Содержание к диссертации
Введение
Глава 1. Основы проведения аудита информационной безопасности организаций : 14
1.1. Аудит информационной безопасности организаций 14
1.1.1 .Определение термина «аудит информационной безопасности» 14
1.1.2. Цели аудита информационной безопасности 16
1.1.3.Задачи аудита информационной безопасности 17
1.2. Классификация аудита информационной безопасности 18
1.2.1. Типы аудита информационной безопасности 18
1.2.2. Виды аудита информационной безопасности 19
1.2.3. Методы проведения аудита информационной безопасности 26
1.3. Правовые и методологические основы аудита информационной безопасности 28
1.4. Выводы к главе 1 30
Глава 2. Обоснование теоретических и методологических аспектов обеспечения и проведения внутреннего аудита информационной безопасности 31
2.1. Анализ существующих направлений и методов аудита информационной безопасности 31
2.2.Обоснование необходимости разработки нового метода проведения внутреннего аудита информационной безопасности 36
2.3. Риск-ориентированный подход к проведению аудита информационной безопасности 38
2.4. Достоинства и недостатки методов оценки рисков информационной безопасности 42
2.5. Разработка концептуальной модели информационной безопасности 46
2.5.1. Анализ рисков 49
2.5.2. Ценные активы организации 51
2.5.3. Анализ уязвимостей 53
2.5.4. Модель угроз информационной безопасности организаций 55
2.5.5 .Модель нарушителя 55
2.5.6. Ущерб от нарушения информационной безопасности 56
2.5.7.Оценка рисков информационной безопасности 57
2.5.8.Мониторинг и оценка уровня обеспечения информационной безопасности 59
2.6. Выводы К главе 2 60
Глава 3. Разработка метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода 62
3.1 .Алгоритм проведения внутреннего аудита информационной безопасности на основе риск-ориентированного подхода 62
3.2. Подготовительный этап 62
3.2.1. Инициирование проведения аудита информационной безопасности 63
3.2.2. Планирование аудита информационной безопасности 64
3.2.3.Общее исследование организации 66
3 .Исследовательский этап 68
3.3.1. Исследование организации: информационные ресурсы, системы, потоки 69
3.3.2. Исследование ценных активов организации 70
3.3.3. Исследование обеспечения информационной безопасности организации 73
3.4.Оценочный этап 75
3.4.1. Анализ уязвимостей 76
3.4.2. Модель нарушителя 78
3.4.3. Уровень исходной защищенности ценного актива 79
3.4.4. Ущерб организации от нарушения информационной безопасности 85
3.4.5. Угрозы информационной безопасности организации: анализ, оценка и модель угроз 91
3.4.6. Уровень риска информационной безопасности 95
3.4.7. Модель оценки риска информационной безопасности 98
3.4.8.Определение уровня обеспечения информационной безопасности организации 100
3.5.Заключительный этап 103
3.5.1. Разработка рекомендаций 103
3.5.2. Составление аудиторского отчета 105
3.6. Выводы к главе 3 108
Глава 4. Оценка и анализ эффективности применения разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода 110
4.1. Модель внутреннего аудита информационной безопасности на основе риск ориентированного подхода 110
4.2.Оценка эффективности разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности 114
4.2.1. Экспериментальная оценка эффективности разработанного метода аудита 114
4.2.2. Сравнительная оценка эффективности разработанного метода аудита 119
4.3. Анализ разработанного метода проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода 124
4.3.1.Общие характеристики разработанного метода аудита информационной безопасности организаций 124
4.3.2. Достоинства и недостатки разработанного метода аудита информационной безопасности организаций 125
4.3.3. Практическая и теоретическая применимость разработанного метода 126
4.4. Выводы к главе 4 128
Заключение 130
Список сокращений и условных обозначений 132
Список литературы 133
- Виды аудита информационной безопасности
- Уровень исходной защищенности ценного актива
- Экспериментальная оценка эффективности разработанного метода аудита
- Практическая и теоретическая применимость разработанного метода
Введение к работе
Актуальность исследования. Основными факторами актуальности настоящей диссертационной работы являются:
1)В стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций. Федеральный закон "Об аудиторской деятельности" от 30.12.2008 N 307-ФЗ, рассматривает аудит - только как независимую проверку бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. В нем нет ни слова про аудит информационной безопасности. А существующие стандарты и методические рекомендации -узконаправленные.
