автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Средство поддержки принятия решений в процессах внутреннего контроля и оценки защищенности информационных систем

На правах рукописи

УДК 004 056 336 717

□ОЗОБТВДЭ

Сычева Ирина Евгеньевна

СРЕДСТВО ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ В ПРОЦЕССАХ ВНУТРЕННЕГО КОНТРОЛЯ И ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Специальность 05.13.19 - «Методы и системы защиты инфор' мации, информационная безопасность»

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Омск 2006

003067849

Работа выполнена на кафедре «Средства связи и информационная безопасность» ГОУ ВПО «Омский государственный технический университет»

Научный руководитель-

доктор технических наук, профессор В А Майстренко

Официальные оппоненты

доктор физико-математических наук, профессор С С Бондарчук доктор технических наук, профессор БН Епифанцев

Ведущая организация

Московский государственный инженерно-физический институт (технический университет)

Защита диссертации состоится 1 марта 2007 года на заседании диссертационного совета Д 212 268 03 Томского государственного университета систем управления и радиоэлектроники (ТУСУР) по адресу 634050, г Томск, пр Ленина 40

С диссертацией можно ознакомиться в библиотеке Томского государственного университета систем управления и радиоэлектроники по адресу 634034, г Томск, ул Вершинина, 74

Автореферат разослан ¿-Ь _ января 2007 г

Ученый секретарь диссертационного

совета, к т н, доцент

Р В Мещеряков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Широкое внедрение информационных систем (далее ИС), являющихся компонентами информационной инфраструктуры и поддерживающих деятельность организаций, привело к необходимости реализации решений по обеспечению их безопасности, построению и оценке эффективности1 систем защиты информации. С развитием информационных технологий происходит процесс накопления информационных ресурсов (активов) организации, сохранность и защита которых могут иметь особое значение для обеспечения конкурентоспособности, рентабельности и имиджа организации

Существенный рост рисков потерь (материальных, финансовых, моральных и других) от нарушения информационной безопасности (далее ИБ) диктует необходимость использования обоснованных технико-экономических методов и средств, позволяющих количественно и качественно измерять уровень защищенности ИС, а также оценивать экономическую эффективность затрат на ИБ. Для достижения максимально возможного результата основной деятельности следует обеспечить достаточный уровень защищенности информационных ресурсов и сохранить этот уровень в течение длительного времени

В настоящее время рынок средств защиты информации очень широк, но мало кто из компаний-разработчиков предоставляет потребителю полный перечень продуктов для построения комплексной системы защиты информации Поэтому конечным пользователям приходится выбирать из многообразия решений, предлагаемых различными производителями Независимо от типа каждая система защиты обладает недостатками. Это и различие в идентификации пользователей, и отсутствие связи с реальным сотрудником организации, и различие в реализованных моделях разграничения и наборах прав доступа к защищаемым ресурсам

Нередко в крупных организациях поддержание ИБ становится конфликтным процессом Конфликты происходят из-за пересечения интересов различных категорий должностных лиц, работающих с ИС Суть конфликта в том, что основной целью сотрудников по информатизации является обеспечение бесперебойного функционирования ИС и максимальное облегчение работы ее пользователям, что обычно противоречит политике ИБ, интересам владельца ИС и сотрудников, обеспечивающих ИБ Политика ИБ организации отражает подходы к обеспечению безопасности, как правило, в общем виде, в связи с этим возникают противоречия и неточности в трактовке требований безопасности в процессах конфигурирования и эксплуатации ИС

1 Эффективность - связь между достигнутым результатом и использованными ресурсами (ГОСТ РИСО 9000)

В такой ситуации актуальной задачей является своевременное выявление несоответствий реализованной конфигурации ИС требованиям безопасности Одним из способов решения задачи является проведение периодического внутреннего контроля2 (самоконтроля) защищенности ИС, позволяющего оценить состояние ресурса с точки зрения уровня защищенности информации Целями внутреннего контроля являются

• потребности руководства организации в оценке защищенности конфиденциальной информации и полноты выполнения требований по защите информации,

• определение областей совершенствования обеспечения ИБ

Проведение контроля осложняется тем, что системы и процессы защиты информации включают не только технические, но и социально-экономические аспекты, подверженные повышенному влиянию случайных и трудно предсказуемых факторов Определение стратегии (методики) контроля, учитывающей социально-экономические факторы и устраняющей существующий конфликт интересов также является актуальной задачей

Отсутствие в настоящее время стандартов, регулирующих процессы внутреннего контроля защищенности ИС, затрудняет принятие решений при построении, эксплуатации и совершенствовании систем защиты информации. Организациям нужны четкие ориентиры и правила, которые позволят объективно оценивать защищенность и оперативно принимать решения об использовании мер защиты ресурсов, являющихся для нее критическими

Различными частными фирмами сегодня предлагаются услуги по проведению аудита ИБ организаций и их ИС, но, во-первых, такой аудит является внешним и финансово-затратным, а во-вторых, встает вопрос доверия к полученным свидетельствам аудита, т к не урегулированы критерии и методики аудита

В последнее время (2002-2006 гг) Федеральной службой по техническому и экспортному контролю Российской Федерации (ФСТЭК) разработаны проекты руководящих документов, регулирующих вопросы аудита ИБ, т к определение основ и критериев аудита, разработка методик по проведению аудита, определение средств поддержки процессов аудита являются чрезвычайно важными

Кроме того, требования по осуществлению внутреннего аудита ИБ, проведению самоконтроля и самооценки включены в новую редакцию стандарта СТО БР ИББС-1 0-2006, разработчиками которого являются Банк России, Технический комитет по стандартизации 362 Федерального агентства по техническому регулированию и метрологии, Ассоциация

2 Внутренний контроль (аудит) ИБ проводится самой организацией или от её имени для внутренних целей и может служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности

российских банков, ООО НПФ «Кристалл» и др ведущие организации по проблемам обеспечения ИБ

Наряду с перечисленными организациями, задачи осуществления контроля, анализа и оценки защищенности ИС решаются частными компаниями - разработчиками средств защиты (Информзащита), компаниями, оказывающими услуги по аудиту ИБ (Моском, Гамма), а также учеными и специалистами (П Д Зегжда, В Гайкович, А П Курило, А А Малюк, А Астахов, В В Домарев, А А Шелупанов, М С Савельев и др)

В то же время остаются нерешенными отдельные вопросы технологии проведения внутреннего контроля на соответствие нормативам безопасности и оценки защищенности ИС, что исключает достижение эффективности мероприятий по обеспечению безопасности информационных ресурсов

Целью диссертационного исследования является разработка способа проведения внутреннего контроля защищенности ИС для выявления узких мест в ее конфигурации, оценки текущего уровня защищенности и принятия решений по достижению установленных нормативов ИБ

Результаты контроля и оценки служат средством поддержки принятия обоснованных решений по выбору и совершенствованию защитных мер Решаемые задачи:

1 Анализ структуры ИС и взаимосвязей параметров систем, влияющих на их защищенность, на различных уровнях информационной инфраструктуры организации

2 Анализ средств защиты информации, встроенных в компоненты ИС, и формирование частных моделей безопасности, учитывающих зависимости между показателями и аспекты управления

3 Формирование обобщенной модели безопасности ИС, описывающей номенклатуру контролируемых параметров на каждом уровне управления и контроля

4 Разработка метода контроля и оценки защищенности ИС с учетом важности показателей безопасности и схемы его реализации

5. Формирование алгоритмов расчета весовых коэффициентов и итоговых показателей защищенности, шкалы соответствия оценок

6 Разработка структуры базы данных для обработки результатов текущего контроля и поддержки принятия решений при выборе защитных мер

7 Разработка методики подготовки, проведения и документального оформления результатов внутреннего контроля защищенности ИС

8 Экспериментальная проверка и практическое использование разработанных моделей, метода, алгоритмов и методики в процессах внутреннего контроля

Методы исследования. Для решения поставленных задач были использованы принципы представления и использования знаний, принципы системного подхода, теория классической (двузначной) логики, аппарат

булевой алгебры, теория нечеткой логики и экспериментальные методы исследования

Научная новизна работы заключается в следующем

1. Сформирована обобщенная модель безопасности ИС, декомпозированная по уровням управления и позволяющая строить описание конфигурации компонентов ИС на едином терминологическом базисе

2 Предложены метод контроля и оценки защищенности ИС, реализующий новые алгоритмы, методическое и документальное обеспечение для его проведения

3 Разработаны алгоритмы ранжирования показателей безопасности и расчета оценок защищенности, учитывающие приоритеты политики ИБ и позволяющие количественно оценить эффективность средств защиты

