Содержание к диссертации
Введение
Глава 1 Анализ тенденций и закономерностей развития инфраструктуры защиты информации на промышленном предприятии 12
1.1 Основные понятия и структурные составляющие 12
1.2 Сущность и содержание информационной безопасности промышленного предприятия 31
1.2.1 Основные задачи информационной безопасности предприятия... 31
1.2.2 Классификация угроз информационной безопасности корпоративной бизнес — системе 36
1.2.3 Обоснование требований к инфраструктуре защиты информации 40
1.3 Идентификация проблемы совершенствования инфраструктуры защиты информации на промышленном предприятии 44
1.4 Выводы 48
Глава 2 Принципы обеспечения информационной безопасности на промышленном предприятии 49
2.1 Концептуальные положения обеспечения информационной безопасности на промышленном предприятии 49
2.2 Концептуальная модель формирования инфраструктуры защиты информации на промышленном предприятии 56
2.3 Оптимизация инфраструктуры защиты информации на промышленном предприятии 59
2.4 Оценка затраты на систему информационной безопасности 64
2.5 Выводы 66
Глава 3 Разработка моделей и методов оценки инфраструктуры защиты информации на промышленном предприятии 61
3.1 Анализ моделей формирования инфраструктуры защиты информации 61
3.2 Методы оценки информационной защищенности от несанкционированного доступа 71
3.3 Модель оценки уровня защищенности информации от перехвата 74
3.3.1 Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности информации от перехвата 74
3.3.2 Фаззификация исходных данных 77
3.3.3 Оценки качества защищенности информации от перехвата 77
3.3.4. Дефаззификация результатов 79
3.4 Методы оценки защищенности от сбоев 80
3.5 Метод оценки защищенности от несанкционированного вмешательства 82
3.6 Метод комплексной оценки информационной защищенности бизнес-процессов 84
3.7 Модель выбора оптимизируемых показателей информационной защищенности 88
3.8 Модель выбора варианта инфраструктуры защиты информации бизнес-процессов 93
3.9. Выводы 96
Глава 4 Разработка имитационной модели для комплексной оценки средств защиты информации бизнес-процессов на промышленном предприятии 98
4.1 Основные свойства имитационной модели 98
4.2 Структура имитационной модели 101
4.3 Синтез инфраструктуры защиты информации промышленного предприятия 104
4.4 Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предприятия 112
4.5. Выводы 122
Заключение 123
Список литературы 125
- Классификация угроз информационной безопасности корпоративной бизнес — системе
- Концептуальная модель формирования инфраструктуры защиты информации на промышленном предприятии
- Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности информации от перехвата
- Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предприятия
Введение к работе
з
Актуальность работы. На современном этапе состояния общества
- формационные технологии (ИТ) активно внедряются во все сферы национальной
кономики. Сегодня руководство любого промышленного предприятия, по существу,
[еет дело с корпоративной информацией, На основе которой оно и принимает решения, акая информация должна соответствовать требованиям актуальности, достоверности, іруктурированности, и, если надо, конфиденциальности.
Усложнение средств, методов, форм автоматизации процессов обработки
формации повышает зависимость промышленных предприятий от степени безопаснос-л используемых ими ИТ, при этом качество информационной поддержки управления апрямую зависит от организации инфраструктуры защиты информации (ИЗИ).
Анализ результатов исследований, ведущихся в направлении обеспечения ин-ормационной безопасности (ИБ) ИТ показывает, что в настоящее время не до конца ешены вопросы научного обоснования структуры системы защиты информации (СЗИ). В ервую очередь это касается инфраструктуры защиты бизнес-процессов, которые в свете овременных тенденций организации бизнеса играют решающую роль в достижении спеха хозяйствующим субъектом.
