Научная статья на тему 'Базовые параметры полуформальных моделей систем управления информационной безопасностью'

Базовые параметры полуформальных моделей систем управления информационной безопасностью Текст научной статьи по специальности «Экономика и бизнес»

CC BY
418
82
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Андреева Наталья Викторовна, Шустиков Сергей Вячеславович

В работе представлены результаты анализа и выбора базовых параметров полуформальных моделей системы управления информационной безопасностью (СУИБ). От этих параметров существенным образом зависит объем результирующей модели, область ее применимости и ее конкретное наполнение. В статье результаты выбора параметров модели показаны на примере построения функциональной модели СУИБ по стандарту ISO 27001:2005

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Андреева Наталья Викторовна, Шустиков Сергей Вячеславович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Базовые параметры полуформальных моделей систем управления информационной безопасностью»

БАЗОВЫЕ ПАРАМЕТРЫ ПОЛУФОРМАЛЬНЫХ МОДЕЛЕЙ СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Н.В. Андреева, С.В. Шустиков Научный руководитель - к. т.н., доцент А.В. Любимов

В работе представлены результаты анализа и выбора базовых параметров полуформальных моделей системы управления информационной безопасностью (СУИБ). От этих параметров существенным образом зависит объем результирующей модели, область ее применимости и ее конкретное наполнение. В статье результаты выбора параметров модели показаны на примере построения функциональной модели СУИБ по стандарту ISO 27001:2005.

Введение

В настоящее время достаточно широко распространено моделирование бизнес-процессов. Этот вид деятельности эффективен при сборе и объективном анализе информации о проводимых в организации операциях, способствует выявлению ошибок на ранних стадиях проектирования систем, распространению информации о системе между заинтересованными лицами (например, сотрудниками и руководством организации, оценщиками) и др.

Предметом моделирования в данной работе является система управления информационной безопасностью организации. Основными документами в области управления информационной безопасностью принято считать международные стандарты серии ISO 2700x. Для систематизации сведений, содержащихся в данных стандартах, выявления потенциальных неточностей в их положениях или возможности их дополнения, а также для получения наглядного представления о том, что нужно сделать для построения/сертификации СУИБ конкретной организации, предполагается построение совокупности моделей, включающей в себя структурную (объектную и процессную) и функциональную модели.

Все предполагаемые модели являются полуформальными. При этом под полуформальными понимаются модели, для построения которых используются любые формализмы, кроме математических.

Рассматривая в общем формальное моделирование на соответствие требованиям международных стандартов в области безопасных информационных технологий, можно назвать три аналога. Среди зарубежных - это комплексная модель процесса оценки ИТ по «Общим критериям» (стандарт ISO 15408), построенная в Центре безопасности информации стран Британского содружества (CISC) в 2002 году [1]. Упомянутая работа содержит несколько функциональных диаграмм, которые получены по методике, напоминающей SADT. При построении диаграмм реально не использовалась какая-либо определенная методика или метод, фактически они представляют собой иллюстрации, а не формализованную модель. Модель построена не по стандарту, а по описанию сценария оценки некоторого условного продукта, что не позволяет серьезно говорить ни о ее полноте, ни об адекватности. Диаграммы модели не привязаны друг к другу по ресурсам, и она имеет, таким образом, чисто иллюстративный характер.

Среди отечественных аналогов можно назвать модель Системы менеджмента качества по стандарту ISO 9001:2000 [2] и функциональную модель (более полную, чем подобная ей зарубежная) процессов оценки безопасности информационных технологий по методологии Общих критериев, которая была предложена в [3] и получила практическое приложение в [4]. В обеих представленных моделях для построения используется полнофункциональная методика SADT в совокупности с методикой DFD.

В статье [5] также дано наглядное представление СУИБ организации в соответствии со стандартом ISO/IEC 27001:2005, но сделано это в виде отдельных иллюстраций

и пояснительного текста к ним, без использования специальной методики и метода моделирования. Поэтому работа, представленная в данной статье, не является формализованной моделью. Кроме того, в ней представлены только основные этапы работ по созданию СУИБ без строгой привязки к тексту стандарта.

При построении полуформальных моделей предметной области существенное значение имеет набор базовых параметров предполагаемой модели, таких как нотация, контекст, включая цель и точку зрения моделирования, определение модели и границы моделирования. От этих параметров, выбираемых априорно, существенным образом зависит не только объем результирующей модели и область ее применимости, но и ее конкретное наполнение.

