автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода

кандидата технических наук
Созинова, Екатерина Николаевна
город
Санкт-Петербург
год
2013
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода»

Автореферат диссертации по теме "Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода"

На правах рукописи /

- .. // т

СОЗИНОВА ЕКАТЕРИНА НИКОЛАЕВНА

МЕТОД ОБЕСПЕЧЕНИЯ И ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ НА ОСНОВЕ РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА

специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

14 НОЯ 2013

Санкт-Петербург 2013

005538556

005538556

Работа выполнена на кафедре мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (НИУ ИТМО).

Научный руководитель: Жигулин Георгий Петрович

кандидат технических наук, доцент

Официальные оппоненты: Бузинов Александр Сергеевич

кандидат технических наук, доцент. РОО научных работников «Центр поддержки научных исследований» Генеральный директор

Сарычев Валентин Александрович

доктор технических наук, профессор ОАО "НПП "Радар ммс" Заместитель генерального директора по научной работе

Ведущая организация: Негосударственное образовательное учреждение

дополнительного профессиональног о образования «Учебный центр «СпецПроект»

Защита состоится 27 ноября 2013 г. в 15 часов 50 минут на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики по адресу: 197101, г. Санкт-Петербург, Кронверкский проспект дом 49.

Отзывы на автореферат в двух экземплярах, заверенные печатью, просим направлять по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49, НИУ ИТМО, ученому секретарю диссертационного совета Д 212.227.05.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики.

Автореферат диссертации размещен на официальном сайте НИУ ИТМО: http ://aspiran tura, i fmo.ru/

Автореферат разослан «26» октября 2013 г.

Ученый секретарь

диссертационного совета Д 212.227.0i 1

кандидат технических наук, доцент / [( ' Поляков Владимир Иванович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность исследования. Основными факторами актуальности настоящей диссертационной работы являются:

1)В стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций. Федеральный закон "Об аудиторской деятельности" от 30.12.2008 N Э07-ФЗ рассматривает аудит - только как независимую проверку бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. В нем нет ни слова про аудит информационной безопасности. А существующие стандарты и методические рекомендации -узконаправленные.

2)В сфере информационной безопасности не сформировалась единая и общепризнанная терминология. В настоящее время специалистами используется большое количество достаточно разных определений одних и тех же терминов. Соответственно, и термин аудит информационной безопасности понимается по-разному, в зависимости от контекста и области применения.

3)В настоящее время практически нет «свежих» учебных пособий. Основная масса используемой литературы является устаревшей, а качество издаваемой, практически, не контролируется. Этим объясняется путаница в классификации, видах, типах и способах аудита информационной безопасности. Без четкой и научно-обоснованной систематизации невозможно развивать это направление.

4)Обеспечение информационной безопасности организации - это очень важный, сложный и многоуровневый процесс. В обязательном порядке он должен быть комплексным и систематизированным. Очень важную роль в обеспечении информационной безопасности играет аудит ИБ. На данный момент нет универсальных, общепринятых и утвержденных методов проведения аудита информационной безопасности организаций. Существующие разработки по проведению аудита информационной безопасности являются узконаправленными и «закрытыми» для общего пользования. Они предназначены для банковских организаций, государственных и стратегических объектов РФ.

5)Обеспечение информационной безопасности организаций напрямую зависит от уязвимостей, угроз и рисков ИБ. Поэтому необходимо рассматривать аудит ИБ с точки зрения риск-ориентированного подхода. Это достаточно новое и широко нераспространенное понятие. Оно существенно отличается от привычного словосочетания «риск-ориентированный аудит». Благодаря риск-ориентированному подходу, аудит ИБ может выйти на новый уровень и стать более эффективным инструментом обеспечения информационной-безопасности организаций.

Степень разработанности темы исследования. Проблемы обеспечения информационной безопасности, оценки уровня обеспечения ИБ и аудита ИБ организаций, являются предметом исследования многих ученых мира. Различные аспекты информационной безопасности рассмотрены в трудах известных российских ученых как: A.M. Астахов, H.H. Безруков, Я.В. Бузанова, А. С. Бузинов, A.B. Воронцовский, В.А. Галатенко, В.А. Герасименко, В.В. Домарев, Г.П. Жигулин, П.Д. Зегжда, A.M. Ивашко, А.И. Костогрызов, В.И. Курбатов, A.A. Молдовян, H.A. Молдовян, А.А.Малюк, С.А. Петренко, А. Ю. Щеглов, В.И. Ярочкин и другие.

Существуют различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления рисками. Эти методы и подходы нашли свое отражение в работах российских ученых: А.М. Астахов, П.А. Балашов, В.П. Буянов, A.A. Варфоломеев, A.B. Воронцовский, A.B. Дорожкин, Г.П. Жигулин, К.А. Кирсанов, В.И. Максимов, JI.A. Михайлов, B.C. Неженец, О.И. Никонов, О.В. Силютина, Б.А. Шиянов

Научных работ, посвященных исследованию теоретико-методологических основ аудита ИБ в отечественной литературе имеется незначительное количество. Например работы таких ученых, как: А.М. Астахов, Я.В. Бузанова, Н.Е. Васильева, В.Б. Голованов, Н. Данилкина, СЛ. Зефиров, А.П. Курило, А. А. Петренко, С. А. Петренко, М.Н. Черных, Г.А. Юдина, В.И. Ярочкин. Следует отметить, что существуют серьезные различия между позициями российских авторов при определении содержания аудита ИБ и методах его проведения. Теоретический и методологический подходы к аудиту информационной безопасности находятся в стадии становления, а методы обеспечения и проведения аудита информационной безопасности на основе риск-ориентированного подхода отсутствуют. Важность и актуальность проблемы, ее недостаточная теоретическая и практическая разработанность, применительно к сфере информационной безопасности, послужили основанием для определения темы исследования.

Целью исследования является разработка, обоснование и оценка эффективности метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода.

Для достижение данной цели необходимо решить следующие задачи:

1)Сформулировать уточненное определение понятия «аудит ИБ».

2)Определить цели и задачи аудита ИБ, выделить методы проведения аудита ИБ.

3)Обозначить достоинства и недостатки существующих направлений и методов аудита ИБ.

4)Раскрыть содержание, риск-ориентированного подхода к аудиту ИБ.

5)Разработать концептуальную модель информационной безопасности.

6)Разработать метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода.

