Содержание к диссертации
Введение 4
Термины и определения 10
1. Основные принципы, методы формирования и структура
профиля защиты в автоматизированных банковских системах
1.1 Оценка современного состояния автоматизированных
банковских систем
Отраслевые стандарты в области информационной безопасности
Методология по формированию и оценке профилей защиты
2. Модель конкурентного взаимодействия субъектов банковской
системы РФ и метод обоснования ПЗ на основе данной модели
Введение понятия конкуренции применительно к информационным системам
Методика построения модели 56
Определение нормализованного актива 57
Определение конкурентоспособности 61
Конкурентная модель взаимодействия 62
Метод обоснования профиля защиты на основе
конкурентной модели
3. Метод выполнения оценки на базе моделирующего комплекса 69
Сбор и обработка статистических данных 69
Расчет показателей. 78
3.3 Принятие решения на основе показателей 89
4. Анализ результатов полученных при применении моделирующего комплекса
Заключение 96
Список литературы 98
Введение к работе
Актуальность темы
В последние годы в банковской деятельности обострилась проблема обеспечения безопасности данных. Она включает в себя несколько аспектов. Во-первых, это гибкая, многоуровневая и надежная регламентация полномочий пользователей. Ценность банковской информации предъявляет особые требования к защите данных от несанкционированного доступа, в том числе к контролю управления процессами, изменяющими состояние данных. Во-вторых, наличие средств для поддержания целостности и непротиворечивости данных. Подобные средства подразумевают возможность осуществления контроля вводимых данных, поддержки и контроля связей между данными, а также ввода и модификации данных в режиме транзакций — набор операций, обеспечивающих поддержание согласованности данных. В-третьих, присутствие в системе многофункциональных процедур архивации, восстановления и мониторинга данных при программных и аппаратных сбоях.
Обеспечение безопасности информационных банковских систем представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности является выработка системы требований, критериев и показателей для оценки уровня безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 15408 определяет критерии, за которыми исторически закрепилось название "Общие критерии" (ОК). ОК предназначены для использования в качестве основы при оценке
5 характеристик безопасности продуктов и систем информационных технологий . Устанавливая общую базу критериев, ОК делают результаты оценки безопасности значимыми для более широкой аудитории.
Совокупность требований безопасности, взятых из ОК или сформулированных в явном виде представляются в виде профиля защиты, оценка и обоснование которого выполняется согласно критериям оценки, содержащимся в части 3 ОК. Целью такой оценки является продемонстрировать, что профиль полон, непротиворечив, технически правилен и пригоден для использования при изложении требований к объекту оценки, предполагаемому для оценки.
Обоснование же включает в себя следующее.
а) Логическое обоснование целей безопасности, демонстрирующее,
что изложенные цели безопасности сопоставлены со всеми аспектами
среды безопасности.
б) Логическое обоснование требований безопасности,
демонстрирующее, что совокупность требований безопасности пригодна
для достижения целей безопасности и сопоставима с ними.
Тем не менее отсутствие методологии экономического обоснования и оценки профиля защиты в настоящее время приводит к отсутствию к стремлению внедрения ОК.
Разработка модели обоснования, опирающаяся на экономические показатели деятельности будет стимулировать внедрение ОК в различные отраслевые сферы, в частности в сфере банковских информационных технологий. Это позволит значительно повысить уровень безопасности банковских информационных систем. Увеличит доверие к ним как со стороны пользователей (банковских организаций), так и стороны конечных потребителей банковского продукта.
Цель диссертационной работы
Целью диссертационной работы является исследование и разработка модели и метода обоснования профиля защиты в соответствии с ГОСТ Р ИСО/МЭК 15408, для автоматизированных систем организаций банковской системы РФ.
Объект и предмет исследования
Объектами исследования в данной работе являются профили защиты для автоматизированных банковских в соответствии с ГОСТ Р ИСО/МЭК 15408.
Предметом исследований выступают модель и методы обоснования профиля защиты для автоматизированных систем организаций банковской системы РФ, при которых исходными данными являются экономические показатели банковской деятельности
Методы исследования
При решении поставленных задач использованы: статистические методы, методы нечеткой логики, графические методы (графическое отображение больших объемов статистических данных), что позволило выявить определенные закономерности.
Основные научные положения, выносимые на защиту
Модель взаимодействия субъектов банковской системы РФ, на основе конкуренции.
Модель перераспределения освоенного ресурса между членами банковской популяции.
Метод подтверждения соответствия профиля защиты отраслевым целям и среде безопасности.
7 Основные результаты работы
Построена модель для оценки профиля защиты автоматизированных систем на основе экономических показателях деятельности организаций входящих в банковскую систему РФ.
Разработаны практические методы о выявлении соответствии функциональных требований и требований доверия среде и целям безопасности в профилях защиты автоматизированных систем банковской отрасли.
Предложены способы использования апробированных профилей защиты в последующих реализациях информационных систем банковской сферы.
Научная новизна
Научная новизна заключается:
Предложена новая модель взаимодействия субъектов банковской системы РФ, на основе конкуренции. Эта модель позволяет учитывать взаимодействия членов банковской системы, как субъектов банковской популяции.
Предложена новая модель перераспределения освоенного ресурса между членами банковской популяции. Которая позволяет оценивать эффективность жизнедеятельности на основе динамики изменения экономических показателей.
Предложен новый метод подтверждения соответствия профиля защиты отраслевым целям и среде безопасности, который состоит в использовании реальных экономических параметров жизнедеятельности систем при оценке профилей защиты.
Практическая ценность
Практическая ценность данной работы заключается в сочетании экономических и технических показателях оценке автоматизированных
8 систем, что позволит более тесную интеграцию различных отделов организаций банковской системы РФ. Таким образом, управленческому аппарату будут донесены необходимости действий предпринимаемых в сфере информационной безопасности организации на понятным ему экономическом уровне, а не только в виде технических подробностей. Управленческий аппарат функционирует на основе аналитических данных по экономическим показателям деятельности и не всегда способен к восприятию сугубо технических подробностей. В свою очередь технические службы не в состоянии соизмерять предпринимаемые технические меры безопасности с финансовыми результатами, что ведет к взаимному недопониманию стратегии организации в сфере информационной безопасности.
Апробация работы
Основные положения и результаты диссертационной работы докладывались и обсуждались на семинарах кафедры БИТ и конференциях:
на IV межвузовской конференции молодых ученых (Санкт-Петербург, апрель 2008);
на XI научно-практической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, май 2007)
на научно-технической конференции «День антивирусной безопасности» (Санкт-Петербург, октябрь 2007);
на XXXVII научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2008);
на V межвузовской конференции молодых ученых (Санкт-Петербург, апрель 2008);
на XII научно-практической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, май 2008);
на XI Санкт-Петербургской межрегиональной конференции «Региональная информатика 2008 (РИ-2008)» в рамках круглого стола «15 лет российскому закону «о государственной тайне» (Санкт-Петербург, октябрь 2008).
Внедрение результатов
Результаты работы реализованы в учебном процессе кафедры БИТ
СПбГУ ИТМО по специальности 075300 «Экономика защиты
информации» і
Публикации по теме диссертации
Основные положения диссертации отражены в 4-х сборниках научных трудов конференций и журналах. В том числе рецензируемых Высшей аттестационной комиссией Министерства образования и науки Российской Федерации.
Похожие диссертации на Метод и модель обоснования профиля защиты в банковских информационных системах
