Az információ értékének felmérésére szolgáló modellek

A védett információ értékének modelljei az információ értékének meghatározására szolgáló modellek annak érdekében, hogy megszervezzék annak elvesztésével és jogosulatlan másolásával szembeni védelmét.

Az információ megfoghatatlan, ha nem kézzelfogható médiumra alkalmazzák , ugyanakkor fontos szerepet tölthet be. Az információs technológia fejlődésével lehetővé vált az információ korlátlan ideig tartó szaporítása. Összehasonlításképpen: több évszázaddal ezelőtt egy anyagi információhordozó másolása jelentős erőfeszítést és időt igényelt; csak speciálisan képzett emberek készíthettek másolatokat. Jelenleg jelentős mennyiségű információ tárolódik digitális adathordozón, és az információ másolása már nem kreatív és költséges folyamat.

E tekintetben megnőtt a védett információk kiszivárgásának és terjesztésének valószínűsége, és védőintézkedések alkalmazása szükséges a kiszivárgás megakadályozása érdekében. Az információvédelem megszervezéséhez eszközökre, erőfeszítésekre van szükség, ehhez kapcsolódóan össze kell hangolni a védett információ értékét és a védelem megszervezésének veszteségeit. A probléma megoldására további fogalmakat vezetnek be - az információ értékének modelljeit. Az alábbiakban az információ értékének meghatározására szolgáló következő modelleket vizsgáljuk: additív modell, kockázatelemzés, ordinális skála, részhalmazok rácsa [1] .

Additív modell

Tegyük fel, hogy van olyan információ, amely véges elemhalmaz formájában jelenik meg, és a feladat ennek az információnak a pénzben kifejezett értékelése. Az additív modell használatakor az érték meghatározása ezen információ összetevőinek szakértői értékelésén alapul, és az összetevők monetáris értékelésének objektivitása mellett kiszámítják a szükséges értéket - ezek pénzben kifejezett összegét. A fő probléma az, hogy az információs komponensek kvantitatív értékelését gyakran elfogultan értékelik, még akkor is, ha magasan képzett szakemberek értékelik – ennek oka az információs komponensek egészének heterogenitása. Ennek a problémának a megoldására hierarchikus relatív skálát szokás használni, amely egy lineáris sorrend, amellyel a védett információ egyes összetevőit egymáshoz viszonyított értékben összehasonlítják. Az egyetlen skála esete egyenértékű azzal, hogy minden komponens, amely azonos sorszámú, egyenértékű egymással.

Példaként tekintsük a következő helyzetet. Legyen tárgyak megadva: az értékelés ötfokú skálán történik (1-5); A szakértői értékelés eredménye az egyes objektumok egymáshoz viszonyított értékeinek vektora: . Tegyük fel, hogy az egyik tárgy árát kezdetben meghatározzák (a határozottság érdekében vegye figyelembe az első tárgy árát) - például pénzegységek. $n$ ${\displaystyle O_{1},\dots ,O_{n))$ ${\megjelenítési stílus (3,1,\pontok ,4)}$ $150$

Ez alapján számítják ki egy pont költségét, pénzegységben, ahol k az első tárgy értékelése pontokban, és hasonlóképpen a többi tárgy pénzegységében történik az értékelés: pénzegység stb. Az információs komponensek költsége megadja az összeget - az összes információ költségét. $C_{1}/k=50$ $C_{2}=50$

Nézzük a fordított helyzetet. Ha ismert az információ végső költsége, akkor annak alapján inverz transzformációval (pontozási eloszlás segítségével) meg lehet határozni az egyes információkomponensek költségét.

Kockázatelemzés

Tegyük fel, hogy az információ költségét egy additív modell segítségével becsülték meg az információ költségének becslésére. A lehetséges veszteségek felmérése az információs komponensek már ismert értékein alapul, az információs komponensek lehetséges veszélyeinek előrejelzése alapján. Az egyes fenyegetések lehetőségét a megfelelő események valószínűségi becslésével becsülik meg: az egyes összetevőkre vonatkozó veszteségek matematikai várható összegét a lehetséges fenyegetések eloszlása szerint számítják ki. Példaként tekintsük a következő helyzetet. Legyen n objektum adott: , melynek költségei . Tételezzük fel, hogy ha egy tárgy megsérül, a többi tárgy költsége nem csökken, és mindegyik objektum esetében: - az objektum károsodásának valószínűsége . A kárvesztési függvény a következő: ${\displaystyle O_{1},\dots ,O_{n))$ ${\displaystyle C_{1},\dots ,C_{n))$ $p_{i}$ $O_{i}$ $O_{i}$

$W_{i}=C_{i}$ , ha az i tárgy megsérül,

$W_{i}=0$ , másképp.

Az i objektumra irányuló fenyegetések realizálásából származó veszteségek realizálásának esetének becslése egyenlő: . A feltételezett feltételezések miatt a rendszer teljes vesztesége a veszteségek komponensenkénti összegeként kerül kiszámításra: . Ebben az esetben a várható veszteségeket (mint átlagos kockázatot) a következő kifejezés határozza meg: . Vannak olyan módszerek, amelyek megvalósítják az automatizált kockázatértékelést, ezek közül néhányat az alábbiakban sorolunk fel. Ez a cikk a kockázatelemzés széles körben használt módszereit tárgyalja: CRAMM, RiskWatch, GRIF. $EW_{i}=p_{i}C_{i}$ ${\displaystyle W=W_{1}+\ldots +W_{n))$ ${\displaystyle EW=\Sigma p_{i}C_{i))$

Népszerű módszerek a kockázatelemzés elvégzésére

CRAMM módszer

A CRAMM (az Egyesült Királyság Kormányzati Kockázatelemzési és -kezelési módszere) az Egyesült Királyság Biztonsági Szolgálata által kifejlesztett módszer, és az Egyesült Királyság kormányzati szabványa. Az egész világon elterjedt szabványt 1985 óta használják az Egyesült Királyság kereskedelmi és kormányzati szervezetei is. A CRAMM módszert az Insight Consulting Limited találta fel.