7)Провести анализ и оценку эффективности разработанного метода аудита ИБ. Объектом исследования является аудит информационной безопасности. Предметом исследования является обеспечение и проведение внутреннего аудита

информационной безопасности на основе риск-ориентированного подхода. Научная новизна исследования заключается в следующем:

1)Сформулировано уточненное определение понятия «аудит информационной безопасности»;

2)Разработана концептуальная модель информационной безопасности организаций;

3)Раскрыто понятие и определено содержание риск-ориентированного подхода к аудиту ИБ;

4)Проведен анализ существующих направлений и методов аудита ИБ;

5)Разработана модель оценки риска информационной безопасности;

5)Разработан метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода и создана модель проведения аудита на каждом разработанном этапе.

Теоретическая значимость работы заключается в том, что сформулированные в работе теоретические положения и выводы развивают и дополняют разделы теории информационной безопасности, а полученные результаты вносят вклад в её дальнейшие развитие. Исследование способствует более глубокому осмыслению важности проведения аудита информационной безопасности на основе риск-ориентированного подхода.

Практическая значимость работы определяется тем, что разработанный метод может применяться в государственных и коммерческих организациях при проведении внутреннего аудита ИБ. Результаты и выводы, полученные в данном исследовании, могут использоваться при создании нормативно-правовых документов, написании методических рекомендаций и учебных пособий и служить основой при принятии организационно-управленческих решений в организациях различной структуры. Материалы диссертационной работы будут иметь широкое практическое применение в сфере образования, при чтении учебных курсов для студентов по направлению 090900 - Информационная безопасность.

Методология исследования. Методологическую основу исследования составляют общенаучные и специальные методы познания, труды ученых и специалистов по теории информационной безопасности и аудиту ИБ, нормативно-правовые документы, энциклопедическая и справочная литература, материалы конференций и исследований опубликованных в периодических изданиях.

Методы исследования. Основным- методом исследования является математическое -.моделирование, базирующееся на. использовании аппарата теории игр, теории вероятности,

теории принятия решений, теории информационной безопасности и математической статистики. При решении поставленных задач исследования использовались методы экспертных оценок, эмпирического исследования, систематизации, дедуктивных и индуктивных умозаключений, формализации, моделирования, системного и структурного анализа, экспертного и комплексного аудита, анализа и управления информационными рисками, а также документальные, расчетно-аналитические и общелогические методы. Основным подходом к исследованию - является риск-ориентированный подход. В качестве второстепенных подходов в процессе исследования применялись системный, комплексный и информационный подходы.

Положения, выносимые на защиту:

1)Уточненное определение понятия: «риск-ориентированный подход к аудиту информационной безопасности»;

2)Модель оценки риска информационной безопасности;

3)Метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода;

4)Оценка эффективности разработанного метода проведения аудита ИБ.

Степень достоверности результатов. Обоснованность и достоверность научных положений, выводов и результатов, полученных в диссертационном исследовании, обеспечивается: использованием аналитических и экспериментальных методов проверки и доказательства достоверности результатов; методологической основой научного задела по рассматриваемой тематике; опорой на положения теории информационной безопасности; использованием комплекса надежных и проверенных на практике методов; обработкой полученных данных с помощью математического аппарата; высокими результатами внедрения разработок, полученных в данном исследовании; широким апробированием основных результатов работы на конференциях и семинарах с положительной оценкой результатов; публикациями по теме диссертационной работы.

Апробация результатов. Основные и промежуточные результаты диссертационного исследования были представлены на 7 различных конференциях и конгрессах:

• VIII Всероссийская межвузовская конференция молодых ученых (Санкт-Петербург 2011). Диссертант был награжден дипломом за лучший доклад на конференции;

• II Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2011);

. * »-• - 1 Всероссийский конгресс молодьгхг.ученых. (Санкт-Петербург 2012). Диссертант был-

яЧ и-»награжден дипломом за лучший доклад на конференции; -

• Ш Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2012);

• 4-я научно-практическая конференция «Информационная безопасность. Невский диалог-2012» (Санкт-Петербург 2012);

• II Всероссийский конгресс молодых ученых. (Санкт-Петербург 2013);

• IV Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2013);

Основные и промежуточные результаты диссертационного исследования были представлены на различных конкурсах:

• Конкурс грантов для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга (Санкт-Петербург, 2011, 2012,2013)

• Конкурс «Аспирант года» (Санкт-Петербург, 2011, 2012). По результатам обучения в аспирантуре, за достижения в научно-исследовательской и педагогической деятельности в 2012 году диссертант выиграл данный конкурс, заняв второе место, и был награжден дипломом.

Полученные результаты были внедрены и используются в НИУ ИТМО и в НОУ ДПО «Учебный центр «СпецПроект», что подтверждается актами о внедрении.

Публикации. Основные и промежуточные результаты диссертационного исследования представлены в 11 статьях, в том числе две работы в российских журналах, входящих в Перечень ВАК. Остальные работы опубликованы в материалах научно-практических конференций, конгрессов и иных научных изданиях. Полный список публикаций приведен в конце автореферата.

Личный вклад. Содержание диссертации и положения, выносимые на защиту, отражают персональный вклад автора в данную работу.

Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка сокращений и списка литературы, состоящего из 147 наименований, включая труды автора. Материал изложен на 145 страницах машинописного текста, содержит 7 рисунков и 23 таблицы.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

В введении обосновывается актуальность темы исследования, сформулированы ее цель и задачи, обозначена научная новизна, определена теоретическая и практическая значимость работы, перечислены научные положения, выносимые на защиту, обоснована степень достоверности результатов исследования и определена структура диссертационной работы.

В первой главе диссертации рассматриваются основы аудита информационной безопасности, перечисляются основные цели и задачи аудита ИБ, приводится классификация аудита ИБ по типу и виду, выделяются правовые и методологические основы аудита ИБ.

В главе акцентируется внимание на том, что в сфере информационной безопасности еще не сформировалось единое и общепризнанное определение термина: «аудит информационной безопасности». В настоящее время специалистами используется большое количество разных определений аудита ИБ. Проанализировав наиболее часто используемые определения и различные нормативно-правовые документы, было сформулировано уточненное определение термина: «аудит информационной безопасности». Таким образом, аудит ИБ организации — это систематический, комплексный, экспертный и документированный процесс исследования всех аспектов информационной безопасности организации, позволяющий получить объективные качественные и количественные оценки о текущем состоянии информационной безопасности организации, с представлением результатов в виде рекомендаций, позволяющих спланировать дальнейшие шаги по повышению уровня защищенности организации.

Во второй главе диссертации обосновываются теоретические и методологические аспекты обеспечения и проведения внутреннего аудита информационной безопасности, анализируются достоинства и недостатки существующих направлений и методов аудита ИБ, обосновывается необходимость разработки нового метода аудита ИБ, рассмотрено понятие риск-ориентированного подхода к проведению аудита ИБ, проведен анализ существующих методов оценки рисков ИБ и разработана концептуальная модель информационной безопасности.