В работе представлены результаты выбора этих параметров в задаче построения функциональной модели систем управления информационной безопасностью по стандарту ISO 27001:2005.

Теоретическое описание основных параметров моделирования

Базовыми свойствами модели являются нотация, контекст, включая цель и точку зрения моделирования, определение модели и границы моделирования.

Под нотацией моделирования обычно понимают способ графического отображения модели. AllFusion Process Modeler (ранее BPwin) - инструментальное средство, используемое для построения модели СУИБ, основные свойства которой рассматриваются в данной работе - поддерживает 3 нотации моделирования: IDEF0, DFD и IDEF3.

IDEF0 - стандарт функционального моделирования - используется для отображения функциональной структуры предметной области. Данная методология позволяет описать выполнение работ на верхнем уровне и не учитывает временной аспект при их выполнении, предусматривая описание только логической соподчиненности.

DFD - методика диаграмм потоков данных - позволяет отобразить информационные потоки в моделируемой деятельности. Удобна для описания документооборота и требований к информационной системе. DFD-диаграммы могут включать хранилища данных, к которым осуществляется доступ и внешние по отношению к системе источники и адресаты данных. В отличие от IDEF0 и IDEF3, не является стандартом и не предусматривает выполнение четких правил.

IDEF3 - стандарт описания потоков работ - используется для отображения логической последовательности выполнения процедур, акцентируя внимание на ходе выполнения работ и взаимоотношениях процессов и объектов системы. Используется для описания процессов предметной области на нижнем уровне. Позволяет дать представление о процессе в целом и описать сценарии из реальной деятельности организации [6].

После выбора нотации можно приступать непосредственно к моделированию, которое начинается с определения самого абстрактного уровня описания моделируемой системы в целом - контекста модели.

На контекстной диаграмме показываются взаимоотношения между субъектом моделирования (самой моделируемой системой) и окружающей средой. На DFD-диаграммах, кроме входящих и исходящих ресурсов, также отображаются внешние по отношению к субъекту моделирования источники и приемники данных. Помимо этого, в контекст модели входит описание цели, точки зрения и области моделирования. При формулировке цели моделирования аналитик отвечает на ряд вопросов:

• Почему этот процесс должен быть смоделирован?

• Что должна показывать модель?

• Что может получить заказчик?

При построении модели могут учитываться мнения различных специалистов, но все они должны придерживаться единой точки зрения на модель, которая, в свою оче-

редь, должна соответствовать цели моделирования. Обычно в качестве точки зрения моделирования принимают позицию того специалиста (или объекта), со стороны кото -рого моделируемая система в действии видна наиболее полно.

Помимо цели и точки зрения на моделируемую систему значительное влияние оказывает определение границ моделирования. При этом принято учитывать как широту (какие процессы включены в систему, а какие остаются снаружи), так и глубину (максимальный уровень детализации диаграмм) моделирования [7].

Результаты выбора основных параметров моделирования в задаче построения

функциональной модели СУИБ

Нотация модели

В качестве нотации (и метода) функционального моделирования была выбрана методика диаграмм потоков данных (Data Flow Diagrams, DFD). Данная нотация позволяет отразить последовательность работ, выполняемых по ходу процесса, и потоки информации, циркулирующие между этими работами, включая хранение потоков данных, для достижения максимальной доступности и минимального времени ответа. Также с помощью методики DFD можно описывать потоки документов и материальных ресурсов [6].

Этот методика изначально создавалась как средство проектирования информационных систем. Практически любой класс систем успешно моделируется при помощи DFD-ориентированных методик: в этом случае вместо реальных объектов рассматриваются отношения, описывающие свойства этих объектов и правила их поведения. Данная методика успешно применяется для моделирования систем управления, богатых разнообразными отношениями [8].

При внедрении процессного подхода к управлению организацией также в основном используется методика DFD, так как она позволяет максимально снизить субъективность описания бизнес-процессов. С помощью схемы процессов в DFD выявляют основные потоки данных, что важно для последующего создания моделей структуры данных и разработки требований к информационной системе организации [6]. Кроме того, для соответствия модели PDCA необходимо отразить связи СУИБ организации с внешними (по отношению к моделируемой системе) заинтересованными сторонами. Представление внешних сущностей (как и необходимых хранилищ документов и записей) возможно только при использовании методики DFD. Данная методика, по сравнению с более распространенным стандартом IDEF0, позволяет, во-первых, гораздо более полно отразить на диаграммах роли сущностей, инициирующих, выполняющих, заканчивающих или использующих результаты выполнения процессов, а во-вторых, дает возможность гораздо более полно представить обмен ресурсами (в частности - документами) между сущностями процессов.

