Содержание к диссертации
Введение
Глава 1. Обзор подходов к оценке системы менеджмента информационной безопасности в процессе жизнедеятельности системы 12
1.1 Анализ состояния и направления развития систем менеджмента информационной безопасности 12
1.2 Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам . 21
1.3 Особенности современной практики оценивания систем менеджмента информационной безопасности 38
1.4 Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности 48
Глава 2. Разработка модели оценки системы менеджмента информационной безопасности 55
2.1 Обоснование интегрального показателя эффективности системы менеджмента информационной безопасности 56
2.2 Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности 67
2.3 Разработка модели оценки эффективности системы менеджмента информационной безопасности. 71
Глава 3. Разработка методики повышения качества оценивания системы менеджмента информационной безопасности 88
3.1. Обоснование исходных данных для решения задачи оптимизации распределения ресурсов в целях для измерений системы менеджмента информационной безопасности 89
3.2 Методика повышения качества оценивания системы менеджмента информационной безопасности 93
3.3 Практические рекомендации применения методика повышения качества оценивания системы менеджмента информационной безопасности 96
Заключение 102
Список сокращений 105
Литература 106
- Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам
- Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности
- Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности
- Методика повышения качества оценивания системы менеджмента информационной безопасности
Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам
Международный стандарт ИСО/МЭК 27000:2013 «Information security management systems – Overview and vocabulary» (Системы менеджмента информационной безопасности. Общий обзор и терминология)» дает следующее определение «Система менеджмента информационной безопасности (СМИБ) (information security management system, ISMS): часть общей системы менеджмента организации, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ)» [3,32]. Для полного и разностороннего представления о том, что представляет собой система менеджмента информационной безопасности, необходимо разобраться в понятийном аппарате информационной безопасности.
Сейчас сложно представить себе какую-нибудь сферу деятельности человечества, в которой бы обходились без информационных технологий (IT), без автоматизации каких либо процессов. В инфраструктуре большинства организаций эксплуатируются автоматизированные системы (АС), широко используются сетевые технологии, базы данных, электронный документооборот. Информационные потоки, циркулирующие в АС организации, зачастую содержат коммерческую тайну, персональные данные и др. служебную информацию организации.[33,34] Соответственно, чем шире в компании используются информационные технологии, чем крупнее компания, тем более остро стоит для нее вопрос информационной безопасности. [14, 36,43]
Наиболее распространённое определение информационной безопасности дают стандарты ИСО/МЭК: «Информационная безопасность (information security): сохранение конфиденциальности, целостности и доступности информации.» [ 3, 4 ]. Конфиденциальность (англ. confidentiality): свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов [ 3,32]; Целостность (англ. Integrity): свойство сохранения правильности и полноты активов [ 3,32 ];
Доступность (англ. availability): свойство быть доступным и готовым к использованию по запросу авторизованного субъекта [3,32]. Информация, которой владеет организация, является объектом угроз атаки, ошибки, воздействия природных и техногенных факторов (например, наводнения или пожара), воздействия злоумышленников и т.д. С этой стороны, термин «информационная безопасность» относится к информации, как к активу, у которого есть ценность, требующая соответствующей защиты. Эффективность работы организации напрямую зависит от обеспечения возможности санкционированного и своевременного получения точной и полной информации.[37]
Для достижения организацией своих целей, сохранения деловой репутации, соблюдения законодательства Российской Федерации (РФ) она должна осуществлять защиту информационных активов посредством определения, достижения, поддержания, и улучшения информационной безопасности. Оценка рисков ИБ и реализация необходимых средств управления выступают элементами менеджмента ИБ.
В связи с динамическим изменением внешних и внутренних факторов воздействующих на ИБ, организациям необходимо управлять ИБ, посредством: a) контроля и оценки эффективности имеющихся средств управления и процедур ИБ; b) идентификации новых рисков и их оценки; c) выбора, реализации, анализа и улучшение средств управления ИБ. Для достижения поставленных целей, и эффективной реализации политик ИБ, для координации усилий в сфере ИБ, организации необходимо построение системы менеджмента ИБ.
