Модели и комплекс программ процесса управления рисками информационной безопасности тема диссертации и автореферата по ВАК РФ 05.13.18, кандидат технических наук Гильмуллин, Тимур Мансурович

При проектировании современных информационных систем (ИС) вопросы защиты информации должны рассматриваться в качестве её неотъемлемой составляющей. Автоматизация организационных, технологических и производственных процессов привела к зависимости эффективности их функционирования от защищенности информационных и поддерживающих систем. Развитие современных информационных технологий приводит к все более возрастающему количеству уязвимостей элементов ИС, а также угроз безопасности, способных привести к нанесению злоумышленником значительного ущерба организации.

Вопросы информационной безопасности (ИБ) особенно актуальны в настоящее время для коммерческих структур. Однако, несмотря на то, что для информационных систем существуют определяемые российским законодательством требования по защите информации, в подобных структурах особую значимость имеют подходы к построению эффективных систем защиты с позиции ожидаемого ущерба. В настоящее время развивается научное направление, рассматривающее проблему обеспечения ИБ с позиции управления информационными рисками. Исследованию данной проблемы, в том числе с позиций теории искусственного интеллекта, экспертных и нечетких систем, посвящены работы В.А. Герасименко, Д.П. Зегжды, П.Д. Зегжды, С.С. Корта, И.Д. Медведовского, В.И. Гловы, И.В. Аникина, Р.И. Насырова, A.A. Кононова, С.А. Петренко, JI. Хоффмана, А.Е. Алтунина, В.И. Васильева, Т.К. Сиразетдинова, М.В. Семухина, Д.В. Сошникова, Э.А. Трахтенгерца, М.Ш. Цаленко, Н.Г. Ярушкиной, G.F. Florez, S.M. Bridges, R.B. Vaughn, P.F. Peter и других. Однако многие вопросы в области управления рисками ИБ остаются не до конца исследованными, в частности, формализация понятийного аппарата управления рисками ИБ, формализация модели информационной системы как объекта управления рисками ИБ и другие вопросы. Кроме того, решение задачи управления рисками ИБ усложняется следующими обстоятельствами:

- трудной формализуемостью решения задачи оценки рисков ИБ;

- нечёткостью и качественностью основных факторов риска ИБ - возможности реализации угроз ИБ и уровня ущерба;

- необходимостью принятия решений в условиях неопределенности и неполноты информации.

Таким образом, актуальной задачей является разработка моделей и алгоритмов для задачи оценки и управления рисками ИБ информационных систем методами теории искусственного интеллекта. Решению указанной задачи посвящена данная диссертация.

Объект исследования: методы обеспечения ИБ информационных систем.

Предмет исследования: модели и методы управления рисками ИБ для информационных систем.

Цель работы: повышение эффективности процесса управления рисками ИБ информационных систем и обоснованности выбора защитных мероприятий в нечетких условиях.

Научная задача: формализация моделей, алгоритмов оценки и управления рисками ИБ для ИС, а также разработка реализующего их комплекса программ.

Достижение цели путем решения поставленной научной задачи потребовало её разделения на следующие подзадачи:

- разработки концептуальной модели процесса управления рисками ИБ информационных систем;

- разработки теоретико-множественных моделей для задачи управления рисками информационной безопасности;

- разработки методики оценки и алгоритмов управления рисками ИБ информационных систем в нечетких условиях;

- разработки экспертного программного комплекса (ЭПК) управления рисками информационной безопасности;

- проведения экспериментальных исследований для оценки адекватности и исследования эффективности разработанных моделей, методики и алгоритмов.

Методы исследования. Для решения обозначенных задач использованы методы системного анализа, теоретико-множественного моделирования, теории нечетких систем, принятия решений в условиях неопределенности.

Достоверность полученных результатов обоснована корректным использованием методов математического моделирования, предложенными в диссертационной работе моделями и алгоритмами, строгостью доказательства теорем, результатами экспериментов и испытаний, а также тем, что полученные результаты не противоречат известным положениям других авторов.

Научная новизна работы заключается в следующем.

1. Разработана концептуальная модель предметной области «Управление рисками ИБ ИС» в рамках ЕЯ-диаграммы типов, а также определена семантика её понятий в рамках теории категорий и функторов.

2. Разработаны новые модели, методика и алгоритмы для задачи управления рисками ИБ информационных систем в нечетких условиях.

3. Разработаны новые теоретико-множественные модели для задачи управления рисками ИБ информационных систем.

Теоретическая значимость работы заключается в следующем.

1. Предложен способ формализации понятий, основанный на теоретико-множественном подходе, и описана семантика предметной области «Управление рисками ИБ ИС».

2. Доказаны теоремы о полноте квазиметрического пространства информационных систем, о существовании в нем не обязательно единственной неподвижной точки, и утверждения о существовании минимального риска ИБ для информационных систем, о существовании контрмеры, минимизирующей уровень риска ИБ.

3. Показана устойчивость разработанной модели ИС в смысле непрерывности по квазиметрике риска и оценена сложность разработанного алгоритма оценки уровня риска ИБ.

Практическая ценность работы заключается в разработке методики оценки и управления рисками ИБ ИС, а также реализующего её комплекса программ, позволяющего моделировать ИС, использовать нечеткие оценки экспер7 тов. Практическое применение методики и комплекса программ позволяет выбирать наилучшую систему защиты информации для информационной системы с позиции ожидаемого ущерба.

По проблеме диссертационной работы опубликовано 10 работ, в том числе 1 статья в журнале из списка, рекомендованного ВАК РФ, б статей и 3 тезиса докладов.

Апробация результатов исследования. С целью апробации основные результаты диссертационной работы докладывались и обсуждались на восьми конференциях: всероссийской научной конференции «Информационные технологии в науке, образовании» (Казань, 2007 г.), пятой ежегодной международной научно-практической конференции «Инфокоммуникационные технологии глобального информационного общества» (Казань, 2007 г.), шестнадцатой международной молодежной научной конференции «Туполевские чтения» (Казань, 2008 г.), девятой международной научно-технической конференции «Проблемы техники и технологий телекоммуникаций ПТиТТ'2008» (Казань, 2008 г.), международной научной конференции «Интеллектуальные системы принятия решений и проблемы вычислительного интеллекта 18БМСГ2009» (Херсон, 2009), семнадцатой международной молодежной научной конференции «Туполевские чтения» (Казань, 2009 г.), седьмой научно-практической конференции «Инфокоммуникационные технологии Глобального информационного общества ИКТ ГИО'2009 (Казань, 2009), двенадцатой международной научно-технической конференции «Моделирование, идентификация, синтез систем управления МИССУ'2009» (Донецк, 2009).

Реализация результатов работы. Результаты исследования:

- прошли успешную апробацию и внедрены в опытную эксплуатацию в МВД Республики Татарстан;

- используются при решении задач управления рисками ИБ информационных систем в группе компаний «ЦЕНТР»;

- внедрены в учебный процесс ГОУ ВПО КГТУ им. А.Н. Туполева (КАИ) и используются при изучении материалов дисциплин «Анализ и управление рисками в ИТ», «Экономика защиты информации». 8

Пути дальнейшей реализации. Разработанный комплекс программ предлагается использовать как инструмент эксперта для оценки состояния ИБ организации. В перспективе поставлена задача по созданию ЭПК, выполняющего оценку рисков ИБ с учетом требований действующих российских, международных, отраслевых и ведомственных стандартов в области ИБ.

На защиту выносятся следующие результаты работы:

- концептуальная модель предметной области «Управление рисками ИБ информационных систем» и её семантическая интерпретация;

- теоретико-множественные модели для задачи управления рисками ИБ информационных систем;

- теоремы о полноте квазиметрического пространства информационных систем, о существовании в нем не обязательно единственной неподвижной точки; утверждения о существовании минимального риска ИБ для ИС, о существовании контрмеры, минимизирующей риск ИБ;

- методика нечеткой оценки рисков ИБ для ИС и управления ими;

- комплекс программ, предназначенный для моделирования ИС организаций, автоматизации процесса оценки рисков ИБ в нечетких условиях, а также формирования рекомендаций по управлению ими.

Структура и объём диссертации. Диссертация изложена на 185 страницах машинописного текста, содержит 46 рисунков, 13 таблиц, состоит из введения, четырёх глав, заключения, списка использованной литературы из 64 наименований на 6 страницах и 3 приложений на 40 страницах.

Основные результаты диссертационной работы следующие.

1. Проведен анализ предметной области «Управление рисками информационной безопасности информационных систем». Показана актуальность разработки методики оценки и управления рисками ИБ ИС, основанной на формальной модели информационной системы, учитывающей ее компоненты и связи между ними, а также способной работать с нечеткими оценками факторов риска ИБ.

2. Разработана функциональная модель процесса управления рисками ИБ информационных систем, а также модель данного процесса в рамках ЕЯ-диаграммы типов.

3. Предложен способ формализации понятий и описана семантика предметной области «Управление рисками ИБ ИС» в рамках теории категорий и функторов. Разработаны теоретико-множественные модели для задачи управления рисками ИБ, в частности - модели информационного ресурса, угрозы, уязвимости, контрмеры, ИС.

4. Сформированы и доказаны теоремы о полноте введенного квазиметрического пространства информационных систем, о наличии в нем для любого сжимающего отображения не обязательно единственной неподвижной точки. Сформулированы и доказаны утверждения о существовании минимального риска ИБ для ИС и о существовании контрмеры, минимизирующей уровень риска ИБ ИС.

5. Разработана методика оценки и управления рисками ИБ ИС в нечетких условиях. В методике предложены алгоритмы для оценки свойств элементов ИС, осуществлен обоснованный выбор нечетких шкал для оценки свойств элементов ИС, а также предложен метод нечеткого согласования мнений экспертов. Показана устойчивость разработанной модели информационной системы в смысле непрерывности по квазиметрике риска ИБ и оценена сложность разработанного алгоритма оценки уровня риска ИБ выражением 0(тах{12,1тп}), где параметры 1, ш, п — количество ресурсов, уязвимостей и угроз соответственно.

6. Разработан экспертный программный комплекс, позволяющий моделировать информационные системы организаций, автоматизировать процесс оценки рисков ИБ в нечетких условиях, а также формировать рекомендации по управлению ими. Проведены экспериментальные исследования работы предложенных моделей, методики и алгоритмов на конкретных ИС. Их применение позволило повысить уровень информационной безопасности ИС за счет введения оптимальных контрмер, что для тестовой задачи составило 28.5%. По результатам экспериментов осуществлен обоснованный выбор операций Т-норм и Б-конорм для разработанной методики нечеткой оценки и управления рисками ИБ ИС.

В перспективе возможно решение следующих задач.

1. Доработать ЭПК до системы поддержки принятия решений для экспертов организаций, для чего создать и поддерживать в актуальном состоянии БЗ стандартных ресурсов, угроз, уязвимостей и контрмер.

2. Реализовать механизм введения в ЭПК программных модулей управления рисками ИБ ИС организаций от сторонних разработчиков.

3. Разработать способы управления рисками ИБ на базе нечетких нейронных сетей.

ЗАКЛЮЧЕНИЕ

1. Bundesamt fur Sicherheit in der Informationstechnik. IT Baseline Protection Manual, 2004.

2. COBIT 3rd Edition. Control Objectives for Information and related Technology, 2000.

3. CRAMM UK Government Risk Analysis and Management Method, 2009.

4. ISO/IEC 27002:2005. Information technology. Security techniques. Code of practice for information security management, 2005.

5. NIST SP 800-39. Managing Risk from Information Systems. An Organizational Perspective, 2007. 51 p.

6. NIST SP 800-30. Руководство по управлению рисками информационных систем, 2005. 49 с.

7. Security Protection. 1978. - v. 10. - №2. - P. 23-40.

8. Zadeh, L.A. Fuzzy Set // Information and Control. 1965. - N 8. - P. 338-353.

9. Адлер, Ю.П. Планирование эксперимента при поиске оптимальных условий / Ю.П. Адлер, Е.В. Маркова, Ю.В. Грановский. М.: Наука, 1976. - 280 с.

10. Алтунин, А.Е. Модели и алгоритмы принятия решений в нечетких условиях: Монография / А.Е. Алтунин, М.В. Семухин. Тюмень: Изд-во Тюменского гос. ун-та, 2000. — 352 с.

11. Аникин, И.В. Администрирование безопасности и поддержка корпоративных информационных систем: Учебное пособие / И.В. Аникин, А.С. Катасёв, Т.М. Гильмуллин, А.Ю. Горев, М.А. Кривилёв. Казань: Изд-во Казан, гос. техн. ун-та, 2008. — 268 с.

12. Аникин, И.В. Моделирование объектов информационной безопасности для задачи оценки рисков /И.В.Аникин, Т.М. Гильмуллин //Научно-технические ведомости СПбГТУ. Информатика. Телекоммуникации. Управление. -2009. -№ 5. С. 151-155.

13. Аникин, И.В. Моделирование проблемной области «Оценка рисков» с помощью фреймовых моделей и семантических сетей / И.В. Аникин, Т.М. Гильмуллин //Информационные технологии в науке, образовании:

14. Материалы Всероссийской научной конференции, г.Казань, 30-31 мая 2007 г. Казань: Изд-во Казан, гос. техн. ун-та, 2007. - С. 537-540.

15. Аникин, И.В. Мягкие вычисления и их приложения: Учебное пособие / И.В. Аникин, М.А. Аджели, В.И. Глова. Казань: Изд-во Казан, гос. техн. ун-та, 2000. - 64 с.

16. Аникин, И.В. Проектирование и техническая эксплуатация защищенных телекоммуникационных систем: Учебное пособие / И.В. Аникин, Т.М. Гильмуллин, А.Ю. Горев, М.А. Кривилёв. — Казань: Изд-во Казан, гос. техн. ун-та, 2008. — 199 с.

17. Аникин, И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей / И.В. Аникин // Научно-технические ведомости СПбГПУ. Серия Информатика, телекоммуникации, управление. 2009. - № 3 (80). - С. 35-39.

18. Букур, И. Введение в теорию категорий и функторов /И. Букур, А. Деляну. М.: Мир, 1972. - 260 с.

19. Васильев, В.И. Анализ и управление информационной безопасностью вуза на основе когнитивного моделирования / В.И. Васильев, Р.Т. Кудрявцева // Системы управления и информационные технологии, 2007. -№ 1(27).-С. 74-81.

20. Васильев, К.К. Математическое моделирование систем связи /К.К Васильев, М.Н. Служивый Ульяновск: УлГТУ, 2008. - 169 с.

21. Вентцель, Е.С. Теория вероятностей / Е.С. Вентцель. М.: Высшая школа, 2002. - 575 с.

22. Гаврилова, Т.А. Базы знаний интеллектуальных систем / Т.А. Гаврилова, В.Ф. Хорошевский. СПб: Питер, 2000. - 384 с.

23. Герасименко, В.А. Организация работ по защите информации в системах электронной обработки данных / В.А. Герасименко, М.К. Размахнин // Зарубежная радиоэлектроника. Защита информации: Специальный выпуск. М.: Радио и связь, 1989.-№12.-С. 110-124.

24. Герасименко, В.А. Проблемы защиты данных в системах их обработки. / В.А. Герасименко // Зарубежная радиоэлектроника. Защита информации: Специальный выпуск. М.: Радио и связь, 1989. - №12. - С. 5-22.

25. Гмурман, В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов / В.Е. Гмурман М.: Высшая школа, 2003. - 479 с.

26. ГОСТР ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. — М.: Госстандарт России: Изд-во стандартов, 2002. 6 с.

27. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения. -М.: Госстандарт России: Изд-во стандартов, 2002. 6 с.

28. Громов, Ю.Ю. Системный анализ в информационных технологиях: Учебное пособие / Ю.Ю. Громов, H.A. Земской, A.B. Лагутин, О.Г. Иванова, В.М. Тютюнник. Тамбов: Изд-во Тамб. гос. техн. ун-та, 2007. - 176 с.

29. Гузаиров, М.Б. Системный анализ информационных рисков с применением нечетких когнитивных карт / М.Б. Гузаиров, В.И. Васильев, Р.Т. Кудрявцева // Инфокоммуникационные технологии. — 2007. № 4. - С. 96-101.

30. Домарев, В.В. Безопасность информационных технологий: Методология создания систем защиты / В.В. Домарев. Киев: ТИД ДС, 2001. - 688 с.

31. Зарубежная радиоэлектроника. Защита информации: Специальный выпуск. М.: Радио и связь, 1989. - №12. - 108 с.

32. Зиновьев, П.А. Инженерные методы расчета функциональной надежности и живучести корпоративных информационных систем: Монография / П.А. Зиновьев, A.B. Мейко, B.C. Моисеев. К.: Отечество, 2009. - 256 с.

33. Колмогоров, А.Н. Элементы теории функций и функционального анализа / А.Н. Колмогоров, C.B. Фомин. М.: Наука, 1976. - 544 с.

34. Курило, А.П. Аудит информационной безопасности / А.П. Курило, С.А. Зефиров, В.Б. Голованов и др. — М.: Издательская группа «БДЦ-пресс», 2006. 304 с.

35. Кустов, Г.А. Задача управления информационными рисками компании добровольного медицинского страхования / Г.А. Кустов // Вестник УГАТУ, серия «Управление, вычислительная техника и информатика». -Уфа: УГАТУ, 2007. Т.9. - № 4(22). - С. 77-84.

36. Маклейн, С. Гомология / С. Маклейн. М.: Мир, 1966. - 544 с.

37. Мальцев, А.И. Алгебраические системы / А.И. Мальцев. М.: Наука, 1970.-392 с.

38. Мальцев, А.И. Алгоритмы и рекурсивные функции /А.И. Мальцев. -М.: Наука, 1965.-392 с.

39. Медведовский, И.Д. Анализ рисков информационных систем компаний: Учебный курс / И.Д. Медведовский, С.А. Петренко, С.А. Нестеров. -M.: Digital Security, 2005. 110 с.

40. Методология функционального моделирования IDEF0: Руководящий документ. М.: ИПК Издательство стандартов, 2000. - 75 с.

41. Миронов, Н.П. Лекции по математическому анализу. (Основные структуры математического анализа): Учеб. пособие для студентов физ.-мат. фак. пед. вузов / Н.П. Миронов. Елабуга: Изд-во ЕГПУ, 2000. - 22 с.

42. Модели технических разведок и угроз безопасности информации: Коллективная монография. Кн. 3 / Под ред. Е.М. Сухарева. -М.: Радиотехника, 2003. — 142 с.

43. Модель анализа угроз и уязвимостей. СПб.: Digital Security, 2005. - 8 с.

44. Петренко, С.А. Политики информационной безопасности / С.А. Петренко, В.А. Курбатов. М.: Компания АйТи, 2006. - 400 с.

45. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.

46. Прикладные нечеткие системы / К. Асаи, Д. Ватада, С. Иваи и др.; пер. Ю.Н. Чернышева. М.: Мир, 1993. - 368 с.

47. Романец, Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. М.: Радио и связь, 2001. - 376 с.

48. Саати, Т. Принятие решений. Метод анализа иерархий / Т. Саати. -М.: Радио и связь, 1993. 278 с.

49. Сурмин, Ю.П. Теория систем и системный анализ: Учебное пособие / Ю.П. Сурмин К.: МАУП, 2003. - 368 с.

50. Тутубалин, П.И. Вероятностные модели обеспечения информационной безопасности автоматизированных систем обработки информации и управления: Монография / П.И. Тутубалин, B.C. Моисеев. Казань: РИЦ «Школа», 2008. - 144 с.

51. Хамханов, K.M. Основы планирования эксперимента: Методическое пособие / K.M. Хамханов. Улан-Удэ: Изд-во ВСГТУ, 2001. - 94 с.

52. Хоффман, Л. Современные методы защиты информации / Л. Хоффман. -М.: Сов. Радио, 1980. 264 с.

53. Цаленко, М.Ш. Моделирование семантики в базах данных / М.Ш. Цаленко. М.: Наука, 1989. - 288 с.

54. Черемушкин, A.B. Лекции по арифметическим алгоритмам в криптографии / A.B. Черемушкин. М.: МЦНМО, 2002. - 104 с.

55. Яглом, И.М. Необыкновенная алгебра /И.М. Яглом. — М.: Наука, 1968. -72 с.

56. Ярушкина, Н.Г. Основы теории нечетких и гибридных систем: Учебное пособие / Н.Г. Ярушкина. М.: Финансы и статистика, 2004. - 320 с.