УДК 004.56
МЕТОДИКА ОПТИМИЗАЦИИ ПЛАНИРОВАНИЯ АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Ф.Н. Шагоа, И.А. Зикратов3
а Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТМО), Санкт-Петербург, Россия, [email protected]
Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата аудита данных систем. Планирование является важной и определяющей частью аудита систем менеджмента информационной безопасности. Эффективность аудита будет определяться отношением достигнутых показателей качества к затраченным ресурсам. Таким образом, возникает важная и актуальная задача разработки методов и методик оптимизации планирования аудита, позволяющая повысить его эффективность. Предложенная методика позволяет на основе модели динамики показателя качества системы менеджмента информационной безопасности осуществлять оптимальное планирование распределения временных и материальных ресурсов по этапам аудита. Особенностью подхода, предлагаемого авторами, является использование не только априорных, но и апостериорных данных при начальном планировании аудита, а также для корректировки плана после каждого мероприятия аудита. Это позволяет оптимизировать использование ресурса аудита в соответствии с выбранными критериями. Приведены примеры применения методики при планировании аудита системы менеджмента информационной безопасности организации. По результатам проведенного вычислительного эксперимента на основе предложенной методики возможно снижение временных (стоимостных) затрат аудита на 10-15% или соответственно повышение качества получаемых оценок за счет рационального распределения ресурса аудита по отношению к общеизвестным методикам планирования аудита.
Ключевые слова: информационная безопасность, аудит систем менеджмента информационной безопасности, планирование аудита.
TECHNIQUE OF OPTIMAL AUDIT PLANNING FOR INFORMATION SECURITY MANAGEMENT SYSTEM F.N. Shago3, I.A. Zikratov3
а Saint Petersburg National Research University of Information Technologies, Mechanics and Optics (ITMO University), Saint Petersburg, Russia, [email protected]
Complication of information security management systems leads to the necessity of improving the scientific and methodological apparatus for these systems auditing. Planning is an important and determining part of information security management systems auditing. Efficiency of audit will be defined by the relation of the reached quality indicators to the spent resources. Thus, there is an important and urgent task of developing methods and techniques for optimization of the audit planning, making it possible to increase its effectiveness. The proposed technique gives the possibility to implement optimal distribution for planning time and material resources on audit stages on the basis of dynamics model for the ISMS quality. Special feature of the proposed approach is the usage of a priori data as well as a posteriori data for the initial audit planning, and also the plan adjustment after each audit event. This gives the possibility to optimize the usage of audit resources in accordance with the selected criteria. Application examples of the technique are given while planning audit information security management system of the organization. The result of computational experiment based on the proposed technique showed that the time (cost) audit costs can be reduced by 10-15% and, consequently, quality assessments obtained through audit resources allocation can be improved with respect to well-known methods of audit planning.
Keywords: information security, information security management systems (ISMS), ISMS audit, audit planning.
Введение
Система менеджмента информационной безопасности (СМИБ) (information security management system, ISMS) - часть общей системы менеджмента организации, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ) [1]. Аудит является ключевым звеном в системе разработки, построения и использования СМИБ. По результатам проведенного аудита заказчик принимает решение о соответствии построенной или существующей СМИБ организации требованиям законодательных актов и стандартов Российской Федерации (РФ).
Планирование аудита является важной и определяющей частью проверки СМИБ. При аудите СМИБ привлекается персонал организации, осуществляется доступ к документам и базе данных организации, изучается существующая автоматизированная информационная система (ИС) организации [2, 3], что влечет за собой определенный объем материальных и временных затрат на проведение аудита. Правильное планирование аудита в значительной степени определяет эффективность расходования временных, материальных и трудовых ресурсов аудита.
В большинстве случаев в процессе планирования ресурс аудита распределяется на основе имеющегося опыта, директивных указаний руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ГОСТ РФ с применением общеизвестных методов - например, по диаграмме Ганта или с использованием Program PERT (Project Evaluation and Review Technique - техника оценки и анализа программ (проектов)) [2, 3]. Оптимизация распределения ресурса может проводиться в начале проверок. Выполнение программы аудита производится в соответствии с составленным планом, и
дальнейшие корректировки плана не делаются [3]. Очевидно, что эффективность аудита будет определяться отношением достигнутых показателей качества к затраченным ресурсам. Таким образом, возникает важная и актуальная задача разработки методов и методик оптимизации планирования аудита СМИБ, позволяющая повысить эффективность аудита.
Предлагаемая методика оптимизации планирования аудита СМИБ позволяет осуществлять корректировку программы аудита, учитывая полученные результаты на этапах аудита СМИБ.
