Оценка относительного ущерба безопасности информационной системы

Е.А. Дубинин, Ф.Б. Тебуева, В.В. Копытов

ОЦЕНКА  ОТНОСИТЕЛЬНОГО 
ОЦЕНКА  ОТНОСИТЕЛЬНОГО 

УЩЕРБА  БЕЗОПАСНОСТИ 
УЩЕРБА  БЕЗОПАСНОСТИ 

ИНФОРМАЦИОННОЙ  СИСТЕМЫ
ИНФОРМАЦИОННОЙ  СИСТЕМЫ

Монография
Монография

Москва 
РИОР

ИНФРА-М

УДК 007(075.4)
ББК 32.81+32.973
         Д79

Дубинин Е.А., Тебуева Ф.Б., Копытов В.В.

Оценка относительного ущерба безопасности информационной сис
темы: монография / Е.А. Дубинин, Ф.Б. Тебуева, В.В. Копытов. — Москва : 
РИОР : ИНФРА-М, 2022. — 192 + II с. — (Научная мысль). — DOI: 
https://doi.org/10.12737/4558

ISBN 978-5-369-01371-7 (РИОР)
ISBN 978-5-16-010120-0 (ИНФРА-М, print)
ISBN 978-5-16-101863-7 (ИНФРА-М, online)
В монографии исследуется адекватность существующих способов оценки ущерба 

безопасности информационной системы. Для повышения достоверности оценки относительного ущерба безопасности информационной системы предложено использовать мнения экспертов. Разработан модифицированный метод сложения функций 
принадлежности нечетких экспертных оценок, который учитывает важность мнений 
экспертов и пригоден для носителей в относительных величинах. Модифицированный 
метод сложения функций принадлежности нечетких экспертных оценок пригоден для 
реализации в системах менеджмента и аудита информационной безопасности.

Для специалистов в области аудита безопасности объектов информатизации, 

а также для преподавателей, студентов и аспирантов технических специальностей.

УДК 007(075.4)
ББК 32.81+32.973
ISBN 978-5-369-01371-7 (РИОР)
ISBN 978-5-16-010120-0 (ИНФРА-М, print)
ISBN 978-5-16-101863-7 (ИНФРА-М, online)

© Дубинин Е.А., Тебуева Ф.Б., 

Копытов В.В.

Д79

А в т о р ы :
Дубинин Евгений Александрович, канд. техн. наук;
Тебуева Фариза Биляловна, канд. физ.-мат. наук, доцент; Северо-Кавказский федеральный университет, кафедра организации и технологии защиты информации;
Копытов Владимир Вячеславович, д-р техн. наук, профессор; Северо-Кавказский 
федеральный университет, кафедра организации и технологии защиты информации

ФЗ 
№ 436-ФЗ
Издание не подлежит маркировке 
в соответствии с п. 1 ч. 2 ст. 1

A u t h o r s :
Dubinin Eugene Alexandrovich, Ph.D. in Engineering;
Tebueva Fariza Bilyalovna, Ph.D. in Physics and Mathematics; North-Caucasian Federal 
University, Department of organization and information security technologies;
Kopitov Vladimir Vyacheslavovich, Doctor of Engineering, professor, North-Caucasian Federal 
University, Department of organization and information security technologies

Dubinin Е.А., Tebueva F.B., Kopitov V.V.

The estimation of relative damage of information system security : monograph / 

E.A. Dubinin, F.B. Tebueva, V.V. Kopitov. — Мoscow : RIOR : INFRA-M, 2022. — 
192 + II p. — (Science). — DOI: https://doi.org/10.12737/4558

ISBN 978-5-369-01371-7 (RIOR)
ISBN 978-5-16-010120-0 (INFRA-M, print)
ISBN 978-5-16-101863-7 (INFRA-M, online)
The monograph explores ways to assess the adequacy of existing damage to the security of informa
tion system. To improve the reliability of estimates of relative damage to the security of information 
system is proposed to use expert opinion. The modified method of addition of functions of fuzzy expert 
assessments recognizes the importance of expert opinion and is suitable for carriers in relative terms. 
The modified method of addition of functions of fuzzy expert assessments is suitable for implementation 
in systems management and information security audit.

