Научный журнал
Фундаментальные исследования
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,441

ОЦЕНКА ЭФФЕКТИВНОСТИ И РИСКОВ ОТ ВНЕДРЕНИЯ ОБЛАЧНЫХ ИТ-СЕРВИСОВ

Разумников С.В. 1
1 ЮТИ ТПУ «Юргинский технологический институт (филиал) Национального исследовательского Томского политехнического университета»
Хотя за последние несколько лет «облачные» сервисы приобрели огромную популярность у предприятий за свои многочисленные выгоды, они не лишены рисков в таких областях, как безопасность, конфиденциальность данных и доступность данных. Стало очевидно, что необходимо единое мнение о методах оценки рисков облачных вычислений, но этого трудно добиться, поскольку в отрасли отсутствует единая, стандартная, структурированная платформа, которая могла бы помочь предприятиям в оценке и снижении рисков «облачных» вычислений. Существуют методы, позволяющие сделать систему безопасной изначально, вместо того чтобы полагаться на аттестаты безопасности, которые предлагает поставщик услуг облачных вычислений. В работе предложена функциональная SADT-модель оценки эффективности и рисков облачных ИТ, а также критерий и показатели оценки. На основе предложенных показателей разработана аддитивная модель факторного анализа по оценке рисков применения облачных ИТ-сервисов.
методы
модели
оценка
риски
сервисы
облачные вычисления
эффективность
1. 8 шагов к безопасным облачным системам // Information Security / Информационная безопасность. – 2013. – № 1. – С. 28–29.
2. Маслов А.В., Григорьева А.А. Математическое моделирование в экономике и управлении: учебное пособие – Юрга: Изд-во Юргинского технологического института (филиала) Томского политехнического университета, 2007. – 264 с.
3. Разумников С.В. Анализ существующих методов оценки эффективности информационных технологий для облачных ИТ-сервисов [Электронный ресурс] // Современные проблемы науки и образования. – 2013. – № 3. – C. 1. – Режим доступа: www.science-education.ru/109-9548.
4. Разумников С.В. Моделирование оценки рисков при использовании облачных ИТ-сервисов // Фундаментальные исследования. – 2014 – № 5–1. – C. 39–43.
5. Razumnikov S.V. Assessing efficiency of cloud-based services by the method of linear programming // Applied Mechanics and Materials. – 2013. – Vol. 379. – Р. 235–239.

Развитие научно-технического прогресса обусловило широкое внедрение информационных технологий (ИТ) во все области жизнедеятельности общества. ИТ позволили значительно упростить сбор и обработку разнообразных статистических данных о деятельности организации. Однако программное обеспечение для автоматизации управленческих процессов имеет очень большую стоимость. Внедрение таких решений может занимать длительное время, от месяцев до нескольких лет [3].

Последние 4–5 лет все большую популярность приобретают облачные технологии (ИТ-сервисы), которые находятся еще в стадии становления и являются новыми для России. Облачные вычисления обладают огромными преимуществами по сравнению с обычными ИТ, но и риски более высоки [5].

В связи с этим каждый ответственный руководитель не будет заниматься проектом внедрения проектов в области ИТ без предварительного расчета выгод от его эксплуатации, а это невозможно сделать без тщательного анализа и определения экономической необходимости, целесообразности и эффективности. Обязательной составляющей технико-экономического обоснования ИТ-проекта является оценка его экономической эффективности [3]. Поэтому особую важность приобретают вопросы по выбору методики по оценке эффективности и рисков от внедрения ИТ.

Целью данной работы является разработка и реализация математических моделей, алгоритмов и компьютерной программы, базирующихся на оценке экономической эффективности и анализе рисков от внедрения облачных ИТ-сервисов, позволяющих руководству предприятий принимать верное решение на внедрение.

Все используемые сегодня методики оценки эффективности внедрения ИТ являются расчетными моделями [3], не представляя ни одного алгоритма оптимизации. Однако в некоторых случаях возможно решение задачи, например, линейного программирования, при этом один из финансовых показателей – целевая функция, а на остальные заданы ограничения. В [5] представлен пример использования линейного программирования для оценки эффективности применения облачных ИТ-сервисов.

Зарубежными авторами предлагается количественная модель измерения безопасности для облачных приложений MFC (Средняя стоимость сбоя), которая позволяет поставщикам и потребителям облачных услуг определять количество риска, которое они на себя берут. В данной модели используются 3 матрицы (Вклада, Зависимости и Воздействия) и вектор угроз, выделяются 14 угроз безопасности. На их основе вычисляется вектор средних затрат от сбоя. В этой модели принимается решение на основе подробного количественного анализа рисков, а не на психологических факторах (страх, боязнь, восприятие). Преимущество методики в том, что она отражает разнородность требований безопасности, системной архитектуры, угроз и поведения злоумышленника, производится оценка для всех заинтересованных сторон.

