Научная статья на тему 'К вопросу оценки соответствия электронных сервисов требованиям информационной безопасности на основе стандарта ISO 27001 в таможенном Союзе'

К вопросу оценки соответствия электронных сервисов требованиям информационной безопасности на основе стандарта ISO 27001 в таможенном Союзе Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
322
102
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / INFORMATION SECURITY MANAGEMENT SYSTEM / АУДИТ / AUDIT / СТАНДАРТЫ / STANDARDS / ТАМОЖЕННЫЙ СОЮЗ / CUSTOMS UNION / ЭЛЕКТРОННЫЕ СЕРВИСЫ / ELECTRONIC SERVICES

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лонцих Павел Абрамович, Лившиц Илья Иосифович

Кратко рассмотрена проблема оценки соответствия электронных сервисов (ЭС) требованиям информационной безопасности (ИБ) для стран участников Таможенного союза. Актуальность публикации определена широким диапазоном предлагаемых подходов к обеспечению ИБ и известными сложностями при формировании международного доверия к уровню обеспечения безопасности ЭС. Отмечено, что наряду с известными нормами, установленными различными национальными регуляторами, определенную перспективу с целью формирования объективных и независимых свидетельств доверия к оценке уровня обеспечения безопасности ЭС могут обеспечить международные стандарты ISO серии 27001. Методическая база стандартов ISO серии 27001 оперирует объективной и независимой оценкой множества метрик ИБ для формирования количественной оценки уровня защищенности ЭС. Полученные результаты могут найти применение при обеспечении международного доверия к ЭС за счет объективной и независимой оценки ИБ.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Лонцих Павел Абрамович, Лившиц Илья Иосифович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

TO ISO 27001 STANDARD-BASED ASSESSMENT OF ELECTRONIC SERVICES CONFORMITY TO INFORMATION SECURITY REQUIREMENTS IN THE CUSTOMS UNION

The article briefly considers the problem of assessing electronic services (ES) conformity to the requirements of information security (IS) for the countries-participants of the Customs Union. The publication relevance is determined by a wide range of suggested approaches to information security provision and specified difficulties in the formation of international confidence in the level of ES security provision. It is noted that along with well-known standards established by various national regulators, international standards of ISO 27001 series can provide some perspective in the formation of objective and independent evidences of confidence in the assessment of the ES security level. The methodological base of the standards of ISO 27001 series operates with an objective and independent assessment of a number of IS metrics to form a quantitative estimation of ES protection level. The obtained results can find application in ensuring international confidence in the electronic services through the objective and independent assessment of information security.

Текст научной работы на тему «К вопросу оценки соответствия электронных сервисов требованиям информационной безопасности на основе стандарта ISO 27001 в таможенном Союзе»

Библиографический список

1. Галазий Г.И. Байкал в вопросах и ответах [Электронный ресурс]. и^: http://geol.irk.ru/baikal/terr/terrhelp (05.10.15).

2. Куклина М.В. О проекте «Взаимодействие турбизнеса с клиентами на основе веб-приложений» // Научное обозрение. 2015. № 8. С. 134-137.

3. Куклина М.В. Обоснование разработки туристического сервиса электронного бронирования мест на турбазах Байкала // Вестник ИрГТУ. 2014. № 12 (95). С. 413-416.

4. Куклина В.В., Куклина М.В. Акторно-сетевой подход к исследованию туристической индустрии (на примере озера Байкал) // Фундаментальные исследования. 2014. № 12.

4. 8. С. 1682-1686.

5. Официальный сайт Иркутской области [Электронный ре-

сурс]. Сайт министерства природных ресурсов и экологии. URL: http://irkobl.ru/sites/ecology/ (10.10.15).

6. Официальный сайт министерства природных ресурсов Республики Бурятии [Электронный ресурс] // О Байкальской природной территории. URL: http://www.minpriroda-rb.ru/content (10.10.15).

7. Официальный сайт ООН [Электронный ресурс]. URL: http://www.un.org/ru/documents/decl_conv/conventions (07.10.15).

8. Полоцкая Л. Все больше российских туристов приезжает в Иркутскую область [Электронный ресурс]. URL: http://baikal-info.ru/vse-bolshe-rossiyskih-turistov-priezzhaet-v-irkutskuyu-oblast (07.10.15).