Выделяются основные этапы создания и использования системы безопасности [ 4, 22]: 1. Определение требований защиты конкретного объекта или системы. 2. Использование рекомендаций национальной и международной нормативно-правовой и научной базы. 3. Использование наработанных практик (стандарты, методологии) построения подобных систем безопасности. 4. Определение ответственных лиц за реализацию и поддержание системы безопасности. 5. Распределение между ответственными лицами задач систем безопасности. 6. Исходя из внешних и внутренних факторов, влияющих на организацию, создание Политики ИБ объекта или системы, в которой определены общие положения, руководства по обеспечению ИБ, технические и организационные требования. 7. Реализация указаний и требований Политики ИБ, с использованием внедрения аппаратно-программных комплексов, введения различных инструкций. 8. Внедрение системы управления информационной безопасности. 9. Обеспечение контроля эффективности СМИБ, а так же использование процессов, инструкций по пересмотру и улучшению системы безопасности. Общая схема этапов жизненного цикла СМИБ «Планирование – Внедрение – Проверка – Действие» отображена на рисунке 1.
Начало построения СМИБ начинается с этапа «Планирование», в котором проводится оценка состояния ИБ с учетом угроз и уязвимостей, связанных с информационными активами организации. Проводится выбор необходимых мер и средств контроля и управления определяются цели применения мер и средств контроля и управления ИБ, а также мер и средств контроля и управления для обработки рисков.
Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности
Область аудита может включать содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита. [11,13,17]
Далее устанавливается первоначальный контакт с проверяемой организацией. Сущность этого шага в том, чтобы вступить в контакт с персоналом службы ИБ организации (менеджер по ИБ, архитектор по безопасности, разработчик СМИБ, исполнитель СМИБ) и вышестоящим руководством, в должностные обязанности, которых включены вопросы ИБ (например, ГТ-директор (СЮ), исполнительный директор (СЕО), директор по безопасности (CSO)), чтобы получить разрешения на доступ к документам, которые будут проанализированы в ходе аудита. Со своей стороны, организация (заказчик аудита) обычно назначает одного или нескольких сопровождающих аудитора лиц (или наблюдателей). Сопровождающие оказывают помощь аудиторам, действовать по просьбе руководителя группы по аудиту и выполняют следующие обязанности: обеспечение контактов и назначение времени для встреч; обеспечение посещений определенных мест производственной площадки или организации; обеспечение того, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту; исполнение функций лиц, свидетельствующих в ходе аудита от имени проверяемой организации; предоставление разъяснений или оказание помощи при сборе информации;
Предварительный анализ документов. На этом этапе анализируют документы проверяемой организации, документы по СМИБ, записи СМИБ, а также отчеты по предыдущим аудитам с целью определения соответствия СМИБ требованиям нормативных документов или на соответствие требованиям стандарта ISO/IEC 27001. В ходе анализа учитывается размер, вид деятельности и сложность организации, а также цели и область аудита. Если документация СМИБ не соответствует требованиям нормативных документов или требованию стандарта ISO/IEC 27001, то аудитор информирует заказчика аудита. В данном случае принимается решение о прекращении аудита или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены.
На данном этапе проводится планирование аудита и подготовка рабочих документов для проведения аудита.
План аудита согласовывается с заинтересованными сторонами. Группа аудита подготавливает для регистрации результатов аудита рабочие документы: контрольные листы и планы выборок для аудита; формы регистрации данных, таких как подтверждающие свидетельства, наблюдения аудита и протоколы совещаний; Количество подготовленных документов устанавливается таким образом, чтобы обеспечить необходимый запас, если объем проверок будет увеличен, в результате анализа собранных во время аудита данных. Рабочие документы хранятся до завершения аудита.