Анализ литературы, посвященной проблемам риск-ориентированного подхода к проведению аудита, позволяет сделать вывод о том, что еще не сформировалось точное определение данного термина и структура подобного аудита. Данное словосочетание в таком виде используется очень редко. Основываясь на проведенных исследованиях можно уточнить и сформулировать понятие риск-ориентированного подхода к проведению аудита ИБ. Риск-ориентированный подход к аудиту информационной безопасности - это обеспечение и проведение аудита ИБ основанное на информационных рисках. При таком подходе на основе расчетно-аналитических методов производится анализ и оценка информационных рисков. Это позволяет полунить: объективные качественные и количественные оценки текущего состояния

информационной безопасности организации. Опираясь на полученные в ходе аудита результаты, аудитор определяет для организации индивидуальный набор требований информационной безопасности в наибольшей степени учитывающий особенности организации, среды ее функционирования и существующие в данной среде уязвимости и угрозы ИБ. На мой взгляд, риск-ориентированный подход к аудиту ИБ в ближайшие десятилетия - будет наиболее правильным и эффективным. Можно сделать однозначный вывод: в данный момент актуально и необходимо разработать метод обеспечения и проведения внутреннего аудита ИБ организации, который будет основываться на риск-ориентированном подходе. Так как этот подход является наиболее эффективным, качественным и точным. С его помощью возможно получить как качественные, так и количественные результаты и оценки. Управление информационными рисками и построение комплексной системы управления информационной безопасностью — это шаг на качественно иной уровень корпоративного управления и решающее конкурентное преимущество.

Далее, в главе описывается разработанная концептуальная модель информационной безопасности. Основными компонентами концептуальной модели информационной безопасности являются следующие: нарушители ИБ, уязвимости, угрозы ИБ, риски ИБ, ущерб от нарушения ИБ, меры обеспечения ИБ, отношение организации к рискам ИБ, уровень ИБ. В обобщенном виде, рассмотренные компоненты в виде концептуальной модели информационной безопасности организации представлены на рисунке 1.

В данном параграфе раскрывается содержание основных компонент концептуальной модели информационной безопасности организаций, таких как: анализ рисков, идентификация и оценивание активов, анализ уязвимостей, модель угроз, модель нарушителя, ущерб от нарушения ИБ, оценка рисков.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки защищённости организаций от угроз и рисков ИБ и оценки уровня обеспечения ИБ организаций. Не смотря на всеобщий интерес к внутреннему аудиту ИБ, его проводят редко, так как отсутствуют теоретические и методологические аспекты и основы обеспечения и проведения аудита информационной безопасности. Необходимо помнить, что аудит ИБ не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности организаций.

В третьей главе диссертации подробно описывается алгоритм, разработанного автором, метода проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода. Алгоритм проведения внутреннего аудита информационной безопасности состоит из четырех этапов: подготовительный, исследовательский, оценочный и заключительный.

^Подготовительный этап. Основная задача: сбор, систематизация и обработка информации, создание баз данных, таблиц и диаграмм. Этап подразделяется на подэтапы: формирование группы для проведения аудита, определение цели, типа и вида аудита ИБ, составление плана аудита ИБ, общее исследование структуры организации и обеспечения ИБ в организации. Итогом данного этапа является разработанная программа аудита ИБ.

2)Исследовательский этап. Этот этап аудита является более сложным и длительным по сравнению с предыдущим. На данном этапе продолжается более подробный сбор и анализ информации. Он подразделяется на подэтапы: информационные ресурсы, информационные системы, информационные потоки, документация организации, ценные активы организации, сотрудники организации, исследование обеспечения информационной безопасности активов, ресурсов, систем и потоков организации. Особое внимание следует уделить ценным активам организации, произвести инвентаризацию, идентификацию, категорирование и определение ценности активов.

Инвентаризация заключается в составлении перечня ценных активов организации. Следует определить, нарушение информационной безопасности каких активов может нанести ^ущерб компании. Только в этом случае актив'буйет считаться ценным, и его необходимо буДсг ¡учкгйвать'.при анализе. Категорирование ййхйео'в"^:' эТ& оценка ущерба, который ПойВёй"^

компания в случае нарушения ИБ ценного актива. Определение ценности активов - это оценка их ценности с точки зрения важности для организации. Она выполняется по трем параметрам: конфиденциальность, целостность и доступность. Оценку можно выполнять в денежных единицах или в уровнях. При качественной оценке уровня наиболее удобно использовать 5 уровней: критический, высокий, средний, низкий, незначительный.

Основная задача этапа: исследовать основные факторы, влияющие на информационную безопасность. Итогом этапа является инвентаризация, оценивание ценных активов, информационных ресурсов, систем и потоков организации.

3)Оценочный этап. Это один из самых сложных, важных и трудоемких этапов. Основная задача: исследовать и проанализировать всю собранную на предыдущих этапах информацию. Используя риск-ориентированный подход, расчетно-аналитические методы и основные принципы проведения аудита ИБ, необходимо произвести оценку уязвимостей, угроз, рисков и уровня обеспечения ИБ организации. Этап подразделяется на подэтапы: анализ уязвимостей, модель нарушителя, уровень исходной защищенности ценного актива, ущерб организации от нарушения информационной безопасности, угрозы информационной безопасности организации: анализ, оценка и модель угроз, уровень риска информационной безопасности, модель оценки риска информационной безопасности, определение уровня обеспечения информационной безопасности организации. Рассмотрим более подробно каждый этап.

Анализ уязвимостей: составление перечня возможных уязвимостей и их категорирование по 5 уровням: критический, высокий, средний, низкий, незначительный. Для организаций уровень уязвимостей является индивидуальным и определяется на основе экспертных оценок. Далее переводим качественную оценку в количественную, используя определенную шкалу, представленную в табл. 1. Таким образом, каждому показателю уровня присваивается свой коэффициент. Для каждой организации уровень уязвимостей является индивидуальным. Уровень определяется и выставляется на основе экспертных оценок.

Уязвимости

Качественная оценка Количественная оценка

Критический уровень уязвимости 10

Высокий уровень уязвимости 9

Средний уровень уязвимости 6

Низкий уровень уязвимости 3

Незначительный уровень уязвимости 1

- Таблица 1. Шкала перевдда качественной оценки уязвимости в количественную

Уровень исходной защищенности ценного актива. Основываясь на перечне ценных активов и на анализе обеспечения ИБ в организации на данном подэтапе, необходимо оценить исходный уровень защищенности ценных активов. Для этого мы создаем таблицу оценок (табл. 2), в которой указываем для определенного ценного актива, по каким параметрам и на каком уровне обеспечивается защита.

