Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Исаев Александр Сергеевич

Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений
<
Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Исаев Александр Сергеевич. Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений: диссертация ... кандидата технических наук: 05.13.19 / Исаев Александр Сергеевич;[Место защиты: Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики].- Санкт-Петербург, 2015.- 187 с.

Содержание к диссертации

Введение

ГЛАВА 1. Анализ международной и российской нормативно–правовой документации 12

1.1. Анализ международной нормативной документации по вопросам управления информационной безопасностью 12

1.2. Обзор Российской нормативно–правовой документации по вопросам обеспечения защиты информации и управления информационной безопасностью 18

1.3. Определение основных направлений мероприятий по обеспечению защиты информации 21

1.4. Определение основных направлений управления информационной безопасностью в организациях различного рода деятельности 22

1.5. Формирование концептуальных принципов управления информационной безопасностью 24

1.6. Классификация процессных составляющих управления информационной безопасностью 28

1.7. Типовой подход к построению систем защиты информации и сопутствующие ему недостатки 29

1.8. Место и роль метода управления информационной безопасности на основе динамических экспертных систем поддержки принятия решений в рамках системы защиты информации 36

1.9. Формулировка задачи диссертационного исследования 40

Выводы по главе 42

ГЛАВА 2. Метод управления инормационной безопасностью на основе динамических экспертных систем поддержки принятия решений 43

2.1. Основные мероприятия по обеспечению информационной безопасности 43

2.2. Определение состава процессов управления информационной безопасностью 50

2.3. Проблема принятия управленческих решений при управлении информационной безопасностью 51

2.4. Процесс управления рисками и угрозами информационной безопасности 61

2.4.1. Общее описание процесса 61

2.4.2. Определение априорной возможности реализации угроз информационной безопасности на основе динамических экспертных систем поддержки принятия решений 66

2.4.3. Определение степени опасности реализации угроз информационной безопасности с учетом динамических экспертных систем поддержки принятия решений 69

2.4.4. Определение пост априорной оценки возможности реализации угроз информационной безопасности 72

2.5. Структура метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений 75

Выводы по главе 87

ГЛАВА 3. Комплексная модель управления взаимодействием данных в системе обеспечения иб на основе процессного подхода 88

3.1. Модель данных процесса формирования и поддержания актуальности информационно– справочной системы по вопросам информационной безопасности 88

3.2. Модель данных процесса управления защищаемыми активами организаций различного рода деятельности 89

3.3. Модель данных процесса управления ресурсами системы защиты информации 91

3.4. Модель данных процесса управления информационной безопасностью при работе с персоналом организаций различного рода деятельности 93

3.5. Модель данных процесса управления информационной безопасностью при информационном обмене и сотрудничестве с третьими лицами 95

3.6. Модель данных процесса управления информационной безопасностью при осуществлении жизненного цикла автоматизированных и информационных систем 97

3.7. Модель данных процесса управления обеспечения непрерывности функционирования автоматизированных и информационных систем 100

3.8. Модель данных процесса управления инцидентами информационной безопасности 102

3.9. Модель данных процесса управления доступом к защищаемым информационным активам, автоматизированным и информационным системам 103

3.10. Модель данных процесса управления рисками и угрозами информационной безопасности 105

3.11. Модель данных процесса управления аудитом информационной безопасности 107

3.12. Модель данных процесса управления анализом эффективности систем защиты информации 109

3.13. Модель данных процесса управления задачами по обеспечению информационной безопасности 112

3.14. Комплексная модель управления взаимодействием данных в системе обеспечения ИБ на основе процессного подхода 114

3.15. Оценка эффективности системы защиты информации с применением разработанного

