УДК 004

Методы оценки комплексной системы защиты информации

Абдулла Назар Ибрагимович – аспирант кафедры Информационных систем и защиты информации Иркутского государственного университета путей сообщения.

Аннотация: Статья посвящена анализу методов оценки комплексной системы защиты информации. Проведенный анализ жизненного цикла механизмов АИС позволил сформировать механизмы для проведения оценки и управления ее защищенности и безопасности.

Ключевые слова: Методы, оценка, защита информации, автоматизированный, информационный, риски.

Вопросы комплексной системы защиты информации на сегодняшний день являются весьма актуальными [1-4]. Как показали проведенные исследования, вследствие отсутствия необходимых мер защиты информации, предприятия могут нести весьма существенные убытки [1].

Как правило, это связано с отсутствием единых механизмов, позволяющих осуществлять оценку защищенности и безопасности информационных систем [5]. В дальнейшем это приводит к возникновению трудностей для количественной оценки при проектировании и эксплуатации информационных систем.

С целью обеспечения защиты информации в автоматизированных информационных системах (далее – АИС), необходимо применение комплекса мер, направленных на защиту информации на всех этапах его жизненного цикла.

Согласно проведенному анализу, жизненный цикл механизмов АИС может включать в себя четыре этапа:

  1. проектирование;
  2. ввод в действие;
  3. эксплуатация;
  4. сопровождение [3].

Первый этап – проектирование – включает в себя распознание рисков для АИС и выявление недопустимых рисков, которые в дальнейшем надлежит либо снизить, либо удалить при помощи средств защиты АИС. После совершения данных действий ответственное лицо приступает к анализу остаточных рисков и принимает решение об их оптимальности при проектировании АИС.

Далее осуществляется альтернатива выбора аппаратного обеспечения, программных продуктов, необходимого программного обеспечения и технических средств регулирования безопасности продуктов АИС.

На первом этапе, как правило, осуществляется оценка надежности и безопасности проектируемой системы информации, что позволяет специалистам, занимающимися вопросами обеспечения безопасности информационных систем, представить понимание механизма устройства системы, а также ее планируемой эксплуатационной среды.

Затем производится закупка программного обеспечения. Одновременно формируется состояние защищенности АИС, при котором проведение в отношении их компьютерных атак не приведет к нарушению либо прекращению функционирования АИС.

При необходимости внесения изменений в существующую АИС происходит изменение технических средств регулирования соответственно.

После проведения описанных действий происходит оценка АИС, что делает возможным их обладателю получить независимую оценку выявленных рисков, которые, вследствие использования необходимых технических средств регулирования, позволяют свести уровень защиты и безопасности системы к оптимальному.

Такая оценка необходима для проверки АИС на соответствие предъявляемым техническим требованиям. Некоторые дополнительные критерии безопасности (технические, административные, и т.п.), свойственные для тех или иных организаций, определяются до момента ввода в эксплуатацию автоматизированной информационной системы.

Итогом первого этапа АИС является обоснование оптимальности имеющихся угроз безопасности для работы автоматизированных систем на практике и возможности осуществления ввода такой системы в эксплуатацию.

Второй этап посвящен процессу установки (переноса) программного обеспечения на аппаратные средства, а также приготовления к процессу ввода системы в эксплуатацию.

Этап эксплуатации сопровождается безостановочным протоколированием и наблюдением за работой административных, технических и процедурных средств регулирования. С целью корректировки работы технических средств регулирования выполняется обратное взаимодействие при внесении соответствующих изменений в АИС.

На этапе сопровождения осуществляется анализ всех предложенных, либо внесенных в АИС изменений, компьютерных конфигураций для обеспечения защиты информации, а также изменения в правилах и процедурах.

Проведенный анализ особенностей защиты информации на всех этапах ее жизненного цикла позволил отметить следующие механизмы для проведения оценки ее комплексной защиты:

  1. разработка профилей защиты;
  2. применение методов оценки комплексной безопасности информационных систем;
  3. осуществление комплексной оценки реализации АИС;
  4. осуществление оценки АИС на безопасность [6-9].

Проведенное исследование показало, что на сегодняшний день наиболее распространены три метода оценки защиты информации:

  1. формальный;
  2. статистический;
  3. классификационный [10-12].

