кандидат технических наук
ФГАОУ ВПО "Волгоградский государственный университет"
доцент
Датская Л.В., кафедра информационной безопасности
УДК 004.056
Введение
В настоящее время основу работы любого современного предприятия, вне зависимости от формы собственности, составляет информация, представленная как в электронном виде, так и на бумажных носителях. При этом информация может быть как открытого доступа, так и ограниченного, включая различные формы конфиденциальной информации (коммерческая тайна, персональные данные и т.п.) и государственной тайны. Поэтому в соответствии с ФЗ №149 [1] различные категории информации ограниченного доступа подлежат защите. Кроме того для каждого типа информации существуют свои классы защищенности и наборы минимальных средств и механизмов которые необходимо применять в рамках своего класса. А эффективность и соответствие применяемых средств и механизмов защиты возможно оценить только посредством регулярного контроля за состоянием информационной безопасности на предприятии. Данный контроль осуществляется в рамках аудита информационной безопасности на предприятии, который, в соответствии с [2] определяется как: «… периодический и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности».
Актуальность
В практике проведения аудита информационной безопасности (ИБ) различают внешний и внутренний аудит. Внешний аудит, как правило, разовое мероприятие, проводимое по инициативе руководства предприятия. В качестве внешних аудиторов выступают организации, аккредитованные ФСТЭК России для проведения таких работ. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется подразделениями службы безопасности и защиты информации предприятия или другим подразделением по указанию руководителя организации. При проведении аудита ИБ на предприятии необходимо учитывать тип предприятия, виды обрабатываемой информации, актуальные для предприятия угрозы, используемые средства защиты и требования регулирующих органов.
Анализ методов и средств проведения аудита ИБ на предприятии [3] позволил выделить следующие основные виды аудита: экспертный аудит безопасности; активный аудит; оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК; инструментальный анализ защищённости; комплексный аудит. Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как ИС предприятия в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите. Следовательно, актуальным является решение задачи выбора наиболее рационального для предприятия метода проведения внутреннего аудита ИБ.
Исследование
Анализ покзывает, что в общем случае аудит ИБ вне зависимости от формы его проведения состоит из четырёх основных последовательных этапов:
4.Разработка рекомендаций по повышению уровня защищеннности информации, обрабатываемой на предприятии.
На четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости ИС от актуальных для предприятия угроз ИБ.
Таким образом для того чтобы выбрать наиболее подходящий для конкретного предприятия метод проведения аудита, нужно решить следующие задачи:
Таблица 1. Критерии оценки методов аудита
Название критерия |
Частные показатели критерия |
Численное значение |
Тип обрабатываемой информации (K1) |
- Информация открытого доступа (K11) - ДСП (K12) - Коммерческая тайна (K13) - Персональные данные (K14) - Государственная тайна (K15) |
0,1 0,15 0,2 0,2 0,35 |
Тип предприятия (K2) |
- Частное (K21) - Государственное (K22) |
0,4 0,6 |
Учет актуальных угроз (K3) |
- Учитывает (K31) - Не учитывает (K32) |
1 0 |
Вид проводимого аудита (K4) |
- Внутренний (K41) - Внешний (K42) |
0,5 0,5 |
Учет используемых средств и методов защиты (K5) |
- Учитывает (K51) - Не учитывает (K52) |
1 0 |
Периодический аудит (K6) |
- Да (K61) - Нет (K62) |
1 0 |
Аудит в режиме реального времени (K7) |
- Да (K71) - Нет (K72) |
1 0 |
Формализовано процедуру выбора методов проведения аудита ИБ на предприятии можно представить в виде следующего картежа:
PEA={MA, TO, KO} (1)
где МА - множество методов аудита; РЕА - процедура выбора; ТО – требования организации; КО - критерии оценки.
Множество критериев оценки (формула 2) состоит из множеств групп критериев, то есть
` ` KO={Ki}, i=1..7 (2)
где Ki - это количество групп критериев, Ki `in` [0,1], где «1» - критерий выполняется, «0» - критерий не выполняется.
Чтобы выбрать наиболее рациональный метод аудита ИБ необходимо построить матрицу отношений между критериями оценки и методами аудита, представленную в виде таблицы 2
Таблица 2. Матрица отношений.
V |
MA1 |
MA2 |
… |
MA5 |
K1 |
V11 |
V12 |
… |
V15 |
… |
… |
… |
… |
… |
K7 |
V71 |
V72 |
… |
V75 |
где V11, …, V57 – экспертная оценка выполнения критерия для каждого метода аудита.
На основании требований организации составляется эталонный вектор предпочтений (формула 3)
TOP={TOi}, i=1..7 . (3)
Наиболее рациональный метод аудита выбирается на основании сопоставления эталонного вектора предпочтений TOP с векторами оценки методов аудита MAj, сформированных на основании матрицы отношений. Вектор метода аудита, вектор оценки которого имеет наименьшее отклонение от эталонного вектора предпочтений, считается наиболее рациональным для данного предприятия (формула 4).
`E(MAj, TOP)-> min `
в качестве метрики оценки близости векторов используется Евклидовое расстояние (формула 5)
`E(MAj, TOP)=sqrt(sum(MAji-TOP i)^2)` (5)
Данная процедура для удобства работы и возможно применения ее на практике была автоматизирована в виде программы с графическим пользовательским интерфейсом, архитектура представлена на рисунке 1.
Рисунок 1 - Архитектура программы выбора методов аудита
Рисунок 2 - Пользовательский интерфейс
Рецензии:
27.04.2015, 23:50 Каменев Александр Юрьевич
Рецензия: Актуально и практически ценно. Рекомендуется к печати.
Комментарии пользователей:
Оставить комментарий