Обоснование методики оптимизации планирования аудита
Задача оптимизации проведения аудита СМИБ может быть поставлена в следующих вариантах: C(U, t) ^ min;
U (C, t) > UT;
t < t ,
^ 'доп '
или
U(C, t) ^ max;
C (U, t) < Сдоп; t < ^ ,
где С (Сдоп) - затраты (допустимые затраты) на проведение аудита СМИБ; U (UT) - уровень защищенности информации (эффективности СМИБ) в проверяемой организации (требуемый уровень эффективности СМИБ); t < ^оп - длительность проведения аудита (допустимая длительность). Основная трудность решения задачи в данной постановке заключается в установлении зависимости стоимости проведения аудита СМИБ организации от свойств ИС и условий проведения аудита [2, 4].
Иная постановка задачи связана с выбором в качестве показателя эффективности СМИБ отношения
- = U-U± =ш, С С С
где U0, U - эффективность СМИБ до и после проведения аудита. Показатель UC целесообразно использовать, если задана одна из величин AUили С. В противном случае изменение числителя может компенсироваться соответствующим изменением знаменателя, что приводит к ошибочному решению.
При установлении области допустимых значений (U/C)aan, предпочтение отдается системе, обеспечивающей относительно большую вероятность
P = p
( au tau1 ^
C I C
^ l ^ ' доп y
Составной частью решения задач проведения аудита СМИБ является построение модели динамики показателя качества ИБ в процессе аудита. Модель необходима для составления плана проведения аудита.
Пусть качество СМИБ характеризуется уровнем рисков [5-7] R = ^V, • pt(V), связанных с вероятностя-
i
ми реализации угроз безопасности в отношении ресурсов ИС, где V - ущерб, ожидаемый при реализации угрозы, и p(V) - вероятность риска ИБ (например, потеря конфиденциальности, целостности и доступности данных организации). Выразим pj через вероятность предотвращения риска pai: P(V) = (1 Pai(Vj)),
тогда
R =£V • (1 - Pai (Vj )).
i
Пусть pai - предельно достижимый на рассматриваемом этапе аудита показатель качества ИБ. То -гда приращение показателя в результате внедрения доработок и уточнения политик безопасности СМИБ после проведения этапа аудита можно представить в виде
dPi =0i (Pani - pai ) dt ,
где 0,- - средняя интенсивность изменений, вносимых в СМИБ после очередного этапа аудита.
В качестве модели динамики показателя качества СМИБ используем математическую модель динамики показателя качества при известной зависимости доработок политик безопасности от временных затрат на проведение аудита:
pai Pant (Pant P0ai) e Pant ( Pant P0ai) e . (1)
По аналогии можно получить выражение для стоимости, заменив продолжительность аудита затратами на проведение. Поскольку вместо вероятности предотвращения риска ИБ pai могут использоваться другие показатели качества, зависимость (1) можно представить в следующем виде:
и, _ а,-(а, -и01 )• е-0-(2)
и, _ Ь-(Ь, -и0,)• , (3)
где а,-, Ь, имеют смысл предельно достижимых на , -м этапе аудита показателей качества проверяемой СМИБ; у, - средняя интенсивность изменений, вносимых в СМИБ, подсчитываемых относительно выделенных затрат С.
При правильно организованном аудите уровень и количество рисков ИБ по мере доработки политик безопасности уменьшается, и соответственно справедливы соотношения а>а-1, Ь>Ь,ч, у,< у,ч, 0,< 0-1.
Исходя из вышесказанного, задачу составления плана аудита СМИБ можно сформулировать как поиск оптимального распределения времени (средств) по этапам аудита. Для получения критерия, используя уравнения динамики показателя качества (2) и (3), можно рассчитать общее время (стоимость) аудита, суммируя длительности каждого , -го этапа аудита:
к к л
тт,V
a - U_0± a - U
т 1 Ь - И
с = у ±1п ,
£ г, Ь - и,
где к, т - количество этапов аудита.
Из формул видно, что продолжительность аудита (стоимость проведения аудита) будет определяться положением точек перехода от одного этапа к другому, т.е. значениями и,, , = 1, к - 1 (ик>ит, ит -требуемое значение). Тогда задача сводится к нахождению значений и, обеспечивающих минимальное время проведения аудита (или минимум стоимости аудита) при условии, что после к этапов обеспечивается достижение требуемого уровня ит. В соответствии с постановкой задачи решение ищется с помощью метода динамического программирования в условиях многошагового расчета, причем состояние системы на ,-ом шаге зависит только от состояния системы на (,-1)-м шаге.
