Управление рисками обработки информации на основе экспертных оценок Выборнова Ольга Николаевна

Содержание к диссертации

Введение

ГЛАВА 1. Основные особенности управления информационными рисками 13

1.1 Риск-менеджмент как инструмент управления надежностью процесса обработки информации 13

1.2 Понятие «риск» и его концептуальный анализ 15

1.3 Особенности задач оценки и управления рисками обработки информации 22

1.4 Анализ существующих методик оценки и управления рисками 24

1.5 Обоснование выбора нечеткого когнитивного моделирования в качестве инструментария оценки рисков 36

1.6 Постановка цели и задач исследования 38

1.7 Выводы по главе 1 39

ГЛАВА 2. Управление информационными рисками на основе нечеткого когнитивного моделирования 41

2.1 Алгоритм определения приемлемого риска на основе экспертной информации 41

2.2 Нечеткая когнитивная модель оценки текущих (актуальных) рисков обработки информации 45

2.3 Методика выработки управленческих решений по снижению рисков информационной безопасности в условиях неопределенности 58

2.4 Выводы и результаты по главе 2 67

ГЛАВА 3. Программный комплекс поддержки принятия решений по управлению рисками на основе экспертных оценок 69

3.1 Структура программного комплекса 69

3.2 Модуль «Обработка и согласование экспертной информации» 70

3.3 Модуль «Оценка рисков на основе экспертной информации» 73

3.4 Модуль «Оценка и управление рисками на основе метрических характеристик уровней текущего и приемлемого рисков» 79

3.5 Выводы и результаты по главе 3 88

ГЛАВА 4. Применение разработанных методик в организациях различного профиля 89

4.1 Оценка и управление информационными рисками в ГБУЗ АО «Центр медицинской профилактики» 89

4.2 Оценка и управление рисками ИБ в ПАО «МРСК Юга» -«Астраханьэнерго» 96

4.3 Сравнение оценок, полученных с помощью предложенной в работе методики, с результатами методики vsRisk 106

4.4 Выводы и результаты по главе 4 118

Заключение 120

Библиографический список

• Особенности задач оценки и управления рисками обработки информации
• Нечеткая когнитивная модель оценки текущих (актуальных) рисков обработки информации
• Модуль «Обработка и согласование экспертной информации»
• Сравнение оценок, полученных с помощью предложенной в работе методики, с результатами методики vsRisk

Введение к работе

Актуальность исследования. Любая деятельность кроме вещественных и энергетических потоков включает в себя информационную составляющую. При этом в обеспечении надежного функционирования процессов обработки информации и достижении требуемого уровня информационной безопасности особую роль играет управление рисками нарушения свойств информации (конфиденциальности, доступности, целостности и т.д.) в процессе ее обработки (управление информационными рисками). О важности решения данной задачи свидетельствует, в частности, принятие ряда международных стандартов в данной области (серии ISO 27000, ISO 31000 и др.). Проблема управления информационными рисками является комплексной задачей, включающей в себя целый ряд различных направлений: выработку согласованного мнения об уровне приемлемого риска; оценку актуального состояния рисков в пространстве координат «ущерб от угроз – вероятность реализации угроз»; поиск приемлемых для лица, принимающего решения (ЛПР), мер по снижению уровня риска до целевых значений; реализация найденных решений. При этом большая часть параметров, учитываемых в процессе выработки управленческих решений, не имеет четких (числовых) значений, формулируется экспертами в вербальной форме и носит субъективный характер. Кроме того, имеют место неоднозначность самого понятия «риск», а также многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий. Таким образом, оценка и управление рисками, возникающими в процессе обработки информации, представляет собой сложный, слабо структурированный и плохо формализуемый вид деятельности.

Степень разработанности темы. Проблеме риск-менеджмента, в том числе в сфере информационной безопасности (ИБ), посвящено большое число работ иностранных и российских ученых, например, A.B. Shahri, Z. Ismail, K. Charitoudi, A. Blyth, O. Zwikael, M. Ahn, И.В. Аникина, Г.А. Остапенко, Н.А. Абрамовой, Н.Б. Копытчука, Р.О. Шапорина, Д.С. Нефедьева; имеется ряд стандартов в данной области. Однако вопросы формального описания процесса

управления рисками остаются на сегодня недостаточно проработанными в связи с тем, что данный процесс обладает рядом специфических особенностей. Это, в свою очередь, снижает эффективность управления информационными рисками. Исходя из этого, были выбраны объект и предмет исследования, а также сформулированы цель и задачи диссертации.