For specialists in auditing the security of objects of informatization, as well as for teachers, students 

and graduate students of technical specialties.

УДК 007(075.4)
ББК 32.81+32.973
         Д79

Дубинин Е.А., Тебуева Ф.Б., Копытов В.В.
Оценка относительного ущерба безопасности информационной системы: монография / Е.А. Дубинин, Ф.Б. Тебуева, В.В. Копытов. — М. : 
РИОР : ИНФРА-М, 2018. — 192 + II с. — (Научная мысль). — DOI: 
https://doi.org/10.12737/4558
ISBN 978-5-369-01371-7 (РИОР)
ISBN 978-5-16-010120-0 (ИНФРА-М, print)
ISBN 978-5-16-101863-7 (ИНФРА-М, online)
В монографии исследуется адекватность существующих способов оценки ущерба 
безопасности информационной системы. Для повышения достоверности оценки относительного ущерба безопасности информационной системы предложено использовать мнения экспертов. Разработан модифицированный метод сложения функций 
принадлежности нечетких экспертных оценок, который учитывает важность мнений 
экспертов и пригоден для носителей в относительных величинах. Модифицированный 
метод сложения функций принадлежности нечетких экспертных оценок пригоден для 
реализации в системах менеджмента и аудита информационной безопасности.
Для специалистов в области аудита безопасности объектов информатизации, а 
также для преподавателей, студентов и аспирантов технических специальностей.
УДК 007(075.4)
ББК 32.81+32.973
ISBN 978-5-369-01371-7 (РИОР)
ISBN 978-5-16-010120-0 (ИНФРА-М, print)
ISBN 978-5-16-101863-7 (ИНФРА-М, online)
© Дубинин Е.А., Тебуева Ф.Б., 
Копытов В.В.

Д79

А в т о р ы :
Дубинин Евгений Александрович, канд. техн. наук;
Тебуева Фариза Биляловна, канд. физ.-мат. наук, доцент; Северо-Кавказский федеральный университет, кафедра организации и технологии защиты информации;
Копытов Владимир Вячеславович, д-р техн. наук, профессор; Северо-Кавказский 
федеральный университет, кафедра организации и технологии защиты информации

ФЗ 
№ 436-ФЗ
Издание не подлежит маркировке 
в соответствии с п. 1 ч. 2 ст. 1

A u t h o r s :
Dubinin Eugene Alexandrovich, Ph.D. in Engineering;
Tebueva Fariza Bilyalovna, Ph.D. in Physics and Mathematics; North-Caucasian Federal 
University, Department of organization and information security technologies;
Kopitov Vladimir Vyacheslavovich, Doctor of Engineering, professor, North-Caucasian Federal 
University, Department of organization and information security technologies

Dubinin Е.А., Tebueva F.B., Kopitov V.V.
The estimation of relative damage of information system security : monograph / 
E.A. Dubinin, F.B. Tebueva, V.V. Kopitov. — Мoscow : RIOR : INFRA-M, 2018. — 
192 + II p. — (Science). — DOI: https://doi.org/10.12737/4558
ISBN 978-5-369-01371-7 (RIOR)
ISBN 978-5-16-010120-0 (INFRA-M, print)
ISBN 978-5-16-101863-7 (INFRA-M, online)
The monograph explores ways to assess the adequacy of existing damage to the security of information system. To improve the reliability of estimates of relative damage to the security of information 
system is proposed to use expert opinion. The modified method of addition of functions of fuzzy expert 
assessments recognizes the importance of expert opinion and is suitable for carriers in relative terms. 
The modified method of addition of functions of fuzzy expert assessments is suitable for implementation 
in systems management and information security audit.
For specialists in auditing the security of objects of informatization, as well as for teachers, students 
and graduate students of technical specialties.