Контекст модели

Контекстная диаграмма. Субъектом моделирования является система управления информационной безопасностью организации. Контекст модели составляют взаимоотношения между СУИБ и различными заинтересованными сторонами: как внешними, так и внутренними, которые отображаются в виде внешних сущностей.

В результате анализа текста стандарта ISO/IEC 27001:2005 были выделены 7 основных внешних сущностей:

Organization (Организация) - Organization itself, regardless of it's type (e.g. commercial enterprises, government agencies, non-profit organizations), where ISMS is being established and operated (организации любого типа - коммерческие, государственные, некоммерческие - в которых создается и функционирует СУИБ) [9], 1.1.

Management (Руководство) - Top management of the organization (высшее руководство организации) [9], 1.1.

Interested parties (Заинтересованные стороны) - Parties, interested in organization's activity or successful result of organization's activity: it's owners, employees, creditors, customers, suppliers, insurers, partners, society (лицо или группа лиц, заинтересованные в деятельности или успехе организации - потребители, владельцы, работники организации, поставщики, банкиры, ассоциации, партнеры или общество) [10], 3.2.2.

Note. Parties can be an organization, part of the organization, or number of organizations (примечание - группа лиц может состоять из организации, ее части или нескольких организаций) [11].

Management

Organization

Interested parties

Feedback

L Information

Contractual about actions Shared

obligations and business risks

improvements

Management authorization

Management approval

Goals, objectives and policies.

Characteristics of organization

Information about activities

Organization's assets

Resources

Technologies

Business processes

Business risks

IS requirements

Information about changes in organizati

Internal IS experience

External IS experience

Information Security Management System (ISMS) Processes

Results of measurement and assessment

Management

Informaition for organization about ISMS

Roles and responsibilities

Techniques, products and procedures

Required control objectives and controls

External sources of information

Information about changes to the legal or regulatory requirements

5

List of reqiired control objectives and controls

Organization

Requirements of standard

Legal or

regulatory

requirements

Legal and regJatory environment

International Standard ISO/IEC 27001:2005

NODE:

A-0

TTLE: Information Security Management System (ISMS) Processes

NUMBER:

з

з

2

2

4

б

7

Рис. 1. Контекстная диаграмма модели СУИБ

External sources of information (Внешние источники информации) - Other parties possessing the information and experience that could be used for ISMS establishing, e. g. consulting companies (другие участники, чей опыт в области безопасности можно использовать при организации СУИБ, например, консалтинговые фирмы).

List of required control objectives and controls (Список обязательных целей и средств управления) - List of required control objectives and controls, represented in ISO/IEC 27001 Annex A, or ISO/IEC 17799:2005, clauses 5-15 (список целей и средств управления, предоставляемый ISO/IEC 27001:2005, Annex A или ISO/IEC 17799:2005, clauses 5-15).

Legal and regulatory environment (Законодательное и регламентирующее окружение) - Legislation and regulatory requirements, applied to information security management systems and overall management systems (законодательные и нормативно-методические требования в области управления безопасностью информации и систем управления в целом) [9], A.15.

International Standard ISO/IEC 27001:2005 (Стандарт ISO/IEC 27001:2005) - Text of International Standard ISO/IEC 27001:2005 (текст международного стандарта ISO/IEC 27001:2005).

Контекстная диаграмма представлена на рис. 1.

Назначение модели (Purpose). Основными понятиями методологии SADT являются цель и точка зрения моделирования [12], которые составляют основное свойство модели - ее назначение (Purpose). Данная модель разрабатывалась в качестве вспомогательного материала при подготовке к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005 (в том числе). Соответственно, целью моделирования в данном случае является описание процессов создания и функционирования системы управления информационной безопасностью и их взаимодействия в соответствии со стандартом ISO/IEC 27001:2005. Кроме того, модель может использоваться в образовательных целях, а также в качестве шаблона при проектировании СУИБ.

В состав целевой аудитории входят консультанты (те, кто проводит предварительный - репетиционный аудит) и аудиторы (те, кто проводит сертификационный аудит) СУИБ, заявители и спонсоры оценивания СУИБ, а также ее пользователи (заинтересованные стороны, персонал организации).