Вся информация аудита, относящаяся к СМИБ, включая информацию, касающуюся взаимодействия между подразделениями, о деятельности и процессах, собирается в ходе выборок и верифицируется. Свидетельством аудита может быть только верифицированная информация, которая зарегистрирована. Свидетельство аудита основано на выборках имеющихся данных. В полученных выборках имеется элемент стохастической неопределенности, и заключения аудита должны учитывать эту неопределенность. Методы сбора информации включают:
На данном этапе осуществляется получение наблюдений аудита путем сопоставления свидетельств аудита с требованиями нормативных документов или требованиями стандарта ISO 27001. Наблюдения аудита указывают на соответствие или несоответствие критериям аудита. Если это определено целями аудита, наблюдения аудита могут определить возможности для улучшения ИБ.
Несоответствия требованиям ИБ и подтверждающие их свидетельства аудита регистрируются и классифицируются (ранжируются). Далее проводится их анализ совместно с проверяемой организацией для подтверждения объективности свидетельств аудита.
Подготовка отчета по результатам аудита является, важной частью процесса аудита. Результатом данного этапа является подписанный, согласованный и утвержденный отчет по результатам аудита.
Типичный отчет по результатам аудита СМИБ включает в себя следующую информацию (которая может отражаться в виде приложений или в виде отдельных документов) о цели, области применения, критериях аудита, временных рамках и объема работ по аудиту СМИБ, краткие итоги по аудиту (Резюме), степень соответствия СМИБ стандарту критериям аудита, гарантии со стороны руководства о пригодности СМИБ, ее адекватность, результативность и возможность улучшения и т.д.
Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены и утвержденный отчет (акт) по аудиту разослан. Если СМИБ по результатам аудита соответствует требованиям ISO 27001, организации выдается сертификат соответствия. Документы, имеющие отношение к аудиту, хранятся или могут быть уничтожены на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов. Оценивание СМИБ проводится регулярно в ходе жизненного цикла, и непосредственно связано с проведением измерений [10,12,23]. Согласно с требованиями ГОСТ ИСО/МЭК 27001 измерения проводятся в циклической взаимосвязи видов деятельности СМИБ (их «входов-выходов»), на базе цикла «Планирование – Внедрение – Проверка – Действие» (PDCA-Plan-Do-Check-Act) (рисунок 5).
В соответствии моделью деятельности СМИБ "Планирование-Внедрение-Проверка-Действие" организации, для проверки эффективности реализованной СМИБ, необходимо управлять программой измерений для достижения установленных целей измерений в масштабах всей измерительной деятельности. Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения
Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности
Регулярные измерения показателей качества СМИБ, дают временной срез состояния системы, который будет оцениваться относительно предыдущих результатов измерений. Однако, эта информация жестко привязана к времени измерения и по совокупности полученных показателей невозможно определить насколько изменилась эффективность СМИБ между периодами проверок. Проблема существующих механизмов получения показателей заключается в том, что при измерении атрибутов объектов измерения все атрибуты, кроме одного, остаются неизменными, их как бы «замораживают», измеряя, последовательно в рассматриваемых пределах лишь один атрибут, не учитываются наличие неопределенности стохастического характера. Например, при оценке рисков во время планирования СМИБ, при использовании мер и средств контроля и управления ИБ, недостатки процессов функционирования действующей СМИБ, ошибки измерений.
В конечном итоге оценка показателя качества СМИБ сводится к принятию бинарного решения «удовлетворяет - не удовлетворяет». Таким образом, возникает важная и актуальная задача по разработке интегрального критерия эффективности СМИБ, который бы позволил учесть вышеуказанные недостатки и в то же время имел ясную физическую трактовку для руководства организации и персонала службы ИБ. Решение этой задачи видится в разработке такого показателя эффективности СМИБ, который будет связан с организацией объективных и повторяемых процессов измерения. Данный показатель будет объективно отражать состояние СМИБ, и на основании него, соответствующие заинтересованные стороны, смогут определить потребности в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры. В роли такого показателя эффективности СМИБ необходимо принять время реакции системы на события ИБ. В ГОСТ ИСО/МЭК 27000 дается следующее определение «2.20 Событие в системе информационной безопасности (information security event): выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение информационной безопасности (2.19), политики (2.28), нарушение или отказ средств управления (2.10) или прежде неизвестная ситуация, которая может иметь значение для безопасности.» [ 3,4]
Анализ методов оценки эффективности мер и средств управления и контроля СМИБ [15,23] показал, что около 80% от общего перечня мер и средств управления и контроля оценивается по временным показателям. Например, по времени обнаружения события в системе ИБ, времени внесения информации о событии ИБ в базу данных, время блокирования несанкционированного действия нарушения ИБ, время оповещения персонала службы ИБ организации о событии ИБ. В зависимости от того какой компонент системы реагирует на событие ИБ (СОВ - защита периметра сети от вторжений, изменение политик безопасности, управление системой физического и логического доступа и множество других компонентов) не только меняется время реакции, но и оценка скорости реакции. Для некоторых ситуаций хорошим результатом является практически мгновенная реакция, изменение политик безопасности может потребовать несколько недель или даже месяцев.
Время реакции СМИБ на события ИБ может выступать интегральным показателем эффективности СМИБ.
Для расчета показателя необходимо разделение мер и средств управления и контроля для выполнения проверок на группы по времени реагирования на событие ИБ. Например, можно установить такой вид группирования: - немедленный контроль (время реакции – несколько минут ( 10мин.)); - суточный контроль (время реакции – в течение суток ( 24часа)); - контроль изменения политик ИБ (время реакции – в течение нескольких суток ( 10сут.)). Динамика изменения интегрального показателя от проверки к проверке позволит судить о состоянии системы в целом, о результативности принимаемых мер и средств управления и контроля. В формировании данного показателя будет учитываться уникальность СМИБ организации. Дополнительно, методика получения показателя , может быть встроена в обычные процессы функционирования СМИБ и может выполняться через постоянные интервалы времени, определяемые руководством СМИБ. Изменения, вносимые методикой получения интегрального показателя в модель измерений СМИБ, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами, позволит получать воспроизводимые, объективные и пригодные результаты измерений (рисунок 14).
Методика получения показателя эффективности СМИБ позволит исследовать взаимное влияние показателей качества объектов измерений.[47, 48] В руководящих документах [15,23] определен перечень взаимосвязанных конструктивных элементов измерений. Однако, существующий перечень представляет только базовые взаимодействия, и не учитывает особенности СМИБ организации. В рамках работы по совершенствованию оценки эффективности СМИБ и получения достоверных результатов измерения показателей качества СМИБ предлагается использование стохастических аналитических моделей, в частности статистических. Данные модели предпочтительны потому, что учитывают вероятностную составляющую атрибутов (факторов) которые подлежат измерению, а также случайное воздействие может подаваться на вход модели измерений, как в процессе проведения измерений, так и за счет датчиков случайных чисел применяемых в самой модели. Еще одним достоинством применения статистической модели является то, что в ней самой уже заложен алгоритм статистической обработки результатов измерений. Наиболее выгодным, с точки зрения достижения результативности измерений, является широкое использование, в качестве аналитических моделей для показателя эффективности СМИБ, модели регрессионного анализа. Преимущество данной модели относительно других статистических моделей (дисперсионного, корреляционного, параметрического анализа и др.) в том, что помимо получения вывода о причинно-следственном механизме исследуемых зависимостей, получают конкретные сведения о форме и виде зависимости. Помимо этого аппарат регрессионного анализа широко представлен во всех современных программных средствах математической автоматизации (таких как семейство Mathcad, Scilab, GNU Octave, Mathematica, MATLAB и др.), и в автоматизированных средствах обработки статистических данных (STATISTICA, SYSTAT, JMP и т.д).
Методика повышения качества оценивания системы менеджмента информационной безопасности
Проведенные в диссертации исследования путем обобщения и развития научно-методического аппарата обеспечения качества оценивания характеристик СМИБ в процессе мониторинга и анализа деятельности системы выполнены в рамках решения общей проблемы совершенствования методов оценки СМИБ на различных этапах жизнедеятельности.
Исследования показали, что повышение и обеспечение точности и достоверности оценивания СМИБ достигается за счет комплексного подхода к задаче оценивания характеристик СМИБ.
