Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Зырянова, Татьяна Юрьевна

Современный уровень развития информационных технологий выдвигает на передний план новые требования к построению систем защиты информации и обеспечению информационной безопасности.

В России на протяжении длительного времени понятие информационной безопасности отождествлялось с обеспечением конфиденциальности информации, а наибольшее распространение получило применение технических средств защиты. Сегодня информация, будучи нематериальной по своей природе, становится предметом товарно-денежных отношений и объектом нормативно-правового регулирования. Перед государственными и коммерческими предприятиями и организациями все острее встает проблема не только обеспечения надежной защиты информации от несанкционированного ознакомления и распространения, но и поддержки стабильного доступа к информации и возможности эффективной работы с ней. Более того, Доктрина информационной безопасности Российской Федерации [37] провозглашает «соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею» одной из составляющих национальных интересов в информационной сфере.

В связи с вышеизложенным сегодня при построении систем защиты информации все большее внимание уделяется установлению баланса между техническими средствами и законодательно-организационными мерами защиты. Преимущество получает комплексный подход к защите информации, который состоит в одновременном решении целого ряда разноплановых задач путем применения совокупности взаимосвязанных средств, методов и мероприятий.

Анализ публикаций последних лет свидетельствует о необходимости разработки систем защиты информации, основанных на таком комплексном подходе, надежное функционирование которых невозможно без эффективного управления. Основные функции системы управления информационной безопасностью должны состоять в оценке степени критичности ситуации, связанной с нарушением информационной безопасности предприятия, организации, оценке уровня риска нарушения информационной безопасности и в поддержке принятия решения относительно действий в данной ситуации. Принятие решений в такой системе затруднено по ряду причин: не всегда возможно сформировать полное множество угроз информационной безопасности, количественно оценить степень критичности возникшей ситуации, построить прогноз ее развития. Другими словами, основная проблема заключается в зачастую неполных и неопределенных исходных данных о состоянии системы защиты информации, возможных угрозах, дестабилизирующих факторах.

Таким образом, тема исследования, направленная на решение данной проблемы, является актуальной и определяет цели, задачи и основные направления исследования.

Объектом исследования является система защиты информации (СЗИ).

Предметом исследования является система управления информационной безопасностью (СУИБ), эффективно функционирующая в условиях неполной исходной информации о состоянии СЗИ и неопределенности воздействия на информацию дестабилизирующих факторов (ДФ).

Цель исследования состоит в разработке модели СУИБ, обеспечивающей оценку степени критичности ситуации, связанной с невыполнением или недостаточным выполнением функций СЗИ, оценку уровня риска нарушения информационной безопасности (ИБ) и поддержку принятия решений относительно противодействия нарушению ИБ. Для достижения поставленной цели необходимо решение следующих задач:

1 построение модели СУИБ, отвечающей поставленной цели;

2 разработка метода и алгоритма оценки уровня обеспечения ИБ, учитывающего неопределенность воздействия ДФ;

3 разработка метода и алгоритма количественной оценки уровня риска нарушения ИБ (информационного риска);

4 разработка метода и алгоритма поддержки принятия решений относительно выбора варианта противодействия ДФ.

В качестве основных методов для решения поставленных задач применялись методы системного анализа, теории вероятностей и математической статистики, теории нечетких множеств и нечеткой логики, теории принятия решений, теории графов, методы экспертного оценивания.

Диссертация состоит из введения, четырех глав, заключения, списка использованных источников, списка сокращений и двух приложений. В первой главе приведено описание объекта исследования, анализируются определения СЗИ с использованием российской и зарубежной терминологии, указываются методы исследования, примененные в диссертационной работе. Во второй главе описана модель СЗИ, в рамках которой разработана модель СУИБ, представляющая собой предмет исследования. Модель СУИБ состоит из шести модулей, подробное описание которых приводится в третьей главе. Четвертая глава посвящена анализу методов оценки эффективности СУИБ в целом и, в частности, оценке эффективности СУИБ, разработанной в ходе диссертационного исследования. В приложение А вынесены исходные данные и результаты тестового внедрения компонентов разработанной СУИБ. Приложение Б содержит акты внедрения результатов диссертационного исследования.

