Методика аудита информационной безопасности информационно-телекоммуникационной системы Кураленко Алексей Игоревич

Содержание к диссертации

Введение

1. Методы и способы проведения аудита информационной безопасности 11

1.1. Система обеспечения безопасности информации 11

1.2 Способы проведения аудита информационной безопасности 14

1.2.1 Соответствие лучшим практикам в области ИБ 18

1.2.2. Использование средств контроля и анализа защищенности 18

1.2.3 Инструментальные средства оценки эффективности на основе анализа и

управления рисками ИБ 19

1.2.4 Инструментальное средство оценки защищенности «ГРИФ» 20

1.3 Модели и методы, использованные для проведения аудита ИБ 22

Выводы по главе 28

2 Методика аудита ИБ ИТКС 29

2.1 Оценка вероятности реализации актуальных угроз безопасности ИТКС 29

2.1.1 Перечень критичных информационных ресурсов ИТКС 29

2.1.2 Вероятность возникновения актуальных источников угроз безопасности 30

2.1.3 Вероятность использования уязвимых звеньев в СОБИ 41

2.1.4 Вероятность выполнения деструктивных действий 51

2.1.5 Вероятность реализации угроз безопасности информации 60

2.2 Оценка эффективности СОБИ 61

2.2.1 Основные методы оценки эффективности систем обеспечения безопасности информации 61

2.2.2 Применение нечеткого моделирования для решения задач оценки эффективности СОБИ 64

2.2.3 Метод оценки эффективности СОБИ на основе нечеткого вывода 70

2.2.4 Реализация метода оценки эффективности СОБИ 76

2.3 Методика проведения аудита ИБ ИТКС 78

Выводы по главе 80

3 Исследование разработанной методики аудита информационной безопасности 82

3.1 Исследование методики аудита ИБ на примере ИТКС УЦ «СЕРТУМ ПРО» 82

3.1.1 Определение перечня критичных ресурсов УЦ «СЕРТУМ ПРО» 83

3.1.2 Вероятность возникновения актуальных источников угроз УЦ «СЕРТУМ ПРО» 84

3.1.3 Расчет вероятности использования уязвимых звеньев в СОБИ УЦ «СЕРТУМ ПРО» 89

3.1.4 Вероятность выполнения деструктивных действий в СОБИ УЦ «СЕРТУМ ПРО» 91

3.1.5 Определение вероятности угроз безопасности информации в УЦ «СЕРТУМ ПРО» 96

3.1.6 Оценка эффективности по каждой угрозе УЦ «СЕРТУМ ПРО» 100

3.1.7 Формирование рекомендаций по совершенствованию СОБИ УЦ «СЕРТУМ ПРО» 100

3.1.8 Оценка эффективности предлагаемой методики аудита ИБ 102

3.2 Исследование методики аудита ИБ в ИТКС ЗАО НПФ «МИКРАН» 106

Выводы по главе 111

Заключение 113

Список использованной литературы

• Соответствие лучшим практикам в области ИБ
• Вероятность возникновения актуальных источников угроз безопасности
• Метод оценки эффективности СОБИ на основе нечеткого вывода
• Расчет вероятности использования уязвимых звеньев в СОБИ УЦ «СЕРТУМ ПРО»

Введение к работе

Актуальность темы исследования

Необходимый уровень информационной безопасности организации достигается в результате создания системы обеспечения безопасности информации (СОБИ). Своевременная и полная оценка существующей или создаваемой СОБИ поможет сохранить доступность, целостность и конфиденциальность информационных активов. Это возможно при условии знания состояний, характеристик и параметров используемых защитных механизмов, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. По результатам такой оценки определяются слабые места в существующей системе защиты, даются рекомендации для ее дополнения и модернизации. Такой процесс должен осуществляться периодически и называется аудитом ИБ.

Исследованием проблем аудита ИБ, оценки защищенности и оценки эффективности СОБИ занимались многие отечественные и зарубежные ученые: А.А. Малюк, В.А. Герасименко, В.В. Андрианов, А.А. Шелупанов, А.А. Грушо, А.П. Курило, В.В. Домарев, Moeller R и другие.

