Risk(t)=Ct Рис. 1. Качественный график зависимости риска от

реклама
УДК 681.3
УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ЗАЩИТЫ ИНФОРМАЦИИ В РАСПРЕДЕЛЕННЫХ
ПЛАТЕЖНЫХ СИСТЕМАХ НА ОСНОВЕ БАНКОВСКИХ КАРТ
Р.В. Менжулин, С.И. Моисеев
Приводится алгоритм управления эффективностью защиты информации в распределенных платежных
системах на основе банковских карт от конкретной мошеннической операции с использованием меры шансориска
Ключевые слова: шанс, риск, мошенническая операция, вероятность
Для управления эффективностью защиты
информации в распределенных платежных
системах (РПС) на основе банковских карт
(БК), от мошеннических операций (МО),
необходимо определить риск от МО в РПС, на
основе банковских карт, определить шанс от
реализации методов по защите информации
(ЗИ) в РПС, на основе БК,
от
МО и
построение
алгоритма
управления
эффективностью защиты информации в РПС,
на основе БК, от МО, с использованием мер
шансориска.
Пусть оценка вероятности успешной
реализации
конкретной
МО
(i),
за
определенный промежуток времени (t) была
успешно проведена. Проведем оценки риска от
конкретной МО (i), за определенный
промежуток времени (t),
и шанса от
реализации методов по ЗИ, от конкретной МО
(i), за определенный промежуток времени (t),
.
Согласно теории защиты информации [1],
риск от МО в РПС на БК имеет смысл среднего
ущерба за единицу времени и вычисляется по
формуле:
=
, где
- ущерб от
успешно
реализованной
мошеннической
операции и
– вероятность успешной
реализации i-й мошеннической операции.
Пусть имеются зависимости вероятностей
успешной
реализации
мошеннических
операций от времени, для каждого вида
мошеннической операции от времени. Эту
зависимость в общем виде можно записать
как:1
, где
некоторая константа, не зависящая от времени.
Есть основание полагать, что ущерб
зависит от времени линейно, то есть
, тогда
Менжулин Роман Валериевич – МИКТ, аспирант,
e-mail: [email protected]
Моисеев Сергей Игоревич – ИММИФ, канд.
физ.-мат. наук, доцент, e-mail: [email protected]
-
,
где
-
используются
константа. Для определения
статистические данные ущерба от МО. Пусть
так же известна доля финансовых потерь от
каждого вида МО. На основании чего находим
средние финансовые потери за промежуток
времени , которые обозначим . Приравнивая
найденные показатели из начального условия
, находим константу
,
. Качественный график
зависимости риска от времени представлен на
рис. 1. Видно, что с течением времени t→∞
график (сплошная линия на рисунке)
приближается к асимптоте
(пунктирная линия).
Risk
Risk(t)=Ct
Risk(t)=Ct
t
Рис.
1.
Качественный
график
зависимости риска от времени
Для расчета оценок экономической
эффективности принимаемых мер защиты
от угроз МО используют понятие шанса.
шанс
получения
пользы,
соответственно в момент времени t. Он
имеет смысл средней выгоды от реализации
мер по защите РПС от соответствующей
МО с учетом затрат на организацию
защиты. Определим шанс для каждой МО,
. Абсолютная выгода, без учета затрат,
состоит в том что при защите РПС, МО ущерба
не наносит, то есть равна риску.
Пусть имеется средняя стоимость методов
защиты от каждого вида МО за время
.
Обозначив их
и учитывая, что с течением
времени
затраты
линейно
возрастают,
зависимость,
можно представить в
виде
.
Проведем анализ временной зависимости
шанса. Очевидно, что если средние затраты за
единицу времени превышают средний ущерб от
МО:
, то для данного вида угрозы
предлагаемая
защита
экономически
нерентабельна.
В
противном
случае,
качественный график зависимости шанса от
времени представлен на рис. 2.
Chs
t
Рис.
2.
