Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,441

ASSESSMENT OF EFFECTIVENESS AND RISKS OF IMPLEMENTING CLOUD IT-SERVICES

Razumnikov S.V. 1
1 Yurga Technological Institute (branch) of National Research Tomsk Polytechnic University
Хотя за последние несколько лет «облачные» сервисы приобрели огромную популярность у предприятий за свои многочисленные выгоды, они не лишены рисков в таких областях, как безопасность, конфиденциальность данных и доступность данных. Стало очевидно, что необходимо единое мнение о методах оценки рисков облачных вычислений, но этого трудно добиться, поскольку в отрасли отсутствует единая, стандартная, структурированная платформа, которая могла бы помочь предприятиям в оценке и снижении рисков «облачных» вычислений. Существуют методы, позволяющие сделать систему безопасной изначально, вместо того чтобы полагаться на аттестаты безопасности, которые предлагает поставщик услуг облачных вычислений. В работе предложена функциональная SADT-модель оценки эффективности и рисков облачных ИТ, а также критерий и показатели оценки. На основе предложенных показателей разработана аддитивная модель факторного анализа по оценке рисков применения облачных ИТ-сервисов.
Though for the last years «cloudy» services gained huge popularity at the enterprises for the numerous benefits, they aren’t deprived of risks in such areas as safety, confidentiality of data and availability of data. It became obvious that the consensus about methods of an assessment of risks of cloud computing is necessary, but it is difficult to achieve it as in branch there is no uniform, standard, structured platform which could help the enterprises with an assessment and decrease in risks of «cloudy» calculations. There are the methods, allowing to make system safe initially instead of relying on safety certificates which are offered by service provider of cloud computing. In work the functional SADT model of an assessment of efficiency and risks of cloudy IT, and also criterion and assessment indicators is offered. On the basis of the offered indicators the additive model of the factorial analysis is developed according to risks of application of cloudy IT services.
methods
models
assessment
risk
services
cloud computing
efficiency
1. 8 Steps to a secure cloud systems [Journal «Information Security / Computer Security»] 2013, no. 1, pp. 28–29.
2. Maslov A.V. Mathematical modeling in economy and management [manual / A.V. Maslov, A.A. Grigoriev; Yurginsky institute of technology]. Tomsk, 2012. 269 p.
3. Razumnikov S.V. Analysis of existing methods of evaluating the effectiveness of information technology for cloud IT services [Modern problems of science and education] 2013, no 3, available at: www.science-education.ru/109-9548.
4. Razumnikov S.V. Modeling risk assessment using cloud IT services [Fundamental research] 2014, no. 5–1. pр. 39–43.
5. Razumnikov S.V. Assessing efficiency of cloud-based services by the method of linear programming // Applied Mechanics and Materials. 2013. Vol. 379. рp. 235–239.

Развитие научно-технического прогресса обусловило широкое внедрение информационных технологий (ИТ) во все области жизнедеятельности общества. ИТ позволили значительно упростить сбор и обработку разнообразных статистических данных о деятельности организации. Однако программное обеспечение для автоматизации управленческих процессов имеет очень большую стоимость. Внедрение таких решений может занимать длительное время, от месяцев до нескольких лет [3].

Последние 4–5 лет все большую популярность приобретают облачные технологии (ИТ-сервисы), которые находятся еще в стадии становления и являются новыми для России. Облачные вычисления обладают огромными преимуществами по сравнению с обычными ИТ, но и риски более высоки [5].

В связи с этим каждый ответственный руководитель не будет заниматься проектом внедрения проектов в области ИТ без предварительного расчета выгод от его эксплуатации, а это невозможно сделать без тщательного анализа и определения экономической необходимости, целесообразности и эффективности. Обязательной составляющей технико-экономического обоснования ИТ-проекта является оценка его экономической эффективности [3]. Поэтому особую важность приобретают вопросы по выбору методики по оценке эффективности и рисков от внедрения ИТ.

Целью данной работы является разработка и реализация математических моделей, алгоритмов и компьютерной программы, базирующихся на оценке экономической эффективности и анализе рисков от внедрения облачных ИТ-сервисов, позволяющих руководству предприятий принимать верное решение на внедрение.

Все используемые сегодня методики оценки эффективности внедрения ИТ являются расчетными моделями [3], не представляя ни одного алгоритма оптимизации. Однако в некоторых случаях возможно решение задачи, например, линейного программирования, при этом один из финансовых показателей – целевая функция, а на остальные заданы ограничения. В [5] представлен пример использования линейного программирования для оценки эффективности применения облачных ИТ-сервисов.