Аудит ИБ информационно-телекоммуникационных систем (ИТКС)
производиться очень редко. Как правило, аудит таких систем сводится к
соответствию требований стандартов и нормативных документов

регуляторов в области обеспечения ИБ. Это не всегда отражает действительное положение дел, так как СОБИ должна противостоять реальным угрозам ИБ и деструктивным действиям от их реализации в отношении информационных активов, подлежащих защите.

Законодательство РФ в области ИБ в настоящее время требует проведения постоянного контроля и оценки эффективности СОБИ ИТКС. Таким образом, существует актуальная необходимость разработки методик аудита ИБ различных систем для внешнего и внутреннего аудиторов, дающих количественные оценки, и отвечающих современным требованиям обеспечения безопасности информации.

Цель исследования

Разработка методики аудита ИБ ИТКС, которая позволяет модернизировать СОБИ, за счет ее количественной оценки эффективности по противодействию актуальным угрозам безопасности.

Задачи исследования

Для достижения поставленной цели необходимо решить ряд следующих задач:

1. Провести анализ методов и способов проведения аудита ИБ, определить основные этапы аудита ИБ, а также разработать модель процесса проведения аудита ИБ;

2. Разработать метод оценки вероятности актуальных угроз ИБ учитывающий источники угроз, уязвимые звенья систем и деструктивные действия от реализованных угроз в отношении каждого из критичных информационных активов ИТКС;

3) Разработать метод количественной оценки эффективности СОБИ,
учитывающий вероятность реализации актуальных угроз ИБ и меры защиты,
противостоящие таким угрозам;

4) Разработать методику аудита ИБ ИТКС на основе модели процесса
проведения аудита с учетом количественной оценки эффективности СОБИ;

5) Провести исследование разработанной методики аудита ИБ на
примере конкретной ИТКС, оценить ее эффективность, сравнить результаты
работы методики с уже существующей методикой оценкой защищенности
«ГРИФ».

Объект исследования

Объектом исследования является система обеспечения безопасности информации информационно-телекоммуникационной системы.

Предмет исследования

Предметом исследования является методика ИБ ИТКС, позволяющая количественно оценить эффективность СОБИ.

Методы исследования

В диссертационной работе использовались элементы системного анализа, теории вероятностей, теории надежности, нечеткой логики, метода экспертных оценок, теории лингвистических переменных и теории защиты информации.

Достоверность результатов

Достоверность полученных результатов подтверждается

положительным эффектом от внедрения исследований в практику действующих ИТКС ООО «СЕРТУМ ПРО» и ЗАО НПФ «МИКРАН».

Научная новизна работы заключается в следующем

1) Разработана методика аудита ИБ ИТКС, отличающаяся от существующих определением количественной оценки эффективности СОБИ, позволяющую модернизировать СОБИ, противодействующую актуальным угрозам ИБ, в зависимости от требуемой величины оценки эффективности

систем, что увеличило среднюю наработку ИТКС на одну внутреннюю угрозу с последствиями до 3 раз;

2. Впервые предложен метод количественной оценки эффективности СОБИ, при использовании метода нечеткого вывода Мамдани, позволяющий оценить эффективность таких систем относительно каждой из актуальных угроз информационной безопасности с учетом мер защиты способных противостоять таким угрозам;

3. Разработан метод оценки вероятности реализации актуальных угроз ИБ, отличающийся от аналогов тем, что позволяет определить вероятность реализации актуальных угроз, учитывая такие параметры, как источники угроз, уязвимые звенья в ИТКС и деструктивные действия от реализации таких угроз безопасности СОБИ в отношении каждого из критичных информационных активов ИТКС.

Практическая значимость результатов

Использование предложенной методики аудита ИБ ИТКС позволяет повысить эффективность функционирования СОБИ на протяжении всего жизненного цикла ИТКС, снизить затраты на содержание СОБИ, за счет обоснования необходимых защитных мер, уменьшить времени которое затрачивается на проведение аудита безопасности ИТКС.