4 Разработана структура базы данных для автоматизированной обработки результатов текущего контроля, выбора варианта реализации и поддержки принятия решений по совершенствованию защитных мер

Практическая ценность работы заключается в том, что исследование велось в рамках задач, изложенных в стандарте СТО БР ИББС-1 0-2006, а также в проектах документов ФСТЭК «Концепция аудита информационной безопасности систем информационных технологий и организаций», «Концепция оценки соответствия автоматизированных систем требованиям безопасности информации»

Предложенные практические решения и рекомендации позволяют усовершенствовать процесс внутреннего контроля защищенности ИС Разработанные модель, метод, алгоритмы, методическое и документальное обеспечение являются инструментарием самоконтроля, позволяющим сократить сроки его проведения, а база данных его результатов является средством поддержки принятия решений по выбору защитных мер, позволяющих провести оценку, сопоставление и сравнение результатов Кроме того, предложенные модели, алгоритмы и методика позволяют избежать терминологической путаницы в трактовке требований ИБ и устранить (смягчить) конфликт интересов различных служб организации

Достоверность положений, выводов и рекомендаций подтверждена результатами эксперимента и положительными результатами внедрения разработанного инструментария в практику проведения контроля и оценки защищенности реальных ИС

Реализация и внедрение результатов работы. Предложенный инструментарий использовался при контроле защищенности ИС в структурах УВД Омской области и в учебном процессе Западно-Сибирского учебно-научного центра по проблемам информационной безопасности

Апробация работы. Основные положения и результаты работы представлялись и обсуждались на научных конференциях и семинарах научно-практической конференции «Информационный терроризм новый вызов обществу Способы противодействия информационному терроризму в государстве» (Омск, 2006), Межрегиональном информационном конгрессе

«Информационный терроризм новая угроза органам государственного управления» (Омск, 2004), научно-практической конференция «Актуальные проблемы правового обеспечения банковской деятельности» (Омск, 2004), V Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2003), Сибирском технофоруме «Индустрия безопасности и связи» (Омск, 2002), IX Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2002)

Публикации. Основные положения диссертации опубликованы в девяти печатных работах

Структура и объем диссертации. Диссертационная работа состоит из введения, четырех глав, заключения, списка используемых источников и семи приложений Работа содержит 148 страниц основного текста, 14 таблиц, 11 рисунков, список литературы из 89 наименований

Личный вклад В диссертации использованы результаты, полученные автором Экспериментальные работы и обработка результатов эксперимента выполнены также диссертантом при методическом руководстве научного руководителя

Основные защищаемые положения:

1 Обобщенная модель безопасности ИС

2 Метод контроля и оценки защищенности ИС, методическое и документальное обеспечение для его проведения

3 Алгоритмы ранжирования показателей и расчета оценок защищенности

4 Структура базы данных для обработки результатов внутреннего контроля и принятия решений по выбору защитных мер

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы, определяются цель и решаемые задачи, излагаются научная новизна и практическая ценность

В первой главе проведен анализ информационной сферы организаций, порождающей определенные риски, связанные с безопасностью ресурсов Особенности современных ИС таковы, что последствия сбоев в их работе могут привести к развитию системного кризиса и нанести значительный ущерб интересам собственников и клиентов Для противостояния таким угрозам следует обеспечить и поддерживать достаточный уровень ИБ

Объектом исследования в работе являются ИС, реализующие современные технологии обработки информации ИС представляют собой сложные комплексы программно-аппаратных средств, распределенных обычно на различных узлах локальных вычислительных сетей

В соответствии с СТО БР ИББС-1 0-2006 информационная инфраструктура организации представлена в виде иерархии следующих уровней физического, сетевого, сетевых приложений и сервисов, операционных

систем (далее ОС), систем управления базами данных (далее СУБД), технологических процессов и приложений, бизнес-процессов организации На каждом из перечисленных уровней угрозы, их источники, методы и средства защиты являются различными

На основе анализа информационной структуры и её уровней выделены и описаны составные компоненты ИС, их иерархия, взаимодействие и степень влияния на общий уровень защищенности ИС.

Рассмотрены факторы риска, выделены угрозы безопасности для ИС, определены категории пользователей, действия которых могут привести к потенциальному ущербу Основной угрозой для безопасности усложняющихся информационных технологий становится легальный пользователь Защита от несанкционированных действий легального (внутреннего) пользователя требует наличия четких правил и привилегий, грамотного администрирования и управления, а также проведения периодического внутреннего контроля текущего состояния ИС

С учетом описанных факторов риска и угроз ИБ сформирована политика безопасности для ИС, обрабатывающих данные различной конфиденциальности, в соответствии с которой осуществляется защита системы в целом и отдельных ее компонентов от воздействия факторов риска или принимаются меры, направленные на минимизацию такого воздействия

В главе рассмотрены основные защитные средства и механизмы, встроенных в компоненты ИС, и аспекты управления, порождающие конфликтные ситуации

Для проведения внутреннего контроля реализованной конфигурации ИС предложено использовать частные (для компонентов) и обобщенную модели безопасности, отражающие номенклатуру и зависимости критериев контроля или показателей безопасности Исходными данными для построения таких моделей являются параметры встроенных средств защиты, уровни управления, на которых они применяются, и их иерархия Политика безопасности ИС, является источником данных при формировании моделей, на основе которых проводится внутренний контроль защищенности ИС

Во второй главе рассмотрены существующие модели безопасности (или модели защиты информации), выделены совокупности показателей, определяющих защищенность ИС, а также построены частные и обобщенная модели безопасности ИС, учитывающие зависимости между показателями

Защищенность является одним из важнейших показателей эффективности функционирования ИС наряду с такими показателями, как надежность, отказоустойчивость, производительность и т п Анализировать защищенность ИС предложено с учетом иерархии уровней информационной инфраструктуры, которые в целом совпадают с компонентами, составляющими ИС Средства и меры безопасности, реализованные в ИС, по экономическим причинам должны максимально использовать функции, уже

имеющиеся во включаемых компонентах Если же требования по безопасности не удается выполнить с использованием встроенных защитных средств, тогда необходимо применение дополнительных средств, таких, как программно-аппаратные средства защиты от несанкционированного доступа, средства криптографической защиты информации и др

Таким образом, сначала осуществляется анализ структуры ИС и выделяются компоненты, затем формируются частные модели безопасности Модели безопасности выполнены с использованием терминологии и конструкций ГОСТ Р ИСО/МЭК 15408-2002 и зависят от конфиденциальности информации и стратегии защиты

Частные модели безопасности, представленные в работе, выполнены на основе проектов профилей защиты ИТ-продуктов (официальный сайт ФСТЭК) и дополнены показателями, определяющими требования к разделению функций по администрированию и управлению, а также к выделению ролей задействованного персонала с целью определения зон ответственности (табл 1)

Специфицированы следующие роли задействованного персонала руководитель подразделения, эксплуатирующего ИС, или владелец ресурса, администратор информационной безопасности ИС (далее АИБ), администратор ОС, администратор БД, администратор ЛВС, администратор прикладного ПО, пользователи ИС

Таким образом, частная модель безопасности для компонента ИС представляет собой базу знаний о функциональных требованиях безопасности, предъявляемых к компоненту, или, другими словами, описание конфигурации компонента ИС, параметры которой удовлетворяют требованиям безопасности Зависимости между требованиями возникают, когда требование не самодостаточно, а предполагает наличие другого требования, либо взаимодействия с ним для поддержки собственного выполнения Все зависимые показатели включаются в модель безопасности

Частные модели безопасности составных компонентов ИС сведены в обобщенную модель безопасности ИС с учетом ее структуры и отличий в применяемых средствах защиты на различных уровнях управления системой, т е осуществлена декомпозиция модели по уровням управления и контроля Кроме того, в обобщенную модель безопасности ИС добавлен уровень, отражающий выполнение требований доверия к работоспособности функций безопасности и включающий организационные меры защиты, также отражает полноту документального обеспечения (эксплуатационной документацией и распорядительными документами) функционирования ИС, включая описание взаимодействия с внешними системами

В зависимости от структуры ИС ее составные компоненты и уровни управления могут меняться Например, если в состав ИС включены дополнительные программно-аппаратные средства защиты от НСД (8есге1№1, ОаПаБЬоск, Аккорд и др ) или средства криптографической защиты, тогда необходимо в модель включать дополнительные уровни, поскольку

добавляются показатели безопасности и управляющий персонал (администратор СЗИ от НСД или СКЗИ).