метода и модели управления информационной безопасности 118

Выводы по главе 121

Заключение 122

Список литературы 126

Определение основных направлений мероприятий по обеспечению защиты информации

Управление информационной безопасностью достаточно широко обсуждаемая тема в международном сообществе. Доказательством данного факта является наличие серии международных стандартов [17,18,19,20,21,22,23,24,25,26], разработанных общими усилиями Международной организацией по стандартам и Международной электротехнической комиссией. Работа над стандартами была начата в 1999 году и в итоговом варианте документы увидели свет в начале 2000 года, в виде первой части, в которой на достаточно простом уровне описывалась сложившаяся проблематика современных тенденций развития информационной безопасности [61] и давались практические рекомендации по осуществлению внедрения механизмов управления информационной безопасности. Спустя несколько лет, в 2002 году была выпущена вторая часть документа, описывающая общую спецификацию предлагаемых первой частью документа решений, затем последовали сопутствующие документы серии. Следует отметить, что серия стандартов продолжает развиваться, а ряд стандартов, входящих в серию, постоянно пересматривается и обновляется. Итоговая версия второй части документа получила широкую известность и одобрение в международном сообществе, результатом данных изысканий послужил выход стандарта ISO\IEC 27001.

В процессе проведения диссертационного исследования стандартам [17] и [18] было уделено особое внимание. В частности, первый стандарт описывает основные принципы организации управления информационной безопасности, для организаций различного рода деятельности, в то время как второй стандарт больше уделял внимание непосредственным механизмам управления информационной безопасностью, с последовательным разбиением шагов по реализации каждого из предложенных механизмов.

ISO\IEC 27000 является своего рода предисловием к остальным документам серии [60], основное назначение которого сводится к описанию сферы влияния каждого из стандартов, а также описанию общих принципов и причин возникновения стандарта. Дается руководство по использованию содержания стандартов при введении системы менеджмента информационной безопасности в организации, а также описание основных процессных составляющих и актуальности внедрения данной системы. Согласно структуре ISO\IEC 27000, семейство (серия) стандартов представляет из себя логически связанные документы, систему менеджмента информационной безопасности. Схема связей документов, входящих в серию, представлена на рисунке Основной целью данной серии является введение системы менеджмента информационной безопасности в организациях различной величины и рода деятельности. В приложении к документу представлены словестные формы выражения стандартов, категорированный перечень терминов по информационной безопасности, применяемых в стандарте.

Согласно положениям ISO\IEC 27001 система менеджмента информационной безопасности должна иметь процессный характер, придерживающийся положениям цикла Деминга – Шухарта, заключающимся в последовательности действий по планированию процесса, его осуществлении и последующей проверки, после чего должно идти изменение заключающееся в плавном пересмотре подходов и актуализации внимания на последующее планирование, после чего цикл повторяется. В соответствии с требованиями стандарта, руководство организации должно определить границы действия систем управления информационной безопасностью, после чего сформировать политику управления информационной безопасностью, формирующую концептуальные характеристики бизнеса организации, совокупность её активов и применяемых информационных технологий. Следующим ключевым этапом должна являться оценка рисков и выбор метода их обработки, с целью формирования единой системы взглядов на вопросы обеспечения и управления информационной безопасностью в организации. Последующим этапом должно служить выявление рисков, согласно выбранному методу, подходящему для конкретной организации. Выявление рисков предполагается осуществлять посредством формирования перечня активов и их владельцев, с целью выявления слабых мест, уязвимости которых могут дать толчок для реализации угроз информационной безопасности, в совокупности с выявлением деструктивных воздействий на данные активы с точки зрения информационной безопасности.

Следующим промежуточным этапом является оценка выявленных рисков и формирование стратегии управлениям ими, заключающейся в: изменении параметров защиты и\или управления; принятии рисков, в случае удовлетворения условиям (ранее описываемой) политики; избавление от рисков; возложение ответственности за данные риски на сторонние организации, или передача рисков.

В результате принятия определенной стратегии управления рисками, согласно стандарту, должно последовать снижение уровня риска до приемлемого уровня – остаточного риска. Таким образом, система управления информационной безопасностью организации является документированной и готовой для внедрения. Согласно положениям ISO\IEC 27001 процесс реализации и эксплуатации системы менеджмента информационной безопасности должен заключатся в:

Таким образом, согласно циклу Деминга – Шухарта, вышеописанные действия являются процессами планирования и осуществления, после которых должны следовать процессы проверки и пересмотра предыдущих действий (совершенствования), что и описывает оставшаяся часть стандарта. Особое внимание уделяется процессам документирования требований и политик организации в области информационной безопасности и их защиты, а также формализации механизмов реагирования на инциденты информационной безопасности, совместно с повсеместным «Управлением записями», которое подразумевает постоянное ведение журналов, протоколов и форм разрешения доступа, связанных как с активами и их рисками, так и с процессами обеспечения информационной безопасности организации. Также стоит отметить существенное акцентирование внимания содержания документа на вопросы совершенствования системы менеджмента информационной безопасности. Согласно данным акцентам совершенствование должно осуществляться по результатам проведения отдельной процедуры – собственного аудита системы, целью которого является проверка соответствия системы бизнес требованиям, эффективности механизмов управления информационной безопасностью и корректности выполнения функций защиты.

Результатом такой процедуры должно являться аналитическое заключение о возможности улучшения, дополнения или видоизменения системы, способствующее дальнейшему совершенствованию и развитию системы управления информационной безопасностью. В приложении к стандарту дается перечень приложений, основная цель которых – попытка формализованного представления целей и средств управления информационной безопасностью.

Своего рода логическим продолжением вышеописанного стандарта, является стандарт ISO\IEC 27002. По сути данный стандарт дает более детальное описание действий, представленных в 27001, однако расширяющий область своего действия до описания процессов управления активами, описания последовательности приема в штат и подбора новых сотрудников, с целью выполнения требований по информационной безопасности и последовательности действий в случае прекращения дальнейшего сотрудничества с сотрудниками организации. Также отдельное внимание уделено таким аспектам как физическая и экологическая безопасности, включая защиту периметра, оборудования, сотрудников от внешних экологических угроз, раскрывая особенности процессов утилизации использованных носителей информации и оборудования, а также их повторного использования.

Проблема принятия управленческих решений при управлении информационной безопасностью

Основываясь на результатах проведённого анализа Российской и международной нормативно–правовой документации [1-27], в рамках диссертационного исследования были определены основные направления в области обеспечения информационной безопасности, в организациях различного рода деятельности. К таким направлениям в организациях различного рода деятельности относятся: 1. Обеспечение непрерывности работы информационных систем и информационно– телекоммуникационных сервисов. 2. Обеспечение мониторинга, выявления и реагирования на события информационной безопасности. 3. Обеспечение информационной безопасности на различных этапах развития информационных систем, а также поддержание и продление жизненных циклов информационных систем организации. 4. Обеспечение информационной безопасности при осуществлении работы с сотрудниками организации, превышение их квалификации и общей компетенции по вопросам информационной безопасности; 5. Обеспечение информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими сторонами; 6. Обеспечение рационального разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

Данные направления в обеспечении защиты информации являются основными, и любой процесс в рамках деятельности по защите информации может быть к ним отнесен, таким образом вводя единую систему классификации деятельности по обеспечению информационной безопасности. Необходимость пропорционального развития каждого из данных направлений обуславливается их взаимосвязанностью. Отсутствие должного уровня развития одного из направлений, по сравнению с другими, неминуемо приведет к нерациональному и слабоэффективному использованию ресурсов системы защиты информации, а также к финансовым потерям со стороны организации, не говоря уже об увеличении вероятности реализации угроз информационной безопасности и сопутствующему увеличению уровня риска, для активов организации.

Учитывая явное процессное распределение деятельности данных направлений, а также ассоциируемую децентрализацию их реализации, обеспечение своевременного и рационального управления данными процессами является одним из основополагающих вопросов современной системы защиты информации [32,34]. Управление данными направлениями позволит существенно упростить реализацию механизмов системы защиты информации, проследить за планомерностью развития каждого из направлений и даст возможность грамотно перераспределить материальные ресурсы между направлениями, что поможет существенно увеличить эффективность реализованных механизмов защиты информации при сохранении текущего уровня расходов организации на защиту информации.

Таким образом, управление процессами обеспечения информационной безопасности является важной, неотъемлемой составляющей любой системы защиты информации в каждой организации.