4.4 Основные результаты главы 4

Четвертая глава посвящена анализу эффективности СУИБ. Приведено описание системного и экономического подхода к анализу эффективности СУИБ. Определена объективная характеристика эффективного функционирования СУИБ, а именно отношение приемлемого уровня информационного риска к текущему уровню. Описан подход к определению эффективности СУИБ с экономической точки зрения на основании методики оценки совокупной стоимости владения.

Заключение

Главным результатом диссертационного исследования стало решение проблемы, имеющей существенное значение для развития научных исследований в сфере информационной безопасности. В ходе диссертационного исследования получены следующие результаты.

Проведен анализ правовых и нормативно-технических документов в области ИБ. Основным результатом данного раздела работы стало заключение об отсутствии конкретных методик оценки уровня выполнения требований ИБ.

Осуществлено моделировании СУИБ, особенностью которой стало обеспечение автоматизации поддержки принятия решений на основе количественных оценок уровня обеспечения ИБ.

В рамках моделирования СУИБ решены следующие задачи.

1 Разработаны метод и алгоритм оценки уровней выполнения ФБ и обеспечения ИБ в целом, учитывающий неопределенность воздействия ДФ.

2 Разработаны метод и алгоритм количественной оценки уровня риска нарушения ИБ.

3 Разработаны метод и алгоритм поддержкй принятия решений относительно выбора варианта реагирования при возникновении ДФ.

4 Описаны методы получения статистических оценок значений показателей воздействия ДФ и разработан метод прогнозирования этих значений.

5 Описаны методы построения функций принадлежности нечетких множеств на основе анализа экспертной информации.

6 Разработаны методы построения графа связи альтернатив с исходами и отношения предпочтения на множестве исходов в задаче принятия решений на основе теории нечетких множеств.

Эффективность СУИБ, разработанных на основании построенной модели, подтверждена результатами тестового внедрения элементов СУИБ.

Дальнейшим развитием представленного исследования может быть:

1 программная реализация элементов СУИБ, допускающих полную или частичную автоматизацию;

2 разработка гибкой, адаптивной методики оценки эффективности СЗИ и СУИБ, объединяющей в себе преимущества системного и экономического подходов, позволяющей делать предположения об эффективности СЗИ и СУИБ на этапе их разработки.

1. Аверкин, А. Н. Использование нечеткого отношения моделирования для экспертных систем / А. Н. Аверкин, Нгуен X. М. : ВЦ АН СССР, 1988. -24 с.

2. Айзерман, М. А. Некоторые аспекты общей теории выбора лучших вариантов / М. А. Айзерман, А. В. Малишевский // Автоматика и телемеханика. 1982. -№2. -С. 65-83.

3. Алиев, Р. А. Нечеткие модели управления динамическими системами / Р. А. Алиев, Е. Г. Захарова Э. Г., Ульянов С. В. // ВИНИТИ АН СССР. Итоги науки и техники. Серия техническая кибернетика. 1990. - Т. 29. - С. 233313.

4. Балашов, П. А. Оценка рисков информационной безопасности на основе нечеткой логики/ П. А. Балашов, Р. И. Кислов, В. П. Безгузиков // Защита информации. Конфидент. 2003. - № 5. - С. 56-59.

5. Балашов, П. А. Оценка рисков информационной безопасности на основе нечеткой логики (окончание) / П. А. Балашов, Р. И. Кислов, В. П. Безгузиков // Защита информации. Конфидент. 2003. - № 6, - С. 60-65.

6. Баутов А. Эффективность защиты информации Электрон, ресурс. / А. Баутов. Режим доступа : http://www.bre.ru/security/19165.html.

7. Безопасность информационных технологий. Система управления базой данных. Профиль защиты (первая редакция) / Центр информационных технологий, 2002. 44 с.

8. Беллман, Р. Принятие решений в расплывчатых условиях / Р. Беллман, J1. Заде // Вопросы анализа и процедуры принятия решений. М. : Мир, 1976. -С. 172-215.