УДК 004.056

К ВОПРОСУ ОЦЕНКИ СООТВЕТСТВИЯ ЭЛЕКТРОННЫХ СЕРВИСОВ ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ СТАНДАРТА ISO 27001 В ТАМОЖЕННОМ СОЮЗЕ

© П.А. Лонцих1, И.И. Лившиц2

Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83. 2ООО «Газинформсервис»,

198096, Россия, г. Санкт-Петербург, ул. Кронштадтская, 10а.

Кратко рассмотрена проблема оценки соответствия электронных сервисов (ЭС) требованиям информационной безопасности (ИБ) для стран - участников Таможенного союза. Актуальность публикации определена широким диапазоном предлагаемых подходов к обеспечению ИБ и известными сложностями при формировании международного доверия к уровню обеспечения безопасности ЭС. Отмечено, что наряду с известными нормами, установленными различными национальными регуляторами, определенную перспективу с целью формирования объективных и независимых свидетельств доверия к оценке уровня обеспечения безопасности ЭС могут обеспечить международные стандарты ISO серии 27001. Методическая база стандартов ISO серии 27001 оперирует объективной и независимой оценкой множества метрик ИБ для формирования количественной оценки уровня защищенности ЭС. Полученные результаты могут найти применение при обеспечении международного доверия к ЭС за счет объективной и независимой оценки ИБ.

Ключевые слова: информационная безопасность; система менеджмента информационной безопасности; аудит; стандарты; Таможенный союз; электронные сервисы.

TO ISO 27001 STANDARD-BASED ASSESSMENT OF ELECTRONIC SERVICES CONFORMITY TO INFORMATION SECURITY REQUIREMENTS IN THE CUSTOMS UNION P.A. Lontsikh, I.I. Livshits

Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, 664074, Russia. "Gazinformservice" LLC,

10a Kronshtadtskaya St., St. Petersburg, 198096, Russia.

The article briefly considers the problem of assessing electronic services (ES) conformity to the requirements of information security (IS) for the countries-participants of the Customs Union. The publication relevance is determined by a wide range of suggested approaches to information security provision and specified difficulties in the formation of international confidence in the level of ES security provision. It is noted that along with well-known standards established by various national regulators, international standards of ISO 27001 series can provide some perspective in the formation of objective and independent evidences of confidence in the assessment of the ES security level. The methodological base of the standards of ISO 27001 series operates with an objective and independent assessment of a number of IS metrics to form a quantitative estimation of ES protection level. The obtained results can find application in ensuring international confidence in the electronic services through the objective and independent assessment of information security.

1Лонцих Павел Абрамович, доктор технических наук, профессор, заведующий кафедрой управления качеством и механики, тел.: (3952) 405179, e-mail: [email protected]

Lontsikh Pavel, Doctor of technical sciences, Professor, Head of the Department of Quality Control and Mechanics, tel.: (3952) 405179, e-mail: [email protected]

2Лившиц Илья Иосифович, кандидат технических наук, ведущий инженер, тел.: 89219344846, e-mail: [email protected] Livshits Ilia, Candidate of technical sciences, Leading Engineer, tel.: 89219344846, e-mail: [email protected]

Keywords: information security; information security management system; audit; standards; Customs Union; electronic services.

Общие положения

Одной из актуальных проблем на современном этапе развития электронных коммуникаций для стран Таможенного союза (ТС) является обеспечение информационной безопасности (ИБ) электронных сервисов (ЭС). Решение данной проблемы предлагается как получение формализованной оценки соответствия принятых мер (средств) (в терминах [21] - controls) требованиям по ИБ, которая будет соответствовать критериям оценки, признанной всеми участниками международного информационного взаимодействия.

Проведение независимой оценки может быть возложено на уполномоченных представителей всех государств-членов ТС. С целью консолидации национальных требований Российской Федерации, Республики Беларусь и Республики Казахстан по защите информации необходимо разработать единый документ, содержащий требования к мерам (средствам) обеспечения ИБ, которые могут быть независимо и объективно подтверждены посредством оценки конкретных объектов (в терминах [21] - asset) в рамках системы менеджмента информационной безопасности (СМИБ). Оценка соответствия СМИБ проводится согласно требованиям международных стандартов ISO серии 27001 [17, 19-21], принятых на национальном уровне в каждом из государств-членов ТС:

■ ГОСТ Р ИСО/МЭК 27001-2006 - в Российской Федерации;

■ СТБ ISO/IEC 27001-2011 - в Республике Беларусь;

■ СТ РК ИСО/МЭК 27001-2008 - в Республике Казахстан.

