| | Проблемы современной экономики, N 3 (79), 2021 | | ЭКОНОМИКА, УПРАВЛЕНИЕ И УЧЕТ НА ПРЕДПРИЯТИИ | | Багиев Г. Л. профессор кафедры менеджмента и инноваций
Санкт-Петербургского государственного экономического университета,
доктор экономических наук, заслуженный деятель науки РФ Андреевский И. Л. доцент кафедры информационных систем и технологий
Санкт-Петербургского государственного экономического университета,
кандидат экономических наук Соколов Р. В. профессор кафедры информационных систем в экономике
Санкт-Петербургского государственного экономического университета,
доктор экономических наук
| |
| | В статье представлены в обобщенном виде информационные угрозы и методы защиты применительно к облачным программным продуктам (ОПП). Разработан методологический подход к оценке уровня защищенности облачных программных продуктов в процессе планирования цикла их производства и внедрения. Отличительной особенностью этого подхода является охват всех предприятий-участников цикла производства и внедрения облачных программных продуктов, позволяющий достичь необходимого уровня комплексного показателя информационной защищенности | Ключевые слова: планирование, информационная защищенность, облачные программные продукты | УДК 338.5 Стр: 86 - 88 | Согласованное планирование деятельности предприятий информатизации в цикле производства и внедрения облачных программных продуктов (ОПП) должно распространяться не только на сроки планирования, но и на уровень информационной защищенности использования этих продуктов.
В состав участников цикла производства и внедрения облачных программных продуктов входят не только предприятие по производству ОПП и предприятие-пользователь, но и предприятие по проектированию облачных информационных систем и предприятие по обработке облачных данных в центре обработки данных [1].
Вопросы обеспечения информационной безопасности облачных программных продуктов рассматриваются в целом ряде работ, в том числе в работах [3–5 и др.]. Однако, в этих работах не рассматривается порядок согласованного планирования деятельности взаимосвязанных предприятий информатизации по повышению защищенности ОПП. В связи с этим остановимся в данной статье на отмеченном аспекте проблем.
Облачный программный продукт реализуется чаще всего как распределенное приложение, в состав которого входит ряд серверных компонентов, компонентов слоя бизнес-логики и слоя доступа к данным и непосредственно самой базы данных. Взаимодействие компонентов, входящих в облачный программный продукт, требует соответствующей дополнительной настройки специализированных облачных компонентов или сервисов для обеспечения необходимого уровня информационной защищенности.
Вопросы обеспечения необходимого уровня информационной защищенности облачных программных продуктов в цикле производства и внедрения должны рассматриваться в нескольких аспектах [6]. Традиционно их три — юридический, организационный и технический.
Ответственность в вопросах информационной защищенности облачных данных, сетевой инфраструктуры и отдельных ее компонентов на практике оказывается распределена между несколькими участниками, и граница зон ответственности чаще всего четко не прописана в соглашениях об уровне предоставления сервисов.
На практике достаточно часто вопросы информационной защищенности реализуются в незначительной мере в силу ряда причин, к числу которых можно отнести сложившийся подход предприятия по производству ОПП, предоставляющего функциональность, но не настройку его под особенности предприятия-пользователя. Предприятие информатизации, связанное с обработкой облачных данных, старается избежать решения вопросов настройки взаимодействия компонентов, входящих в решение, при этом, гарантируя информационную защищенность предприятию-пользователю только используемых облачных данных. Предприятие-пользователь не всегда имеет ИТ специалистов необходимой квалификации. Особенно это актуально для предприятий-пользователей малого и среднего бизнеса [2].
Производство и внедрение защищенных облачных программных продуктов требует от всех участников скоординированных усилий в области информационной безопасности. Следует отметить целесообразность перехода к проактивному управлению. Информационные угрозы и методы защиты в обобщенном виде применительно к облачным программным продуктам представлены в табл. 1.
Таблица 1
Информационные угрозы и методы защитыИнформационные угрозы | Методы защиты по стадиям цикла |
---|
1. Производство предприятием информатизации | 2. Проектирование облачной ИС | 3. Обработка облачных данных в центре обработки данных | 4. Внедрение на предприятии-пользователе |
---|
Несанкционированный доступ, программы — вредители | Аутентификация, биометрические методы контроля | Аутентификация, разграничение прав доступа | Журнализация событий, журналы аудита безопасности, разграничение физического доступа | Журнализация событий, журналы аудита безопасности, разграничение физического доступа | Подделка, фальсификация данных | Использование контрольных сумм, шифрование данных | Использование контрольных сумм, шифрование данных | Логический контроль результатов, использование контрольных сумм, шифрование данных и носителей | Журнализация событий, журналы аудита безопасности, резервное копирование данных | Перехват информации при передаче и хранении | Использование контрольных сумм, шифрование данных, шифрование траффика | Методы защиты передаваемой и хранимой информации | Методы защиты передаваемой и хранимой информации | Анализ траффика, использование криптографических средств для шифрования траффика и данных | Сбои и отказы в работе программно-технического комплекса облачной ИС | Повышение надежности | Резервирование, механизмы балансировки нагрузки, механизмы масштабирования ИС | Использование резервных копий | План аварийного восстановления, использование резервных копий | Незаконное получение административных прав, захват привилегии | Авторизация | Авторизация, олицетворение | Авторизация, олицетворение, журнализация событий, журналы аудита безопасности | Авторизация, олицетворение, журнализация событий, журналы аудита безопасности | Ошибки операторов ввода и ошибки во вводимой информации | Совершенствование интерфейсов ОПП, встроенные методы контроля вводимой информации | Методы контроля вводимой информации | Контроль входной информации, регистрация ошибок | Контроль правильности вводимой информации, использование регламентов обеспечения информационной безопасности и контроль за их соблюдением | Составлена авторами
Применение этих методов должно быть предусмотрено в планах предприятий-участников цикла производства и внедрения облачных информационных систем.
