Совершенствование инструментальных средств выявления утечек инсайдерской информации в финансово-кредитных организациях (1142745), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Модуль основан на клиент-серверной архитектуре исостоит из двух частей: клиентской, собирающей биометрические данные привводе учетных данных с АРМ пользователей, и серверной, производящей иханализ.Полученные экспериментальные данные позволяют сделать вывод одостаточно точной аутентификации пользователя по его клавиатурной подписи.Полученный результат предоставляет возможность не только проведенияаутентификациипользователя,новозможностьидентификацииличностизлонамеренного нарушителя.

Для этого требуется наличие базы подписей всехпользователей системы. Использование помимо логина и пароля некоторогоидентификатора одинакового для всех пользователей позволяет создать такуюбазу данных. Инсайдер в этом случае встречается с еще более сложной задачей –не только войти в систему под чужими параметрами, но и скрыть свои. Очевидно,что намеренное грубое искажение своей подписи приведет к идентификацииинсайдера как такового. Если же инсайдер будет пытаться войти незаметно всистему, то неизбежно будет набирать свою подпись достаточно устойчиво, что,по ранее полученным данным, отраженным в базе, позволит определить еголичность. Схема работы программного комплекса представлена на рис.

2.Как утверждалось выше, для снижения информационных рисков отдеятельности инсайдеров важен комплексный подход. Поэтому внедрениеотдельно взятого программного комплекса анализа клавиатурной подписи не дастполного эффекта без использования других средств защиты данных. Поэтомуследует называть этот комплекс модулем системы защиты информации.22Рис. 2. – Схема работы модуля проверки клавиатурной подписи5.Оценкаэкономическойэффективностимодуляпроверкиклавиатурной подписи.Для оценки целесообразности внедрения модуля проверки клавиатурнойподписи требуется определить количество инсайдеров, способных реализоватьинформационные угрозы, для предотвращения которых он предназначен.Угрозы работы на чужом АРМ с помощью чужих учетных данных могутреализовывать три категории внутренних нарушителей:231.

Системные администраторы и офицеры безопасности – лица илиобладающие легитимным доступом в защищаемые системы, либоспособные без особых проблем получить такой доступ ввиду своихособых полномочий или статуса в компании.2. Квалифицированные специалисты, способные тем или иным способомполучить учетные данные зарегистрированных пользователей.3. Высококвалифицированныеспециалисты,обладающиенавыкамииспользования методов «агентурной разведки» (подкуп, шантаж,убеждение, принуждение), которые могут быть внедрены в компанию.Если предположить, что лояльность и осведомленность в ИБ всехсотрудниковкомпаниипримерноодинакова,тодолюобсуждаемыхвисследовании типов злонамеренных инсайдеров от общего числа сотрудниковможно вычислить как:II1 I 2EI3;(12)где I – искомое количество инсайдеров указанного типа;– количество администраторов и офицеров безопасности в компании;–количествоквалифицированныхсотрудниковвобластиинформационных технологий в компании;– оценочное количество сотрудников, имеющих навыки «агентурнойразведки;E – общее число сотрудников.В соответствии с проведенными в работе оценками, процент такихинсайдеров для компании, работающей в финансово-кредитном секторе, непревышает 15–20% от общего числа сотрудников.

При этом следует учитывать,что речь идет о банковской организации, а не о компании, работающей в ИТ или24ИБ сферах, где доля потенциальных нарушителей будет гораздо больше.Оценкуэкономическойэффективностивнедренияразработанногопрограммного комплекса в работе рекомендовано проводить на основе оценкивозврата инвестиций. В качестве полученной выгоды выступает оценкасокращаемых среднегодовых потерь, а в качестве вложенных средств – денежныесредства, прямо или косвенно затраченные на механизмы безопасности иобеспечивающие сокращение потерь.ВозвратинвестицийУменьшениесреднегодовыхпотерьСтоимостьзащитныхмерМаксимизация возврата инвестиций – одна из важнейших экономическихзадачинформационнойбезопасности.Дляопределениятого,насколькоэффективно защитные меры сокращают потери, используется коэффициентвозврата инвестиций (ROI), который определяется как отношение величинывозврата инвестиций к стоимости реализации контрмер, которая включает в себярасходы на их планирование, проектирование, внедрение, эксплуатацию,мониторинг и совершенствование.КоэффициентвозвратаROIинвестицийУменьшениесреднегодовыхпотерьСтоимостьзащитныхмерСтоимостьзащитныхмерДля применения показателя ROI при оценке эффективности контрмерпротив инсайдеров на основе разработанного комплекса необходимо оценитьзатраты на внедрение модуля анализа клавиатурной подписи.

