Проектирование политики безопасности информационных технологий на основе методов когнитивного моделирования

Размещено на http://www.allbest.ru/

Проектирование политики безопасности информационных технологий на основе методов когнитивного моделирования

В.И. Аверченков, М.Ю. Рытов

Рассмотрены вопросы автоматизированного управления процессами обеспечения безопасности использования информационных технологий в бизнес-процессах организаций на основе методов когнитивного моделирования. информационный технология безопасность

Ключевые слова: процессный подход, информационная безопасность, информационные технологии, когнитивное моделирование.

Анализ исследований в области построения систем управления информационной безопасностью (ИБ) показывает, что в настоящее время в России пересматриваются традиционные представления об управлении безопасностью информационных технологий (ИТ). Об изменениях в российской практике управления безопасностью ИТ, в частности, свидетельствует принятие и ввод в действие в последние годы международных стандартов безопасности, предлагающих унифицированные и практически осуществимые подходы к управлению безопасностью ИТ организаций всех форм собственности и сфер деятельности, основанные на процессном подходе к управлению, методах анализа рисков и учете мировой практики решения проблем ИБ [1;2].

Ориентация на данные нормативные документы позволяет более эффективно и экономически обоснованно управлять безопасностью ИТ, но вместе с тем требует проведения в каждом конкретном случае большого объема аналитических работ при планировании, реализации и поддержке управленческих решений.

Применительно к проблеме обеспечения безопасности ИТ процессный подход к управлению ИБ подразумевает идентификацию основных бизнес-процессов организации и оценку рисков безопасности использования ИТ, связанных с этими процессами, с целью эффективного и своевременного управления данными рисками.

Процессный подход к управлению ИБ позволяет руководству организации:

оценить и проанализировать риски безопасности ИТ в контексте общих деловых рисков организации;

определить соответствующие потребностям организации требования к безопасности ИТ;

сформулировать цели и стратегии управления безопасностью ИТ и реализовать их на практике на основе комплекса политик безопасности ИТ;

постоянно контролировать и совершенствовать систему управления безопасностью ИТ организации.

Основой адекватного управления безопасностью ИТ является определение целей и стратегий обеспечения безопасности ИТ и закрепление их в политиках безопасности различного уровня. Цели и стратегии безопасности определяют также допустимый в рамках организации уровень рисков. На практике процесс выбора целей и стратегий безопасности ИТ организации сложно поддается формализации. В большинстве случаев связанные с этим процессом задачи решаются на основе экспертного анализа руководителями и профильными специалистами информации, которая не выражается количественно, а носит смысловой, качественный характер.

Опыт разработки систем поддержки принятия решений этой сфере показывает, что наиболее применимым методом моделирования данной предметной области является имитационное моделирование, а именно методы когнитивного моделирования слабоструктурированных систем на основе аппарата взвешенных знаковых графов [3;4]. Эти методы позволяют в данном случае провести комплексный стратегический анализ вариантов развития системы информационной безопасности предприятия с учетом различных внешних и внутренних факторов.

С позиций когнитивного подхода этапы моделирования процесса управления безопасностью ИТ можно представить в виде схемы (рис. 1). По мере получения информации об объекте моделирования его модель уточняется и приводит к математической модели, позволяющей решать практические задачи формирования политики безопасности ИТ.

Рис. 1. Этапы процесса моделирования на основе когнитивного подхода

С точки зрения свойств отдельного бизнес-процесса (БП) управление безопасностью использования ИТ в рамках данного БП было представлено в виде когнитивной карты (рис. 2), описывающей существенные связи между основными факторами, определяющими характеристики рисков безопасности ИТ и приоритеты реализации целей и стратегий управления безопасностью.

Рис. 2. Когнитивная карта процесса управления безопасностью использования ИТ в рамках БП

Риск безопасности ИТ можно представить в виде совокупности единичных рисков:

,

где risk - риск безопасности ИТ; a - степень критичности связанного с БП актива ИТ к инцидентам ИБ; e - степень использования некоторой ИТ в данном БП; t - вероятность реализации некоторой угрозы безопасности ИТ; d - ответственность структурного подразделения за поддержку БП.

Соответственно приоритет реализации конкретной цели или стратегии безопасности ИТ можно определить по зависимости

,

где - приоритет реализации цели(стратегии) безопасности ИТ; - базовый (типовой) приоритет реализации данной цели (стратегии) в отношении данного типа активов ИТ; - базовый (типовой) приоритет реализации данной цели (стратегии) в отношении данного типа угроз ИБ.

