Рус Eng Cn Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Кибернетика и программирование
Правильная ссылка на статью:

Определение влияния человеческого фактора на основные характеристики угроз безопасности

Дерендяев Денис Александрович

аспирант, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики

197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49

Derendyaev Denis Aleksandrovich

post-graduate student of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

battelnet.net@mail.ru
Другие публикации этого автора
 

 
Гатчин Юрий Арменакович

доктор технических наук

профессор, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики

197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49

Gatchin Yurii Armenakovich

Doctor of Technical Science

professor of the Computing System Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

gatchin@mail.ifmo.ru
Другие публикации этого автора
 

 
Безруков Вячеслав Алексеевич

кандидат технических наук

доцент, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики

197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49

Bezrukov Vyacheslav Alekseevich

PhD in Technical Science

associate professor of the Department of Computer Systems Design and Safety at Saint Petersburg National Research University of Information Technologies, Mechanics and Optics

197101, Russia, Saint Petersburg, str. Kronverkskii Prospekt, 49

bezrukov@mail.ifmo.ru
Другие публикации этого автора
 

 

DOI:

10.25136/2644-5522.2019.3.19672

Дата направления статьи в редакцию:

06-07-2016


Дата публикации:

19-11-2019


Аннотация: В работе рассмотрен человеческий фактор с точки зрения угрозы влияния на проблемы информационной безопасности. Проведенный обзор экспертной оценки угроз безопасности за разные годы показал, что рост влияния человеческого фактора всё время возрастает. В статье отдельным множеством выделены угрозы безопасности наиболее подверженные влиянию человеческого фактора, которые занимают лидирующие позиции в общих статистиках. Приведен метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности: вероятность и критичность. Исследование строилось на работе с вероятностью возникновения и критичностью не связанных между собой угроз информационной безопасности с присутствием человеческого фактора. В работе проведен обзор экспертной оценки угроз информационной безопасности, который заключался в выделении наиболее вероятных и критичных угроз информационной безопасности с присутствием человеческого фактора. Приведенный метод расчета влияния человеческого фактора на угрозы информационной безопасности помогает понять насколько критично воздействие человеческого фактора, явно выделить его влияние и проследить уровень его воздействия, что в большинстве современных методик оценки угроз отсутствует ввиду рассмотрения угрозы информационной безопасности в целом, без учета того или иного фактора.


Ключевые слова:

человеческий фактор, вероятность угрозы, метод расчета, критичность угрозы, коэффициента влияния, информационная безопасность, экспертная оценка, угрозы безопасности, защита информации, влияние отдельного фактора

Abstract: The human factor is considered in the work from the point of view of threat of influence on information security problems. A review of the expert assessment of security threats over different years showed that the growing influence of the human factor is increasing all the time. The article outlines a number of security threats that are most affected by the human factor, which occupy leading positions in general statistics. The method of calculating the influence of the human factor on the main characteristics of information security threats is given: probability and criticality. The study was based on work with the probability of occurrence and criticality of unrelated threats to information security with the presence of the human factor. The paper reviews the expert assessment of information security threats, which consisted in identifying the most likely and critical threats to information security with the presence of a human factor. The above method of calculating the impact of the human factor on information security threats helps to understand how critical the impact of the human factor is, to clearly distinguish its influence and to trace the level of its impact, which is absent in most modern threat assessment methods due to the consideration of information security threats in general, without taking into account one or another factor .


Keywords:

human factor, probability of threat, calculation method, criticality of the threat, impact coefficient, Information Security, expert review, security threats, protection of information, single factor effect

Введение

Информационная безопасность с каждым годом становится всё более автоматизированной, что уменьшает влияние человека на процесс, но не исключает человеческого фактора, начиная от забытых паролей и заканчивая кражей информации.

Человеческий фактор – многозначный термин, описывающий возможность принятия человеком ошибочных или алогичных решений в конкретных ситуациях[1]. Корпорация Symantec и институт Ponemon Institute опубликовали результаты совместного исследования 2013 года «Оценка стоимости утечки информации: глобальный анализ» (2013 Cost of Data Breach Study: Global Analysis). Данные указывают на то, что системные сбои и человеческий фактор стали причиной 2/3 всех утечек информации[2]. Помимо этого существуют и другие исследования, в которых данный аспект занимает лидирующие позиции, что делает вопрос влияния человеческого фактора актуальным[3].

Целью данной работы является определение влияния человеческого фактора на угрозы информационной безопасности. В ней рассмотрена экспертная оценка угроз безопасности за разные годы и представлен метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности.