Представляется актуальным вопрос о необходимости разработки типовой методики и порядка оценки соответствия данным требованиям, обеспечивающих открытый и не противоречащий требованиям национальной нормативной документации государств-членов ТС, приведенных выше. Целью настоящей публикации является предложение рассмотрения объекта оценки информационной инфраструктуры ЭС как СМИБ и, соответственно, сертификация данного объекта согласно требованиям национальных стандартов ISO серии 27001, принятых в каждом из государств-членов ТС. При этом решается сложная задача обеспечения международного доверия к уровню обеспечения ИБ на основании объективных и независимых свидетельств в рамках результата аудитов. Оценка СМИБ проводится по единому международному признанному стандарту посредством независимых (сертификационных) аудитов 3-й стороной национальных органов по сертификации, находящихся под строгим контролем IAF (Международного аккредитацион-ного форума).

Требования к реализации электронных сервисов

Рассмотрим общие требования к ЭС, которые должны быть приняты во внимание при реализации и успешной сертификации СМИБ. Полагаем, что в со-

став современных ЭС входят технологии, предназначенные для обеспечения деятельности по проверке электронных подписей (ЭП) для электронных документов (ЭД), поддержания инфраструктуры открытых ключей (ИОК) в фиксированный момент времени в отношении респондентов (отправителя или получателя). Реализация ЭС осуществляется провайдерами, которым доверяют все стороны информационного обмена на основании договора (соглашения о присоединении). На стороне провайдера ЭС может быть выполнено развертывание следующих служб:

■ Службы ИОК - управления ключами и сертификатами, которые обеспечивают единое пространство обращения ЭП.

■ Служба доверенного времени, которая обеспечивает по протоколу NTP маркерами эталонного времени с глобального эталона.

■ Служба регистрации и ведения идентификаторов объектов, которая позволяет регистрировать структуры, которые участвуют в информационном обмене.

■ Служба документирования событий и информации, которая позволяет обеспечить поддержку функции аудита.

■ Служба атрибутирования решает задачу криптографической связи сертификата ключа ЭП с дополнительной информацией.

■ Служба заверения ЭД, которая обеспечивает проведение проверок с использованием протоколов DVCS, OCSP, TSP для трансграничного информационного обмена.

Рекомендуется реализация комплекса решений, применяемых при обеспечении ИБ для ЭС, таким образом, чтобы обеспечить свойства: доступность, целостность, конфиденциальность, аутентичность, достоверность и пригодность для использования независимо от любых изменений (миграции) в составе ПО и конкретных технических решений. Спецификации технических решений, применяемых при обеспечении ИБ для ЭС, определяются конкретным составом ПО и технических решений, используемых в конкретной национальной реализации [1, 4, 5].

Требования к подготовке инфраструктуры ЭС к сертификации ISO 27001

Известно, что требования к СМИБ установлены рядом стандартов ISO серии 27001, в частности, требования к реализации мер (средств) обеспечения ИБ определяются [20], требования к менеджменту рисков ИБ определяются [19], требования к измерениям ИБ определяются [17]. Вместе с тем представляется целесообразным сопоставить требования, предъявляемые к объекту ЭС как к объекту информатизации (ОИ) в соответствии с требованиями [14, 15]. Определение ОИ следующее - «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией (ИТ), а также средств их обеспечения, помещений или объектов (зданий, сооружений,

технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров» [2]. Дополнительные термины, касающиеся методических аспектов создания, оценки, реализации ОИ, приводятся в [3].

Рассмотрим требования, предъявляемые к ОИ в соответствии с нормативными документами [14, 15], которые удобно объединить по основным группам, и сопоставим их с аналогичными требованиями, предъявляемыми к СМИБ [20] (табл. 1).

В указанных документах [14, 15] установлена применимость международных схем и средств защиты информации при выполнении процессов сертификации. В целях сопоставления требований различных нормативных документов отметим дополнительно, что в «Положении о сертификации средств защиты информации» отражено: «По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике» (п. 1.7 [14]). Более того, установлена возможность признания международных сертификатов: «Федеральный орган по сер-

Обобщенные требования к

тификации средств защиты информации <...> осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов» (п. 2.2 [14]).

