Содержание к диссертации
Введение
Глава 1. Обзор подходов к оценке системы менеджмента информационной безопасности в процессе жизнедеятельности системы 12
1.1 Анализ состояния и направления развития систем менеджмента информационной безопасности 12
1.2 Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам . 21
1.3 Особенности современной практики оценивания систем менеджмента информационной безопасности 38
1.4 Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности 48
Глава 2. Разработка модели оценки системы менеджмента информационной безопасности 55
2.1 Обоснование интегрального показателя эффективности системы менеджмента информационной безопасности 56
2.2 Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности 67
2.3 Разработка модели оценки эффективности системы менеджмента информационной безопасности. 71
Глава 3. Разработка методики повышения качества оценивания системы менеджмента информационной безопасности 88
3.1. Обоснование исходных данных для решения задачи оптимизации распределения ресурсов в целях для измерений системы менеджмента информационной безопасности 89
3.2 Методика повышения качества оценивания системы менеджмента информационной безопасности 93
3.3 Практические рекомендации применения методика повышения качества оценивания системы менеджмента информационной безопасности 96
Заключение 102
Список сокращений 105
Литература 106
- Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам
- Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности
- Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности
- Методика повышения качества оценивания системы менеджмента информационной безопасности
Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам
Исходя из анализа требований нормативно-правовых документов категорирующих СМИБ, и достигнутых результатов в практике ИБ можно определить основные направления развития СМИБ: 1. Автоматизация способов сбора информации о состоянии ИБ и характеристиках СМИБ. 2. Создание единого формально-логического протокола обмена данными о состоянии ИБ как внутри СМИБ, так и между взаимодействующими системами менеджмента. 3. Создание единой системы менеджмента информационной безопасности в рамках государственной федеральной программы. 4. Развитие и совершенствование мер управления и контроля ИБ, создание единой библиотеки типовых инструментов контроля ИБ. 5. Развитие и совершенствование аппарата анализа и оценивания СМИБ. 1.2 Структура показателей качества систем менеджмента информационной безопасности, и требования, предъявляемые к системам.
Требования ИБ определяются исходя из общей стратегии и деловых целей организации, ее размера и географического положения, с учетом следующих факторов: - идентифицированные информационные активы (ИА) и их ценность; - деловые потребности в обработке и хранении информации; - юридические, регулирующие, и договорные требования. Необходимо оценивать риски, связанные с ИА организации, для чего необходимо провести анализ: угроз ИА; уязвимостей ИА и вероятности угрозы ИА; потенциального воздействия любого инцидента ИБ на ИА.[1, 6, 18, 26]. Результаты оценки риска ИБ позволяют выработать и провести соответствующие управленческие решения для действий и установления приоритетов для управления рисками ИБ, а также для реализации соответствующих средств управления безопасностью для защиты от этих рисков.[21,24]
Серия стандартов ИСО/МЭК 27000 определяет такое понятие как средство управления «2.2 средство управления [control] средства управления рисками, включая политику, процедуры, руководящие принципы, практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер. ПРИМЕЧАНИЕ: Термин «средство управления» также используется как синоним термина «мера безопасности» или «контрмера»» [ 3 ]. После определения требований к ИБ и оценки рисков ИБ для идентифицированных ИА (включая решения для обработки рисков ИБ) руководство организации выбирает и реализует соответствующие средства управления, которые гарантируют, что риски ИБ уменьшены до уровня, приемлемого для организации. Средства управления могут быть выбраны с помощью стандарта ISO/IEC 27002, а также из перечня целей и мер управления указанных в приложении А ISO/IEC 27001 или из других соответствующих наборов средств управления. Для решения специфических потребностей организации могут быть разработаны новые соответствующие средства управления. Выбор средств управления безопасностью зависит от требований безопасности, принимающих во внимание критерии для принятия риска ИБ, вариантов обработки риска и общего подхода управления рисками, применяемого организацией. Структурно средства (меры) управления можно разделить на следующие основные категории защиты: 1) Политика в области защиты информации (А.5); 2) Организация защиты информации (А.6); 3) Менеджмент информационных активов (А.7); 4) Безопасность связанная персоналом (А.8); 5) Физическая и экологическая безопасность (А.9); 6) Управление средствами связи и операциями (А.10); 7) Управление доступом (А.11); 8) Управление жизненным циклом информационных систем (А.12); 9) Управление инцидентами в системе защиты информации (А.13); 10) Менеджмент непрерывности бизнеса (А.14); 11) Соответствие юридическим требованиям, требованиям стандартов в области защиты информации, аудит информационных систем (А.15). Например, средства управления, относящиеся к категории защиты «Менеджмент информационных активов (А7)», делятся на подразделы «Ответственность за защиту информации» и «Классификация информации». Структура средств управления категории А7 представлена на рисунке 4.