Таблица 1

№ Показатель Требование безопасности

1 АОУ_8РМ 1 1 Ответственность за ИБ технологий обработки, передачи и хранения информации возлагается на руководителя подразделения - владельца информационного ресурса

2 АОУ_8РМ 1 2 Обязанности по обеспечению ИБ технологий обработки, передачи и хранения информации в системе возлагаются на АИБ

3 АОУ_БРМ 1 3 Пользователи имеют доступ к данным и функционалу ИС строго в соответствии со своими служебными обязанностями и правами на использование конфиденциальной информации

4 АОУ ЭРМ 1 4 Все действия персонала должны быть явными и разрешенными

5 РМТ_8МЯ 1 1 Должно осуществляться разделение полномочий по доступу к БД и к файлам ИС между администратором ОС и администратором БД Администратор БД имеет доступ в базу, но не имеет доступа к файлам, а администратор ОС имеет доступ к файлам, но не имеет прямого доступа в базу, т е не является в ней зарегистрированным пользователем

6 1;МТ_ЗМЯ 2 1 Необходимо осуществлять разделение полномочий между администраторами в части добавления пользователей ИС и наделения их полномочиями Администратор ОС и/или администратор БД, и/или администратор ЛВС, и/или администратор прикладного ПО осуществляют добавление/удаление пользователей ИС (кроме АИБ) без выделения им привилегий Привилегии пользователям ИС выдает АИБ Система поставляется со встроенным пользователем - АИБ, обладающим полномочиями на выделение привилегий

7 РМТ^МЯ 3 1 Должно обеспечиваться предотвращение непосредственного взаимодействия пользователей с БД сторонними средствами

8 РМТ_МТО 1 1 В системе не должно быть субъекта с правами удаления или модификации регистрационных журналов Для очистки регистрационных журналов должно применяться архивирование

9 РЭР_АСР1 1 В системе должен осуществляться контроль за копированием информации

10 РОР_АСС 1 1 Клиентское прикладное ПО должно функционировать без использования прав локального администратора

Декомпозиция обобщенной модели безопасности ИС показана на

рис 1

Основным критерием деления на указанные уровни является то, что каждый уровень может быть функционально независимым и может являться отдельным объектом контроля Кроме того, каждый перечисленный уровень управляется разными ответственными лицами, являющимися сотрудниками различных подразделений организации Деление на вышеперечисленные уровни дает возможность осуществлять контроль защищенности по зонам ответственности и позволяет разделить этапы принятия решений

по выбору варианта реализации контуров защиты и совершенствованию защитных мер

Таким образом, обобщенная модель безопасности ИС включает в себя параметры контроля, которые отражают реализацию функций безопасности, предусмотренных политикой ИБ и нормативными требованиями Показатели объединены в классы, которые обобщают их участие в достижении целей безопасности, и отражают принадлежность к одному из видов средств защиты информации, описанных в первой главе Кроме того, в обобщенной модели безопасности ИС учтены все зависимости требований безопасности, которые влияют на полноту выполнения показателей Возможно расширение модели за счет дополнительных уровней

Формирование моделей безопасности позволило проводить дальнейшие расчеты в условиях минимизированной размерности описания ИС Применение терминологии ГОСТ Р ИСО/МЭК 15408 отражает современные подходы к определению критериев безопасности ИТ-продуктов Только

формализованные критерии позволяют проводить сравнительный анализ и сопоставимую оценку вариантов реализации функций безопасности ИС

В третьей главе рассмотрены методология, подходы и алгоритмы решений многокритериальных задач синтеза моделей, построенных на основе экспертной информации при нечеткой формулировке предпочтений показателей или их важности Осуществлен выбор метода оценки защищенности ИС, применимого в условиях необходимости учета большого числа качественных показателей, их существенной взаимозависимости, а также различной важности выполнения

При проведении контроля может оказаться, что некоторые показатели не выполняются или не выполняются их зависимости Контроль реализованных параметров в обобщенной модели безопасности ИС отражается степенью выполнения (полнотой реализации) требований

В основу оценки защищенности ИС положены исходные данные, представленные в виде базы данных, заполненной в процессе внутреннего контроля специалистами по безопасности Пример в сокращенном виде приведен в табл 2, где XV, - показатели, сгруппированные по классам безопасности, I - уровни управления, Хч - результат выполнения показателей

Считаем, что если в рассматриваемой ИС обеспечены все функции безопасности, входящие в ее модель безопасности, то система находится в защищенном состоянии и уровень ее защищенности соответствует установленным нормативам

Для определения важности показателей и расчета весовых коэффициентов предлагается руководствоваться приоритетами политики ИБ, принятой в организации Например, распространенной практикой является распределение приоритетов политики ИБ конкретной организации в соответствии с табл 3 После ранжирования классов или показателей по важности для каждого показателя модели определяются весовые коэффициенты, и производится их нормирование

Определение весовых коэффициентов А, для каждого 1-го показателя или класса безопасности производится по формуле

где Я, - ранг, М - число классов или показателей

Нормирование коэффициентов осуществляется по зависимости

А, =1-^-Лг = 1,Л/

(1)

А - м

(2)

Класс Показатели (W,) Зависимости Уровни управления и копт ЮЛИ (J)

СОС СУБД ЛВС КОС ППО дис

FAU FAU_GEN 2 FAU GEN 1, FIA UID 1 X 3,1 X з 2 X 3,3 X 3 4 X 3,5

FAU STG4 FAU GEN 1 X ид X 11,2 __ X 11,4 ... ...

FCS FCS С KM 1 FCS CKM4 — — — ... X 12,5 —

FCS СОР 1 FCS С KM 1 ... X 15,3 X 15,5 __

FDP FDP_ETC2 FDP_ACC 1 или FDP IFC 1 X 18 3

FDP RIP 2 ... X 22,1 X 22,2 X 22,3 X 22,4 X 22,5 ...

FIA FIA AFL 1 FIA UAU 1 X 23,1 X 23.2 X 23,3 X 23.4 X 23.5 —

FIA USB 1 FIA ATD 1 X 34,1 X 34,3 X 34,4 X 34,5

FMT FMT MOF 1 FMT SMR1 X 35 1 X 35,2 X 35,3 ... Х355

FMT SMR3 FMT SMR 1 X 45,1 X 45,2 X 45,3 ___ X 45 5

FPR FPR ANO 1 — — — — --- Х46.5 —

FPR UNO 4 — ... -- X 47,3 ... X 47.5 —

FPT FPT AMT 1 ... Х48.1 — Х48.З -- X 48,5 —

FPT TST 1 FPT AMT 1 X 60,1 ... Хбо,з X 60.5 ...

FRU FRU RSA 1 ... X 61,1 X 61,2 ... X 61,4 — —

FRU FLT1 FPT FLS 1 — — X 62,3 ... X 62.5 ...

FTA FTA MCS 1 FIA UID 1 — — — X 63,4 X 63.5 —

FTA TSE 1 ___ Хб9 2 X 69,3 X 69,4 X 69.5 ...

FTP FTP ITC 1 — — — — -- X 70.5 —

FTP TRP 1 — X 71,1 X 712 X 71,3 — X 71.5 —

Доверие ACM CAP3 — — — — — --- X 72.6

i AVA VLA 1 1— 1- 1- 1- 1— 1— 1X 89,6

Таблица 3

Приоритет ИС организации, обрабатывающие информацию TKC и CC, передающие информацию

содержащую государственную тайну конфиденциальные сведения служебную (или внутреннюю) открытую технологическую и управляющую внешних организаций

1 конф-ть целос-ть доступность целостность гарантир-ть доставки целос-ть

2 целостность конф-ть целостность доступность целостность доступ-ть

3 доступность доступ-ть конф-ть - конф-ть конф-ть

Нормированные значения весовых коэффициентов классов, соответствующие приоритетам политики ИБ, при обработке конфиденциальных сведений (табл 3, ст 3) приведены в табл 4 Ранжирование классов или показателей безопасности по важности может быть выполнено и по-другому, например, в соответствии с личными предпочтениями специалистов, принимающих решение

Результатом выполнения показателей могут быть два взаимно исключающих друг друга состояния, "О" - если показатель не выполнен, "1" -если показатель выполнен Показатели, имеющие зависимости, рассчитываются с учетом выполнения показателей, от которых они зависят, и от степени влияния показателей на защищенность (от веса)