Преимущества и недостатки сертификации ЭС по требованиям ISO 27001

Описание преимуществ и недостатков предложенного варианта оценки информационной инфраструктуры ЭС как СМИБ в соответствии с требованиями ISO 27001 приведено в табл. 2.

Выполнение оценки соответствия инфраструктуры ЭС требованиям ISO 27001

Принятие объекта (информационной инфраструктуры ЭС) с установленными границами (boundaries), областью сертификации (scope), совместно с мерами (средствами) обеспечения ИБ (controls), системой документации (documented information) в качестве СМИБ и выполнение сертификации в рамках единых и признанных всеми государствами-членами ТС требований национальных регуляторов - стандарта ISO 27001 позволит:

Таблица 1

объекту информатизации

Группа требований Пункт требований «Положение по аттестации ОИ» Пункт требований ISO 27001

Персонал 3.7.1 7.2; 7.3; 7.4

Средства защиты информации 1.5; 1.8; 3.4; 3.7 А.5 - А.18

Документация 1.8; 2.6; 3.1; 3.5; 3.7; 4.1 7.5

Состав ПО и ТС 1.7; 1.8; 3.4; 3.7; 3.8; 3.10; 4.1 А.5 - А.18

Таблица 2

Описание преимуществ и недостатков оценки доверенной третьей стороны (ДТС) как СМИБ

Достоинства Недостатки

■ Международная унифицированная методика выполнения аудитов систем менеджмента (19011) [16]. ■ Международный стандарт (27001) касательно требований к СМИБ, в том числе - перечень рекомендуемых мер (средств) ИБ [20]. ■ Дополнительная сертификация ЭС как ИТ-услуг в соответствии с ISO 20000 [18]. ■ Дополнительная сертификация ЭС в области непрерывности бизнес-процессов в соответствии с ISO 22301 [25]. ■ Высокая унификация выполнения работ на любом национальном уровне ТС - единый план аудитов, единые критерии аудита. ■ Доступность материалов аудитов для информационного обмена государств-членов ТС. ■ Получение Сертификата соответствия как свидетельство оценки объективным аккредитованным национальным и международным органом (IAF). ■ Доступность периодического контроля над качеством и сроками проведения независимого и объективного аудита СМИБ. ■ Возможность независимого контроля не только экспертной оценки документации на объект аудита, но и осуществление контроля аудита СМИБ непосредственно на объекте. ■ Возможная трудоемкость организации процесса аудита с учетом формирования национальной команды аудита. ■ Требование проведения двух этапов аудита, в том числе обязательно проведение аудита на объекте (on-site audit). ■ Возможные проблемы при выполнении национальных требований по ИБ в силу выбора и применения различных средств (мер) обеспечения ИБ, например - криптографических средств.

- Разработать и утвердить единый документ, определяющий требования по ИБ, на соответствие которому будет проводиться сертификация СМИБ (область сертификации, границы сертификации, допустимые исключения и пр.).

- Разработать план проведения аудитов, в том числе для сертификации СМИБ на соответствие критериям стандарта ISO 27001. Разработанный план аудита СМИБ должен детализировать порядок проведения аудита на объектах СМИБ (on-site audit), в частности, контроль мер (средств) обеспечения ИБ.

- Назначить группу аудиторов в составе компетентных и аттестованных представителей всех государств-членов ТС, имеющих право выполнять независимые аудиты по критериям стандарта ISO 27001.

- Провести аудит 3-й стороной (сертификацию) СМИБ на соответствие утвержденным критериям стандарта ISO 27001 согласованному всеми государствами-членами ТС плану аудита.

- Предоставить заключение группы аудиторов на рассмотрение национальных органов, имеющих международную признанную аккредитацию по сертификации СМИБ на соответствие национальному стандарту ISO серии 27001 и имеющих доверие в рамках ТС. Орган по сертификации выдает сертификат соответствия СМИБ требованиям национального стандарта ISO серии 27001, который признается во всех государствах-членах ТС, а также в мире (в рамках признания аккредитации органов сертификации в системе IAF).