Ценный актив-программное обеспечение Уровень защищенности актива в организации

высокий а*) средний (Ъ2) низкий (Ьз)

Соединение с Интернетом + - -

Соединение с сетями общего пользования - - +

Разграничение доступа - + -

Доступ к свободному копированию - + -

Таблица 2. Пример качественной оценки уровня исходной защищенности актива

При качественной оценке актива, уровень исходной защищенности определяется следующим образом:

1.Считается, что актив имеет высокий уровень исходной защищенности, если не менее 70% характеристик соответствуют уровню «высокий» и обозначается как « с^»;

2.Считается, что актив имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик соответствуют уровню не ниже «средний» » и обозначается как «<12»;

3.Считается, что актив имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2, то есть менее 70% характеристик соответствуют уровню ниже «средний» » и обозначается как « с13»;

Далее составляем матрицу оценок табл.3 и на основе матрицы оценок производим расчеты по формулам (1,2) оцениваем исходный уровень защищенности ценных активов.

Ценный актив Уровень защищенности актива в организации

Он) (Ьг) (Ьз)

Рц Рц Р13

а2 Р21 Р22 Р2з

...

а„ Р.1 Рп2 Р„3

Таблица 3. Матрица'оценок'уровня исходной защищенности ценных активов

На основе матрицы оценок производятся расчеты по формулам:

¿1 = где: сх = Рц + р21 + р31 + - + р„1; (1)

¿2 = где: с2 = р12 + р22 + Рзг + - + Рпг; (2)

Определяем уровень исходной защищенности ценных активов организации по алгоритму, приведенному далее, оценивая показатели с^ и с12: Если с^ > 70, то актив имеет высокий уровень исходной защищенности; Если с!! < 70, то необходимо рассчитать значение + й2 ■ Если ^ + й2 > 70 , то актив имеет средний уровень исходной защищенности; Если с^ + с12 < 70, то актив имеет низкий уровень исходной защищенности;

Таким образом, с помощью формул и суждений, мы получаем качественную оценку уровня исходной защищенности ценного актива организации. При количественной оценке, уровень исходной защищенности определяется следующим образом: 1 .Производится качественная оценка уровня исходной защищенности ценного актива; 2.3атем, с помощью определенной шкалы, представленной в табл. 4 качественная оценка переводится в количественную. С помощью данной таблицы каждому уровню исходной защищенности ставится в соответствие числовой коэффициент, который мы будем обозначать как «X».

Уровень исходной защищенности актива «Б» Значение коэффициента (В)

Высокий уровень исходной защищенности актива 0

Средний уровень исходной защищенности актива 5

Низкий уровень исходной защищенности актива 10

Таблица 4. Таблица перевода качественной оценки исходного уровня защищенности в

количественную оценку

Оценка ущерба. Оценку ущерба от нарушения ИБ можно выполнять в денежных единицах или в уровнях. Оценка ущерба в денежных единицах — это очень сложный и трудоемкий процесс. Поэтому лучше проводить оценку ущерба в уровнях: низкий, средний, высокий. Оценку уровня ущерба получаем используя алгоритм определения уровня исходной защищенности ценных активов. Затем, с помощью определенной шкалы табл. 5, качественная оценка переводится в количественную. Каждому уровню ущерба ставится в соответствие числовой коэффициент «г». " '

Уровень общего ущерба организации Значение коэффициента

Высокий уровень общего ущерба организации 10

Средний уровень общего ущерба организации 5

Низкий уровень общего ущерба организации 1

Таблица 5. Таблица перевода качественной оценки уровня общего ущерба в количественную

На следующем подэтапе производится анализ, оценка и строится модель угроз информационной безопасности организации. При анализе угроз ИБ необходимо выполнить следующий алгоритм действий: 1.Определить угрозы и составить их перечень;

2.Классифицировать угрозы по типу: источник-угроза-объект;

3.Составить модель нарушителя информационной безопасности организации;

4.Выявить способ реализации угрозы;

5.Расчитать сходный уровень защищенности ценных активов;

6.Проанализировать и оценить возможный ущерб при реализации угроз; 7,Определить вероятность реализации угроз информационной безопасности; 8.Расчитать реализуемость угроз;

9.0пределитъ актуальности угроз;

10.Составить модель угроз для организации;

Показатель вероятности реализации угроз «X» ИБ формируется на основе экспертных оценок. Проводится оценка вероятности реализации угроз на основе разработанной четырехуровневой качественной шкалы: маловероятная, низкая, средняя, высокая. Каждому показателю ставится в соответствие числовой коэффициент, табл. 6.

Показатель вероятности реализации угроз Значение коэффициента

Высокая вероятность реализации угроз 10

Средняя вероятность реализации угроз 5

Низкая вероятность реализации угроз 2

Маловероятная вероятность реализации угроз 0

Таблица 6. Таблица перевода качественной оценки показателя вероятности реализации угроз_в

количественную оценку

Такой шкалы, чаще всего, достаточно для высокоуровневой оценки вероятности реализации угроз информационной безопасности. При каждой градации вероятности реализации угрозы ставится в соответствие числовой коэффициент.

Показатель реализуемости угроз «У» - показывает, будет ли реализована конкретная угроза в данной организации с учетом вероятности реализации угрозы и уровня исходной защищенности ценного актива, против которого эта угроза направлена. Рассчитывается по формуле (3).

,, (Х+К) ... У = —— (3), где:

У - реализуемость угроз, О <У<10;

X - вероятность реализации угроз информационной безопасности, 0 < X <10; К - уровень исходной защищенности ценного актива, 0 < К <10;

После расчета У мы получаем количественные оценки. Чтобы понять их значение, переводим количественные оценки в качественные с помощью шкалы оценок. Если 0 < У <2,5 , то реализуемость угроз признается низкой; Если 2,5 < У <6, то реализуемость угроз признается средней; Если 6 < У < 7,5 , то реализуемость угроз признается высокой; Если 7,5 □ У < 10, то реализуемость угроз признается очень высокой.

Актуальность угроз - это определение является ли конкретная угроза актуальной для данной организации или нет. Оценка актуальности угроз обозначается «А» и производится согласно табл. 7. Угрозы, которые признаются неактуальными, в дальнейшем анализе не учитываются.

Реализуемость угроз Ущерб при реализации угроз

низкий средний высокий

низкая неактуальная неактуальная актуальная

средняя неактуальная актуальная актуальная

высокая актуальная актуальная актуальная

очень высокая актуальная актуальная актуальная (критическая)

. Таблица 7. Оценка угрозы на предмет актуальности

Уровень риска информационной безопасности. Риск ИБ «1Ъ> - это возможность того, что произойдет определенное неблагоприятное событие, связанное с реализацией некоторой угрозы, имеющее определенную вероятность наступления и приводящее к возможному ущербу. При расчете Я необходимо/учитывать три параметра и рассчитыватьито формуле (4).