Внедрение результатов

Результаты диссертационной работы внедрены в деятельность ЗАО
НПФ «МИКРАН», ООО «СЕРТУМ ПРО», а также в учебный процесс
Томского государственного университета систем управления и

радиоэлектроники и используется при изучении дисциплин

«Организационное и правовое обеспечение информационной безопасности».

Личный вклад

В диссертационной работе использованы результаты, в которых автору принадлежит определяющая роль. Диссертант принимал непосредственное участие в разработке методики аудита ИБ и формирование рекомендаций по итогам исследований данной методики. Постановка задачи исследования осуществлялась диссертантом совместно с научным руководителем к.т.н., доцентом А.П. Бацулой.

Апробация работы

Основные положения диссертационного исследования были

представлены на следующих конференциях, конкурсах и семинарах: Всероссийские научно-технические конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР» (Томск, 2010, 2012- 2014

ТУСУР); XIII Всероссийский конкурс-конференция студентов и аспирантов
по информационной безопасности SIBINFO-2013; VI и VII Международные
молодежные научно-практические конференции СКФ МТУСИ

«ИНФОКОМ»; VIII МНПК «Электронные средства и системы управления»,
посвященная 50-летию ТУСУРа 2012; XIX Всероссийская студенческая
научно-практическая конференция с международным участием

БЕЗОПАСНОСТЬ 2014; XII Всероссийская научно-практическая

конференция студентов, аспирантов и молодых ученых «Безопасность информационного пространства».

Основные положения, выносимые на защиту

1) Методика аудита ИБ ИТКС, содержащая оригинальный алгоритм,
позволяет модернизировать СОБИ, противодействующую актуальным
угрозам ИБ, в зависимости от требуемой величины оценки эффективности
таких систем, увеличивает среднюю наработку ИТКС на одну внутреннюю
угрозу с последствиями в диапазоне от 1,67 до 3 раз;

2) Метод количественной оценки эффективности СОБИ позволяет
оценить эффективность таких систем относительно каждой из актуальных
угроз информационной безопасности с учетом мер защиты способных
противостоять таким угрозам;

3) Метод оценки вероятности реализации актуальных угроз ИБ
позволяет определить вероятность реализации актуальных угроз, при
использовании таких параметров, как источники угроз, уязвимые звенья в
ИТКС и деструктивные действия от реализации таких угроз безопасности
СОБИ в отношении каждого из критичных информационных активов ИТКС,
а также их взаимосвязи с угрозами ИБ.

Публикации по теме диссертации

По теме диссертационного исследования имеется 16 публикаций (4 статьи в журналах, рекомендованных ВАК).

Структура и состав диссертации

Диссертация состоит из введения, трех глав, заключения и списка используемых источников, 20 рисунков, 25 таблиц, 3 приложений. Библиографический список состоит из 95 наименований и размещен на 9 страницах.

Соответствие лучшим практикам в области ИБ

Вопросы обеспечения защиты информации на сегодняшний день являются очень актуальными. Так или иначе, каждая организация защищает ту или иную информацию, будь то персональные данные, коммерческая тайна и т.п. Под информацией [83] понимаются сведения независимо от формы их представления, т.е. это могут быть отдельные документы, базы данных, приборы, устройства.

На сегодняшний день принято делить информацию на общедоступную и ограниченного доступа [83]. К информации ограниченного доступа относится государственная тайна, коммерческая тайна, персональные данные, служебная информация. Именно такая информация и подвергается защите.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации [83]. Информационная безопасность представляет собой механизм защиты, обеспечивающий конфиденциальность, целостность и доступность информации. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации [22].

Развитие теории системности и комплексности привело к тому, что все мероприятия по обеспечению информационной безопасности рационально объединять в СОБИ. Такая система, согласно [55], представляет собой сложную систему, которая включает техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей, работающий в соответствие с правилами и регламентами, написанными для него.

В практической деятельности при внедрении СОБИ часто используют модель (цикл) Деминга - Шухарта (PCDA), в основе которой лежит процессный подход. Данная модель получило широкое распространение во множестве работ [1,5,55]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.