Определение основных направлений управления информационной безопасностью в организациях различного рода деятельности

Основываясь на результатах проведённого анализа Российской и международной нормативно–правовой документации [1-27], в рамках диссертационного исследования, а также с учетом основных направлений в сфере обеспечения информационной безопасности, были определены основные направления в области управления информационной безопасностью в организациях различного рода деятельности. К итоговым направлениям управления информационной безопасностью в организациях различного рода деятельности [31] относятся:

Управление процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

В зависимости от уровня зрелости организации в вопросах информационных технологий и защиты информации, а также принимая во внимание различность специфики рода деятельности каждой организации, в связи с чем к ним могут быть применимы различные нормативно– правовые требования в области защиты информации, отдельные направления могут иметь различные приоритеты, однако с учетом необходимости построения комплексной системы защиты информации данные направления будут присущи любой организации. Следует обратить внимание, что реализация системы управления [63] информационной безопасностью не должна преследовать за собой цель обеспечения информационной безопасности и совмещать или дублировать средства защиты информации, а должна быть направлена лишь на увеличение эффективности действующих средств защиты, поддерживать процессы развития информационно–телекоммуникационной структуры организации и предоставлять актуальную информационно–справочную поддержку по вопросам обеспечения информационной безопасности, с целью своевременного принятия корректирующих и предупреждающих воздействий и решений, основываясь на: - регламентации процессов защиты информации; - учете и классификации защищаемых активов; - учете и классификации ресурсов системы защиты информации; - постоянном анализе рисков информационной безопасности и актуализации модели угроз информации мониторинге событий информационной безопасности; уровне компетенции и профессиональных возможностей сотрудников организации и обслуживающего персонала; степени нагрузки\занятости и профессиональной истории специалистов по защите информации; анализе накопленных данных по вопросам информационной безопасности.

Таким образом, одними из неотъемлемых составляющих любой системы управления информационной безопасностью должны являться регламентация и реализация механизмов по: централизованному сигнализированию и уведомлению сотрудников организации и специалистов по защите информации о событиях внутри системы управления в частности и системе защиты информации в целом. анализу событий внутри системы управления и системы защиты информации, что позволит существенно упростить управление информационной безопасностью и снизить нагрузку на аналитиков по информационной безопасности.

Модель данных процесса управления защищаемыми активами организаций различного рода деятельности

При определении пост априорной оценки возможности реализации угроз информационной безопасности заложены структура динамических экспертных систем поддержки принятия решений и метод экспертной оценки. Основой, для принятия решений при оценки возможности реализации угроз информационной безопасности является совокупность информации в статической и динамической базе данных. Динамическая база данных содержит перечень необходимой информации по информационной системе, включая сведения о типах и составе защищаемых активов, средств и механизмов защиты информации, совместно с уникальным перечнем атрибутов и метаинформации по каждому конкретному активу и средству защиты информации.

Статическая база данных содержит перечень служебной информации и составляемых правил взаимодействия, как внутри собственной структуры, так и внешних (динамической БД). В её состав входят: - информация по каждой из существующих (в рамках модели) угроз безопасности информации, включая: o объект воздействия; o способы реализации уязвимости, характерной для данной угрозы; - условие (совокупность условий) наличия данной угрозы для защищаемого актива (объекта воздействия). Для построения первичных правил используется фиксированная привязка следующих параметров друг к другу: - «Тип актива» – «Угроза»; - «Угроза» – «Условие возникновения угрозы»; - «Угроза» – «Меры перекрытия угрозы»; - «Меры перекрытия угрозы» – «Средства перекрытия». Поскольку условие возникновение угрозы напрямую зависит от сочетания типа актива и присущих ему угроз, значение параметра «Условие возникновения угрозы» будет варьироваться в значениях (): 1 – условие возникновения угрозы существует; 0 – условие возникновения угрозы не существует. Количество и состав условий определяется для каждой угрозы отдельно, на этапе работы по наполнению экспертной системы данными, с учетом совокупного мнения опрашиваемых экспертов.

Основываясь на знаниях об условиях возникновении угроз и типах активов, подверженных угрозе, на этапе наполнения экспертной системы данными происходит формализация мер перекрытия угрозы, для каждой из которых вводятся соответствующие средства перекрытия. В случае необходимости перекрытия угрозы совокупностью мер, для каждой из мер вводится процентная градация степени перекрытия угрозы (X).