На основе согласования планирования этих методов между предприятиями-участниками должен быть достигнут необходимый уровень комплексного показателя информационной защищенности облачных программных продуктов.
Комплексный показатель информационной защищенности облачных программных продуктов может быть представлен в следующем виде [7]:
(1) и (2)
где R — комплексный (обобщенный) показатель защищенности, характеризующий уровень (вероятность) отражения атак со стороны всей совокупности возможных угроз, 0 ≤ R ≤ 1;
rj — частный коэффициент защищенности, показывающий, какая часть атак со стороны угрозы j-го вида отражается, 0 ≤ rj ≤ 1;
J — множество видов угроз;
kj — весовой коэффициент j-го частного показателя защищенности в аддитивной свертке.
Величины kj (∀j∈J) характеризуют структуру угроз, то есть состав и относительную интенсивность атак со стороны каждой угрозы.
Вклад каждого звена в цепи производства и внедрения облачных программных продуктов состоит в повышении значения rj или же оставлении его без изменения. То есть величины rj являются неубывающими при переходе от одной стадии к другой в цикле производства и внедрения облачных программных продуктов.
В результате выполнения производства программного продукта ожидаемые величины защищенности достигают значений:
rj = rjn , ∀j∈J (3)
где rjn — частный коэффициент защищенности, достигнутый производителем программного продукта.
После завершения стадии проектирования облачной информационной системы на базе облачных программных продуктов достигается приращение коэффициентов защищенности и величина rj достигает значения:
rj = rjn + Δrjnp , ∀j∈J , (4)
где Δrjnp — приращение частного коэффициента защищенности без учета дублирования защищенности облачного программного продукта, достигнутого на предыдущей стадии.
На стадии обработки облачных данных в центре обработки данных (ЦОД) частный коэффициент защищенности должен быть пересчитан в соответствии с формулой:
rj = rjn + Δrjnp + Δrjцод , ∀j∈J , (5)
где Δrjцод — приращение частного коэффициента защищенности без учета дублирования защищенности облачного программного продукта на предыдущих стадиях.
Наконец, на стадии внедрения облачных программных продуктов в составе облачной информационной системы на предприятии-пользователе итоговая величина rj достигает значений:
rj = rjn + Δrjnp + Δrjцод + Δrjпол , ∀j∈J , (6)
где Δrjпол — вклад предприятия-пользователя в повышение защищенности облачных программных продуктов, измеряемый приращением итоговых значений коэффициентов защищенности (без дублирования результатов, достигнутых на предыдущих стадиях).
Как следует из формул (3)–(6), установление ожидаемых значений rj требует согласования плановых мероприятий по защите облачных программных продуктов между всеми предприятиями — участниками цикла производства и внедрения облачных программных продуктов. На основании формул (3)–(6) определяется порядок согласования этих мероприятий для достижения необходимого уровня комплексного показателя информационной защищенности.
Фактические, а не ожидаемые значения rj могут быть получены только в процессе использования облачных программных продуктов, то есть центрами обработки облачных данных и предприятиями — пользователями облачных информационных систем. Эти значения должны определяться на основе регистрации статистических данных о количестве атак со стороны каждого вида угроз и количестве успешно отраженных атак. Чем выше значение комплексного показателя информационной защищенности, тем меньше потерь в производственно-хозяйственной деятельности предприятия-пользователя облачной информационной системы.
Однако, дополнительные затраты на повышение информационной защищенности отражаются в повышении тарифов, оплачиваемых предприятиями-пользователями в цикле производства и внедрения облачных программных продуктов. В то же время, экономия на вопросах информационной защищенности облачных программных продуктов может в дальнейшем обернуться значительными убытками.
Зависимость потерь от незащищенности ОПП обратно пропорциональна затратам на информационную безопасность, то есть чем больше затрат, тем меньше потерь. Эта зависимость прослеживается в предлагаемой авторами табл. 2.
Как следует из табл.2, экономически оправданный уровень информационной защищенности ОПП лежит в пределах от 0,81 до 0,95 значений комплексного показателя информационной защищенности.
Таким образом, в статье предложен порядок согласованного планирования мероприятий по повышению информационной защищенности облачных программных продуктов. Отличительной особенностью порядка планирования является охват всех предприятий — участников цикла производства и внедрения облачных программных продуктов с целью достижения необходимого уровня комплексного показателя информационной защищенности.
Таблица 2
Зависимость потерь от незащищенности ОПП от затрат на информационную безопасностьУровень информационной защищенности | Значение комплексного показателя информационной защищенности (R) | Соотношение потерь от незащищенности ОПП и затрат на информационную безопасность |
---|
1 | 0,00–0,80
Недостаточная
защита | Потери существенно больше затрат.
Необходимый уровень информационной защищенности не обеспечивается. | 2 | 0,81–0,85
Минимально необходимая защита | Допустимые потери обеспечиваются затратами, которые существенно меньше потерь.
Обеспечивается минимально необходимый уровень информационной защищенности. | 3 | 0,86–0,90
Защита больше минимально необходимой | Потери существенно меньше допустимых при затратах меньше потерь. | 4 | 0,91–0,95
Предельно целесообразный уровень защиты | Потери снижаются до величины затрат на их сокращение. | 5 | 0,96–0,99
Излишняя защита | Снижение величины потерь экономически не оправдано затратами, превышающими потери. | Составлена авторами |
| |
|
|