2)В сфере информационной безопасности не сформировалась единая и общепризнанная терминология. В настоящее время специалистами используется большое количество достаточно разных определений одних и тех же терминов. Соответственно и термин аудит информационной безопасности понимается по-разному, в зависимости от контекста и области применения.
3)В настоящее время практически нет «свежих» учебных пособий. Основная масса используемой литературы является устаревшей, а качество издаваемой, практически, не контролируется. Этим объясняется путаница в классификации, видах, типах и способах аудита информационной безопасности. Без четкой и научно-обоснованной систематизации невозможно развивать это направление.
4)Обеспечение информационной безопасности организаций - это очень важный, сложный и многоуровневый процесс. В обязательном порядке он должен быть комплексным и систематизированным. Очень важную роль в обеспечении информационной безопасности играет аудит ИБ. На данный момент, нет универсальных, общепринятых и утвержденных методов проведения аудита информационной безопасности организаций. Существующие разработки по проведению аудита информационной безопасности являются узконаправленными и «закрытыми» для общего пользования. Они предназначены для банковских организаций, государственных и стратегических объектов РФ.
5)Обеспечение информационной безопасности организаций напрямую зависит от уязвимостей, угроз и рисков ИБ. Поэтому необходимо рассматривать аудит ИБ с точки зрения риск-ориентированного подхода. Это достаточно новое и широко нераспространенное понятие. Оно существенно отличается от привычного словосочетания «риск-ориентированный аудит». Благодаря риск-ориентированному подходу, аудит ИБ может выйти на новый уровень и стать более эффективным инструментом обеспечения информационной безопасности организаций.
Степень разработанности темы исследования. Проблемы обеспечения информационной безопасности, оценки уровня обеспечения ИБ и аудита ИБ организаций -являются предметом исследования многих ученых мира. Различные аспекты информационной безопасности рассмотрены в трудах известных российских ученых: A.M. Астахов, Н.Н. Безруков, Я.В. Бузанова, А. С. Бузинов, А.В. Воронцовский, В.А. Галатенко, В.А. Герасименко, В.В. Домарев, Г.П. Жигулин, П.Д. Зегжда, A.M. Ивашко, А.И. Костогрызов, В.И. Курбатов, А.А. Молдовян, Н.А. Молдовян, А.А.Малюк, С.А. Петренко, А. Ю. Щеглов, В.И. Ярочкин и другие.
Существуют различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления рисками. Эти методы и подходы нашли свое отражение в работах российских ученых: A.M. Астахов, П.А. Балашов, В.П. Буянов, А.А. Варфоломеев, А.В. Воронцовский, А.В. Дорожкин, Г.П. Жигулин, К.А. Кирсанов, В.И. Максимов, Л.А. Михайлов, B.C. Неженец, О.И. Никонов, О.В. Силютина, Б.А. Шиянов
Научных работ, посвященных исследованию теоретико-методологических основ аудита ИБ в отечественной литературе имеется незначительное количество. Например работы таких ученых, как: A.M. Астахов, Я.В. Бузанова, Н.Е. Васильева, В.Б. Голованов, Н. Данилкина, С.Л. Зефиров, А.П. Курило, А. А. Петренко, С. А. Петренко, М.Н. Черных, Г.А. Юдина, В.И. Ярочкин. Следует отметить, что существуют серьезные различия между позициями российских авторов при определении содержания аудита ИБ и методах его проведения. Теоретический и методологический подходы к аудиту информационной безопасности находятся в стадии становления, а методы обеспечения и проведения аудита информационной безопасности на основе риск-ориентированного подхода отсутствуют. Важность и актуальность проблемы, ее недостаточная теоретическая и практическая разработанность, применительно к сфере информационной безопасности, послужили основанием для определения темы исследования.
Целью исследования является разработка, обоснование и оценка эффективности метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода.
Для достижение данной цели необходимо решить следующие задачи: 1)Сформулировать уточненное определение понятия «аудит ИБ». 2)Определить цели и задачи аудита ИБ, выделить методы проведения аудита ИБ. 3)Обозначить достоинства и недостатки существующих направлений и методов аудита ИБ. 4)Раскрыть содержание риск-ориентированного подхода к аудиту ИБ. 5)Разработать концептуальную модель информационной безопасности.
