CC BY
66
ПРОЕКТ УЧЕБНО-МЕТОДИЧЕСКОГО КОМПЛЕКСА ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Ю.А. Торшенко Научный руководитель - д.т.н., профессор Л.Г. Осовецкий
Рассмотрен проект учебно-методического комплекса, позволяющему решить проблему получения студентами практических навыков в области оценки рисков информационной безопасности.
Введение
На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того чтобы гарантировать эффективную защиту от информационных атак злоумышленников, компаниям необходимо иметь грамотно построенную систему управления информационной безопасностью (СУИБ).
Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Обеспечение безопасности рассматривается как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков [1]. Для приобретения студентами практических навыков в этой области был разработан проект учебно-методического комплекса оценки рисков информационной безопасности (УМК).
Нормативно-техническая база
Нормативно-техническая основа процесса оценки базируется на документах, которые выступают в качестве технического руководства, которому нужно следовать при оценках рисков ИБ для АС, информационных технологий (ИТ) или организации, для учета потребностей бизнеса организации и технических деталей оценки рисков.
В конце 2000 г. международный институт стандартов ISO (the International Organization for Standartization) и IEC (the International Electrotechnical Commission) на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 [2], который является официальным документом, регламентирующим все вопросы информационной безопасности [3]. Стандарт BS 7799 был создан на основе документа PD 0003 «Практические правила управления информационной безопасностью», разработанного Министерством торговли и промышленности Великобритании при участии специалистов ряда ведущих компаний и организаций, таких как Shell UK, Unilever, British Telecommunications, Британского компьютерного общества, Ассоциации британских страховщиков и др.
Согласно замыслу, основной задачей стандарта является разработка инструмента для создания эффективных систем информационной безопасности государственных и коммерческих организаций на основе современных методов менеджмента. В этом нормативном документе содержится исчерпывающий набор подходов к управлению безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в разных странах.
Стандарт состоит из трех частей, две из которых, BS 7799-1 и BS 7799-2, были приняты в 2005 г. Международной организацией по стандартизации и Международной
электротехнической комиссией как ISO/IEC FDIS 17799:2005 Information technology -Security techniques - Code of practice for information security management и ISO/IEC FDIS 27001:2005 Information technology - Security techniques - Information security management systems - Requirements [4], соответственно.
ISO/IEC 17799 содержит свод правил по управлению информационной безопасностью и используется в качестве критерия для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Этот стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. в контексте информационной безопасности. Данный стандарт представлен в форме руководящих принципов и практических рекомендаций.
ISO/IEC 27001 рассматривает аспекты ИБ с точки зрения сертификации или аудита системы на соответствие требованиям этого стандарта. В этом документе указаны условия создания системы управления для проведения ее аудита или сертификации, а также перечислены требования, применительно к которым проводится проверка соответствия [5].
Одной из целей данного проекта было систематизировать материал описанных выше стандартов для более эффективного их изучения студентами. Для этого был разработан сводный глоссарий информационной безопасности, включающий в себя термины, используемые в стандартах ISO/IEC 17799 и ISO/IEC 27001, в него также были введены определения, описанные в государственном стандарте РФ ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» [б]. На основе глоссария и материалов использованных в нем стандартов был создан и учебно-методического комплекс оценки рисков информационной безопасности, включающий в себя методические указания для проведения лабораторной работы по изучению международного стандарта ISO/IEC 27001:2005.
Учебно-методический комплекс
Для приобретения студентами практических навыков по оценке рисков информационной безопасности и построению СУИБ был разработан учебно-методический комплекс оценки рисков информационной безопасности. УМК состоит из нескольких документов, написанных на языках HTML и Java Script. Для запуска УМК необходимо наличие Web-браузера, поддерживающего Java Script (например, Internet Explorer 4.0 и выше). УМК представляет собой набор учебных материалов, объединенных в комплекс, обладающей общей панелью навигации.
