CC BY
85МЕТОДИКА АУДИТА И УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ГОСУДАРСТВЕННОМ УЧРЕЖДЕНИИ
Г.А. Костин, доктор технических наук, доцент; А.Г. Серова.
Санкт-Петербургский университет технологий управления и экономики
Статья посвящена актуальным проблемам управления информационной безопасностью в государственном учреждении и представляет интерес для специалистов и ученых, заинтересованных данными направлениями исследований. Статья не ограничивается только аудитом системы управления информационной безопасностью, но и затрагивает вопросы управления рисками в данной системе. Принятие эффективного и разноуровнего управленческого решения в системе управления информационной безопасностью зависит от определения первоочередных мероприятий, обеспечивающих снижение рисков в данной системы.
Процесс принятия решения базируется на классических принципах с использованием системного и математического подходов. Предложенная авторами методика аудита и управления информационной безопасностью в государственном учреждении применяется с использованием принципов системного анализа, swot-анализа, методов структуризации, экспертного опроса и статистической обработки результатов экспертного опроса. Система управления информационной безопасностью в данной методике рассматривается как совокупность компонент - законодательная, административная, техническая, организационная и социально-психологическая.
Ключевые слова: система управления информационной безопасностью, государственное учреждение, информационная безопасность, программный комплекс, Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности
METHODS OF AUDIT AND INFORMATION MANAGEMENT SECURITY IN A PUBLIC INSTITUTION
G.A. Kostin; A.G. Serova. Saint-Petersburg university of management technology and economics
This article is devoted to current problems of information security management in a public institution and is of interest to specialists and scientists interested in these areas of research. The article is not limited to the audit of the information security management system, but also addresses the issues of risk management in this system. The adoption of an effective and multi-level management decision in the information security management system depends on the identification of priority measures to reduce risks in this system.
The decision-making process is based on classical principles using systematic and mathematical approaches. The method of audit and information security management in a public institution proposed by the authors is applied using the principles of system analysis, swot analysis, structuring methods, expert survey and statistical processing of expert survey results.
Keywords: information security management system, public institution, information security, software, Federal service for technical and expert control, Federal security service
В настоящее время в связи с развитием новых компьютерных технологий, увеличением информационной среды и увеличением финансовых вложений в современные
информационные системы успешная деятельность в государственном учреждении зависит от эффективной системы управления информационной безопасностью (СУИБ). Актуальной предметной областью для изучения становиться не только аудит и управление информационной безопасностью (ИБ), но разработка новых методов в СУИБ.
Анализ структуры СУИБ в государственном учреждении показал, что данная система строится, основываясь на таких методах управления, как организационные и технические (рис. 1).
В настоящее время новые направления в менеджменте не только идентифицируют риски в СУИБ, но и производят ее оценку и предполагают определенные решения. Данный процесс основан на системном и математическом подходах. В качестве критериев для оценки данной системы принимаются не только национальные и международные стандарты, но и требования законодательства, отраслевые требования в сфере управления и аудита ИБ.
Рис. 1. Взаимосвязь основной деятельности государственного учреждения и СУИ
(ГУ - государственное учреждение)
Прежде всего, это международные и национальные стандарты оценки и управления ИБ: ISO 15408, ISO 17799 (BS 7799), ISO 27001(X), BSI стандарты, отражающие вопросы ИБ: COBTI, SAC, COSO, SAS 55/78, Германский стандарт BSI и BSI - Standarts 100-3 и т.д. [1].
Но стандарты в основном затрагивают законодательные, административные и технические компоненты СУИБ [2]. Сравнительно новым направлением для формирования разноуровневой и эффективной СУИБ является повышение интереса к формированию и модернизации организационной компоненты данной системы. Данная компонента отвечает за ресурсы в СУИБ государственного учреждения, их необходимость, состав и внедрение, в том числе за социально-психологическую составляющую организационной компоненты, к которой в настоящее время проявляется повышенный интерес в области управления ИБ [2].
Анализ теоретических и практических баз, законов и подзаконных актов Российской Федерации, регламентирующих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ), международных и национальных стандартов в области ИБ, также специализированных программных комплексов (ПК) в сфере аудита ИБ показал, что СУИБ строится, основываясь на таких методах управления, как организационные и технические (рис. 2).
Рис. 2. Графическая схема проведенного анализа теоретических баз, международных и национальных стандартов в области аудита и управления ИБ
Методы и средства системного анализа СУИБ в государственном учреждении применяются не только при решении задач аудита и управления ИБ, но и при построении эффективной модели СУИБ [4].
Информационная среда государственного учреждения имеет внутренние и внешние составляющие. К внутренним составляющим относятся материальные средства для поддержания информационных процессов в государственном учреждении, также сотрудники, имеющие доступ к информационным базам учреждения.