Обзор угроз информационной безопасности с присутствием человеческого фактора с точки зрения экспертной оценки

Обзор угроз с точки зрения экспертной оценки строился на рассмотрении актуальных угроз безопасности из существующих исследований в этой области и дальнейшем выделении из актуальных угроз тех, в которых наиболее явно присутствует человеческий фактор.

Большинство экспертных оценок угроз информационной безопасности можно разделить на две группы: вероятность возникновения угрозы и её критичность. Из представленных общих статистик были выделены угрозы, на которые влияние человеческого фактора является наиболее явным.

С точки зрения вероятности, проведенное исследование компании Gartner Group выделяет ошибки персонала – 55%[4]. Другое исследование, проведенное infoWath, ставит на первое место кражу информации – 64% , а халатность сотрудников составляет – 43%[5]. Наиболее критичными являются кража информации – 40%[6], халатность сотрудников и их неправомерные действия – 70%[7], что следует из статистики приведенной компанией Perimetrix и исследования CSI/FBI Computer Crime and Security Survey.

Некоторые исследования за длительный период [8] указывают на рост угроз безопасности с присутствием человеческого фактора. Помимо этого можно выделить общие статистики IT trade association CompTIA и Defense Department IT professionals [9,10], в которых выделен человеческий фактор, как причина возникновения белее половины, а именно 52% и 55%, угроз безопасности.

По рассмотренным экспертным оценкам можно явно выделить тот факт, что человеческий фактор является одним из наиболее критичных факторов, оказывающих влияние на возникновение той или иной угрозы безопасности и занимает лидирующие позиции в общих статистиках, что указывает на недостаточные меры противодействия данной проблеме и делает рассмотрение данного вопроса актуальным, помимо этого определение влияние человеческого фактора в виде математического описания позволит использовать метод определения для различных угроз и проследить влияние фактора в динамике[11].

Метод расчета влияния человеческого фактора на угрозы информационной безопасности безопасности

Пусть множество не взаимосвязанных угроз информационной безопасности с присутствием человеческого фактора `B={b_(i)}, i=1,...,N .`

Положим далее, что на возникновение угроз безопасности множества `B` оказывают влияние различные, не зависящие друг от друга факторы `C={c_(i)}, i=1,...,K.` В таком случае вероятность возникновения любой угрозы из множества можно `B` расписать как сумму вероятностей под влиянием различных факторов: `P(b_(i))=P(b_(i)|c_(1))+...+P(b_(i)|c_(k))=sum_(i=1)^k P(b_(i)|c_(k)),sum_(i=1)^k P(b_(i)|c_(k))<1` (1)

Введем коэффициент влияния человеческого фактора на угрозы информационной безопасности `X={x_(i)}, i=1,...,N` и положим, что в нашем случае человеческим фактором будет `c_(1)` , тогда вероятность возникновения угрозы можно представить в виде:

`P(b_(i))=x_(i)*P(b_(i))+...+P(b_(i)|c_(k)), x_(i)<1` (2)

Так как мы рассматриваем множество не взаимосвязанных угроз информационной безопасности, то вероятность реализации `P_(B)` хотя бы одной угрозы, вызванной человеческим фактором, можно определить следующим образом:

`P_(B)=sum_(i=1)^n P(b_(i))=P(b_(1))+...+P(b_(n)) ,sum_(i=1)^n P(b_(i))<1` (3)

Подставляя (2) в (3), можно записать следующее выражение для определения вероятности `P_(B)` :

`P_(B)=(x_(1)*P(b_(1))+...+P(b_(i)|c_(k))+...+(x_(n)*P(b_(n))+...+P(b_(n)|c_(k)))` (4)

Вероятность всех угроз безопасности с присутствием человеческого фактора и только под его влиянием `P_(B)(c_(1))`можно представить в виде:` `

`P_(B)(c_(1))=sum_(i=1)^n P(b_(i)|c_(1))=x_(1)*P(b_(1))+...+x_(n)*P(b_(n)),sum_(i=1)^n P(b_(i)|c_(1))<1` (5)

В связи с тем, что затруднительно точно определить значение коэффициента влияния человеческого фактора на каждую из угроз в отдельности, воспользуемся средним значением коэффициента `<< x>>` : `<< x>>=(x_(1)+...+x_(n))/(n)` (6)

Тогда формула (5) примет вид:` `

`P_(B)(c_(1))=<< x>>*P(b_(1))+...+<< x>>*P(b_(n))=<< x>>(P(b_(1))+...+P(b_(n)))` (7)