Они складываютсяиз следующих составляющих:25первоначальная стоимость лицензий на программный модуль;стоимость оказания технической поддержки;стоимость серверного оборудования;стоимость трудозатрат технических специалистов на внедрение иадминистрирование системы;стоимость обучения администраторов, разработка части политикизащиты от инсайдеров, использующих чужие учетные данные.Ориентировочная стоимость внедрения модуля проверки цифровой подписив финансовой компании на 1000 рабочих мест составляет 900 тыс. руб.Средняя стоимость утечки конфиденциальной информации для российскойкомпании финансово-кредитного сектора, имеющего 1000 АРМ, составитпримерно 2,6 млн.

долл. Как было показано выше, риск утечки информацииподобного рода распространяется примерно на 15–20% всех пользователей вкомпании. Исходя из этих предположений, вероятные потери могут составитьвеличину порядка 13,26 млн. руб. В этом случае ежегодный возврат инвестиций вмодуль проверки клавиатурной подписи составит:ΔALE = 13 260 тыс. – 900 тыс. = 12 360 тыс. руб.Коэффициент возврата инвестиций для модуля проверки клавиатурнойподписи равен:ROI = 12 360 тыс. / 900 тыс.

≈ 13,7.Исходя из полученной оценки коэффициента возврата инвестиций, следуетсделать вывод о том, что внедрение разработанного в результате исследованиямодуля проверки клавиатурной подписи является экономически обоснованным.26Список работ, опубликованных по теме диссертации.Статьи в журналах, определенных ВАК Минобрнауки России:1.ГончаровинсайдерскойП.И.информацииУгрозаибезопасностисовременныеинформацииметодыотборьбыутечкисними/ П.И. Гончаров // Вестник экономической интеграции.

– 2013. – № 1–2.– С. 68–76. (0,81 п.л.);2.Гончаров П.И. Оценка экономической эффективности внедрениядополнительной скрытой аутентификации, предназначенной для выявлениясотрудников, работающих под чужими учетными данными / П.И. Гончаров //Вестник экономической интеграции. – 2013. – № 9 (66).– С. 21–36. (1,5 п.л.);3.ГончаровП.И.Использованиедополнительнойскрытойаутентификации при вводе учётных данных для выявления фактов работы зачужим рабочим местом / П.И. Гончаров // Вестник экономической интеграции.– 2013.

– № 9(66). – С. 120–131. (1,12 п.л.);Статьи опубликованные в других научных изданиях:4.Гончаров, П.И. Применение скрытых методов защиты информациидля предотвращения утечек инсайдерской информации / П.И. Гончаров,П.А. Нащёкин // Научно-технический сборник ОАО «Концерн «Системпром».2012. № 1(2) / Под ред. Ю.В. Бородакия. – М.: Изд-во «ОАО «Концерн«Системпром», 2012. – Инв. № Д-1673с от 2012 г. (0,75/0,35 п.л.);5.ГончаровП.И.Развитиеспециальныхсистемикомплексовмониторинга и воздействия на общественное мнение в ГИС Интернет /П.И.Гончаров//МатериалыВсероссийскойнаучнойконференции«Современные тенденции развития теории и практики управления в системахспециального назначения». – Т.

V – «Комплексная информационная безопасностьсистем специального назначения» / Под общ. ред. академика РАН, д-ра техн.наук, профессора Ю.В. Бородакия. – М.: ОАО «Концерн «Системпром», 2013.– С. 23-25. (0,1 п.л.)..

Характеристики

Список файлов диссертации