К внешним составляющим информационной среды относятся явления во внешней среде, которые оказывают влияние на внутреннюю составляющую информационной среды государственного учреждения. Риск в системе управления ИБ - это риск во внешней и внутренней информационной среде учреждения [5]. Риски в СУИБ оказывают негативное влияние на качество данных в информационной среде и основную деятельность государственного учреждения.
СУИБ представим как структуру компонент: законодательная, административная, техническая и организационная, социально-психологическая (рис. 3).
Также на рис. 3 представлена модель СУИБ в государственном учреждении. Посредством данной модели риски в СУИБ сводятся к минимуму при помощи подбора мероприятий или ресурсов, устраняющих причины рисков.
Основной алгоритм устранения или снижения рисков в СУИБ в государственном учреждении:
(Як ^ Яв). (1)
1. Аудит СУИБ, позволяющий идентифицировать риски в данной системе Як.
2. Анализ СУИБ, позволяющий принять эффективное управленческое решение в данной системе [6]. Требуется найти первоочередные мероприятия Mo в СУИБ, при
которых достигается снижение рисков за определенный период времени Ro (Mo, t), выделенный под аудит:
Ro (Mo, t) = min ^=г(Мк, t), (2)
ken
где Rk - риски в СУИБ после проведенного аудита; Mk - пересмотренные мероприятия за определенный период времени; t - период времени, выделенный под аудит; Mo - первоочередные мероприятия по снижению или устранению рисков в СУИБ, после проведенного анализа данной системы.
Рис. 3. Модель СУИБ в государственном учреждении
Законодательная компонента СУИБ в государственном учреждении представляет собой набор требований, которые опираются на законодательные акты Российской Федерации, международные и национальные стандарты в области аудита и управления ИБ, законы по электронно-цифровой подписи и т.д.
Административная компонента отвечает за внутреннюю документацию учреждения, относящуюся к СУИБ, все внутренние регламенты и политики в данной системе, находящиеся в актуальном состоянии.
Техническая компонента отвечает за аппаратные средства и операционные системы, сетевые средства и технические средства защиты, архивацию данных, пароли и криптографию, в компетенцию которых входит ИБ всей информационной среды учреждения.
Организационная компонента отвечает за организацию работ в СУИБ государственного учреждения, план активных мероприятий, осуществление запланированных мероприятий по оценке и устранению угроз в СУИБ, поддержание в актуальном состоянии существенных активов по обеспечению эффективной СУИБ в государственном учреждении. Частью таких активов и является социально-психологическая компонента.
Социально-психологическая компонента отвечает за экономический, социальный и психологический статус сотрудника, в компетенцию которого входит решать класс профессиональных задач в СУИБ в государственном учреждении.
Психологическая компонента СУИБ предполагает угрозы, связанные с неэффективным принятым решением СУИБ. Как правило, относится к определенному классу ситуаций - житейских, профессиональных, понимаемых данным сотрудником, как независимые от него действия.
Исходя из напряженного графика работы, психологическое и социальное состояние данных служащих не очень привлекательно, возникают трудности в психологии значимости и самооценки. Отсутствуют межличностные отношения и уважение со стороны всех служащих государственного учреждения к человеку, который отвечает за их собственный труд и несет материальную ответственность. Социальное положение зависит от материального вознаграждения сотрудников, отвечающих за СУИБ. Социальные, экономические и психологические компоненты СУИБ в государственном учреждении - это неумышленный субъективный (человеческий) фактор, который способствует образованию неблагоприятных инцидентов, возникающих в СУИБ.
SWOT-анализ СУИБ представляет собой инструмент оценки, с помощью которого проводится аудит СУИБ с учетом социально-психологической компоненты [7]. Результаты анализа СУИБ представляются в виде алгоритма (рис. 4) (сильные, слабые, возможности, угрозы). Такое представление алгоритма позволит лучше разобраться в проблемах СУИБ, обнаружить существующие риски и детализировать все стороны данной системы.
Данный алгоритм будем использовать при формировании «дерева проблем», представленного в виде графа Рк [8], множество вершин которого Рк=(р1,р2 ...рп]. При обнаружении риска в СУИБ представляется возможным выявить причину каждого риска, сформировать цель для устранения риска в данной системе.
Рис. 4. Алгоритм аудита СУИБ в государственном учреждении
Инструмент для выявления первоочередных мероприятий в СУИБ в государственном учреждении - метод структуризации целей в СУИБ в государственном учреждении.
Поэтому для решения реальных проблем и задач в СУИБ используем не только мероприятия и ресурсы, то есть цели в данной системе, но и средства их достижения (рис. 5). Системный анализ определяет данный процесс как «дерево целей», который представим в виде графа 2кк, множество вершин которого 1кк={гН1, гН2 ... гкп}.
