Определение влияния человеческого фактора на основные характеристики угроз безопасности

Дерендяев Денис Александрович аспирант, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики 197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49 Derendyaev Denis Aleksandrovich post-graduate student of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics 197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49 battelnet.net@mail.ru Другие публикации этого автора     Гатчин Юрий Арменакович доктор технических наук профессор, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики 197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49 Gatchin Yurii Armenakovich Doctor of Technical Science professor of the Computing System Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics 197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49 gatchin@mail.ifmo.ru Другие публикации этого автора

Безруков Вячеслав Алексеевич кандидат технических наук доцент, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики 197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49 Bezrukov Vyacheslav Alekseevich PhD in Technical Science associate professor of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics 197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49 bezrukov@mail.ifmo.ru Другие публикации этого автора

Информационная безопасность с каждым годом становится всё более автоматизированной, что уменьшает влияние человека на процесс, но не исключает человеческого фактора, начиная от забытых паролей и заканчивая кражей информации.

Человеческий фактор – многозначный термин, описывающий возможность принятия человеком ошибочных или алогичных решений в конкретных ситуациях^[1]. Корпорация Symantec и институт Ponemon Institute опубликовали результаты совместного исследования 2013 года «Оценка стоимости утечки информации: глобальный анализ» (2013 Cost of Data Breach Study: Global Analysis). Данные указывают на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации^[2]. Помимо этого существуют и другие исследования, в которых данный аспект занимает лидирующие позиции, что делает вопрос влияния человеческого фактора актуальным^[3].

Целью данной работы является определение влияния человеческого фактора на угрозы информационной безопасности. В ней рассмотрена экспертная оценка угроз безопасности за разные годы и представлен метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности.

Обзор угроз с точки зрения экспертной оценки строился на рассмотрении актуальных угроз безопасности из существующих исследований в этой области и дальнейшем выделении из актуальных угроз тех, в которых наиболее явно присутствует человеческий фактор.

Большинство экспертных оценок угроз информационной безопасности можно разделить на две группы: вероятность возникновения угрозы и её критичность. Из представленных общих статистик были выделены угрозы, на которые влияние человеческого фактора является наиболее явным.

С точки зрения вероятности, проведенное исследование компании Gartner Group выделяет ошибки персонала – 55%^[4]. Другое исследование, проведенное infoWath, ставит на первое место кражу информации – 64% , а халатность сотрудников составляет – 43%^[5]. Наиболее критичными являются кража информации – 40%^[6], халатность сотрудников и их неправомерные действия – 70%^[7], что следует из статистики приведенной компанией Perimetrix и исследования CSI/FBI Computer Crime and Security Survey.

Некоторые исследования за длительный период ^[8] указывают на рост угроз безопасности с присутствием человеческого фактора. Помимо этого можно выделить общие статистики IT trade association CompTIA и Defense Department IT professionals ^[9,10], в которых выделен человеческий фактор, как причина возникновения белее половины, а именно 52% и 55%, угроз безопасности.

По рассмотренным экспертным оценкам можно явно выделить тот факт, что человеческий фактор является одним из наиболее критичных факторов, оказывающих влияние на возникновение той или иной угрозы безопасности и занимает лидирующие позиции в общих статистиках, что указывает на недостаточные меры противодействия данной проблеме и делает рассмотрение данного вопроса актуальным, помимо этого определение влияние человеческого фактора в виде математического описания позволит использовать метод определения для различных угроз и проследить влияние фактора в динамике^[11].

Пусть множество не взаимосвязанных угроз информационной безопасности с присутствием человеческого фактора `B={b_(i)}, i=1,...,N .`

Положим далее, что на возникновение угроз безопасности множества `B` оказывают влияние различные, не зависящие друг от друга факторы `C={c_(i)}, i=1,...,K.` В таком случае вероятность возникновения любой угрозы из множества можно `B` расписать как сумму вероятностей под влиянием различных факторов: `P(b_(i))=P(b_(i)|c_(1))+...+P(b_(i)|c_(k))=sum_(i=1)^k P(b_(i)|c_(k)),sum_(i=1)^k P(b_(i)|c_(k))<1` (1)

Введем коэффициент влияния человеческого фактора на угрозы информационной безопасности `X={x_(i)}, i=1,...,N` и положим, что в нашем случае человеческим фактором будет `c_(1)` , тогда вероятность возникновения угрозы можно представить в виде:

`P(b_(i))=x_(i)*P(b_(i))+...+P(b_(i)|c_(k)), x_(i)<1` (2)

Так как мы рассматриваем множество не взаимосвязанных угроз информационной безопасности, то вероятность реализации `P_(B)` хотя бы одной угрозы, вызванной человеческим фактором, можно определить следующим образом:

`P_(B)=sum_(i=1)^n P(b_(i))=P(b_(1))+...+P(b_(n)) ,sum_(i=1)^n P(b_(i))<1` (3)

Подставляя (2) в (3), можно записать следующее выражение для определения вероятности `P_(B)` :

`P_(B)=(x_(1)*P(b_(1))+...+P(b_(i)|c_(k))+...+(x_(n)*P(b_(n))+...+P(b_(n)|c_(k)))` (4)

Вероятность всех угроз безопасности с присутствием человеческого фактора и только под его влиянием `P_(B)(c_(1))`можно представить в виде:` `

`P_(B)(c_(1))=sum_(i=1)^n P(b_(i)|c_(1))=x_(1)*P(b_(1))+...+x_(n)*P(b_(n)),sum_(i=1)^n P(b_(i)|c_(1))<1` (5)

В связи с тем, что затруднительно точно определить значение коэффициента влияния человеческого фактора на каждую из угроз в отдельности, воспользуемся средним значением коэффициента `<< x>>` : `<< x>>=(x_(1)+...+x_(n))/(n)` (6)

Тогда формула (5) примет вид:` `

`P_(B)(c_(1))=<< x>>*P(b_(1))+...+<< x>>*P(b_(n))=<< x>>(P(b_(1))+...+P(b_(n)))` (7)

Исходя из ^[12] общее значение вероятности угроз под влиянием только человеческого фактора составляет 70% или 0,7: `<< x>>*(P(b_(1))+...+P(b_(n)))=<< x>>*sum_(i=1)^n P(b_(i))=0,7` (8)

Тогда коэффициент влияния человеческого фактора равен: `<< x>>=(0,7)/(sum_(i=1)^n P(b_(i)))` (9)

Данный коэффициент актуален как для вероятности угрозы, так и для её критичности, тогда значение критичности угрозы под влиянием только человеческого фактора можно оценить как: `Z(b_(i)|c_(i))=<< x>>*Z(b_(i))` (10)

` `

В результате работы мы получили оценку влияния человеческого фактора на угрозы информационной безопасности. Представленный метод помогает определить критичность рассматриваемого фактора для основных характеристик угроз, что в дальнейшем можно использовать для оптимизации системы безопасности от угроз информационной безопасности с упором на противодействие человеческому фактору для угроз, на которые он оказывает наиболее критичное воздейтсвие.

Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также попробовать найти похожие статьи