Запечников, А. С. Полякова

Таблица 1

Сравнительная характеристика модели Гордона–Лоеба и модели взаимосвязанных рисков

Молель Гордона–Лоеба

Модель взаимосвязанных рисков

Тип рисков

Независимые риски

Взаимосвязанные риски, порождающие либо положительные, либо отрицательные внешние эффекты на инвестиции организации в ИБ

Верхняя граница оптимального объема инвестиций

в ИБ

36,79% от ожидаемых потерь

Отрицатель — ные внешние эффекты

73,58% от ожидаемых потерь

Положитель — ные внешние эффекты

(1 + )–1 . 36,97% от ожидае — мых потерь

Формула для расчета опти — мального объ — ема инвести — ций для пер — вого класса ФВНЗИР

zI*() = ((ßL)1/(ß+1)–1)/), где параметры  > 0, ß ≥ 1 – меры эффективности ИБ

Отрицатель — ные внешние эффекты

zI*(1) = [(2ß1L1)1/(ß+1)–1]/.

1

где параметры  > 0, ß ≥ 1 –

меры эффективности ИБ

Положитель — ные внешние эффекты

zI*(1) = [(ß1L1)1/(ß+1)–1]/

1

((1+))

где 0 ≤  ≤1 – параметр, пока — зывающий степень взаимосвя — занности информационных систем двух организаций, параметры  > 0, ß ≥ 1 – меры эффективности ИБ

Формула для расчета опти — мального объ — ема инвести — ций для вто — рого класса ФВНЗИР

zII*() = ln(1/(–L(ln )))/

 ln

где параметр  > 0 – мера эффективности ИБ

Отрицатель — ные внешние эффекты

zII(*1) = ln[1/(–21L1(ln 1))]/

1

 ln 1

где параметр  > 0 – мера

эффективности ИБ

Положитель — ные внешние эффекты

zII*(1) = ln[1/(–1L1(ln 1))]/

1

[ (1+)(ln 1)]

где 0 ≤  ≤1 – параметр, пока-

зывающий степень взаимо — связанности информационных систем двух организаций

166

Исследование моделей оценки оптимального объема инвестиций…

Таблица 2

Сравнительная таблица расчетов оптимального объема инвести — ций в ИБ для модели Гордона-Лоеба и модели взаимосвязанных рисков, а также для обоих классов ФВНЗИР и обоих типов внеш — них эффектов

Обе модели не учитывают динамические аспекты, а именно эффект инвестиций. В частности, не рассматривается, как зло — умышленник меняет стратегии своих атак в ответ на дополнитель — ные инвестиции в ИБ.

Существуют трудности в получении данных для обеих моде — лей, таких как количественные оценки ущерба, вероятности воз — никновения угроз и уязвимости.

Модель взаимосвязанных рисков разработана лишь для иден — тичных организаций, что не всегда имеет место.

В табл. 2 приведены результаты расчета оптимального объема инвестиций для конкретного случая. При этом берется:  =

0,00001, L = 400 000, ß = 2,  = 0,7. Расчет выполнен для обеих мо — делей оценки и для обоих классов ФВНЗИР.

Как следует из табл. 2, для данного случая оптимальный объем инвестиций в модели Гордона–Лоеба не превышает 25% от ожи — даемых потерь, в модели взаимосвязанных рисков с отрицатель — ными внешними эффектами оптимальный объем инвестиций не превышает 40% от ожидаемых потерь, в модели взаимосвязанных рисков с положительными внешними эффектами оптимальный объем инвестиций не превышает 14% от ожидаемых потерь.

Полученные результаты углубляют исследования экономичес — ких аспектов информационной безопасности, предоставляют практические рекомендации по выбору и применению моделей оценки объема оптимальных инвестиций в ИБ, а также по выбору диапазона уязвимостей, на котором следует сосредоточить ресур — сы. Продолжение исследования может заключаться в разработке методики оценки оптимального уровня инвестиций, учитываю — щей динамические аспекты, а также конкретные области инвести — рования, такие как программное или аппаратное обеспечение за — щищенных компьютерных информационных систем.

Материал взят из: Научный журнал Серия «Информатика. Защита информации. Математика» № 14 (94)