6)Разработать метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода. 7)Провести анализ и оценку эффективности разработанного метода аудита ИБ.
Объектом исследования является аудит информационной безопасности.
Предметом исследования является обеспечение и проведение внутреннего аудита информационной безопасности на основе риск-ориентированного подхода.
Научная новизна исследования заключается в следующем: 1)Сформулировано уточненное определение понятия «аудит информационной безопасности». 2)Разработана концептуальная модель информационной безопасности организаций. 3)Раскрыто понятие и определено содержание риск-ориентированного подхода к аудиту ИБ 4)Проведен анализ существующих направлений и методов аудита ИБ. 5)Разработана модель оценки риска информационной безопасности
5)Разработан метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода и создана модель проведения аудита на каждом разработанном этапе.
Теоретическая значимость работы заключается в том, что сформулированные в работе теоретические положения и выводы развивают и дополняют разделы теории информационной безопасности, а полученные результаты вносят вклад в её дальнейшие развитие. Исследование способствует более глубокому осмыслению важности проведения аудита информационной безопасности на основе риск-ориентированного подхода.
Практическая значимость работы определяется тем, что разработанный метод может применяться в государственных и коммерческих организациях при проведении внутреннего аудита ИБ. Результаты и выводы, полученные в данном исследовании, могут использоваться при создании нормативно-правовых документов, написании методических рекомендаций и учебных пособий и служить основой при принятии организационно-управленческих решений в организациях различной структуры. Материалы диссертационной работы будут иметь широкое практическое применение в сфере образования, при чтении учебных курсов для студентов по направлению 090900 - Информационная безопасность.
Методология исследования. Методологическую основу исследования составляют общенаучные и специальные методы познания, труды ученых и специалистов по теории информационной безопасности и аудиту ИБ, нормативно-правовые документы, энциклопедическая и справочная литература, материалы конференций и исследования опубликованных в периодических изданиях.
Методы исследования. Основным методом исследования является математическое моделирование, базирующееся на использовании аппарата теории игр, теории вероятности,
теории принятия решений, теории информационной безопасности и математической статистики. При решении поставленных задач исследования использовались методы экспертных оценок, эмпирического исследования, систематизации, дедуктивных и индуктивных умозаключений, формализации, моделирования, системного и структурного анализа, экспертного и комплексного аудита, анализа и управления информационными рисками, а также документальные, расчетно-аналитические и общелогические методы. Основным подходом к исследованию - является риск-ориентированный подход. В качестве второстепенных подходов в процессе исследования применялись системный, комплексный и информационный подходы.
Положения, выносимые на защиту: 1)Уточненное определение понятия: «риск-ориентированный подход к аудиту информационной безопасности»
2)Модель оценки риска информационной безопасности
3)Метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода 4)Оценка эффективности разработанного метода проведения аудита ИБ
Степень достоверности результатов. Обоснованность и достоверность научных положений, выводов и результатов, полученных в диссертационном исследовании, обеспечивается: использованием аналитических и экспериментальных методов проверки и доказательства достоверности результатов; методологической основой научного задела по рассматриваемой тематике; опорой на положения теории информационной безопасности; использованием комплекса надежных и проверенных на практике методов; обработкой полученных данных с помощью математического аппарата; высокими результатами внедрения разработок, полученных в данном исследовании; широким апробированием основных результатов работы на конференциях и семинарах с положительной оценкой результатов; публикациями по теме диссертационной работы.
Апробация результатов. Основные и промежуточные результаты диссертационного исследования были представлены на 7 различных конференциях и конгрессах:
VIII Всероссийская межвузовская конференция молодых ученых (Санкт-Петербург 2011). Диссертант был награжден дипломом за лучший доклад на конференции;
II Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2011);
1 Всероссийский конгресс молодых ученых. (Санкт-Петербург 2012). Диссертант был награжден дипломом за лучший доклад на конференции;
III Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2012);
4-я научно-практическая конференция «Информационная безопасность. Невский диалог-2012» (Санкт-Петербург 2012);
II Всероссийский конгресс молодых ученых. (Санкт-Петербург 2013);
IV Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2013);
Основные и промежуточные результаты диссертационного исследования были представлены на различных конкурсах:
Конкурс грантов для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга (Санкт-Петербург, 2011, 2012, 2013)
Конкурс «Аспирант года» (Санкт-Петербург, 2011, 2012). По результатам обучения в аспирантуре, за достижения в научно-исследовательской и педагогической деятельности в 2012 году диссертант выиграл данный конкурс, заняв второе место, и был награжден дипломом.