ВВЕДЕНИЕ 

Внедрение новых информационных технологий в деятельность современных предприятий и организаций позволяет существенно расширить их потенциальные возможности, что создает предпосылки для более эффективной работы. Однако при этом возникают новые проблемы, 
требующие своевременного решения. Во-первых, объединение разнородных информационных систем от разных производителей, с разными 
принципами защиты информации в единой корпоративной сети приводит к росту уязвимостей совокупной инфраструктуры. Уязвимости могут носить как явный, так и скрытый характер и не всегда могут быть 
нейтрализованы. Во-вторых, образование общего информационного 
пространства повышает доступность информационных ресурсов, что 
приводит к увеличению вероятности несанкционированного доступа к 
информации и к возникновению угроз со стороны как внешних, так и 
внутренних нарушителей. В-третьих, внедрение информационных технологий сопровождается интеграционными процессами в самой инфраструктуре, что приводит к опасной концентрации информации. В результате этого в одном месте накапливается столько информации, что 
она полностью раскрывает технологии управления и ведения бизнеса, 
характерные для организации. Потеря или утечка этой информации 
может представлять серьезную угрозу для организации. Наконец, объединение систем с разными принципами обеспечения информационной 
безопасности в единой корпоративной сети делает проблему обеспечения информационной безопасности чрезвычайно трудной даже для 
квалифицированных специалистов. Это усугубляется тем, что проблема 
информационной безопасности требует выхода на организационноуправленческий уровень, что часто находится за пределами компетенции технических специалистов. В результате отмеченных тенденций 
многократно увеличивается уровень риска и ущерба информационной 
системы. Без принятия надлежащих мер это может представлять серьезную угрозу устойчивому развитию для любой организации. Противостоять этой негативной тенденции могут только своевременно принятые и адекватные меры, направленные на недопущение чрезмерного 
возрастания риска и ущерба. 
Откликом на негативные тенденции можно считать появление 
стандартов серии ИСО 27000 по разработке систем менеджмента информационной безопасности, в основу которых положены процедуры 
выявления и оценивания рисков. Следует отметить, что к настоящему 
времени известно множество методик и алгоритмов оценивания 
ущерба информационной системе предприятия, которые были успешно использованы для решения многих задач, возникающих при аудите 
и обследовании информационных систем.  
Однако в системах менеджмента информационной безопасности к 
алгоритмам оценки рисков и ущерба информационной системе предъявляются намного более высокие требования.  

Во-первых, эти алгоритмы должны работать в контуре управления. 
При этом монотонные изменения исходных данных должны приводить 
к монотонному (не скачкообразному) изменению функции ущерба, поэтому большинство алгоритмов, в которых функция ущерба представляется в виде таблицы зависимости дискретных значений ущерба от 
дискретных значений исходных данных, оказываются непригодными. 
Во-вторых, алгоритмы, используемые в контуре управления, 
должны быть достаточно чувствительными. Для этого шкалы, используемые для оценки рисков и входных параметров должны быть достаточно представительными (быть многоуровневыми). Это необходимо 
для того, чтобы система менеджмента информационной безопасности 
адекватно реагировала на текущие изменения входных данных. Простые алгоритмы, использующие трех-, пяти- и даже восьмиуровневые 
шкалы, непригодны в современных условиях. 
В-третьих, используемые алгоритмы должны быть устойчивыми по 
отношению к используемым моделям входных данных. Это связано с 
тем, что системы менеджмента информационной безопасности должны 
работать в условиях большой априорной неопределенности относительно исходных данных. При этом отклонения от исходной модели, для 
которой разработаны алгоритмы оценки ущербов, не должны вызывать 
нарушение работы в целом. По этой причине для синтеза алгоритмов 
оценки плохо подходят классические методы статистического анализа.  
В силу указанных причин разработка универсальных методик и алгоритмов выявления и оценки степени информационных ущербов, 
которые могли бы быть встроены в контур управления, представляется чрезвычайно актуальной.  
В первой главе монографии описывается объект исследования, его 
функции и основные задачи. Проводится исследование современных 
методов и средств анализа риска. Обосновывается необходимость использования аппарата нечетких множеств для анализа риска и ущерба 
безопасности информационной системы. 
Во второй главе приведена авторская методика нечеткого оценивания уровня ущерба безопасности информационной системы, базирующаяся на экспертном подходе построения функций принадлежности воздействия отдельных угроз. Приводится пример расчета нечеткого множества ущерба безопасности информационной системы по 
этой методике с немонотонными типовыми трендами поведения. 
В третьей главе описывается компьютерная программа «Оценка 
ущерба информационной системе предприятия». Программа является 
экспертной системой, в которой заложена база правил взаимосвязи 
адекватных для конкретной информационной системы угроз и уровней ущерба от их реализации. Результатом работы программы является информация о наиболее проблемных областях информационной 
системы конкретного предприятия; о значимости и величине воздействующих классов угроз. 