Разработка интегральной модели оценки эффективности и рисков применения облачных ИТ-сервисов. Прежде чем приступить к выполнению расчета по модели, необходимо выполнить несколько шагов по анализу провайдеров облачных услуг [1].

Есть несколько вопросов, о которых стоит подумать до покупки сервисов, основанных на облачных вычислениях. Рассмотрим указанные ниже риски не как преграды или кардинальные недостатки, а только как проблемы, которые необходимо учитывать при принятии решений. Необходимо проанализировать, удовлетворяют ли облачные вычисления требованиям предприятия и какие из доступных сервисов ему подходят.

Зависимость от поставщика. Убедитесь в том, что легко сможете забрать ваши данные из сервиса. Если вы используете инфраструктурный сервис, резервное копирование файлов и данных должно осуществляться относительно просто. Если вы используете Web-приложение, подготовьте план получения своих данных при возникновении необходимости перехода к другому поставщику. Не всегда нужно переносить все данные в новое приложение, если имеется возможность как-то их просматривать. Например, не нужно переносить все старые данные приложения отслеживания поведения пользователей, если у вас имеется доступ для их просмотра.

Надежность. Если с поставщиком сервиса что-то случается (например, останавливаются серверы), пользователь ничего не может с этим поделать. Для подобных ситуаций лучше всего выбирать поставщика сервисов, предлагающего зеркалирование. Хотя иногда даже этого недостаточно. Даже крупные поставщики не застрахованы от проблем.

Безопасность данных. Это не всегда риск. Процедуры защиты и опыт поставщика могут быть намного лучшими, чем у маленькой начинающей фирмы. Проблема заключается в том, кто может просматривать данные и какова политика поставщика в этом плане. Например, если ваши данные не должны видеть конкуренты, необходимо проверить политику поставщика.

Уход из бизнеса. Необходимо проанализировать, что может случиться с вашими данными или приложением, если ваш поставщик вынужден будет прекратить деятельность. Этот негативный аспект редко упоминается в маркетинговых материалах. Если экспорт ваших данных выполняется просто, то возможное прекращение деятельности поставщика не должно представлять опасности. Хотя вы все равно столкнетесь с задачей поиска нового приложения (или поставщика), подходящего под ваши бизнес-требования.

На первый план среди аргументов перехода в облака для таких клиентов выходит обеспечение надежной поддержки и хостинга приложения – с соответствующим уровнем ответственности по SLA (Service Layer Agreement – документ, устанавливающий требования к качеству услуги и ответственность поставщика за соблюдение заданных параметров).

В данной работе предлагается аддитивная модель по оценке эффективности и рисков применения облачных ИТ-сервисов на основе факторного анализа. На рис. 1 представлена модель «Оценка эффективности и рисков использования облачных ИТ-сервисов» спроектированной функциональной SADT-модели средствами BPwin. Эта модель представляет систему по оценке эффективности и рисков в виде простейшей компоненты – блоки и дуги, которые изображают интерфейсы с функциями вне системы.

Для более детального представления блока «Оценка и расчет показателей риска» его декомпозиция представлена на рис. 2.

Для оценки возможного эффективного перехода корпоративных ИТ-приложений в облако используются следующие показатели (рис. 3.)

Интегральная модель оценки рисков. При построении аддитивной модели [2] используются оценки 6 показателей. Обзор показателей представлен в таблице. Расчет критерия «Надежность работы и информационная безопасность» проводится по формуле (1). Для обеспечения соответствия характеристикам показатели имеют ранг (коэффициенты весомости). Определение ранга показателей для эксперта является не простой задачей, т.к. при назначении весов он должен принимать во внимание среднестатистические балльные оценки показателей, диапазон шкалы критерия [4].