Исходя из принципа динамического программирования, оптимизацию проводят от конечного к-го этапа. В качестве критерия используем продолжительность аудита. Для произвольного шага
Ф, _ т к + т к-1 +... + т, .
На первом этапе Фк = тк и справедливо ш1пФк = шттк.
На следующем этапе
л, „ , „ 1 ак - и0к . 1 1„ ак-1 - и0к-1
Фк-1 = тк + тк-1 = 0-1п ——+1п-и—.
0 к ак- ик 0 к-1 ак-1 - ик-1
С учетом того, что ик = ит , а ик-1 = и0к , зависимость Фк-1 можно представить в виде
Фк-1 = ±1п ак-Чк. ак-1-и ок-1.
0к ак - ит 0 к-1 ак-1 - и о к
Если не использовать модель, то решение сводится к выводу Ф1 = 0, и0 = ик = ит.
Условие оптимального перехода от к-го этапа к (к-1) этапу можно получить, продифференцировав слагаемые Фк-1 и после вычислений, приравняв результаты, получим
0к (ак - и0к ) = 0к-1 (ак-1 - и0к ) .
Левая часть уравнения характеризует скорость роста и на к-ом этапе,
dTk
а правая - скорость
п 1ч dUk-i
роста на (k-1) этапе k 1
di k-i
. Следовательно, оптимальному моменту перехода от k-го этапа к (k -1)
этапу аудита соответствует точка равенства скоростей изменения и на (к-1) и к-ом этапах (рис. 1).
При дальнейшем решении задачи получаем условие оптимального перехода от произвольного (,-1) уровня к -му уровню:
0, (а1 - и*,) = 0,-1 (а,-1 - и*,),
откуда
и* _ 0,а, - 0,-1а,-1 (4) и° _ 0, - 0,-1 . (4) Зависимость (4) позволяет определить условия, при которых обеспечивается минимальное время прохождения отрезка траектории ит-и0 (максимальная скорость движения). Из графика рис. 1 видно, что если движение (переход к новому этапу аудита) начинается при иы < и*, то происходит потеря времени.
k-1
По той же причине невыгодно начинать движение по /-ой кривой при и*, > и*,. Оптимальная продолжительность аудита составляет
Т* = уТ,. = У-1па' ~и"Г1 . /=1 ,=1 0,- а - и0,
Аналогично задача решается для критерия стоимости:
т т 1 ь — и*
с* = у с. =у-1пь и°:1. ' £ у,- ь,— и*,
г
Рис. 1. Точка и*, оптимального перехода от к-го этапа аудита к (к-1) этапу. На совмещенных графиках,
отражающих уровень показателя качества и и скорость его прироста и в зависимости от времени, сплошной линией обозначена оптимальная траектория, пунктиром обозначены траектории изменения показателя качества и*, на первом этапе и и*', - на втором, без оптимизации
Таким образом, методика включает в себя следующие процедуры, выполняемые в процессе оптимизации планирования:
1. С помощью формул (2), (3) произвести расчет планируемого роста показателя эффективности СМИБ и, на этапах аудита.
2. Используя выражение (4), рассчитать точки оптимального перехода и0, между мероприятиями для исходного расчета плана.
3. Выполнить мероприятие аудита и оценить достигнутый уровень эффективности а, проверяемой СМИБ на ,-ом этапе аудита.
4. Произвести перерасчет точек оптимального перехода и0*, между мероприятиями аудита, исходя из полученной в п. 3 оценки.
5. Проверить условие перехода на следующий этап аудита а, > и*,, если условие выполняется, произвести перераспределение неизрасходованного ресурса ,-го этапа на следующие этапы аудита.
6. Выполнять п. 3-5 до получения требуемого уровня ит СМИБ.
Таким образом, можно выделить основные пути сокращения времени (затрат) на аудит СМИБ:
— уменьшение т,(С,) за счет повышения качества планирования и уточнения моделей динамики показателя качества ИБ после проведения очередного мероприятия аудита;
— повышение эффективности изменений в СМИБ по улучшению ИБ.
Примеры применения методики оптимизации планирования аудита СМИБ
В ходе проведения аудита СМИБ в конкретной организации невозможно произвести оценку всех рисков ИБ [8, 9, 10], которым должна противостоять современная СМИБ. Отказы и недостатки самой СМИБ могут также оказать существенное влияние на программу проведения аудита. Использование апостериорных данных для очередного мероприятия аудита и коррекция модели показателя качества ИБ позволяют максимально приблизиться к оптимуму распределения ресурсов, выделенных на проведение аудита.
Например, узловым моментом планирования аудита является распределение времени и материальных затрат между предварительным сбором данных и анализом документов и проведением аудита на месте (рис. 2).
