Безопасность информационных технологий

Объективная оценка уровня защиты информационной системы (ИС) организации, обеспечиваемой соответствующей системой информационной безопасности (ИБ), как на этапе ее проектирования, так и на этапе эксплуатации, возможна на основе использования оценок текущих и прогнозируемых вероятностей компьютерных атак нарушителей на данную ИС, использующих уязвимости системы ИБ. В статье для оценивания вероятности компьютерной атаки нарушителя предложено использовать функцию ожидаемой полезности, учитывающую ключевые факторы возможности проведения компьютерной атаки (критерии выбора объекта компьютерной атаки нарушителем, этапы и методы реализации атаки, методы получения информации об объекте, навыки нарушителя) и ожидаемую полезность атаки (мотивы нарушителя, состояние нарушителя до компьютерной атаки, в частности, его доход, принципы принятия решения о проведении/продолжении/прекращении компьютерной атаки нарушителем), модернизированную с учетом особенностей данного типа и преступлений в компьютерной сфере. Предложенное решение базируется на теории положений по криминологии, утверждающей, что атака реализуется нарушителем в тех случаях, когда имеется возможность реализации атаки и, одновременно, ожидаемая полезность атаки с точки зрения нарушителя оказывается достаточной. Продемонстрировано, что выбранная функция полезности адекватно описывает связь между вероятностью компьютерной атаки и ключевыми факторами компьютерной атаки. Проведен анализ модернизированной функции полезности, результаты которого показали, что: 1) значение ожидаемой полезности, при прочих равных условиях, для нарушителя, склонного к риску, определяется вероятностью его разоблачения, равной единице минус вероятность проведения незаметной компьютерной атаки, для нарушителя, не склонного к риску, - тяжестью наказания, поэтому необходимо выстраивать дифференцированную систему защиты в зависимости от типа нарушителя; 2) существует возможность значительного сокращения числа потенциальных нарушителей за счет увеличении доходов от легальной деятельности специалистов в области ИБ; 3) существует зависимость количества компьютерных атак за определенный период времени от вероятности проведения незаметной компьютерной атаки, тяжести наказания, наличия и величины альтернативных доходов (выгод).

1. Международный стандарт ISO/IEC 27001:2013. Information technology – Security techniques – Information security management systems – Requirements. М.: ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection, 2013. – 23 c.

2. J. Stuckman, J. Walden and R. Scandariato, "The Effect of Dimensionality Reduction on Software Vulnerability Prediction Models," in IEEE Transactions on Reliability, Vol. 66, No. 1. P. 17–37, March 2017.
DOI: http://dx.doi.org/10.1109/TR.2016.2630503.

3. Scandariato R., Walden J., Hovsepyan A., Joosen W. Predicting Vulnerable Software Components via Text Mining. IEEE Transactions on Software Engineering. 2014. Vol. 40, No 10. P. 993–1006.
DOI: http://dx.doi.org/10.1109/TSE.2014.2340398

4. Yasasin E., Prester J., Wagner G., Schryen G. Forecasting IT security vulnerabilities – An empirical analysis // Computers and Security. 2020. Vol. 88. DOI: http://dx.doi.org/10.1016/j.cose.2019.101610.

5. Deb A., Lerman K., Ferrara E. Predicting Cyber-Events by Leveraging Hacker Sentiment. Information. Vol. 9, No 11. 2018. – 18 p. DOI: http://dx.doi.org/10.3390/info9110280.
6. Макарова, Ольга С.; Поршнев, Сергей В. Оценивание вероятностей компьютерных атак на основе метода анализа иерархий с динамическими приоритетами и предпочтениями. Безопасность информационных технологий, [S.l.], Т. 27, № 1. C. 6–18, mar. 2020. ISSN 2074-7136.
URL: (дата обращения: 27.04.2020).
DOI: http://dx.doi.org/10.26583/bit.2020.1.01.

7. Makarova O.S., Porshnev S.V. Assessment of Probabilities of Computer Attacks Based on Analytic Hierarchy Process: Method for Calculating the Pairwise Comparison Matrixs Based on Statistical Information // Доклады конференции.2020. DOI: http://dx.doi.org/10.26583/bit.2020.1.01

8. А.В. Андрейчиков, О.Н. Андрейчикова Методы и интеллектуальные системы принятия решений для проведения ФОРСАЙТ-исследований // Cloud of science. 2014. №3.
URL: https://cyberleninka.ru/article/n/metody-i-intellektualnye-sistemy-prinyatiya-resheniy-dlya-provedeniya-forsayt-issledovaniy (дата обращения: 27.04.2020).

9. Cody T., Adams S., Beling P.A. A utilitarian approach to adversarial learning in credit card fraud detection. Institute of Electrical and Electronics Engineers Inc. Conference paper «Systems and Information Engineering Design Symposium», 2018. P. 237–242. DOI: http://dx.doi.org/10.1109/SIEDS.2018.8374743.

10. Pasquier R., Goulet J., Smith I.F. Measurement system design for civil infrastructure using expected utility. Elsevier Ltd. Advanced Engineering Informatics. 2017. Vol. 32. P. 40–51.
DOI: http://dx.doi.org/10.1016/j.aei.2016.12.002.

11. Hausken K., Moxnes J.F The dynamics of crime and punishment // International Journal of Modern Physics C. 2005. Vol. 16, № 11. P. 1701-1732. DOI: http://dx.doi.org/10.1142/S0129183105008229.

12. Becker G.S. The economics of crime // Cross Sections, Federal Reserve Bank of Richmond. 1995. Vol. 12.
P. 8–15. URL: https://ideas.repec.org/a/fip/fedrcs/y1995ifallp8-15nv.12no.3.html (дата обращения: 27.04.2020).

13. Бернулли Д. Опыт новой теории измерения жребия. Теория потребительского поведения и спроса // Вехи экономической мысли. СПб.: Экономическая школа, 1999. Т. 1. С. 11–27.

14. Данилов Н.Н. Курс математической экономики // СПб.: Лань.2016. С. 116–118.

15. Ганичева, А.В. Математические модели и методы оценки событий, ситуаций и процессов // СПб.: Лань. 2017. С. 107–110.

16. Dolan M., Doyle M. Violence risk prediction: Clinical and actuarial measures and the role of the Psychopathy Checklist. The British Journal of Psychiatry. 2000. Vol. 177, No 4. P. 303–311.
DOI: http://dx.doi.org/10.1192/bjp.177.4.303.

17. Генпрокуратура составила портрет типичного российского хакера. vedomosti.ru URL:https://www.vedomosti.ru/technology/news/2018/12/11/788967-sostavila/ (дата обращения: 27.04.2020).

18. Киберпреступность и киберконфликты // TADVISER.RU/ URL: http://www.tadviser.ru/index.php/ Статья:Киберпреступность_и_киберконфликты_:_Россия/ (дата обращения: 27.04.2020).

19. Ehrlich I. Participation in illegitimate activities: theoretical and empirical investigation //J. of Publ. Econ. 1973. Vol. 81. No 3. C. 521—565.

20. Потери банков от киберпреступности // TADVISER.RU/ URL: http://www.tadviser.ru/index.php/ Статья: Потери_банков_от_киберпреступности / (дата обращения: 27.04.2020).

21. Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России 1.09.2017 – 31.08.2018 // CRB.RU/
URL: https://www.cbr.ru/Content/Document/File/50959/survey_0917_0818.pdf/ (дата обращения: 27.04.2020).

22. Обзор основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году // CRB.RU/ URL: https://cbr.ru/Content/Document/File/72724/DIB_2018_20190704.pdf/ (дата обращения: 27.04.2020).