A kockázatértékelés integrált megközelítésén alapuló CRAMM módszer a kvantitatív és kvalitatív kockázatelemzési módszereket ötvözi, és alkalmazható nagy és kis szervezetekre egyaránt. A CRAMM-nek különböző verziói léteznek a különböző típusú szervezetek számára, tudásbázisban (profilban) különböznek: van kereskedelmi profil és kormányzati profil (amelyekkel az amerikai ITSEC szabvány követelményeinek megfelelő auditot lehet lefolytatni - az úgynevezett "narancssárga könyv") [2] .

RiskWatch Method

Az amerikai RiskWatch Inc. cég által kifejlesztett, azonos nevű szoftvertermék a kockázatelemzés és -kezelés hatékony eszközeként szolgál. Ezt a termékcsaládot különféle típusú biztonsági auditokhoz használják, és a következő eszközöket tartalmazza:

RiscWatch for Physical Security – az információs rendszerek fizikai védelmének eszköze;
A RiscWatch for Information Systems egy információs kockázatok kezelésére alkalmazott eszköz;
HIPPAA-WATCH az egészségügyi ágazat számára – HIPAA megfelelőség-értékelő eszköz;
RiskWatch RW17799 for ISO17799 - az ISO17799 szabvány követelményeinek felméréséhez.

A kockázatok értékelésének és kezelésének kritériumai a RiskWatch módszerben az "éves veszteség előrejelzés" (ALE - Annual Loss Expectancy) és a ROI (Return on Investment) számításának értékelése - "befektetés megtérülése".

GRIF módszer

Ellentétben a nyugati kockázatelemző rendszerekkel, amelyek meglehetősen körülményesek, és nem igénylik az IT vezetők és rendszergazdák független használatát, a GRIF rendszer intuitív felülettel rendelkezik. De minden egyszerűsége ellenére a GRIF rendszer hatalmas számú kockázatelemző algoritmust valósít meg, amelyek több mint száz paramétert vesznek figyelembe, és a rendszer képes a legpontosabb értékelést adni az információs rendszerben előforduló kockázatokról. A GRIF fontos jellemzője, hogy az információbiztonság érdekében lehetőséget biztosít független, szakértők bevonása nélküli kockázatértékelésre az információs rendszerben, aktuális állapotfelmérésre, beruházások kalkulációjára.

Sorrendi skála

Vannak esetek, amikor nem szükséges vagy nem lehetséges az információ pénzegységben kifejezett értékének megfeleltetése (például személyes jellegű információ, katonai vagy politikai információ, amelynek pénzben kifejezett értékelése indokolatlan lehet), de előfordulhat, hogy értelme az egyik összetevő egyes információs összetevőinek összehasonlítása a másikkal. Példaként tekinthetjük az állami struktúrák helyzetét, ahol az információkat titkosság szerint osztályozzák. A titkossági jelek pedig rendes értékskálákat képviselnek, például: nem minősített, hivatalos használatra, titkos, szigorúan titkos, kiemelt jelentőségű (NS, DSP, C, SS, OV); az amerikai rendszer szerint: nem minősített, bizalmas, titkos, szigorúan titkos (U, Conf, S, TS). Minél magasabb a nyak osztálya, annál nagyobb a védett információ értéke, ezért azzal kapcsolatban magasabb követelmények vonatkoznak az illetéktelen hozzáférés elleni védelemre.

Az értékrács modell

Az értékrács modell az ordinális skála általánosítása. Tegyük fel, hogy adott egy véges, részben rendezett halmaz a bináris relációhoz képest , azaz mindegyikre igaz : $SC$ $<$ $ABC$

reflexivitás: $A>A,$
tranzitivitás: $A<B,B<C=>A<C,$
antiszimmetria: $A<B,B<A=>A=B.$

Definíció szerint A, B∈SC esetén a C=A⊕B∈SC elemet legkisebb felső korlátnak (felső korlátnak) nevezzük, ha:

$A<=C,B<=C$ ,
$A<=D,B<=D=>C<=D$ mindenkinek . $D\in SC$

Ebben az esetben magának az elemnek a létezése nem szükséges . Ha teljesül a minimum felső korlát létezésének feltétele, akkor az antiszimmetriából egyediség következik. Definíció szerint egy elemet A, B∈C (alsó korlát) legnagyobb alsó korlátjának nevezünk, ha $A\oplus B$ $E=A\otimes B\in SC$

$E<A,E<B,$
$D<A,D<B=>D<E.$

Ennek az alsó határnak a megléte szintén nem kötelező. Ha létezik, akkor az egyediség az antiszimmetriából következik. Definíció szerint rácsnak nevezzük, ha bármelyikre létezik és . $(SC,<)$ $A,B\in SC$ $A\oplus B\in SC$ $A\otimes B\in SC$

Jegyzetek

↑ Grusho, Timonina, 1996 .
↑ 5200.28-STD, Trusted Computer System Evaluation Criteria (Orange Book) Archiválva : 2006. október 2., a Wayback Machine from Rainbow Series kiadványai

Irodalom

Grusho A. A., Timonina E. E. Az információ értéke // Az információvédelem elméleti alapjai. - M . : A Yachtsman Agency kiadója, 1996. - S. 52-55.
Simonov S. Modern technológiák kockázatelemzéshez információs rendszerekben // PCWEEK. - 2001. - 37. sz .

Linkek

Államtitokká minősített információk jegyzéke