Отмеченные обстоятельства обуславливают противоречие между необходимостью аучного обоснования концепции построения ИЗИ бизнес-процессов и возможностями еоретико-мегодологических решений, обеспечивающих это обоснование. Процессно-риентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов озволит рассматривать процесс формирования СЗИ как один из вспомогательных і.оцессов, обеспечивающих основные процессы предприятия. Это дает возможность азработки ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов, что
- еличит их интегрированность, гибкость, сбалансированность и управляемость.
Для блокирования и предупреждения наиболее вероятных информационных угроз
предприятии должна функционировать такая ИЗИ, которая ориентирована на
оддержку бизнес-процессов с учетом структуры информационных активов
омышленного предприятия, а в силу ограниченности финансовых ресурсов у
. еддриятия, ИЗИ должна формироваться экономически обоснованно.
Таким образом, потребность разрешения существующих противоречий в теории и актике создания СЗИ требует дальнейшего развития этих систем и, в частности, ИЗИ изнес-процессов на промышленном предприятии, что подтверждает актуальность темы ссертационной работы.
Целью диссертационной работы является разработка методов оценки ИЗИ на ромышленном предприятии на основе использования перспективных концепций беспечения ИБ и процессного подхода к организации управления.
Для достижения поставленной цели в диссертационном исследовании были оставлены и решены следующие задачи:
анализ связи современных концепций производственного менеджмента с ИЗИ;
обоснование требований к ИЗИ на промышленном предприятии;
уточнение понятия информационных активов промышленного предприятия;
определение путей влияния ИЗИ на основные показатели производственно хозяйственной деятельности промышленного предприятия;
обоснование принципов организации ИЗИ;
разработка концептуальной модели ИЗИ;
анализ состава затрат на создание ИЗИ промышленного предприятия;
обоснование системы показателей ИБ;
разработка комплекса математических моделей оценки и оптимизации ИЗИ бизнес процессов на промышленном предприятии;
построение имитационной модели функционирования ИЗИ;
выработка практических рекомендаций по организации ИЗИ и системы монито ринга безопасности информационных активов предприятия.
Объектом исследования являются процессы управления промыпшенны предприятием и их информационная поддержка.
Методы исследования. .Решение поставленных задач осуществляется с при менением теории защиты информации, системного и структурного анализа, методов математического моделирования, теории вероятностей и математической статистики, теории игр, теории нечетких множеств.
Научная новизна диссертационного исследования состоит в разработке моделей и методических положений оценки инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
Положения, выносимые на защиту:
На основе определения закономерностей влияния информационной инфраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сформированы основные принципы функционирования ИЗИ и определены структурные особенности информационных активов.
Уточнено понятие информационных активов промышленного предприятия с }пе-том ИЗИ.
Разработаны теоретические и методологические положения организации ИЗИ на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.
Сформулированы принципы организации ИЗИ, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования ИЗИ.
Предложена концептуальная модель ИЗИ на промышленном предприятии, учитывающая требования и принципы ее организации.
Разработана система показателей ИБ, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам ИЗИ, так и в целом.
Разработана система математических моделей оценки ИЗИ, включающая в себя модели:
оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от несанкционированного вмешательства в бизнес-процесс;
формирования комплексного показателя защищенности;
оптимизации показателей защищенности;
выбора наиболее целесообразного варианта ИЗИ.
Разработана имитационная модель функционирования ИЗИ как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и анализ текущих значений разработанной системы показателей ИБ, а также выработку необходимых корректирующих воздействий на ИЗИ.
Практическая значимость заключается в том, что полученные в диссертации ре-ультаты исследований могут быть использованы при разработке ИЗИ, обеспечивающей овышение экономической эффективности работы промышленного предприятия. Разра-отанная система моделей и механизмов их реализации в условиях предприятия позволяет формировать рациональную ИЗИ в соответствии с предложенными экономическими и ункциональными критериями и ограничениями.
Достоверность научных результатов и обоснованность научных положений, вы-
одов и рекомендаций обеспечивается полнотой анализа теоретических и практических
азработок, положительной оценкой на научных конференциях и семинарах, практиче-
кой проверкой и внедрением результатов исследования на промышленных предприятиях.