II = г X ; 0 < Я <100 (4), где:

и - величина уязвимости; У - реализуемость угроз; Ъ - ущерб организации. Для качественной оценки риска используется следующая шкала:

• Если 0<И<7 , то уровень риска считается «низким»;

• Если 7 □ Я<22 , то уровень риска считается «средним»;

• Если 22 СЖ<44, то уровень риска считается «высоким»;

• Если 44 ПЕ<100, то уровень риска считается «критическим».

После того, как риск выявлен, необходимо рассмотреть способы снижения риска. Существует 5 основных способов: уход от риска, передача риска, уменьшение риска, кардинальное снижение риска, принятие риска.

Используя предыдущие исследования можно разработать обобщенную модель оценки риска информационной безопасности организации. Она представлена на рис. 2.

Актуальность угроз «А»

определяется по таблице

Реализуемость угроз «У» У=((Х+К))/2

Ущерб от реализуемости угроз «X» Экспертная оценка

Вероятность реализации угроз «К» Экспертная оценка

н

Уровень исходной защищенности ценного актива «Э»

определяется по алгоритму и формуле: ё=(сх100)/п

Рисунок 2. Модель оценки риска информационной безопасности

Определить уровень ИБ организации возможно только в том случае, если рассчитать значения нескольких рисков или рисков по определенному блоку. Например: по направлению безопасности; по мерам обеспечения ИБ; по ценному активу (сотрудники организации); Для определения уровня ИБ организации по блоку параметров необходимо: 1.Рассчитать суммарное значение рисков по формуле (5), табл. 8. ^бщ. (5), где:

Я - общий риск информационной безопасности организации по блоку параметров; 1 - порядковый номер рассчитанного частного риска; п - общее количество частных рисков, по которым был произведен расчет.

Значение частного риска Значение общего риска по блоку параметров

Риск №1 28 IV 1 = = з 78 = 26 1=1

Риск №2 15

Риск №3 35

Таблица 8. Пример расчета общего риска информационной безопасности по блоку параметров

2. Определяем значение уровня ИБ организации. Для этого используется разработанная матрица оценок уровня информационной безопасности табл. 9 и табл. 10. При оценке уровня обеспечения информационной безопасности организации учитываются три параметра, от которых, зависит уровень информационной безопасности в организации: общий уровень риска по блоку параметров; затраты организации для предотвращения общего риска (которые уже потрачены);отношение к риску ИБ: его принятие, снижение, уменьшение или передача.

Низкий уровень риска Средний уровень риска

Отношение к риску Затраты на обеспечение ИБ Затраты на обеспечение ИБ

больши средни низки нет больши средни низки нет

е е е затрат е е е затрат

передача риска 10 9 8 7 9 8 7 6

уменьшение риска 9 8 7 6 8 7 6 5

кардинальное снижение 8 7 6 5 7 6 5 4

принятие риска 7 6 5 4 6 5 4 3

Таблица 9. Матрица оценок для определения уровня ИБ организации (часть 1)

Низкий уровень риска Средний уровень риска

Отношение к риску Затраты на обеспечение ИБ Затраты на обеспечение ИБ

больши средни низки нет больши средни низки нет

е е е затрат е е е затрат

передача риска 8 7 б 5 7 б 5 4

уменьшение риска 7 6 5 4 6 5 4 3

кардинальпое снижение 6 5 4 3 5 4 3 2

принятие риска 5 4 3 2 4 3 2 1

Таблица 10. Матрица оценок для определения уровня ИБ организации (часть 2)

Согласно предложенной матрице оценки уровня ИБ (табл. 9, табл. 10), организация, которой присвоена оценка, равная 10 или 9 — считается надежно защищенной. Если ей присвоена оценка, равная 8, 7 или 6 — организация имеет средний уровень ИБ. Если присвоена оценка, равная 5, 4 или 3 - организация имеет низкий уровень ИБ. Считается, что организация имеет критический уровень ИБ, если ей присвоена оценка, равная 2 или 1. В данной ситуации организация должна в кратчайшие сроки обратиться к специалистам по информационной безопасности, провести комплексный и полный аудит ИБ, пересмотреть концепцию и политику информационной безопасности.

Итогом данного этапа является качественное и количественное определение уровня обеспечения и надежности информационной безопасности организации, с учетом затрат на обеспечение ИБ и отношения к риску.

4)3аключительный этап. Подразделяется на 2 основных подэтапа: разработка рекомендаций и составление аудиторского отчета. Основная задача этапа - по результатам проведённого анализа выработать рекомендации по двум направлениям: повышение уровня обеспечения ИБ и совершенствование ИБ. Итогом этапа является достижение цели аудита ИБ и составленный отчет по результатам проведения аудита ИБ организации. Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ, выполнены, и утвержденный отчет разослан заинтересованным сторонам.

В четвертой главе диссертации приведена разработанная модель аудита ИБ, проанализирован разработанный метод аудита ИБ, выделены его достоинства и недостатки, произведена экспериментальная и сравнительная оценка эффективности метода.

Оценка эффективности разработанного метода. Для проведения оценки эффективности, необходимо сравнить наиболее важные факторы разработанного метода с факторами эталона. Эти факторы должны быть достаточно важными и оказывать существенное влияние на качество и эффективность аудита ИБ. Такими факторами будут; объективность результатов аудита ИБ,

опыт и квалификация специалистов, проводящих аудит ИБ, стоимость проведения аудита ИБ, адаптация метода к специфике организации, простота метода в понимании и применении. Под эталоном будем подразумевать «идеальный» метод обеспечения и проведения аудита информационной безопасности. Сравнение будем производить с помощью математических расчетов, используя аддитивный метод.

Аддитивный метод расчета веса метода аудита ИБ складывается из взвешенной суммы частных критериев. Весовой коэффициент метода аудита ИБ рассчитывается в рамках принятой аддитивной модели метода расчета. В условиях вышесказанного, коэффициент эффективности, которым обладает метод аудита ИБ имеет вид: W(S) = EfLj afsf(S) (6), где:

Sj - эталонный метод аудита ИБ; S2 -разработанный метод аудита ИБ; W(S) - коэффициент эффективности (вес) метода аудита ИБ; Индекс f играет роль номера фактора; N — количество факторов;

af - коэффициент, характеризующий вклад каждого из факторов sf(S) в вес эффективности метода аудита; Xfli af = 1; 0 < af < 1.

