автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика аудита информационной безопасности объектов электронной коммерции

кандидата технических наук
Ерохин, Сергей Сергеевич
город
Томск
год
2010
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Методика аудита информационной безопасности объектов электронной коммерции»

Автореферат диссертации по теме "Методика аудита информационной безопасности объектов электронной коммерции"

На правах рукописи

—-—:ТТЛ

Ь)О46032£'4

Ерохин Сергей Сергеевич

МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЭЛЕКТРОННОЙ КОММЕРЦИИ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

- 3 июн 2010

Томск 2010

004603224

Работа выполнена в Томском государственном университете систем управления и радиоэлектроники (ТУСУР) на кафедре Комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

Научный руководи- доктор технических наук, профессор тель: Шелупанов Александр Александрович

Томский государственный университет систем управления и радиоэлектроники

Официальные оппо- Доктор физико-математических наук, профессор ненты: Тимченко Сергей Викторович

Томский государственный университет систем управления и радиоэлектроники

Кандидат технических наук, Зырянова Татьяна Юрьевна

Уральский государственный университет путей сообщения

Ведущая организация: Государственное образовательное учреждение высшего профессионального обучения Алтайский государственный университет

Защита состоится «27» мая 2010г. в «_» часов на заседании диссертационного совета Д 212.268.03 Томского государственного университета систем управления и радиоэлектроники по адресу: 634034, г. Томск, пр. Ленина, 40, аудитория 203.

С диссертацией можно ознакомиться в библиотеке Томского государственного университета систем управления и радиоэлектроники по адресу: 634034, г. Томск, ул. Вершинина, 74.

Автореферат разослан «26» апреля 2010г.

Ученый секретарь диссертационного совета, г;.т.н. доцент

Р.В. Мещеряков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В течение последних лет информационная безопасность (ИБ) в жизни общества приобретает одну из важнейших ролей. Это связанно, с глобальной информатизацией практически всех сфер деятельности человека, одной из которых является сфера электронной коммерции. В настоящее время существует большое количество информационных систем (ИС) электронной коммерции (В2В, В2С, B2G), в которых обрабатывается конфиденциальная информация различного рода: финансовые транзакции, персональные данные, сведения о торгах.

К информационным системам электронной коммерции типа В2В и В2С относятся ИС банковского сектора, так же к системам типа В2С могут относиться интернет магазины, автомобильные аукционы. К системам B2G относятся электронные торговые площадки для нужд государственного сектора.

Требования к безопасности ИС банковского сектора регламентируются серией стандартов Банка России, требования к безопасности интернет магазинов и автомобильных аукционов не регламентируются. Требования к безопасности электронных торговых площадок регламентируются в части использования электронной цифровой подписи для обеспечения целостности и неотказуемости от передаваемой информации.

Наряду с функциями передачи информации в электронных торговых площадках существуют функции по хранению и обработки информации, а так же закрытых ключей шифрования пользователей и персональных данных, требования, к обеспечению которых не регламентируются, следовательно, защитные механизмы отсутствуют.

Таким образом, система защиты электронных торговых площадок должна включать в себя организационные мероприятия, программно-аппаратные и технические средства защиты, обеспечивающие надежный уровень безопасности обрабатываемых в ней данных.

В развитие темы обеспечения надежного уровня функционирования систем защиты информации внесли большой вклад такие ученые как B.Ä. Герасименко, О.Ю. Гаценко, П.Д. Зегжда, Д.П. Зегжда, Л.Г. Осовецкий, Джон Кэррол, Дэвид Кларк, Джон Миллен, A.A. Малюк, A.A. Грушо, И.И. Быстров, B.C. Заборовский, A.A. Шелупанов, С.П. Расторгуев, однако вопросы повышения надежности функционирования информационных систем в области электронной коммерции рассмотрены не достаточно глубоко.

Объектом исследования является комплексная система обеспечения информационной безопасности в объектах электронной коммерции.

Предметом исследования является аудит информационной безопасности, позволяющий оценить уровень защищенности информационной системы на основе прогнозных оценок.

Цель исследования состоит в разработке методики аудита информационной безопасности, позволяющей получить количественные прогнозные оценки уровня защищенности информационной системы на всем жизненном цикле ее функционирования в условиях воздействия субъективных и объективных дестабилизирующих факторов.

Для достижения поставленной цели необходимо решить ряд следующих задач:

1) провести процессный анализ организаций электронной коммерции как объекта защиты и выполнить анализ подходов аудита и оценки защищенности информационных систем в организациях электронной коммерции;

2) разработать методику проведения аудита информационной безопасности в организациях электронной коммерции;

3) создать методику прогнозирования инцидентов информационной безопасности, вызванных объективными и субъективными дестабилизирующими факторами;

4) сформулировать модель угроз и модель нарушителей для организаций электронной коммерции;

5) провести внедрение в организацию электронной коммерции, исследование разработанной методики и оценить ее эффективность.

В качестве основных методов для решения поставленных задач применялись методы системного анализа, теории вероятности и математической статистики, теории случайных процессов, методы экспертного оценивания.

Научная новизна работы заключается в следующем:

1) развита теория аудита информационной безопасности организаций электронной коммерции, позволяющая проводить оценку значимых угроз и прогнозировать инциденты информационной безопасности;

2) предложена методика оценки инцидентов информационной безопасности, учитывающая объективные и субъективные дестабилизирующие факторы;

3) предложена модель нарушителя информационной безопасности, которая характеризует три класса нарушителей: «имеющих доступ в доверенную зону и к автоматизированной системе», «имеющих доступ в доверенную зону, но не имеющих доступа к автоматизированной системе», «не имеющих доступ в доверенную зону».

Основные положения, выносимые на защиту:

1) методика аудита информационной безопасности позволяющая прогнозировать инциденты информационной безопасности в информационных системах организаций электронной коммерции;

2) методика оценки инцидентов информационной безопасности позволяющая получить значения субъективных и объективных дестабилизирующих факторов, воздействующих на информационную систему;

3) модель нарушителя информационной безопасности, которая характеризует три класса нарушителей с точки зрения легальных прав доступа в доверенную зону и к автоматизированной системе.

Практическая значимость результатов заключается:

1) в повышении надежности функционирования системы защиты информации на протяжении всего жизненного цикла информационной системы, путем снижения количества инцидентов нарушения информационной безопасности;

2) в снижении затрат на систему защиты информации, путем оценки значимых угроз и нарушителей информационной безопасности.

Внедрение результатов диссертационной работы. Методика проведения аудита ИБ внедрена в «Электронных торговых площадках» Администрации

Томской области (разработка ООО «Системы автоматизации бизнеса»), в «Научно-производственную фирму «Информационные системы безопасности».

Предложенная методика внедрена в учебный процесс Томского государственного университета систем управления и радиоэлектроники и используется при изучении дисциплин «Программно-аппаратные системы обеспечения информационной безопасности», «Комплексное обеспечение информационной безопасности автоматизированных систем».

Обоснованность и достоверность результатов. Обоснованы теоретические положения, базирующиеся на использовании апробированных методов исследования и корректном применении математического аппарата. Достоверность научных положений, методических разработок, рекомендаций и выводов подтверждается результатами математического моделирования и экспериментальных исследований статистических характеристик, разработанных методик, а также натурными экспериментами.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

— Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР» (Томск, 2007- 2009 ТУ СУР);

— Общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2007 Политехнический университет);

— 3-й научно-технической конференции «Актуальные проблемы безопасности информационных технологий» (Москва, 2007 Московский инженерно-физический институт);

— 5-й научно-практической конференции «Электронные средства и системы управления» (Томск, 2008, ТУСУР);

Всероссийской научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» (Томск, 2007, 2008, ТУСУР)

— IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск 2007-2010, ТУСУР).