Полученные результаты были внедрены и используются в СПб НИУ ИТМО и в НОУ ДПО «Учебный центр «СпецПроект», что подтверждается актами о внедрении.
Публикации. Основные и промежуточные результаты диссертационного исследования представлены в 11 статьях, в том числе две работы в российских журналах, входящих в Перечень ВАК. Остальные работы опубликованы в материалах научно-практических конференций, конгрессов и иных научных изданиях. Полный список публикаций приведен в конце автореферата.
Личный вклад. Содержание диссертации и положения, выносимые на защиту, отражают персональный вклад автора в данную работу.
Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка сокращений и списка литературы, состоящего из 147 наименований, включая труды автора. Материал изложен на 145 страницах машинописного текста, содержит 7 рисунков и 23 таблицы.
Виды аудита информационной безопасности
В международной практике аудиторской деятельности принято различать следующие виды аудита: активный аудит, экспертный аудит, аудит на соответствие, инструментальный аудит, технический аудит, операционный аудит, комплексный аудит [65, 90, 101, 115].
1 .Активный аудит - это один из самых распространенных видов аудита. Это исследование состояния защищенности информационной системы с точки зрения хакера или злоумышленника, обладающего высокой квалификацией. Суть активного аудита состоит в том, что с помощью специального программного обеспечения и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании. Атаки только моделируются и не оказывают какого-либо деструктивного воздействия на информационную безопасность организации. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора.
Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения. По окончании активного аудита выдаются рекомендации по модернизации системы обеспечения информационной безопасности, которые позволяют устранить опасные уязвимости и, тем самым, повысить уровень защищенности организации от действий злоумышленника при минимальных затратах. Однако, без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы обеспечения ИБ организации.
Одним из вариантов активного аудита, является тестирование на проникновение (пентест) в информационную систему организации. Основная цель данного тестирования - демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии ИБ организации. Результаты данной услуги более наглядны, чем результаты других видов аудита. Однако, ей свойственно множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время, как в результатах аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения.
Виды тестов на проникновение:
1 Тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования, организация предоставляет, лишь, диапазон внешних ІР-адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника, не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
2 Тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура организации, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы организации, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;
3 Тестирование методом серого ящика - при использовании данного метода сознательно игнорируется часть известной информации и применяется сочетание вышеперечисленных методов.
2.Экспертный аудит - это сравнение состояния информационной безопасности организации с «идеальным» описанием, которое базируется на следующем:
требования, которые были предъявлены руководством в процессе проведения аудита;
описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.
Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах организации и минимизировать затраты на комплексный аудит. В процессе проведения экспертного аудита выявляются недостатки в системе обеспечения ИБ организации на основе имеющегося опыта экспертов, участвующих в процедуре обследования. Один из самых объемных видов работ, которые проводятся при экспертном аудите, - сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а у руководящего состава компании - выяснение требований, которые предъявляются к системе информационной безопасности. При экспертном аудите ИБ организации учитываются результаты предыдущих обследований и аудитов ИБ. Ключевой этап экспертного аудита - анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной безопасности организации. В рамках экспертного аудита проводится анализ организационно-распорядительных документов, таких как: политика безопасности, план защиты и различного рода инструкции. Организационнораспорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности.
По результатам работ данного этапа предлагаются изменения в существующей системе обеспечения ИБ и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности организации. Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности: рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств; предложения по совершенствованию пакета организационно-распорядительных документов; рекомендации по этапам создания системы информационной безопасности; ориентировочные затраты на создание или совершенствование системы обеспечения информационной безопасности организации. Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а также сосредоточиться на анализе наиболее значимых объектов информационной среды.
3. Аудит на соответствие- это аудит, позволяющий определить соблюдаются ли в организации специфические процедуры или правила, существующие требования, стандарты в области информационной безопасности, нормативные документы или политика безопасности. Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере [39].