Приоритеты реализации целей и стратегий безопасности ИТ определяют выбор средств обеспечения безопасности ИТ и ответственность структурных подразделений организации за их реализацию.

Очевидно, что процесс выбора целей, стратегий и средств обеспечения безопасности ИТ подразумевает комплексный анализ рисков безопасности всех БП организации. Кроме того, реализация каждого БП предполагает применение разнородных ИТ, различные типы угроз безопасности, активов, различную степень участия структурных подразделений организации в обеспечении функций ИБ и т.д.

С целью разработки методики формирования политики безопасности ИТ организации были классифицированы основные факторы безопасности использования ИТ в БП организации. В основу классификаций положены современные научные представления об инжиниринге БП, типологии ИТ, методах обеспечения ИБ, а также стандарты ИБ. В качестве каталога целей, стратегий и средств управления безопасностью ИТ предложено использовать каталог, основанный на положениях ГОСТ Р ИСО/МЭК 17799, содержащийся в приложении А ГОСТ Р ИСО/МЭК 27001. Были определены базовые приоритеты реализации целей и стратегий для типовых случаев их применения [1;2].

Определены следующие этапы процесса формирования политики безопасности ИТ организации:

Описание информационной инфраструктуры организации.

Описание факторов безопасности ИТ организации.

Построение математической модели процесса формирования требований к управлению безопасностью ИТ организации.

Формирование политики безопасности ИТ организации.

На рис. 3 показана общая структурная схема данного процесса и информационное обеспечение выявленных этапов. Процесс разработки политики безопасности ИТ организации подразумевает привлечение в роли экспертов и разработчиков сотрудников организации самого различного профиля, в первую очередь:

руководителей организации высшего звена;

руководителей структурных подразделений;

руководителей и специалистов в области обеспечения ИБ;

руководителей и специалистов в области ИТ.

В рамках исследования была разработана методика экспертной оценки параметров безопасности использования ИТ, предусматривающая численность экспертной группы от 4 до 10 человек, что является необходимым и достаточным с практической точки зрения в связи со спецификой предметной области.

Рис. 3. Структурная схема методики формирования политики безопасности ИТ

В данной методике было предложено определять коэффициент компетентности эксперта на основе объективного и субъективного показателей компетентности - и , принимающих значения в диапазоне 0-10:

.

Объективный показатель компетентности складывается из характеристик, связанных с уровнем занимаемой должности (), уровнем образования (), стажем работы в организации () и стажем работы в сфере безопасности ИТ (). Субъективный показатель компетентности определяется экспертом самостоятельно. Таким образом, итоговый коэффициент компетентности j-го эксперта определяется по формуле

.

В общем случае групповая оценка каждого параметра зависит от оценок экспертами этого параметра и степени компетентности экспертов:

(1)

В связи со спецификой рассматриваемой проблемы степень достоверности экспертной оценки будет определяться показателем компетентности эксперта и контролироваться на основе условия (2), а функция (1) будет иметь вид

.

Согласно математической модели риска безопасности ИТ, выявленные в результате экспертного анализа риски безопасности ИТ можно рассчитать на основе зависимости

,

где - экспертная оценка величины риска реализации угрозы Т в отношении актива А, обрабатываемого структурным подразделением D с использованием информационной технологии E в рамках бизнес-процесса B; - степень использования ИТ E; - критичность актива A; - величина вероятности реализации угрозы T; - весовая характеристика n-го эксперта.

Итоговая экспертная оценка каждого выявленного экспертной группой риска вычисляется как сумма оценок экспертов:

.

При этом должно выполняться следующее условие:

. (2)

Далее необходимо провести ранжирование массива рисков по убыванию по каждой из составляющих модели. Суммарное значение риска по каждому БП определяется как

.

Аналогичным образом могут быть вычислены суммарные значения по структурным подразделениям организации, типам ИТ, типам активов ИТ, типам угроз безопасности ИТ.

Полученные значения необходимо оценить с точки зрения их величины относительно общих рисков по каждому ранжированию. Для того чтобы зафиксировать результаты анализа в отчете об анализе рисков безопасности ИТ организации, целесообразно выразить суммарные значения рисков в процентах. Таким образом, величина суммарного риска безопасности БП B относительно других БП выражается формулой

.