Sf(S) - частные показатели (коэффициенты) конкретного фактора, характеризующие качество и эффективность метода аудита ИБ; 0 < Sf(S) < 1;

Коэффициенты af и частные показатели Sf(S) - определяются экспертным путем (табл.11).

Фактор, влияющий на эффективность метода Степень значимости коэффициента Частный показатель эталонного метода Частный показатель разработанного метода

1 Объективность результатов аудита ИБ 0,35 1 0,8

2 Опыт и квалификация специалистов, проводящих аудит ИБ 0,25 1 0,7

3 Стоимость проведения аудита ИБ 0,15 1 0,9

4 Адаптация метода к специфике организации 0,15 1 0,9

5 Простота метода в понимании и проведении аудита ИБ 0,10 1 0,9

Итоговый коэффициент эффективности метода 1 0,82

Таблица 11. Значения коэффициентов и частных показателей для итоговых значений эффективности эталонного и разработанного методов аудита ИБ

Формула для итоговых значений эффективности эталонного метода аудита ИБ Sj имеет вид: W(St) = 0,35 * s^) + 0,25 * s2(Si) + 0,15 * S3(St) + 0,15 * s^Sj) + 0,10 * s^SO; W(St) = 0,35 * 1 + 0,25 * 1 + 0,15 * 1 + 0,15 * 1 + 0,10 »1 = 1;

Формула для итоговых значений эффективности разработанного метода аудита ИБ S2 имеет вид: W(S2) = 0,35 * SjCS2) + 0,25 * s2(S2) + 0,15 * s3(S2) + 0,15 * s4(S2) + 0,10 * s5(S2); W(S2) = 0,35 * 0,80 + 0,25 * 0,70 + 0,15 * 0,90 + 0,15 * 0,90 + 0,10 * 0,90 = 0,82;

Выводы: на основе вычислений и полученных результатов можно сделать вывод о том, что эффективность разработанного метода аудита ИБ W(S2) = 0,82. Это является достаточно высоким показателем эффективности и достоверности метода.

Достоинства разработанного метода: высокий коэффициент эффективности; сочетание количественной и качественной оценок; учитываются особенности организации; метод прост в понимании и использовании; позволяет без привлечения внешних специалистов и больших денежных затрат производить оценку уровня обеспечения ИБ; может использоваться на всех стадиях существования организации; учитывает соотношение ущерба, угроз, уровня ИБ, отношения к рискам и затрат на обеспечение ИБ.

Недостатки разработанного метода: нет оценки в денежном выражении ущерба и затрат на проведение аудита; сотрудники, проводящие аудит должны быть достаточно квалифицированными.

ЗАКЛЮЧЕНИЕ

В процессе диссертационного исследования была достигнута цель и решены все поставленные задачи. Была подтверждена актуальность исследования, степень разработанности темы исследования, теоретическая и практическая значимость работы. Содержание диссертации и положения, выносимые на защиту, отражают персональный вклад автора в работу.

В процессе выполнения диссертационной работы получены следующие основные результаты:

уточнено определение понятия «аудит информационной безопасности»;

сформулировано понятие и определено содержание риск-ориентированного подхода к аудиту информационной безопасности;

разработана модель оценки риска информационной безопасности;

разработан метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода; произведена оценка эффективности разработанного метода проведения аудита ИБ.

Диссертационное исследование имеет большие перспективы дальнейшей темы: на основе данного исследования можно создать экспертную систему различной направленности;

на основе данного исследования можно создать программное обеспечение для проведения экспресс-аудита и определения уровня обеспечения информационной безопасности организации, выявления рисков и угроз;

результаты и выводы, полученные в данном исследовании, могут использоваться для создания нормативно-правовых документов, для написания методических рекомендаций и учебных пособий.

По диссертационной работе можно сделать следующие выводы: аудит информационной безопасности является одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости ИБ организации;

риск-ориентированный подход является наиболее эффективным, качественным и точным, с помощью этого подхода можно получить ни только качественные, но и количественные результаты и оценки;

'разработанный метод проведения:аудита ИБ организаций на основе риск-ориентированного подхода имеет ряд неоспоримых достоинств, подтвержденных математическими расчетами.

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ АВТОРОМ ПО ТЕМЕ ДИССЕРТАЦИИ

1.Жигулин Г.П., Созинова E.H. Метод прогнозирования в области информационной безопасности / Г.П. Жигулин, E.H. Созинова // В мире научных открытий. - 2012. - №8.1. - С. 60-71.

2.Созинова E.H. Метод проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода / E.H. Созинова // В мире научных открытий.-2013. - №10.

3.Созинова E.H. Применение экспертных систем для анализа и оценки информационной безопасности / E.H. Созинова // Молодой ученый. - 2011. - №10. - С. 64-66.

4.Созинова E.H. Кибервойны — угроза XXI века / E.H. Созинова // Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур. Межвузовский сборник трудов П Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб : НИУ ИТМО. - 2011- С.114-116.

5.Серебров А.И., Созинова E.H. Высшее образование в области информационной безопасности /А.И. Серебров, E.H. Созинова // Материалы конференции: 4-я научно-практическая конференция «Информационная безопасность. Невский диалог-2012». — 2012. - С. 49-50.

6.Созинова E.H. Аудит, как способ обеспечения информационной безопасности организаций / E.H. Созинова // Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур. Межвузовский сборник трудов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб : НИУ ИТМО. - 2013. - С. 74-77.

7.Созинова E.H. Кибервойны — угроза 21 века / E.H. Созинова // Сборник тезисов докладов П Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. -2011.-Секция 1.

8.Созинова E.H. Модификация метода экспертных оценок / E.H. Созинова // Сборник тезисов докладов конгресса молодых ученых. - СПб: НИУ ИТМО.-2012. — Выпуск 1.-С. 137-138.

9.Созинова E.H. Аудит, как способ обеспечения информационной безопасности организаций / E.H. Созинова // Сборник тезисов докладов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. - 2012. - Секция 1.

Ю.Серебров А.И., Созинова E.H. Высшее образование в области информационной безопасности / А.И. Серебров, E.H. Созинова // Сборник тезисов докладов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. - 2012. - Секция 1. _ 11 .Созинова E.H. Универсальный метод оценки рисков в области информационной , . .......безопасности / E.H.. Созинова // Сборник„тезасов докладов конгресса молодых ученых, j.СПб:

..£НИУ ИТМО.-2013.-Выпуск 1.-С. 174-175.