. Апробация работы. Основные положения диссертационного исследования докла-
вались и обсуждались на конференциях различного уровня: международная научно-
ехническая конференция "Интеллектуальные системы (IEEE AIS'03)" международная
аучно-техническая конференция "Интеллектуальные САПР (CAD-2004)", между-
ародная конференция "Теория и технология программирования и защиты информации"
-е Майоровские чтения), международная научно-техническая конференция "Интеллекту-
льные системы (ШЕЕ AIS'05)", международная научно-техническая конференция "Ин-
еллектуальные САПР (CAD-200.6).
Результаты исследований внедрены в ФГУП "СПб ОКБ "Электроавтоматика" им. .А.Ефимова" и используются в ГОУ ВПО СПб ГУ ИТМО в учебном процессе при про-едении занятий по дисциплинам: «Защита информации», «Информационная безопас-ость», «Информационная безопасность и защита информации».
Публикации. По теме диссертации опубликованы 8 работ, в том числе входящие в писок рекомендованных ВАК для защиты кандидатских диссертаций.
Структура и объем работы. Диссертация состоит из введения, 4 глав, заключения, зложенных на 132 листах машинописного техста, содержит 21 рисунок и 4 таблицы, писок литературы включает 82 наименования.
Классификация угроз информационной безопасности корпоративной бизнес — системе
Развитие нового «сетевого» направления в экономике характеризуется непосредственной организацией в рамках корпоративной сети производственно-хозяйственных и информационных связей, основанной на новых принципах управления компаниями или на основах партнерства, договоренностей участников этой сети об их комплексном использовании с учетом взаимных интересов. Структурирование корпоративных связей определяется целесообразностью и мотивацией объединения ресурсов и производственных возможностей.
Методология разработки бизнес-системы корпорации предполагает движение "сверху вниз", начиная с формулирования миссии корпорации, корпоративных целей, корпоративных и функциональных бизнес-стратегий, с помощью которых определяется необходимый набор бизнес-функций, обеспечивающий взаимосвязи между бизнес-объектами для достижения поставленных задач. Фундаментом, на котором базируются миссия и цели корпорации, являются бизнес-процессы (рис. 1.8).
Немаловажную роль при этом играет создание инструментария механизмов управления, изменениями (например, управление развитием), что позволяет организовывать такие новые формы бизнеса, как электронная коммерция, связанные так или иначе с распространением информационных ресурсов на коммерческой основе и способствует достижению решающего конкурентного преимущества за счет точной и быстрой реакции корпорации на изменения внешней среды (или на стратегический прогноз этих изменений). Поддержка и защита системы управления корпорацией подразумевает поддержку и защиту самих бизнес-процессов. Развитие информационной инфраструктуры бизнес-системы основывается на преодолении инфраструктурной и информационной разобщенности подразделений корпораций. Инвестиции в управление бизнес-процессами могут приносить определенные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части нематериальных активов и, прежде всего, информационных [16,17].
