Введение к работе
Актуальность работы. На современном этапе проблема обеспечения информационной безопасности (ИБ) в Российской Федерации (РФ) находится в фокусе внимания как одна из ключевых для обеспечения стабильности как бизнес-сообщества, так и информационной инфраструктуры на уровне государства. Техническое обеспечение для решения данной проблемы постоянно совершенствуется, появляются новые средства защиты информации (СЗИ), препятствующие или существенно затрудняющие попытки несанкционированного доступа (НСД). В области законодательного регулирования в РФ принят ряд нормативных правовых актов (НПА), прежде всего Стратегия национальной безопасности РФ до 2020 года (в которой отражена потребность в разработке и внедрении современных технологий ИБ в системах государственного и военного управления), Доктрина информационной безопасности РФ, Федеральные законы ФЗ-149 «Об информации, информационных технологиях и о защите информации», ФЗ-98 «О коммерческой тайне», ФЗ-152 «О персональных данных», ряд Постановлений Правительства и иных (например, Методические материалы ФСТЭК).
В РФ активно вводятся в оборот международные стандарты (МС), призванные восполнить пробел в создании современных систем менеджмента информационной безопасности (СМИБ), отвечающих требованиям как бизнеса (прежде всего эффективности), так и законодательным требованиям различных регуляторов (т.н. «compliance»). Среди наиболее известных МС необходимо отметить стандарты ИСО/МЭК серии 27000; стандарты BSI 10012 («Personal Data Protection») и 25999 («Business Continuity Process»), стандарты NIST серии 800, стандарт Австралии и Новой Зеландии AS/NS 4360 и пр. По данным ИСО (Отчет «ISO in figures for the year 2011 (at 31 December)» рис. 1) сектор стандартов ИСО для электроники, ИТ и телекоммуникаций демонстрирует стабильный рост как по количеству новых стандартов (268 из 1208, или 22%), так и по общему количеству (3186 из 19023, или 16%), что является 2-м результатом в рейтинге, уступая только общеинженерным стандартам.
International Standards
New No. of pages Total No. of pages
Рис. 1 Статистика разработки новых стандартов ИСО 2011 г.
За последние 4-5 лет практически все современные МС ИСО/МЭК в области ИБ, приняты в РФ в качестве ГОСТ Р ИСО/МЭК (прежде всего серии 27000). В тоже время необходимо отметить, что применение техник аудита (как независимого процесса оценки ИБ), выполняется в РФ недостаточно широко, несмотря на принятый более 10 лет назад ГОСТ Р ИСО/МЭК 19011:2002 «Руководящие указания по аудиту систем менеджмента качества и/или экологического менеджмента» (актуальная новая версия МС ИСО/МЭК 19011:2011) и издание специального «целевого стандарта» МС ИСО/МЭК 27006:2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем менеджмента информационной безопасности».
Одним из наиболее критичных видов информации, защита которой затронула практически все слои современного общества, являются персональные данные (ПДн). О фактах крупнейших утечек ПДн как в РФ, так и в мире, известно достаточно; причем ущерб, в отличие от хищения, например, материальных средств (денег с банковских счетов), больше имиджевый - несколько атак подряд на сервера Sony привели к утечке личной информации более 1 млн. пользователей (по данным Reuters). В частности, в июне 2011 очередное нападение было осуществлено хакерской группой LulzSec. Взломщики опубликовали имена, даты рождения, почтовые и электронные адреса, номера телефонов и пароли нескольких тысяч участников конкурсов, которые проводит Sony.
Обеспечение защиты ПДн является важной практической проблемой в силу сложности оценки различных информационных систем (ИС). Проблема защиты ПДн актуальна в силу незащищённости (недостаточной защищённости) ИС, которые могут «в базовом варианте» разработки и поставки не содержать встроенных систем СЗИ НСД. Тем не менее, даже при наличии достаточного количества ранее введенных российских НПА (например, ГОСТ Р 515832000 «Порядок создания автоматизированных систем в защищенном исполнении» и др.) обработка ПДн в ряде ИС проходит без должного внимания к проблемам ИБ даже у крупнейших операторов (Пример - в сахалинском филиале OAO «Дальсвязь» выложили на публичный FTP-сервер файлы с исчерпывающими служебными и личными данными как минимум 11 тыс. текущих или бывших клиентов).
Известно, что анализ СМИБ - процесс непрерывный и должен выполняться на постоянной планируемой основе в течении всего жизненного цикла с должным вниманием к ресурсам и оперативным анализом результатов, что является базовыми требованиями при выполнении практики аудитов ИБ. Анализ НПА в области ИБ в РФ и МС показал, что до настоящего времени не уделялось должного внимания вопросам формирования требований и критериев оценки защищённости СМИБ (и как частной задачи - ПДн). Для формирования эффективной системы оценки защищённости СМИБ необходимо применять комплексный подход, включающий ряд взаимоувязанных мероприятий, одним из которых является формирование системы критериев и разработка адекватных моделей СМИБ. Как показал анализ публикаций на специализированных научно-практических конференциях, на практике недостаточно только информации о реализуемых в СМИБ функциях и/или механизмах ИБ (в терминах МС ИСО/МЭК 27001:2005 - «контролей»). Иными словами, провести типизированный анализ защищённости СМИБ весьма затруднительно; по этой причине используется экспертный подход, позволяющий получить качественные и/или количественные оценки СМИБ, которые могут быть предложены менеджменту организаций (лицам принимающим решения, ЛПР) для принятия эффективных управленческих решений.
