CC BY
9
Computational nanotechnology
Vol. 6, №3,2019
ISSN 2313-223X
05.13.19
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (физико-математические науки)
DOI: 10.33693/2313-223Х-2019-6-3-92-95
УДК 004.942
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ОБЪЕКТА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ1
Воеводин Владислав Александрович, кандидат технических наук; доцент Национального исследовательского университета «МИЭТ», победитель грантового конкурса «Стипендиальной программы Владимира Потанина 2018/2019». Москва-Зеленоград. Российская Федерация. E-mail: vva541@mail.ru
Аннотация. Обладатель информации для ее защиты должен определить и осуществить управление многочисленными видами деятельности по обеспечению информационной безопасности (ИБ). Эффективность принимаемых решений зависит от полноты, достоверности и своевременности информации, которая добывается в ходе аудита ИБ. В настоящее время аудит ИБ осуществляется на основе обобщения эмпирических знаний и опыта, которые закреплены в практических рекомендациях и стандартах. Однако, достижения фундаментальной науки для этих целей применяются не в полной мере. В статье приведена концептуальная модель аудита ИБ, которая содержит обобщенную и детализированную схемы и формальные постановки задач: вывода аудиторского доказательства и преобразования аудиторских доказательств в аудиторское заключение. В заключении приведены рекомендации практического применения полученных результатов и направления дальнейшего исследования.
Ключевые слова: аудит информационной безопасности, аудиторский риск, аудиторское свидетельство, аудиторское доказательство, аудиторское заключение.
1. Введение
Информационные технологии приобрели глобальный трансграничный характер и стали движущим фактором ускорения экономического развития, формирования национальной цифровой экономики, обеспечения национальных интересов и реализации стратегических национальных приоритетов. Их применение является важным фактором реализации программы «Цифровая экономика РФ» [1], в которой информационная безопасность, наряду информационной инфраструктурой, позиционируется как основной структурный элемент.
Обладатель информации, как активный участник Цифровой экономики, при осуществлении своих прав и обязанностей, как полноправный участник информационных отношений, обязан приниматьмеры по защите информации [2]. Для обеспечения ЗИ обладатель информации должен определить и осуществить управление многочисленными видами деятельности по обеспечению ИБ. Основой управления ИБ является решение обладателя информации по применению сил и средств И Б [3].
Эффективность решения зависит от полноты, достоверности и своевременности информации, характеризующий достигнутый уровень защиты информации (ЗИ), с учетом угроз, возможного ущерба и возможного прогноза развития ситуации по ИБ [8].
Данная информация добывается в результате аудита ИБ. Организация аудита ИБ является частью проблемы более высокого уровня - проблемы организации ЗИ, и позиционируется в статье как научная задача.
В настоящее время наиболее исследованы и отработаны методы и способы проведения аудита на предмет независимой проверки достоверности бухгалтерской (финансовой) отчетности и по данному предмету имеется множество публикаций [4; 5].
Однако аудит ИБ имеет уникальные особенности, которые не позволяют применить в полном объеме знания и опыт, полученные при проведении бухгалтерского аудита.
Изучение публикаций, посвященных организации аудита ИБ [6; 7], и собственный опыт позволяют сделать вывод о том, что организация аудита ИБ в основном базируется на эмпирическом знании и на опыте.
В результате исследований эмпирического знания и субъективного опыта экспертов в области организации аудита ИБ получены следующие научные результаты:
• обобщены эмпирические знания и опыт;
• произведена их первичная систематизация и классификация, что сделало возможным сформулировать эмпирические правила, выдвинуть ряд научных гипотез, подготовить фундамент для формализации полученных эмпирических знаний.
1 Материалы публикации подготовлены с использованием гранта Благотворительного фонда Владимира Потанина.
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ОБЪЕКТА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ1
Воеводин В.А.
В результате проведенных научных исследований получены:
• обобщенная (рис. 1) и детализированная (рис. 2) схемы концептуальной модели аудита ИБ;
• сформулированы формальные постановки частных задач аудита И Б:
1) вывода частного аудиторского доказательства (1);
2) преобразования аудиторских доказательств в аудиторское заключение (2);
3) даны рекомендации по применению полученных результатов.