Качественный
зависимости шанса от времени
t
график
Из графика видно, что шанс сначала при
малых интервалах времени отрицателен. Это
можно объяснить тем, что при малых t
вероятности ущерба, а следовательно и риск,
невелики, а затраты на ликвидацию угроз
постоянны по времени. Далее, с ростом риска
увеличивается
и
шанс,
становясь
положительным и с течением времени t→∞
(сплошная линия на рисунке) приближаясь к
(пунктирная асимптоте
линия). Точка пересечения с осью абсцисс t0
имеет смысл срока окупаемости средств,
затраченных на защиту от МО. Для его
определения
необходимо
решить
трансцендентное
уравнение
=0 для каждого вида
МО.
На основе выше сказанного построим
структурную схему алгоритма управления
эффективностью ЗИ в РПС, на основе БК, от
конкретной МО, с использованием еры
шансориска, рис. 3. В данном случае в роли
лидера принятия решения (ЛПР) выступает
совет директоров РПС, на основе БК,
принимающий решения (СДПР).
Происходит организация совещания, на
котором
члены
совета
директоров,
принимающие решения, выступают как
эксперты, оценивая различные варианты
защиты информации (ЗИ) в РПС, на основе
БК
и убеждая других членов
присоединиться к их мнению. Во многих
случаях эти обсуждения позволяют прийти
к единому мнению, которое иногда
отражает компромисс между СДПР.
Несомненными преимуществами такого
способа принятия решений являются:
1.Возможность для каждого из членов
СДПР высказать свое мнение и обосновать его;
2.Возможность для каждого из членов
СДПР выслушать мнение всех других членов.
Наряду с указанными достоинствами
применение традиционного способа решения
задач коллективного выбора в СДПР в ряде
случаев
сопровождается
следующими
отрицательными явлениями:
1.Чрезмерно сильное влияние на СДПР
доводов одного или нескольких членов
(коалиции), направленных на выделение
положительных особенностей предпочитаемых
ими вариантов решений по ЗИ в РПС;
2.Большая и зачастую неэффективная
трата времени членами СДПР, особенно при
сильном расхождении мнений у некоторых из
них;
3.Поспешное
применение
правила
большинства, не позволяющего учесть мнения
всех членов СДПР.
Принятие решений в СДПР разительно
отличается от принятия индивидуальных
решений. У каждого из членов совета имеется,
как правило, свой взгляд на проблему. Если эти
взгляды полностью совпадают либо если в
группе есть диктатор, навязывающий свои
предпочтения,
то
задача
принятия
коллективных решений не возникает. В общем
же случае основной для СДПР является
проблема поиска компромисса, приемлемого
для всех членов совета. В данном случае можно
использовать теорию принятия решения в
малых группах и выделить три направления
исследований
по
принятию
решений.
Статистические
данные. База
данных по каждой
МО с БК.
Мониторинг операций с БК
Оценка вероятности
успешной реализации
конкретной МО (i), за
определенный промежуток
времени(t)
Оценка риска от конкретной
МО(i), за определенный
промежуток времени(t),
Оценка шанса от реализации методов
по ЗИ, от конкретной МО(i), за
определенный промежуток времени(t),
Выработка решений
по управлению
эффективностью ЗИ в
РПС, на основе БК, от
конкретной МО
ДА
НЕТ
Рис. 3. Структурная схема алгоритма управления эффективностью ЗИ в РПС, на основе БК, от
конкретной МО
1. Неантагонистические игры. Одно из
точки
зрения
является
наиболее
направлений в теории игр, ориентированное на
перспективным. Ярким примером могут
разработку
математических
моделей,
служить так называемые конференции по
описывающих процесс выработки компромисса
принятию решений (decision conference).
— поиск точек равновесия. Работы в данном
В РПС, на основе БК разработан и
направлении
имеют,
как
правило,
применен метод организации работы СДПР
теоретический характер.
при проведении конференции по принятию
решений по ЗИ [2]. В основу метода были
2.
Групповые
системы
поддержки
принятия
решений.