9. Блишун, А. Ф. Нетрадиционные модели и системы с нечеткими знаниями / А. Ф. Блишун, С. Ю. Знатнов. Нетрадиционные модели и системы с нечеткими знаниями. М. : Энергоатомиздат, 1991. - С. 21-33.

10. Борисов, А. Н. Использование нечеткой информации в экспертных системах / А. Н. Борисов, В. И. Глушков // Новости искусственного интеллекта. 1991. -№3.-С. 13-41.

11. Борисов, А. Н. Методы интерактивной оценки решений / А. Н. Борисов, А. С. Левченков. Рига : Зинатне, 1982. - 250 с.

12. Борисов, А. Н. Принятие решений на основе нечетких моделей. Примеры использования / А. Н. Борисов, О. А. Крумберг, О. П. Федоров. Рига : Зинатне, 1990. - 184 с.

13. Борисов, А. Н. Системы, основанные на знаниях, в автоматизированном проектировании: Методическая разработка / А. Н. Борисов. Рига : РПИ, 1989.- 126 с.

14. Боровиков, В. П. Прогнозирование в системе STATISTICA в среде Windows / В. П. Боровиков, Г. И. Ивченко. М.: Финансы и статистика, 2000. -382 с.

15. Вагин, В. Н. Дедукция и обобщение в системах принятия решений / В. Н. Вагин. М. : Наука, 1988. - 384 с.

16. Гаврилова, Т. А. Извлечение и структурирование знаний для экспертных систем / Т. А. Гаврилова, К. Р. Червинская. М. : Радио и связь, 1982. - 200 с.

17. Герасименко, В. А. Основы защиты информации / В. А. Герасименко, А. А. Малюк. М.: Изд-во МИФИ, 1997. - 537 с.

18. Герасименко, В. А. Основы оптимизации в системах управления (Концепции, методы, модели) / В. А. Герасименко, Г. А. Попов, В. И. Таирян. М., 1990. Деп. в ВИНИТИ 10.04.90 №2373-В90.

19. Гмурман, В. Е. Теория вероятностей и математическая статистика / В. Е. Гмурман. М.: Высшая школа, 2002. - 479 с.

20. ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М.: ИПК Издательство стандартов, 1996. - 25 с.

21. ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки цифровой подписи. М.: ИПК Издательство стандартов, 2001. - 12 с.

22. ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования. М.: ИПК Издательство стандартов, 1994.- 11 с.

23. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. М.: ИПК Издательство стандартов, 1995.

24. ГОСТ Р 50922-96 Защита информации. Основные термины и определения. М.: ИПК Издательство стандартов, 2004. - 6 с.

25. ГОСТ Р 51241-98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. М.: ИПК Издательство стандартов, 1998.

26. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: ИПК Издательство стандартов, 1999.

27. ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении. М.: ИПК Издательство стандартов, 2000.

28. ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения. М.: ИПК Издательство стандартов, 2002.

29. ГОСТ Р ИСО 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. М.: ИПК Издательство стандартов, 1999.

30. ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. М.: ИПК Издательство стандартов, 1999.

31. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М.: ИПК Издательство стандартов, 2002. - 35 с.

32. ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002. - 159 с.

33. ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. -М.: ИПК Издательство стандартов, 2002. 107 с.

34. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью. М.: Стандар-тинформ, 2006. - 55 с.

35. Доктрина информационной безопасности Российской Федерации: утв. приказом Президента РФ от 9.09.2000 № ПР-1895 Электрон, ресурс. / Режим доступа : http://www.fstec.ru/razd/ispo.htm.

36. Домарев, В. В. Оценка эффективности систем защиты информации Электрон. ресурс. / В. В. Домарев. Режим доступа : http://www.warning.dp.ua/comp9.htm.

37. Ежкова, И. В. Принятие решений при нечетких основаниях / И. В. Ежкова, Д. А. Поспелов // Изв. АН ССР. Техническая кибернетика. 1977. - № 6. -С.3-11.