Публикации по теме диссертации

По теме диссертационного исследования имеется 12 публикаций (из них четыре статьи в журналах, рекомендованных ВАК).

Структура и состав диссертации

Диссертация состоит из введения, четырех глав, заключения и списка используемых источников. Работа изложена на 128 страницах машинописного текста, содержит 15 рисунков, 6 таблиц и 70 приложений. Библиографический список состоит из 95 наименований и размещен на 9 страницах.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснованна актуальность темы исследования, поставлена цель и сформулированы задачи, описан объект и предмет исследования, указаны методы исследования, определена достоверность научных положений, сформулирована научная новизна и практическая значимость выносимых на защиту результатов.

В первой главе приведено описание объекта исследования, даются определения системы защиты информации и оценки защищенности с точки зрения российской и международной нормативно-методической базы.

Приводится исследование основных стандартов в области аудита и оценки защищенности ИС, в частности профили защиты информационных систем ФСТЭК России (Гостехкомиссии), ГОСТ Р ИСО/МЭК 15408-2002 4.1-3, BS 7799 Part 1-3, ISOUEC 17799:2005, BSI, CobiT, 4 Edition, 2007, ISOUEC 13335 4.1-5, ISOMEC 27001:2005,ISOUEC 27002:2005, NIST 800-30, Payment Card Industry Data Security Ständard.

По результатам анализа были сделаны выводы о том, что большинство стандартов отражают только требования к безопасности информационных систем и не описывают количественные подходы к решению вопросов аудита ИБ и оценки защищенности организаций. Российских стандартов регламентирующих деятельность по оценки защищенности организаций электронной коммерции не существует.

Рассмотрены и проанализированы часто применяемые инструментальные средства по оценки защищенности информационных систем, в том числе: «ГРИФ 2005», «АванГард», «RiskWatch», «CRAMM». На основании проведенного анализа были сделаны следующие выводы:

— в качестве параметров оценки защищенности используются либо требования стандартов, либо оценка и анализ рисков;

- инструментальные средства не учитывают нарушителей информационной безопасности и дают оценку в текущем временном интервале.

В результате проведенного анализа сформулированы основные требования к разрабатываемой методике аудита информационной безопасности в информационных системах организаций электронной коммерции.

Во второй главе проведен анализ, и обоснование необходимости использования процессного подхода для исследования ИБ организаций. Рассмотрено практическое применение процессного подхода с использованием моделей IDEF.

На основе процессного подхода построена обобщенная модель взаимосвязи деятельности по обеспечению ИБ и основной деятельности организации рис. 1.

Взаимная детализация каждой из рассматриваемых деятельностей организации (рис.1) позволяет определить основные элементы в основной деятельности организации. Контроль которых на основе методики аудита информационной безопасности обеспечит основу для оценки эффективности внедряемых организационных и технических мероприятий по защите информации.

Декомпозиция деятельности по обеспечению ИБ организации, проводится в контексте аудита ИБ для информационной системы, рис 2.

Деятельность организаций электронной коммерции по аудиту ИБ представлена, следующими этапами:

- идентификация и оценка параметров угроз ИБ; на этом этапе формируется перечень угроз ИБ, уязвимостей информационной системы и вероятности проявления угроз ИБ;

— оценка ценности ресурсов; на этом этапе определяется количественная стоимость каждого из ресурсов ИС организации;

- оценка защищенности; на этом этапе проводится оценка информационных рисков ИС;

— формирование итогового отчета; в отчете указываются требования к наличию документов по обеспечению безопасности, средствам защиты информации, требования к персоналу организаций электронной коммерции.

Законы Менеджмент МснсджмтгИБ(1рт,юацш< Ста,№р™ИБ

______________м.____________

Материальные

___потоки___|

Виды деятельности

Менеджмент организации Стандарты

Информсц. ия о срсд^

Обеспечение основной деятельности

Информация контроля И Б

/¡I Потребности организации в ИБ

Оборудование

Описание реализации ИБ

Цр| азагеди де

Реконфигурация механизмов ИБ

Обеспечение деятельности по ИБ (вспомогательной деятельности)

д-

1_.

Проекция

стельности.

Отчетность -----►

Документы И Средства ИБ ^ С игнал_опасносп^

Ресурсы Люди

Рисунок 1. Связи деятельности по информационной безопасности и основной деятельности организаций электронной коммерции

Законы Стандарты по ИБ

Рисунок 2. Связи деятельности по аудиту информационной безопасности ИС организаций электронной коммерции

В процессе аудита ИБ в качестве внешних воздействий определяются нормативно-методические документы (законы, стандарты по ИБ и другие нормативно-правовые акты).

Этап оценки защищенности в методике аудита ИБ организации представлен уровнем информационного риска, который не показывает состояние защищенности системы в промежутке времени, а только на настоящий момент времени.

В современных условиях все чаще необходимо предусмотреть дестабилизирующие воздействия на информационную систему и принимать своевременные и адекватные решения. При этом возникает необходимость в создании новой методики аудита ИБ, основанной на случайных процессах, которыми являются угрозы ИБ.

В качестве математического аппарата автором предлагается использовать теорию случайных процессов, которая включает в себя множество различных компонентов, из которых были выбраны Марковские цепи и процессы для решения задачи оценки защищенности ИС организаций электронной коммерции.

В заключительной части главы рассматриваются подходы и методы к экспертному оцениванию ряда вспомогательных задач аудита ИБ, которые имеют высокий уровень неопределенности и не могут быть решены без применения методов экспертного оценивания. Проведено исследование основных методов экспертного оценивания:

- метод лингвистических термов;

- метод формирования множества элементов оценивания;

- метод парных сравнений;

- метод количественной оценки на непрерывной шкале.

В третьей главе автором представлена методика проведения аудита ИБ в соответствие с которой уровень защищенности информационной системы оценивается прогнозными оценками инцидентов ИБ. В этой главе представлены основные этапы аудита ИБ с постановкой задачи каждого этапа, описание входных и выходных данных. Предложена модель угроз ИБ и модель нарушителей ИБ. Представлена методика прогнозирования инцидентов ИБ вызванных субъективными и объективными дестабилизирующими факторами.

Предлагается проводить аудит ИБ в соответствии со следующей методикой:

- описание объекта исследования;

- формирование модели нарушителя;

- формирования модели угроз;

- оценка значимых угроз;

- прогнозирование и оценка инцидентов по субъективным дестабилизирующим факторам;

- оценка инцидентов по объективным дестабилизирующим факторам;

- формирование требований по совершенствованию или созданию системы защиты информации.

Описание объекта исследования проводится с использованием стандарта В81 «Руководство по защите информационных технологий для базового уровня защищенности». На этапе описания определяется категория информации ограниченного доступа, тип объекта исследования (АРМ, локальная или распреде-

ленная система), структура объекта исследования (АРМ, сервера, коммуникационное и коммутационное оборудование) и т.д. Таким образом, определяем множество объектов информационной системы, формально представленных в виде ^ £ {5}, где Л1 — множество объектов информационной системы, ¡В]... п, а п — общее количество объектов. В общем виде этап описания объекта исследования представлен на рис. 3.

Рекомендации Рекомендации В51 ГОСТ

1_ | Категория информации

ограниченного доступа

Информация об объекте ^исследованияч

Режим обработки информации _ ограниченного доступа ^

Категория пользователей ОИ

Права доступа пользователей к информации ограниченного доступа

Структура ОИ Тип ОИ

, т г

Оборудование Рисунок 3. Схема описания объекта исследования

Информация, полученная в результате описания информационной системы, используется при формировании модели нарушителей. В качестве выходных данных получаются шаблоны нарушителей как объекта атаки. Каждый нарушитель характеризуется различными показателями, в том числе, целью атаки, объектом атаки, средствами атаки и т.д. В общем виде модель нарушителя представлена на рис. 4.