Чаще всего проводится аудит на соответствие стандартам. При проведении данного подвида аудита, состояние информационной безопасности организации сравнивается с неким абстрактным описанием, приводимым в стандартах [10].
Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к организации: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» организации для инвесторов, партнеров и клиентов, а также увеличить защищенность организации от угроз информационной безопасности [33, 36, 39, 83, 139].
Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы. Однако, чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров. Услуга аудита на соответствие, по затратам и по стоимости, приравнивается к услуге аттестации. А учитывая распространенность услуги аттестации и многолетний опыт работы аттестационных центров, организации проводят именно аттестацию, а не аудит.
Уровень исходной защищенности ценного актива
Основываясь на перечне ценных активов и на анализе обеспечения информационной безопасности в организации, на данном подэтапе необходимо оценить исходный уровень защищенности ценных активов. Для этого создаем таблицу, таблица 6, в которой указываем для определенного ценного актива, по каким параметрам и на каком уровне обеспечивается защита [12, 13, 14].
Оценку можно проводить качественную или количественную.
При качественной оценки актива, уровень исходной защищенности определяется следующим образом:
1. Считается, что актив имеет высокий уровень исходной защищенности, если не менее 70% характеристик соответствуют уровню «высокий» и обозначается как «с1х»;
2. Считается, что актив имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик соответствуют уровню не ниже «средний» » и обозначается как «d2»;
3. Считается, что актив имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2, то есть менее 70% характеристик соответствуют уровню ниже «средний»;
Далее составляем матрицу оценок, таблица 7, которая полностью повторяет таблицу 6, но вместо суждений и обозначений «+» или «-» выставляется балл.
«+» = 1 (положительное суждение, истина)
«-» = 0 (отрицательное суждение, ложь)
Далее оцениваем показатели d1; d2, d3
Если dx 70 , то считается, что актив имеет высокий уровень исходной защищенности;
Если d-L 70 , то необходимо рассчитать значение dx + d2 .
Если dj + d2 70 , то считается, что актив имеет средний уровень исходной защищенности;
Если + d2 70, то считается, что актив имеет низкий уровень исходной защищенности;
Таким образом, с помощью формул и суждений мы получаем качественную оценку уровня исходной защищенности ценного актива организации.
При количественной оценке, уровень исходной защищенности определяется следующим образом:
1 .Производится качественная оценка уровня исходной защищенности ценного актива;
2.Затем, с помощью определенной шкалы оценок, таблица 8, качественная оценка переводится в количественную. С помощью данной таблицы каждому уровню исходной защищенности ставится в соответствие числовой коэффициент, который мы будем обозначать как «D» [13,14].
Пример количественной оценки уровня исходной защищенности представлен в таблице 9.
Таким образом, оцениваем уровень исходной защищенности определенного ценного актива по заданным параметрам. Это делается для того, чтобы рассчитать риск информационной безопасности организации для конкретного ценного актива.
Если необходимо рассчитать общий риск информационной безопасности организации для всех ценных активов «Эобщ», то в таком случае необходимо получить общий уровень исходной защищенности всех ценных активов организации.
Алгоритм расчета общего уровня исходной защищенности всех ценных активов организации:
1 .Рассчитываем уровень исходной защищенности для каждого ценного актива по отдельности.
2.По предложенному ранее методу рассчитываем общий уровень защищенности активов организации таблица 10. Только вместо параметров ценного актива необходимо перечислять сами ценные активы, по которым ранее был произведен расчет.
Вместо трех уровней исходной защищенности можно использовать и большее количество уровней. При увеличении количества уровней, нужно понимать, что шкала оценки будет становиться более точной, а масштабы оценки рисков будут увеличиваться пропорционально. Отличить когда уровень является «самый высокий» с коэффициентом =10, от уровня «высокий» с коэффициентом =9-8 сможет только специалист высшего уровня.
Перевод качественных оценок в количественные играет очень важную роль, так как только с помощью количественных оценок можно провести математические расчеты, а соответственно оценить уровень обеспечения информационной безопасности в организации и оценить риск информационной безопасности организации [13, 14, 43, 63].