На начальном этапе моделирования необходимо выбрать точку зрения моделирования (Viewpoint), т.е. позицию, с которой будет рассматриваться модель. Результат данного выбора в дальнейшем существенно влияет как на границы моделирования в целом, так и на процедуры детализации, осуществляемые в ходе построения самой модели.

В данной работе модель рассматривается с точки зрения потенциального разработчика СУИБ - руководителя отдела Информационной безопасности (Chief Information Security Officer, CISO), так как, скорее всего, именно он будет ответственен за моделируемую систему в целом. Соответственно, при моделировании с точки зрения этой роли мы получим наиболее универсальную функциональную модель.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Область моделирования. После формулировки цели и точки зрения на модель необходимо дать ей определение (definition) и обозначить границы моделирования (scope).

Модель содержит представление взаимосвязанных процессов создания, внедрения, эксплуатации, мониторинга, анализа, поддержки и улучшения системы управления информационной безопасностью. Данная система дополнена процессами, лежащими вне цикла PDCA, но предусмотренными стандартом ISO/IEC 27001:2005. В качестве примера таких «дополнительных» процессов можно привести документирование СУИБ.

Границы моделирования: в данной модели проводится максимальная детализация процессов в соответствии с пунктами и подпунктами стандарта ISO/IEC 27001:2005. Наиболее подробно рассмотрены процессы оценки рисков (включая их идентификацию, анализ и оценивание), поскольку именно система управления рисками, представляющая собой подсистему анализа рисков является ключевым элементом СУИБ [13].

Контекст модели составляют взаимоотношения между СУИБ и заинтересованными сторонами (такими как организация, государство, органы по стандартизации, другие заинтересованные участники и организации).

В модели рассматривается деятельность владельцев (информационных) активов и иных пользователей данной системы по управлению информационной безопасностью. Также внимание уделяется реализации ответственности руководства - в части предос-

тавления ресурсов для СУИБ и организации ее функционирования в целом, связи с внешними заинтересованными сторонами, а также организации эффективной работы персонала. Кроме того, в модели отображены процессы управления документами и записями, которые могут являться как внешними, так и внутренними ресурсами.

Деятельность внешних аудиторов не рассматривается в модели, но в нее включаются элементы деятельности внутренних аудиторов (проводят периодические плановые аудиты СУИБ в целях организации), а также руководства организации - по мониторингу и анализу СУИБ.

Описание модели

В соответствии с методологией SADT и выбранной нотацией, функциональная модель представляет собой иерархию DFD диаграмм, описывающих потоки данных между процессами. Каждая диаграмма модели получена путем детализации процесса, принадлежащего диаграмме более высокого уровня. Этот исходный процесс представлялся в виде разбиения на несколько подпроцессов в соответствии с ISO 27001:2005. При недостаточности сведений данного стандарта для определения процессов и ресурсов использовались другие нормативно-методические документы в данной области или мнения экспертов.

Management approval IS requirements

Goals, objectives and policies.

Organization's asset

Information about activities

Business risks

Characteristics of organization

Technologies

Business processe: Resources '

Management authorization

Contractual obligations

Selected control-

Establishing of ISMS

Management authorization

Results oflrisl analysis and I evaluation ! . .

h мш

Г

i

i

Information about changes

n oljanizatior —h-

Internal IS experience

External IS experience

Legal or regulatory requirements

Required control objectives and controls

ISMS policy

Improvements to measuring methods Up lates of risk asses: tree tment plans

2

Implementing and operating the ISMS

Modifications of procedures and controls

Incident respons procedures

Implemented controls

к ntand

Feedback

Shared

business risks

Decisions about resource needs

ISMS establishing document

-01

i' Risk treatment plan

_¡¡| Training and awareness programn

Method of measurement of the effectiveness of the controls

Monitoring and reviewing of ISMS

Resets of measurement and assessmei fr

Records of management decisions and actions

ft

Techniques

products

and

procedures

Records of significant actions and events

Updates of security plan!

Improvements of ISMS Results of the internal ISMS audits.