Зарубежными авторами предлагается количественная модель измерения безопасности для облачных приложений MFC (Средняя стоимость сбоя), которая позволяет поставщикам и потребителям облачных услуг определять количество риска, которое они на себя берут. В данной модели используются 3 матрицы (Вклада, Зависимости и Воздействия) и вектор угроз, выделяются 14 угроз безопасности. На их основе вычисляется вектор средних затрат от сбоя. В этой модели принимается решение на основе подробного количественного анализа рисков, а не на психологических факторах (страх, боязнь, восприятие). Преимущество методики в том, что она отражает разнородность требований безопасности, системной архитектуры, угроз и поведения злоумышленника, производится оценка для всех заинтересованных сторон.

Разработка интегральной модели оценки эффективности и рисков применения облачных ИТ-сервисов. Прежде чем приступить к выполнению расчета по модели, необходимо выполнить несколько шагов по анализу провайдеров облачных услуг [1].

Есть несколько вопросов, о которых стоит подумать до покупки сервисов, основанных на облачных вычислениях. Рассмотрим указанные ниже риски не как преграды или кардинальные недостатки, а только как проблемы, которые необходимо учитывать при принятии решений. Необходимо проанализировать, удовлетворяют ли облачные вычисления требованиям предприятия и какие из доступных сервисов ему подходят.

Зависимость от поставщика. Убедитесь в том, что легко сможете забрать ваши данные из сервиса. Если вы используете инфраструктурный сервис, резервное копирование файлов и данных должно осуществляться относительно просто. Если вы используете Web-приложение, подготовьте план получения своих данных при возникновении необходимости перехода к другому поставщику. Не всегда нужно переносить все данные в новое приложение, если имеется возможность как-то их просматривать. Например, не нужно переносить все старые данные приложения отслеживания поведения пользователей, если у вас имеется доступ для их просмотра.

Надежность. Если с поставщиком сервиса что-то случается (например, останавливаются серверы), пользователь ничего не может с этим поделать. Для подобных ситуаций лучше всего выбирать поставщика сервисов, предлагающего зеркалирование. Хотя иногда даже этого недостаточно. Даже крупные поставщики не застрахованы от проблем.

Безопасность данных. Это не всегда риск. Процедуры защиты и опыт поставщика могут быть намного лучшими, чем у маленькой начинающей фирмы. Проблема заключается в том, кто может просматривать данные и какова политика поставщика в этом плане. Например, если ваши данные не должны видеть конкуренты, необходимо проверить политику поставщика.

Уход из бизнеса. Необходимо проанализировать, что может случиться с вашими данными или приложением, если ваш поставщик вынужден будет прекратить деятельность. Этот негативный аспект редко упоминается в маркетинговых материалах. Если экспорт ваших данных выполняется просто, то возможное прекращение деятельности поставщика не должно представлять опасности. Хотя вы все равно столкнетесь с задачей поиска нового приложения (или поставщика), подходящего под ваши бизнес-требования.

На первый план среди аргументов перехода в облака для таких клиентов выходит обеспечение надежной поддержки и хостинга приложения – с соответствующим уровнем ответственности по SLA (Service Layer Agreement – документ, устанавливающий требования к качеству услуги и ответственность поставщика за соблюдение заданных параметров).

В данной работе предлагается аддитивная модель по оценке эффективности и рисков применения облачных ИТ-сервисов на основе факторного анализа. На рис. 1 представлена модель «Оценка эффективности и рисков использования облачных ИТ-сервисов» спроектированной функциональной SADT-модели средствами BPwin. Эта модель представляет систему по оценке эффективности и рисков в виде простейшей компоненты – блоки и дуги, которые изображают интерфейсы с функциями вне системы.

Для более детального представления блока «Оценка и расчет показателей риска» его декомпозиция представлена на рис. 2.

Для оценки возможного эффективного перехода корпоративных ИТ-приложений в облако используются следующие показатели (рис. 3.)

Интегральная модель оценки рисков. При построении аддитивной модели [2] используются оценки 6 показателей. Обзор показателей представлен в таблице. Расчет критерия «Надежность работы и информационная безопасность» проводится по формуле (1). Для обеспечения соответствия характеристикам показатели имеют ранг (коэффициенты весомости). Определение ранга показателей для эксперта является не простой задачей, т.к. при назначении весов он должен принимать во внимание среднестатистические балльные оценки показателей, диапазон шкалы критерия [4].