Глава 1. ПРОБЛЕМЫ ОЦЕНИВАНИЯ УЩЕРБОВ 
БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ 
 
В современной быстро изменяющейся обстановке при управлении 
предприятием или организацией любого уровня без достаточного информационного обеспечения невозможно принимать своевременные и 
адекватные решения. Это определяет необходимость внедрения сложных систем сбора, обработки, хранения и анализа различной информации [108]. Информационная система предприятия, представляющая 
собой организационно-техническую систему, реализующая различные 
информационные технологии и предусматривает аппаратное, программное и другие виды обеспечения, а также соответствующий квалифицированный персонал [43, 44, 91, 105, 121]. 
Применение компьютеров и различных информационных систем 
для сбора, обработки, хранения и анализа информации [4, 104] позволяет увеличить объемы обрабатываемых данных и их концентрацию в 
вычислительных системах. На современном этапе развития информационных технологий все чаще для решения разных прикладных задач 
используют математический аппарат нечетких множеств [50, 67, 68, 
69, 112] и все меньше аппарат теории вероятности. Эта тенденция 
также повлияла на создание моделей и систем с нечеткой логикой [33, 
39, 40, 47, 64, 80, 98], направленных на решение задач в сфере обеспечения информационной безопасности. Прежде всего это связано с тем, 
что процессы, которые происходят в исследуемом объекте, характеризуются большой степенью неопределенности, случайности, нестабильности, влиянием разнообразных возмущений во времени и т.п. 
Указанные факторы становятся существенным препятствием для построения точных моделей, основанных на классических теориях и 
моделях. 
 
1.1. Аудит в системе менеджмента 
информационной безопасности 
 
Система менеджмента информационной безопасности — совокупность процессов, работающих в компании для обеспечения конфиденциальности, целостности и доступности информационных активов 
[20, 53, 63, 92, 107, 111]. Перечень процессов и рекомендации, как 
наилучшим образом организовать их функционирование, приведены в 
международном стандарте ISO 27001:2005 [70]. Работа системы менеджмента информационной безопасности основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации [1, 32]. 
Внедрение системы менеджмента информационной безопасности 
подразумевает разработку и внедрение процедуры, направленной на 
систематическую идентификацию, анализ и смягчение рисков инфор