Исходя из [12] общее значение вероятности угроз под влиянием только человеческого фактора составляет 70% или 0,7: `<< x>>*(P(b_(1))+...+P(b_(n)))=<< x>>*sum_(i=1)^n P(b_(i))=0,7` (8)

Тогда коэффициент влияния человеческого фактора равен: `<< x>>=(0,7)/(sum_(i=1)^n P(b_(i)))` (9)

Данный коэффициент актуален как для вероятности угрозы, так и для её критичности, тогда значение критичности угрозы под влиянием только человеческого фактора можно оценить как: `Z(b_(i)|c_(i))=<< x>>*Z(b_(i))` (10)

` `

Заключение

В результате работы мы получили оценку влияния человеческого фактора на угрозы информационной безопасности. Представленный метод помогает определить критичность рассматриваемого фактора для основных характеристик угроз, что в дальнейшем можно использовать для оптимизации системы безопасности от угроз информационной безопасности с упором на противодействие человеческому фактору для угроз, на которые он оказывает наиболее критичное воздейтсвие.

Библиография
1. Человеческий фактор [Электронный ресурс] // Wikipedia: электронная библиотека. - Режим доступа: https://ru.wikipedia.org/wiki/, свободный. Яз. рус.
2. Причина большинства утечек информации – сбои системы и человеческий фактор [Электронный ресурс] // iso27000: информационный портал. 2013. Режим доступа: http://www.iso27000.ru/novosti-i-sobytiya/prichina-bolshinstva-utechek-informacii-2013-sboi-sistemy-i-chelovecheskii-faktor , свободный. Яз. рус.
3. Гафнер В.В. Информационная безопасность: уч. пособие. Ростов-на-Дону: Феникс, 2010. 324 с., свободный. Яз. рус.
4. Любинский А. Проблема "человеческого фактора" при защите корпоративной информации [Электронный ресурс] / А. Любинский // Aladdin-rd.ru – 2004. - Режим доступа: http://www.aladdin-rd.ru/company/pressroom/articles/2725/, свободный. Яз. рус.
5. Угрозы безопасности информации [Электронный ресурс] // DeHack :информационный портал. - Режим доступа: http://dehack.ru/ugrozi/?all, свободный. Яз.рус.
6. Инсайдерские угрозы в России [Электронный ресурс] // Perimetrix.ru.-2009.-Режим доступа:http://www.perimetrix.ru/downloads/rp/PTX_Insider_Security_Threats_in_Russia_2009.pdf , свободный. Яз. рус.
7. Зенкин Д. Офисные предатели опаснее хакеров [Электронный ресурс] /Д. Зенкин //CNews.ru.2004.Режим доступа:http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, свободный. Яз. рус.
8. Human factors in Information Security Management System [Электронный ресурс] // The State of Security-2013. Режим доступа: http://www.tripwire.com/state-of-security/security-data-protection/human-factors-effective-information-security-management-systems/ , свободный. Яз. англ.
9. Зенкин Д. Офисные предатели опаснее хакеров [Электронный ресурс] / Д. Зенкин // CNews.ru.2004. Режим доступа: http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, свободный. Яз. рус.
10. Price A. Human Factors in Information Security [Электронный ресурс] //А. Price, В.C. Young // International Journal of Computer and Information Technology. Vol. 04. – Issue05. - 2015. Режим доступа http://ijcit.com/archives/volume4/issue5/Paper040515.pdf, свободный. Яз. англ.
11. Коробейников А.Г., Гришенцев А.Ю., Кутузов И.М., Пирожникова О.И., Соколов К.О., Литвинов Д.Ю. Разработка математической и имитационной моделей для расчета оценки защищенности объекта информатизации от несанкционированного физического проникновения // NB: Кибернетика и программирование. 2014. № 5. С. 14-25. DOI: 10.7256/2306-4196.2014.5.12889. URL: http://e-notabene.ru/kp/article_12889.html
12. Гришина Н.В. Организация комплексной системы защиты информации. М.: Гелиос АРВ, 2007. 256 с., свободный. Яз. рус.
References
1. Chelovecheskii faktor [Elektronnyi resurs] // Wikipedia: elektronnaya biblioteka. - Rezhim dostupa: https://ru.wikipedia.org/wiki/, svobodnyi. Yaz. rus.
2. Prichina bol'shinstva utechek informatsii – sboi sistemy i chelovecheskii faktor [Elektronnyi resurs] // iso27000: informatsionnyi portal. 2013. Rezhim dostupa: http://www.iso27000.ru/novosti-i-sobytiya/prichina-bolshinstva-utechek-informacii-2013-sboi-sistemy-i-chelovecheskii-faktor , svobodnyi. Yaz. rus.
3. Gafner V.V. Informatsionnaya bezopasnost': uch. posobie. Rostov-na-Donu: Feniks, 2010. 324 s., svobodnyi. Yaz. rus.
4. Lyubinskii A. Problema "chelovecheskogo faktora" pri zashchite korporativnoi informatsii [Elektronnyi resurs] / A. Lyubinskii // Aladdin-rd.ru – 2004. - Rezhim dostupa: http://www.aladdin-rd.ru/company/pressroom/articles/2725/, svobodnyi. Yaz. rus.
5. Ugrozy bezopasnosti informatsii [Elektronnyi resurs] // DeHack :informatsionnyi portal. - Rezhim dostupa: http://dehack.ru/ugrozi/?all, svobodnyi. Yaz.rus.
6. Insaiderskie ugrozy v Rossii [Elektronnyi resurs] // Perimetrix.ru.-2009.-Rezhim dostupa:http://www.perimetrix.ru/downloads/rp/PTX_Insider_Security_Threats_in_Russia_2009.pdf , svobodnyi. Yaz. rus.
7. Zenkin D. Ofisnye predateli opasnee khakerov [Elektronnyi resurs] /D. Zenkin //CNews.ru.2004.Rezhim dostupa:http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, svobodnyi. Yaz. rus.
8. Human factors in Information Security Management System [Elektronnyi resurs] // The State of Security-2013. Rezhim dostupa: http://www.tripwire.com/state-of-security/security-data-protection/human-factors-effective-information-security-management-systems/ , svobodnyi. Yaz. angl.
9. Zenkin D. Ofisnye predateli opasnee khakerov [Elektronnyi resurs] / D. Zenkin // CNews.ru.2004. Rezhim dostupa: http://www.cnews.ru/articles/ofisnye_predateli_opasnee_hakerov, svobodnyi. Yaz. rus.
10. Price A. Human Factors in Information Security [Elektronnyi resurs] //A. Price, V.C. Young // International Journal of Computer and Information Technology. Vol. 04. – Issue05. - 2015. Rezhim dostupa http://ijcit.com/archives/volume4/issue5/Paper040515.pdf, svobodnyi. Yaz. angl.
11. Korobeinikov A.G., Grishentsev A.Yu., Kutuzov I.M., Pirozhnikova O.I., Sokolov K.O., Litvinov D.Yu. Razrabotka matematicheskoi i imitatsionnoi modelei dlya rascheta otsenki zashchishchennosti ob''ekta informatizatsii ot nesanktsionirovannogo fizicheskogo proniknoveniya // NB: Kibernetika i programmirovanie. 2014. № 5. S. 14-25. DOI: 10.7256/2306-4196.2014.5.12889. URL: http://e-notabene.ru/kp/article_12889.html
12. Grishina N.V. Organizatsiya kompleksnoi sistemy zashchity informatsii. M.: Gelios ARV, 2007. 256 s., svobodnyi. Yaz. rus.