Иб = a1•Сд + a2•Зп + a3•Ау + a4•Ип + a5•Нпв + a6•Рп, (1)

где Сд – относительный показатель сохранности хранимых данных; Зп – показатель защиты данных при передаче; Ау – показатель аутентификации; Ип – относительный показатель изоляции пользователей; Нпв – коэффициент использования нормативно-правовых вопросов; Рп – относительный показатель реакции на происшествия; a1, a2, a3, a4, a5, a6 – коэффициенты степени влияния.

pic_77.tif

Рис. 1. SADT-модель «Оценка эффективности и рисков применения облачных ИТ-сервисов»

pic_78.tif

Рис. 2. Декомпозиция модели «Оценки рисков»

pic_79.tif

Рис. 3. Иерархия критериев для оценки облачных ИТ-сервисов

Классификация показателей оценки рисков применения облачных ИТ-сервисов

Показатели оценки рисков

Роль показателя в оценке

Правило расчета показателя

Критерий надежности работы и информационной безопасности

Сохранность хранимых данных

Работа сервиса-провайдера по обеспечению сохранности хранимых данных

Алгоритм расчета показателей критерия «Надежность работы и информационная безопасность»:

1. Сравнение с требуемыми показателями и стандартами, исходя из ответов провайдеров облачного ИТ-сервиса.

2. Балльная оценка экспертом степени соответствия требованиям безопасности облачных вычислений с использованием теории нечетких множеств (построение функции принадлежности).

3. Представление свернутых значений показателей в соответствии с существующими методическими указаниями.

Защита данных при передаче

Обеспечение сохранности данных провайдером при их передаче (это должно быть как внутри облака, так и на пути от/к облаку)

Аутентификация

Распознание провайдером подлинности клиента

Изоляция пользователей

Отделение данных и приложений одного клиента от данных и приложений других клиентов

Нормативно-правовые вопросы

Степень использования провайдером законов и правил, применимых к сфере облачных вычислений

Реакция на происшествия

Реагирование провайдера на происшествия, степень вовлечения клиентов в инцидент

Предлагается следующий метод оценки эффективности применения облачных ИТ-сервисов, в основе которого лежит оценка 7-и групповых показателей, включая критерий «Надежность работы и информационная безопасность». Расчет критериев и коэффициента эффективности применения ИТ проводится по формуле средней арифметической:

razum01.wmf

КЭПИТ = a1•Оп + a2•Эу + a3•Тр + a4•Фа + a5•Иэ + a6•Пф + a7•Иб,

где КЭПИТ – коэффициент эффективности применения ИТ; Оп – значение критерия «Оперативность процедур»; Эу – значение критерия «Эффективность управления»; Тр – значение критерия «Техническая реализация»; Фп – значение критерия «Финансовый приоритет»; Иэ – значение критерия «Инвестиционный эффект»; Пф – значение критерия «Психологический фактор»; Иб – значение критерия «Информационная безопасность»; a1, a2, a3, a4, a5, a6 – коэффициенты степени влияния.

На базе данной интегральной модели создается информационная система «Оценка эффективности и рисков облачных ИТ» (рис. 4) на платформе 1С: Предприятие 8.2.

pic_80.tif

Рис. 4. Окно системы «Оценки эффективности и рисков облачных ИТ»

В данной системе помимо возможности проводить оценку эффективности и рисков будет возможность вести учет облачных ИТ-сервисов, составлять информационную базу ИТ-провайдеров.

Предложенные модели позволяют провести анализ возможных рисков при использовании того или иного облачного ИТ-сервиса, что позволит определить необходимость его приобретения. Расчет критерия «Надёжность работы и информационной безопасности» будет входить в состав интегральной модели оценки эффективности облачных ИТ-сервисов. Разработанная функциональная модель позволит максимально автоматизировать и систематизировать все этапы по разработке программного обеспечения по оценке рисков.

Разработанные методы могут использоваться корпорациями и организациями, принимающих решение на внедрение облачных ИТ-сервисов. Данные методы позволят оценить риски, которые могут возникнуть при использовании облачных вычислений, сравнить ИТ-провайдеров, выбрать наилучший вариант, определить эффективность его использования, а также прогнозировать результат с достаточным уровнем достоверности.

Рецензенты:

Мицель А.А., д.т.н., профессор кафедры автоматизированных систем управления, Томский государственный университет систем управления и радиоэлектроники, г. Томск;

Сапожков С.Б., д.т.н., заведующий кафедрой естественно-научного образования, профессор, Юргинский технологический институт (филиал) национального исследовательского Томского политехнического университета, г. Юрга.

Работа поступила в редакцию 01.10.2014.