Подписано в печать 25.10.13. Формат 60x90 V16 Печать цифровая. Бумага офсетная. Гарнитура «Тайме». Усл. печ. л. 2,0. Тираж 100 экз. Заказ № 88/14 Типография ООО "Рекорд" 197101, Санкт-Петербург, ул. Б.Монетная, д. 16, Тел.: 970-4997, e-mail: rekord.print@list.ru

Текст работы Созинова, Екатерина Николаевна, диссертация по теме Методы и системы защиты информации, информационная безопасность

Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего

профессионального образования «САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И

ОПТИКИ»

04201 450820

На правах рукописи

Созинова Екатерина Николаевна

Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода

Специальность № 05.13.19 - Методы и системы защиты информации,

информационная безопасность

ДИССЕРТАЦИЯ на соискание ученой степени кандидата технических наук

Научный руководитель: к.т.н., доцент Жигулин Георгий Петрович

Санкт-Петербург - 2013

ОГЛАВЛЕНИЕ

Введение ..........................................................................................................................5

Глава 1.Основы проведения аудита информационной безопасности организаций ............:.............................................................................................................................14

1.1.Аудит информационной безопасности организаций.......................................14

1.1.1 .Определение термина «аудит информационной безопасности»..............14

1.1.2.Цели аудита информационной безопасности..............................................16

1.1.3.Задачи аудита информационной безопасности...........................................17

1.2.Классификация аудита информационной безопасности.................................18

1.2.1.Типы аудита информационной безопасности ............................................18

1.2.2.Виды аудита информационной безопасности............................................19

1.2.3.Методы проведения аудита информационной безопасности...................26

1.3.Правовые и методологические основы аудита информационной безопасности ..............................................................................................................28

1.4.Выводы к главе 1..................................................................................................30

Глава 2.Обоснование теоретических и методологических аспектов обеспечения и проведения внутреннего аудита информационной безопасности...........................31

2.1.Анализ существующих направлений и методов аудита информационной

безопасности ..............................................................................................................31

2.2.Обоснование необходимости разработки нового метода проведения внутреннего аудита информационной безопасности ............................................36

2.3.Риск-ориентированный подход к проведению аудита информационной безопасности ..............................................................................................................38

2.4.Достоинства и недостатки методов оценки рисков информационной безопасности ..............................................................................................................42

2.5.Разработка концептуальной модели информационной безопасности...........46

2.5.1.Анализ рисков................................................................................................49

2.5.2.Ценные активы организации........................................................................51

2.5.3.Анализ уязвимостей ......................................................................................53

2.5.4.Модель угроз информационной безопасности организаций....................54

2.5.5 .Модель нарушителя ......................................................................................55

2.5.6.Ущерб от нарушения информационной безопасности .............................56

2.5.7.Оценка рисков информационной безопасности ........................................57

2.5.8.Мониторинг и оценка уровня обеспечения информационной

безопасности ...........................................................................................................59

2.6.Выводы к главе 2..................................................................................................60

Глава 3.Разработка метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного

подхода...........................................................................................................................62

3.1 .Алгоритм проведения внутреннего аудита информационной безопасности на

основе риск-ориентированного подхода.................................................................62

3.2.Подготовительный этап ......................................................................................62

3.2.¡.Инициирование проведения аудита информационной безопасности .....63

3.2.2.Планирование аудита информационной безопасности.............................64

3.2.3.Общее исследование организации...............................................................66

3 !3 .Исследовательский этап......................................................................................68

3.3.1.Исследование организации: информационные ресурсы, системы, потоки ...................................................................................................................................69

3.3.2.Исследование ценных активов организации ..............................................70

3.3.3.Исследование обеспечения информационной безопасности организации ...................................................................................................................................73

3.4.Оценочный этап...................................................................................................75

3.4.1.Анализ уязвимостей......................................................................................76

3.4.2.Модель нарушителя ......................................................................................78

3.4.3.Уровень исходной защищенности ценного актива ...................................79

3.4.4.Ущерб организации от нарушения информационной безопасности.......85

3.4.5.Угрозы информационной безопасности организации: анализ, оценка и модель угроз............................................................................................................91

3.4.6.Уровень риска информационной безопасности.........................................95

3.4.7.Модель оценки риска информационной безопасности.............................98

3.4.8. Определение уровня обеспечения информационной безопасности

организации...........................................................................................................100

3.5.Заключительный этап........................................................................................103

3.5.1.Разработка рекомендаций...........................................................................103

3.5.2.Составление аудиторского отчета.............................................................105

З.б.Выводы к главе 3................................................................................................108

Глава 4.Оценка и анализ эффективности применения разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности

организации на основе риск-ориентированного подхода ......................................110

4.1.Мод ель внутреннего аудита информационной безопасности на основе риск-

ориентированного подхода.....................................................................................110

4.2.Оценка эффективности разработанного метода обеспечения и проведения

внутреннего аудита информационной безопасности ..........................................114

4.2.1.Экспериментальная оценка эффективности разработанного метода

аудита.....................................................................................................................114

4.2.2.Сравнительная оценка эффективности разработанного метода аудита 119

4.3. Анализ разработанного метода проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода .....................................................................................................................124

4.3.1.Общие характеристики разработанного метода аудита информационной безопасности организаций...................................................................................124

4.3.2. Достоинства и недостатки разработанного метода аудита информационной безопасности организаций ...................................................125

4.3.3.Практическая и теоритическая применимость разработанного метода 126

4.4.Выводы к главе 4................................................................................................128

Заключение..................................................................................................................130

Список сокращений и условных обозначений ........................................................132

Список литературы.....................................................................................................133

ВВЕДЕНИЕ

Настоящая диссертационная работа посвящена разработке метода обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода.

Диссертационное исследование выполнено в рамках Паспорта специальности: 05.13.19 - Методы и системы защиты информации, информационная безопасность и соответствует пунктам 7, 9, 10, 14,15.

В настоящее время, в связи с массовым развитием информационных технологий, кардинально поменялась вся наша жизнь. Информация в нашей жизни стала играть очень важную и даже ключевую роль. Информационная сфера меняется гораздо быстрее, чем мы можем это осознать и проконтролировать. В нашу повседневную жизнь плотно вошли такие термины, как: информационные технологии, информационные ресурсы, информационная безопасность, информационный терроризм, информационная война, защита информации, информационные риски, угрозы информационной безопасности, аудит информационной безопасности и так далее. С одной стороны, эти термины кажутся нам очень знакомыми и понятными. С другой стороны, это термины, которые описывают совершенно для нас новую и еще не полностью изученную сферу - информационную.

До недавнего времени, изучением данной сферы занимались только специализированные государственные службы. Разработки и исследования были узконаправленными и велись под грифом «секретно» или с пометкой «только для служебного пользования». В настоящее время, в связи с массовым распространением информационных технологий, данная сфера стала интересна всем. Последние десятилетия резко увеличилось количество исследований в данном направлении. Исследованиями стали заниматься ни только государственные структуры, но и частные организации. Обеспечение информационной безопасности - является одной из самых важных задач любой организации. И сейчас, в период нарастающей информатизации, глобализации и жёсткой конкуренции, этот вопрос становится особенно «острым» и актуальным.