Математическое обоснование выбора схемы сертификации ЭС по ISO 27001

Представляется необходимым подготовить математическое обоснование для объективного оптимального выбора схемы оценки инфраструктуры ЭС для целей предоставления международной признанной сертификации именно на базе ISO 27001. Для планирования этого процесса, как правило, учитывают определенное множество критериев ИБ, которые тесно увязаны с вопросами измерений [17], анализа полученных данных, правильной и своевременной интерпретации и сообщения всем заинтересованным лицам (как внутренним, так и внешним).

Известно, что принципиальная сложность выбора при многих критериях заключается в невозможности априорного определения единственного самого наилучшего и оптимального решения; более того, в ряде работ уделяется достаточно внимания проблеме незначительных (небольших) изменений [9, 13] или малых возмущающих воздействий, которые могут с течением времени привести к изменению смысла наилучшего решения, или, в пределе, к катастрофическим последствиям. Известно, что многокритериаль-ность подразумевает такое решение управленческих задач, при котором допустимые решения оцениваются по нескольким показателям (или критериям) одновременно [9, 13]. Известно, что существует принципиальная сложность решения указанных выше задач - невозможность априорного определения наилучшего (оптимального) решения из множества допустимых решений. Отметим, что наилучшее выбранное реше-

ние должно удовлетворять ожиданиям всех заинтересованных сторон (в нотации стандартов ISO [21] -stakeholders), перечень которых является счетным множеством [10-12].

Определим набор числовых функций f1, f2, ... fm, m>2, определенных на множестве возможных решений X как критерии оптимальности (целевые функции). Вектор f=(f1, f2, ... fm) называют векторным критерием, который принимает значения в m-мерном пространстве Rm, называемым критериальным пространством или пространством оценок.

Векторной оценкой возможного решения х еX для векторного критерия f называют

f (x)=(fi (x), f2 (x), ... fm (x) ) е Rm.

Все возможные векторные оценки образуют множество возможных оценок:

Y=f (x)={y е Rm | y=f (x) при х е X}.

Все возможные выбираемые оценки образуют множество выбираемых векторов (оценок):

C(Y)=f (С (X) )={y е YI y=f (x) при х е С (X) }.

Многокритериальной задачей (задача многокритериальной оптимизации - МКО) называют задачу выбора, которая включает множество допустимых значений X и векторный критерий f. Или говорят, что задача МКО состоит в отыскании множества выбираемых решений С (X), таких что С (Х^Х с учетом отношения предпочтения у х на основе заданного векторного критерия f, установленного в соответствии с целями (предпочтениями) лица, принимающего решения (ЛПР). Крайне важно, чтобы данная задача не оказалось чрезмерно сложной, но эта проблема может быть решена за счет определения степени детализации на этапе постановки задачи и определения приемлемого состава векторного критерия.^

Известно, что решение х' е X называют оптимальным по Парето (или парето-оптимальным), если не существует такого возможного решения х е X, для которого выполняется неравенство Щ>(х'). Парето-оптимальные решения образуют множество Парето P j (X):

Pj (Х)={х'еXI не существует такого х'еX, для которого f (x)>f (х')}.

Важно, что парето-оптимальное решение - допустимое решение, при котором не может быть улучшение ни по одному из имеющихся критериев без ухудшения иного другого имеющегося критерия. Множество парето-оптимальных решений - множество компромиссов, при котором ЛПР осознанно принимает решение о выборе определенного «выигрыша» и принятие потерь минимально по одному критерию. Задача может быть несколько упрощена, если ЛПР предлагает несколько критериев оптимальности, и тогда формируется так называемое «направление заинте-

ресованности» ЛПР. Но в этом случае также нужно фиксировать ограничения для доминирования решений X (х1 у х х; х2 >-х х3; ...), что может привести к пустому множеству (в пределе).

Вообще принцип Эджвота-Парето гласит - если ЛПР ведет себя «разумно», то выбираемые решения обязательно должны быть парето-оптимальными [13]. Здесь «разумность» поведения ЛПР подразумевает выполнение двух минимальных условий:

1. Выполнение аксиомы исключения доминирующих векторов: для любой пары допустимых векторов у, у2 е У, для которых выполнятся у1 >- у у2, выполнено у2 г С(У).

2. Выполнение аксиомы Парето: для всех пар допустимых решений х1, х2<=Х, для которых выполнятся неравенство 1 {х*)>1 {х2), выполняется х1 > хХ2.