Объект исследования – риски, возникающие в процессе обработки информации.

Предмет исследования – модели, методы и алгоритмы оценки и управления рисками, возникающими в процессе обработки информации.

Цель диссертационного исследования – повышение эффективности управления информационными рисками, в том числе рисками информационной безопасности, путем разработки моделей, методик и алгоритмов, учитывающих наличие субъективной неопределенности и направленных на повышение надежности обработки информации.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Проанализировать специфические особенности процесса оценки и управления информационными рисками. Построить онтологическую модель предметной области.

2. Разработать алгоритм определения приемлемого для деятельности организации риска на основе экспертной информации.

3. Построить нечеткую когнитивную модель, позволяющую оценить уровень текущих (актуальных) рисков обработки информации, в том числе рисков информационной безопасности, на основе экспертных оценок.

4. Разработать методику выработки управленческих решений по снижению текущих рисков информационной безопасности до приемлемых для ЛПР значений при ограниченных и неограниченных ресурсах, выделяемых для решения данной задачи.

5. Спроектировать и реализовать программное обеспечение, соответствующее разработанным моделям, методикам и алгоритмам. Апробировать и внедрить результаты в практику работы организаций различного профиля.

Научная новизна диссертационного исследования:

6. Для более полного отражения мнения лица, принимающего решения, о величине приемлемого риска введено понятие кривой приемлемого риска и разработан алгоритм ее построения, позволяющие одновременно учесть как числовые, так и вербальные оценки экспертов и снизить уровень субъективной неопределенности. (пп. 13 и 4 паспорта спец. 05.13.01)

7. Сформулирована нечеткая когнитивная модель оценки текущих рисков обработки информации, отличающаяся тем, что она отражает взаимосвязь негативных событий, порождаемых ими угроз и применяемых защитных мер с основными бизнес-процессами организации. Использование данной модели позволяет оценить текущие информационные риски в виде множества точек на координатной плоскости «ущерб-вероятность» (п. 6 паспорта спец. 05.13.01, п. 7 паспорта спец. 05.13.19).

8. Предложена методика выработки управленческих решений по снижению рисков информационной безопасности в случаях неограниченных и ограниченных выделенных для этого ресурсов, отличающаяся тем, что решение задач в обоих случаях учитывает нечеткость, возникающую при комплексной оценке материальных, финансовых, временных и иных затрат, необходимых для повышения защищенности информации. Методика позволяет в условиях субъективной неопределенности выбрать оптимальную тактику управления рисками с целью повышения уровня информационной безопасности (п. 15 паспорта спец. 05.13.19).

Теоретическая значимость работы:

1. созданы модели и алгоритмы оценки приемлемого и текущего рисков обработки информации на основе экспертных данных;

2. разработана методика, позволяющая синтезировать управленческие решения, обеспечивающие достижение целевых значений рисков, возникающих при обработке информации, и направленные на повышение уровня информационной безопасности.

Практическая значимость работы заключается в повышении эффективности управления информационными рисками, в том числе рисками информаци-

онной безопасности, путем принятия управленческих решений на основе предложенных моделей, алгоритмов и методик.

Созданы и зарегистрированы в «Реестре программ для ЭВМ» программные продукты: «Оценка и управление рисками на основе метрических характеристик уровней текущего и приемлемого рисков»; «Оценка уровня рисков на основе экспертной информации», реализующие предложенные методики и алгоритмы. Также разработана программа «Обработка и согласование экспертной информации», реализующая метод Дельфи для согласования мнений экспертов.

Результаты диссертации использованы в ФГБОУ ВО «Астраханский государственный технический университет» и ФГБОУ ВО «Астраханский государственный университет» при разработке учебно-методического обеспечения; внедрены в практическую деятельность в ГБУЗ Астраханской области «Центр медицинской профилактики», ПАО «МРСК Юга» - «Астраханьэнерго» и Управление информационных систем и технологий (УИСиТ) ФГБОУ ВО «Астраханский государственный технический университет».