Основными экономико-организационными преимуществами процессно-ориентированного подхода являются следующие: 1. Преимущественное ориентирование всей деятельности предприятия на главный конечный результат — своевременный выпуск высококачественной продукции, которая непременно будет востребована рынком. 2. Существенное сокращение количества уровней в иерархии управления за счет укрупнении процессных операций информационных услуг. Кроме того, упрощается обмен информацией между различными подразделениями предприятия. 3. Сокращение «этажей власти» (за счет обоснованного увеличения нормы управляемости) благодаря точному определению результатов деятельности как общих, так и личных. Данный подход позволяет существенно сократить количество работающих за счет сокращения ненужных структурных подразделений, придать деятельности организации целенаправленность и сформировать эффективную систему мотивации работы персонала. 4. Возможность достаточно точного определения конечных результатов деятельности каждого отдельного подразделения предприятия (например, участка, цеха, отдела), которая обеспечивается посредством объединения частых, достаточно детализированных процессов в общий, единый процесс. 5. Создание благоприятных условий для уменьшения количества работающих вследствие устранения лишних или, иначе, не нужных функций. При этом предусматривается закрепление за одним работником вполне определенного комплекса однородных процессов. 6. Обеспечение достаточно высокой мотивации работников предприятия вследствие достаточно высокой контролируемости их деятельности. 7. Наличие возможности более высокой адаптации к автоматизации деятельности всех структурных подразделений; это обусловлено тем, что отличительной особенностью процессно-ориентированного подхода является достаточно высокая степень его детализация на этапе проектирования. 8. Усиление горизонтальных связей между подразделениями предприятия и снижение отрицательного влияния функциональных барьеров, имеющих место при традиционной системе управления. 9. Более детализированное (четкое) определение ответственности работников, что обусловливает лучшее понимание предъявляемых к ним требований и, как следствие, наиболее эффективному использованию располагаемых ресурсов. 10. Наличие возможности организовать четкий контроль за деятельностью предприятия, а также единство информационных потоков; это является залогом оперативного устранения причин неэффективности разработанных процессов. 11. Способность процессно-ориентированного подхода самонастраиваться на необходимые качественные показатели деятельности предприятия, что обеспечивается посредством учета требований, предъявляемых потребителями продукции, работ и услуг. Самонастраиваемость - это суть адаптивных высокоавтоматизированных интеллектуальных систем. 12. Сокращение объемов перерабатываемых с помощью современных электронных средств исходных данных и промежуточной информации, обеспечиваемого благодаря концентрации состава работ (процессов), выполняемых работниками предприятия. 13. Наличие реальной возможности автоматизировать и оптимизировать процессы, протекающие на предприятии на основе многоцелевого (многокритериального подхода), что связано с получение синергетического (дополнительного) эффекта, достигаемого без привлечения дополнительных инвестиций в формируемую инфраструктуру системы защиты информации на предприятии. 14. Создаются благоприятные условия для построения ресурсосбере гающей организационной структуры управления предприятием (Lean production). Основными характеристиками такой структуры являются: достаточно широкое делегирование полномочий и ответственности непосредственным исполнителям соответствующих видов работ (процессов); сочетание принципа целевого управления с групповой ответственностью и организацией труда; оказание первоочередного внимания к вопросам обеспечения достаточно высокого качества товаров, работ и услуг, предоставляемых потребителям.
Концептуальная модель формирования инфраструктуры защиты информации на промышленном предприятии
Построение концепции ИБ производится в соответствии со следующими принципами: системность; комплексность; непрерывность защиты; разумная достаточность; гибкость управления и применения; простата применения защитных мер и средств. Принцип системности. Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности, формах и проявлениях информации; для всех структурных элементов; во всех режимах функционирования; на всех этапах жизненного цикла; с учетом взаимодействия объекта защиты с внешней средой. При обеспечении информационной безопасности ИС необходимо учитывать все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные, системы и несанкционированного доступа к информации. Система защиты должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности. В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств зашиты компьютерных систем. В частности, современные средства вычислительной техники, операционные системы (ОС), инструментальные и прикладные программные средства обладают определенными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Принцип непрерывности защиты. Защита информации - это не разовое мероприятие и даже не конкретная совокупность уже проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер ни всех этапах жизненного цикла АС (начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стоимости) защищенные системы.
Большинству физических и технических средств зашиты для эффективного выполнения своих функций необходима постоянная организационная, (административная) поддержка: своевременная смена и обеспечение правильною хранения, и применения, имен, паролей, ключей шифрования, переопределение полномочий и т. п. Перерывы в- работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Разумная достаточность. Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточном времени и средствах можно преодолеть любую защиту. Например, средства криптографической защиты в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы зашиты. Часто приходится создавать систему зашиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже работающую систему, не нарушая процесс ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельца АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).
