Проблема измерения и оценивания информационной безопасности организации Текст научной статьи по специальности «Экономика и бизнес»

Литература

1. Barak B. et al., «On the (Im)possibility of obfuscating programs», Electronic Colloquium on Computational Complexity, 8(57), 2001, p.1-41.

2. Norman K. T., «Algorithms for white-box obfuscation using randomized subcircuit selection and replacement», Thesis, Air Force Institute of Technology, Ohio, 2008, 99 pp.

3. Glebov A., Gavrilov S., Blaauw D., Zolotov V., «False-noise analysis using logic implications», ACM Trans. On Design Automation of Electronic Systems (TODAES), 2002, v.7, №3, pp.474-498.

4. Гаврилов С. В., Глебов А. Л., Стемпковский А. Л., «Анализ помехоустойчивости цифровых схем на основе логических импликаций», Изв. ВУЗОВ, Электроника, 2002, №5, сс.60-67.

5. RiedelM. D., Bruck J., «The synthesis of cyclic combinational circuits», DAC-2003, pp.163-168.

6. RiedelM. D., «Cyclic combinational circuits», PhD Dissertation, California Institute of Technology,

2004.

7. Глебов А. Л., Гурарий М. М. и др. (под ред. Стемпковского А.Л.), «Актуальные проблемы моделирования в системах автоматизации схемотехнического проектирования», - М.: Наука, 2003. - 430 с.

8. Беспалов В. А., Глебов А. Л., Кононов А. Н., «Метод обфускации цифровых схем, основанный на использовании логических импликаций», Изв. ВУЗов, Электроника, 2011, принято к печати.

9. Грушвицкий Р. И., Мурсаев А. Х., Угрюмов Е. П., «Проектирование систем на микросхемах с программируемой структурой», СПб, БХВ-Петербург, 2006, 736с.

ПРОБЛЕМА ИЗМЕРЕНИЯ И ОЦЕНИВАНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ

С. Л. Зефиров, к. т. н., зав. кафедрой Тел.:(8412) 56-35-11, e-mail: ibst@pnzgu.ru Пензенский государственный университет, http://www.pnzgu.ru

Information security evaluation methods of an organization are analysed, an approach providing evaluation effectiveness increasing is considered.

Анализируются методы оценки информационной безопасности организации, рассматривается подход, обеспечивающий повышение эффективности оценки.

Ключевые слова: информационная безопасность, оценка, риск.

Key words: information security, evaluation, risk

Стремление создать систему обеспечения информационной безопасности (СОИБ), адекватную целям информационной безопасности (ИБ) организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к необходимости проверки и оценки СОИБ, представляющей собой оценку защищённости активов в информационной сфере организации - оценку ИБ.

Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер (ЗМ) или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания элементов (факторов) объекта оценки, связанных с ИБ. Проблема оценки ИБ организации состоит в разработке эффективного метода оценки ИБ для формирования адекватной информационной потребности совершенствования существующей СОИБ.

Целью данной работы является анализ методов оценки ИБ организации и определение метода оценки ИБ, способного оценить существующий уровень ИБ объекта и прогноз его развития, исходя из целей ИБ объекта и значимости аспектов обеспечения ИБ организации.

Важнейшим назначением оценки ИБ является создание информационной потребности для совершенствования ИБ. При этом могут решаться и другие цели проведения оценки ИБ, например такие, как:

- определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;

- выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;

- сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.

Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом (деятельностью) и сопоставимым масштабом.

В зависимости от выбранного для оценки ИБ критерия, ориентированного на требования ИБ, можно разделить способы оценки ИБ организации на оценку по эталону и оценку на основе анализа и оценивания рисков ИБ [1].

Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.

В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):

- требования законодательства Российской Федерации в области ИБ;

- отраслевые требования по обеспечению ИБ;

- требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;

- принятые в организации лучшие практики по обеспечению ИБ;

- требования национальных и международных стандартов в области ИБ.

Основные этапы оценки ИБ по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств (доказательств) оценки и измерение элементов (факторов) объекта оценки, связанных с ИБ, формирование оценки ИБ.

Для оценки процессов обеспечения ИБ всей организации или объекта(ов) организации в качестве критерия оценки должна использоваться эталонная модель процессов обеспечения ИБ и эталонная модель требований к ЗМ, т.е. эталонная модель СОИБ.

Модель оценки СОИБ основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов реализованных и используемых процессов и ЗМ значений атрибутов эталонной модели СОИБ. Показатели позволяют оценить степень реализации процессов и ЗМ объекта оценки.

Для идентификации объектов измерения выделяются атрибуты СОИБ, которые могут предоставить данные, соответствующие целям оценки ИБ. Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.

Рассмотрим модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.

Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.

Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса

7М , входных атрибутов 7вх, атрибутов управления 7У , атрибутов ресурсов 7 Р и выходных атрибутов 7вых :

7=< 7 , 7 , 7 , 7 , 7 >

Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:

7 ТР =< 7 ТР 7 тр 7 тр 7 тр 7 тр >

1М')1ВХ’1У ’-*Р ВЫХ

В общем случае каждый вид атрибута описывается набором атрибутов, т.е. 7МР = < У МР > ,

I = гт;; 7^Х = < у ж >, > = 1, т 2 и т.д.

Для описания соответствия реальных атрибутов У процесса требуемым атрибутам 7ТР формально введем числовую функцию на множестве атрибутов процесса р = р (7 (и), 7 ТР Ь которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.