Диссертационное исследование выполнено в рамках НИР «Системный подход и моделирование процессов обеспечения информационной безопасности» (№ гос. рег. 01201168202), «Разработка систем поддержки принятия решений в процессах управления информационной безопасностью» (№ гос. рег. АААА-А16-116100710013-7).

Методы исследования. Для решения поставленных задач были использованы аппараты нечеткой логики и теории нечетких множеств, системного анализа, теории принятия решений, математической статистики.

Положения, выносимые на защиту:

3. онтологическая модель процесса оценки и управления информационными рисками;

4. алгоритм построения кривой приемлемого риска на основе экспертной информации;

5. нечеткая когнитивная модель оценки текущих рисков обработки информации, в том числе рисков информационной безопасности;

6. методика принятия управленческих решений по снижению рисков

информационной безопасности до приемлемого уровня при неограниченных и ограниченных ресурсах.

Степень достоверности научных положений и выводов определяется корректным применением методов исследований, подтверждается вычислительными экспериментами, проверкой адекватности моделей, их согласованностью с имеющимися научными результатами, успешным внедрением результатов работы в различных организациях, что отражено в соответствующих актах.

Апробация результатов. Основные положения и отдельные результаты диссертации докладывались и обсуждались на следующих международных и всероссийских конференциях: 28-й и 29-й Международных научных конференциях «Математические методы в технике и технологиях» (Ярославль, 2015 г.; Санкт-Петербург, 2016 г.); XVI Международной научной конференции «Современные проблемы проектирования, применения и безопасности информационных систем» (Кисловодск, 2015 г.); XXIII Международной научно-практической конференции «Научное обозрение физико-математических и технических наук в XXI веке» (Москва, 2015 г.); 4-й и 5-й Всероссийских научно-практических конференциях «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» (Волгоград, 2015-2016 гг.); V Всероссийской конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 2016 г.), а также на конференциях профессорско-преподавательского состава ФГБОУ ВО «Астраханский государственный технический университет».

Публикации. Основные результаты диссертационного исследования опубликованы в 17 печатных работах, из них: 1 статья в издании, входящем в международную реферативную базу данных и систему цитирования Scopus; 8 статей в научных журналах, рекомендованных ВАК при Минобрнауки РФ для публикации основных результатов диссертационных исследований, 8 – в материалах и трудах конференций. Получены 2 свидетельства о государственной регистрации программ для ЭВМ. По материалам работы изданы учебное и учебно-методическое пособия по анализу информационных рисков с грифами редакционно-издательского совета ФГБОУ ВО «Астраханский государствен-

ный технический университет» и редакционно-издательского совета ФГБОУ ВО «Астраханский государственный университет».

В работах, выполненных в соавторстве, автор принимал участие в формулировке проблемы и постановке задачи, в разработке плана исследований, теоретических положений; сборе данных; анализе и интерпретации полученных результатов; подготовке и публикации научных работ.

Структура и объем работы: Работа состоит из введения, 4 глав, заключения, списка литературы из 122 наименований и 6 приложений. Основная часть работы изложена на 136 страницах машинописного текста, содержит 8 таблиц и 60 рисунков.

Особенности задач оценки и управления рисками обработки информации

Концептуальный анализ различных аспектов понятия «риск» требует выявления генезиса данной проблемы.

Несмотря на длительную историю, общего понятия для обозначения термина «риск» до XVII века не существовало. Лишь в конце XIX - начале XX века различные аспекты данного феномена начали активно изучаться [60].

Становление понятия «риск» в значительной степени связано с процессом познания будущего. С древних времен люди сталкивались неуверенностью в будущем, однако слово «риск» стало востребованным только тогда, когда люди начали осознавать собственную ответственность за последствия принимаемых решений [67]. Бурный рост интереса к азартным играм, требующим оценок шансов, в средние века предопределил повышенное внимание к изучению проблемы риска, что, в свою очередь, привело к возникновению основ теории вероятностей.

В русском языке понятие впервые появляется в конце XVIII века: в комедии Фонвизина «Бригадир» (1769) встречаются фразы «риску нет», «на что же вы рискуете?».

