Содержание к диссертации
Введение
Глава 1. Исследование деятельности по защите информации в органах государственного управления 13
1.1 Содержание деятельности по защите информации 13
1.2 Особенности деятельности по защите информации органов государственного управления 19
1.3 Методы описания деятельности по защите информации 20
1.4 Модель «как есть» для деятельности по защите информации органов государственного управления 23
1.5 Модель оценки ущерба от реализации угроз безопасности информации 26
1.6 Аудит информационной безопасности как способ оценки эффективности деятельности по защите информации 33
1.6.1 Аудит безопасности в соответствии с BS 7799, часть 2 37
1.6.2 Стандарт CobiT 42
1.7 Рекомендации по оценке эффективности деятельности по защите информации 50
Выводы 56
Глава 2. Анализ информационных рисков в органах государственного управления 57
2.1 Задача анализа информационных рисков в органах государственного управления 57
2.2 Поиск решения задачи анализа информационных рисков в органах государственного управления 60
2.2.1 RA2 art of risk 61
2.2.2 Risk Advisor 62
2.2.3 RiskWatch 64
2.2.4 CRAMM 65
2.2.5 Система «АванГард» 68
2.2.6 Digital Security Office 74
2.3 Ключевые особенности разрабатываемой методики анализа информационных рисков для органов государственного управления 78
2.4 Алгоритм методики анализа информационных рисков 86
2.5 Экспериментальная проверка эффективности разработанной методики анализа информационных рисков 94
Выводы 101
Глава 3. Программный комплекс автоматизации деятельности по защите информации органов государственного управления 102
3.1 Описание методики автоматизации деятельности по защите информации 102
3.1.1 Алгоритм методики автоматизации 104
3.2 Описание архитектуры программного комплекса автоматизации 106
3.2.1 Схемы таблиц, используемых в системе «SPM» 108
3.3 Критерии выбора средств создания программного комплекса 114
3.4 Центральный модуль программного комплекса автоматизации 115
3.5 Региональный модуль программного комплекса автоматизации 118
Выводы 121
Глава 4. Анализ эффективности деятельности по защите информации в органах государственного управления 122
4.1 Группы метрик для оценки эффективности защиты информации 122
4.1.1 Метрики в соответствии с Government Information Security Reform Act 122
4.1.2 Метрики Internet Security Alliance 124
4.1.3 Метрики в соответствии с NIST 800-55 126
4.2 Показатели для оценки эффективности деятельности подразделений по защите информации органов государственного управления 128
4.3 Описание эксперимента по проверке эффективности программного комплекса автоматизации деятельности по защите информации 131
4.4 Анализ результатов внедрения программного комплекса автоматизации деятельности по
защите информации 132
Выводы 136
Заключение 137
Список литературы
- Особенности деятельности по защите информации органов государственного управления
- Поиск решения задачи анализа информационных рисков в органах государственного управления
- Описание архитектуры программного комплекса автоматизации
- Метрики в соответствии с Government Information Security Reform Act
Введение к работе
Реализация прогрессивного потенциала информатизации в политической, экономической и социальной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является возникновение угроз информационной безопасности. Для решения задач защиты информации создана нормативно-правовая база (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера), регулирующая процессы обеспечения информационной безопасности.
Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России [8], [17-19], [21]. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации [22], процедуры сертификации средств защиты [15-16] и др. Нормативные правовые документы регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на проведении отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации, например, в органах государственного управления. Как отмечено в литературных источниках [65], [71], в отечественных нормативно-правовых актах уделено мало внимания вопросам обеспечения целостности и доступности информации, аудита информационной безопасности, механизмам оценки эффективности защиты информации в организации в целом, классификации активов организации по критериям стоимости, выбору наиболее целесообразной
подсистемы защиты информации по параметрам «цена-эффективность». Реализация этих вопросов возложена на специалистов подразделений по защите информации, что не гарантирует обеспечения эффективной безопасности информации.
В работах отечественных исследователей проблематики информационной безопасности (А.А. Грушо, П.Д. Зегжда, А.А. Малюк, А.А. Стрельцов, А.А. Шелупанов) отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и разработать на их основе научные практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.