Для каждого средства перекрытия конкретной меры определяется максимальное значение, устанавливающее полноту перекрытия меры данным средством. Основываясь на результатах опроса экспертов в области информационной безопасности, устанавливаются следующие значения полноты перекрытия меры средством перекрытия (R):

Основные преимущества использования предложенного подхода заключаются в: объективности оценки возможности реализации угрозы, с учетом совокупного мнения множества экспертов; формализации используемых параметров оценки вероятности реализации угроз информационной безопасности; автоматизации выполнения процесса; учете требований и существующих средств и мер защиты информации, действующих в организации; существенном сокращении периода проведения оценки: упрощении актуализации и проведения переоценки; сокращение нагрузки на аналитиков в области информационной безопасности; установление логической взаимосвязи параметров, используемых при оценки вероятности реализации угроз информационной безопасности; статистической достоверность полученных результатов; отсутствии человеческого фактора; возможности дальнейшего использования и актуализации собранной информации, достигаемой посредством использования средств автоматизации. 2.5. Структура метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений

В основу разработанного метода управления информационной безопасностью заложены динамические экспертные системы поддержки принятия решений. Исходя из уточнённого определения понятия «Управление информационной безопасностью», а также основываясь на процессом представлении обеспечения информационной безопасностью, управление всей информационной безопасностью в организации должно быть основано на комплексном подходе к управлению каждым из процессов обеспечения информационной безопасности в организации.

В процессе проведения анализа международной и Российской нормативно–правовой документации был выявлен следующий перечень основных процессов, на управлении которыми основывается метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений:

Управление процессами обеспечения информационной безопасности на различных этапах развития информационных систем, а также поддержания и продления жизненных циклов информационных систем организации. 11. Управление процессами обеспечения информационной безопасности при осуществлении работы с сотрудниками организации, повышении их квалификации и общей компетенции по вопросам информационной безопасности.

Управление процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

Структура типовой динамической экспертной системы поддержки принятия решений состоит из: - пользовательского интерфейса системы, обеспечивающего работу целевых пользователей и экспертов с системой; - целевой аудиторией пользователей системы; - интеллектуального редактора базы знаний, обеспечивающего формирование новых сведений о системе и актуализации исходных данных; - экспертной группы, участвующей в процессе формирования требований исходных данных по самой системе и её составным частям; - группы инженеров знаний, участвующих в преобразовании, систематизации и распределении классификаторов по типам данных, сформированной экспертной группой; - рабочей памяти системы, обеспечивающей взаимодействие данных; - базы знаний с разработанными классификаторами от экспертной группы, преобразованной и распределенной по систематизированным правилам группой инженеров знаний; - механизма вывода, осуществляющего анализ исходных и актуализированных данных на основе сформированных правил поведения системы; - подсистемы объяснений, отвечающей за аналитическое обоснование принятых решений по результатам обработки данных механизмами вывода. Таким образом, полный перечень рассмотренных и описанных выше процессов подлежит соответствующему разбиению на основные функциональные группы, исходя из их роли в рамках процессов обеспечения информационной безопасности, а именно:

Группа принятия решений по управлению информационной безопасностью и применению корректирующих и предупреждающих воздействий, в сочетании с планированием и совершенствованием механизмов защиты, действующих в рамках системы защиты информации.

Каждая из данных функциональных групп может быть представлена в виде одной из составных частей в структуре экспертной системы, отвечающей за конкретные действия в рамках данного метода управления информационной безопасностью. Если провести аналогию между процессами управления информационной безопасностью и структурой экспертной системы, отодвинув на второй план вопросы автоматизации самих процессов, мы получим полноправную экспертную систему, отвечающую за реализацию конкретного процесса в рамках организации.