мационной безопасности, т.е. рисков, в результате которых информационные активы (информацию в любой форме и любого характера) 
потеряют конфиденциальность, целостность и доступность. 
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки 
рисков, в организации используются методы аудита информационной 
безопасности [24, 51, 60]. Аудит информационной безопасности — 
процесс получения объективных оценок (качественных и количественных) текущего состояния информационной безопасности предприятия в соответствии с определенными критериями и показателями 
безопасности [37, 96]. 
Основными целями аудита информационной безопасности являются: 
 получение оценки состояния защищенности информационной системы; 
 расчет материальных средств, инвестируемых в создание системы 
менеджмента информационной безопасности;  
 оценка возможного ущерба от реализации информационных угроз; 
 разработка требований к построению политики безопасности; 
 расчет необходимых ресурсов для создания системы менеджмента 
информационной безопасности; 
 внедрение системы менеджмента информационной безопасности. 
Одним из самых часто используемых видов аудита является активный аудит. Это исследование состояния защищенности информационной системы предприятия с помощью специального программного 
обеспечения. При таком анализе осуществляется сбор информации о 
состоянии системы информационной безопасности. Под специальным 
программным обеспечением понимают разнообразные сканеры сети, 
анализаторы сетевого трафика [106, 116]. Цель таких программ — 
сканирование и зондирования сетевых ресурсов с целью выявления их 
уязвимостей. Результатом активного аудита является информация обо 
всех уязвимостях информационной сети, степени критичности уязвимости и способах устранения. 
Активный аудит делится на два вида: 
 внешний; 
 внутренний. 
Разница между ними заключается в том, что при внешнем аудите 
моделируются действия нарушителя находящегося за пределами 
информационной системы, а при внутреннем аудите моделируются 
действия нарушителя находящегося в нутрии информационной системы. 
Другим видом аудита является экспертный аудит. Данный способ 
аудита основывается на мнении экспертов, участвующих в анализе 
системы информационной безопасности. Экспертный аудит заключа

ется в подробном описании системы защиты и сравнении ее с некоторой идеальной моделью. Результатом экспертного аудита является 
отчет экспертов о найденных уязвимостях и рекомендации по их устранению, по выбору систем защиты и специальных технических 
средств. 
Каждый из описанных видов аудита может проводиться отдельно 
или в комплексе в зависимости от задач, поставленных перед аудитором. В качестве объекта аудита обычно выступает система менеджмента информационной безопасности, но в отдельных случаях допускается проводить аудит отдельных частей системы, в которых обрабатывается информация. 
Еще одним видом аудита является аудит на соответствие стандартам. Суть данного вида аудита является сравнение состояния системы 
информационной безопасности с рекомендациями, приведенными в 
стандартах по информационной безопасности [14, 58, 70].  
Такими стандартами являются: 
 руководящие документы Федеральной службы по техническому и 
экспортному контролю; 
 международные стандарты ISO/IEC. 
Данный вид аудита является обязательным для государственных 
организаций обрабатывающих сведения, составляющие государственную тайну. 
Несмотря на множество видов аудита, сам процесс проведения 
можно разделить на четыре этапа: 
 разработка регламента проведения аудита;  
 сбор исходных данных; 
 анализ полученных данных; 
 разработка рекомендаций по повышению уровня защиты. 
На первом этапе определяется порядок проведения работ. Он заключается в определении объекта исследования, методов исследования, специального программного обеспечения. 
На втором этапе осуществляется сбор исходной информации. Это 
опрос [83] сотрудников предприятия, анализ технической документации, использование специализированного программного обеспечения. 
Итогом второго этапа является обширный отчет о состоянии информационной безопасности, который включает в себя информацию о 
политике безопасности, об аппаратном обеспечении сети, об общесистемном программном обеспечении, о прикладном программном 
обеспечении, о средствах защиты, о топологии сети. 
На третьем этапе анализируется собранная информация. Определяется уровень защищенности информационной системы. На этом 
этапе осуществляется анализ рисков информационной безопасности, 
которым может быть подвержено предприятие. Другими словами, 
определяется эффективность средств защиты и их способность противостоять воздействию информационных угроз. 