Таблица 4

№ п/п Класс Наименование Ранг, R, Весовой ко-эф-т, А„

1 FAU Аудит безопасности 6 0,090

2 FCS Криптографическая защита 1 0,166

3 FDP Управление доступом 5 0,106

4 FIA Идентификация и аутентификация 3 0,136

5 FMT Управление безопасностью 7 0,075

6 FPR Приватность 4 0,121

7 FPT Защита функций безопасности 8 0,060

8 FRU Использование ресурсов 9 0,045

9 FTA Доступность сеансов 10 0,030

10 FTP Доверенный канал 2 0,151

И Доверие Управление конфигурацией, организационные меры 11 0,015

Например, формула для расчета выполнения показателя FAU_GEN 2, имеющего прямую зависимость от показателей FAU_GEN 1 и FIA_UID 1, для уровня управления серверной ОС (табл 3) будет выглядеть как

_ Аг Х21+А32 Х321 3'= ^ ' (3)

где А2, Аз2 - весовые коэффициенты соответствующих показателей, X2i, Хэ2,1 — результаты выполнения показателей, входящих в зависимость

Формула для расчета выполнения показателя FDP_ETC 2, имеющего выборочную зависимость между показателями FDP ACC 1 или FDP IFC 1 для уровня сетевых сервисов (табл 3) будет выглядеть как

Х183 = шахЦ6 Хиз;А,д Х193\, (4)

где Ai6, А]9, Х|б,з, Xi9 з - имеют такой же смысл, как в (3)

Для решения задачи оценки защищенности ИС выбран метод результирующего показателя, в соответствии с которым определяется аддитивный показатель на каждом уровне управления (J)

где 0<Ак =1, Ак — весовой коэффициент важности классов

Итоговая оценка защищенности определяется выражением

д = £л;Ту,о<д<1, (6)

где о ^ А/ < = 1, А; - важность выполнения на .7-ом уровне

м

В табл 5 представлена модель оценки защищенности ИС, построенной по технологии клиент-сервер Для ИС другой структуры в модели могут отсутствовать некоторые перечисленные уровни и/или присутствовать новые Например, для ИС, выполненной по технологии файл-сервер, в модели будет отсутствовать уровень СУБД (Д=2), а для автономной ИС будут отсутствовать уровни СОС, СУБД, ЛВС (7=1,2,3)

Таблица 5

Ранг клас са Класс безопасности Кол-во показателей , N Обобщенный показатель, X^j

СОС, J=1 СУБД, J=2 ЛВС, J-3 кос, J=4 ППО, J=5 ДИС, J=6

1 FCS 4 Xi.1 Xu X1.3 X|,4 X,.5 X1.6

2 FTP 2 x2.i X2,2 X2.3 X24 X2.5 Х2,б

3 FIA 12 Хз.1 Хз,2 X3.3 Хз,4 Хз,5 X36

4 FPR 2 X4J Xf,2 X4.3 X4.4 Xi,5 X46

5 FDP 7 X5,l X5,2 X5,3 X5,4 X5,5 X5,6

6 FAU 11 X6,l X6,2 X6,3 X6,4 X6,5 X6,6

7 FMT 11 X7,l X7,2 X7,3 X7,4 X7,5 X7,6

8 FPT 13 X8,l X8,2 X8,3 X8,4 X8,5 X8,6

9 FRU 2 X9,l X9,2 X9,3 X9,4 X9,5 X9,6

10 FTA 7 XI0,1 XI 0,2 X10,3 XI 0,4 X10,5 X10.6

11 Доверие 18 — — — — Xll,6

Итого показателей 89 41 35 48 26 52 18

Аддитивный показатель по уровням, X ! % X ^

Важность уровней, А, Ai=0,2 A2=0,2 Аз=0,2 A4=0,15 A5=0,15 Аб=0,1

Итоговая оценка j-i

Формализация критериев контроля позволяет автоматизировать процесс оценки, т е разработать средство для оценки соответствия мер безопасности эталонному образцу (стандарту, политике безопасности, профилю защиты, модели безопасности) и автоматизировать действия, связанные со сбором, хранением и обработкой результатов внутреннего контроля защищенности

Поскольку хорошей практикой является курирование вопросов обеспечения ИБ высшим руководством организации, то для поддержки принятия решений защищенность ИС удобно выражать в балльной или лингвистической оценке Для таких оценок вводится эталонная шкала, те такая шкала, в которой выражается аддитивный признак В рассматриваемом примере оценка защищенности представлена в интервале от 0 до 1, для перевода в другие оценки в табл 6 предложена шкала соответствия С> ~ В~Ь

Особенностью выбранной системы оценки является возможность ее использования для обработки исходной экспертной информации, а также для представления данной информации в интерпретированном виде, выраженном нетехническим языком и пригодном для поддержки принятия обоснованных решений руководителями сколь угодно высокого ранга Примененный метод определения весовых коэффициентов - метод ранжирования, позволяет получить достаточно точные весовые коэффициенты, при этом время общения с экспертами минимально

Таблица б

Интервальная оценка, О Балльная оценка, В Лингвистическая оценка, Ь

0,9-1,0 5 - отлично Полностью удовлетворяет требованиям Все зависимости функций безопасности соблюдены и выполнены Выполнение требований согласовано между компонентами ИС и описано в документации

0,7-0,9 4 - хорошо Почти удовлетворяет требованиям Все зависимости функций безопасности соблюдены и выполнены, но различными компонентами ИС, согласование между компонентами не описано в документации

0,5-0,7 3 - удовлетворительно Удовлетворяет требованиям в основном Основные требования выполнены, не все зависимости учтены и выполнены

0,3-0,5 2 — неудовлетворительно Не удовлетворяет требованиям Требования разрознены, выполнены не все основные требования

0-0,3 1 — весьма неудовлетворительно Полностью не удовлетворяет требованиям Требования разрознены, не выполнено большинство основных требований

Схема контроля и оценки защищенности ИС и принятие решений по выбору вариантов защиты ИС, или схема реализации предложенного метода, представлена на рис 3

Реализация метода разбита на три этапа

1 Осуществляется построение обобщенной модели безопасности ИС и производится расчет весовых коэффициентов показателей и классов, входящих в модель с учетом приоритетов политики ИБ, действующей в организации

2 Осуществляется контроль выполнения показателей, входящих в модель, заполнение базы данных текущего контроля и расчет итоговой оценки защищенности

3 На основе результатов контроля и полученной оценки защищенности принимается решение о совершенствовании защитных мер или необходимости корректировки модели безопасности, изменения приоритетов защиты и пересчета весовых коэффициентов

Ранжирование классов

Расчет весовых к-ов классов

Построение модели безопасности ИС

Осуществление контроля

Ранжирование показателей

Ранжирование компонентов

Отметка выполнения

Расчет весовых к-ов показ ате-

Расчет весовых к-ов компо-

Расчет зависимостей

Расчет обобщенных показателей

II

Принятие решений по совершенствованию защитных мер

Корректировка модели безопасности ИС

РисЗ Схема пеалнзапни метола опенки защищенности

С целью автоматизации процесса внутреннего контроля, обработки его результатов, оценки и выбора рациональных вариантов реализации функций безопасности, сопоставления и сравнительного анализа результатов предыдущего контроля разработана структура базы данных База данных результатов контроля и предложенные алгоритмы оценки являются средством поддержки принятия обоснованных решений по совершенствованию защитных мер

В четвертой главе рассматриваются примеры применения разработанных моделей и метода в процессе контроля и оценки защищенности реальных ИС в подразделениях УВД Омской области и в учебном процессе на базе Западно-Сибирского учебно-научного центра по проблемам информационной безопасности Результаты эксперимента подтверждают

адекватность разработанных моделей безопасности и метода контроля защищенности По отдельным показателям осуществлена корректировка разработанной обобщенной модели безопасности ИС, а также проработаны подходы и алгоритм корректировки моделей с учетом изменения функциональных требований или важности показателей безопасности, так называемый алгоритм обратной связи

В главе рассмотрены особенности обеспечения ИБ в организациях и выделены наиболее часто встречающиеся нарушения требований ИБ Проанализирована конфигурация распространенных клиентских ОС семейства Windows (NT/2000/XP) и состав подсистем ИБ применяемых ИС На основе анализа выработаны рекомендации по настройкам политики домена для ОС Windows 2000 Professional и описаны цели безопасности и аспекты среды функционирования для включения в подсистемы ИБ

Предложена методика подготовки, проведения, оформления результатов внутреннего контроля и оценки защищенности ИС Предлагаемая методика определяет последовательность формирования и расчета показателей в процессах осуществления контроля. Методика может быть изложена и утверждена в виде нормативного документа, регламентирующего порядок проведения внутреннего контроля и оценки защищенности ИС организации В работе сформированы и опробованы шаблоны документов, применяемых в процессе внутреннего контроля, такие, как предписание и задание на проведение проверки, запрос параметров, справка по результатам контроля и оценки

Предложенное методическое и документальное обеспечение значительно сокращает временные затраты на проведение контроля, обработку результатов, анализ, оценку и выбор защитных мер, а также устраняет конфликт интересов различных служб организации

В приложениях содержатся пример схемы сети передачи данных, разработанная политика безопасности ИС, сформированная обобщенная модель безопасности ИС, сценарий создания базы данных результатов контроля, шаблоны документов для проведения внутреннего контроля, а также данные экспериментальных исследований и акты практического использования результатов работы

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1 Предложены подходы, приоритеты и формулировки для отражения требований информационной безопасности в нормативных документах организаций, таких, как политика ИБ и порядок проведения внутреннего контроля защищенности ИС.

