Содержание к диссертации
Введение
1 Состояние вопроса и задачи исследования 14
1.1 Информационная безопасность в общей системе безопасности Российской Федерации 14
1.2 Роль и место системы защиты информации в организации 22
1.3 Современный уровень научно-методического аппарата оценки состояния защиты информации и задачи исследования 30
Выводы по главе 37
2 Моделирование технологии оценки соответствия системы обеспечения информационной безопасности 39
2.1 Синтез комплексной модели технологии оценки соответствия системы обеспечения информационной безопасности, предъявляемым требованиям 39
2.1.1 Разработка структуры концептуальной модели технологии оценки состояния системы обеспечения информационной безопасности
2.1.2 Синтез модели технологии формирования требований к системе обеспечения информационной безопасности 47
2.2 Синтез математической модели оценки состояния системы обеспечения информационной безопасности 64
2.3 Разработка алгоритма реализации математической модели оценки состояния системы обеспечения информационной безопасности 72
Выводы по главе 79
3 Разработка методики оценки соответствия системы обеспечения информационной безопасности, предъявляемым требованиям .
Экспериментальные исследования предлагаемых решений 81
3.1 Разработка методики оценки соответствия системы обеспечения информационной безопасности, предъявляемым требованиям 81
3.2 Экспериментальные исследования и оценка эффективности предлагаемых решений 98
3.2.1 Экспериментальные исследования математической модели, алгоритма и программы оценки степени выполнения требований, предъявляемых к системе обеспечения информационной безопасности 98
3.2.2 Экспериментальная проверка методики оценки степени выполнения требований, предъявляемых к системе обеспечения информационной безопасности 104
3.3 Рекомендации по реализации предлагаемых решений 111
Выводы по главе 116
Заключение 117
Список сокращений и условных обозначений 122
Словарь терминов 124
Список литературы 128
- Современный уровень научно-методического аппарата оценки состояния защиты информации и задачи исследования
- Разработка структуры концептуальной модели технологии оценки состояния системы обеспечения информационной безопасности
- Синтез модели технологии формирования требований к системе обеспечения информационной безопасности
- Экспериментальные исследования математической модели, алгоритма и программы оценки степени выполнения требований, предъявляемых к системе обеспечения информационной безопасности
Современный уровень научно-методического аппарата оценки состояния защиты информации и задачи исследования
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [3].
Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться: противоправные сбор и использование информации; нарушения технологии обработки информации; внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно - телекоммуникационных систем, в том числе систем защиты информации; уничтожение, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи; компрометация ключей и средств криптографической защиты информации; утечка информации по техническим каналам; внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; несанкционированный доступ к информации, находящейся в банках и базах данных и др. [3].
Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние [3]. К внешним источникам: деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере; стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; обострение международной конкуренции за обладание информационными технологиями и ресурсами; деятельность международных террористических организаций; деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств; разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся: неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере; недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; снижение эффективности системы образования, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности и др.
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационные, технические и экономические. К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.
Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство Российской Федерации, регулирующих отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации; законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан; разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие информации конфиденциального характера, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности. Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
Разработка структуры концептуальной модели технологии оценки состояния системы обеспечения информационной безопасности
В блоке 45 с учетом выражения (2.7) находится значение комплексного показателя степени выполнения требований, предъявляемых к СЗИ i-ой информационной системы Wисi, в блоке 46 формируется массив Wисi.
Блоками 47, 46 организуется цикл для расчета комплексных показателей Wисi для всех информационных систем, функционирующих в организации.
В блоке 49 в соответствии с формулой (2.10) вычисляется значение комплексный показатель Wис, а в блоке 50 – комплексного значения WСИБ в соответствии с зависимостью (2.11). Значения коэффициентов весомости аi, b1, b2, b3 вводятся на этапе реализации блока 2.
Как видно, разработанный алгоритм задает полную последовательность действий, которые необходимо выполнить для решения задачи оценки состояния СОИБ организации. При этом для совершения действий алгоритм разбит на простые шаги. Совершить действия следующего этапа можно лишь после выполнения предыдущего действия.
Разработанный алгоритм обеспечивает решение не одной отдельной задачи оценки СВТ для одной ИС, функционирующей в организации, а может выполнять решение широкого класса задач такого типа. Например, при наличии в организации нескольких ИС, обрабатывающих различные виды, защищаемой информации (коммерческая тайна, персональные данные, служебная и общедоступная информация). При оценке СВТ с СЗИ конкретной ИС учитывается различное количество функциональных подсистем в зависимости от класса защищенности данной системы.