38. Емельянов, С. В. Методы исследования сложных систем. Логика рационального выбора / С. В. Емельянов, Е. Л. Наппельбаум // ВИНИТИ Итоги науки и техники. Серия техническая кибернетика. 1997. - Т. 8. - С. 5-101.

39. Жуковин, В. Е. Многокритериальные модели принятия решений с неопределенностью / В. Е. Жуковин. М., 1983 - 104 с.

40. Заде, Л. А. Основы нового подхода к анализу сложных систем и процессов принятия решений / Л. А. Заде // Математика сегодня. М. : Знание, 1974. -С. 5-49.

41. Заде, Л. А. Понятие лингвистической переменной и его применение к принятию приближенных решений / Л. А. Заде. М. : Мир, 1976. - С. 165.

42. Заде, Л. А. Тени нечетких множеств / Л. А. Заде // Проблемы передачи информации. 1966. - Т. II. - Вып. 1. - С 37-44.

43. Заде, Л. А. Теория линейных систем: Метод пространства состояний / Л. А. Заде, Ч. Дезоер. М., 1981. - 704 с.

44. Захаров, В. Н. Системы управления. Задание. Проектирование. Реализация / В. Н. Захаров. М. : Энергия, 1977. - 424 с.

45. Зырянова, Т. Ю. Алгоритм оценки информационного риска на основе нечетких множеств и нечеткой логики / Т. Ю. Зырянова, Ю. И. Ялышев // Вестник МИИТа / Московский институт инженеров транспорта. — 2006. -Вып. 14.-С. 18-22.

46. Зырянова, Т. Ю. Криптографическая защита информации. Курс лекций / Т. Ю. Зырянова. Екатеринбург: Изд-во УрГУПС, 2005. - 116 с.

47. Корченко, А. Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения / А. Г. Корченко. Киев: МК-Пресс, 2006. - 316 с.

48. Кофман, А. Введение в теорию нечетких множеств / А Кофман. М. : Радио и связь, 1982. - 432 с.

49. Кремер, Н. Ш. Теория вероятностей и математическая статистика / Н. Ш. Кремер. М.: Юнити, 2004. - 573 с.

50. Литвак, В. Г. Экспертная информация. Методы получения и анализа / В. Г. Литвак. М. : Радио и связь, 1982. - 184 с.

51. Маковский, В. А. Базы знаний (экспертные системы) / В. А. Маковский, В. И. Похлебаев. М. : Изд-во стандартов, 1993. - 37 с.

52. Мулен, Е. Кооперативное принятие решений: аксиомы и модели / Е. Му-лен. М. : Мир, 1991.-464 с.

53. Негойсе, К. Применение теории систем к проблемам управления / К. Не-гойсе. М. : Мир, 1981. - 180 с.

54. Нейлор, К. Как построить свою экспертную систему / К. Нейлор. М. : Энергоатомиздат, 1991. - 286 с.

55. Нечеткие множества в моделях управления и искусственного интеллекта / ред. Д. А. Поспелов. М. : Наука, 1986. - 312 с.

56. Нечеткие множества и теория возможностей. Последние достижения / ред. Р. Р. Ягер. М. : Радио и связь, 1986. - 408 с.

57. О техническом регулировании: Федеральный закон РФ от 27.12.2002 № 184-ФЗ // Консультант Плюс. Законодательство. Версия-Проф Электрон, ресурс. / АО «Консультант Плюс». М., 2007.

58. Об информации, информационных технологиях и о защите информации: Федеральный закон РФ от 27.07.2006 № 149-ФЗ // Консультант Плюс. Законодательство. Версия-Проф Электрон, ресурс. / АО «Консультант Плюс». М., 2007.

59. Об участии в международном информационном обмене: Федеральный закон РФ от 4.07.1996 № 85- ФЗ // Консультант Плюс. Законодательство. Версия-Проф Электрон, ресурс. / АО «Консультант Плюс». М., 2005.

60. Орлов, А. И. Задачи оптимизации и нечеткие переменные / А. И. Орлов. -М. : Знание, 1980. 64 с.