В диссертации уделено внимание как научной, так и практической направленности с доведением большинства рассматриваемых вопросов до готовых к применению методик. При проведении исследований получены следующие теоретические и практические результаты:
1. Предложен новый интегральный показатель эффективности СМИБ позволяющий получить количественную оценку состояния ИБ, который имеет ясную физическую трактовку для руководства организации и службы ИБ.
2. Разработан научно-методологический аппарат расчета интегрального показателя эффективности СМИБ достоинством, которого является: возможность управления измерениями атрибутов, обеспечивается одинаковая точность оценок параметров атрибутов в процессе измерений, выявляется влияние взаимодействия атрибутов и их значимость в расчете показателя эффективности СМИБ, позволяет получить аналитическую модель показателя эффективности СМИБ.
3. Разработан научно-методический аппарат оптимального распределения ресурсов измерений для повышения качества оценивания СМИБ, основанный на впервые применяемом для задач такого класса, математическом аппарате динамического программирования, ранее не применявшийся при анализе СМИБ.
4. Предложенная методика оптимизации планирования измерений атрибутов СМИБ позволяет снизить на 10-15% затраты ресурса на проведение измерений, либо повысить качество оценок показателей СМИБ.
В ходе выполнения работы обоснованы пути решения задачи повышения качества оценивания СМИБ разработан комплексный подход, заключающийся в получении интегрального количественного показателя эффективности СМИБ, использовании методологического аппарата расчета интегрированного показателя с применением положений теории планирования эксперимента, получения аналитических моделей процессов функционирования СМИБ, на основе регрессионного анализа, применении методики планирования измерений атрибутов СМИБ,
К принципиально новым теоретическим результатам относится:
1. Планирование измерений атрибутов СМИБ, в отличие от известных подходов, предлагается осуществлять на основе корректировки плана по результатам анализа динамики показателя качества СМИБ, после каждого измерения.
2. Новый интегральный показатель эффективности СМИБ позволяет, в отличие от известных показателей, получить статистическую оценку стохастических факторов оказывающих наиболее существенное влияние на эффективность СМИБ, определять динамику развития системы.
3. Новизну метода расчета интегрального показателя эффективности СМИБ составляет использование математического аппарата теории планирования эксперимента. Адаптированы и описаны процедуры формирования факторного пространства для исследования процессов СМИБ, стратегии измерений атрибутов ИБ, составления матриц измерений, выбора типа плана и статистического анализа результатов факторного эксперимента. Сложности, обусловленные ограниченным объёмом измерений при анализе характеристик СМИБ, привели к постановке и решению целого ряда задач, связанных с получением аналитических моделей.
Обоснованность и работоспособность разработанного аппарата подтверждается использованием его в теории и практике мониторинга и анализа СМИБ в ходе жизнедеятельности системы, что подтверждается актами внедрения и реализации, результатами вычислительных экспериментов, статьями общероссийских и ведомственных изданий, докладами на НТК и HTC НИУ ИТМО. Дальнейшие исследования по вопросам решаемой в диссертации задачи целесообразно проводить в следующих направлениях. 1. Совершенствование и обоснование номенклатуры определяемых характеристик СМИБ при формировании системы исходных данных для решения, поставленной в работе научной задачи. 2. Повышение качества оценок характеристик СМИБ путём обоснования требований к измерительным средствам и комплексам, применяемым при проведении мониторинга и анализа СМИБ. 3. Углубленная разработка процедур объединения неоднородных данных о свойствах исследуемой СМИБ. 4. Расширение возможностей теоретико-экспериментального метода оценивания характеристик ИБ объектов в различных информационных ситуациях.
Расчёты показывают, что применение разработанного аппарата позволит существенно повысить достоверность оценивания характеристик СМИБ, соответственно, значительно сократить объёмы, сроки и затраты на проведение анализа состояния СМИБ, в результате обеспечить качество оценивания характеристик СМИБ, что в свою очередь является определяющим при оценке соответствия характеристик СМИБ требованиям ИБ организации и выработке решений о дальнейшем развитии ИБ.
