МЕТОД ВЗВЕШЕННЫХ КРИТЕРИЕВ ДЛЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ВНЕДРЕНИИ ИТ-СИСТЕМ

Аннотация. В статье рассматривается метод взвешенных критериев как инструмент количественной оценки рисков информационной безопасности на этапе внедрения информационно-технологических систем. Описана последовательность применения метода: формирование перечня критериев, экспертное определение весовых коэффициентов, балльная оценка угроз и расчёт интегрального показателя риска. Приведён иллюстративный пример расчёта. Сделан вывод о применимости метода для приоритизации защитных мер в условиях ограниченных ресурсов.

Ключевые слова: информационная безопасность, оценка рисков, метод взвешенных критериев, внедрение ИТ-систем, экспертная оценка, угрозы, защитные меры.

1. Введение

Внедрение информационно-технологических (ИТ) систем в деятельность организаций сопровождается появлением новых угроз информационной безопасности (ИБ), связанных с расширением периметра обработки данных, интеграцией с внешними сервисами и возрастающей зависимостью бизнес-процессов от программно-аппаратных средств. По данным отраслевых отчётов, доля инцидентов, происходящих на этапе ввода ИТ-систем в эксплуатацию, остаётся стабильно высокой, что обусловлено накоплением проектных, конфигурационных и организационных ошибок.

Существующие нормативные документы — ГОСТ Р ИСО/МЭК 27005-2010, ГОСТ Р 57580.1-2017, методические документы ФСТЭК России — определяют общие подходы к управлению рисками ИБ, однако не регламентируют выбор конкретного аналитического метода. На практике это приводит к необходимости адаптации универсальных методов оценки к специфике внедряемой системы. Одним из таких методов является метод взвешенных критериев, позволяющий получать количественную оценку рисков в условиях неполноты и разнородности исходных данных.

Цель статьи — описать процедуру применения метода взвешенных критериев для оценки рисков ИБ при внедрении ИТ-систем и продемонстрировать её на иллюстративном примере.

2. Сущность метода взвешенных критериев

Метод взвешенных критериев относится к группе многокритериальных методов принятия решений. Его сущность заключается в представлении интегрального показателя риска как линейной свёртки частных оценок по выбранным критериям с учётом весовых коэффициентов, отражающих относительную значимость каждого критерия.

Расчёт интегральной оценки риска R производится по формуле:

R = Σ (wᵢ · xᵢ),   i = 1, 2, …, n,

где wᵢ — весовой коэффициент i-го критерия, удовлетворяющий условию нормирования Σ wᵢ = 1; xᵢ — балльная оценка по i-му критерию, выставляемая по принятой шкале (как правило, от 1 до 5 или от 1 до 10); n — общее число критериев.

Применение метода предполагает выполнение следующих этапов: формирование перечня критериев оценки; определение весовых коэффициентов; разработка шкалы балльных оценок; экспертная оценка угроз; расчёт интегрального показателя; интерпретация полученных значений и формирование рекомендаций.

3. Формирование критериев и определение весовых коэффициентов

Перечень критериев формируется с учётом специфики внедряемой ИТ-системы, требований нормативных документов и результатов предварительного анализа угроз. Применительно к задаче оценки рисков ИБ при внедрении ИТ-систем целесообразно выделить следующие группы критериев: вероятность реализации угрозы; ущерб для конфиденциальности, целостности и доступности информации; стоимость восстановления; репутационные последствия; вероятность обнаружения; сложность реализации защитных мер.

Весовые коэффициенты определяются методами экспертных оценок. Наиболее распространёнными являются метод непосредственной оценки, метод парных сравнений (метод анализа иерархий Т. Саати) и метод ранжирования. Согласованность экспертных мнений проверяется с помощью коэффициента конкордации Кендалла W, значение которого должно быть не менее 0,7 для признания оценок согласованными.

Шкала балльных оценок строится таким образом, чтобы обеспечить однозначность интерпретации значений. Рекомендуется использовать пятибалльную шкалу с описательной характеристикой каждого уровня: 1 — пренебрежимо малое значение; 2 — низкое; 3 — среднее; 4 — высокое; 5 — критическое.

4. Пример применения метода

Рассмотрим иллюстративный пример оценки риска ИБ для угрозы несанкционированного доступа к данным при внедрении корпоративной CRM-системы. В таблице 1 приведены принятые критерии, их весовые коэффициенты и балльные оценки, полученные по результатам экспертного опроса.

Таблица 1.

Расчёт интегрального показателя риска

Полученное значение интегрального показателя R = 3,85 интерпретируется в соответствии с принятой шкалой: значения в диапазоне (1,0; 2,0] соответствуют низкому уровню риска; (2,0; 3,0] — умеренному; (3,0; 4,0] — высокому; (4,0; 5,0] — критическому. Таким образом, рассматриваемая угроза классифицируется как угроза высокого уровня и требует первоочередной реализации защитных мер.

5. Преимущества и ограничения метода

К преимуществам метода взвешенных критериев относятся: простота вычислительной процедуры; возможность учёта качественных и количественных факторов в рамках единой модели; наглядность результатов и их пригодность для приоритизации защитных мер; возможность пересчёта оценок при изменении исходных данных без перестройки модели.

Основным ограничением метода является зависимость результатов от субъективности экспертных оценок, что требует тщательного отбора экспертов и проверки согласованности их мнений. Кроме того, линейная свёртка не отражает возможных нелинейных взаимосвязей между критериями. Для снижения этих ограничений метод целесообразно дополнять методами чувствительности и сценарного анализа.

6. Заключение

Метод взвешенных критериев представляет собой эффективный инструмент количественной оценки рисков информационной безопасности при внедрении ИТ-систем. Его применение позволяет формировать обоснованные приоритеты в распределении ресурсов на защитные мероприятия и обеспечивать прозрачность принимаемых решений. Дальнейшим направлением исследований является разработка типовых наборов критериев и шкал для отдельных классов внедряемых ИТ-систем, что позволит снизить трудоёмкость экспертной оценки и повысить сопоставимость результатов.