Рекомендации Рекомендации Рекомендации ФСТЭК России ФСБ России ГОСТ

Категория информации _ ограниченного доступа^ Режим обработки информации ограниченного доступа Категория

____пользователей ОИ ,

Структура ОИ ^ТшГоИ " | Права доступа пользователей к информации ограниченного доступа

Нарушитель

(субъект атаки') ^

Объект атаки

Цель атаки

Формирование модель нарушителя Информация об

объекте атаки

Средства атаки

т

Люди

Оборудование

Рисунок 4. Модель нарушителя

На основе модели нарушителей для организаций электронной коммерции можно выделить три основных класса нарушителей информационной безопасности:

В - внутренние нарушители, имеющие право доступа в контролируемую зону и к ИС организации (сотрудники);

Я - внутренние нарушители, имеющие право доступа в контролируемую зону, но не имеющие доступа к ИС организации (партнеры, клиенты);

О, - внешние нарушители, не имеющие права физического доступа в контролируемую зону и к ИС организации (хакеры, криминальные структуры).

На этапе формирования модели угроз на вход поступают данные из модели нарушителей, а на выходе формируются деструктивные воздействия по каждому объекту для каждого нарушителя. Из всех возможных деструктивных действий образуется множество угроз ИБ - [X]. В общем виде модель угроз представлена на рис. 5.

Рекомендации Рекомендации Рекомендации ФСТЭК России ФСБ России Нарушитель I | (субъект атаки) ----

Объект атаки

Цель атак«

Информация об объекте атаки

Средства атаки

Способ реализации _угрозы

Структура объекта исследования

Права доступа пользователей к информации ограниченного доступа

Деструктивное действие по каждому объекту, для каждого нарушителя

т

Люди

Рисунок 5. Модель угроз

На этапе оценки значимых угроз определяется:

- вероятность реализации угроз;

- степень влияния угроз.

Вероятность реализации угроз безопасности Рх, с областью определения Р = [0,1] и множеством базовых значений Тр = {очень низкая, низкая, средняя, высокая, очень высокая}= [аХу (*х2 >аХу аХ4> ах5}> определяется на основе экспертных оценок с учетом коэффициента компетентности каждого эксперта и оценки согласованности мнений экспертов (коэффициент конкордации).

Степень влияния угроз информационной безопасности оценивается экспертов с областью определения Ь = [0,1] и множеством базовых значений 7) = {легкое влияние, умеренное влияние, тяжелое влияние, критическое влияние, разрушительное влияние} = ау2, аУу ау4, Ду3}.

Степень значимости угрозы информационной безопасности в стратегии обеспечения информационной безопасности Рх с областью определения

^ = [0,1] и множеством базовых значений Тр - {несущественное, малое, сред-

нее, большое, разрушительное}= [ауу аУг ауъ ,ауА, ау5}, оценивается в соответствии с системой нечетких высказываний Ь1.

Ь^:<ЕСЛИ Е„ИЛИ Е12ИЛИ Е13ИЛИ Е2,ИЛИ Е22ИЛИ Е31ТО Рх. есть ау,>;

Ц'^ЕСЛИ Ем ИЛИ Е23 ИЛИ Е32 ИЛИ Е41 ТО Рх. есть аУ2>;

Ь(3°:<ЕСЛИ Е,5 ИЛИ Е24 ИЛИ Е33 ИЛИ Е42 ИЛИ Е51ТО есть аУз>;

Ь^ЕСЛИ Е25 ИЛИ Е34 ИЛИ Е43 ИЛИ Е52 ТО Р^ есть ау,>;

< ЕСЛИ Е35 ИЛИ Е45 ИЛИ Е55 ИЛИ Е44 ИЛИ Е54ИЛИ Е53 ТО Рх. есть аУз >.

где Ец — высказывания вида: <РХ есть ахи есть <Я;-,>.

Таким образом, определяем:

- множество значимых угроз, которые может реализовать нарушитель в информационной системе Хц Е{А1}, где / £ 1 ...к] £ 1 ...т, а т — общее количество угроз информационной безопасности и к - общее количество нарушителей информационной безопасности;

- множество значимых угроз информационной безопасности для каждого из объектов информационной системы х^. £{Х} и для каждого из нарушителей

- множество значимых угроз информационной безопасности для каждого объекта информационной системы и для каждого нарушителя, относящихся к классам:

- конфиденциальности [К] - кр.,к. с {А};

- целостности {С} - с,х ,с б7 {С} с:{Х};

1

- доступности {Д} - с1р.,с1 в {£)} с{ X}.

' У-5)

Полученные данные в результате этапа оценки значимых угроз используются на следующем этапе - прогнозирования и оценки количества инцидентов по субъективным дестабилизирующим факторам, который предлагается проводить по следующей методике:

- построение ориентированного графа;

- построение матрицы переходных вероятностей;

- формирование вектора интенсивности реализации угроз;

- формирование вектора начального состояния системы;

- осуществляется детерминированное моделирование цепи Маркова;

- проводится имитационное моделирование протокола Марковского процесса;

- осуществляется имитационное моделирование Марковского процесса;

- обрабатываются полученные результаты.

Одним из ключевых моментов методики прогнозирования является имитационное моделирования цепи Маркова. На первом шаге имитационного моделирования вырабатывается равномерное распределение в интервале (0;1) случайное число Я и определяется начальное состояние процесса Маркова Х0, на

нулевом шаге, то есть в момент времени 1 = 0:

Хд =отйф'=0,1,2,...,г— 1;+... Полагаем к = Х0. Вырабатывается

случайная величина IV, имеющая экспоненциальное распределение с параметром Л(. Полагаем Т0=Ш, где Т=(Т0,ТЬ...,Т„) — моменты скачков процесса.

На следующем шаге / = 1,2,...,п вырабатывается равномерное распределение в интервале (0;1) случайное число К и определяется начальное состояние процесса Маркова X,на /-ом шаге, то есть в момент времени I:

ЛГ/=да'я|/=0,1,2,...,/— 1:Д<р!0+/7(1+...+/7^.|. Полагаем к = Х{. Вырабатывается случайная величина IV, имеющая экспоненциальное распределение с ром А;. Полагаем 7} = 7/._, + IV. Переходим к шагу / + 1.

На выходе имитационного моделирования процесса Маркова получается матрица, строки которой соответствуют количеству моделирования Марковского процесса, а столбцы - моменту времени t. На их пересечении стоит номер состояния системы в момент времени.

В заключительной части главы предлагается подход оценки количества инцидентов по объективным дестабилизирующим факторам. Предложенный подход заключается в выполнении следующих этапов:

- формируется перечень объектов исследования;

- формируется перечень технических элементов, входящих в состав каждого объекта исследования;

- делается оценка среднего времени наработки на отказ каждого технического элемента системы Тср;

Четвертая глава посвящена практическим вопросам исследования предложенной методики аудита ИБ на примере ИС «Электронные торговые площадки» Администрации Томской области. Представлены результаты эксперимента, которые доказывают адекватность и достоверность моделируемых процессов по ИБ к реально существующим в ИС, а так же приведен и рассчитан коэффициент эффективности предлагаемого подхода.

Описание объекта представлено на рис. 6 в виде топологии ИС.