2. Схема концептуальной модели аудита ИБ
Для формальной постановки частных задач аудит ИБ
был представлен в виде обобщенной схемы, приведенной
на рис. 1, где:
• и = ис п и" - множество угроз ИБ;
• и" = {иД" - индекс /-й угрозы ИБ, которая при аудите ИБ признана несущественной. На практике число несущественных угроз ИБ неизвестно, поэтому на схеме это число не закрыто и обозначено знаком бесконечности - Несущественные угрозы при аудите не учитываются;
• ис = - множество существенных угроз, которые учитываются при реализации программы п* е П,у' = 1, 2,..., тп„ т , -число существенных угроз, при реализации программы аудита п*;
• п* е П, П = {пк} - библиотека программ аудита ИБ, имеющихся в арсенале аудитора, где пк - идентификатор к-й программы аудита, к = 1, 2, тк, где тп - число вариантов программ аудита, имеющихся в арсенале аудитора, П е Пдоп, где Пдоп - множество программ аудита, которые применимы для аудита соответствующего объекта. Если П е 0, то открывается проект по разработке новой программы аудита, которая, после приемки, включается в библиотеку;
• Сл, = {с }л. - множество аудиторских свидетельств, которые добываются в ходе реализации программы аудита п*, выбранной из множества П, где / = 1, 2, ..., л, л - число аудиторских свидетельств необходимых для вывода у'-го аудиторского доказательства, п* - индекс программы, выбранной для проведения аудита, п у = 1, 2, ..., тп„ тп, -число аудиторских доказательств для программы п*;
• Т= (т + т ) - время, отпущенное для аудита ИБ, тс - время, отпущенное для сбора аудиторских свидетельств, та - время, отпущенное для преобразования аудиторских свидетельств в соответствующие аудиторские доказательства;
• Утр - эталон требований по ЗИ для соответствующего объекта аудита;
• Я = (г + г ) - ресурс, выделенный для проведения аудита ИБ, где гс - ресурс, выделенный для сбора аудиторских свидетельств; га - ресурс, выделенный для реализации аналитической процедуры;
• И/-аудиторское заключение.
Как следует из схемы (см. рис. 2), оператор аудита Ф: IVе х Сх П х Ях утр -> И/ представляет собой составной оператор Ф = Н* М вывода аудиторского заключения И/, который является суперпозицией операторов Н и М; * - знак суперпозиции операторов.
Модель Н: 17схСхПхЯ->0 представляет собой одну из форм оператора Н моделирования промежуточного результата (исхода) аудита, которая может задаваться функциональном или в алгоритмическом виде и (или) иметь различные математические основания.
Модель М отображает множество аудиторских доказательств О в аудиторское заключение И/.
Суперпозиция операторов Н и М с учетом эталонных требований Утр определяет соответствие аудиторского заключения требуемому результату А0. Конкретный вид оператора Ф = Н* М зависит от постановки задачи аудита ИБ и учитываемых факторов.
3. Формальная постановка задачи вывода аудиторского доказательства
В формальном виде задачу вывода аудиторского доказательства можно представить записью следующего вида:
Н:{С.} >{0}', (1)
где Н-модель, которая позволяет преобразовать множество добытых аудиторских свидетельств - С, во множество аудиторских доказательств - О; т , - время, требуемое для сбора аудиторских свидетельств при реализации программы аудита с индексом п*; /■* - ресурс, требуемый для добывания множества аудиторских свидетельств при реализации программы аудита с индексом п*; Ол, = - множество аудиторских доказательств, которые должны быть выведены при реализации программы аудита п*, выбранной из множества П.
Тогда задача анализа аудиторских свидетельств будет иметь следующую постановку:
Для заданных исходных данных, характеризующих множество аудиторских свидетельств Сл, и множество факторов ис = {и^., которые учитываются при реализации программы аудита с индексом п*, построить такую модель Н, которая бы с учетом ограничений на выделенные для аудита ресурсы тс >тл, и рс > р* позволяла вывести соответствующие аудиторские доказательства Ол, =
Рис. 1. Обобщенная концептуальная модель аудита ИБ
/55Л/ 2313-223Х Т. 6, № 3, 2019
. г С„. = {сД. I п" е П Т\ Пр
-н*- -к Н и - {Oij м
W
г
L.
