В статье рассматриваются пути моделирования и прогнозирования количественных характеристик риска, связанного с защитой конфиденциальной информации на объектах различного назначения.
Введение
Защита конфиденциальной информации (КИ) различного рода (государственной, ведомственной, коммерческой, личной и др.) имеет в настоящее время возрастающее значение, поскольку доступ к ресурсам инфокоммуникационных систем (ИКС) с каждым годом получает все более широкий круг людей. Среди них есть «злоумышленники» (далее без кавычек), которые по самым разным причинам (от профессиональной заинтересованности до халатности и некомпетентности) способны создавать и использовать в своих интересах каналы утечки КИ. С точки зрения современного бизнеса, защита КИ относится к деятельности, связанной с разработкой и сопровождением систем и производственных (в том числе информационных) технологий. По данным компании-аудитора Pricewaterhouse Coopers, разработка, сопровождение и управление системами защиты информации является одним из вспомогательных процессов, обеспечивающих успешную деятельность любой современной бизнес-структуры. Поэтому защиту КИ также следует рассматривать как своеобразный производственный процесс: рассчитанный и на решение оперативных задач, и на долгосрочную перспективу, обеспечивающий процветание и успех компании в конкурентной борьбе.
Наиболее уязвимые элементы ИКС — это оборудование и аппаратура, предназначенные для обмена, обработки и хранения КИ, наиболее непредсказуемые элементы для системы защиты (СЗ) КИ — люди (персонал, партнеры, клиенты). Разработка комплексного плана мероприятий (технологических, организационных, юридических, экономических) по защите КИ и проектирование СЗ КИ производятся в соответствии с концепцией приемлемого риска. Особенностью подхода обычно является использование качественных критериев и характеристик риска, включая оценку влияния на него лиц, принимающих решения (ЛПР), — и в структуре компании-владельца КИ, и у конкурентов.
Современная СЗ КИ (эшелонированная, сбалансированная, отказоустойчивая) относится к сложным иерархическим системам, при проектировании которых может быть использован метод статистического имитационного моделирования (СИМ) на основе метода Монте-Карло. Для эффективного применения критерия риска проектировщику СЗ КИ необходимо задавать его в понятном компьютеру формализованном (количественном) виде. Между ЛПР в составе компании-владельца КИ и у ее конкурентов возникает ситуация игры с противоположными интересами, в рамках которой применяются как вполне законные, так и «на грани закона», а подчас и просто нечестные (административные, коррупционные, криминальные и т. п.) действия. Цель статьи — анализ путей моделирования и прогнозирования характеристик риска, связанного с защитой конфиденциальной информации на объектах различного назначения, в том числе современных ИКС.
< ... >