И нт'*?';;</т

С

!!ь€Г

ЛЩМ \>гту

Адяиа^р-ршщш

| / Дгжмш !и-?аря.гшг.шшш шил

1! йЭ

\ § тт

1

сщфщ-з

N

„ „ , ! . . Ч1® ■

Ш;

АР« лт АРМ АРМ | Сч»<?р Сервер 6Д

Рисунок 6. Топология объекта исследования

Значимые угрозы ИБ для каждого объекта для нарушителя категории В1 представлены в таблице 1.

Таблица 1 - Вероятность реализации значимых угроз ИБ и вероятность восстановления после реализации угроз ИБ

Объект Угрозы ИБ Вер-ть реализ. Вер-ть восстан. Нормированная вер-ть реализ.

Сервер обработки Изменение информации 0,864 0,519 0,100

Копирование информации 0.864 0,476 0,100

Удаление информации 0,631 0,152 0,073

Разглашение защищаемой информации путем передачи носителей информации, лицам не имеющих права доступа 0,864 0,495 0,100

Сервер БД Копирование информации 0,950 0,486 0,110

Доступ к информации, путем нарушения функционирования 0,181 0,576 0,021

Ошибки пользователей при эксплуатации программных средств 0,631 0,914 0,073

Сервер приложений Копирование информации 0,631 0,386 0,073

АРМ Оператора Копирование информации 0,864 0,567 0,100

Ошибки оператора при эксплуатации 0,864 0,914 0,100

Ошибки оператора при эксплуатации программных средств 0,864 0,914 0,100

Ни одна угроза ни проявится 0,451 0,052

Результаты прогнозирования и оценки инцидентов по субъективным дестабилизирующим факторам представлены на рис. 7.

Сплошной линией показаны данные полученные при моделировании, пунктирной - статистически накопленные данные в течение одного месяца работы объекта исследования.

Из полученных результатов можно сделать вывод, что система является не устойчивой и, следовательно, слабо защищенной. Особое внимание необходимо обратить внимание на состояния №2, 9, 10, которые характеризуются угрозой несанкционированного копирования информации и ошибками оператора при работе с АРМ.

Аналогичное моделирование было проведено для всех классов нарушителей по статистически полученным инцидентам ИБ и оценкам экспертов.

(1,14 | | 0.12 | I ОД

а в ¡цш

О й 0,02

Номер состояния и

—»—Среднее количество инцидентов в системе (моделируемые данные) ■« Среднее количество инцидентов в системе (реальные данные)

Рисунок 7. Результаты оценки инцидентов по субъективным дестабилизирующим факторам для «Электронных торговых площадок»

Оценка инцидентов ИС «Электронные торговые площадки» по объективным угрозам ИБ (отказ технических средств), проводится с помощью показателя надежности систем — среднее время наработки на отказ. Результаты работы методики представлены на рис. 8.

с.

се X я

11 (С I

з :

Маршрутизатор \г р —

0.045 |

0.04 | !

0.035 (

0.03 I

9 13 17 21 25 29 33 37 Номер 'Клемента технического средства

Рисунок 8. Среднее время наработки на отказ компонентов «Электронной торговой площадки»

Из полученных результатов видно, что наименее надежными элементами, являются видео карты и блоки питания компьютеров. В заключительной части главы оценивается эффект работы предложенной методики аудита ИБ и эффективность по сравнению с методикой оценки защищенности «АванГард».

Оценка эффективности проводилась по следующей методике:

- оценивался риск ИБ для двух одинаковы объектов из одной подсети (АРМ №1, №2 Оператора) по предлагаемой методике и методике «АванГард» (рис. 9);

- приемлемый уровень риска для АРМ Оператора установлен в размере 30000р.

- оценивались затраты на систему защиты информации для АРМ №1 Оператора в соответствии с рекомендациями, полученными по предлагаемой методике и на систему защиты информации для АРМ №2 по методике «АванГард» (рис. 10).

Система защиты по методике «АванГард» включает в себя генератор шума, антивирусное средство, система защиты от НСД с электронным замком и проведение специальной проверки на предмет выявления закладных устройств в компонентах ГТК (приблизительная стоимость СЗИ составляет 110 000 руб.). Система защиты по предлагаемой методике включает в себя организационно распорядительные документы по обеспечению безопасности (политики, регламенты, инструкции), антивирусное средство, электронный замок и проведение специального исследования на предмет выявления возможности утечки информации по каналу ПЭМИН (приблизительная стоимость СЗИ составляет 60 000 руб.).

- внедрялась система защиты информации для АРМ №1 Оператора и система защиты информации для АРМ №2 Оператора;

- оценивался остаточный риск информационной безопасности для каждого из АРМ Оператора по предлагаемой методике и методике «АванГард» (рис. 11).

По результатам оценки эффективности методики аудита ИБ можно сделать вывод о том, что при одинаковом уровне риска и остаточного риска информационной безопасности затраты на создание системы защиты информации в соответствии с рекомендациями предлагаемой методики ниже в 1,8 раза по сравнению с затратами предлагаемыми по рекомендациям методики «АванГард».

Оценка эффекта работы модели оценивается по статистически накопленным инцидентам по субъективным и объективным дестабилизирующим факторам до внедрения методики аудита ИБ и после внедрения методики аудита.

Полученные результаты представлены в виде сводного графика на рис. 12.

400000

□ Риск информационной безопасности (Методика

"АванГард") И Риск информационной безопасности (Предлагаемая методика)

Рисунок 9. Результаты сравнения риска информационной безопасности

а. ^

я

120000 100000 80000 60000 40000 20000 0

П Затраты на снижения риска информационной

безопасности (Методика "АванГард") * Затраты на снижения риска информационной безопасности (Предлагаемая методика)

35000 30000 25000 20000 15000 10000 5000 0

□ Остаточный риск информационной безопасности

(Методика "АванГард") й Остаточный риск информационной безопасности (Предлагаемая методика)

Рисунок 10. Результаты сравнения затрат на создание системы защиты информации

6

Рисунок 11. Результаты сравнения остаточного риска информационной безопасности

я

0

аг

1 ,

|1

1 3

I ( 9 И

13 15 17 19 21 23 25 27 29 31 33 35 Номер угрозы ИБ

■ Количество инцидентов до внедрения методики аудита ИВ : ' Количество инцидентов после внедрения методики аудита ИБ Рисунок 12. Сравнительная диаграмма количества инцидентов в ИС «Электронные торговые площадки»

Эффект работы методики рассчитывается по формуле:

1Л/ = — * 100%, где п

п - количество инцидентов до внедрения методики аудита ИБ; щ — количество инцидентов после внедрения методики аудита ИБ. Таким образом, общая эффективность от работы методики составляет:

7 А

IV = — * 100% :

66

36<

В заключение работы приводятся основные результаты и подводятся итоги диссертационного исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

- проведен процессный анализ существующей модели организации электронной коммерции как объекта защиты;

- осуществлен анализ и исследование российской и международной нормативно-методической базы по информационной безопасности; по результатам анализа были сделаны выводы о том, что большинство стандартов отражают только требования к безопасности информационных систем и не дают количественные подходы к решению вопросов аудита информационной безопасности и оценки инцидентов безопасности;

- проведен анализ и исследование существующих практических подходов к аудиту информационной безопасности информационных систем; на основании проведенного анализа были сделаны следующие выводы: в качестве параметров оценки защищенности используются либо требования стандартов, либо оценка и анализ рисков; инструментальные средства не учитывают нарушителей информационной безопасности и дают оценку в текущий момент времени;

- разработана методика проведения аудита ИБ информационных систем на основе прогнозирования и оценки инцидентов ИБ по субъективным и объективным дестабилизирующим факторам;

- создана модель угроз и модель нарушителей информационной безопасности, которая учитывает внутренних (персонал), внутренних (партнеры, клиенты) и внешних нарушителей информационной безопасности, а так же построена таблица позиционирования угроз и нарушителей информационной безопасности;

- предложен подход к оценке значимых угроз информационной безопасности путем расширения параметров оценки в методе стратегического анализа SWOT;

- показана эффективность работы предлагаемой методики аудита ИБ.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ:

В журналах, рекомендованных ВАК:

1. Ерохин С.С. Оценка эффективности контрмер угрозам информационной безопасности с использованием скрытых Марковских процессов. Доклады ТУСУР, 4.1, №2 2008г. 123-124с.