Модель включает следующее основные фазы: «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации; «выполнение» («реализация»): реализация запланированных процессов и решений; «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах; «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.

Модель PCDA получила свое практическое применение на всех уровнях деятельности, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально планироваться, а ее реализация наряду с поддержкой должна наблюдаться (проверяться) и при необходимости совершенствоваться.

Модель PCDA нашла широкое применение в процессе управления СО-БИ, она лежит в основе международных стандартов по менеджменту и управлению ИБ. Рассмотрим весь процесс управления, уделив подробное внимание этапу проверки СОБИ. При реализации и проверки СОБИ организации, наряду с процессами оценки рисков ИБ, реализации и эксплуатации защитных мер, обучения персонала информационной безопасности и другими важными процессами, во многом определяющими для менеджмента являются процессы контроля и проверки ИБ. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возможность идентифицировать уязвимости системы обеспечения ИБ организации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствование процессов обеспечения ИБ организации [5].

Аудит ИБ или иными словами периодическая проверка защищенности системы защиты информации есть не что иное, как неотъемлемый периодически повторяющийся процесс, осуществляемый на всех этапах жизни СО-БИ. Он позволяет определить слабые места в системе защиты, как на этапе создания, так и на всем пути функционирования, выявить новые уязвимости и дать оценку подготовленности персонала, сделать рекомендации по совершенствованию СОБИ. Основная задача аудита ИБ объективно оценить текущее состояние ИБ компании, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности организации. Аудит ИБ позволяет производить обсле 15

дование не только технических средств, но и достаточность правовых, экономических, организационных и т.п. мер защиты информации, редактировать требования к СОБИ политик и правил безопасности. Целью проведения работ является получение объективных данных о текущем состоянии обеспечения безопасности информации на объекте информатизации, позволяющих провести минимизацию вероятности причинения ущерба в результате нарушения конфиденциальности, целостности, доступности информации, подлежащей защите, выработка комплекса мер, направленных на повышение уровня защищенности [5].

Вероятность возникновения актуальных источников угроз безопасности

Техногенные или обусловленные состоянием технических устройств, антропогенные или действия субъектов и стихийные бедствия.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть классифицированы как умышленные или случайные преступления. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов ЗИ. В качестве антропогенных источников угроз рассматриваются субъекты, имеющие доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта, действия которых могут быть как внешними, так и внутренними,

Источники угроз, определяемые технократической деятельностью человека и развитием цивилизации, менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление [72].

К стихийным или иным обстоятельствам относят те обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда [40].

Для вычисления вероятности реализации угрозы необходимо определить актуальные источники угроз и их вероятность возникновения. Источники угроз определяются в соответствие c [35,87]. Источники угроз указаны в таблице 2.1.

Это прямо вытекает из определения термина «Атака» [61]. Она как любое целенаправленное действие характеризуется рядом существенных признаков. К таким признакам относят объект атаки, цель атаки, канал атаки и потенциал источника атаки. Вероятностный потенциал антропогенных источников угроз Н определяется исходя из ряда следующих вероятностных факторов [8]: - Квалификация нарушителя Нк (таблица 2.2) - Программное и аппаратное обеспечение Нро (таблица 2.3) - Знание о ИТКС Hs (таблица 2.4 ) Вероятностные значения таких факторов задаются с помощью качественных шкал, когда описание источников угроз является слабо формализуемой задачей, статистика по которой отсутствует. Таблица 2.2 - Квалификация нарушителя Метка Значение Описание Дилетант 0 Слабая осведомленность и отсутствие специфической компетенции Профессионал 0,4 Хорошая осведомленность в вопросах функционирования системы и ее составляющих Эксперт Отсутствует оборудование и программное обеспечение 0 Программное обеспечение и оборудование отсутствует Стандартное программное обеспечение 0,4 Программное обеспечение и оборудование, которое легкодоступно нарушителю Специализированное программное обеспечение 0,7 Программное обеспечение и оборудование, которое не является общедоступным, но легко может быть приобретено Заказное и специфическое программное обеспечение 1 Специально разработанное программноеобеспечение и оборудование, в том числесобственно разработанное Таблица 2.4 Знание источника угрозы об ИТКС Метка Значение Описание Отсутствует информация об ИТКС 0 Знание только о назначение ИТКС Общедоступная информация о ИТКС 0,4 Общедоступная информация, сведения, полученные из руководства пользователя