Экспериментальная оценка эффективности разработанного метода аудита
Произведем экспериментальную оценку эффективности разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности. Для этого будем сравнивать наиболее важные факторы разработанного метода с факторами эталона. Под эталоном будем подразумевать «идеальный» метод обеспечения и проведения аудита информационной безопасности. Для того, чтобы сравнить разработанный метод и эталонный метод, необходимо выделить основные факторы, по которым эти два метода будут сравниваться. Эти факторы должны быть достаточно важными и оказывать существенное влияние на качество и эффективность аудита ИБ.
Такими факторами будут [110, 111]:
Объективность результатов аудита ИБ;
Опыт и квалификация специалистов, проводящих аудит ИБ;
Стоимость проведения аудита ИБ;
Адаптация метода к специфике организации;
Простота метода в понимании и проведении аудита ИБ.
Именно эти параметры будут определять эффективность метода аудита ИБ организации.
Рассмотрим наиболее подходящий к данной модели метод расчета величины эффективности (веса), которым обладает метод аудита ИБ - аддитивный, основывающийся на операции сложения.
Аддитивный метод расчета веса метода аудита ИБ складывается из взвешенной суммы частных критериев. Весовой коэффициент метода аудита ИБ рассчитывается в рамках принятой аддитивной модели метода расчета.
В условиях вышесказанного вес метода аудита ИБ имеет вид: W(S)=?=iafsf(S) (8), где:
S - метод аудита ИБ;
W(S) - вес метода аудита ИБ;
Индекс f играет роль номера фактора;
N - количество факторов (в нашем случае N=5);
ар - коэффициент, характеризующий вклад каждого из факторов Sp(S) в вес эффективности метода аудита. Xpli ар = 1 ;
Коэффициенты af вводятся исходя из статистических данных и практических наблюдений; 0 af 1;
Sp(S) - частные показатели, коэффициенты, характеризующие качество и эффективность метода аудита ИБ; 0 Sp(S) 1;
Коэффициенты Sp(S) вводятся исходя из статистических данных и практических наблюдений [123].
1 .Определение коэффициента ар, характеризующего вклад каждого из факторов Sp(S) в вес эффективности метода аудита ИБ. Данный коэффициент определяется экспертным путем. Степень значимости коэффициента в оценке эффективности метода аудита ИБ представлена в таблице 21.
1) Коэффициент «объективность результатов аудита ИБ» - а-р = 0,35.
Этот коэффициент является самым большим, так как если результаты аудита ИБ будут субъективными, то такой аудита не будет иметь практической ценности, от него не будет никакой пользы.
2) Коэффициент «опыт и квалификация специалистов, проводящих аудит ИБ» - а2 = 0,25.
Этот коэффициент по значимости занимает второе место. От опыта и квалификации специалистов, проводящих аудит ИБ — зависит качество аудита, так как при проведении аудита ИБ многие суждения и выводы проводятся экспертным путем, производится экспертная оценка влияния тех или иных параметров на бизнес-процессы.
3) Коэффициент «стоимость проведения аудита ИБ» - а3 = 0,15. Коэффициент по стоимости проведения аудита ИБ занимает третье место в рейтинговой таблице. Этот фактор имеет среднее влияние на эффективность метода аудита ИБ, так как затраты на проведения аудита ИБ не должны быть большими, затраты на аудит ИБ должны соизмеряться с потерями и ущербом организации, а так же с выгодой от проведения аудита ИБ.
4) Адаптация метода к специфике организации а4 = 0,15.
Данный коэффициент, хоть и небольшое, но все таки оказывает влияние на эффективность аудита ИБ. Так как метод аудита ИБ не может быть абсолютно универсальным и должен адаптироваться к конкретной организации, где проводится аудит ИБ.
5) Простота метода в понимании и проведении аудита ИБ а5 = 0,10. Данному коэффициенту присвоена небольшая значимость, так как данный фактор оказывает маленькое влияние на эффективность аудита ИБ. Метод должен быть простым и в понимании, и в применении, но даже если метод не очень прост, при условии достаточно высокой квалификации сотрудников, по истечении некоторого времени, данный барьер будет преодолен.
2.Определение частных показателей sf(S), характеризующих вклад каждого из них в вес эффективности метода аудита ИБ. Данный коэффициент определяется экспертным путем.
2.1. Определение частных показателей Sf(S) для эталонного метода аудита ИБ.