2. Ерохин С.С., Шелупанов A.A., Мицель A.A. Модель стратегического анализа информационной безопасности. Доклады ТУСУР, №2 2007г. 34-41с.

3. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Модели и методы оценки защищенности информации и информационной безопасности объекта. Безопасность информационных технологий. Министерство образования и науки РФ. Московский инженерно-физический институт. №4 2007г. 39-46с.

4. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Оценка защищенности информационных систем электронной коммерции. Информация и безопасность. Воронежский государственный технический университет, №2, т.12, 2009г., 195-206С.

В других изданиях:

5. Ерохин С.С. Идентификация угроз информационной безопасности для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. -148-151с.

6. Ерохин С.С. Метод оценки рисков основанный на построении модели угроз и уязвимости. Научная сессия ТУСУР - 2006: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4-7 мая 2006г. 43. - 2с.

7. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. - 144-147с.

8. Ерохин С.С. Оценка защищенности объектов информатизации электронной коммерции. Научная сессия ТУСУР - 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. - 147-148с.

9. Ерохин С.С. Оценка эффективности контрмер угрозам информационной безопасности с использованием скрытых Марковских процессов. Методы и технические средства обеспечения безопасности информации. Материалы XVI Общероссийской научно-технической конференции. СПб.: Изд-во политехи, ун-та 2007. 6с.

10. Ерохин С.С., Голубев C.B. Основные этапы оценки защищенности объектов информационных систем. Электронные средства и системы управления. Материалы пятой молодежной научно-практической конференции. — Томск: В-Спектр, 2009г. 51-53с.

11. Ерохин С.С., Голубев C.B. Международные стандарты в области аудита информационной безопасности: история создания, текущее состояние и проблемы. Научная сессия ТУСУР - 2007: Материалы докладов Всероссийской научно—технической конференции студентов, аспирантов и молодых ученных, Томск 4-7 мая 2007г. 42. - 117-119с.

12. Ерохин С.С. Голубев C.B. Оценка защищенности информационных систем с использованием скрытых Марковских процессов. Научная сессия ТУСУР - 2007: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4—7 мая 2007г. 42. -133-137с.

Тираж 100. Заказ № 424. Томский государственный университет систем управления и радиоэлектроники 634050, г. Томск, пр. Ленина, 40. Тел.: 53-30-18.

Оглавление автор диссертации — кандидата технических наук Ерохин, Сергей Сергеевич

Введение.

1. Система защиты информации и методики оценки защищенности информационных систем.

1.1. Система защиты информации.

1.2. Оценка защищенности в соответствии с зарубежными стандартами.

1.2.1. Стандарт NIST 800-30.

1.2.2. Стандарт Cobit 4 Edition.

1.2.3. Стандарт BS ISO 27002.

1.3. Оценка защищенности в соответствии с российскими стандартами.

1.3.1. Стандарт ГОСТ Р ИСО\МЭК ТО 13335-3.

1.3.2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования к защите.

1.3.3. Профили защиты.

1.4. Инструментальные средства оценки защищенности.

1.4.1. ГРИФ 2005 из состава Digital Security Office.

1.4.2. Экспертная система «АванГард».

1.4.3. RiskWatch.

1.4.4. Метод CRAMM.

1.5. Обоснование цели и задач исследования.

1.6. Основные результаты главы 1.

2. Исследование безопасности информационных систем электронных коммерции.

2.1. Процессный подход при исследовании безопасности.

2.2. Модели безопасности информационных систем электронной коммерции

2.2.1. Модель «Бизнес - потребитель»

2.2.2. Модель «Бизнес - бизнес».

2.2.3. Модель «Бизнес — государство».

2.3. Математический аппарат для оценки защищенности организаций электронной коммерции.

2.3.1. Марковские цепи.

2.3.2. Марковский процесс.

2.4. Методы экспертного оценивания для решения вспомогательных задач оценки защищенности.

2.4.1. Постановка задач экспертного оценивания.

2.4.2. Основы методов экспертного оценивания.

2.4.3. Метод лингвистических термов.

2.4.4. Метод формирования множества элементов оценивания.

2.4.5. Метод парных сравнений.

2.4.6. Метод количественной оценки на непрерывной шкале.

2.5. Основные результаты главы 2.

3. Оценка защищенности с использованием Марковских процессов.

3.1. Описание объекта исследования.

3.2. Идентификация угроз информационной безопасности.

3.2.1. Методика идентификации угроз информационной безопасности.

3.2.2. Прогнозирование и оценка инцидентов по субъективным и объективным дестабилизирующим факторам.

3.3. Основные результаты главы 3.

4. Исследование методики аудита информационной безопасности в автоматизированной информационной системе «Электронные торговые площадки».

4.1. Описание автоматизированной информационной системы «Электронные торговые площадки».

4.1.1. Функциональные требования.

4.1.2. Цель и задачи.

4.1.3. Архитектура подсистемы информационной безопасности.

4.1.4. Объекты автоматизированной информационной системы.

4.1.5. Технические характеристики объектов.

4.1.6. Перечень конфиденциальной информации.

4.2. Идентификация угроз информационной безопасности.

4.2.1. Оценка количества инцидентов информационной безопасности.

4.2.2. Оценка степени влияния угроз.

4.2.3. Оценка вероятности восстановления автоматизированной информационной системы после реализации угроз.

4.2.4. Оценка степени значимости угроз.

4.3. Исследование методики аудита информационной безопасности в автоматизированной информационной системе «Электронные торговые площадки» по одной базовой угрозе информационной безопасности.

4.3.1. Графа автоматизированной информационной системы.

4.3.2. Формальное описание состояний графа.

4.3.3. Матрица переходных вероятностей.

4.3.4. Планирование эксперимента.

4.3.5. Исходные данные для моделирования.

4.4. Исследование методики аудита информационной безопасности в информационной системе по трем базовым угрозам (конфиденциальность, целостность, доступность).

4.4.1. Графа автоматизированной информационной системы.

4.4.2. Формальное описание состояний графа.

4.4.3. Матрица переходных вероятностей.

4.4.4. Исходные данные для моделирования.

4.5. Исследование методики аудита информационной безопасности в информационной системе по всем угрозам.

4.5.1. Граф автоматизированной информационной системы.

4.5.2. Формальное описание состояний графа.

4.5.3. Матрица переходных вероятностей.

4.5.4. Исходные данные для моделирования.

4.6. Исследование методики аудита информационной безопасности в информационной системе по всем угрозам информационной безопасности для классов нарушителей.

4.6.1. Исследование по экспертным оценкам нарушитель В1.

4.6.2. Исследование по экспертным оценкам нарушитель В2.

4.6.3. Исследование по экспертным оценкам нарушитель ВЗ.

4.6.4. Исследование по экспертным оценкам нарушитель Q1.

4.6.5. Исследование по экспертным оценкам нарушитель Q2.

4.6.6. Исследование по экспертным оценкам нарушитель Q3.

4.6.7. Исследование по статистическим данным нарушитель В1.

4.6.8. Исследование по статистическим данным ВЗ.

4.6.9. Исследование по статистическим данным Q1.