«Дерево мероприятий» представим в виде графа Мк, множество вершин которого Мк={т1,т2...тп} может состоять из общих и специфических мероприятий. Совершенствование СУИБ в государственном учреждении, также материально-техническое снабжение данной системы - это общие мероприятия.
Процесс экспертных оценок представляется как процесс сбора экспертных суждений. Данные суждения - это практические данные, которые помогут принять грамотное и эффективное решение. Мероприятия, полученные в ходе аудита и анализа СУИБ, ранжируются и оцениваются экспертами, далее принимается нужное решение. Эксперты с разными возможностями оценивают различную информацию различной природы.
Экспертами проставляется каждому мероприятию по совершенствованию СУИБ определенная оценка, ранг. Оценки ранжируются и стандартизируются. Из представленного множества мероприятия анализируются в соответствии с коэффициентом относительной важности (формула 1), выбираются наиболее важные и необходимые мероприятия [4, 7] (рис. 5). В данном случае поможет процедура определения весовых коэффициентов мероприятий и работ по совершенствованию СУИБ государственного учреждения. Итоговое дерево мероприятий строится после определения коэффициентов относительной важности каждого мероприятия, указанных в анкетах для опроса в виде графа Мо, с множеством вершинМо={то1,то2 ...топ}.
НАЧАЛО
£
канщ
цели, нет од
3. Определяем пути дитеж-ееня пел еж
Рис. 5. Алгоритм анализа рисков СУИБ в государственном учреждении
По сведениям из таблицы ранжируемых мероприятий определяется коэффициент относительной важности Шп (формулы 3-7) для каждого фактора (цели, мероприятия, ресурса) по всем специалистам-экспертам [7]:
Щг = -— , (3)
где Е^Л=1.
В методике для оценки согласованности применяется коэффициент согласия V - коэффициент конкордации Кендала [9-11]. Значения коэффициента конкордации должны изменяться от 0 до 1. Для несогласованных ранжировок V=0, если V=1, то они согласованы.
При строгом ранжировании коэффициент конкордации вычисляется по формуле:
К = —^ (4)
т2(п3-п)
Связанные ранги существуют и при нестрогом ранжировании. Коэффициент
конкордации следует корректировать, максимальное значение дисперсии уменьшается,
по сравнению со строгим ранжированием и связанными рангами, и вычисляется по формуле [7]:
У = ----, (5)
—хп2х(т3-т)-пхЕТ^
где Пу - число факторов; Шу - количество экспертов; Т] - показатель связанных рангов в приведенной формуле (4); Т] - число групп равных рангов в ] ранжировке; - число равных рангов в к группе связанных рангов в ранжировке, полученной от ]-го эксперта.
Ъ = Енк=М - кк) . (6)
Отклонение суммы рангов от среднего значения суммы рангов:
$ = Ю2= Ш7=1 - 1XЕЕГ=г5ЯЫп)2 , (7)
где (;! X - среднее значение суммы рангов; ^ - разность суммы рангов
и среднего значения суммы рангов.
Для определения уровня значимости коэффициента конкордации (формулы 8, 9) Кендала для связанных рангов критерий Пирсона Лр > , несвязанные ранги:
п(т-1) XV . (8)
При связанных рангах:
ЛД = ----1- , (9)
р — хтхпх(п-1)——хЕТ;
12 у ' П-1 ^ 1
т 2
где Л^ - табличное значение коэффициента для степеней свободы ?=ш-1 и уровня значимости а. В случае выполнения условия Ар >гипотеза о согласованности мнений принимается.
На основе проведения экспериментальной процедуры аудита и исследования СУИБ в государственном учреждении с помощью опроса специалистов-экспертов было установлено, что основной ресурс для эффективного функционирования СУИБ - это
социальный и психологический статус сотрудников, в компетенцию которого входит решать класс профессиональных задач в СУИБ. И это основной риск в СУИБ государственного учреждения.
Решение в СУИБ необходимо направить на совершенствование социальной и психологической безопасности учреждения.
Как видно из рис. 6, после внедрения представленной в статье модели СУИБ в государственном учреждении, частота инцидентов в СУИБ снизилась. После внедрения снизились инциденты социально-психологического компонента, выполнены рекомендации проведенного аудита и анализа СУИБ в государственном учреждении. Также снизились инциденты, напрямую зависящие от социально-психологического компонента, то есть от сотрудников, в компетенцию которых входит решать класс профессиональных задач в СУИБ государственного учреждения (рис. 7).