U
Рис. 2. Точка перехода (А) от сбора, обработки и анализа документов (сплошная и пунктирная кривые 1) к аудиту на месте (сплошная и пунктирная кривые 2), где ао - уровень показателя качества, при достижении которого необходимо перейти к этапу аудита на месте; а1 - предельно достижимый уровень
показателя качества для этапа сбора, обработки и анализа документов; аэф - пороговое значение показателя качества, определенное требованием к СМИБ; а2 - достигнутый уровень показателя качества на этапе аудита на месте; tп - время перехода от этапа сбора, обработки и анализа документов к этапу аудита на месте, которое и является оптимальным временем ^пт
Рассмотрим пример по определению оптимального времени между двумя этапами проведения аудита. Допустим, что динамика показателя качества СМИБ на каждом этапе аудита подчиняется экспоненциальному закону с известными параметрами [11]. С учетом этого сплошная и пунктирная кривые 1 будут соответствовать росту показателя качества СМИБ на этапе сбора данных и анализа документов по ИБ (рис. 2), а сплошная и пунктирная кривые 2 - на этапе аудита на месте. Если весь выделенный ресурс использовать только на этапе аудита на месте и проводить его до достижения уровня показателя качества ИБ, равного а2, то для этого потребуется время /тах. На этапе работы с документами и сбора данных скорость роста показателя качества выше, чем на этапе аудита на месте, но предельно достижимый уровень показателя качества а1 меньше заданного уровня аэф, определенного требованиями к показателю качества СМИБ. Применив методику, можно рассчитать точку оптимального перехода А от одного этапа к другому, добившись максимальной скорости прироста показателя качества в процессе аудита. Таким образом, для сокращения общего времени (стоимости, количества итераций) аудита необходимо проводить этап сбора данных и анализа документов до достижения оптимального уровня показателя качества а0, соответствующего точке А, а окончательное достижение требуемого значения показателя качества ит осуществлять на этапе местного аудита.
Рассмотрим другой пример. На этапе аудита на месте осуществлялись мероприятия по проверке политик безопасности в области предотвращения несанкционированного доступа к базе данных организации через локальную вычислительную сеть (ЛВС) организации. Проводился анализ:
механизмов безопасности на организационном уровне, политики безопасности организации по обеспечению режима ИБ;
- критических элементов сетевой инфраструктуры организации (межсетевых экранов, серверов, осуществляющих управление межсетевым взаимодействием, почтовых и Б№-серверов и т.д.);
- доступности внешних сетевых адресов ЛВС организации из сети Интернет;
- доступности ресурсов ЛВС организации изнутри.
Требуемый уровень показателя качества СМИБ по предотвращению рисков ИБ - вероятность предотвращения риска несанкционированного доступа к базе данных организации (например, потеря конфиденциальности, целостности и доступности) ит = рт > 0,95, исходное состояние и0 = р0 = 0,5.
a, 0,8 0,9 0,94 0,98
0, 0,04 0,03 0,02 0,01
Таблица. Значения показателя качества, полученные на этапах проверки
0,8
0,6
0,4
0,2
0
2
U2k
3
— ak
4 k
Рис. 3. Динамика роста показателя качества (Ш - рассчитанная без оптимизации, и2 - полученная в процессе оптимизации, а - значения, полученные на этапах проверок)
После решения задачи оптимизации распределения времени по проводимым мероприятиям (таблица) получены значения точек перехода от одного мероприятия к другому р1 = р2 = 0,5; р2 = р3 = 0,82; р3 = р4 = 0,9 (рис. 3). Согласно полученным данным, рост показателя качества после оптимизации максимален, к началу 4 этапа проверки достигнут уровень р4 = 0,9 (планируемый р3 = 0,79), тем самым требуемый уровень эффективности ит может быть достигнут за меньшее время.
Современная система менеджмента информационной безопасности представляет собой сложную техническую систему [12, 13], которая постоянно совершенствуется для успешного решения задач по обеспечению информационной безопасности. Усложнение системы менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата аудита данных систем [14, 15]. Предложенная методика позволяет на основе модели динамики показателя качества системы менеджмента информационной безопасности осуществлять оптимальное планирование распределения временных и материальных ресурсов по этапам аудита.
Особенностью подхода, предлагаемого авторами, является использование не только априорных, но и апостериорных данных при начальном планировании аудита, а также для корректировки плана после каждого мероприятия аудита. Это позволяет оптимизировать использование ресурса аудита в соответствии с выбранными критериями.