В итоге в отчете об анализе рисков представлены сведения о процентном соотношении рисков безопасности по классифицированным ранее БП организации, структурным подразделениям, используемым типам ИТ, активам ИТ, угрозам безопасности ИТ, позволяющие оценить общую специфику безопасности ИТ организации.

Задача формирования политики безопасности ИТ организации предусматривает также ранжирование целей и стратегий безопасности ИТ по степени важности, обусловленной рисками безопасности ИТ, - приоритету реализации.

Приоритет реализации цели P в отношении выявленного риска безопасности ИТ определяется зависимостью

,

где - базовый приоритет реализации цели P в отношении активов ИТ типа A; - базовый приоритет реализации цели P в отношении угроз безопасности ИТ типа Т (базовые приоритеты реализации целей безопасности устанавливаются заранее на основе стандартов [1;2] и могут уточняться в дальнейшем).

Общий приоритет реализации цели P вычисляется по формуле

.

Полученные общие приоритеты показывают степень важности реализации целей в процессе управления безопасностью ИТ организации. Цели и стратегии безопасности должны быть отражены в политике безопасности ИТ организации в виде ранжированного по убыванию приоритетов списка.

Для каждой цели и стратегии необходимо определить направления реализации, также обусловленные характеристиками рисков безопасности ИТ. Приоритеты реализации цели P относительно БП организации вычисляются по формуле

.

В политике безопасности ИТ достаточно зафиксировать наиболее существенные направления реализации целей, поэтому целесообразно провести ранжирование значений по убыванию и затем определить окончательный состав управленческих решений, предлагаемых к реализации. Таким же образом определяются приоритеты реализации целей и стратегий в отношении структурных подразделений (D), типов ИТ (E), активов ИТ (A), угроз безопасности ИТ (T).

Автоматизация процедуры формирования политики безопасности ИТ организации позволяет существенно упростить и оптимизировать экспертный анализ параметров безопасности ИТ, расчет значений рисков безопасности и приоритетов реализации целей и стратегий управления безопасностью ИТ.

На основе представленной методики была разработана автоматизированная система (АС) формирования проекта политики безопасности ИТ организации. Структурно-функциональная схема АС представлена на рис.4.

Основным результатом работы АС является текстовый проект политики безопасности ИТ организации в формате rich text format (.rtf), имеющий следующую общую структуру (в соответствии с требованиями ГОСТ Р ИСО\МЭК 17799):

Общие положения.

Инвентаризация информационных активов организации.

Риски безопасности активов ИТ организации.

Цели, стратегии и средства обеспечения безопасности ИТ организации.

Политика безопасности.

Организационные вопросы безопасности ИТ.

Классификация и управление активами ИТ.

Вопросы безопасности, связанные с персоналом.

Физическая защита и защита от воздействий окружающей среды.

Управление передачей данных и операционной деятельностью.

Контроль доступа.

Разработка и обслуживание систем ИТ.

Управление непрерывностью деятельности организации.

Соответствие законодательным требованиям.

Рис.4. Структурно-функциональная схема АС формирования проекта политики безопасности ИТ

Сформированный с помощью АС проект политики безопасности ИТ может использоваться в процессе разработки и пересмотра организационно-распорядительной документации организации в области безопасности ИТ, а также в качестве основы для принятия решений в процессе проектирования и поддержки жизненного цикла комплексной системы защиты информации (КСЗИ) организации. Разработанная АС основана на свободно распространяемом программном обеспечении и не требует в процессе использования специальных знаний и навыков. Использование АС позволяет значительно оптимизировать работы, связанные с анализом рисков безопасности ИТ организации и формированием основополагающих организационно-распорядительных документов в сфере управления ИБ.

СПИСОК ЛИТЕРАТУРЫ

1. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

2. ГОСТ Р ИСО/МЭК 17799_2005. Информационная технология. Практические правила управления информационной безопасностью.

3. Робертс, Ф.С. Дискретные математические модели с приложением к социальным, биологическим и экологическим задачам./ Ф.С. Робертс. - М.: Наука, 1986.

4. Кузнецов, Н. А., Информационная безопасность систем организационного управления: теоретические основы: в 2 т./ Н. А. Кузнецов, В. В. Кульба, Е. А. Микрин [и др.]. - М.: Наука, 2006.

Размещено на Allbest.ru