Обоснование и содержание проблемы обеспечения качества оценивания систем менеджмента информационной безопасности
Несоответствия требованиям ИБ и подтверждающие их свидетельства аудита регистрируются и классифицируются (ранжируются). Далее проводится их анализ совместно с проверяемой организацией для подтверждения объективности свидетельств аудита.
Подготовка отчета по результатам аудита. Подготовка отчета по результатам аудита является, важной частью процесса аудита. Результатом данного этапа является подписанный, согласованный и утвержденный отчет по результатам аудита.
Типичный отчет по результатам аудита СМИБ включает в себя следующую информацию (которая может отражаться в виде приложений или в виде отдельных документов) о цели, области применения, критериях аудита, временных рамках и объема работ по аудиту СМИБ, краткие итоги по аудиту (Резюме), степень соответствия СМИБ стандарту критериям аудита, гарантии со стороны руководства о пригодности СМИБ, ее адекватность, результативность и возможность улучшения и т.д.
Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены и утвержденный отчет (акт) по аудиту разослан. Если СМИБ по результатам аудита соответствует требованиям ISO 27001, организации выдается сертификат соответствия. Документы, имеющие отношение к аудиту, хранятся или могут быть уничтожены на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов. Оценивание СМИБ проводится регулярно в ходе жизненного цикла, и непосредственно связано с проведением измерений [10,12,23]. Согласно с требованиями ГОСТ ИСО/МЭК 27001 измерения проводятся в циклической взаимосвязи видов деятельности СМИБ (их «входов-выходов»), на базе цикла «Планирование – Внедрение – Проверка – Действие» (PDCA-Plan-Do-Check-Act) (рисунок 5). В соответствии моделью деятельности СМИБ "Планирование-Внедрение-Проверка-Действие" организации, для проверки эффективности реализованной СМИБ, необходимо управлять программой измерений для достижения установленных целей измерений в масштабах всей измерительной деятельности. Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения.
Планирование л Действие
Выбор целейприменения мер исредств контроля иуправления, а такжемер и средствконтроля и управлениядля обработки рисков м- Оценка реальнойвероятности сбояобеспечениябезопасности с учетом угроз и уязвимостейсвязанных с активами,а также мер и средствконтроля у управлениябезопасностью Реализацияулучшенийв СМИБ к Внедрение мер исредств контроляуправления длядостижения целейбезопасности Ґ1_1 Регулярный анализ результативности СМИБ Выходные данные для внедрения решений по усовершенствованию СМИБ, способов оценки результативности мер и средств управления и контроля
Определениеспособа измерениярезультативности Пересмотр оценкирисков, с учетомрезультативностиСМИБ Анализ СМИБ дляподтвержденияэффективности иопределениянаправлениясовершенствования
Измерениерезультативностимер и средств Входные данныедля анализа эффективности контроля управлениядля достиженияцелей безопасности і СМИБ, с учетомпредыдущихаудитов Внедрение Проверка Результаты измерений предоставляются соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры. При формировании программы измерений учитываются масштабы и сложность СМИБ, а также то, что сами измерения, впоследствии, могут быть интегрированы в обычные процессы функционирования СМИБ или будут выполняться через постоянные интервалы времени, определенные руководством службы ИБ.
Во исполнение программы создается модель измерений, для которой разрабатываются и вводятся конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений (рисунок 6).
Модель измерений представляет собой структуру, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами. В число объектов могут входить планируемые и реализованные процессы, процедуры, проекты и ресурсы СМИБ. [4,8,23]. Модель измерений позволяет описать количественные оценки показателей атрибутов и каким образом они преобразуются в показатели, служащие основой для принятия решений. Сбор информации об атрибутах объекта измерений осуществляется посредством выбора метода измерений.
