Введение к работе
Актуальность выбора темы диссертационного исследования обусловлена необходимостью обеспечения информационной безопасности при создании, развитии и эксплуатации корпоративного хранилища данных для кредитных организаций, обеспечивающего сохранность, содержащихся в нем информационных активов с наивысшей степенью защищенности.
В силу того, что корпоративное хранилище данных представляет собой относительно новый класс информационных систем, проблема обеспечения его безопасности требует изучения и концептуальной проработки при выборе организационных мер и программно-технических решений по защите информационных ресурсов данного объекта защиты.
Выработка решений по обеспечению информационной безопасности включает в себя изучение и оценку существующих возможностей, определение подходов к защите информации в корпоративном хранилище данных, изложение предлагаемой методологии и рекомендаций, изучение особенностей организации разграничения доступа пользователей к данным и к ресурсам. Так же неотъемлемой частью проектирования является совершенствование нормативных, правовых и нормативно-методических документов в области защиты информации, используемые кредитной организацией, проведение экспертизы и контроля качества защиты информации путем оценки эффективности выбранного решения.
В связи с этим, оценка эффективности системы обеспечения информационной безопасности (далее – СОИБ) корпоративного хранилища данных является важным этапом при проектировании и последующем внедрении решений и механизмов, обеспечивающих информационную безопасность (далее – ИБ) в кредитных организациях.
Целью исследования является разработка модели и метода оценки эффективности СОИБ корпоративного хранилищ данных кредитных организаций, проведение указанной оценки с учетом оценки рисков ИБ корпоративного хранилища данных.
Оценка эффективности СОИБ в исследовании проводится путем анализа рассчитываемого «коэффициента эффективности», представляющего собой величину, обратно пропорциональную суммарной величине остаточных рисков ИБ, содержащего информацию о потенциальных угрозах ИБ, эффективности механизмов защиты, и оценку ущерба при реализации угроз ИБ.
В соответствии с целью в работе поставлены и решены следующие задачи:
-
Определены основные принципы и подходы к защите информации в корпоративном хранилище данных кредитных организаций.
-
Проведен обзор существующих моделей и методов оценки эффективности СОИБ.
-
Определены перечни актуальных угроз ИБ для корпоративного хранилища данных в кредитных организациях, порождаемых внутренними и внешними источниками.
-
Построены актуальные модели угроз ИБ корпоративного хранилища данных, модель нарушителя и модель оценки эффективности СОИБ.
-
Определен метод расчета значений коэффициента эффективности СОИБ корпоративного хранилища данных в кредитных организациях, получена его аналитическая форма.
-
Приведен алгоритм расчета коэффициента эффективности СОИБ, на основе информации о потенциальных угрозах ИБ, эффективности механизмов защиты, и оценки ущерба при реализации угроз ИБ, представлена модель выработки решений по повышению эффективности СОИБ.
Методологическая основа исследования
Методологическую основу исследования составляют общенаучные и специальные методы познания, труды отечественных и зарубежных ученых и специалистов по ИБ, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работ по обеспечению ИБ кредитных организаций Санкт-Петербурга.
Научная новизна диссертационного исследования состоит в следующем:
-
Раскрыто понятие корпоративное хранилище данных как объекта защиты;
-
Раскрыты понятия «актуальная модель угроз» и «актуальная модель нарушителя» для корпоративного хранилища данных.
-
Разработаны «актуальная модель угроз» и «актуальная модель нарушителя» для корпоративного хранилища данных;
-
Разработана модель оценки эффективности СОИБ корпоративного хранилища данных кредитных организациях.
-
Разработан метод расчета оценки эффективности СОИБ корпоративного хранилища данных в кредитных организациях.
6. Приведены рекомендации по повышению уровня эффективности СОИБ.
Практическая значимость исследования состоит в создании модели и метода
оценки эффективности СОИБ корпоративного хранилища данных в кредитных организациях, позволяющих сделать вывод об уровне защищенности ресурсов и адекватности выбираемых решений по защите информации. Данная оценка позволяет в дальнейшем сделать выводы, направленные на повышение эффективности СОИБ и качества
проектных и технологических решений, принимаемых на этапах создания указанной системы.
Ряд положений может быть включен в обоснование предложений по совершенствованию научно-технических методов эффективной защиты информации и созданию систем защиты; в законодательство в сфере информационных отношений и повышению его эффективности; в развитие научных представлений и понятий в области цикла общих профессиональных дисциплин специальности 075300 «Организация и технология защиты информации»; на курсах повышения квалификации; при подготовке и переподготовке кадров по защите информации, при проведении дальнейших научных исследований по данной проблематике.
Апробация результатов исследования.
Основные положения диссертации докладывались на научно-практических конференциях СПбНИУ ИТМО и других научно-практических конференциях России. Отдельные теоретические и практические положения работы используются в учебном процессе кафедры «Мониторинга и прогнозирования информационных угроз» СПбНИУ ИТМО, при разработке нормативной документации Центрального Банка Российской Федерации.
Публикации. Результаты диссертационного исследования нашли свое отражение в 5 статьях, 2 из которых опубликованы в реферируемых ВАК изданиях.
Структура и объем работы.
