Введение к работе
з
Актуальность темы. В течение последних лет информационная безопасность (ИБ) в жизни общества приобретает одну из важнейших ролей. Это связанно, с глобальной информатизацией практически всех сфер деятельности человека, одной из которых является сфера электронной коммерции. В настоящее время существует большое количество информационных систем (ИС) электронной коммерции (В2В, В2С, B2G), в которых обрабатывается конфиденциальная информация различного рода: финансовые транзакции, персональные данные, сведения о торгах.
К информационным системам электронной коммерции типа В2В и В2С относятся ИС банковского сектора, так же к системам типа В2С могут относиться интернет магазины, автомобильные аукционы. К системам B2G относятся электронные торговые площадки для нужд государственного сектора.
Требования к безопасности ИС банковского сектора регламентируются серией стандартов Банка России, требования к безопасности интернет магазинов и автомобильных аукционов не регламентируются. Требования к безопасности электронных торговых площадок регламентируются в части использования электронной цифровой подписи для обеспечения целостности и неотказуемости от передаваемой информации.
Наряду с функциями передачи информации в электронных торговых площадках существуют функции по хранению и обработки информации, а так же закрытых ключей шифрования пользователей и персональных данных, требования, к обеспечению которых не регламентируются, следовательно, защитные механизмы отсутствуют.
Таким образом, система защиты электронных торговых площадок должна включать в себя организационные мероприятия, программно-аппаратные и технические средства защиты, обеспечивающие надежный уровень безопасности обрабатываемых в ней данных.
В развитие темы обеспечения надежного уровня функционирования систем защиты информации внесли большой вклад такие ученые как В.А. Герасименко, О.Ю. Гаценко, П.Д. Зегжда, Д.П. Зегжда, Л.Г. Осовецкий, Джон Кэррол, Дэвид Кларк, Джон Миллен, А.А. Малюк, А.А. Грушо, И.И. Быстров, B.C. Заборовский, А.А. Шелупанов, СП. Расторгуев, однако вопросы повышения надежности функционирования информационных систем в области электронной коммерции рассмотрены не достаточно глубоко.
Объектом исследования является комплексная система обеспечения информационной безопасности в объектах электронной коммерции.
Предметом исследования является аудит информационной безопасности, позволяющий оценить уровень защищенности информационной системы на основе прогнозных оценок.
Цель исследования состоит в разработке методики аудита информационной безопасности, позволяющей получить количественные прогнозные оценки уровня защищенности информационной системы на всем
4 жизненном цикле ее функционирования в условиях воздействия субъективных и объективных дестабилизирующих факторов.
Для достижения поставленной цели необходимо решить ряд следующих задач:
провести процессный анализ организаций электронной коммерции как объекта защиты и выполнить анализ подходов аудита и оценки защищенности информационных систем в организациях электронной коммерции;
разработать методику проведения аудита информационной безопасности в организациях электронной коммерции;
создать методику прогнозирования инцидентов информационной безопасности, вызванных объективными и субъективными дестабилизирующими факторами;
сформулировать модель угроз и модель нарушителей для организаций электронной коммерции;
провести внедрение в организацию электронной коммерции, исследование разработанной методики и оценить ее эффективность.
В качестве основных методов для решения поставленных задач применялись методы системного анализа, теории вероятности и математической статистики, теории случайных процессов, методы экспертного оценивания.
Научная новизна работы заключается в следующем:
1) развита теория аудита информационной безопасности организаций
электронной коммерции, позволяющая проводить оценку значимых угроз и
прогнозировать инциденты информационной безопасности;
предложена методика оценки инцидентов информационной безопасности, учитывающая объективные и субъективные дестабилизирующие факторы;
предложена модель нарушителя информационной безопасности, которая характеризует три класса нарушителей: «имеющих доступ в доверенную зону и к автоматизированной системе», «имеющих доступ в доверенную зону, но не имеющих доступа к автоматизированной системе», «не имеющих доступ в доверенную зону».
Основные положения, выносимые на защиту:
методика аудита информационной безопасности позволяющая прогнозировать инциденты информационной безопасности в информационных системах организаций электронной коммерции;
методика оценки инцидентов информационной безопасности позволяющая получить значения субъективных и объективных дестабилизирующих факторов, воздействующих на информационную систему;
модель нарушителя информационной безопасности, которая характеризует три класса нарушителей с точки зрения легальных прав доступа в доверенную зону и к автоматизированной системе.
Практическая значимость результатов заключается:
1) в повышении надежности функционирования системы защиты информации на протяжении всего жизненного цикла информационной системы, путем снижения количества инцидентов нарушения информационной безопасности;
2) в снижении затрат на систему защиты информации, путем оценки значимых угроз и нарушителей информационной безопасности.
Внедрение результатов диссертационной работы. Методика проведения аудита ИБ внедрена в «Электронных торговых площадках» Администрации Томской области (разработка ООО «Системы автоматизации бизнеса»), в «Научно-производственную фирму «Информационные системы безопасности».
Предложенная методика внедрена в учебный процесс Томского государственного университета систем управления и радиоэлектроники и используется при изучении дисциплин «Программно-аппаратные системы обеспечения информационной безопасности», «Комплексное обеспечение информационной безопасности автоматизированных систем».
Обоснованность и достоверность результатов. Обоснованы
теоретические положения, базирующиеся на использовании апробированных
методов исследования и корректном применении математического аппарата.
Достоверность научных положений, методических разработок, рекомендаций и
выводов подтверждается результатами математического моделирования и
экспериментальных исследований статистических характеристик,
разработанных методик, а также натурными экспериментами.
Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:
Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР» (Томск, 2007- 2009 ТУ СУР);
Общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2007 Политехнический университет);
3-й научно-технической конференции «Актуальные проблемы безопасности информационных технологий» (Москва, 2007 Московский инженерно-физический институт);
5-ой научно-практической конференции «Электронные средства и системы управления» (Томск, 2008, ТУСУР);
Всероссийской научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» (Томск, 2007, 2008, ТУСУР)
IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск 2007-2010, ТУСУР).
Публикации по теме диссертации
По теме диссертационного исследования имеется 12 публикаций (из них четыре статьи в журналах, рекомендованных ВАК).
Структура и состав диссертации
Диссертация состоит из введения, четырех глав, заключения и списка используемых источников. Работа изложена на 128 страницах машинописного текста, содержит 15 рисунков, 6 таблиц и 70 приложений. Библиографический список состоит из 95 наименований и размещен на 9 страницах.