В целях создания эффективной системы деятельности по защите информации необходимо исследовать информационные активы и инфраструктуру, а также предложить конкретные меры по обеспечению информационной безопасности. Это возможно выполнить на основе анализа информационных рисков.
При оптимизации деятельности по защите информации необходимо определить информационные потоки и алгоритмы, построить модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса (ПК). Использование такого программного комплекса позволит специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.
В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности, решающим фактором обеспечения информационной безопасности становится эффективная деятельность по защите информации. В настоящее время ощущается дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих определить экономическую целесообразность инвестиций в информационную безопасность.
Учитывая важное значение деятельности по защите информации в органах государственного управления, задачи анализа информационных рисков должны включать построение надежных и защищенных систем информационной безопасности национальных информационных ресурсов.
Объект исследования - информационные риски в деятельности органов государственного управления.
Предмет исследования - методические и программные средства анализа информационных рисков в деятельности органов государственного управления.
Цель исследования - разработка научно обоснованной методики и автоматизированной программы анализа информационных рисков в деятельности органов государственного управления.
Задачи исследования. Достижение цели исследования потребовало решения следующих задач:
Провести анализ и обобщить информационные риски в деятельности органов государственного управления.
Разработать научно обоснованную методику анализа информационных рисков в деятельности органов государственного управления.
Сформулировать методику автоматизации деятельности по защите информации в органах государственного управления.
Разработать и апробировать программный комплекс автоматизации деятельности по защите информации, включающий анализ информационных рисков в деятельности органов государственного управления.
Определить показатели оценки эффективности деятельности по защите информации в органах государственного управления и оценить эту деятельность.
Методы исследования. Дня решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.
Основные положения, выносимые на защиту:
Методика анализа информационных рисков.
Программный комплекс автоматизации деятельности по защите информации в органах государственного управления.
Показатели оценки эффективности деятельности по защите информации в органах государственного управления.
Научная новизна работы заключается в следующем:
разработанная методика анализа информационных рисков отличается от аналогов тем, что позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий;
разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при его использовании экспертами разной квалификации за счет применения метода парных сравнений;
предложенный набор показателей оценки эффективности деятельности по защите информации в органах государственного управления позволяет обосновать необходимость инвестиций в информационную безопасность.
Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности по защите информации в органах государственного управления.
Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков и существует потребность максимально упростить процесс оценки рисков.
Внедрение результатов диссертации. Программный комплекс автоматизации деятельности по защите информации, реализующий также методику анализа информационных рисков, внедрен в главном военно-мобилизационном управлении Тюменской области.
Методика анализа информационных рисков используется в учебном процессе. Она включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета и используется при изучении дисциплины «Управление рисками» кафедры комплексной информационной безопасности электронно-вычислительных систем Томского государственного университета систем управления и радиоэлектроники.
Достоверность положений и выводов исследования подтверждена положительными результатами эксперимента и внедрения программного комплекса автоматизации деятельности по защите информации органов государственного управления.
Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:
научных семинарах кафедры информационной безопасности (Тюмень, 2005, 2006, 2007, ТюмГУ);
6-м Всероссийском конкурсе студентов и аспирантов «SIBINFO-2006» (Томск, 2006, ТУСУР);
Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС);
8-й Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет);
Всероссийской научно-практической конференции «Научная сессия ТУСУР-2007» (Томск, 2007, ТУСУР);
4-й Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН);
2-й Международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники);
4-й Международной научно-практической конференции «Электронные средства и системы управления. Опыт инновационного развития» (Томск, 2007, ТУСУР);
IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск, 2007, ТУСУР).
Результаты диссертационного исследования обсуждались на заседаниях кафедры информационной безопасности Тюменского государственного
университета и кафедры КИБЭВС Томского государственного университета систем управления и радиоэлектроники.
Публикации. Основные положения диссертации опубликованы в 4 статьях (из них 2 статьи в журналах из списка ВАК) и 6 тезисах докладов на конференциях.
Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Основной текст диссертационной работы изложен на 152 страницах и включает 25 рисунков и 10 таблиц. Список литературы содержит 133 источника, в том числе 34 на иностранном языке. Объем приложений составляет 9 страницы.
Во введении обосновывается актуальность диссертационной работы, определяются цель и задачи исследования, формулируются основные положения, выносимые на защиту, научная новизна и практическая ценность работы.
В первой главе выполнено исследование деятельности по защите информации органов государственного управления.
Исследована деятельность по защите информации в органах государственного управления и сформулированы особенности этой деятельности, позволяющие установить требования к процессу анализа информационных рисков. На основании выполненного моделирования деятельности по защите информации выявлены основные информационные потоки, позволяющие в дальнейшем создать методику автоматизации этой деятельности. В результате проведенного исследования способов оценки эффективности защиты информации в организациях, определены источники информации для формулировки критериев оценки эффективности деятельности по защите информации в органах государственного управления.
Вторая глава посвящена исследованию задачи анализа информационных рисков в органах государственного управления. Для поиска решений задачи
анализа информационных рисков были рассмотрены уже существующие средства анализа информационных рисков и определено, что для выполнения процедуры анализа информационных рисков в органах государственного управления, с учетом особенностей деятельности по защите информации, не может быть применимо ни одно из рассмотренных средств. Поэтому принято решение разработать методику анализа рисков, учитывающую особенности процесса анализа рисков в органах государственного управления. Описан алгоритм разработанной методики анализа информационных рисков и отличия от существующих методик. Для оценки применимости разработанной методики анализа рисков выполнено экспериментальное сравнение работы методики с другими средствами анализа информационных рисков.
В третьей главе представлен программный комплекс автоматизации деятельности по защите информации органов государственного управления. Описана методика автоматизации деятельности по защите информации, положенная в основу программного комплекса, а также основные принципы построения ПК автоматизации деятельности по защите информации органов государственного управления. Рассмотрены критерии выбора программных средств создания программного комплекса и работа «центрального модуля» программного комплекса автоматизации, используемого центральным отделом, для выполнения функции контроля выполнения требований по защите информации региональными отделами. Описана работа «регионального модуля» программного комплекса автоматизации, используемого непосредственно для автоматизации деятельности региональных отделов.
В четвертой главе проведен анализ эффективности деятельности по защите информации органов государственного управления. Детально рассмотрены группы параметров для оценки эффективности защиты информации в организации, описанные в зарубежных рекомендациях и стандартах. На основе анализа существующих рекомендаций по выбору метрик безопасности информации, для органов государственного управления
выделены 3 группы параметров для оценки эффективности защиты информации: параметры оценки на уровне организации, параметры оценки на уровне персонала и параметры оценки на уровне технических средств. Выполнена экспериментальная проверка средств автоматизации деятельности по защите информации органов государственного управления. Для этого внедрен ПК автоматизации в деятельность подразделений по защите информации и получены значения описанных выше параметров для оценки безопасности информации в органах государственного управления.
В заключении сформулированы основные результаты работы, выводы и определены дальнейшие перспективы данного исследования.
Приложения к диссертационной работе:
Список сокращений и обозначений, используемых в работе.
Акты внедрения результатов диссертационной работы.
Пример шкалы компонентов значений «веса» экспертов для органов государственного управления Тюменской области.
Экспериментальные значения параметров оценки эффективности деятельности по защите информации в органах государственного управления.
Особенности деятельности по защите информации органов государственного управления
Для определения особенностей деятельности по защите информации в органах государственного управления был произведен опрос специалистов подразделений по защите информации главного военно-мобилизационного управления (ГВМУ) Тюменской области [54]. Специалисты ГВМУ Тюменской области занимаются контролем выполнения требований по защите информации всеми органами государственного управления в Тюменской области и поэтому хорошо осведомлены в этой области.