Метод измерений - это логическая последовательность операций, основывающихся на атрибутах объекта измерений, используемых для количественной оценки атрибута по отношению к заданной шкале. Операция может включать в себя такие действия, как подсчет событий, наблюдение за ходом времени, проведение тестов. Метод измерений может использовать объекты измерений и атрибуты из разнообразных источников, таких как результаты анализа риска и оценки риска, данные тестирования, полученные, на пример, в результате тестирования на проникновение, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности. Полученные с помощью методов измерения данные являются основной мерой измерения. Основные меры измерения не зависимы друг от друга.
Производная мера измерения является комбинацией двух или более основных мер измерений. Основная мера измерения может служить в качестве входных данных функции измерения для получения нескольких производных мер измерения. Функцией измерения является вычисление, используемое для комбинирования основных мер измерения, с целью получения производной меры измерения.
Показатель является мерой, дающей качественную или количественную оценку определенных атрибутов, полученную на основе аналитической модели в отношении определенной информационной потребности. Показатели получают путем применения аналитической модели к основной и (или) производной мере измерений и комбинирования их с использованием критериев принятия решений.
Результаты измерений формируются путем интерпретации применимых показателей на основе определенных критериев принятия решений и должны рассматриваться в контексте общих целей измерения эффективности СМИБ. Критерии принятия решений используются для того, чтобы определить необходимость действия или дальнейшего исследования и характеризовать степень уверенности в результатах измерения. Критерии принятия решений могут применяться для ряда показателей, например, для проведения анализа трендов на основе показателей, полученных в разные моменты времени.
Выбор аппроксимирующего полинома для модели показателя эффективности системы менеджмента информационной безопасности
Все вышесказанное актуально для проведения измерений по изучению влияния выбранных атрибутов на СМИБ, и при получении адекватной модели они могут быть завершены.
В соответствии с вышесказанным методика расчета показателя эффективности СМИБ включает в себя следующие процедуры: 1. Осуществить выбор требуемого количества атрибутов k и требуемого числа измерений N; 2. Исходя из априорных данных и экспертных оценок, выбрать аппроксимирующую модель, описывающую функциональную зависимость времени реакции СМИБ на событие ИБ, с учетом выбранных атрибутов; 3. Определить интервалы варьирования для атрибутов, с учетом особенности СМИБ организации (2.2), (2.3); 4. Выбрать факторный план проведения измерений полный (для k3) или дробный (для k 3); 5. Составить матрицу плана, удовлетворяющую требованиям D-оптимального плана, определить правила получения коэффициентов регрессии bj в соответствии с выбранным планом; 6. Провести измерения, варьируя параметры атрибутов, в соответствии с матрицей плана; 7. Рассчитать коэффициенты регрессии bj по результатам измерений (2.5); 8. Проверить полученную модель показателя на значимость коэффициентов регрессии, а также на адекватность исследуемому процессу;
Таким образом, предложенный показатель эффективности позволяет учесть неопределенности стохастического характера атрибутов объектов измерения, получить количественную оценку состояния ИБ, имеет ясную физическую трактовку для руководства организации и службы ИБ. Динамика его изменения от проверки к проверке позволит судить о состоянии СМИБ в целом, о результативности принимаемых мер и средств управления и контроля. Предложенная модель оценки эффективности СМИБ заключается в применении методологического аппарата теории планирования экспериментов для расчета времени реакции СМИБ на события ИБ. Достоинство методики получения модели в том, что предоставляется возможность управления измерениями атрибутов, обеспечивается одинаковая точность оценок параметров атрибутов в процессе измерений, с помощью коэффициентов регрессии выявляется влияние взаимодействия атрибутов и их значимость в расчете показателя эффективности СМИБ, позволяет получить аналитическую модель показателя эффективности СМИБ, с помощью которой можно получить представление о процессах протекающих в СМИБ.
Выводы. Оценивание эффективности СМИБ, является важным этапом в циклической взаимосвязи видов деятельности СМИБ. На этапах «Внедрения» и «Проверки» оценивается степень реализации заданных требований ИБ организации. Качество организации процесса измерений, оказывает существенное влияние на точность и достоверность оценок показателей качества СМИБ.