-»-Зарегистрированные инциденты ИБ (социально-психологический компонент) *3а регистрированные инциденты ИБ (организационный компонент)
За регистрирован н ы е инциденты ИБ (технический компонент)
-■-Зарегистрированные инциденты ИБ (за конодател ьн ы й компонент) За регистри рован н ы е инциденты ИБ (а дми н истрати вн ы й компонент) 2015 2016 2017 2018 2019
Рис. 6. Результаты практического применения разработанной методики в государственном учреждении Санкт-Петербурга
120 100 80 60 40 20 0
До внедрения методики
После внедрения методики
■ Инциденты, зависящие от внутренних факторов
Инциденты, зависящие от внешних факторов
Рис. 7. Зарегистрированные инциденты до и после внедрения разработанной модели СУИБ государственного учреждения
Для решения поставленных задач в данном исследовании авторами статьи были рассмотрены и проанализированы аудит и СУИБ государственного учреждения. Проведен обзор научных публикаций, свидетельствующих, что в научной литературе имеется целый ряд работ, раскрывающих цели, закономерности, принципы, условия, технологии и другие аспекты совершенствования аудита и СУИБ государственного учреждения. Представлен обзор публикаций, связанных с вопросами управления в организационных системах. В исследованиях последних десятилетий, посвященных вопросам и проблемам ИБ, учеными фокусируется внимание на важности и актуальности применения системного подхода в сфере формирования и совершенствования СУИБ государственного учреждения и акцентируется внимание на важности исследования и учета человеческого, социального и психологического факторов в СУИБ государственного учреждения.
Литература
1. Аверченков В.И. Аудит информационной безопасности: учеб. для вузов. 3-е изд., стереотип. M.: ФЛИНТА, 2016.
2. Черешкин Д.С., Кононов А.А. Проблемы создания национальной инфраструктуры защиты информации - УРРС. M.: РАН Институт системного анализа. Проблемы управления информационной безопасностью, 2002. С. 29.
3. Астахова Л.В., Овчинникова Л.О. Кадровые проблемы построения системы управления информационной безопасностью в информационной сфере // Вестник УрФО. Безопасность в информационной сфере. 2016. № 3 (21). С. 38-46.
4. Гребенников В.В. Управление информационной безопасностью. Стандарты СУИБ: Екатеринбург: Издательские решения, 2018.
5. Nite F.H. Risk, vagueness and profit. Business. M., 2003. p. 360.
6. Mашунин Ю.К. Разработка управленческого решения. Владивосток, 1999.
7. Писарева O.M. Mетоды социально-экономического прогнозирования: учеб. M.,
2003.
8. Берж К. Теория графов и ее применения. M.: Иностранная литература. 1962.
9. Литвак Б.Г. Экспертные оценки и принятие решений. M.: Патент, 1996.
10. Бешелев С.Д. Mатематическо-статистические методы экспертных оценок. M.: Статистика, 1974.
11. Ромашкина Г.Ф., Татарова Г.Г. Коэффициент конкордации в анализе социологических данных // Социология: методология, методы, математическое моделирование. 2005. № 20.
References
1. Averchenkov V.I. Audit informacionnoj bezopasnosti: ucheb. dlya vuzov. 3-e izd., stereotip. M.: FLINTA, 2016.
2. Chereshkin D.S., Kononov A.A. Problemy sozdaniya nacional'noj infrastruktury zashchity informacii - URRS. M.: RAN Institut sistemnogo analiza. Problemy upravleniya informacionnoj bezopasnost'yu, 2002. S. 29.
3. Astahova L.V., Ovchinnikova L.O. Kadrovye problemy postroeniya sistemy upravleniya informacionnoj bezopasnost'yu v informacionnoj sfere // Vestnik UrFO. Bezopasnost' v informacionnoj sfere. 2016. № 3 (21). S. 38-46.
4. Grebennikov V.V. Upravlenie informacionnoj bezopasnost'yu. Standarty SUIB: Ekaterinburg: Izdatel'skie resheniya, 2018.
5. Nite F.H. Risk, vagueness and profit. Business. M., 2003. p. 360.
6. Mashunin Yu.K. Razrabotka upravlencheskogo resheniya. Vladivostok, 1999.
7. Pisareva O.M. Metody social'no-ekonomicheskogo prognozirovaniya: ucheb. M., 2003.
8. Berzh K. Teoriya grafov i ee primeneniya. M.: Inostrannaya literatura. 1962.
9. Litvak B.G. Ekspertnye ocenki i prinyatie reshenij. M.: Patent, 1996.
10. Beshelev S.D. Matematichesko-statisticheskie metody ekspertnyh ocenok. M.: Statistika,
1974.
11. Romashkina G.F., Tatarova G.G. Koefficient konkordacii v analize sociologicheskih dannyh // Sociologiya: metodologiya, metody, matematicheskoe modelirovanie. 2005. № 20.