Уровень риска можно установить путем оценки степени соответствия информационной безопасности определенному набору требований по обеспечению информационной безопасности [41, 46, 52, 102]. 
Или путем проведения инструментального анализа защищенности, 
который определяет риск от реализации атак и уровня ущерба [61, 85, 
89, 97]. Риск вычисляется для каждой атаки в отдельности и определяется как произведение вероятности проведения атаки на величину 
возможного ущерба от реализации этой атаки [21, 73]. Ущерб (стоимость) определяется собственником информационного ресурса, а вероятность атаки — группой экспертов. 
Для оценки риска могут использоваться количественные или качественные шкалы. Количественные шкалы выражаются в числовых 
значениях, следовательно, вероятность проведения атаки может выражаться числом в определенном интервале, а ущерб от реализации 
этой атаки может задаваться в виде материальных потерь (стоимость 
ресурса). В качественных шкалах числовые значения заменяются на 
понятийные уровни. Каждому понятийному уровню соответствует 
определенный интервал количественной шкалы оценки. При расчете 
информационного риска могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений [8, 15]. 
По результатам третьего этапа на четвертом этапе проводится разработка рекомендаций по повышению уровня защищенности информационной системы от информационных угроз [15]: 
 уменьшение риска за счет использования дополнительных организационных и технических средств защиты;  
 уменьшение риска путем изменения архитектуры информационной системы; 
 изменение характера риска в результате принятия мер по страхованию; 
 принятие риска если он не представляет опасности для информационной системы. 
Аудит информационной безопасности является эффективным инструментов для оценки уровня защищенности информационной системы предприятия от реализации информационных угроз. Частота 
проведения аудита зависит от того, как часто в информационную систему предприятия вносятся изменения — добавляется новое оборудование, меняется системное и прикладное программное обеспечение. 
При регулярном проведении аудита уровень защищенности информационной системы будет на достаточно высоком уровне [84]. 
Процессы системы менеджмента информационной безопасности 
затрагивают все аспекты управления инфраструктурой предприятия, 
так как информационная безопасность является результатом устойчивого функционирования процессов, связанных с информационными 
технологиями. 

1.2. Современные методы и средства анализа рисков 
и ущербов информационной безопасности 
 
Ущерб безопасности информационной системы представляет собой численную величину урона в денежном выражении, нанесенного 
деятельности предприятия в результате реализации угроз безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации [74, 103, 110]. В математическом смысле, ущерб безопасности информационной системы 
предприятия представляет собой произведение риска наступления 
события, влияющего на информационную безопасность, на стоимость 
информации, обрабатываемой в информационной системе [106, 109]. 
 
1.2.1. Методы количественного анализа риска 
 
Количественными методами анализа рисков, воздействующих на 
информационную систему предприятия, являются [53, 75]: 
 метод статистического анализа; 
 метод экспертных оценок; 
 аналитический метод; 
 метод аналогов. 
Статистические методы заключаются в накоплении статистических данных о реализации тех или иных информационных угроз и 
последующих денежных потерях, имевших место на данном или похожем предприятии, с целью определения вероятности инцидентов и 
величины возможного ущерба. Величина, или степень, риска измеряется при этом двумя показателями: средним значением (которое ожидается) и вариацией (изменчивостью) возможного результата. 
Среднее ожидаемое значение риска выражается в виде средневзвешенной величины всех учтенных результатов. Однако средняя величина не позволяет принять окончательное решение. Для этого решения 
необходимо учесть дисперсию (среднеквадратическое отклонение) случайной величины при заданном законе распределения [38]. 
При использовании статистических методов используются гипотезы о наиболее вероятных законах распределения случайных величин, 
зависящих от многих факторов. Наиболее часто принимается гипотеза 
нормального распределения для непрерывных величин и показательного распределения для дискретных величин. При справедливости 
гипотез исходных законов распределения статистические методы позволяют получить оценки риска, оптимальные в смысле выбранного 
критерия. 
К статистическим методам относится метод статистических испытаний, который часто называют методом Монте-Карло [119, 120]. Его 
преимущество заключается в возможности анализировать и оценивать 
различные «сценарии» развития атак на информационные ресурсы