61. Орловский, С. А. Проблемы принятия решений при нечеткой информации / С. А. Орловский. М. : Наука, 1981.-206 с.

62. Острейковский, В. А. Теория надежности / В. А. Острейковский. М.: Высшая школа, 2003. - 463 с.

63. Острейковский, В. А. Теория систем / В. А. Острейковский. М.: Высшая школа, 1997.-239 с.

64. Отраслевой стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения от 26.01.2006 № Р-27.

65. Петренко, С. Информационная безопасность: экономические аспекты Электрон, ресурс. / С. Петренко, С. Симонов, Р. Кислов // Jetinfo online. -М., 2003. Режим доступа : www.jetinfo.ru/2003/10/l/articlel.l0.2003.html.

66. Петренко, С. Оценка затрат компании на информационную безопасность Электрон, ресурс. / С. Петренко. М., 2003. - Режим доступа : http://www.citforum.ru/security/articles/ocenkazatrat.

67. Попов, Е. В. Экспертные системы / Е. В. Попов. М. : Наука, 1987. - 288 с.

68. Поспелов, Д. А. Логико-лингвистические модели в системах управления / Д. А. Поспелов. М. : Энергоиздат, 1981. - 232 с.

69. Прикладные нечеткие системы / ред. Т. Тэрано, К. Асаи, М. Сугено. М. : Мир, 1993.-368 с.

70. Рыбина, Г. В. Технология проектирования прикладных экспертных систем / Г. В. Рыбина. М. : МИФИ, 1991. - 104 с.

71. Симонов, С. В. Измерение рисков. Технологии и инструментарий для управления рисками Электрон, ресурс. / С. В. Симонов // Jetinfo online. -М., 2003. Режим доступа : www.jetinfo.ru/2003/2/l/articlel.2.2003.html

72. Уотермен, Д. Руководство по экспертным системам / Д. Уотермен. М. : Мир, 1989.-388 с.

73. Хан, Г. Статистические модели в инженерных задачах / Г. Хан, С. Шапиро. М.: Мир, 1969.-395 с.

74. Черноруцкий, И. Г. Методы принятия решений / И. Г. Черноруцкий. -СПб: БХВ-Петербург, 2005. 416 с.

75. Штовба, С. Д. Введение в теорию нечетких множеств и нечеткую логику Электрон, ресурс. / С. Д. Штовба // Консультационный центр Matlab компании Softline. М., 2001-2008. - Режим доступа : http://matlab.exponenta.ru/fuzzylogic/bookl/index.php.

76. Шумский, А. А. Системный анализ в защите информации / А. А. Шумский, А. А. Шелупанов. М.: Гелиос АРВ, 2005. - 224 с.

77. BS 7799 Part 1. Code of Practice for Information Security Management.

78. BS 7799 Part 2. Information Security management Specification for information security management systems.

79. BS 7799 Part 3. Information Security management systems Guidelines for information security risk management.

80. ISO/IEC 17799:2000 Information technology Security techniques - Code of practice for information security management.

81. КОЛЕС 17799:2005 Information technology Security techniques - Code of practice for information security management.

82. ISO/IEC 27001:2005 Information technology Security techniques - Information security management systems - Requirements.

83. ISO/IEC TR 13335-1:2004 Information technology. Guidelines for the management of IT security. Concepts and models for information and communications technology security management.

84. ISO/IEC TR 13335-2:1997 Information technology. Guidelines for the management of IT security. Managing and planning IT Security.

85. КОЛЕС TR 13335-3:1998 Information technology. Guidelines for the management of IT security. Techniques for the management of IT security.

86. ISO/IEC TR 13335-4:2000 Information technology. Guidelines for the management of IT security. Selection of safeguards.

87. ISO/IEC TR 13335-5:2001 Information technology. Guidelines for the management of IT security. Management guidance of network security.

88. Kosko, B. Fuzzy systems as universal approximators // IEEE Transactions on Computers, vol. 43, No. 11, November 1994. P. 1329-1333.

89. NIST 800-30 Risk Management Guide for Information Technology Systems.