положены следующие принципы:
Разрабатываются
1.Для
эффективного
обсуждения
локальные сети для членов группы, а также
проблемы ЗИ РПС, на основе БК в СДПР
формальные
алгоритмы
сравнения
полезен
предварительный
анализ,
предпочтений
на
заданном
множестве
вскрывающий совпадение или расхождение
объектов. Как правило, системы поддержки
мнений членов СДПР о достоинствах и
принятия
решений
предназначены
для
недостатках рассматриваемых объектов РПС на
ознакомления каждого из членов группы с
основе БК;
мнениями других. Задача согласования мнений
2.Анализ
должен
определить
те
членов группы либо не ставится, либо сводится
конкретные вопросы, по которым совпадают
к усреднению мнений. С практической точки
зрения данный подход не соответствует
или расходятся мнения членов СДПР, выявить
намечающееся единство мнений, а также
задачам принятия ответственных решений.
образующиеся группы. Практический опыт
3. Организация работы группы с помощью
организации и проведения экспертных опросов
посредника (аналитика, консультанта). Это
по ЗИ в РПС
привел к выводу об
направление исследований с практической
исключительной
важности
разбиения
обсуждаемого вопроса на части. При сравнении
важных объектов РПС, на основе БК, при
оценке их качества очень важно выделить
составляющие этого качества — отдельные
критерии, и оценить объекты, которые
подлежат защите по каждому из них. Такой
подход позволяет:
1. Достичь большей объективности
получаемой информации. При оценке объектов
в целом сильнее проявляется возможность
субъективных
искажений.
Определив
положительные качества объектов РПС, члены
СДПР часто не принимают во внимание их
отрицательные качества. 2. Сделать более
конкретным и четким обсуждение полученной
информации. При обсуждении вопроса об
оценке объекта по одному из критериев
расхождения во мнениях членов СДПР, как
правило, меньше, чем при обсуждении оценки
объекта в целом.
Выделяют следующую последовательность
действий при принятии коллективных решений
советом
директоров
в
распределенной
платежной системе, на основе банковских карт
[2]:
1. Определение списка критериев. Для
рассматриваемого множества защищаемых
объектов ставится вопрос о выделении группы
критериев, которые необходимо принимать во
внимание при оценке объектов. Список этих
критериев образуется в результате опроса
каждого из членов СДПР. Перечень критериев,
полученных
от
всех
членов
СДПР,
согласовывается с каждым из ее членов в
отдельности. Иногда консультант может
предложить
предварительный
список
критериев, которые могли бы учитываться при
рассмотрении подобных вопросов.
2. Разработка шкал оценки по критериям.
На основе предварительного знакомства с
терминологией, применяемой обычно в данной
СДПР, консультант разрабатывает для каждого
критерия шкалу из нескольких словесных
качественных оценок, расположенных от
лучшей к худшей. Эти шкалы согласовываются
с каждым из членов СДПР РПС. Оценки на
шкалах должны быть понятными и исключать
неоднозначное толкование.
3. Сбор информации. Членам СДПР
раздаются
формы,
содержащие
список
критериев со шкалами. Число форм равно
числу защищаемых объектов РПС. Каждый из
членов СДПР оценивает рассматриваемые
объекты по каждому из критериев —
определяет одну из оценок по шкале критерия,
характеризующую
данный
объект.
При
необходимости каждый из членов ГПР может
через консультанта запросить дополнительную
информацию, необходимую ему для оценки
объектов.
Данные, полученные при индивидуальном
опросе членов СДПР, содержат информацию о
степени совпадения или расхождения их
мнений. Для выявления этой информации
требуется определенное время и специальный
анализ. В результате решение принимается
методом большинства.
Литература
1.Симонов С. Методология анализа рисков
в информационных системах. //Конфидент, №
1, 2001.- c.12-56.
2. Тейл Г. Экономические прогнозы и
принятие решений. М.: «Прогресс» 2000.-с.2128.
Международный институт компьютерных технологий, г. Воронеж
Институт менеджмента, маркетинга и финансов, г. Воронеж
MANAGEMENT OF EFFICIENCY OF PROTECTION OF THE INFORMATION IN THE
DISTRIBUTED PAYMENT SYSTEMS ON THE BASIS OF BANK CARDS
R.V. Menzhulin, S.I. Moiseev
The algorithm of management by efficiency of protection of the information in the distributed payment systems, on
the basis of bank cards, from concrete roguish operation, with measure use chance of risk is resulted
Key words: chance, risk, roguish operation, probability
Скачать