1) Коэффициент «объективность результатов аудита ИБ» - s4 = 1;
2) Коэффициент «опыт и квалификация специалистов, проводящих аудит ИБ» - s2 = 1;
3) Коэффициент «стоимость проведения аудита ИБ» - s3 = 1;
4) Адаптация метода к специфике организации - s4 = 1;
5) Простота метода в понимании и проведении аудита ИБ - s5 = 1.
2.2. Определение частных показателей sf(S) для метода аудита ИБ:
1) Коэффициент «объективность результатов аудита ИБ» - s4 = 0,8;
Если аудит ИБ организации будет проводиться строго по разработанному методу и будут соблюдены условия данного метода, такие как, формирование аудиторской группы из представителей разных подразделений, квалификации и должности, то степень объективности результатов аудита будет достаточно высокая. Примерно около 80%;
2) Коэффициент «опыт и квалификация специалистов, проводящих аудит ИБ» - s2 = 0,7;
При проведении аудита ИБ организации по разработанному методу, опыт и квалификация сотрудников организации, входящих в аудиторскую группу, играет важную роль, так как согласно данному методу некоторые качественные оценки выставляются с помощью экспертного метода. Данному коэффициенту присвоен коэффициент = 0,7, так как в аудиторскую группу должны входить специалисты, занимающиеся обеспечением информационной безопасности организации. Кроме того, некоторые данные можно найти в печатных или интернет ресурсах, что значительно снизит риск ошибок при выставлении экспертных оценок.
3 коэффициент «стоимость проведения аудита ИБ» - s3 = 0,9;
Данному коэффициенту присвоено такое значение, так как затраты на проведение аудита ИБ с использованием данного метода будут минимальными.
4) Адаптация метода к специфике организации s4 = 0,9;
Разработанный метод проведения аудита ИБ очень легко может адаптироваться к специфике и потребностям организации, модифицироваться в зависимости от целей и задач, поставленных перед аудитом, а также становиться компактным или более расширенным, в зависимости от отведенного времени на аудит.
5) Простота метода в понимании и проведении аудита ИБ s5 — 0,9; Разработанный метод аудита ИБ является очень простым в понимании и применении. В нем не нужно долго разбираться. Очень подробно рассмотрен весь алгоритм проведения внутреннего аудита Ж организации на основе риск- ориентированно подхода. Представлены примеры уязвимостей, угроз и рисков. Подробно описаны вше этапы и подэтапы. В основе данного метода лежат расчетно-аналитические методы, нормативно-правовые документы. Расчетно-аналитические методы являются достаточно простыми, но при этом достоверными. Далее используя формулу (8) произведем расчеты эффективности эталонного и разработанного методов. Расчеты представлены в таблице 22.
Практическая и теоретическая применимость разработанного метода
Теоретическая применимость разработанного метода:
сформулированные теоретические положения и выводы развивают и дополняют разделы теории информационной безопасности;
разработанный метод вносит вклад в дальнейшие развитие сферы информационной безопасности;
разработанный метод вносит вклад в дальнейшие развитие области обеспечения и проведения аудита информационной безопасности;
разработанный метод способствует более глубокому осмыслению важности и необходимости проведения внутреннего аудита информационной безопасности организаций;
разработанный метод способствует более глубокому осмыслению важности и необходимости проведения аудита информационной безопасности на основе риск-ориентированного подхода.
Практическая применимость разработанного метода [123, 124]:
разработанный метод может применяться как в государственных, так и в коммерческих организациях при проведении внутреннего аудита информационной безопасности;
применение в сфере образования, при подготовке и повышении квалификации специалистов в области ИБ;
применение в сфере образования, при чтении учебных курсов для студентов, магистрантов и аспирантов по направлению «Информационная безопасность»;
применение в различных организациях, в качестве самопроверки;
применение в различных организациях для определения уровня обеспечения информационной безопасности;
данный метод можно применять при создании экспертной системы различной направленности, например экспертная система для поддержки принятия решений;
разработанный метод можно использовать для создания нормативно-правовых документов, стандартов и методических рекомендаций в области информационной безопасности;
разработанный метод можно использовать для написания учебных пособий;
метод можно использовать для разработки концепции обеспечения информационной безопасности;
метод можно использовать для принятия организационно-управленческих решений в организациях различной структуры;
метод можно применять для выявления рисков и угроз.
Похожие диссертации на Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода
