Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации. В своем понимании, риск — это возможность того, что произойдет какое-то негативное событие, имеющее свою оценку (размер возможного ущерба) и вероятность того, что он наступит. Риск информационной безопасности (ИБ) представляет собой возможность нарушения ИБ с неблагоприятными последствиями для организации [1].
С методологической стороны верным подходом к решению проблем ИБ является обнаружение элементов информационных взаимоотношений и заинтересованности этих элементов, которые связаны с использованием информационных систем (ИС). Обратной стороной использования современных информационных технологий являются угрозы информационной безопасности организации.
Методика оценки рисков на соответствие информационной безопасности (ОРС ИБ) объектов аудита рассчитана для оценки автоматизированных ИС организаций на соответствие требованиям и условиям нормативных документов. Целью методики ОРС ИБ является установление степени ИБ объектов аудита по разным сферам контроля, которая выражена в численной форме, а также определение в наибольшей степени проблематичных областей со стороны информационной безопасности.
С учетом того, что оценка ИБ объектов аудита представляет собой сложную научную задачу, которая требует принятия во внимание множества разных аспектов, то максимально подходящей методикой решения задачи оценки является использование методов многокритериальной оценки на основании иерархии признаков [2].
Для создания общего рейтингового списка формируется единая шкала степеней информационной безопасности.
Данная методика аудита информационной безопасности обладает комплексным характером, многофункциональна и приспособлена к разным видам объектов при организации аудита информационной безопасности. Например, если есть необходимость принимать во внимание более подробную информацию об определенных аппаратных, а также программных продуктах эксперт производит оценку влияния на многофункциональные области системы ИБ.
Методика ОРС ИБ состоит из трех основных стадий, каждая из которых состоит из блоков (см. рисунок 1)
Рис. 1. методика ОРС ИБ
Стадии I и II — являются наиболее значимыми, осуществление этих стадий производится экспертами в сфере информационной безопасности.
Стадия I — формирование иерархий признаков. Он необходим для постройки системы признаков, которая может обеспечить учет совершенно всех главных аспектов требований, таких как международные, федеральные, а также отраслевые, затрагивающих ИБ компьютерных информационных систем (КИС). На этой стадии производится формировка направленности, по которой будет происходить оценка информационной безопасности КИС, в пределах направленности — разделы, в самих разделах будут созданы вопросы, т. е. требования.
Стадия II — подготовка к экспертной оценке. Существует 2 этапа данной стадии:
1. Этап распределения (ранжирования) признаков;
2. Этап формирования согласованных мнений экспертов.
Этап распределения специализирован для размещения взвешенных показателям групповым признакам в каждой сфере контроля (область контроля), а также признакам степени соотношения внутри каждой группы.
Для определения признаков применяются мнения экспертов, которые расценивают значимость разных признаков [3]. В этой методике есть одна проблема, которая связана с тем, что в разных случаях могут быть различными и разнообразными мнения экспертов. Именно для обнаружения, а также ликвидации результатов различных мнений экспертов, используется этап вычисления степени согласованности мнений экспертов.
Стадия III — экспертная оценка, а также подсчет обобщенного признака по сфере контроля. Она необходима для осуществления аудита и получения оценок соответствия требованиям и условиям нормативных документов.
Индивидуальные показатели информационной безопасности компьютерных информационных систем основываются на оценке параметров информационной безопасности КИС с помощью контроля настроек информационных систем требованиям информационной безопасности. В этом случае может быть использован один из двух методов:
– метод базового анализа;
– метод углубленного (расширенного) анализа.
В методе базового анализа критерий оценки — это соответствие либо несоответствие настроек компьютерных информационных систем требованиям информационной безопасности. В данной методе применяются вопросы-требования, которые позволяют напрямую произвести оценку соответствующего признака ИБ. Если они полностью удовлетворяют требованиям, то будет выставлено значение 1, в противном случае будет выставлено значение 0, если же частично удовлетворяет требованиям, будет выставлено значение в интервале от 0 до 1. При методе углубленного анализа необходимо использовать дополнительные данные, к примеру, о технических аспектах ИБ организации, которые были получены на стадии исследования экспертами, которые проводят аудит.
На I стадии, стадии формирований иерархий признаков — составляется иерархия признаков с 10 сферами контроля. Каждая из сфер контроля можно разделить на подразделы (разделы), которые характеризуются показателями групп PGxi (блок 1), где: x — номер сферы контроля; i =1,m; m — количество показателей групп (разделов) в сфере x.
Уровень соответствия информационной безопасности по сферам контроля формируется обобщенными признаками по сферам контроля. Как говорилось ранее, каждая сфера контроля разделена на несколько подразделов, которые характеризуют разные аспекты информационной безопасности в рамках одной сферы контроля, т. е. формируют показатели групп. В следующем этапе в каждом подразделе строится комплекс характеристик соответствия информационной безопасности (KHS) (блок 2) — эти характеристики требований нормативных документов по информационной безопасности. В результате этих действий в каждой сфере контроля будет образована иерархическая система признаков.
Эта методология организации иерархии системы признаков для каждой сферы контроля схематически изображена на рисунке 2.
Рис.2. Иерархическая система показателей сферы контроля
В конечном итоге, комплекс характеристик соответствия информационной безопасности (KHS) сформировываются показатели групп, в свою очередь показатели групп (PG) сформировываются в обобщенные коэффициенты по сферам контроля (OKSK), обобщенный показатель по области контроля (OPOK).
Далее на основании рассчитанных обобщенных коэффициентов по сферам контроля OKSK высчитывается итоговый показатель уровня информационно безопасности корпоративной информационной системы организации.
Данная методика аудита информационной безопасности обладает комплексным характером, многофункциональна и приспособлена к разным видам объектов при организации аудита информационной безопасности.
Результаты, которые будут получены с помощью этой методики уровня соответствия информационной безопасности могут использоваться самостоятельно для анализа защищенности корпоративной информационной системы аудируемой организации,
Литература:
- Галицкий, А. В. Защита информации в сети — анализ технологий и синтез решений / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. — М.:ДМК Пресс, 2004. — 616 с.
- Домарев, В. В. Безопасность информационных технологий. Системный подход / В. В. Домарев — К.: ООО «ТИД «ДС», 2004. — 992 с.
- Марков, О. Н. Оценка соответствия информационной безопасности объектов требованиям нормативных документов / О. Н. Марков, Е. В. Кусов, Я. М. Гвоздик // Проблемы информационной безопасности. Компьютерные системы. — СПб.: ФГАОВО «Санкт- Петербургский политехнический университет Петра Великого», 2009. — С. 62–71.