4.6.10. Исследование по статистическим данным Q2.

4.6.11. Исследование по статистическим данным Q3.

4.7. Оценка инцидентов информационной безопасности по объективным факторам, воздействующим на информацию.

4.8. Рекомендации по увеличению уровня защищенности.

4.8.1. Рекомендации по увеличению уровня защищенности для нарушителя В1.

4.8.2. Рекомендации по увеличению уровня защищенности для нарушителя В2.

4.8.3. Рекомендации по увеличению уровня защищенности для нарушителя ВЗ.

4.8.4. Рекомендации по увеличению уровня защищенности для нарушителя Q1.

4.8.5. Рекомендации по увеличению уровня защищенности для нарушителя Q2.

4.8.6. Рекомендации по увеличению уровня защищенности для нарушителя Q3.

4.9. Оценка эффекта работы методики.

4.10. Основные результаты главы 4.

Введение 2010 год, диссертация по информатике, вычислительной технике и управлению, Ерохин, Сергей Сергеевич

Актуальность темы. В течение последних лет информационная безопасность (ИБ) в жизни общества приобретает одну из важнейших ролей, что связанно, в первую очередь, с глобальной информатизацией практически всех сфер деятельности человека, одной из которых является сфера электронной коммерции. В настоящее время существует большое количество информационных систем (ИС) электронной коммерции (В2В, В2С, B2G), в которых обрабатывается конфиденциальная информация различного рода: финансовые транзакции, персональные данные, сведения о торгах.

К ИС электронной коммерции типа В2В и В2С относятся ИС банковского сектора, так же к системам типа В2С могут относиться интернет магазины, автомобильные аукционы. К системам B2G относятся электронные торговые площадки для нужд государственного сектора.

Требования к безопасности ИС банковского сектора регламентируются серией стандартов Банка России, требования к безопасности интернет магазинов и автомобильных аукционов не регламентируются. Требования к безопасности электронных торговых площадок регламентируются в части использования электронной цифровой подписи для обеспечения целостности и неотказуемости от передаваемой информации.

Наряду с функциями передачи информации в электронных торговых площадках существуют функции по хранению и обработки информации, а так же закрытых ключей шифрования пользователей и персональных данных, требования, к обеспечению которых не регламентируются, следовательно, защитные механизмы отсутствуют.

Таким образом, система защиты электронных торговых площадок должна включать в себя организационные мероприятия, программноаппаратные и технические средства защиты, а так же обеспечивать надежный уровень безопасности обрабатываемых в ней данных.

В развитие темы обеспечения надежного уровня функционирования систем защиты информации внесли большой вклад такие ученые как

B.А. Герасименко, О.Ю. Гаценко, П.Д. Зегжда, Д-П. Зегжда, Л.Г. Осовецкий, Джон Кэррол, Дэвид Кларк, Джон Миллен, A.A. Малюк, A.A. Грушо, И.И. Быстров, B.C. Заборовский, A.A. Шелупанов,

C.П. Расторгуев, однако вопросы повышения надежности функционирования информационных систем в области электронной коммерции рассмотрены не достаточно глубоко.

Объектом исследования является комплексная система обеспечения информационной безопасности в объектах электронной коммерции.

Предметом исследования является аудит информационной безопасности, позволяющий оценить уровень защищенности информационной системы на основе прогнозных оценок.

Цель исследования состоит в разработке методики аудита информационной безопасности, позволяющей получить количественные прогнозные оценки уровня защищенности информационной системы на всем жизненном цикле ее функционирования в условиях воздействия субъективных и объективных дестабилизирующих факторов.

Для достижения поставленной цели необходимо решить ряд следующих задач:

1) провести процессный анализ организаций электронной коммерции как объекта защиты и выполнить анализ подходов аудита и оценки защищенности информационных систем в организациях электронной коммерции;

2) разработать методику проведения аудита информационной безопасности в организациях электронной коммерции;

3) создать методику прогнозирования инцидентов информационной безопасности, вызванных объективными и субъективными дестабилизирующими факторами;

4) сформулировать модель угроз и модель нарушителей для организаций электронной коммерции;

5) провести внедрение в организацию электронной коммерции, исследование разработанной методики и оценить ее эффективность.

В качестве основных методов для решения поставленных задач применялись методы системного анализа, теории вероятности и математической статистики, теории случайных процессов, методы экспертного оценивания.

Научная новизна работы заключается в следующем:

1) развита теория аудита информационной безопасности организаций электронной коммерции, позволяющая проводить оценку значимых угроз и прогнозировать инциденты информационной безопасности;

2) предложена методика оценки инцидентов информационной безопасности, учитывающая объективные и субъективные дестабилизирующие факторы;

3) предложена модель нарушителя информационной безопасности, которая характеризует три класса нарушителей: «имеющих доступ в доверенную зону и к автоматизированной системе», «имеющих доступ в доверенную зону, но не имеющих доступа к автоматизированной системе», «не имеющих доступ в доверенную зону».

Основные положения, выносимые на защиту:

1) методика аудита информационной безопасности позволяющая прогнозировать инциденты информационной безопасности в информационных системах организаций электронной коммерции;

2) методика оценки инцидентов информационной безопасности позволяющая получить значения субъективных и объективных дестабилизирующих факторов, воздействующих на информационную систему;

3) модель нарушителя информационной безопасности, которая характеризует три класса нарушителей с точки зрения легальных прав доступа в доверенную зону и к автоматизированной системе.

Практическая значимость результатов заключается:

1) в повышении надежности функционирования системы защиты информации на протяжении всего жизненного цикла информационной системы, путем снижения количества инцидентов нарушения информационной безопасности;

2) в снижении затрат на систему защиты информации, путем оценки значимых угроз и нарушителей информационной безопасности.

Внедрение результатов диссертационной работы. Методика проведения аудита ИБ внедрена в «Электронных торговых площадках» Администрации Томской области (разработка ООО «Системы автоматизации бизнеса»), в «Научно-производственную фирму «Информационные системы безопасности».

Предложенная методика внедрена в учебный процесс Томского государственного университета систем управления и радиоэлектроники и используется при изучении дисциплин «Программно-аппаратные системы обеспечения информационной безопасности», «Комплексное обеспечение информационной безопасности автоматизированных систем».

Обоснованность и достоверность результатов. Обоснованы теоретические положения, базирующиеся на использовании апробированных методов исследования и корректном применении математического аппарата. Достоверность научных положений, методических разработок, рекомендаций и выводов подтверждается результатами математического моделирования и экспериментальных исследований статистических характеристик, разработанных методик, а также натурными экспериментами.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

- Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУ СУР» (Томск, 20072009 ТУСУР);

- Общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2007 Политехнический университет);

- 3-й научно-технической конференции «Актуальные проблемы безопасности информационных технологий» (Москва, 2007 Московский инженерно-физический институт);

- 5-й научно-практической конференции «Электронные средства и системы управления» (Томск, 2008, ТУСУР);

- Всероссийской научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» (Томск, 2007, 2008, ТУСУР)

- IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск 2007-2010, ТУСУР).

Публикации по теме диссертации

По теме диссертационного исследования имеется 12 публикаций (из них четыре статьи в журналах, рекомендованных ВАК).

Диссертация состоит из введения, четырех глав, заключения, списка используемых источников и 70 приложений. В первой главе приведено описание объекта исследования, даются определения системы защиты информации и оценки защищенности с точки зрения российской и

Заключение диссертация на тему "Методика аудита информационной безопасности объектов электронной коммерции"

4.10. Основные результаты главы 4

Глава 4 посвящена исследованию предложенной методики аудита и оценки защищенности на примере АИС «Электронные торговые площадки». В данной главе представлены следующие результаты: исследования методики оценки защищенности АИС «Электронные торговые площадки» для субъективных дестабилизирующих факторов, в соответствии с моделью угроз и моделью нарушителей;

- исследованию методики оценки защищенности АИС «Электронные торговые площадки» для объективных дестабилизирующих факторов.