? I
J
я = К U
Рис. 2. Детализированная концептуальная модель аудита ИБ
Computational nanotechnology 93
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
05.13.00
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
4. Формальная постановка задачи преобразования аудиторских доказательств в аудиторское заключение
В формальном виде задачу преобразования аудиторских доказательств в аудиторское заключение можно представить формальной записью следующего вида:
М-.'А. ; >{|л/}', (2)
где М - модель, которая позволяет преобразовать множество, выведенных с помощью модели Н, аудиторских доказательств в аудиторское заключение - И/; = -множество аудиторских доказательств, которые выведены с помощью модели Н, при реализации программы аудита п*, у = 1, 2, тп„ тп, - число аудиторских доказательств для программы п*; а* - индекс реализуемой в программе аналитической процедуры; та, - время, га,- ресурс, выделенные для реализации а*; га - ресурс, выделенный для вывода аудиторского заключения.
Тогда задача преобразования аудиторских доказательств в аудиторское заключение будет иметь следующую постановку:
Для заданных исходных данных, характеризующих множество аудиторских доказательств О*, построить такую модель М, которая бы с учетом ограничений на выделенные для аудита ресурсы тй > тй, и рй > р^ позволяла преобразовывать множество аудиторских доказательств = Ц}^«, в соответствующее аудиторское заключение И/.
5. Заключение
Для построения формальных моделей Н и М, следует взять за основу формальные постановки задач (1), (2), руководствуясь описанием структурных схем (см. рис. 1, 2) и конкретизировать их средствами той или иной теории.
Выбор типа формальной модели зависит от цели и уровня (проблемного, системного, методологического, детального) аудиторского исследования, изученности явлений и самого процесса аудита ИБ, требований к достоверности аудиторского заключения и уровня аудиторского риска, отведенного времени, выделенного ресурса.
Таким образом, в результате исследования были построены общая и детализированная схемы моделирования аудиторских операций по сбору аудиторских свидетельств и вывода на их основе соответствующих аудиторских доказательств, а на их основе - аудиторского заключения.
05.13.19
Произведены формальные постановки задач для концептуального моделирования.
Однако это лишь общая стратегия действий. В действительности процесс перехода от концептуальной модели, к модели конкретной аудиторской операции, т.е. построение математической или иной формальной модели, является очень сложным и трудоемким, особенно когда речь идет об аудите ИБ объекта, который находится в состоянии проектирования, создания, и применения, реинжиниринга. Дальнейшее направление научных исследований - это непосредственная разработка математических моделей, планирование эксперимента с ними, оценка их адекватности и сходимости, разработка рекомендации по практическому применению для целей аудита ИБ.
Литература
1. Программа «Цифровая экономика Российской Федерации». Утв. распоряжением Правительства Российской Федерации от 28 июля 2017 г. № 1632-р. URL: http://static.government.ru/ media/files/9gFM4FHj4PsB79l5v7yLVuPgu4bvR7M0.pdf
2. Федеральный закон от 27 июля 2006 г. N° 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Гос. Думой 8 июля 2006 г., одобрен Советом Федерации 14 июля 2006 года. URL: http://www.rg.ru/2004/08/05/ taina-doc.html
3. ГОСТ Р ИСО/МЭК 27005-2006. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Требования. Введ. 2010.11.31 № 632-ст. М.: Стандартинформ, 2010. 45 с.
4. Федеральные правила (стандарты) аудиторской деятельности. Утв. Постановлением Правительства Российской Федерации от 23 сентября 2002 г. N° 696. URL: http://www.consultant. ru/document/cons_doc_LAW_38848/c7ec6185d8385c6dbllfb-780d84e427706f521da/
5. Кочинев Ю.Ю. Аудит: теория и практика Текст предоставлен правообладателем. URL: http://www.litres.ru/pages/biblio_book/ ?art=427352. Аудит: теория и практика. 5-е изд. СПб.: Питер, 2010. ISBN 978-5-49807-579-2.
6. Курило А.П., Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности. М.: Издат. группа «БДЦ пресс», 2006. 304 е., с вкл.