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

Предмет исследования, в статье, носит не конкретизированный характер, что затрудняет определение цели данной работы, тем не менее автор сформулировал метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности (вероятность и критичность), что объясняет интерес рецензируемой рукописи.
Возможно, отдельные части статьи могут представлять интерес для узкого круга специалистов.
Сделанный обзор дает полное представление о текущем состоянии исследуемой научной проблемы, так как автор провел полный обзор экспертной оценки угроз информационной безопасности, который заключался в выделении наиболее вероятных и критичных угроз информационной безопасности с присутствием человеческого фактора.
Приведенный метод расчета влияния человеческого фактора на угрозы информационной безопасности позволяет понять насколько критично воздействие человеческого фактора, явно выделить его влияние и проследить уровень его воздействия, что в большинстве современных методик оценки угроз отсутствует ввиду рассмотрения угрозы информационной безопасности в целом, без учета того или иного фактора. Автор приводит конкретные расчеты влияния человеческого фактора на угрозы информационной безопасности, что позволяет ему наглядно аргументировать свою точку зрения.
Научная новизна исследования заключается в том, что представленный метод помогает определить критичность рассматриваемого фактора для основных характеристик угроз, что в дальнейшем позволяет его использовать для оптимизации системы безопасности от угроз информационной безопасности с упором на противодействие человеческому фактору для угроз, на которые он оказывает наиболее критичное воздействие.
Объем статьи не в полной мере соответствует критериям издания.
Статья может быть опубликована после незначительной доработки.