В ходе решения задачи совершенствования методологии оценки эффективности СМИБ, предлагается использование нового интегрального показателя эффективности – времени реакции системы на события ИБ. Использование данного показателя эффективности позволит перейти от бинарной оценки эффективности системы «удовлетворяет - не удовлетворяет» к количественной. Показана роль и место нового показателя эффективности СМИБ в цикле жизнедеятельности системы, а также изменения, вносимые в модель измерений, в связи с расчетом показателя. Предложен аппарат получения статистической модели описывающей функцию отклика показателя эффективности СМИБ. Для расчета нового показателя эффективности СМИБ предложена методика, основанная на использовании аппарата теории планирования эксперимента. В частности, выбор уравнения регрессии, построение факторных планов, и получение коэффициентов регрессии. Приведен пример построения матрицы измерений с участием трех атрибутов, рассчитаны коэффициенты регрессии для функции отклика, описывающей показатель эффективности СМИБ. Выбор в качестве показателя эффективности времени реакции системы на события ИБ, может служить обоснованием, для руководителей организации, рентабельности затрат на построение и развитие СМИБ, и способствует повышению качества оценивания эффективности СМИБ. Глава 3. Разработка методики повышения качества оценивания системы менеджмента информационной безопасности
Планирование измерений является важным и одним из определяющих этапов повышения качества оценивания СМИБ. В ходе выполнения измерений атрибутов СМИБ, привлекается персонал организации, осуществляется доступ к документам и базе данных организации, исследуется существующая автоматизированная информационная система (ИС) организации [2, 23,45], что влечет за собой определенный объем материальных и временных затрат на проведение измерений. Правильное планирование измерений в значительной степени определяет эффективность расходования временных, материальных и трудовых ресурсов, а также оказывает значительное влияние на качество получаемых оценок СМИБ.[45,46]
В большинстве случаев, в процессе планирования, ресурс распределяется на основе имеющегося опыта, требований нормативно-правовых документов ФСТЭК России и ГОСТ РФ с применением общеизвестных методов (например, сетевого планирования, по диаграмме Ганта, Program (Project) Evaluation and Review Technique (PERT) - техника оценки и анализа программ (проектов)) [2, 23]. Оптимизация распределения ресурса может проводиться в начале измерений. Выполнение программы измерений производится в соответствии с составленным планом, и дальнейших корректировок плана не производится [2,5,17]. Очевидно, что эффективность измерений будет определяться отношением достигнутых показателей качества к затраченным ресурсам. Таким образом, возникает важная и актуальная задача разработки методов и методик оптимизации планирования измерений СМИБ, позволяющая повысить качество оценивания СМИБ.
Методика повышения качества оценивания системы менеджмента информационной безопасности
В ходе проведения измерений СМИБ в конкретной организации невозможно произвести оценку всех рисков ИБ [4,15], которым должна противостоять современная СМИБ. Отказы и недостатки самой СМИБ могут также оказать существенное влияние на программу измерений. Использование апостериорных данных для очередного этапа измерений и коррекция модели показателя качества ИБ, позволяет максимально приблизиться к оптимуму распределения ресурсов выделенных на проведение измерений.
Например, узловым моментом планирования измерений является распределение времени и материальных затрат при проверке вопросов физической и экологической безопасности на объекте организации (А.9) [4] между предварительным сбором данных и анализом документов и проведением измерений проверкой атрибутов на месте (рисунок 17).