Комплексное обеспечение ИБ автоматизированных систем - область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, технических, правовых, организационных методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных ИТ [60].
Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности информации от перехвата
Неточность и неполнота исходной информации приводят к необходимости применения специальных методов оценки показателей защищенности информации. Перспективным направлением для решения этой задачи является использование моделирования на основе использования аппарата нечетких множеств [68-70].
Важное достоинство методов нечеткого моделирования состоит в тем, что они не требуют больших затрат времени и средств но сравнению с традиционными методами на получение точных исходных данных, что, может быть, в принципе, невозможно.
Появление целого ряда коммерческих программных средств, ориентированных на решение задач нечеткого моделирования. [71,72], свидетельствует об эффективности применения методов нечетких множеств для решения практических задач.
В основе методов нечеткого моделирования лежит понятие нечеткого множества (fuzzyset), представляющее совокупность элементов произвольной природы, относительно которых нельзя с полной определенностью утверждать - принадлежит ли тот или иной элемент рассматриваемой совокупности данному множеству или нет [71].
Формально нечеткое множество определяется как множество упорядоченных пар или кортежей вида: Множество X представляет из себя так называемый носитель нечеткого множества, это обычное (четкое) множество элементов X. Функция принадлежности (membership function) - математическая функция, определяющая степень или уверенность, с которой элемент множества X принадлежит заданному нечеткому множеству А. Данная функция ставит в соответствие каждому элементу х действительное число из интервала [0,1]. Чем ближе это число к единице, тем больше степень или уверенность, с которой элемент х принадлежит нечеткому множеству А. Выбор функции принадлежности является творческой задачей эксперта или группы экспертов. В принципе, вид функции принадлежности может быть выбран любым. Однако, для упрощении расчетов и сокращения объема исходной информации целесообразно использовать те из них, которые допускают аналитическое представление в виде простой математической функции. Выбор типовых функций принадлежности должен быть согласован с возможностями их программной реализации в используемых инструментальных средствах. Лингвистическая переменная характеризуется наименованием и множеством значений (термов), каждая из которых определяется своей функцией принадлежности. Примером лингвистической переменной является «Защищенность информации от перехвата», а значениями этой лингвистической переменной могут быть: «Средний уровень защищенности информации от перехвата» с функцией принадлежности (дср(х), «Высокий уровень защищенности информации от перехвата» с функцией принадлежности [1выс(х), и т. д. Получили распространение такие типы функций принадлежности, как кусочно-линейные Z-образные, 5-образные и колоколообразные функции принадлежности. Процесс моделировании показателя защищенности информации от перехвата основывается на количественном представлении входных и выходных показателей модели в форме нечетких множеств, которые задаются на множестве действительных чисел в виде балльной шкалы отношений. Заданные на множестве действительных чисел нечеткие множества называют нечеткими величинами., С точки зрения аналитической обработки, наиболее удобны простейшие частные случаи нечетких величин с кусочно-линейными функциями принадлежности. В зависимости от вида функции принадлежности, различают такие нечеткие величины, как треугольное нечеткое число и трапециевидный нечеткий интервал. Входные и выходные нечеткие величины в моделях оценки качества могут быть представлены также кусочно-линейной Z-образной и кусочно-линейной S - образной функциями принадлежности. Под фаззификацией (fuzziiication) в рассматриваемом методе понимается процесс получения значений функций принадлежности для термов лингвистических переменных, представляющих первичные показатели защищенности информации, от перехвата. Принципиально алгоритм нечеткой оценки качества защиты от перехвата сводится к получению парных произведений частных показателей качества в виде треугольных нечетких чисел и соответствующих весовых коэффициентов, представленные также в виде треугольных нечетких чисел, с последующим сложением этих парных произведений.
Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предприятия
Мониторинг инфраструктуры защиты информации бизнес-процессов представляет собой комплекс мер и мероприятий (организационных, технических и правовых), направленных на проведение наблюдений, оценки и прогноза изменений в информационной инфраструктуре и ее компонентах.
Необходимость использования мониторинга определяется тем, что стандартные средства и механизмы защиты информации недостаточны, так как обычно обеспечивают только базовые функции, не позволяя контролировать их выполнение и работоспособность информационной системы в целом. Так, практически во всех информационных системах, как минимум, необходимо отслеживать попытки регистрации в системе, ошибки в ПО, факты доступа к ресурсам, нештатные ситуации, снижение уровня защищенности и многое другое.
Мониторинг предназначен для выполнения функций контроля функционирования информационных систем, систем передачи данных, средств и механизмов защиты. Эффективность мониторинга зависит от правильной его организации. Предварительное изучение, оперативный контроль, анализ и обеспечение механизмов реагирования позволяет не только выявить факт компьютерной атаки или нарушения работоспособности, но и сформировать комплекс мер и мероприятий по предупреждению, локализации и устранению последствий.
Основной задачей системы мониторинга является контроль правильной реализации политики безопасности, а также формирование параметров и оценка состояния информационной безопасности бизнес-процессов. . наблюдение за факторами воздействия и состоянием информационных систем; оценку фактического состояния ИС; прогноз состояния ИС и оценку прогнозируемого состояния; обеспечение реагирования. Система мониторинга включает в себя следующий комплекс мероприятий: выбор технических средств и методов анализа; методы сбора, регистрации и протоколирования; протоколирование; анализ; реагирование; представление и распространение информации. Для обеспечения мониторинга используются как технические (технологические), так и организационные и правовые методы. К техническим методам относятся: анализ защищенности; обнаружение несанкционированной активности; контроль информационных потоков; протоколирование и регистрация. Организационные мероприятия по обеспечению мониторинга безопасности включают: создание и эксплуатацию системы обеспечения реагирования и восстановления, обеспечивающей ограничение масштабов ущерба информационной инфраструктуре на объектах повышенного риска (потенциально-опасных объектах) и жизнеобеспечения населения; создание и эксплуатацию системы обмена информацией о фактах и методах, компьютерных нападений и несанкционированных вторжений в СЗИ; разработку требований (профилей) по безопасности информации, учитывающих особенности функционирования информационных систем на объектах; разработку программы сотрудничества с международными профильными Центрами (CIAC, CERT, FIRST и другие) в части обмена информацией о фактах и методах компьютерных нападений и несанкционированных вторжений в СЗИ. При этом должно быть обеспечено взаимодействие между экспертами, работающими в области информационной безопасности, организована подготовка и аттестация специалистов, разработан комплекс методического обеспечения. Координирующую роль при организации системы мониторинга должны выполнять Центры компетенции, специализированные структуры, организованные в единую систему. В систему Центров компетенции должны входить: центры компетенции, организованные по отраслевым либо технологическим признакам; система взаимодействия по вопросам реагирования на инциденты компьютерной безопасности, нормативной и руководящей деятельности; система взаимодействия с профильными организациями и ведомствами; нормативно-руководящая и консультационная деятельность; научная и образовательная деятельность. При создании Центра компетенции в его составе должны быть предусмотрены следующие направления: тестирования технических средств; реагирования на инциденты компьютерной безопасности; сертификации и аттестации по отраслевым нормативным документам; лицензирования; экспертный совет; технические подразделения по направлениям деятельности. В России на проблемы обеспечения мониторинга информационной безопасности начали обращать внимание только в последнее время, однако за рубежом уже накоплен определенный опыт. При этом работы в данном направлении ведутся как общественными, так и государственными организациями (напр. Computer Incident Advisory Capability, U. S, Department of Energy (CIAC), Forum of Incident Response and Security Team (FIRST), Computer Emergency Response Team (CERT) Coordination Center), так и коммерческими.