Любая организация при осуществлении своей деятельности подвержена различным информационным рискам, которые, так или иначе, влияют на специфику ведения бизнес-процессов и могут негативным образом повлиять как на финансовые показатели, так и на возможность организации продолжать бизнес. Современные требования бизнеса диктуют настоятельную необходимость использовать в своей работе обоснованные технико-экономические методы и средства, позволяющие количественно и качественно измерять уровень обеспечения информационной безопасности, а также оценивать экономическую эффективность затрат на информационную безопасность. Для того, чтобы гарантировать эффективное обеспечение информационной безопасности организаций, нужен серьёзный, систематизированный и комплексный подход. Немаловажную роль в этом подходе играет аудит информационной безопасности. Необходимо помнить, что несмотря на свою «новизну», аудит информационной безопасности - это основа эффективной защиты организации.

Несмотря на то, что проведение аудита информационной безопасности -это очень новое и до конца не исследованное направление, в настоящее время данная услуга становится все более востребованной на рынке услуг информационной сферы. Как показывает практика, и заказчики, и поставщики, очень часто, понимают суть этой услуги по-разному. Кроме того, в стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций.

Актуальность исследования. Основными факторами актуальности настоящей диссертационной работы являются:

1)В стране отсутствие единой системы взглядов на государственное регулирование процессов аудита информационной безопасности организаций. Федеральный закон "Об аудиторской деятельности" от 30.12.2008 N 307-Ф3, рассматривает аудит - только как независимую проверку бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. В нем нет ни слова про аудит информационной

безопасности. А существующие стандарты и методические рекомендации -узконаправленные [118, 119, 126, 134, 135, 139].

2)В сфере информационной безопасности не сформировалась единая и общепризнанная терминология. В настоящее время специалистами используется большое количество достаточно разных определений одних и тех же терминов. Соответственно, и термин аудит информационной безопасности понимается по-разному, в зависимости от контекста и области применения.

3)В настоящее время практически нет «свежих» учебных пособий. Основная масса используемой литературы является устаревшей, а качество издаваемой, практически, не контролируется. Этим объясняется путаница в классификации, видах, типах и способах аудита информационной безопасности. Без четкой и научно-обоснованной систематизации невозможно развивать это направление [110, 111].

4)Обеспечение информационной безопасности организаций - это очень важный, сложный и многоуровневый процесс. В обязательном порядке он должен быть комплексным и систематизированным. Очень важную роль в обеспечении информационной безопасности играет аудит ИБ. На данный момент, нет универсальных, общепринятых и утвержденных методов проведения аудита информационной безопасности организаций. Существующие разработки по проведению аудита информационной безопасности являются узконаправленными и «закрытыми» для общего пользования. Они предназначены для банковских организаций, государственных и стратегических объектов РФ [118, 119, 126].

5)Обеспечение информационной безопасности организаций напрямую зависит от уязвимостей, угроз и рисков ИБ. Поэтому необходимо рассматривать аудит ИБ с точки зрения риск-ориентированного подхода. Это достаточно новое и широко нераспространенное понятие. Оно существенно отличается от привычного словосочетания «риск-ориентированный аудит». Благодаря риск-ориентированному подходу, аудит ИБ может выйти на новый уровень и стать более эффективным инструментом обеспечения информационной безопасности организаций.

Степень разработанности темы исследования. Проблемы обеспечения информационной безопасности, оценки уровня обеспечения ИБ и аудита ИБ организаций - являются предметом исследования многих ученых мира. Различные аспекты информационной безопасности рассмотрены в трудах известных российских ученых: A.M. Астахов, H.H. Безруков, Я.В. Бузанова, А. С. Бузинов, A.B. Воронцовский, В.А. Галатенко, В.А. Герасименко, В.В. Домарев, Г.П. Жигулин, П.Д. Зегжда, A.M. Ивашко, А.И. Костогрызов, В.И. Курбатов, A.A. Молдовян, H.A. Молдовян, А.А.Малюк, С.А. Петренко, А. Ю. Щеглов, В.И. Ярочкин и другие.

Существуют различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления рисками. Эти методы и подходы нашли свое отражение в работах российских ученых: A.M. Астахов, П.А. Балашов, В.П. Буянов, A.A. Варфоломеев, A.B. Воронцовский, A.B. Дорожкин, Г.П. Жигулин, К.А. Кирсанов, В.И. Максимов, JI.A. Михайлов, B.C. Неженец, О.И. Никонов, О.В. Силютина, Б.А. Шиянов

Научных работ, посвященных исследованию теоретико-методологических основ аудита ИБ в отечественной литературе имеется незначительное количество. Например работы таких ученых, как: A.M. Астахов, Я.В. Бузанова, Н.Е. Васильева, В.Б. Голованов, Н. Данилкина, C.J1. Зефиров, А.П. Курило, А. А. Петренко, С. А. Петренко, М.Н. Черных, Г.А. Юдина, В.И. Ярочкин. Следует отметить, что существуют серьезные различия между позициями российских авторов при определении содержания аудита ИБ и методах его проведения. Теоретический и методологический подходы к аудиту информационной безопасности находятся в стадии становления, а методы обеспечения и проведения аудита информационной безопасности на основе риск-ориентированного подхода отсутствуют. Важность и актуальность проблемы, ее недостаточная теоретическая и практическая разработанность, применительно к

сфере информационной безопасности, послужили основанием для определения темы исследования.

Целью исследования является разработка, обоснование и оценка эффективности метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода.

Для достижение данной цели необходимо решить следующие задачи:

1)Сформулировать уточненное определение понятия «аудит ИБ».

2)Определить цели и задачи аудита ИБ, выделить методы проведения аудита ИБ.

3)Обозначить достоинства и недостатки существующих направлений и методов аудита ИБ.

4)Раскрыть содержание риск-ориентированного подхода к аудиту ИБ.

5)Разработать концептуальную модель информационной безопасности.

6)Разработать метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода.

7)Провести анализ и оценку эффективности разработанного метода аудита ИБ. Объектом исследования является аудит информационной безопасности. Предметом исследования является обеспечение и проведение внутреннего

аудита информационной безопасности на основе риск-ориентированного подхода.

Научная новизна исследования заключается в следующем: 1 )Сформулировано уточненное определение понятия «аудит информационной безопасности»;

2)Разработана концептуальная модель информационной безопасности организаций;

3)Раскрыто понятие и определено содержание риск-ориентированного подхода к ауд