Точка перехода (А) от сбора, обработки и анализа документов (сплошная и пунктирная кривые 1) к проведению измерений на объекте (сплошная и пунктирная кривые 2), где а0 – уровень показателя качества при достижении которого необходимо перейти к этапу измерений на объекте; а1 – предельно достижимый уровень показателя качества для этапа сбора, обработки и анализа документов; аэф – пороговое значение показателя качества определенное требованием к СМИБ; а2 – достигнутый уровень показателя качества на этапе измерений на объекте; tп – время перехода от этапа сбора, обработки и анализа документов к этапу измерений на объекте, которое и является оптимальным временем tопт Рассмотрим пример по определению оптимального времени между двумя этапами проведения измерений. Допустим, что динамика показателя качества СМИБ на каждом этапе измерений подчиняется экспоненциальному закону с известными параметрами [16,28]. С учетом этого, сплошная и пунктирная кривые 1 будут соответствовать росту показателя качества СМИБ на этапе сбора данных и анализа документов по ИБ (рисунок 17), а сплошная и пунктирная кривые 2 -этапу измерений на объекте. Если весь выделенный ресурс использовать только для измерений на объекте и проводить его до достижения уровня показателя качества ИБ равному а2, то для этого потребуется время tmax. На этапе работы с документами и сбора данных скорость роста показателя качества выше, чем при измерениях на объекте, но предельно достижимый уровень показателя качества а\ меньше заданного уровня аэф, определенного требованиями к показателю качества СМИБ. Применив методику, можно рассчитать точку оптимального перехода А от одного этапа к другому, добившись максимальной скорости прироста показателя качества в процессе измерений. Тем самым, для сокращения общего времени (стоимости, количества итераций) измерений, необходимо проводить этап сбора данных и анализа документов до достижения оптимального уровня показателя качества а0, соответствующего точке А. Окончательное достижение требуемого значения показателя качества Uj осуществлять в ходе измерений на объекте.
Пример второй. В ходе измерений показателей СМИБ связанных с управлением контролем доступа (А.11) [4] проводились мероприятия по проверке предотвращения несанкционированного доступа к сетевым сервисам (А.11.4).
Проводился анализ и проверка: - политики организации в отношении использования сетевых услуг (А.11.4.1); - аутентификации пользователей для внешних соединений (А.11.4.2); - идентификации оборудования в сети организации (А.11.4.3); - защиты диагностических и конфигурационных портов при удаленном доступе (А.11.4.4); разделения информационных услуг, групп пользователей, информационных систем (А.11.4.5); осуществления контроля сетевых соединений (А.11.4.6); управления маршрутизации в сети (А.11.4.7). Измерения были разбиты на четыре этапа. Требуемый уровень показателя качества СМИБ – вероятности предотвращения несанкционированного доступа к сетевой инфраструктуре организации задан значением UT = pT 0,95, принятое исходное состояние показателя составляет U0 = p0 = 0,5. В ходе выполнения этапов измерений, вводились усовершенствования в средства контроля и управления СМИБ. Значения показателя качества, полученные на этапах измерений указаны в таблице 10, результаты представлены на рисунке 18.
После решения задачи оптимизации распределения времени по проводимым мероприятиям (таблица 10) получены значения точек перехода от одного этапа измерений к другому р1 = р2 = 0,5; р2 = р3 = 0,82; р3 = р4 = 0,9 (рисунок 11). Согласно полученным данным рост показателя качества после оптимизации максимален, к началу 4 этапа измерений достигнут уровень р4 = 0,9 (планируемый р3 = 0,79), тем самым требуемый уровень показателя UT может быть достигнут за меньшее время.
Выводы. Современная система менеджмента информационной безопасности представляет собой сложную техническую систему [4,22], требующую постоянного совершенствования для успешного решения задач по обеспечению информационной безопасности. Усложнение системы менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата оценивания данных систем [35,47]. Современная практика проведения измерений показателей СМИБ свидетельствует, что распределение ресурса при планировании измерений решается в основном исходя из накопленного практического опыта, имеющихся экспертных рекомендаций. В тех случаях, когда привлекается соответствующий математический аппарат, то она решается разово при первичной организации и планировании измерений СМИБ. В результате оценки показателей СМИБ, получаемые в ходе измерений, не учитываются в распределении ресурса назначаемого для проведения измерений, что противоречит сущности исследуемого процесса и снижает в итоге качество оценок определяемых характеристик. Очевидно, что эффективность измерений будет определяться отношением качества полученных оценок к затраченным ресурсам.
Предложенная методика позволяет на основе модели динамики показателя качества системы менеджмента информационной безопасности осуществлять оптимальное планирование распределения временных и материальных ресурсов по этапам измерений.
Особенностью предлагаемого подхода, является использование не только априорных, но и апостериорных данных при начальном планировании измерений, а также для корректировки плана после каждого измерения. Это позволяет оптимизировать использование ресурса назначенного для измерений в соответствии с выбранными критериями.
По результатам проведенного вычислительного эксперимента на основе предложенной методики возможно снижение временных (стоимостных) затрат на 10–15% или, соответственно, повышение качества получаемых оценок за счет рационального распределения ресурса, по отношению к общеизвестным методикам планирования измерений.