В практическом аспекте важно принять к рассмотрению важное свойство множества Парето - существование непустого множества парето-оптимальных векторов. Это означает, например, что при известных критериях 1 (например, бюджет, цели, сроки, персонал) есть принципиальная возможность выбора,

достаточно часто), либо система необходимых (достаточных) условий парето-оптимальности.

В рассматриваемом примере оптимизации по Парето имеем:

■ 3 варианта Y={y<1>, y<3>};

■ 7 критериев (m=7);

■ количественную (балльную) шкалу - 5 баллов.

Кроме того, нужно минимизировать ряд критериев:

f1 ^f1=5-f1;

f2 ^f2=5-f2;

f3 ^f3=5-f3.

Рассмотрим спецификацию вариантов:

y(1> = Аттестация инфраструктуры ЭС как ОИ (требования - документы Гостехкомиссии);

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

y <2> = Сертификация инфраструктуры ЭС как ИТ-системы (требования - ISO серии 15408);

y <3> = Сертификация инфраструктуры ЭС как СМИБ (требования - ISO серии 27001).

Детальный анализ вариантов по всем критериям представлен в табл. 3.

Таблица 3

Описание преимуществ и недостатков оценки доверенной третьей стороны как СМИБ

Вектор оценки f1 f2 f3 f4 f5 f6 f7

y (1) 2 2 1 1 3 3 3

y (2) 2 3 2 1 3 4 3

y (3) 2 4 2 2 4 5 5

например, оптимального набора мер (средств) обеспечения ИБ в проекте реализации инфраструктуры ЭС для целей сертификации СМИБ.

Например, для целей формирования критериев оценки ИБ для решения поставленной задачи - формирование международных признанных оценок ИБ инфраструктуры ЭС, могут быть предложены следующие критерии:

11 - стоимость проекта сертификации;

12 - стоимость консалтинга для сертификации;

13 - длительность проекта сертификации;

14 - объем документации, требуемой для сертификации;

15 - стоимость новых контрактов (международных) после сертификации;

16 - стоимость признания сертификата соответствия в ТС;

17 - доступность национальных экспертов для выполнения сертификации в ТС.

В работах [9, 13] отмечается, что нахождение па-рето-оптимальных векторов путем прямого перебора при неограниченной размерности возможных векторов - невозможно. Соответственно, требуются либо специальные знания ЛПР (что на практике встречается не

Очевидно, что у2 >-у у1 (в силу более низкой трудоемкости, национального признания результатов оценки ЭС как объекта оценивания по требованиям ISO 15408), а также что, в свою очередь, у3 >-у у2 (в силу более рационального требования к документации, универсальности модели оценки ЭС, доступности технических экспертов для проектирования и аудиторов - для оценки, а также широкого национального и международного признания сертификатов ISO 27001). Таким образом, вектор y3 доминирует над всеми иными векторами (y2, y1), что позволяет исключить их из множества парето-оптимальных: y1 g C(Y), y2 g C(Y).

Вывод

Выполнение оценки инфраструктуры ЭС как СМИБ и формирование заключения с выдачей сертификата о соответствии требованиям стандарта ISO 27001 (как национального, так и международного) возможно для любого государства-члена ТС; равно обеспечивается признание доверия к такому сертификату в рамках ТС, а при необходимости - для всех участников информационного обмена и пользователей инфраструктуры ЭС в мире.

Статья поступила 23.09.2015 г.

Библиографический список

1. ГОСТ Р /ISO/TR 18492:2005. Обеспечение долговремен- 3. ГОСТ Р 50922-2006. Защита информации. Основные тер-ной сохранности электронных документов. мины и определения.

2. ГОСТ Р 51275-2006. Защита информации. Объект инфор- 4. ГОСТ Р ИСО 15489-1-2007. Система стандартов по ин-матизации. Факторы, воздействующие на информацию. формации, библиотечному и издательскому делу. Управле-

ние документами.

5. ГОСТ Р /ISO/TR 15801-2009. Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности.

6. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

7. ГОСТ Р ИСО/МЭК 27003-2012. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.

8. ГОСТ Р ИСО/МЭК 20000-1-2013. Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами.