Иб = a1•Сд + a2•Зп + a3•Ау + a4•Ип + a5•Нпв + a6•Рп, (1)

где Сд – относительный показатель сохранности хранимых данных; Зп – показатель защиты данных при передаче; Ау – показатель аутентификации; Ип – относительный показатель изоляции пользователей; Нпв – коэффициент использования нормативно-правовых вопросов; Рп – относительный показатель реакции на происшествия; a1, a2, a3, a4, a5, a6 – коэффициенты степени влияния.

pic_77.tif

Рис. 1. SADT-модель «Оценка эффективности и рисков применения облачных ИТ-сервисов»

pic_78.tif

Рис. 2. Декомпозиция модели «Оценки рисков»

pic_79.tif

Рис. 3. Иерархия критериев для оценки облачных ИТ-сервисов

Классификация показателей оценки рисков применения облачных ИТ-сервисов

Показатели оценки рисков

Роль показателя в оценке

Правило расчета показателя

Критерий надежности работы и информационной безопасности

Сохранность хранимых данных

Работа сервиса-провайдера по обеспечению сохранности хранимых данных

Алгоритм расчета показателей критерия «Надежность работы и информационная безопасность»:

1. Сравнение с требуемыми показателями и стандартами, исходя из ответов провайдеров облачного ИТ-сервиса.

2. Балльная оценка экспертом степени соответствия требованиям безопасности облачных вычислений с использованием теории нечетких множеств (построение функции принадлежности).

3. Представление свернутых значений показателей в соответствии с существующими методическими указаниями.

Защита данных при передаче

Обеспечение сохранности данных провайдером при их передаче (это должно быть как внутри облака, так и на пути от/к облаку)

Аутентификация

Распознание провайдером подлинности клиента

Изоляция пользователей

Отделение данных и приложений одного клиента от данных и приложений других клиентов

Нормативно-правовые вопросы

Степень использования провайдером законов и правил, применимых к сфере облачных вычислений

Реакция на происшествия

Реагирование провайдера на происшествия, степень вовлечения клиентов в инцидент

Предлагается следующий метод оценки эффективности применения облачных ИТ-сервисов, в основе которого лежит оценка 7-и групповых показателей, включая критерий «Надежность работы и информационная безопасность». Расчет критериев и коэффициента эффективности применения ИТ проводится по формуле средней арифметической:

razum01.wmf

КЭПИТ = a1•Оп + a2•Эу + a3•Тр + a4•Фа + a5•Иэ + a6•Пф + a7•Иб,

где КЭПИТ – коэффициент эффективности применения ИТ; Оп – значение критерия «Оперативность процедур»; Эу – значение критерия «Эффективность управления»; Тр – значение критерия «Техническая реализация»; Фп – значение критерия «Финансовый приоритет»; Иэ – значение критерия «Инвестиционный эффект»; Пф – значение критерия «Психологический фактор»; Иб – значение критерия «Информационная безопасность»; a1, a2, a3, a4, a5, a6 – коэффициенты степени влияния.

На базе данной интегральной модели создается информационная система «Оценка эффективности и рисков облачных ИТ» (рис. 4) на платформе 1С: Предприятие 8.2.

pic_80.tif

Рис. 4. Окно системы «Оценки эффективности и рисков облачных ИТ»

В данной системе помимо возможности проводить оценку эффективности и рисков будет возможность вести учет облачных ИТ-сервисов, составлять информационную базу ИТ-провайдеров.

Предложенные модели позволяют провести анализ возможных рисков при использовании того или иного облачного ИТ-сервиса, что позволит определить необходимость его приобретения. Расчет критерия «Надёжность работы и информационной безопасности» будет входить в состав интегральной модели оценки эффективности облачных ИТ-сервисов. Разработанная функциональная модель позволит максимально автоматизировать и систематизировать все этапы по разработке программного обеспечения по оценке рисков.

Разработанные методы могут использоваться корпорациями и организациями, принимающих решение на внедрение облачных ИТ-сервисов. Данные методы позволят оценить риски, которые могут возникнуть при использовании облачных вычислений, сравнить ИТ-провайдеров, выбрать наилучший вариант, определить эффективность его использования, а также прогнозировать результат с достаточным уровнем достоверности.

Рецензенты:

Мицель А.А., д.т.н., профессор кафедры автоматизированных систем управления, Томский государственный университет систем управления и радиоэлектроники, г. Томск;

Сапожков С.Б., д.т.н., заведующий кафедрой естественно-научного образования, профессор, Юргинский технологический институт (филиал) национального исследовательского Томского политехнического университета, г. Юрга.

Работа поступила в редакцию 01.10.2014.


Библиографическая ссылка

Разумников С.В. ОЦЕНКА ЭФФЕКТИВНОСТИ И РИСКОВ ОТ ВНЕДРЕНИЯ ОБЛАЧНЫХ ИТ-СЕРВИСОВ // Фундаментальные исследования. – 2014. – № 11-1. – С. 33-38;
URL: http://fundamental-research.ru/ru/article/view?id=35473 (дата обращения: 22.09.2020).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1.074