При оценке защищённости СМИБ эксперты сталкиваются с рядом проблем, связанных с формализацией и анализом требований (критериев) реальных ИС и использованием доступной и релевантной поставленной задаче информации, прежде всего статистики (например, данных по инцидентам ИБ). Это обусловлено неоднородностью доступных для анализа данных, возникающей из-за разнообразия компонент ИС, программного обеспечения и различных СЗИ, задействованных при построении СМИБ. Также необходимо опираться только на факты (известно требование к аудиторам - «принятие решений, основанных на фактах»), но факты утечек (или любых инцидентов ИБ) редко становятся публично известны в силу нежелания менеджмента предавать огласке факты уязвимостей в СМИБ и/или управленческих ошибок. По этим объективным причинам для оценивания защищённости СМИБ применяются экспертные оценки (например, бальные системы оценки в Комплексе СТО БР), что вносит неопределенность в итоговые данные и является причиной сложностей при их анализе, интерпретации и формировании оперативного и эффективного управляющего решения.
Основные теоретические аспекты проблемы обеспечения ИБ и оценка анализа свойств защищённости сложных объектов (таких как современные СМИБ) нашли отражение в работах ряда современных российских и зарубежных специалистов: Р.М. Юсупова, Саенко И.Б., Н.В. Хованова, А.А. Молдовяна, В.Ю. Осипова, В.И. Емелина, В.М. Зимы, Л. Заде, Т. Саати и др.
Анализ работ вышеуказанных ученых показал, что при всей значимости проведенных исследований, касательно применения моделей для оценки защищённости (в т.ч. экономической эффективности), в современном состоянии уровня техники модели СМИБ изучены и практически проработаны не в полной мере. Сделан вывод, что для повышения достоверности и оперативности оценки защищённости СМИБ необходимо разработать и применять методы оценки моделей СМИБ, позволяющие описать сложные иерархические структуры ИС. Актуальность диссертационной работы прямо следует из указанной выше необходимости.
Цель исследования - Повышение оперативности и достоверности оценки защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005 и практического применения моделей СМИБ и методов оценки защищенности в практике аудитов ИБ, в том числе при оценке защищённости ПДн, необходимой и достаточной менеджменту для принятия адекватных мер на основе современных математических методов проведения оценки и «лучшей практики».
Объект исследования - Система менеджмента информационной безопасности.
Предмет исследования - Модели и методы анализа сложных (иерархических) систем.
Для достижения указанной цели исследования поставлены и решены следующие задачи:
Выполнить анализ требований НПА в области ИБ и создания СМИБ, в том числе, в области обеспечения защищённости ПДн;
Разработать подходы и принципы синтеза эффективных моделей оценки защищённости СМИБ;
Разработать иерархические модели СМИБ, учитывающие множество критериев (в т.ч. требования защищённости ПДн), с использованием современного математического аппарата анализа иерархий - метода анализа иерархий (МАИ);
Синтезировать методы оценки защищённости СМИБ с использованием современного математического аппарата (модификации МАИ - сравнения относительно стандартов);
Выполнить апробацию моделей и методов оценки СМИБ в практике проведения аудитов ИБ в соответствии с требованиями ИСО/МЭК 27001:2005.
Теоретическая значимость выполненных исследований состоит в применении новых методов оценки сложных (иерархических) систем и синтезе моделей СМИБ для систематического процесса получения достоверных оценок защищённости моделей СМИБ.
Практическая значимость разработанных методов оценки защищённости СМИБ определяется тем, что модели СМИБ позволяют получать оперативные и достоверные оценки (в том числе и оценки защищённости ПДн) в процессе аудитов ИБ (различных типов) с использованием независимых (групповых) экспертных оценок. Разработанные модель СМИБ и методика позволяют повысить объективность и корректность оценки защищённости, сократить сроки проведения - например, в рамках планового проведения аудитов ИБ в организации. Применение независимых экспертных оценок дополнительно дают преимущества получения объективных, математически согласованных и практически обоснованных управленческих решений для ЛИР. Более того, накапливаемые результаты оценок СМИБ могут быть использованы для долгосрочного стратегического анализа, снижения издержек при проведении последующих аудитов ИБ, эффективного обучения персонала, а также для поддержки принятия решений по адекватному выбору технических и/или организационных мер («контролей»).