Формальный метод оценки не получил значительного практического применения вследствие сложности его использования и формализации основных понятий, таких как: угроза безопасности, ущерб от ее угрозы, сопротивляемость мерам защиты.

Статистический метод базируется на сборе информации, содержащей в себе частоту образования происшествий в АИС и произведенном на их основе допустимостей возникновений соответствующих угроз безопасности системы. Получить реальную картину происходящего, используя данный метод на практике, практически невозможно. В первую очередь это связано со сложностью сбора информации для событий, риск возникновения которых может быть сведен к минимуму. Во-вторых, автоматизированная информационная система не статична, она находится в постоянном движении, что обуславливает изменение в составе ее аппаратного и программного обеспечения. Сбор данных в таких условиях является крайне затруднительным.

Таким образом, данный метод может быть использован только в качестве оценки комплексной системы защиты информации как дополнительная мера.

Большое распространение на практике получил классификационный подход. При этом рассматриваемый метод не дает возможности получить истинную величину показателя защищенности АИС, однако предоставляет способ их систематизации и сравнения по уровню защищенности.

Оценка защищенности во всех описываемых методиках защиты информации основана на использовании технологии баз данных при разделении их на количественные и качественные.

Качественные методы оценки, вследствие их простоты, нашли широкое применение на практике. Самыми известными методиками являются: COBRA, RA Software Tool, MethodWare [1]. Перечисленные методики предоставляют возможность дать оценку соответствия рассматриваемой АИС системам безопасности по международным стандартам либо иным стандартам безопасности.

Количественные методы оценки базируются на объектно-ориентированных методах системного анализа. При этом проведенный анализ применяемых методик на практике («Гриф», «АванГард») показал, что данные для анализа безопасности АИС могут быть использованы весьма условно. Полученные балльные результаты являются достаточно субъективными.

Таким образом, представляется возможным сделать вывод о том, что методики, применяемые на сегодняшний день в качестве оценки защищенности АИС, являются несовершенными и обладают целым рядом недостатков, что делает затруднительным их применение на практике и не может гарантировать достоверность полученных результатов.

В данном случае возможно рассмотреть создание механизмов, направленных на повышение объективности комплексной оценки системы защиты информации, основываясь на формализации экспертных данных или статистических данных.

Список литературы

  1. Зюзин А.С. Современные тенденции оценки защиты информации // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. 2015. № 3. С. 1-12.
  2. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью «АванГард» // Информационное общество -2002 - вып. 1
  3. Галатенко В.А. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/ІЕC PDTR 197911. Jet Info online! Информационный бюллетень, №7, 2005.
  4. Материалы 2-ой ежегодной научно-практической конференции преподавателей, студентов и молодых ученых СКФУ «Университетская наука - региону», - Пятигорск: СКФУ, 2014.
  5. Бойченко О.В., Белименко Б.В. Проблематика комплексной оценки системы информационной безопасности предприятия // Ученые записки Крымского федерального университета имени В. И. Вернадского. Экономика и управление. 2015.
  6. Данилова О.Т., Широков Е.В. Анализ результатов аудита системы защиты информации с применением комплексной сравнительной оценки // Доклады Томского государственного университета систем управления и радиоэлектроники. 2014. №2. С. 56-59
  7. Конев А.А. Подход к описанию структуры системы защиты информации /А.А. Конев, Е.М. Давыдова // Доклады ТУСУРа. – 2013. – № 2 (28). – С.107–111.
  8. Евсютин О.О. Использование клеточных автоматов для решения задач преобразования информации / О.О. Евсютин, С.К. Росошек // Доклады ТУСУРа. – 2010. – № 1 (21), ч. 1. – С. 173–174.
  9. Мещеряков Р.В. Модель обработки информации в различных шкалах // Современные информационные технологии. – 2008. – № 8. – С. 101–103.
  10. Данилова О.Т., Широков Е.В. Методика комплексной оценки результатов анализа защищенности объекта информации // Динамика систем, механизмов и машин. 2014.
  11. Шеремет А.Д. Комплексный анализ хозяйственной деятельности / А.Д. Шеремет. – М.: Инфра-М, 2006. – 415 с.
  12. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи : ДМК Пресс, 2004. – 384 с.