Результаты анализа алгоритма показывают, что: алгоритм не содержит указаний, содержание которых может восприниматься неоднозначно; выполнение алгоритма завершается получением результата, то есть в алгоритме отсутствуют операции способные привести к так называемому «зацикливанию». Предлагаемый алгоритм реализован на языке программирования С++. Фрагмент текста программы представлен в приложении В.
Выводы по главе
1. Представлена согласованная по целям система моделей технологии оценки состояния системы обеспечения информационной безопасности, обеспечивающая проведение комплексной оценки состояния СОИБ.
2. Показано, что комплексная модель технологии оценки состояния СОИБ разработана с учетом основных принципов системного подхода.
3. Показано, что технология оценки состояния СОИБ состоит из четко регламентированной последовательности выполнения операций, действий, этапов разной степени сложности над данными, характеризующими информационную безопасность.
4. Установлено, что основная цель технологии оценки состояния СОИБ заключается в целенаправленных действиях и обработке информации направленных на получение необходимую для пользователя информацию.
5. Установлено, что система показателей оценки состояния системы обеспечения информационной безопасности организации, обладает свойствами сложной системы.
6. Установлено, что математическая модель оценки состояния СОИБ обеспечивает возможность вычисления обобщенного показателя уровня информационной безопасности организации в целом, интегрального показателя уровня обеспечения технической защиты информации в информационных системах, функционирующих в организации, а также групповых показателей степени соответствия предъявляемым требованиям по правовым, организационным и техническим мерам обеспечения информационной безопасности. 7. Показано, что разработанные модели отвечают основным требованиям, предъявляемым к моделям: открытости, простоты и доступности. 8. Показано, что разработанный алгоритм отвечает, предъявляемым к алгоритмам таких требований как: определенность; дискретность; массовость; результативность. 3 Методика оценки состояния системы обеспечения информационной безопасности организации. Экспериментальные исследования предлагаемых решений
Разработка методики оценки состояния информационной безопасности организации Методика предназначена для организации и проведения оценки состояния системы информационной безопасности на предпроектной стадии создания систем защиты информации, при проведении внутреннего (внешнего) аудита информационной безопасности, аттестации информационных систем по требованиям безопасности информации, оценки эффективности реализованных в рамках систем защиты персональных данных ИСПДн.
Методика является завершающим этапом технологии оценки состояния СОИБ и реализуется путем выполнения следующих процедур:
В базу данных вводится следующая информация: перечень видов, защищаемой информации {hи}. основными видами, защищаемой информации являются: служебная информация; коммерческая тайна; персональные данные; общедоступная и другие сведения конфиденциального характера в соответствии с [7]; перечни требований к составу ОРД, изложенных в нормативных правовых актах {pнп} и нормативных документах {pнд} в области обеспечения информационной безопасности [3, 6, 8, 9, 10, 11, 12 и др.]. Таблицы требований формируются для каждого вида, защищаемой информации. В качестве примера, в приложении Г приведены требования к составу ОРД для обеспечения безопасности персональных данных; перечни требований к структурным подразделениям {pс} [9, 11, 12] и квалификации сотрудников данных подразделений {pк} [73]. В приложении Д представлены требования к квалификации сотрудников подразделений по ТЗИ. перечень типов информационных систем {} [9]. В приложении Е представлен перечень возможных типов информационных систем; перечень требований, предъявляемых к СЗИ информационных систем и СЗИ информационных систем персональных данных, а также к уровню защищенности персональных данных {рфп}. В приложении Ж приведен перечень требований к СЗИ в соответствии с [11, 12], в приложение И к уровню защищенности персональных данных [9]. классы защищенности информационных систем {qис}. В соответствии с [11] устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных[9].
Синтез модели технологии формирования требований к системе обеспечения информационной безопасности
Выполненные экспериментальные исследования позволяют сформулировать следующие основные рекомендации по реализации в органах власти и организациях разработанных в диссертации моделей технологии и методики оценки состояния системы обеспечения информационной безопасности.
В соответствии с законодательством, в области обеспечения информационной безопасности, за защиту информации в организации отвечает е руководитель или один из его заместителей, как правило, заместитель руководителя организации по безопасности (информационной безопасности), а также руководители подразделений в ИС которых обрабатывается ИОД.