2 Сформирована обобщенная модель безопасности ИС, соответствующая политике ИБ и включающая подмножество контролируемых параметров, декомпозированных по уровням управления

3 Предложен метод контроля и оценки защищенности, основанный на результатах контроля конфигурации составных компонентов ИС

4 Разработаны алгоритмы ранжирования показателей и расчета оценок защищенности Предложена шкала соответствия интервальной, балльной и лингвистической оценок

5 Разработана структура базы данных результатов текущего контроля, позволяющая автоматизировать учет выполнения показателей защищенности и их зависимостей, осуществлять выбор варианта реализации функций безопасности и поддерживающая принятие решений по совершенствованию защитных мер

6 Разработана методика проведения внутреннего контроля защищенности на основе согласованной обобщенной модели безопасности Сформированы шаблоны документов для оформления результатов контроля, анализа и оценки защищенности ИС

7 Выполнена экспериментальная проверка разработанных моделей, метода и алгоритмов Проведено внедрение предлагаемого методического и документального обеспечения в практику внутреннего контроля защищенности

Описанный способ проведения внутреннего контроля, предложенные модели, метод и алгоритмы позволяют осуществлять детальный контроль защищенности ИС, определять слабые места в конфигурации применяемых защитных средств, выявлять несоответствия установленным нормативам безопасности, количественно оценивать текущий уровень защищенности ИС Разработанная база данных результатов текущего контроля является эффективным средством поддержки принятия решений по выбору вариантов построения или совершенствования систем защиты информации Предложенная методика внутреннего контроля позволяет устранить (смягчить) существующий конфликт интересов служб организации

Результаты исследований применимы для организаций, использующих современные ИС, реализующих технологии обработки информации, и ставящих целью обеспечение безопасности информационных ресурсов Разработанный инструментарий понятен и доступен для применения и может многократно использоваться внутри организации для самоконтроля, самооценки и поддержания уровня защищенности информационной сферы

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1 Сычева И Е Методы проведения внутреннего контроля и самооценки защищенности информационных систем // Омский научный вестник - 2006 — №8(44) - С 102-104

2 Сычева ИЕ Актуальные вопросы управления безопасностью информационных систем // Банковские автоматизированные системы вопросы, проблемы, перспективы Матер науч-практ. конф —Омск, 2005 —С 131-136

3 Сычева И Е Вопросы регионального внедрения и развития стандарта Банка России «Обеспечение информационной безопасности организаций банков-

ской системы Российской Федерации» /АС Винников, И Е Сычева // Информационный терроризм новая угроза органам государственного управления Матер науч -практ конф - Омск, 2004 - С 45-50

4 Сычева И Е Особенности нормативной базы по вопросам информационной безопасности банковских систем // Актуальные проблемы правового обеспечения банковской деятельности Матер науч -практ конф - Омск, 2004 -С 158-161

5 Сычева И Е Проблемы управления безопасностью информационных систем крупных организаций / А А Зубарев, ИЕ Сычева // Информационная безопасность Матер науч-практ конф - Таганрог, 2003 -С 100-101

6 Сычева И Е Угрозы безопасности банковским информационным системам на современном этане /АС Винников, И Е Сычева // Военная техника, вооружение и технологии двойного применения в XXI веке Матер науч -практ сем - Омск, 2003 - С 50-56

7 Сычева И Е Информационные технологии и новые возможности в системах подготовки и переподготовки персонала // Управление банковским персоналом опыт, проблемы, перспективы Матер науч -практ конф - Омск, 2002 - С 145-150

8 Сычева И Е Специализация в подготовке кадров для региональных систем защиты информации / А А Зубарев, И Е Сычева // Проблемы информационной безопасности в системе высшей школы Тез докл IX Всерос науч -практ конф -М МИФИ, 2002 - С 131-132

9 Сычева И Е Технология клиент-сервер и особенности построения концепции информационной безопасности корпоративных баз данных // Проблемы информационной безопасности общества и личности, пути их решения Матер науч-практ сем -Омск, 2002 -С 51-57

Сычева Ирина Евгеньевна

СРЕДСТВО ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ В ПРОЦЕССАХ ВНУТРЕННЕГО КОНТРОЛЯ И ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Специальность 05 13 19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Редактор Г И Евсеева Компьютерная вёрстка, M Е Герасимова

Сдано в набор 22 01 07 Подписано к печати 24 01 07 Формат 60x84 1/16 Бумага писчая «Снегурочка» Гарнитура Times New Roman Печать оперативная Усл-печл1,0 Уч-изд 1,1 ТиражЮО Заказ 1 Издательский центр «Омский научный вестник» E-mail evea-18@mail ru

Отпечатано надупликаторе в типографии Кана 644050 г Омск, проспект Мира 11а Тел 65-23-73

ОГЛАВЛЕНИЕ.

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ, ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ.

ВВЕДЕНИЕ.

ГЛАВА 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ.

1.1. Информационная инфраструктура организаций.

1.2. Факторы риска.

1.3. Организация защиты информационных систем.

1.4. Управление информационной безопасностью.

1.5. Контроль защищенности информационных систем.

1.6. Защитные средства и механизмы.

1.6.1. Средства идентификации и аутентификации.

1.6.2. Политика управления пользовательскими паролями.

1.6.3. Средства разграничения и политика доступа.

1.6.4. Средства регистрации и мониторинга.

1.6.5. Средства обеспечения целостности.

1.6.6. Средства криптографической защиты.

1.6.7. Защита коммуникаций между сервером и клиентом.

1.6.8. Дополнительные или внешние средства защиты.

ВЫВОДЫ.

ГЛАВА 2. ПОСТРОЕНИЕ МОДЕЛЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ ЗАЩИЩЕННОСТИ ИС.

2.1. Описание общих моделей безопасности.

2.2. Формирование частных моделей безопасности компонентов ИС.

2.2.1. Модель безопасности серверных ОС.

2.2.2. Модель безопасности СУБД.

2.2.3. Модель безопасности сетевых сервисов.

2.2.4. Модель безопасности клиентских ОС.

2.2.5. Модель безопасности специализированных приложений.

2.2.6. Модель безопасности уровня документационного обеспечения.

2.3. Построение обобщенной модели безопасности ИС.

ВЫВОДЫ.

ГЛАВА 3. ОЦЕНКА ЗАЩИЩЕННОСТИ ИС.

3.1. Методология осуществления контроля и оценки защищенности ИС.

3.2. Обзор методов решения многокритериальных задач.

3.3. Описание метода оценки защищенности ИС.

3.3.1. Заполнение базы знаний результатов текущего контроля.

3.3.2. Определение важности показателей и расчет весовых коэффициентов.

3.3.3. Расчет выполнения показателей с учетом зависимостей.

3.3.4. Расчет обобщенного показателя оценки защищенности.

3.3.5. Шкала соответствия оценок.

3.4. Схема реализации метода оценки защищенности ИС.

3.5. Структура базы данных результатов контроля.

ВЫВОДЫ.

ГЛАВА 4. ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЯ.

4.1. Контроль защищенности выбранных объектов.

4.1.1. Обследование применяемых ИС.

4.1.2. Обработка и анализ результатов эксперимента.

4.2. Особенности обеспечения информационной безопасности.

4.2.1. Организация парольной защиты.

4.2.2. Анализ защищенности ОС Windows.

4.2.3. Анализ подсистем информационной безопасности ИС.

4.3. Методика внутреннего контроля и оценки защищенности ИС.

ВЫВОДЫ.

Сегодня невозможно представить любую деятельность без применения компьютерной техники и сетевых технологий, без всего того, что обеспечивает высокую эффективность и оперативность в решении повседневных задач. С каждым годом растет уровень доверия к информационным системам (далее - ИС) и их распространение в критических областях деятельности. Широкое внедрение ИС, являющихся одним из компонентов информационной инфраструктуры и поддерживающих цели деятельности организации, привело к необходимости реализации решений по обеспечению информационной безопасности (далее - ИБ), построению и оценке эффективности1 систем защиты информации.