На основе практических экспериментов доказано, что моделируемые процессы по информационной безопасности, адекватны реально протекающим процессам информационной безопасности. Анализ полученных экспериментальных данных сравнивался со статистическими данными представленными администратором безопасности АИС «Электронные торговые площадки».

Приведено доказательство того, что количество экспертов принимаемых участие в оценки вероятности реализации угроз информационной безопасности является достаточным для получения объективных оценок, так как мнения экспертов являются согласованными (коэффициент конкордации W = 0,87) и коэффициент согласованности является значимым (j? = 180,71 > Хкрип?) •

Даны рекомендации по увеличению уровня защищенности АИС «Электронные торговые площадки» в соответствии с российскими и международными стандартами в области информационной безопасности.

Представлен расчет эффекта разработанной модели после ее внедрения в АИС «Электронные торговые площадки», которая выражается отношением количества инцидентов до внедрения модели и количеством инцидентов после внедрения модели.

Заключение

Главным результатом диссертационного исследования стало решение проблемы повышение надежности системы защиты информации АИС организаций электронной коммерции. В ходе диссертационного исследования были получены следующие результаты.

Проведен анализ существующих стандартов в области информационной безопасности по проведению аудита информационной безопасности и оценки защищенности информационных систем. По результатам анализа были сделаны выводы о том, что большинство стандартов отражают только требования к безопасности информационных систем и не описывают количественные подходы к решению вопросов аудита информационной безопасности и оценки защищенности организаций. А так же не существует стандартов регламентирующих деятельность по оценки защищенности организаций электронной коммерции.

Рассмотрены и проанализированы основные инструментальные средств по оценки защищенности информационных систем. На основании проведенного анализа были сделаны следующие выводы: в качестве параметров оценки защищенности используются либо требования стандартов, либо оценка и анализ рисков; инструментальные средства дают оценку защищенности без учета нарушителей информационной безопасности; инструментальные средства дают оценку защищенности в срезе временного интервала.

Сформированы основные требования к разрабатываемой методике аудита информационной безопасности и оценки защищенности.

Проведен анализ существующих подходов к построению моделей информационной безопасности организаций электронной коммерции и построена обобщенная модель информационных потоков по обеспечению безопасности, а так же ее декомпозиция по направлению аудита информационной безопасности и оценки защищенности.

Выявлены основные проблемные области при проведении аудита информационной безопасности и оценки защищенности, определены методы решения и приведено обоснование выбора математического аппарата для решения поставленных проблем.

Представлены результаты практического применения предлагаемой методики аудита информационной безопасности и оценки защищенности АИС «Электронные торговые площадки».

На основе практических экспериментов доказано, что моделируемые процессы по информационной безопасности, адекватны реально протекающим процессам информационной безопасности. Анализ полученных экспериментальных данных сравнивался со статистическими данными представленными администратором безопасности АИС «Электронные торговые площадки».

Проведена оценка количества инцидентов по информационной безопасности до внедрения разработанной методики и после внедрения. После внедрения методики проведения аудита информационной безопасности и оценки защищенности количество инцидентов по информационной безопасности снизилось на 36 процентов, что показывает эффективность работы предлагаемой методики.

В результате диссертационного исследования решены следующие задачи:

- разработана методика проведения аудита информационной безопасности информационных систем на основе прогнозирования и оценки инцидентов информационной безопасности по субъективным и объективным дестабилизирующим факторам; разработана модель угроз и модель нарушителей информационной безопасности, которая учитывает внутренних (персонал), внутренних (партнеры, клиенты) и внешних нарушителей информационной безопасности, а так же построена таблица позиционирования угроз и нарушителей информационной безопасности; предложен подход оценки коэффициента компетентности экспертов, в основе которого лежат подходы анкетирования, а так же предложена методика оценки согласованности мнений экспертов на основе коэффициента конкордации и оценки его значимости по критерию Пирсона; предложен подход к оценке значимых угроз информационной безопасности путем расширения параметров оценки в методе стратегического анализа SWOT.

Библиография Ерохин, Сергей Сергеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Андронов A.M. Теория вероятности и математическая статистика: -СПб.: Питер, 2004. -461с.

2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008г — 54с.

3. Быков В.А. Новые технологии электронного бизнеса и безопасности. М.: Радио и связь. 2002 512с.

4. Бешелев С.Д. Математико-статистические методы экспертных оценок.- М.: Статистика, 1974. 159 с.

5. Вентцель Е.С. Теория случайных процессов и ее инженерные приложения. -М.: Издательский центр «Академия», 2003. —432с.

6. Герасименко В.А. Основы защиты информации. М.: Изд-во МИФИ, 1997. - 537с.

7. ГОСТ Р 50922 Защита информации. Основные термины и определения.- М.: ИПК Издательство стандартов, 2004.-6с.

8. ГОСТ Р 50.1.028-2001 Информационные технологии поддержки жизненного цикла продукции. Методология функционального моделирования.

9. ГОСТ Р ИСО 9000-2001 Система менеджмента качества. Основные положения и словарь. М: Стандарт-информ.

10. ГОСТ Р ИСО\МЭК ТО 13335-3 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. М-: Стандарт-информ, 2007.-50с.

11. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ведение и общая модель. Госстандарт России.

12. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности. Госстандарт России.

13. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Требования доверия к безопасности. Госстандарт России.

14. ГОСТ Р ИСО\МЭК 17799 2005 Информационная технология. Практические правила управления информационной безопасностью. - М: Стандарт-информ, 2006.-55с.

15. ГОСТ Р ИСО\МЭК 27001 2005 Информационная технология. Технология безопасности. Система управления информационной безопасностью. Требования.

16. ГОСТ Р 51275 2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Госстандарт России.

17. Деднев М.А. Защита информации в банковском деле и электронном бизнесе. М.: КУДИЦ-ОБРАЗ, 2004. - 512с.

18. Доктрина информационной безопасности Российской Федерации: утв. Приказом Президента РФ от 09.09.2000 № ПР-1985.

19. Домарев В.В. Безопасность информационных технологий. Системный подход: К.: ООО «ТИД ДС», 2004. - 992с.

20. Ерохин С.С. Метод оценки рисков основанный на построении модели угроз и уязвимости. Научная сессия ТУСУР — 2006: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4—7 мая 2006г. 43. 2с.

21. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. 144-147с.

22. Ерохин С.С. Оценка защищенности объектов информатизации электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно—технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. 147-148с.

23. Ерохин С.С. Оценка эффективности контрмер угрозам информационной безопасности с использованием скрытых Марковских процессов. Доклады ТУСУР, 4.1, №2 2008г. 123-124с.

24. Ерохин С.С., Шелупанов A.A., Мицель A.A. Модель стратегического анализа информационной безопасности. Доклады ТУСУР, №2 2007г. 34-^41с.

25. Ерохин С.С., Голубев C.B. Основные этапы оценки защищенности объектов информационных систем. Электронные средства и системы управления. Материалы пятой молодежной научно-практической конференции. Томск:В-Спектр, 2009г. 51-53с.

26. Ерохии С.С. Голубев C.B. Оценка защищенности информационных систем с использованием скрытых Марковских процессов. Научная сессия

27. ТУСУР 2007: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4-7 мая 2007г. 42. — 133—137с.

28. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Оценка защищенности информационных систем электронной коммерции. Информация и безопасность. Воронежский государственный технический университет, №2, т. 12, 2009г., 195-206с.