Важная информация о ИТКС 1 Сведения о содержании и топологии ИТКС Таким образом, вероятностный потенциал нападения вычисляется по формуле [87] Н = (2.2)

Вероятностный потенциал остальных источников (не антропогенных) определяется исходя из мнения членов экспертной комиссии.

Угрозы ИБ представлены в ПРИЛОЖЕНИЕ А (Табл. А.1). Перечень угроз был сформирован на основе банка данных угроз, размещенным на официальном сайте ФСТЭК России [7]. Данный перечень содержит 183 угрозы безопасности и их подробное описание, описание источников угроз, уязвимых звеньев, и свойства информации на которые направленна реализация каждой угрозы.

Каждое уязвимое звено характеризуется вероятностью использования уязвимых звеньев V. Такая вероятность характеризует возможности использования конкретного уязвимого звена ИТКС. Вероятность использования уязвимого звена в отношении каждой угрозы определяется анкетным путем на основе шкалы выбора, возможна реализации угрозы через конкретное уязвимо звено, табл.Б.1 и Б.2. ПРИЛОЖЕНИЕ Б. За основы взяты анкеты, представленные в [60], которые были переработаны под специфику ИТКС. Вероятностные значения использования конкретных уязвимых звеньев определяется исходя из таблицы Б.3. ПРИЛОЖЕНИЕ Б.

Угроза состоит из трех составляющих: источника, уязвимого звена (фактора) и метода реализации. Деструктивное действие это одно из конкретных проявлений угрозы. То есть, можно сказать, что: «деструктивное действие = Конкретный состав [источник угрозы + уязвимое звено (фактор) + метод реализации]»[13]. Результатом деструктивных действий всегда будет ущерб. Существуют следующие виды деструктивных действий [60]:

Деструктивное действие характеризуется вероятностью выполнения (опасностью) каждого из вышеперечисленных событий. Этот показатель показывает вероятность выполнения конкретного деструктивного действия, при реализации каждой угрозы в отношении информационного актива.

Вероятность опасности выполнения деструктивного действия определяется его содержанием и важностью информации, на которую направлено это действие. В связи с этим, вероятность каждого g-ого деструктивного дей 52 ствия для информации, содержащейся в r-ом информационном активе, описывается в виде тройки величин вероятностей Кдга, Кдгр, Кдгу. Используя перечень защищаемой информации, оформленный ранее, и таблицу 2.7, получаем значения этих вероятностей.

Метод оценки эффективности СОБИ на основе нечеткого вывода

Агрегирование – это процедура определения степени истинности условий по каждому из правил системы нечеткого вывода. При этом используются полученные на этапе фаззификации значения функций принадлежности термов лингвистических переменных, составляющих вышеупомянутые условия (антецеденты) ядер нечетких продукционных правил.

Если условие нечеткого продукционного правила является простым нечетким высказыванием, то степень его истинности соответствует значению функции принадлежности соответствующего терма лингвистической переменной.

Активизация в системах нечеткого вывода – это процедура или процесс нахождения степени истинности каждого из элементарных логических высказываний (подзаключений), составляющих консеквенты ядер всех нечетких продукционных правил. Поскольку заключения делаются относительно выходных лингвистических переменных, то степеням истинности элементарных подзаключений при активизации ставятся в соответствие элементарные функции принадлежности [85].

Если заключение (консеквент) нечеткого продукционного правила является простым нечетким высказыванием, то степень его истинности равна алгебраическому произведению весового коэффициента и степени истинности антецедента данного нечеткого продукционного правила.

Если заключение представляет составное высказывание, то степень истинности каждого из элементарных высказываний равна алгебраическому произведению весового коэффициента и степени истинности антецедента данного нечеткого продукционного правила. Если весовые коэффициенты продукционных правил не указаны явно на этапе формирования базы правил, то их значения по умолчанию равны единице.