Существенный рост рисков потерь (материальных, финансовых, моральных и других) от нарушения ИБ диктует необходимость использования обоснованных технико-экономических методов и средств, позволяющих количественно и качественно измерять уровень защищенности информационных систем и информационных технологий (далее - ИТ), а также оценивать экономическую эффективность затрат на ИБ.

Задачи обеспечения безопасности информационных технологий, как правило, не обладают свойством единственности решения. В настоящее время рынок средств защиты информации очень широк, но мало кто из компаний-разработчиков предоставляет потребителю полный перечень продуктов (от аппаратных до программных) для построения комплексной системы защиты информации и управления ее. Поэтому конечным пользователям приходится выбирать из многообразия решений, предлагаемых различными производителями. Независимо от типа, практически каждое средство обладает недостатками. Это и различие в идентификации и именовании пользователей

1 Эффективность: связь между достигнутым результатом и использованными ресурсами (ГОСТРИСО 9000). Под эффективностью систем защиты надо понимать эффективность их использования в качестве активного средства в обеспечении конфиденциальности, целостности и доступности информации в процессах ее обработки, передачи и хранения.

ИС, и отсутствие связи с реальным сотрудником организации, а также различие в реализованных моделях разграничения и наборах прав доступа к защищаемым ресурсам.

Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень защищенности может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

Необходимость текущего контроля и управления безопасностью обусловлена и тем, что ИС, функционирующая сама по себе, неизбежно теряет четко определенные формы: в ней появляются посторонние пользователи, информация на носителях устаревает, возникает ненужная информация и т. п.

Кроме того, управление безопасностью в крупных организациях становится конфликтным процессом. Конфликты происходят из-за пересечения интересов различных категорий должностных лиц, работающих с ИС организации. Когда основной целью сотрудников подразделения информатизации является обеспечение бесперебойного функционирования ИС и максимальное облегчение работы ее пользователей, что обычно, противоречит положениям политики информационной безопасности, интересам владельца ИС и специалистов по безопасности. Учитывая, что политика информационной безопасности организации отражает подходы к обеспечению безопасности, как правило, в общем виде, в связи с этим возникают противоречия и неточности в трактовки требований безопасности в процессах конфигурирования компонентов ИС.

В такой ситуации актуальной проблемой становится своевременное выявление неточностей в реализованной конфигурации компонентов ИС, проведение внутреннего контроля (самоконтроля), позволяющего количественно оценить состояние ИС с точки зрения уровня защищенности информации в ней. Определение процессов, обеспечивающих периодический внутренний контроль защищенности ИС и оценку эффективности используемых защитных средств, станет основой для дальнейшего совершенствования средств и механизмов защиты, применяемых в ИС.

Задача контроля и оценки защищенности ИС усложняется тем, что системы и процессы защиты информации включают в себя не только технические, но и социально-экономические аспекты, подверженные повышенному влиянию случайных и трудно предсказуемых факторов.

Актуальность темы подтверждена тем, что работа выполнена в рамках целей и задач, изложенных в стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [1], а также в проектах документов ФСТЭК России: «Концепция аудита информационной безопасности систем информационных технологий и организаций», «Концепция оценки соответствия автоматизированных систем требованиям безопасности информации», «Положение по обеспечению безопасности в жизненном цикле изделий информационных технологий».

Целью работы является разработка метода проведения внутреннего контроля и оценки защищенности ИС, позволяющего определять слабые места в конфигурации применяемых защитных средств и механизмов, выявлять несоответствия принятой в организации политики информационной безопасности и количественно оценивать текущий уровень защищенности ИС. Результаты оценки станут средством поддержки принятия обоснованных решений по совершенствованию защитных мер, а предложенная методика контроля позволит устранить (смягчить) конфликт интересов специалистов организации.

Решаемые в работе задачи:

1. Проведение анализа структуры применяемых ИС и взаимосвязей параметров систем, влияющих на безопасность на различных уровнях информационной инфраструктуры.

2. Проведение анализа средств и механизмов защиты информации, встроенных в компоненты ИС, и формирование частных моделей безопасности, учитывающих зависимости между показателями и аспекты управления.

3. Формирование частных моделей безопасности составных компонентов и обобщенной модели безопасности ИС, декомпозированной по уровням управления (контроля).

4. Разработка метода количественной оценки защищенности ИС, с учетом важности показателей безопасности, и схемы его реализации.

5. Формирование алгоритмов расчета весовых коэффициентов и итоговых показателей защищенности, шкалы соответствия оценок.

6. Разработка структуры базы данных результатов внутреннего контроля текущего уровня защищенности ИС.

7. Разработка методики подготовки, проведения и документального оформления результатов внутреннего контроля и оценки защищенности ИС.

8. Экспериментальная проверка и практическое использование разработанных моделей, метода, алгоритмов и методики в процессах контроля защищенности ИС.

Методы исследования. Для решения поставленных задач были использованы принципы представления и использования знаний, теоретико-множественный подход, теория классической (двузначной) логики, аппарат теории графов, теория нечеткой логики и экспериментальные методы исследования.

Научная новизна работы заключается в следующем:

- разработана обобщенная модель безопасности ИС, декомпозированная по уровням управления (контроля), отражающая конфигурацию компонентов ИС и позволяющая формализовать подходы, определенные в политики информационной безопасности организации;

- предложен метод проведения внутреннего контроля и оценки защищенности ИС, основанный на обобщенной модели безопасности ИС и позволяющий количественно оценить текущее состояние защищенности ИС для принятия обоснованных решений по совершенствованию защитных мер;

- разработаны структура базы данных результатов текущего контроля защищенности ИС и алгоритмы определения важности показателей, позволяющие обеспечить предметность и детальность контроля, автоматизировать расчеты, а также осуществить сравнительный анализ и сопоставимую оценку уровня защищенности при повторном контроле;

- предложена методика (стратегия) внутреннего контроля, позволяющая сократить время проведения контроля и обработки результатов, а также устранить конфликт интересов специалистов организации.

Основные положения, выносимые на защиту:

1. Обобщенная модель безопасности ИС, декомпозированная по уровням управления (контроля).

2. Метод внутреннего контроля и оценки защищенности ИС, являющийся средством поддержки принятия обоснованных решений по совершенствованию защитных мер.

3. Алгоритмы определения важности показателей и расчета итоговых оценок защищенности ИС, шкала соответствия оценок, позволяющие количественно оценить качество функционирования защитных мер.

4. Структура базы данных результатов текущего контроля защищенности ИС, позволяющая автоматизировать учет результатов контроля и проводить сравнительный анализ.

5. Методика (стратегия) внутреннего контроля защищенности ИС, позволяющая сократить время проведения контроля и устранить конфликт интересов служб информатизации и безопасности организации.

Практическая ценность работы. В результате проведенных исследований выработаны практические решения и рекомендации, позволяющие усовершенствовать процесс внутреннего контроля и оценки защищенности применяемых ИС. Предложены формы (шаблоны) документов для подготовки, проведения и оформления результатов самоконтроля и самооценки защищенности. Разработанные модели, метод, структура, алгоритмы, методическое и документационное обеспечение являются готовым инструментарием для проведения внутреннего контроля и оценки защищенности ИС. Инструментарий позволит повысить предметность и детальность контроля, провести сопоставление и сравнение с результатами предыдущего контроля, а также сократить сроки процесса контроля и оценки. Предложенные модели, метод и методика (стратегия) проведения контроля позволят избежать терминологической путаницы в трактовке требований безопасности и устранить (смягчить) существующий конфликт интересов различных служб организации.

Достоверность положений, выводов и рекомендаций подтверждена сопоставимостью результатов работы с оценкой, полученной с использованием других методов, результатами эксперимента и положительными результатами внедрения разработанного инструментария в практику осуществления контроля и оценки защищенности реальных информационных систем.

Реализация и внедрение результатов работы. Разработанные в диссертации модель, метод, структура, алгоритмы, методическое и документационное обеспечение использовались при контроле защищенности ИС в структурах УВД Омской области и в учебном процессе Западно

Сибирского учебно-научного центра по проблемам информационной безопасности.