Группа формирования требований и исходной информации к системе защиты информации и объектам защиты предназначена для систематизации требований внешней и внутренней нормативно–правовой документации в области обеспечения информационной безопасности в организации и должна обеспечивать формирование исходного набора информации по всем объектам защиты и механизмам системы защиты информации в привязке к возникающим нормативным требованиям. К данной группе будет относиться:

Модель данных процесса управления анализом эффективности систем защиты информации

Управление процессом формирования и поддержки актуальности информационно-справочной системы по вопросам информационной безопасности в организации является основополагающей составной части всего процесса управления информационной безопасностью. В рамках данного процесса формируются требования к системе защиты информации, опыту, квалификации и должностным\функциональным обязанностям сотрудников организации, формируется перечень мер и механизмов защиты информации, порядок проведения проверок, правила и принципы принятия решений в различных ситуациях, а также происходит анализ и корректировка требований для дальнейшего использования, опираясь на результаты работы и\или введения смежных процессов управления информационной безопасностью. С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из первоочередных в рамках функциональной группы процессов, относящихся к «Базе знаний».

Основным подходом к управлению настоящим процессом должно являться строгое разделение общего потока документов на два основных типа: внешние нормативно-правовые документы организации и внутренние документы организации, а также последующая их структуризация, основанная на результатах деятельности административного персонала организации, функционирования информационных и автоматизированных систем, взаимодействия со сторонними организациями (включая внешних регулирующих органов), изменений в законодательной базе и т.д. Общая схема модели взаимодействия данных процесса формирования и поддержания актуальности информационно-справочной системы по вопросам информационной безопасности при реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.1.1.

Управление потоком данных данного процесса является ключевым аспектом в деятельности организации и подразделений по защите информации при реализации системы защиты информации и служит плацдармом для построения дальнейшего взаимодействия между процессами информационной безопасности. Процесс формирования и поддержания актуальности информационно–справочной системы по вопросам информационной безопасности

Модель данных процесса управления защищаемыми активами организаций различного рода деятельности

Процесс управления защищаемыми активами организаций различного рода деятельности является следующей составной частью общего процесса управления информационной безопасностью в рамках предлагаемого метода. Общая схема модели взаимодействия данных процесса управления защищаемыми активами организации при реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.2.1.

Основываясь на деятельности группы экспертов, формирующих требования к настоящему процессу в привязке к требованиям информационно-справочной системы организации по вопросам информационной безопасности, проводится первичное определение общего количества, состава и классификации защищаемых активов организации. Определяются владельцы активов в рамках бизнес-процессов организации, а также ответственные за актив лица. Определяются правила предоставления доступа к активу со стороны внутренних пользователей организации и внешних привлеченных сотрудников сторонних организаций, осуществляемого в рамках информационного взаимодействия.

Таким образом формируется паспорт защищаемых активов, в которых в любой момент времени должна отображаться актуальная информация по текущему состоянию всех защищаемых активов, используемая в рамках смежных процессов управления информационной безопасностью. В рамках настоящего метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений, из информации по защищаемым активам организации экспертной группой определяются основные минимально значимые структурные единицы организации, в отношении которых будет сроится дальнейшее управление. К таким единицам могут относится автоматизированные или информационные системы, функционирующие в организации. Данный подход дает возможность структурировать и систематизировать требования в области обеспечения информационной безопасности как ко всей системе в целом, так и к конкретным аспектам в частности. Следует отметить, что с точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Базе знаний», а процесс формирования структурных единиц к группе «Эксперт и инженер знаний»

3.3. Модель данных процесса управления ресурсами системы защиты информации

Процесс управления ресурсами системы защиты информации является составной частью общего процесса управления информационной безопасность в рамках предлагаемого метода. Данный процесс во многом схож с процессом управления защищаемыми активами организации и объясняется это прежде всего схожестью данных понятий. Также, как и для защищаемых активов, группа экспертов формирует требования к ресурсам системы защиты информации, основываясь на требованиях внешней и внутренней документации организации, сформированных в рамках информационно-справочной системы организации по вопросам информационной безопасности. Далее идет определение состава, количества и перечня выполняемых функций данных ресурсов, после чего определяется ответственный за функционирование данных ресурсов, а также определяются общие и частные правила доступа к ресурсу как со стороны внутреннего персонала, так и со стороны представителей сторонних организаций. Общая схема модели взаимодействия данных процесса управления ресурсами системы защиты информации при реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.3.1.