По результатам проведенного вычислительного эксперимента на основе предложенной методики возможно снижение временных (стоимостных) затрат аудита на 10-15% или соответственно повышение качества получаемых оценок за счет рационального распределения ресурса аудита по отношению к общеизвестным методикам планирования аудита.
1. ISO/IEC 19011:2011. Guidelines for auditing management systems. 11.11.2011. Geneva, International Organization for Standardization. 44 p.
2. Aksenov V.V. Audit sistemy menedzhmenta infotmatsionnoi bezopasnosti. Rukovodstvo [Audit of the management system of information security. Manual]. Available at: http://itsec.by/wp-content/uploads/2012/10/Auditors-Guide-ISO-27001-on-Russian.pdf (accessed 09.09.2013).
3. ISO/IEC 27007:2011. Information technology - Security techniques - Guidelines for information security management systems auditing. 14.11.2011. Geneva, International Organization for Standardization. 34 p.
4. Martyshenko L.A., Ivchenko V.P., Monastyrskii M.L. Teoreticheskie osnovy informatsionno-statisticheskogo analiza slozhnykh system [Theoretical foundations of information and statistical analysis of complex systems]. St. Petersburg, Lan' Publ., 1997, 320 p.
5. Astakhov A.M. Iskusstvo upravleniya informatsionnymi riskami [Art of information risk management]. Moscow, DMK Press, 2010, 312 p.
6. GOST R 51897-2011. Rukovodstvo ISO 73:2009 Menedzhment riska. Terminy i opredeleniya.[GOST R 51897-2011. ISO Guid 73:2009. Risk management. Terms and definition]. M.: Moscow, Standartinform Publ., 16 p.
7. ISO/IEC 31000:2009. Risk management - Principles and guidelines. 15.11.2009. Geneva, International Organization for Standardization. 32 p.
8. Gvozdev A.V., Zikratov I.A., Lebedev I.S., Lapshin S.V., Solov'ev I.N. Prognoznaya otsenka zashchishchennosti arkhitektur programmnogo obespecheniya [Prediction of software architecture protection level]. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, 2012, no. 4 (80), pp. 126-130.
Заключение
References
9. Zikratov I.A., Odegov S.V. Otsenka informatsionnoi bezopasnosti v oblachnykh vychisleniyakh na osnove baiesovskogo podkhoda [Evaluation of information security in cloud computing based on the Bayesian approach]. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, 2012, no. 4 (80), pp. 121-126.
10. Lebedev A.N., Kupriyanov M.S., Nedosekin D.D. Chernyavskii E.A. Veroyatnostnye metody v inzhenernykh zadachakh [Handbook of the probabilistic methods in engineering problems]. St. Petersburg, Energoatomizdat Publ., 2000, 333 p.
11. ISO/IEC 27000:2013. Information security management systems - Overview and vocabulary. 14.01.2013. Geneva, International Organization for Standardization. 34 p.
12. ISO/IEC 27001:2013. Information security management systems - Requirements. 01.10.2013. Geneva, International Organization for Standardization. 29 p.
13. GOST R ISO/MEK 27004-2011. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment informatsionnoi bezopasnosti. Izmereniya [State Standard ISO/IEK 27004-2011. Information technology - Security techniques - Information security management - Measurement]. 01.01.2012. Moscow, Standartinform Publ., 62 p.
14. GOST R ISO/MEK 27005-2010. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment riska informatsionnoi bezopasnosti [State standard ISO/IEK 27005-2010. Information technology -
Security techniques - Information security risk management]. Moscow, Standartinform Publ., 51 с.
15. GOST R ISO/MEK 27006-2008. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Trebovaniya k organam, osushchestvlyayushchim audit i sertifikatsiyu system menedzhmenta informatsionnoi bezopasnosti. [State standard ISO/IEK 27006-2008. Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems]. Moscow, Standartinform Publ., 40 с.
Шаго Федор Николаевич - аспирант, Санкт-Петербургский национальный исследовательский
университет информационных технологий, механики и оптики (Университет KTMO), Санкт-Петербург, Россия, [email protected] Зикратов Игорь Алексеевич - доктор технических наук, профессор, зав. кафедрой, Санкт-
Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТ-MO), Санкт-Петербург, Россия, [email protected]
Fedor N. Shago - postgraduate, Saint Petersburg National Research University of Infor-
mation Technologies, Mechanics and Optics (ITMO University), Saint Petersburg, Russia, [email protected] Igor A. Zikratov - D.Sc., Professor, Department head, Saint Petersburg National Research
University of Information Technologies, Mechanics and Optics (ITMO University), Saint Petersburg, Russia, [email protected]
Принято к печати 11.12.13 Accepted 11.12.13