Апробация работы. Основные положения и результаты работы представлялись и обсуждались на научных конференциях и семинарах: Научно-практическая конференция «Информационный терроризм: новый вызов обществу. Способы противодействия информационному терроризму в государстве» (г. Омск, 2006), Межрегиональный информационный конгресс «Информационный терроризм: новая угроза органам государственного управления» (г. Омск, 2004), Научно-практическая конференция «Актуальные проблемы правового обеспечения банковской деятельности» (г. Омск, 2004), V Международная научно-практическая конференция «Информационная безопасность» (г. Таганрог, 2003), Сибирский технофорум «Индустрия безопасности и связи» (г. Омск, 2002), IX Всероссийская научно-практическая конференция «Проблемы информационной безопасности в системе высшей школы» (г. Москва, 2002), Научно-практическая конференция «Управление банковским персоналом: опыт, проблемы, перспективы» (г. Омск, 2002).

Публикации. По результатам проведенных исследований выполнено девять публикаций, из них пять без соавторов и одна в центральной печати.

Структура и объем диссертации. Диссертационная работа состоит из введения, четырех глав с выводами, заключения, списка используемых источников и семи приложений. Работа содержит: 148 страниц основного текста, 14 таблиц, 11 рисунков, список литературы из 89 наименований на 9 страницах, приложения на 46 страницах. Всего 203 страницы.

ВЫВОДЫ

Результаты эксперимента в целом подтверждают адекватность разработанных моделей безопасности и оценки защищенности ИС. Полученные различия в оценках (полученная оценка ниже оценки, проведенной другими методами) в целом объясняются предметностью и детальностью контроля, учетом зависимостей между показателями.

По отдельным показателям (в основном уровня ДИС) осуществлена корректировка разработанной обобщенной модели безопасности ИС, а также проработаны подходы и алгоритм корректировки моделей с учетом изменения функциональных требований или важности показателей безопасности, т.н. алгоритм обратной связи. В приложении 7 представлены акты практического использования результатов исследований.

Предложенная методика проведения внутреннего контроля и оценки защищенности ИС позволяет осуществлять контроль защищенности по утвержденной модели безопасности, производить расчет общих показателей защищенности с учетом приоритетов политики безопасности и устраняет (смягчает) существующий конфликт интересов служб информатизации и безопасности организации.

ЗАКЛЮЧЕНИЕ

Основным результатом работы является разработка инструментария для внутреннего контроля (самоконтроля) и оценки (самооценки) защищенности используемых ИС, который включает в себя следующие компоненты:

• подходы и принципы обеспечения безопасности информационных ресурсов (активов), отраженные в политике безопасности ИС, обрабатывающих информацию различной конфиденциальности;

• частные модели безопасности составных компонентов ИС, описывающие подмножества контролируемых параметров и дополненные аспектами управления;

• обобщенную модель безопасности ИС, описывающую множество показателей безопасности и декомпозированную по уровням управления (контроля);

• метод количественной оценки защищенности ИС, учитывающий важность показателей безопасности и схему его реализации;

• алгоритмы расчета показателей и шкалу соответствия интервальных, бальных и лингвистических оценок;

• структуру базы данных результатов текущего контроля защищенности ИС;

• методику (стратегию) проведения внутреннего контроля и оценки защищенности ИС;

• шаблоны документального оформления результатов внутреннего контроля, анализа и оценки защищенности ИС.

Разработанные модели, метод и алгоритм расчета позволяют организовать предметный контроль защищенности ИС, детализировать контролируемые параметры, определять слабые места в конфигурации применяемых защитных средств и механизмов, выявлять несоответствия принятой в организации политики информационной безопасности и количественно оценивать текущий уровень защищенности ИС. Это является эффективным средством поддержки принятия обоснованных решений по выбору вариантов построения или совершенствования систем защиты информации.

Результаты экспериментальной проверки и практического использования разработанного инструментария применимы для организаций, использующих информационные технологии и ставивших целью обеспечение информационной безопасности используемых ресурсов. Формализация критериев контроля дает возможность проводить сравнимый анализ и сопоставимую оценку защищенности ИС, а также позволяет автоматизировать сам процесс контроля и оценки соответствия мер безопасности эталонному образцу (стандарту, политики безопасности, профилю защиты, модели безопасности), а также автоматизировать действия, связанных со сбором, хранением и обработкой результатов контроля защищенности.

Предложенная методика (стратегия) контроля значительно сокращает временные затраты на его проведение, обработку результатов, анализ и оценку, а также устраняет конфликт интересов служб информатизации и безопасности организации.

Кроме того, разработанный инструментарий понятен и доступен для применения сотрудниками, не имеющими специальной подготовки по информационной безопасности, и может многократно использоваться внутри организации для самоконтроля, самооценки и поддержания уровня защищенности информационной сферы организации.

Организации, уделяющие вопросам защищенности ИС должное внимание и поддерживающие высокий уровень защищенности информационной сферы, смогут рассчитывать на повышение инвестиционной привлекательности и снижение страховых тарифов. Поскольку по новой стратегии рискориентированного надзора во всех сферах деятельности, риски клиентов, аттестованных по «информационной безопасности» оцениваются ниже, чем риски клиентов не прошедших аттестацию.

1. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2006. М.: Вестник Банка России, №6, 2006.

2. Демин B.C. и др. Автоматизированные банковские системы Текст. -М: Менатеп-Информ, 1997.

3. Васкевич Д. Стратегии клиент/сервер. Руководство по выживанию для специалистов по реорганизации бизнеса К.: Диалектика, 1996 - 384 с.

4. О парадигме информационной безопасности/Курило А.П. М.: ГУБиЗИ, Информационный бюллетень, № 4, 2003.

5. Информационным ресурсам банка необходима надежная защита/Степанов В.В. -М.: Банковские технологии, № 7-8,2003.

6. Астахов A.M. Аудит безопасности ИС. №1(49) Цифровое видео, январь-февраль 2003г. СПб.: «Моби Дик» - 96с.

7. Разработка политики безопасности организации в свете новейшей нормативной базы/НПП «БИТ» М.: Конфидент, №2,2004.

8. Международный стандарт безопасности информационных систем ISO 17799/ Медведовский И. М.: ФГУП «ЦНИИАТОМИНФОРМ», 2003.

9. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. — М.: Гостехкомиссия России, 2002. Части 1, 2, 3.

10. Комментарии к Российскому стандарту ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных тех-нологий»/Долинин М. Ю., Кобзарь М. Т., Лыков В. А. и др. М.: ФГУП «ЦНИИАТОМИНФОРМ», 2003.

11. Курило А.П., Милославская Н.Г., Михайлов С.Ф., Толстой А.И. Основы информационной безопасности автоматизированных банковских систем. Учеб. пособие. М.: МИФИ, 2001. - 100с.

12. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе. М.:КУДИЦ-ОБРАЗ, 2004. -512с.

13. Проект руководящего документа ФСЭК России. Концепция аудита информационной безопасности систем информационных технологий и организаций. Электронный ресурс.:

14. Проект руководящего документа ФСЭК России. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации. Электронный ресурс.:

15. Проект руководящего документа ФСЭК России. Положение по обеспечению безопасности в жизненном цикле изделий информационных технологий. Электронный ресурс.:

16. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М.: Гостехкомиссия России, 1992.

17. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацияавтоматизированных систем и требования по защите информации. М.: Гостехкомиссия России, 1992.

18. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. Учеб. пособие. М.: ИНФРА-М, 2001. - 304с.

19. Агеев А.С., Борисов С.А. и др., под ред. С.А. Диева. Организация и современные методы защиты информации. М.: Концерн «Банковский Деловой Центр», 1998. - 472с.

20. Кевин Луни. Огас1е8: Настольная книга администратора. М.: Издательство «ЛОРИ», 1999. - 500 с.

21. Бекаревич Ю.Б., Пушкина Н.В. Microsoft Access 2000. СПб.: БХВ -Санкт-Петербург, 1999. - 480 с.

22. Хейр Крис, Эммет Дюлани и др. Внутренний мир Unix Пер. с англ./Крис Хейр и др. - Киев: Издательство «ДиаСофт», 1998. - 832 с.

23. Реймер С., Малкер М. Active Directory для Windows Server 2003. Справочник администратора Текст. / Пер, с англ. М.: «СП ЭКОМ», 2004.-512 с: ил.

24. Мамаев Е., Вишневский A. Microsoft SQL Server 7 для профессионалов. СПб.: Издательство «Питер», 2001. 896с.

25. Немеет Э., Снайдер Г., Сибасс С., Хейн Т.Р. UNIX: руководство системного администратора. Для профессионалов. Пер. с англ. СПб.: Питер; Киев: Издательская группа BHV, 2002. - 928с.

26. Торокин А.А. Основы инженерно-технической защиты информации. -М.: Издательство «Ось-89», 1998 336с.