29. Инсайдерские угрозы в России 2009. Электронный ресурс. 2009. -Режим доступа: http://www.securitylab.ru/analytics/368176.php

30. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации. М.: ФОРУМ, 2009. - 256с.

31. Кемени Дж., снелл Дж. Конечные цепи Маркова: Пер. с англ. М.: Наука, 1970.-271с.

32. Курило А.П. Аудит информационной безопасности. М.: Издательская группа «БДЦ-пресс», 2006. - 304с.

33. Литвак В.Г. Экспертная информация. Методы получения и анализа. — М.: Радио и связь, 1982. -184с.

34. Маковский В.А. Базы знаний (экспертные системы). — М.: Изд-во стандартов, 1993 -37с.

35. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 14.02.2008г- 12с.

36. Отчет по безопасности Касперского. Основная статистика за 2008 год. Электронный ресурс. — 2009. — Режим доступа: http://www.securelist.com/ru/analvsis/204007644/Kaspersky Security Bulletin Osn ovnaya statistika za 2008 god

37. Отчет по безопасности Касперского. Развитие угроз в 2008 году. Электронный ресурс. 2009. - Режим доступа: http://www.securelist.com/ru/analysis/204007645/Kaspersky Security Bulletin Raz vitieugrozv 2008 godu

38. Петренко C.A. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов C.B. М.: Компания АЙТИ; ДМК Пресс, 2005. - 384с.

39. Петренко A.A. Аудит безопасности Intranet. M.: ДМК Пресс, 2002.416с.

40. Половко A.M. Теория надежности. СПб.: БХВ-Петербург, 2006.704с.

41. Попов Е.В. Экспертные системы. М.: Наука, 1987.-288с.

42. Профиль защиты. Билинговые системы. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/13 .doc.

43. Профиль защиты. Клиентские операционные системы. Центр безопасности информации. Электронный ресурс. 2003. - Режим доступа: http://www.fstec.i~u/ licen/06.doc.

44. Профиль защиты. Контролируемый доступ. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/0 l.doc.

45. Профиль защиты. Межсетевые экраны корпоративного уровня. Центр безопасности информации. Электронный ресурс. 2002. — Режим доступа: http://www.fstec.ru/ licen/08.doc.

46. Профиль защиты. Межсетевые экраны провайдерского уровня. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/09.doc.

47. Профиль защиты. Меточная защита. Центр безопасности информации. Электронный ресурс. — 2002. Режим доступа: http://www.fstec.ru/ licen/02.doc.

48. Профиль защиты. Многоуровневые операционные системы. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ 1icen/05.doc.

49. Профиль защиты. Одноуровневые операционные системы. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/04.doc.

50. Профиль защиты. Операционные системы. Центр безопасности информации. Электронный ресурс. 2003. - Режим доступа: http://www.fstec.ru/ licen/03.doc.

51. Профиль защиты. Система управления базой данных. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/licen/07.doc.

52. Профиль защиты. Средства построения виртуальных ЛВС. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/10.doc.

53. Профиль защиты. Средства построения виртуальных частных вычислительных сетей. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ni/licen/l 1 .doc.

54. Профиль защиты. Удостоверяющие центры инфраструктура открытых ключей. ЗАО Удостоверяющий центр. Электронный ресурс. — 2003. Режим доступа: http://www.fstec.ru/ licen/12.doc.

55. Профиль защиты. Средства защиты ресурсов компьютера от НСД на начальном этапе загрузки. Гостехкомиссия РФ. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/14.doc

56. Пярин В.А., Кузьмины A.C., Смирнов С.Н. Безопасность электронного бизнеса / Под редакцией действительного члена РАЕН д.т.н., проф. В.А. Минаева. М.:Гелиос АРМ, 2002. - 432с.

57. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008г 23с.

58. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия РФ 1992.

59. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия РФ 1997.

60. Рыбина Г.В. Технология проектирования прикладных экспертных систем. М.: МИФИ, 1991. - 104с.

61. Сайт компании «Digital Security». Информационный ресурс — http: //www. dsec.ru/.

62. Серафинович Л.П. Планирование эксперимента. — Томск: Издательство В-Спектр. 2006.-128с.

63. Специальные требования и рекомендации по технической защите конфиденциальной информации. Гостехкомиссия РФ 2003.

64. Тарасенко Ф.П. Прикладной системный анализ: — Томск: Изд-во Том. ун-та, 2004. 186с.

65. Уотермен Д. Руководство по экспертным системам. — М.: Мир, 1989. —388с.

66. Штобова С.Д. Введение в теорию нечетких множеств и нечеткую логику. Электронный ресурс. М.: 2001-2008г. Режим доступа: http://matlab.exponenta.ru\fuzzvlogic\bookl\index.php

67. Щербаков А.Ю. Современная компьютерная безопасность. Практические аспекты. М.: Книжный мир, 2009. - 352

68. Электронная документация к системе «АванГард» 2002 (CD-ROM).

69. BS 7799 Part 1. Code of Practice for Information Security Management.

70. BS 7799 Part 2. Information Security management Specification for information security management system.

71. BS 7799 Part 3. Information Security management Guidelines for information security risk management.

72. BSI. IT Baseline Protection Manual. Standard security safeguards.

73. CobiT: Control Objectives. ISACA, 4 Edition, 2007.

74. CobiT: Executive Summary. ISACA, 4 Edition, 2007.

75. Draft Federal Information Processing Standards Publication 183, Integration definition for function modeling (IDEF 0) 1993.

76. Draft Federal Information Processing Standards Publication 184, Integration definition for function modeling (IDEF IX) 1993.

77. ISOUEC 13335-1: 2004 Information technology. Guidelines for the management of IT security. Concepts and models for information and communication technology security management.

78. ISOUEC 13335-2: 1997 Information technology Guidelines for the management of IT Security - Part 2: Managing and planning IT Security.

79. ISOUEC 13335-3: 1998 Information technology Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security.

80. ISOUEC 13335-4: 2000 Information technology Guidelines for the management of IT Security - Part 4: Selection of safeguards.

81. ISOUEC 13335-5: 2001 Information technology Guidelines for the management of IT Security - Part 5: Management guidance on network security.

82. ISOUEC 17799:2000 Information technology Security techniques - Code of practice for information security management.

83. ISOUEC 17799:2005 Information technology Security techniques - Code of practice for information security management.

84. ISOUEC 27001:2005 Information technology Security techniques -Information security management system - Requirements.1. Q/b

85. ISOMEC 27002:2005 Information technology Security techniques - Code of practice for information security management.

86. Information about Risk Analysis Software «CRAMM» Электронный ресурс. — 2007. Режим доступа: http://www.cramm.com.

87. Information about Risk Analysis Software «RiskWatch» Электронный ресурс. 2007. - Режим доступа: http://www.riskwatch.com.

88. NIST 800-30. Risk Management Guide for Information Technology System.

89. Payment Card Industry Data Security Standard 1.1. Security Standards Council 2008.

90. Payment Card Industry Data Security Standard 1.1. Security Audit Procedures. Security Standards Council 2008.

91. Министерство образования и науки Российской Федерации Федеральное агентство по образованию

92. Томский государственный университет систем управления и радиоэлектроники1. ТУСУР)

93. МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЭЛЕКТРОННОЙ КОММЕРЦИИ1. Том 20513.19 Методы и системы защиты информации, информационнаябезопасность

94. Диссертация на соискание ученой степени кандидата технических наук042.01 0 587 2 9'"1. Ерохин Сергей Сергеевич

95. Научный руководитель доктор технических наук профессор А.А. Шелупанов1. Томск 20101. Оглавление