Согласно этимологическому словарю русского языка Макса Фасмера, слово «риск» заимствовано из французского risque или из итальянского risico, которые восходят к греческому piCiKov - «утес», piCa - «подножие горы». Отсюда слово «рисковать» определяется через французское risquer, итальянское risicare и первоначально означало - «лавировать между скал» [83].

Постепенно понятие «риск» появляется в различных сферах деятельности человека: в политологии, экономике, медицине и т.д. В современных толковых словарях даются следующие определения слова «риск» [83]: 1. Возможная опасность. 2. Действие наудачу в надежде на счастливый исход. 3. Возможный убыток или неудача в каком-либо деле. 4. Уровень неопределенности в предсказании результата. 5. Опасность, от которой производится страхование имущества. Рассмотрим определения термина «риск», продиктованные различными сферами применения этого понятия. В экономике существуют следующие определения риска: - Риск - потенциальная, численно измеримая возможность потери. Фактически в этом случае делается попытка оценить неопределенность, связанную с возможностью возникновения неблагоприятных ситуаций и последствий в ходе реализации проекта [67]. - Риск - степень неопределенности потенциальной возможности получения доходов [67]. - Риск - угроза потери предприятием части своих ресурсов (финансовых, политических, социальных), недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности [83]. - Риск - это опасность возникновения непредвиденных потерь ожидаемой прибыли, денежных средств, дохода или имущества, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [42]. В психологии термин «риск» связан с тремя направлениями исследований [83]: - Риск - действие, грозящее субъекту определёнными потерями (физическим, материальным, моральным ущербом). Экспериментально различают мотивированный риск, рассчитанный на получение выгоды, и немотивированный («бескорыстный») риск, не имеющий рационального основания. Кроме того, выделяют неоправданный и оправданный риск. - Риск - мера ожидаемого неблагополучия при неуспехе в деятельности, которая определяется, как сочетание вероятности неуспеха и степени неблагоприятных последствий. Риск - ситуация выбора между стратегиями, имеющими различную привлекательность и надежность.

В инженерно-технической сфере под техническим риском понимают вероятность отказа устройств, который приводит к последствиям определённого уровня (класса) за период функционирования опасного производственного объекта [72]. Кроме того, понятие «риск» в технической сфере может иметь смысл комплексного показателя надежности механизмов, машин, технологических процессов, выражающего вероятность аварии или катастрофы при эксплуатации элементов техносферы. Уровень риска определяется по формуле: где RT - технический риск; Т - количество аварий за промежуток времени t на идентичных технических объектах и системах; Т - количество таких объектов и систем, подверженных фактору риска/[63]. В страховании [83]: - Риск - это событие, наступление которого не определено во времени и в пространстве, независимое от волеизъявления человека, опасное и создающее вследствие этого стимул для страхования; это тот риск, который может быть оценен с точки зрения вероятности наступления страхового случая и размеров возможного ущерба. - Риск - событие, способное причинить ущерб, покрытие которого гарантирует договор страхования. В сфере информационных технологий и информационной безопасности существуют следующие определения риска: - Риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [35; 111].

Нечеткая когнитивная модель оценки текущих (актуальных) рисков обработки информации

На нижнем, 7-ом уровне располагаются концепты, отражающие вероятность возникновения НС, которые могут породить угрозы информационным активам, задействованным в основных бизнес-процессах организации. Каждое НС в общем случае может с различной вероятностью порождать множество угроз, имеющих разную интенсивность (потенциальный ущерб, который может вызвать угроза), от которой, в свою очередь, зависит уровень возможного ущерба информационным активам организации.

Поэтому, на 6-ом уровне находятся концепты, отражающие возможные угрозы с интенсивностью Ii и вероятностью возникновения PIi , вызванные негативными событиями 7-го уровня. При этом под интенсивностью понимается потенциальный ущерб, который может быть вызван угрозой.

На 5-ом уровне располагаются концепты ZIi и ZPIi , отражающие эффективность защитных мер (ЗМ), применяемых для снижения Ii и PIi .

На 4-м уровне находятся концепты, соответствующие вероятности реализации и степени разрушительности атак (реализованных, несмотря на применение мер защиты, угроз) на информационные активы, обеспечивающие подпроцессы организации.