27. Спортак Марк А., Паппас Франк Ч. и др. Высокопроизводительные сети. Энциклопедия пользователя. Пер. с англ. Марк А. Спортак и др. -К.:Издательство «ДиаСофт», 1998. -432с.

28. Петраков А.В., Лагутин B.C. Телеохрана. Учебное пособие. 3-е изд., доп. М.:СОЛОН-Пресс, 2004. - 408с.

29. Гончарок М.Х. Информационная безопасность в телефонных сетях общего пользования. Информационно-методический журнал «Защита информации. Конфидент» №5(53) Биометрия в системах безопасности сентябрь-октябрь 2003г. СПб.: «Моби Дик» - 96с.

30. Крошкин А.Н. Техническое задание на создание интегрированной системы безопасности объекта. №3(51) Управление персоналом, май-июнь 2003г. СПб.: «Моби Дик» - 96с.

31. Гольдштейн Б.С., Гончарок М.Х., Крюков Ю.С. Информационная безопасность и анализ контента в телефонных сетях. №3(51) Управление персоналом, май-июнь 2003г. СПб.: «Моби Дик» - 96с.

32. Рассел Ч., Кроуфорд ILL, Джеренд Дж. Microsoft Windows Server 2003. Справочник администратора Текст. / Пер. с англ., М.: Издательство «СП ЭКОМ», 2004. - 1392 с: ил.

33. Шапиро Дж., Бойс Дж., Полихт М., Паттерсон Б., Лезерс С. Windows Server 2003, Библия пользователя Текст. / Пер. с англ. М.: Издательский дом «Вильяме», 2006. - 1216 е.: ил.

34. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа Текст. СПб: Наука и техника, 2004. -384с.: ил.

35. Домарев В.В. Безопасность информационных технологий. Системный подход: К.: ООО ТИД ДС, 2004. - 992 с.

36. Анализируем журнал безопасности Windows NT Электронный ресурс.: Журнал «Windows IT Pro» / Смит Р.Ф. Электрон, журн. - М.:

37. Открытые системы, 2000. Режим доступа:http://www.osp.ru/win2000/2000/03/026.htm, свободный Загл. с экрана.- Яз. рус.

38. Инструменты для работы с журналами безопасности Электронный ресурс.: Журнал «Windows IT Pro» / Смит Р.Ф. Электрон, журн. - М.: Открытые системы, 2000. Режим доступа: http://www.osp.ru/win2000/2000/06/039.htm, свободный - Загл. с экрана.- Яз. рус.

39. Столлингс В. Современные компьютерные сети Текст. / Пер. с англ. -2-е изд. СПб: Питер, 2003. - 783 е.: ил.

40. Гук М. Ю. Аппаратные средства IBM PC. Энциклопедия Текст. 2-е изд. - СПб: Питер, 2004. - 923 е.: ил.

41. Агеев А.П. Компьютерные вирусы и безопасность информации. Зарубежная радиоэлектроника, № 12, 1989.

42. Горностаев Ю.М. Интеграция вычислительных сетей. Технологии электронных коммуникаций. Том 1. 1992. С. 56 - 94.

43. Барсуков B.C., Дворянкин С.В., Шеремет И.А. Безопасность связи в каналах телекоммуникаций. // Технологии электронных коммуникаций. Том 20. 1992.

44. Бертсекас Д., Галагер Р. Сети передачи данных. : Пер.с англ.- М., Мир, 1989.-544с.

45. Вьюкова Н.И., Галатенко В.А. Информационная безопасность систем управления базами данных. СУБД, 1, 1996. С. 29-54.

46. Гайкович В., Першин А. Безопасность электронных банковских систем. М.:Изд. "Единая Европа", 1993.-365 с.

47. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.: Кн. 1 400 е., Кн. 2 - 176 с. -Энергоатомиздат, 1994.

48. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.: Кн, 1. М.: Энергоатомиздат, 1993.

49. ГОСТ 28147 89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». М., 1989.

50. ГОСТР34.11 94. «Информационная технология. Криптографическая защита информации. Функция хэширования». М., 1994.

51. ГОСТ Р 34.10 94. «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма». М., 1994.

52. Гуц А.К. Математическая логика и теория алгоритмов: Учебное пособие. Омск: Издательство Наследие. Диалог-Сибирь, 2003. - 108 с.

53. Анохин A.M., Глотов В.А., Павельев В.В., Черкашин A.M. Методы определения коэффициентов важности критериев: «Автоматика и телемеханика», №8, 1997, с3-35.

54. Поспелов Д.А. Нечеткие множества в моделях управления и искусственного интеллекта. М.: Наука, 1986. - 312с.

55. Борисов А.Н., Алексеев А.В., Меркурьев Г.В. и др. Обработка нечеткой информации в системах принятия решений М.: Радио и связь, 1989.-304с.

56. Заде JI. Понятие лингвистической переменной и его применение к принятию приближенных решений. -М.:МИР, 1976.-165с.

57. Литвак Б.Г. Экспертная информация: методы получения и анализа. -М.: Радио и связь, 1982. -184с.

58. Кини Р.Л. Принятие решений при многих критериях предпочтений и замещения. -М.: Радио и связь, 1981.-342с.

59. Мулен Э. Кооперативное принятие решений: аксиомы и модели. М.: МИР, 1991.-463с.

60. Жданов С.А. Экономические модели и методы в управлении. М.: Издательство «Дело и Сервис», 1998. - 176 с.

61. Шелобаев С.И. Математические методы и модели в экономике, финансах, бизнесе: Учеб. Пособие для вузов. М.:ЮНИТИДАНА, 2001. -367 с.

62. Замков О.О., Толстопятенко А.В., Черемных Ю.Н. Математические методы в экономике: Учебник. М.:МГУ им. М.В. Ломоносова, Издательство «ДИС», 1998. - 368 с.

63. Балдин К.В. Математические методы в экономике. Теория, примеры, варианты контрольных работ: Учеб. пособие. М.: Издательство Московского психолого-социального института, 2003. -112 с.

64. Герасименко В.А. Основы теории управления качеством информации. М.: 1989. Деп. в ВИНИТИ. № 5392-В89.

65. Герасименко В. А., Мясников В. А. Защита информации от несанкционированного доступа. Конспект лекций. М.: МЭИ, 1984.

66. Герасименко В.А., Размахнин М.К. Принципы и методы проектирования механизма защиты информации в системах электронной обработки данных. Зарубежная радиоэлектроника. 1981. № 5. с. 81 -95.

67. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. М. Синтег, 1999

68. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М.- Изд. "Яхтсмен", 1996. 192 с.

69. Давыдовский А. Использование средств автоматизации, заслуживающих доверие. Защита информации, № 1, 1992, с. 113-116.

70. Диев С. Математические модели сохранения целостности информации в ЭВМ и телекоммуникационных сетях. Системы и средства телекоммуникаций. № 5, 1992. с. 18-33.

71. Е.Касперский Е. Компьютерные вирусы в MS DOS. - М.: "Эдель", 1992. -120с.

72. Егоркин И.В., Зинюк Ф.Ф., Казарин О.В., Скиба В.Ю., Ухлинов JI.M. Методика оценки эффективности обеспечения безопасности информации в АСУ летательными аппаратами. Вопросы защиты информации. 1995, № 3 (30). С. 80 - 82.

73. Защита данных в информационных вычислительных сетях, под ред. А. Ронжина -М.:ИНКО "Ками", 1991. 128 с.

74. Защита информации в персональных компьютерах и сетях, под ред. А. Щербакова М.: 1991. - 26 с.

75. Защита информации в персональных ЭВМ. М.: "Радио и связь", 1992. -190с.

76. Защита информации в компьютерных системах, под ред. проф. Э. М. Шмакова СПб.:СПбГТУ, 1993, 100 с.

77. Защита программного обеспечения Пер. с англ. Д. Гроувер, Р. Сатер, Дж. Фипс и др. Под редакцией Д.Гроувера М.:, "Мир", 1992. - 285 е.,

78. Иванов И.Г., Попов В.И. «Рабочее место администратора безопасности сети "Dallas Lock 3.1 for NetWare"." Защита информации Конфидент.- 1995, №5(3). С. 33 -44.

79. Игнатов В.В. Защита информации в корпоративных сетях. Сети. 1995, № 1 (34).

80. Oracle Database 10g: Security/Volume 1, 2. Oracle University - 2005. 87.0racle 9i: New Features for Administrators/ Volume 1,2.- Oracle University- 2002.88.2072A:Administering a Microsoft SQL Server 2000 Database. Microsoft

81. Official Course.-2003. 89.Practical UNIX and Network Security H3541SE.00. Hewlett-Packard Development Company, L.P. - 2004/