Все части УМК, написанные на языке гипертекстовой разметки, осуществляют только вывод справочной информации и не содержат сложных алгоритмических структур. Гипертекстовый файл test.htm также включает в себя программную вставку на языке Java Script, реализующую механизм оценки результатов тестирования.
Тестирование
В состав УМК входит система тестирования (рис. 1), состоящая из 21 вопроса по материалам комплекса. Система автоматически контролирует повторное прохождение теста, а также осуществляет оценку результатов работы (рис. 2) в соответствии с количеством правильных ответов (таблица).
Рис. 1. Система тестирования
Рис. 2. Окно вывода результатов
Количество правильных ответов Оценка
19-21 отлично A
16-18 хорошо B
13-15 хорошо C
9-12 удовлетворительно D
7-9 удовлетворительно E
0-6 неудовлетворительно FX
Таблица. Оценка результатов тестирования Лабораторная работа
В дополнение к УМК была разработана лабораторная работа по изучению стандарта ISO 27001. Лабораторная работа рассчитана на 4-6 академических часов и состоит из четырех этапов, каждый из которых оценивается отдельно, а затем на основе полученных результатов преподавателем ставится общая оценка.
Группа (1-3 чел.) выполняет 1 и 2 этапы цикла PDCA относительно построения СУИБ, а именно планирование (создает политику СУИБ, описывает цели, процессы и процедуры, необходимые для управления риском и улучшения информационной безопасности, приводит политику СУИБ в соответствие с общей политикой безопасности организации и ее целями) и осуществление (описывает мероприятия по внедрению и управлению политикой СУИБ, менеджментом, процессами и процедурами).
Две группы студентов меняются своими результатами и осуществляют проверку (производят оценку работы предпринятых мер против угроз информационной безопасности). Затем происходит обратный обмен результатами, группа осуществляет корректирующие действия (предпринимает корректирующие и профилактические меры, необходимость применения которых основана на результатах проверки, планирует мероприятия по достижению непрерывного усовершенствования СУИБ).
Последним этапом лабораторной работы является индивидуальный тест на знание стандарта ISO 27001 и других справочных материалов, приведенных в учебно-методическом комплексе. Тест проводится средствами программы test.htm, входящей в состав УМК
В случае возникновения спорной ситуации или по желанию преподавателя могут быть заданы контрольные вопросы.
Заключение
В процессе разработки данного проекта были изучены стандарты ISO/IEC 17799 и ISO/IEC 27001, затрагивающие проблемы оценки рисков в области информационной безопасности и построения комплексной системы управления информационной безопасностью (СУИБ).
Для приобретения студентами практических навыков по оценке рисков информационной безопасности и построению СУИБ был разработан учебно-методический комплекс оценки рисков информационной безопасности (УМК), состоящий из нескольких документов, написанных на языках HTML и Java Script, и включающий в себя сводный глоссарий стандартов информационной безопасности, тексты стандартов, тестирование и методические указания по проведению лабораторной работа по изучению стандарта ISO 27001.
УМК отвечает всем поставленным задачам: содержит справочные материалы по стандартам ISO/IEC 17799, ISO/IEC 27001 и ГОСТ Р 51897, включает в себя инструментарий, необходимый для получения практических навыков в рассматриваемой области, и систему оценки теоретических знаний.
Литература
1. Носаков В. Создание комплексной системы управления информационной безопасностью // Jet Info. 2006. №7. (http://www.jetinfo.ru).
2. Международный стандарт ISO/IEC FDIS 17799:2005 Information technology - Security techniques - Code of practice for information security management
3. Медведовский И. ISO 17799: Эволюция стандарта в период 2002-2005, 2005 (http://www.dsec.ru/).
4. Международный стандарт ISO/IEC FDIS 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.
5. Буянова И.С. Современная система управления информационной безопасностью с новым стандартом ISO/IEC 27001:2005, 2006 (http://www.traectoria.ru).
6. Государственный стандарт РФ ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения.