4

Maintaining and improving of ISMS

Records of corrective actions Records of preventive action

Information about actions and

improvements

Records of improvements

Documenting of ISMS

Rec ommendations for ISMS improvement

Records of follow-up actions Records of changes, affecting ISMS Documented procedure for planning and conducting internal audits

Information about changes to the legal or regulatory requirements

TRecords of 1 educational action Roles and ' responsibilities

б -*

Informaition for

Management responsibility organization about ISMS -►

NODE: TITLE: Information Security Management System (ISMS) Processes NUMBER:

AO 1

б

Рис. 2. Диаграмма детализации процесса «Maintaining and improving of ISMS»

Для примера на рис. 2 представлена одна из диаграмм детализации второго уровня действий по процессу «Maintaining and improving of ISMS» («Сопровождение и

улучшение СУИБ»). К настоящему моменту модель содержит 11 функциональных диаграмм, в которых представлена детализация деятельности по управлению информационной безопасностью организации - в основном до процессов второго уровня - детализация деятельности по управлению рисками, представляющей собой ключевой элемент СУИБ, представлена до процессов четвертого уровня. Иерархия функциональности включает в себя 53 процесса. В контекст модели входят 7 внешних сущностей.

В рассматриваемой функциональной модели используется более 75 ресурсов, которые были выделены на основе анализа текста стандарта ISO/IEC 27001:2005 и определений (definition) процессов. Ресурсы в покое описываются с помощью 2 хранилищ данных: ISMS documentation storage (хранилища документов СУИБ) и ISMS records storage (хранилища записей СУИБ).

Для рецензирования и использования модели средствами BPWin может быть сгенерирован отчет в виде html файла.

Заключение

Предметом рассмотрения в данной работе являлась система управления информационной безопасностью организации, моделирование которой производилось на основе текстов международных документов в области обеспечения информационной безопасностью - стандартов серии ISO 2700x.

Основополагающее значение при построении полуформальных моделей предметной области имеет определение базовых параметров будущей модели (нотации, контекста, цели и точки зрения моделирования, определения модели и границ моделирования). В данной работе представлены результаты анализа и выбора этих параметров в задаче построения функциональной модели систем управления информационной безопасностью по стандарту ISO 27001:2005.

Литература

1. Prieto-Diaz R. The Common Criteria Evaluation Process. Process Explanation, Shortcomings, and Research Opportunities. - Commonwealth Information Security Center Technical Report CISC-TR-2002-03, 2002 - CISC, James Madison University, USA.

2. Любимов А.В. Модели процессов СМК по стандарту ISO 9001:2000. Препринт кафедры Распределенных вычислений и компьютерных сетей. - СПб: СПбГТУ, 2004.

3. Любимов А.В. Функциональная структура общих критериев оценки безопасности информационных технологий // Труды 9-й научно-технической конференции «Теория и технология программирования и защиты информации. Применение вычислительной техники». - Санкт-Петербург, 18 мая 2005 г. - С. 20-24.

4. Николаев А.Ю., Любимов А.В., Суханов А.В. Автоматизация оценки объектов информатизации в соответствии с требованиями руководящих документов «Безопасность информационных технологий» Гостехкомиссии России // IV ежегодная всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты». - Сочи, 13-17 сентября 2005 г. - Тезисы докладов. - С. 27-31.

5. Носаков В. Создание комплексной системы управления информационной безопасностью. - JetInfo online, №7 (158), 2006. - Режим доступа: http://www.jetinfo.ru/2006/7/2/article2.7.2006.html

6. Волков О. Стандарты и методологии моделирования бизнес-процессов. - Связьинвест онлайн, №6, 2005. - Режим доступа: http://www.connect.ru/article.asp?id=5710.

7. Грекул В.И. Проектирование информационных систем (учебный курс): Лекция 7. Моделирование бизнес-процессов средствами BPwin, 2005. - Режим доступа: http://www.intuit.ru/department/se/devis/7/

В. Калянов A.^, Козлинский A3., Лебедев В.Н. Сравнительный анализ структурных методологий. // Системы управления базами данных. - 1997. - №G5-G6.

9. ISO/IEC FDIS 27GG1:2GG5(E). Information technology - Security techniques - Information security management systems - Requirements.

1G. ГОСТ Р 51B97-2GG2. Менеджмент риска. Термины и определения.

11. ГОСТ Р ИСО 9GGG-2GG1. Системы менеджмента качества. Основные положения и словарь.

12. Марка ДА., МакГоуэн К. Методология структурного анализа и проектирования SADT. - Электронная библиотека, 1999. - Режим доступа: http://www.interface.ru/fset.asp?Url=/case/sadtG.htm

13. Горобец Н.И. BSI и BS 7799 - Видение разработчиков. 2GG5. - Режим доступа: http://www.globaltrust.ru/security/Pubs/Pub1G_NIG_BS7799.htm

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.