Для совокупности атрибутов функция соответствия р(7 (и), 7ТР) показывает степень достижения требуемых атрибутов. Совокупность атрибутов 7 может быть переменной 7(и) , зависящей от стратегии и е V . Стратегиями V могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определённого поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Тогда показатель функционирования Ж (и) процесса определяется значением функции соответствия:

Ж (и) = р (7 (и), 7 ТР )

Для оценивания функционирования (правильности реализации) любого процесса вводится групповой (векторный) показатель функционирования ж = ||ЖВХ, ЖУ, ЖР, Жм , ЖВЫХ ||, объединяющий частные показатели. Для каждого атрибута процесса функция соответствия служит частным показателем функционирования:

Ж = р1 (У,-, У.ТР), 1 = 1 тк ,

где тк - число атрибутов определенного вида, к = 5 .

Для оценки соответствия ЗМ эталонным требованиям ИБ используется подобный подход, основанный на измерении атрибутов и формировании частных показателей и агрегировании оценки ИБ.

Характеристики и свойства процессов обеспечения ИБ и ЗМ далеко не равнозначны с точки зрения их реализации и значимости. Поэтому необходимо определить способ объединения частных показателей при формировании групповых показателей из частных, т.е. агрегирования оценки ИБ. Наиболее часто групповые показатели формируются путем усреднения частных показателей.

Оценка СОИБ на основе эталонных моделей процессов и требований ИБ является полной, однако трудоемка и ввиду, как правило, универсальности эталона процедуры оценивания не фокусируются на наиболее значимых проблемах ИБ.

Оценка на основе анализа и оценивания рисков ИБ представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка остаточных рисков ИБ и их соответствие приемлемым рискам ИБ организации.

Риск реализуется через рисковые события, создающие ущерб целям деятельности. Рисковое событие представляет собой следствие сложившегося неблагоприятного сочетания факторов риска, то есть некоторых сущностей и (или) обстоятельств, являющихся существенными для проявления риска. Фактор риска можно рассматривать как его параметр, принимающий нежелательное (неблагоприятное) значение. Рисковому событию соответствует некоторый набор таких параметров.

Основные этапы оценки на основе анализа и оценивания рисков ИБ включают построение модели ИБ организации на основе рисков ИБ, определение ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств (доказательств) оценки и измерение факторов риска, формирование оценки ИБ.

Построение модели ИБ организации должно начинаться с анализа идентифицированных в ней рисков целей деятельности (бизнеса). Целью этого анализа должно быть установление контекста идентифицированных рисков, т. е. определение условий, сущностей и механизмов реализации рисковых событий, вида и величины наносимого ущерба. Установленный контекст позволит перейти к построению факторных моделей рисков ИБ, т. е. к их формализации в информационной сфере по сущностям: активы, процессы, инструменты, субъекты, роли.

Измерить фактор риска - это значит установить степень соответствия состояния г фактора риска некоторому состоянию гт , определяющему проявление рискового события.

Для совокупности факторов риска функция соответствия

р = р( Я, Кт)

показывает степень достижения состояний к факторов риска нежелательных состояний Я т (состояний проявления рискового события).

Для каждого фактора риска, когда Я и кт являются неслучайными переменными, функция соответствия служит результатом измерения, полученного с помощью выбранного метода

измерения:

Жу = Ру ( Гу , у Ь

где і - количество оцениваемых рисковых событий,

у - количество факторов риска і -го рискового события.

Модель агрегирования оценки может быть такой же, как и при оценке СОИБ на основе эталонных моделей процессов обеспечения ИБ и требований ИБ.

Оценка на основе анализа и оценивания рисков ИБ не является полной с точки зрения охвата всех областей обеспечения ИБ, однако позволяет проанализировать и оценить наиболее значимые риски ИБ. Недостатком данного способа является отсутствие анализа и оценки процедур управления рисками ИБ, а также отсутствует прогноз относительно развития ИБ объекта.

Предлагается оценка ИБ, основанная на оценке риска и оценке управления риском, которая заключается в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска ИБ.

Такая риск-ориентированная оценка ИБ дает объективное и наиболее информативное представление об уровне эффективности деятельности организации по обеспечению ИБ, эффективности принимаемых менеджментом решений, исходя из сопоставления существующих рисков ИБ и принимаемых организацией мер по обработке таких рисков.

Целью риск-ориентированной оценки ИБ является определение того, что процессы менеджмента риска должным образом созданы и внедрены? процессы менеджмента риска ИБ, которые применяются в организации действуют надлежащим образом, в отношении рисков ИБ, подлежащих обработке, действия направлены на снижение этих рисков до приемлемого уровня.

При проведении риск-ориентированной оценки ИБ следует:

- оценить инфраструктуру менеджмента риска ИБ;

- оценить специфические, наиболее значимые риски ИБ;

- при необходимости пересматривать процессы менеджмента риска ИБ.

В результате риск-ориентированной оценки ИБ организации должна быть сформирована оценка остаточных рисков ИБ и оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.

Литература

1 Обеспечение информационной безопасности бизнеса/ В. В. Андрианов, С. Л. Зефиров, В. Б. Голованов, Н. А. Голдуев ; Под ред. А. П. Курило - М.: Издательство Альпина Паблишерз, 2011 - 373 с.

УДК 517

ПРИМЕНЕНИЕ МЕТАЭВРИСТИКИ ТИПА «ИМИТАЦИИ ОТЖИГА»

ДЛЯ РЕШЕНИЯ СИСТЕМ БУЛЕВЫХ УРАВНЕНИЙ

А. Н. Шурупов, к. т. н., доцент Тел.:(926) 530 1 709,e-mail: ashurupov@mail.ru Московский государственный институт радиотехники, электроники и автоматики

http://www.mirea.ru

In this paper the author proves the using of simulated annealing to solve arbitrary system of boolean equations. This system is represented by an equivalent system of linear inequalities. The system can be formulated as the Perception Problem having an effective solving algorythm based on simulated annealing.