На основании полученных данных от специалистов ГВМУ выявлены особенности деятельности по защите информации в органах государственного управления. Рассмотрим их подробнее:
на данный момент не выполняется оценка уровня безопасности используемых ИТ и определение необходимых упреждающих мер по защите информации;
не автоматизирована деятельность по регистрации: документов учета информационных ресурсов, документов по аттестации ОИ, документов по сертификации средств защиты и т.д.;
не автоматизирована деятельность по контролю наличия вышеперечисленных документов;
большинство сотрудников подразделений по защите информации не являются техническими специалистами и при использовании методов экспертных оценок могут давать не валидные данные;
распределенная инфраструктура подразделений по защите информации (региональные отделения, где находятся объекты информатизации и обрабатывается конфиденциальная информация, которую необходимо защищать, и центральное отделение, осуществляющее функции контроля выполнения требований по защите информации региональными отделами);
большинство подразделений по защите информации в органах государственного управления не имеют защищенных каналов связи с центральным отделением для передачи информации о документах, поэтому все еще используются аттестованные сменные носители для целей обмена информацией.
Для определения путей оптимизации деятельности по защите информации необходимо смоделировать эту деятельность, что обычно делается на основе модели «как есть», которая описывает процессы деятельности, потоки информации и используемые технологии. Коротко рассмотрим основные методы составления модели «как есть» для определения основных процессов и потоков данных. Детальную информацию можно почерпнуть из литературных источников [64], [91], [92].
Метод SADT (IDEFO)
Метод SADT разработан Дугласом Россом (SoftTech Inc.) в 1969 г. для моделирования искусственных систем средней сложности. Метод SADT поддерживается Министерством обороны США, которое было инициатором разработки семейства стандартов IDEF, являющегося основной частью программы ICAM (интегрированная компьютеризация производства), проводимой по инициативе ВВС США. Метод SADT реализован в одном из стандартов этого семейства — IDEF0, который был утвержден в качестве федерального стандарта США в 1993 гг.
Метод SADT представляет собой совокупность правил и процедур, предназначенных для построения функциональной модели объекта какой-либо предметной области. Функциональная модель SADT отображает функциональную структуру объекта, т.е. производимые им действия и связи между этими действиями.
Метод SADT может использоваться для моделирования самых разнообразных процессов и систем. В существующих системах метод SADT может быть использован для анализа функций, выполняемых системой, и указания механизмов, посредством которых они осуществляются.
Метод IDEF3 Метод моделирования IDEF3, являющийся частью семейства стандартов IDEF, был разработан в конце 1980-х гг для закрытого проекта ВВС США. Этот метод предназначен для таких моделей процессов, в которых важно понять последовательность выполнения действий и взаимозависимости между ними. Хотя IDEF3 и не достиг статуса федерального стандарта США, он приобрел широкое распространение среди системных аналитиков как дополнение к методу функционального моделирования IDEF0 (модели IDEF3 могут использоваться для детализации функциональных блоков IDEF0, не имеющих диаграмм декомпозиции).
Поиск решения задачи анализа информационных рисков в органах государственного управления
Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов корпоративной информационной системы (КИС). Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
Четвертый этап. Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств.
На пятом этапе, исходя из известных на данный момент способов и средств преодоления оборонительных рубежей, находятся вероятности реализации угроз по дсаждой из возможных точек атак.
На заключительном шестом этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации.
Величина информационного риска по каждому ресурсу обычно определяется, как произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре (КИС) и внедренной в неё системы защиты информации.
При построении системы обеспечения информационной безопасности также необходимо определить стратегию управления рисками в организации. В настоящее время известно несколько подходов к управлению информационными рисками. Один из наиболее распространенных — это уменьшение риска путем принятия комплексной системы контрмер. Также есть возможности уклонения от риска и иногда допустима стратегия принятия риска [81].
При анализе информационных рисков в органах государственного управления необходимо учитывать следующие особенности:
делопроизводство в органах государственного управления функционирует строго в соответствии с требованиями отечественного законодательства, поэтому любые процессы оценки рисков также должны не противоречить государственным стандартам и регламентам: стандарт ГОСТ Р ИСО/МЭК 15408 и РД ФСТЭК России;
оценка рисков должна производиться в региональных отделах, а процедуры управления рисками выполняться центральным отделом (распределенная инфраструктура органов государственного управления для задачи анализа рисков);
специалисты региональных отделов, на которых возложены вопросы защиты информации и оценки рисков, не всегда обладают достаточными техническими знаниями для качественной оценки информационных рисков.