3-й уровень иерархии отражает риски для активов (вероятное ухудшение состояния ИА организации).

Концепты 2-го уровня отражают риски для подпроцессов (ПП) основных процессов (ОП) организации и представляют собой декомпозицию концептов 1-го уровня. Декомпозиция производится до тех пор, пока не станет возможным выделить все существенные информационные активы, которые могут быть подвергнуты атакам.

На предпоследнем, первом, уровне находятся концепты, отражающие риски для ОП организации (вероятное снижение качества выполнения ОП).

На нулевом уровне расположены оценки рисков обработки информации организации в целом и соответствующая им суммарная (интегральная) оценка рисков. Для нахождения полного множества основных бизнес-процессов и множества ресурсов (активов), необходимых для поддержания данных ОП, целесообразно использовать построение функциональной модели работы организации в нотации IDEF0 [86].

В качестве основы для формирования списка угроз рекомендуется использовать перечни, приведенные в нормативных документах, стандартах, а также базы данных, составленные авторитетными организациями, занимающимися исследованиями в данной сфере (например, [14; 35; 61] и др.). Значения некоторых концептов, входящих в иерархию G, могут быть определены численно, например, после обработки собранных статистических данных. Однако в большинстве случаев численное определение значений факторов затруднено и приходится прибегать к методам экспертных оценок. Оценки экспертов при этом обычно носят вербальный характер. Поэтому для формализации полученной от эксперта информации предлагается ввести лингвистическую переменную L с терм-множеством значений: QL = {Низкий (Н); Ниже среднего (НС); Средний. (С); Выше среднего (2.5) (ВС); Высокий (В)}. Для перехода к количественному описанию данному терм-множеству целесообразно поставить в соответствие пятиуровневый классификатор, в котором функции принадлежности (ФП) нечетких чисел (НЧ), заданных на отрезке [0; 1], представляют собой трапеции: {«Н» (0; 0; 0,15; 0,25); «НС» (0,15; 0,25; 0,35; 0,45); «С» (0,35; 0,45; 0,55; 0,65); «ВС» (0,55; 0,65; 0,75; 0,85); (2.6) «В» (0,75; 0,85; 1; 1)}, где в нечетких числах XX (а1, а2, а3, а4): а1 и а4 – абсциссы нижнего основания трапеции; а2 и а3 – абсциссы верхнего основания [25]. Графический вид классификатора приведен на рисунке 2.3. Рисунок 2.3 - Пятиуровневый нечеткий 01-классификатор Построенный классификатор представляет собой разновидность «серой» шкалы Поспелова [71], в которой переход от свойства А+ к свойству А– в отличие от используемого в пакетах когнитивного моделирования интервального шкалирования [2; 39; 58], происходит постепенно, плавно. Поэтому в условиях неопределенности «серые» шкалы более адекватно отражают экспертные оценки [89].

Применение классификатора позволяет от качественного (вербального) описания параметра перейти к количественному описанию в виде соответствующей ФП нечетких трапециевидных чисел. Если кроме факторов, оцененных качественно («нечетко»), в НКМ присутствуют концепты, значения которых определены количественно («четко»), то для совместного использования количественной и качественной информации целесообразно воспользоваться предложенной в [4] методикой, предусматривающей вычисление нормированного значения Fi количественно измеряемого фактора F,- по формуле

Модуль «Обработка и согласование экспертной информации»

Данный программный продукт позволяет проводить автоматизированную оценку рисков, возникающих при обработке информации, методом Дельфи [94; 99]. Данный метод заключается в последовательном осуществлении процедур, направленных на формирование группового мнения по различным вопросам.

Программный продукт разработан средствами Microsoft Visual Studio 2013 в среде операционной системы Microsoft Windows 7. Для его функционирования необходимо наличие платформы NET FrameWork 4.5 или выше для Windows, а также СУБД MSSQL Server 2014. Разработанный программный продукт будет работать на любом IBM-совместимом компьютере, аппаратные возможности которого позволяют установить вышеуказанное программное обеспечение.