Аккумуляция в системах нечеткого вывода - это процесс нахождения функции принадлежности для каждой из выходных лингвистических переменных. Цель аккумуляции состоит в объединении всех степеней истинности подзаключений для получения функции принадлежности каждой из выходных переменных. Результат аккумуляции для каждой выходной лингвистической переменной определяется как объединение нечетких множеств всех подзаключений нечеткой базы правил относительно соответствующей лингвистической переменной.

Дефаззификация в системах нечеткого вывода - это процесс перехода от функции принадлежности выходной лингвистической переменной к её четкому (числовому) значению. Цель дефаззификации состоит в том, чтобы, используя результаты аккумуляции всех выходных лингвистических переменных, получить количественные значения для каждой выходной переменной

В теории нечетких множеств процедура дефаззификации аналогична нахождения характеристик положения (математического ожидания, моды, медианы) случайных величин в теории вероятности. Простейшим способом выполнения процедуры дефаззификации является выбор четкого числа, соответствующего максимуму функции принадлежности. Однако пригодность этого способа ограничивается лишь одноэкстремальными функциями принадлежности. Для многоэкстремальных функций принадлежности существуют следующие методы дефаззификации:

Рассмотренные этапы нечеткого вывода могут быть реализованы неоднозначным образом: агрегирование может проводиться не только в базисе нечеткой логики Заде, активизация может проводиться различными методами нечеткой композиции, на этапе аккумуляции объединение можно провести отличным от /иах-объединения способом, дефаззификация также может проводиться различными методами. Таким образом, выбор конкретных способов реализации отдельных этапов нечеткого вывода определяет тот или иной алгоритм нечеткого вывода.

Для этапа получения количественных выходных параметров было решено использовать нечеткую систему типа Мамдани, которая позволяет дать высокую интерпретируемость результатов. Наиболее часто применяется дефаззификация по методу центра тяжести, которая обеспечивает наилучшую динамику обучения нечеткой модели.

Алгоритм Мамдани примечателен тем, что он работает по принципу «черного ящика». На вход поступают количественные значения, на выходе получаются то же количественные значения. На промежуточных этапах используется аппарат нечеткой логики и теория нечетких множеств. В этом и заключается элегантность использования нечетких систем. Можно манипулировать привычными числовыми данными, но при этом использовать гибкие возможности, которые предоставляют системы нечеткого вывода

Расчет вероятности использования уязвимых звеньев в СОБИ УЦ «СЕРТУМ ПРО»

Время наработки на одну внутреннюю угрозу с последствиями увеличилось в промежутке от 1,67 до 3 раз.

По представленным данным видно, что на практике применение методики аудита ИБ положительно отразилось на СОБИ ИТКС, уменьшив количество реализованных угроз (и инцидентов ИБ), как с последствиями, так и без них. Что позволяет сделать вывод о возможности использования разработанной методики аудита ИБ в практике служб информационной безопасности, при периодическом контроле СОБИ.

Апробация предложенной методики аудита ИБ, на примере ООО «СЕРТУМ ПРО» и ЗАО НПФ «МИКРАН», позволила получить положительный эффект в обоих случаях.

Так используя разработанную методику для «СЕРТУМ ПРО» был проведен аудит ИБ. Сформированы рекомендации по совершенствованию СОБИ в соответствии с российскими и международными стандартами в области информационной безопасности, нормативно-методическими документами по обеспечению безопасности информации.

Оценена эффективность предложенной методики аудита ИБ в сравнении с методикой оценки защищенности «ГРИФ » из программного комплекса Digital Security. Результаты моделирования предложенной методикой аудита ИБ во многом схожи с результатами ГРИФ 2006, что показывает адекватность методики. В то же время, при одинаковых исходных данных, затраты на модернизацию СОБИ в соответствии с рекомендациями предлагаемой методики ниже в 1,32 раза по сравнению с затратами предлагаемыми по рекомендациям методики «ГРИФ» из ПО Digital Security. Также уменьшилось и время, которое затрачивает аудитор, оно сократилось в 1,3 раза.