9. Захаров А.О. Сужение множества Парето на основе замкнутой информации об отношении предпочтения ЛПР // Вестник Санкт-Петербургского университета. 2009. Вып. 4. С. 69-82.

10. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72- 94.

11. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22-34.

12. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и связь. 2013. Вып. 6. С. 62-67.

13. Ногин В.Д. Принятие решений при многих критериях: учеб.-метод. пособие. СПб.: Государственный университет -Высшая школа экономики, 2007. 103 с.

14. Положение о сертификации средств защиты информации по требованиям безопасности информации: утв. приказом пред. Гос. техн. комиссии при Президенте РФ от 27 октября 1995 г. № 199.

1б. Положение по аттестации объектов информатизации по требованиям безопасности информации: утв. пред. Гос. техн. комиссии при Президенте РФ 2б ноября 1994 г.

16. Guidelines for auditing management systems: ISO 19011:2011. International Organization for Standardization, 2011. 44 p.

17. Information technology - Security techniques - Information security management - Measurement: ISO/IEC 27004:2009. International Organization for Standardization, 2009. бб p.

18. Information technology - Service management - P. 1: Service management system requirements: ISO/IEC 20000-1:2011. International Organization for Standardization, 2011. 26 p.

19. Information technology - Security techniques - Information security risk management: ISO/IEC 2700б:2011. International Organization for Standardization, 2011. 68 p.

20. Information technology - Security techniques - Information security management systems - Requirements: ISO/IEC 27001:2013. International Organization for Standardization, 2013. 23 p.

21. Information technology - Security techniques - Information security management systems - Overview and vocabulary: ISO/IEC 27000:2014. International Organization for Standardization, 2014. 31 p.

22. ISO/IEC 27003:2010. Информационные технологии. Mе-тоды обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности.

23. ISO/IEC 27002:2013. Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Mетоды обеспечения безопасности. Свод установленных правил менеджмента информационной безопасности).

24. ItSMF 1 б/01 б. Scheme for Bodies Operating the Certification /Registration of IT Service Management Systems (Схема для органов, осуществляющих сертификацию/регистрацию систем менеджмента ИТ-сервисов).

2б. Societal security - Business continuity management systems - Requirements: ISO 22301:2012. International Organization for Standardization, 2012. 24 p.

УДК 338.4:69:658

ОЦЕНКА ПРОИЗВОДСТВЕННОГО ПОТЕНЦИАЛА ПРОЕКТНЫХ ОРГАНИЗАЦИЙ ДЛЯ ВЫПОЛНЕНИЯ РАБОТ ПО ПРОЕКТИРОВАНИЮ ОБЪЕКТОВ КАПИТАЛЬНОГО СТРОИТЕЛЬСТВА

1 Я

© Г.Г. Малыха1, Б.П. Титаренко2, А.Ю. Решетова3

Национальный исследовательский Московский государственный строительный университет, 129337, Россия, г. Москва, Ярославское шоссе, 26.

Проведенный анализ оценки проектных организаций для выполнения работ по проектированию объектов капитального строительства показал, что зачастую контракт заключается с малоопытной организацией, предложившей наименьшую стоимость выполнения работ. Через какое-то время вследствие невыполнения сроков и объемов работ контракт расторгается, что приводит к срыву сроков реализации федеральных инвестиционных программ, нецелесообразному расходованию бюджетных средств и к увеличению стоимости объекта. Предложен-

1Малыха Галина Геннадьевна, доктор технических наук, профессор, преподаватель кафедры строительства объектов тепловой и атомной энергетики, тел.: (495) 7818007, e-mail: [email protected]

Malykha Galina, Doctor of technical sciences, Professor, Lecturer of the Department of Thermal and Nuclear Power Engineering Facilities Construction, tel.: (495) 7818007, e-mail: [email protected]

2Титаренко Борис Петрович, доктор технических наук, профессор, преподаватель кафедры информационных систем, технологий и автоматизации в строительстве, тел.: (495) 2874919, e-mail: [email protected]

Titarenko Boris, Doctor of technical sciences, Professor, Lecturer of the Department of Information Systems, Technologies and Automation in Construction, tel.: (495) 2874919, e-mail: [email protected]

3Решетова Анна Юрьевна, аспирант, тел.: (495) 7818007, e-mail: [email protected] Reshetova Anna, Postgraduate, tel.: (495) 7818007, e-mail: [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.