Результаты Оценки {$. ID результата integer 2 ID оценки binary Средняя оценка экспертов float Значение оценки varchar Простая оценка float И ID вопроса integer ІИ ID пользователя integer Средневзвешенная оценка float Медиана float Комментарий к оценке varchar Нижняя граница доверительного интервала float Номер тура integer Верхняя граница доверительного интервала float Номер тура integer ь- Пользователи Уі ID вопроса integer i ID пользователя integer Является ли данный результат конечным binary Тип учетной записи varchar Имя учетной записи varchar Пароль varchar Рейтинг пользователя varchar Вопросы ! вопроса integer —і Шкалы Текст вопроса varchar Й ID шкалы integer 5 ID шкалы integer Тип шкалы varchar Допустимое значение доверительного интервала float Начальное значение integer Номер текущего тура integer Конечное значение integer Шаг шкалы integer Список терм varchar Рисунок 3.3 - ER-диаграмма базы данных модуля 1 Функционирование модуля «Обработка и согласование экспертной информации» заключается в следующем: после рассылки экспертам вопросов, по которым необходимо получить и согласовать информацию, ЛПР необходимо ждать, пока хотя бы на один вопрос ответят все эксперты.

При этом выставление оценки экспертом включает в себя: - непосредственно оценку по вопросу (в виде числа или лингвистической переменной); - комментарий к оценке, поясняющий её. После сбора мнений экспертов подводятся промежуточные итоги по текущему туру. При анализе экспертной информации вычисляются следующие характеристики: - Среднегрупповая оценка. Число, равное среднее арифметическому всех самооценок. Простая оценка. Среднее арифметическое всех поставленных оценок. - Средневзвешенная оценка. Вычисляется как сумма произведений оценки эксперта на его самооценку, делённая на сумму всех самооценок. - Медиана. Все оценки упорядочиваются по возрастанию, выбираются две средние по номеру (скажем, если оценок всего 12, то берётся 6я и 7я, если 11, то два раза берётся 6я) оценки и высчитывается их среднеарифметическое. - Высчитывается доверительный интервал. Для этого считаются так называемые квартили - 1/4 от разницы между максимальной и минимальной оценками. Нижней границей доверительного интервала будет (минимум + квартиль), верхней - (максимум - квартиль).

Если результат раунда не удовлетворяет заранее заданным условиям, экспертам отправляется приглашение проголосовать в новом туре, а также результаты прошедшего тура. Затем подведение итогов повторяется до тех пор, пока результаты очередного тура не станут удовлетворять условию согласованности. Тогда можно считать, что по данному вопросу получена согласованная экспертная информация.

Предлагаемый в данной диссертационной работе алгоритм оценки текущих (актуальных) рисков обработки информации был реализован в виде программы «Оценка уровня рисков на основе экспертной информации» (модуль 2) [28; 82].

Программный продукт разработан средствами Intellij Idea 15 в среде операционной системы Microsoft Windows 7. Для его функционирования необходимо наличие виртуальной машины Java с библиотеками версии 1.8 или выше для Windows, а также СУБД MySQL Server 2014. Разработанный программный продукт будет работать на любом IBM-совместимом компьютере, аппаратные возможности которого позволяют установить вышеуказанное программное обеспечение.

На рисунке 3.4 приведена функциональная диаграмма системы. Рисунок 3.4 – Функциональная диаграмма модуля 2 Пользователем системы является лицо, принимающее решения. В своей деятельности ЛПР руководствуется внешней и внутренней нормативной документации. К внешней нормативной документации относится законодательная база РФ, к внутренней – акты, регламенты, политики компании и т.п.

Собранные у экспертов организации и согласованные в модуле 1 данные поступают на вход модуля 2. А именно, в систему вводятся следующие сведения: основные процессы обработки информации, содержащиеся в них подпроцессы и информационные активы, поддерживающие данные ПП. Далее вводится информация: о НС (указывается название и вероятность возникновения НС); об угрозах, которые порождаются НС (вероятность и ущерб от реализации угрозы); об имеющихся защитных мерах (эффективность защитных мер по снижению вероятности и по снижению ущерба от реализации угроз). Помимо информации, необходимой для оценки уровня текущих информационных рисков, задается массив значений {(Ui; Pi )}, которые характеризуют величину приемлемого риска. На рисунке 3.5 представлена ER-диаграмма базы данных модуля 2. Рисунок. 3.5 – ER-диаграмма базы данных модуля 2 Ввод данных в программный продукт осуществляется согласно этапам разработанного алгоритма оценки текущих (актуальных) информационных рисков. При этом каждому уровню НКМ в окне программы соответствует отдельная вкладка.