Исследование адекватности методики на примере ЗАО НПФ «МИ-КРАН» заключалось в сравнении общих относительных показателей безопасности ИТКС: средняя наработка ИТКС на одну внутреннюю угрозу за определенный период и средняя наработка ИТКС на одну внутреннюю угрозу за определенный период с последствиями. В результате проведенного эксперимента, исследование составило полгода, оба фиксируемых показателя безопасности увеличились.

Полученные результаты экспериментов говорят об адекватности разработанной методики аудита ИБ, и ее возможности использования аудиторами в процессе своей работы.

В результате проведенных теоретических исследований обоснована, разработана и экспериментально проверена методика аудита ИБ ИТКС, позволяющая модернизировать СОБИ на основании получения количественной оценки эффективности СОБИ по противодействию актуальным угрозам безопасности.

Основные результаты работы представлены ниже.

1) Проведен анализ методов, способов и моделей для проведения аудита ИБ, который показал, что недостаточное внимание в ходе аудита ИБ уделяется вопросам количественной оценки эффективности СОБИ. Результатом анализа стала разработка обобщенной модели процесса проведения аудита ИБ.

2) Разработан метод оценки вероятности реализации актуальных угроз ИБ, отличающийся тем, что позволяет определить вероятность реализации актуальных угроз, учитывая такие параметры, как источники угроз, уязвимые звенья в ИТКС и деструктивные действия от реализации таких угроз безопасности СОБИ в отношении каждого из критичных информационных активов ИТКС. Метод разработан на основе Банка данных угроз безопасности информации ФСТЭК России.

3) Разработан метод количественной оценки эффективности СОБИ, учитывающий вероятность реализации актуальных угроз ИБ и меры защиты, противостоящие таким угрозам, с использованием систем нечеткого вывода Мамдани. Реализация предложенного метода выполнена в пакете FUZZY LOGIC в среде MATLAB и позволяет определять количественную оценку эффективности СОБИ, по 2 заданным количественным входным параметрам.

4) Разработана методика аудита ИБ ИТКС на основе модели процесса проведения аудита с учетом количественной оценки эффективности СОБИ. Такая методика, исходя из входных параметров и полученных результатов, позволяет принять обоснованное решение по модернизации СОБИ, внедрению комплекса организационно-технических мер защиты.

Предложенная методика может быть использована не только для ИТКС, но и легко адаптирована для других объектов, такие как грид-системы, виртуальные инфраструктуры, облачные вычисления. Это возможно за счет того, что угрозы для таких объектов уже содержаться в официальном Банке данных угроз безопасности информации ФСТЭК России, а в рамках данного исследования были приведены взаимосвязи источников угроз, уязвимых звеньев и деструктивных действий с угрозами для таких объектов.

5) Проведены исследования разработанной методики на примере ИТКС ООО «СЕРТУМ ПРО». Сравнительный анализ результатов методики аудита ИБ во многом схож с результатами методики оценки защищенности «ГРИФ » для объекта ООО «СЕРТУМ ПРО». Однако, при одинаковых исходных данных затраты на модернизацию СОБИ в соответствии с рекомендациями предлагаемой методики ниже в 1,32 раза по сравнению с затратами, предлагаемыми по рекомендациям методики «ГРИФ». Одновременно уменьшилось в 1,3 раза время, которое затрачивает аудитор. Теоретически и экспериментально доказано, что разработанная методика аудита ИБ позволяет дать большую достоверность результатов в сравнении с методикой ГРИФ. Это достигается благодаря рассмотрению большего числа угроз ИБ и их составляющих.

6) Проведены исследования разработанной методики на примере ИТКС ЗАО НПФ «МИКРАН». Исследования показали, что за промежуток времени в полгода методика позволила повысить значение общих относительных показателей безопасности ИТКС, а именно, время наработки на одну внутреннюю угрозу увеличилось в промежутке от 1,22 до 2 раз, и время наработки на одну внутреннюю угрозу с последствиями увеличилось в промежутке от 1,67 до 3 раз.