Для решения задач защиты информации, содержащей сведения конфиденциального характера в организациях в соответствии [9, 11, 12] должны создаваться либо подразделения, либо назначаться специалисты по технической защите информации, что обусловливает необходимость создания системы обеспечения информационной безопасности и, как следствие, автоматизации процессов управления информационной безопасностью в организации – систему управления информационной безопасностью (СУИБ). Составной частью СУИБ является информационная система оценки состояния (ИСОС) СОИБ [49].
Результаты анализа условий функционирования СУИБ и ИСОС, требований, предъявляемых к системе в целом и ее элементам, полученных экспериментальных данных позволили установить, что ИСОС должна соответствовать структуре системы управления предприятием и разрабатываться на основе общей идеологии построения АСУ предприятия. Кроме этого, в ИСОС необходимо применять: унифицированные технические средства, позволяющие создавать типовые проекты систем для различных организаций; технические решения, закладываемые в ИСОС, которые должны обеспечивать поэтапное подключение к ней пользователей, а также возможность замены морально и физически устаревших технических средств на более совершенные, надежные и производительные без существенных переделок программного обеспечения и аппаратных средств; программные средства, обеспечивающие наращивание функциональных возможностей ИСОС.
Обеспечивающие подсистемы ИСОС включают техническое, информационное, математическое, программное и организационное обеспечения. В состав технического обеспечения входят: ПЭВМ, имеющие системные блоки, мониторы, принтеры, которые техническими средствами информационного обмена объединены в локальную вычислительную сеть. Структурная схема ИСОС представлена на рисунке 3.13.
Информационное обеспечение включает в себя массивы данных, необходимые для реализации модели оценки состояния СОИБ, базу данных, представляющую собой управляемую совокупность данных, являющихся исходной информацией для реализации модели оценки состояния СОИБ организации.
Математическое обеспечение включает в себя математическую модель оценки состояния СОИБ и алгоритмы обработки информации, используемой при функционировании ИСОС.
В состав программного обеспечения входят: операционная система Windows, пакеты прикладных программ, обеспечивающие реализацию целей и задач ИСОС.
Организационное обеспечение представляет собой совокупность инструкций и методик, регламентирующих деятельность должностных лиц, осуществляющих решение задач с использованием ИСОС.
В связи с тем, что в ИСОС циркулирует информация ограниченного доступа объекты информатизации ИСОС должны пройти аттестацию (оценку соответствия) по требованиям безопасности информации.
При реализации предлагаемой ИСОС на АРМ руководителя (заместителя руководителя) организации (АРМр) будут решаться следующие основные задачи: - организация проведения внутреннего контроля (аудита) состояния информационной безопасности в организации;
Структурная схема ИСОС организации - комплексной оценки состояния СОИБ организации в целом (WСОИБ); - оценки полноты выполнения организационных и правовых мер по защите информации в организации (Wс, Wп); - согласование проекта Плана мероприятия по обеспечению информационной безопасности в организации; - получения различного рода нормативно-справочной информации из базы данных.
В свою очередь на АРМ руководителя подразделения по ТЗИ (АРМртзи) будут решаться задачи: - оценки полноты выполнения организационных, правовых и технических мер по защите информации в организации (Wс, Wп, Wис); - формирование проекта Плана мероприятия по обеспечению информационной безопасности в организации; - получения различного рода нормативно-справочной информации из базы данных.
Экспериментальные исследования математической модели, алгоритма и программы оценки степени выполнения требований, предъявляемых к системе обеспечения информационной безопасности
В результате проведенного исследования, направленного на создание научно-методического аппарата оценки состояния системы обеспечения информационной безопасности органа власти (организации), решена научная задача, которая заключается в разработке моделей технологии и методики оценки состояния системы обеспечения информационной безопасности. Эта задача является частью общей научно-технической проблемы обеспечения безопасности информации в организациях, работающих с информацией ограниченного доступа.
Впервые в цельном виде разработаны методические основы оценки состояния системы обеспечения информационной безопасности в организации, предложена совокупность моделей технологии и методика оценки состояния системы обеспечения информационной безопасности организации.
Анализ и обобщение предлагаемых в диссертационном исследовании теоретических положений и практических решений позволяют сформулировать следующие выводы и рекомендации.