Сравнение оценок, полученных с помощью предложенной в работе методики, с результатами методики vsRisk

Разработанные алгоритм оценки приемлемого риска и НКМ оценки текущих рисков обработки информации были объединены в Типовую методику оценки информационных рисков «Рубикон» (Приложение Г). Данная методика также содержит рекомендации по формированию экспертной группы и проведению экспертных оценок информационных рисков.

С использованием методики «Рубикон» была проведена оценка рисков, возникающих при обработке информации, в Управлении информационных систем и технологий (УИСиТ) ФГБОУ ВО «АГТУ». Было проведено сравнение оценок, полученных по данной методике, с результатами, полученными по методике vsRisk.

Управление информационных систем и технологий является крупнейшим подразделением Астраханского государственного технического университета, поддерживающим работоспособность всех автоматизированных информационных систем университета, а также обеспечивающим надлежащий уровень информационной безопасности информационных систем ВУЗа. Отсутствие нормального функционирования и работоспособности данного подразделения может повлечь угрозы, связанные с нарушением безопасности АГТУ в целом. Поэтому важно предусмотреть изменение факторов и условий, способных оказать влияние на функционирование УИСиТ, а также провести комплексную оценку информационных рисков.

В соответствии с [70] целью УИСиТ является руководство процессом «Управление информационными ресурсами» согласно системе менеджмента качества ФГБОУ ВО «АГТУ». Функции УИСиТ включают: - организацию бесперебойной слаженной работы подразделений, входящих в состав Управления, по сопровождению процесса «Управления информационными ресурсами» согласно системе менеджмента качества АГТУ; - изучение и обобщение передового опыта внедрения автоматизированных систем в других ВУЗах, тестирование и применение новых подходов и технологий для повышения качества обслуживания в рамках процесса «Управления информационными ресурсами» согласно системе менеджмента качества АГТУ.

Задачи УИСиТ: - обеспечение штатного функционирования, развитие и совершенствование информационных систем и информационно-технической инфраструктуры Университета; - организация и контроль исполнения проектов в области информационных технологий, а также обеспечение предоставления заданного набора и качества информационных сервисов функциональным подразделением Университета согласно регламенту процесса «Управления информационными ресурсами» системы менеджмента качества ФГБОУ ВО «АГТУ»; - создание и развитие компонентов единой автоматизированной системы управления Университетом 108 - автоматизация учебного процесса, документооборота, финансовых и других задач Университета; - обеспечение учета и контроля состояния и использования средств вычислительной техники и оргтехники в подразделениях Университета; - обеспечение информационной безопасности информационных систем Университета. При выполнении возложенных на Управление задач УИСиТ взаимодействует с другими структурными подразделениями Университета. УИСиТ получает от подразделений: - заявки; - жалобы; - технические требования; - технические задания; - достоверную первичную информацию и документацию в установленные сроки.

В рамках реализации процесса «Управление информационным ресурсами» УИСиТ предоставляет другим подразделениям АГТУ, в частности: - заключение о возможности внедрения программ, программных средств и информационных систем; - заключение о состоянии технических средств информационных систем и информационно инфраструктуры; - лицензионное, стандартное и типовое ПО; - программное обеспечение, создаваемое в УИСиТ, в соответствии с техническими требованиями подразделений университета; - техническую документацию на создаваемое УИСиТ ПО. При этом УИСиТ в праве: - запрашивать у других подразделений необходимые сведения и справки для руководства процессом «Управление информационными ресурсами» согласно системе менеджмента качества ФГБОУ ВО «АГТУ»; контролировать подразделения, входящие в состав УИСиТ, а также прочие подразделения Университета в части исполнения принятых решений по сопровождению процесса «Управление информационными ресурсами» согласно системе менеджмента качества ФГБОУ ВПО «АГТУ»; - ставить перед ректором вопросы о смене технической базы Университета, приобретении новых лицензионных программных средств и развитию инфраструктуры; - повышать квалификацию сотрудников УИСиТ.