В ходе исследования получены следующие научные результаты, выносимые на защиту:
-
-
Модели оценки защищённости СМИБ:
-
Модель формирования статической оценки защищённости СМИБ;
-
Модель формирования динамической оценки защищённости СМИБ.
Методы оценки защищённости моделей СМИБ:
-
Метод оценки защищённости моделей СМИБ (статический), основанный на МАИ (модификация МАИ относительно стандартов) и статической матрице предпочтения стандартов;
-
Метод оценки защищённости моделей СМИБ (динамический), основанный на МАИ (модификация МАИ относительно стандартов) и динамической (функциональной) матрице предпочтения стандартов.
Научная новизна работы состоит в следующем:
-
-
-
-
Разработаны иерархические модели оценки защищённости СМИБ, служащие для описания предметной области и формирования множества альтернатив на основе модификации МАИ сравнения стандартов. Модели имеют вид иерархической структуры, отличающейся 3-х уровневой универсальной компоновкой: уровень «глобальной цели», уровень «триады безопасности» (в соответствии с требованиями МС ИСО/МЭК 27001:2005), уровень «критериев безопасности» (в соответствии с требованиями Приложения А ИСО/МЭК 27001:2005 в аспекте экономической целесообразности, необходимой для формирования эффективного «целевого» управленческого решения), а так же альтернатив («стандартов»). Разработанные модели позволяют дополнительно применять в широком объеме независимые экспертные оценки, широко варьировать (конструировать) альтернативы - не быть жестко привязанным к фиксированному множеству «стандартов» в области ИБ. Предложенные модели отличаются внутренними механизмами математической «самопроверки» (вычисляется индекс согласованности, не допуская несогласованных экспертных оценок, способных повлиять на достоверность итоговой оценки) и дополнительно - оценками рисков экспертных мнений.
-
Разработаны методы оценки защищённости СМИБ, базирующиеся на представленных в диссертационной работе моделях СМИБ, обладающие рядом новых особенностей, подтверждающих ее новизну: применение единого подхода к формированию критериев защищённости СМИБ (в соответствии с требованиями МС ИСО/МЭК 27001:2005), расчет ряда численных показателей, учитывающих применение (равно как и возможность исключения на основе оценки рисков ИБ) произвольного числа «контролей» (СЗИ НСД, организационных мер и набора «политик» пр.), а также практической применимостью.
Обоснованность и достоверность положений, выводов и рекомендаций подтверждена корректностью использованного математического аппарата, результатами ряда выполненных экспериментальных работ (проведенных аудитов ИБ в течение 2008-2012 гг.), положительными результатами внедрения разработанных моделей оценки защищённости СМИБ в практику проведения аудитов СМИБ в ряде организаций (Набережные Челны, Санкт-Петербург, Владивосток, Омск).
Апробация результатов. Основные положения и результаты диссертационной работы докладывались и обсуждались на 7-й международной конференции «Инфокоммуникационные технологии Глобального информационного общества» (Казань), 2009 г., 2-й, 3-й и 4-й Межбанковской конференции по информационной безопасности (Башкирия), 2010 - 2012 г.г., 16-й научно-практической конференции «Комплексная защита информации» (Гродно), 2011 г. Успешная практическая апробация подтверждена результатами внедрения разработанной модели в практику проведения аудитов СМИБ (в т.ч. защищённости ПДн) в ряде организаций («КАМАЗ-Дизель», г. Набережные Челны, ЗАО «Ниеншанц», г. Санкт-Петербург, ОАО «Дальневосточное морское пароходство», г. Владивосток, ОАО «ПРП Омскэнергоремонт»).
Публикации. Основные результаты диссертационного исследования представлены в 4-х статьях, опубликованных в ведущих научных журналах и изданиях, рекомендованных ВАК Министерства образования и науки РФ, и в 17 публикациях в материалах научно-практических конференций, иных научных журналах и специализированных изданий. Всего по теме диссертации 21 публикация, в т.ч. 5 свидетельств об официальной регистрации «Роспатента».
Реализация. Методика аудита защищённости СМИБ используется в ряде организаций: ОАО «КАМАЗ-Дизель», ОАО «ПРП «Омскэнергоремонт» и ОАО «Дальневосточное морское пароходство» при проведении аудитов ИБ. Использование представленной методики позволяет повысить объективность оценки СМИБ (и ПДн в частности) в соответствии с действующими НПА, сократить сроки проведения аудитов ИБ (в соответствии требованиями МС ИСО/МЭК серии 27000) и число привлекаемых экспертов (аудиторов), что подтверждается соответствующими актами реализации (отзывами).
Структура и объем диссертации. Диссертация состоит из введения, 4-х глав, заключения, списка литературы из 154 наименований. В работе содержится 41 таблица и 39 рисунков. Объем основной части работы - 171 страница. В приложении приведен глоссарий и отзывы о практическом применении результатов диссертационной работы.
Похожие диссертации на Методы оценки защищённости систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005
-
-
-
-
-