7. ГОСТ Р ИСО/МЭК 27007-2006. Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности. Требования. Введ. 2014-11-06 № 563-ст. М.: Стандартинформ, 2014.
23 с.
8. Курило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Основы управления информационной безопасностью: учеб. пособие для вузов. М.: Горячая линия - Телеком, 2014. 244 е.: ил.
СТАТЬЯ ПРОШЛА РЕЦЕНЗИРОВАНИЕ ПО СПЕЦИАЛЬНОСТИ 05.13.19 ЧЛЕНАМИ РЕДАКЦИОННОЙ КОЛЛЕГИИ ЖУРНАЛА «COMPUTATIONAL NANOTECHNOLOGY»
94
Computational nanotechnology
Vol. 6, №3,2019
ISSN 2313-223X
CONCEPTUAL MODEL OF INFORMATION SECURITY AUDITOBJECT
Voevodin V.A.
DOI: 10.33693/2313-223X-2019-6-3-92-95
CONCEPTUAL MODEL OF INFORMATION SECURITY AUDITOBJECT
Voevodin Vladislav Aleksandrovich, candidate of technical sciences; National Research University of Electronic Technology "MIET", winner of the grant competition of the «Vladimir Potanin Scholarship program 2018/2019». Moscow-Zelenograd, Russian Federation. E-mail: vva541@mail.ru
Abstract. The holder of information to protect the information must identify and manage numerous activities to ensure information security. The efficacy of decisions depends on the completeness, reliability and timeliness of information on the situation of information security, which is extracted in the course of the audit. Currently, the information security audit is carried out on the basis of generalization of empirical knowledge and experience, which are enshrined in practical recommendations and standards. However, the achievements of fundamental science for these purposes are not applied in full, in the absence of theoretical research in this area. The article presents a conceptual model of audit that contains aggregated and detailed diagrams and formal statement of task: conclusion of the audit evidence and the conversion of audit evidence in the audit report. Finally, it provides recommendations for the practical application of the results obtained and directions for further research.
Key words: information security audit, audit risk, audit evidence, audit evidence, audit opinion.
Reference list
1. The program "Digital Economy of the Russian Federation". Approved By order of the Government of the Russian Federation of July 28, 2017 № 1632-p. URL: http://static.government.ru/media/files/9g-FM4FHj4PsB79l5v7yLVuPgu4bvR7M0.pdf
2. Federal Law of July 27, 2006 No. 149-033 "On Information, Information Technologies and the Protection of Information". Adopted by the State Duma on July 8, 2006, approved by the Federation Council on July 14, 2006. URL: http://www.rg.ru/2004/08/05/taina-doc.html
3. GOST R ISO / I EC 27005-2006. Information technology. Security methods and tools. Information Security Risk Management. Requirements - Introduction. 2010-11-31 № 632-Art. M.: Standartin-form, 2010. 45 p.
4. Federal rules (standards) of audit activity. Approved By the Decree of the Government of the Russian Federation of September 23,
2002 N° 696. URL: http://www.consultant.ru/document/cons_doc_ LAW_38848/c7ec6185d8385c6dbllfb780d84e427706f521da/
5. Kochinev Yu.Yu. Audit: theory and practice. Text provided by the copyright holder. URL: http://www.litres.ru/pages/biblio_ book/?art=427352. Audit: theory and practice. 5th ed. St. Petersburg: Piter, 2010. ISBN 978-5-49807-579-2.
6. Kurilo A.P., Zefirov S. L., Golovanov V. B. et al. Information security audit. M.: Publishing Group "BDC Press", 2006. 304 p., Incl.
7. GOST R ISO / IEC 27007-2006. Information technology. Security methods and tools. Guides on the audit of information security management systems. Requirements. Enter 2014-11-06 N° 563-Art. M.: Standartinform, 2014. 23 p.
8. Kurilo A.P., Miloslavskaya N.G., Senatorov M.Yu., Tolstoy A.I. Fundamentals of information security management: textbook, manual for universities. M.: Publishing House "Hot line - Telecom", 2014. 2424 p.: ill.
ISSN 2313-223X
T. 6, № 3, 2019
Computational nanotechnology
95