В целях поиска решений задачи анализа информационных рисков рассмотрим уже существующие средства анализа информационных рисков и определим возможность их применения в органах государственного управления.
Для этого выполним обзор существующих методик анализа рисков, используемых в средствах анализа информационных рисков. Методики будем отбирать по следующим принципам: опубликованные в открытой печати, имеющие программную реализацию для автоматизации процесса анализа, и учитывающие особенности организации.
На основании определенных выше особенностей задачи анализа рисков в органах государственного управления для методик анализа рисков обязательно наличие следующих характеристик: простота использования; возможность проверки точности ответов экспертов, выполняющих оценку рисков; учет информационных ресурсов и служб; возможность подстройки методики под специфику организации. Поэтому выполним сравним методики по следующим критериям:
Описание архитектуры программного комплекса автоматизации
Опишем алгоритм методики автоматизации по шагам и далее изобразим шаги алгоритма графически (рис. 3.1):
1. На первом шаге в центральном отделе нужно задать жестким образом необходимые параметры для учета:
1.1.список документов, подлежащих учету, по каждому ОИ и для органа власти в целом; 1.2.расписание периодических действий по переаттестации и процедурам обучения персонала; 1.3.периодичность проведения анализа информационных рисков (подробнее методика анализа рисков была рассмотрена в главе 2).
2. Информация о необходимых параметрах для учета отправляется на аттестованных носителях в региональные отделы.
3. В региональных отделах, где непосредственно должны выполняться действия по защите информации, эти данные применяются. В соответствии с этим происходит учет документов, периодических действий и информации о сотрудниках ответственных за защиту информации. По периодическому расписанию сотрудниками, ответственными за защиту информации, выполняется процедура анализа информационных рисков.
4. По заданному расписанию информация из региональных отделов передается в центральный отдел. Информация также передается на аттестованном носителе.
5. В центральном отделе данные от региональных отделов принимаются и анализируются. На базе полученной информации, делаются выводы об исполнении конкретными региональными отделами требований по защите информации.
6. Все поправки в список необходимых действий или периодических мероприятий вносятся центральным отделом, и распространяются на аттестованном носителе информации в региональные отделы.
7. Процедура передачи информации от региональных отделов аналогична описанной на шаге 4: по расписанию информация передается в центральный отдел на аттестованном носителе.
Процесс передачи данных происходит по периодическому расписанию, при осуществлении контроля центральным отделом над региональными отделами. Описанный выше алгоритм иллюстрирует рис. 3.1, представленный ниже:
Опишем основные принципы построения ПК автоматизации деятельности по защите информации органов государственного управления детальнее [57].
ПК автоматизации обозначим, как систему «Security Policy Manager» (SPM). Система «SPM» имеет 2 части: центральный модуль, размещаемый в центральном отделе, и региональный модуль, размещаемый в региональных отделах. Экспертами будем обозначать специалистов подразделений по защите информации.
Использование системы «SPM» направлено на повышение эффективности деятельности по защите информации как в региональных отделах, так и в центральном отделе. Рассмотрим задачи, решаемые с помощью системы «SPM»:
Обеспечение автоматизированного учета наличия нормативных документов как глобально для региональных отделов, так и более подробно для объектов информатизации;
Обеспечение автоматического контроля периодических событий: переаттестация рабочих мест, обучение персонала, процедур обновления сертификатов и т.д.;
Периодическая оценка рисков в региональных отделах, для определения необходимых дополнительных мер обеспечения безопасности в региональных отделах и оценки уровня ИБ; Обеспечение доступной и наглядной работы с системой экспертами: доступ к функциям просмотров отчетов об учете документов, периодическом контроле и анализе рисков.
Для обеспечения возможности обновления отдельных функций, не меняя систему целиком, система «SPM» построена на модульной основе, что позволяет производить изменения в одном модуле, не затрагивая работы других модулей.
Основа системы «SPM» - это модуль учета нормативных документов и выполнения периодических действий по переподготовке кадров и проверке объектов информатизации. Для более стабильной и прозрачной работы системы принято решение сохранять всю рабочую информацию в СУБД, что позволит обеспечить целостность данных, автоматизацию процедур выполнения резервного копирования и процессов синхронизации данных между модулями системы.