1. Научная актуальность разработанных моделей и методики заключается в отсутствии приемлемых моделей и методик предмета исследования. Это подтверждается результатами анализа научно-методического аппарата в области оценки состояния информационной безопасности, которые показывают, что ни одна из существующих методик в достаточной мере не учитывает всего комплекса задач, факторов и других положений, оказывающих влияние на комплексную оценку состояния системы обеспечения информационной безопасности органа власти (организации).
2. Научная значимость разработанного научно-методического аппарата заключается в том, что с его помощью можно провести комплексную оценку состояния системы обеспечения информационной безопасности в органе власти (организации) с учетом различных видов информации ограниченного доступа, обрабатываемой на различных типах информационных систем, развернутых в организации. Это позволяет сделать вывод о том, что сформулированная научная задача является новой и решается в данной работе в такой постановке впервые.
3. Новизна научных результатов заключается в разработанных: системы показателей оценки состояния СОИБ, моделей технологии, математической модели и методики оценки состояния системы обеспечения информационной безопасности в органе власти (организации)
Предложенная система показателей оценки состояния СОИБ, отличающаяся от существующих частных показателей использованием многоуровневой системы показателей (единичных, групповых, комплексных, интегрального, обобщенного,), что позволяет проводить многоуровневую оценку состояния информационной безопасности в органе власти (организации) с учетом взаимосвязи мероприятий по защите информации ограниченного доступа.
Разработанная математическая модель оценки состояния системы обеспечения информационной безопасности в органе власти (организации), отличающаяся от существующих субъективных и частных оценок: использованием разработанной автором многоуровневой системы показателей, учетом только объективных факторов для оценки полноты выполнения мер и мероприятий по защите информации ограниченного доступа на различных уровнях укрупнения показателей оценки, простотой и наглядностью формализованного представления процесса комплексной оценки за счет единого аддитивного подхода к укрупнению показателей различных уровней и введения дополнительного цветового индикатора, что позволяет реализовать данную модель в практике деятельности организаций, обеспечить мониторинг состояния информационной безопасности на всех е уровнях.
Методика оценки состояния системы обеспечения информационной безопасности отличающаяся от существующих эвристических подходов использованием разработанной автором информационной системы оценки состояния СОИБ, позволяющей решать не только прямую задачу по анализу состояния защиты информации ограниченного доступа, но и обратную задачу по обоснованию направлений совершенствования мер и мероприятий в интересах достижения требуемого уровня информационной безопасности в организации.
4. Достоверность полученных в ходе диссертационного исследования результатов основана на данных проведенного эксперимента и сопоставлении результатов с данными, полученными при одинаковых входных параметрах с использованием электронных таблиц Microsoft Office Excel. Кроме того, уровень адекватности методики реальным процессам позволяет сделать вывод о корректности предлагаемых способов ее реализации, а также о целесообразности продолжения работ по расширению состава реализуемых с ее помощью функций должностных лиц, отвечающих за защиту информации ограниченного доступа в организации.
5. Результаты экспериментальных исследований с использованием моделей и методики оценки состояния СОИБ, программно реализованных на ПЭВМ, позволили обосновать и разработать рекомендации по созданию информационной системы оценки состояния СОИБ организации.
6. Реализация практических предложений и рекомендаций по созданию информационной системы оценки состояния СОИБ и разработанной с целью использования данной системы в деятельности должностных лиц организации, отвечающих за обеспечение защиты информации ограниченного доступа, методики оценки состояния СОИБ и обоснования предложений по совершенствованию защиты информации ограниченного доступа в организации с использованием данной системы, позволяют: сократить в 3 - 4 раза трудозатраты по подготовке и формированию анкет для проведения аудита информационной безопасности, при разработке плана мероприятий по совершенствованию системы информационной безопасности в 5 – 6 раз и проведения вычислений в 7 – 8 раз.
7. Дальнейшее развитие предложенных моделей и методики видится в применении системы мониторинга, позволяющей периодически, по мере изменения обстановки, обеспечивать должностных лиц необходимой информацией для своевременного принятия решения по совершенствованию системы обеспечения информационной безопасности и выполнению требований нормативных правовых актов и нормативных документов в области информационной безопасности. Кроме того, использование предлагаемых решений в работе научно-исследовательских организаций, учебных заведениях. органах власти и организациях позволит принимать обоснованные решения при постановке и проведении научно- исследовательских и опытно-конструкторских работ в интересах развития систем и средств защиты информации ограниченного доступа.