Функции передачи данных между региональными и центральными отделами вынесены в модуль импорта / экспорта данных, выполняющий все процедуры по передаче информации и ее преобразованию.
Процедуры создания и отображения отчетов выполняет отдельный модуль отчетов, реализованный как в центральной части программы, так и в части для региональных отделов.
Для выполнения процедуры анализа информационных рисков создан модуль анализа рисков, выполняющий все процедуры алгоритма анализа рисков.
Метрики в соответствии с Government Information Security Reform Act
Для оценки эффективности защиты информации в органах государственного управления будем основываться на рекомендации национального института стандартов США NIST 800-55 и NIST 800-53 по выбору метрик оценки безопасности ИТ и ключевые публикации в этой области [121], [133], [76], [119], [99], [118]. Под оценкой эффективности в данной работе мы будем понимать процесс сбора и анализа значений показателей по обеспечению информационной безопасности.
При необходимости оценки эффективности деятельности подразделений по защите информации стоит учитывать следующий фактор. Основной целью деятельности подразделений по защите информации является обеспечение режима ИБ в организации, поэтому для оценки эффективности этой деятельности необходимо использовать показатели оценки эффективности защиты информации в организации.
Для органов государственного управления основные требования по защите информации заложены РД ФСТЭК России и ГОСТом Р ИСО/МЭК 15408, поэтому для оценки эффективности защиты логично будет ориентироваться на исполнение требований этих документов. Далее, как мы рассматривали в главе 1, отечественная нормативно-правовая база по защите информации не охватывает все практические вопросы обеспечения ИБ, поэтому следует применять дополнительные средства защиты информации, а для оценки их эффективности использовать значения информационных рисков.
Проанализировав рекомендации по выбору метрик безопасности информации в западных источниках, для органов государственной власти выделим 3 группы параметров для оценки эффективности защиты информации.
Выполним экспериментальную проверку эффективности средств автоматизации деятельности по защите информации в органах государственного управления. Для этого необходимо внедрить ПК автоматизации в деятельность подразделений по защите информации и получить значения выше описанных показателей для оценки безопасности информации в органе государственного управления.
ПК автоматизации, реализующий методику анализа информационных рисков и сами средства автоматизации деятельности по защите информации, был внедрен в деятельность 5 органов государственного управления Тюменской области. Записи об уровне защиты информации для каждого органа государственного управления сгруппируем по органам государственного управления как «Орган власти 1», «Орган власти 2» и т.д. Детальная информация о параметрах защиты информации по каждому органу государственного управления представлена в приложении 4.
Информация о состоянии защиты информации в органах государственного управления собиралась на протяжении 4 месяцев, что позволяет проследить динамику изменений показателей для оценки эффективности защиты информации.
До внедрения программного комплекса автоматизации деятельности по защите информации в органах государственного управления не использовались средства для анализа информационных рисков или управления информационной безопасностью.
В результате внедрения ПК автоматизации деятельности по защите информации в 5 органах государственного управления были получены значения параметров оценки эффективности этой деятельности для диапазона времени 4 месяца.
Рассмотрим зависимости параметров оценки эффективности деятельности по защите информации от времени, усредненные по всем 5 органам государственного управления. Зависимости параметров оценки эффективности деятельности по защите информации от времени будем представлять с указанием уровня параметров (организационный, уровень персонала и технический).
Проанализировав представленные зависимости показателей оценки эффективности деятельности по защите информации от времени, можно сделать вывод о том, что разработанный программный комплекс автоматизации позволяет повысить эффективность деятельности по защите информации в органах государственного управления. Подтверждением вышесказанного является повышение значений показателей оценки эффективности деятельности подразделений для организационного и технического уровней. Значения показателей оценки эффективности для уровня технических средств «процент наличия документов для ресурсов и служб» не измены, так как все требования на этом уровне соблюдены, потому что для начала эксплуатации объектов информатизации необходимо сначала выполнить все требования по защите информации на этом объекте.
