CC BY
91со s
с; <
i с
.о
i ^
ш I-О S
о
Ш
Системный подход в системе управления информационной безопасностью государственного учреждения
Systematic Approach to the Management of Information Security Systems in State Institutions
Удк 004.056:35.07
Ш
I-<
Костин Геннадий Александрович
проректор Санкт-Петербургского университета управления и экономики, доктор технических наук, доцент 190103, Санкт-Петербург, Лермонтовский пр., д. 44, лит. А
Kostin Gennadiy Aleksandrovich
St. Petersburg University of Management and Economics
Lermontovskiy Ave 44/A, St. Petersburg, Russian Federation, 190103
В условиях современности наблюдается зависимость успешной деятельности государственного учреждения от системы управления информационной безопасностью. Она основывается на мероприятиях, направленных на достижение соответствующего уровня конфиденциальности, целостности и доступности. Аудит и управление рисками информационной безопасности является актуальной областью для изучения, постановки новых задач в системе управления информационной безопасностью.
Цель. Разработка методики аудита и управления рисков информационной безопасности государственного учреждения, обеспечивающая повышение уровня информационной безопасности на основе принятия управленческих решений и регулирования рисков информационной безопасности.
Материалы и методы. В исследовании предлагаются технологии и инструменты регулирования рисков и управленческих решений информационной безопасности, основанных на принципах системного анализа, SWOT-анализа, метода структуризации, методов экспертного опроса, статистические методы обработки результатов экспертного оценивания. Правильно выбранное организационно-управленческое решение основывается на анализе существенных мероприятий по устранению угроз и уязвимостей (риски ИБ) не только на организационном и технических уровнях, но и на социально-экономическом.
Результаты. В результате проводимой автором методики углубленной обработки угроз и уязвимо-стей информационной безопасности управленческое решение должно быть направлено на совершенствовании системы экономической, социальной безопасности ГУ.
Ключевые слова: система управления информационной безопасностью (СУИБ), государственное учреждение (ГУ), информационная безопасность (ИБ), система обеспечения информационной безопасности (СОИБ), сотрудник, ответственный за ИБ (сотрудник ОИБ)
In the modern world, a public institution's success depends on the management of its information security system. Such management comprises activities aimed at achieving an appropriate level of confidentiality, integrity, and availability. Auditing and risk management of information security is an important area of study that presents new challenges in the management of information security.
Серова Анастасия Геннадьевна
аспирант Санкт-Петербургского университета управления и экономики 190103, Санкт-Петербург, Лермонтовский пр., д. 44, лит. А
Serova Anastasiya Gennad'evna
St. Petersburg University of Management and Economics
Lermontovskiy Ave 44/A, St. Petersburg, Russian Federation, 190103
Aim. The goal of the study is the development of methods for auditing and management of information security risks in public institutions and for providing high-level information security on the basis of management decision making and risk management in terms of information security.
Materials and methods. The study offers the technology and tools for more effective risk management and information security management solutions based on the principles of system analysis, SWOT-analysis. These include methods of structuring, methods of conducting expert surveys, and statistical methods for processing the results of expert evaluations. Correct organizational administrative decisions are based on an analysis of essential measures to eliminate threats and vulnerabilities (IS risks) not only on the organizational and technical levels but also on the socio-economic level.
Results. As a result of extensive analysis of threats and vulnerabilities faced in information security management, the author concludes that managing decisions should be aimed at improving the system of economic and social security of state institutions (SIs).
Keywords: information security management system (ISMS), state institution (SI), information security (IS), system information security (SIS), information security officer (ISO)
В наши дни успешная деятельность любого государственного учреждения непосредственно зависит от принятой в нем системы управления информационной безопасностью (СУИБ), что обусловлено увеличением объема обрабатываемой в нем информации, возрастанием роли новых компьютерных технологий и увеличением финансовых вложений в информационную систему [1]. Аудит и управление рисками информационной безопасности (ИБ) используются для постановки новых задач в соответствующей системе управления. Под СУИБ понимается совокупность осуществляемых в государственном учреждении (ГУ) мероприятий, направленных на достижение соответствующих уровней конфиденциальности, целостности и доступности информации. Управление рисками ИБ предполагает их идентификацию, оценку и поиск решений, позволяющих добиться снижения их уровня [2]. Эффективное решение задач управления рисками не может быть достигнуто без целенаправленного
управления процессами ИБ, основанного на системном и методологическом подходе. Такую возможность открывает аудит ИБ — системный процесс получения не только количественных, но и качественных оценок текущего состояния информационной безопасности в соответствии с определенными критериями и показателями [3]. В качестве таковых принимаются:
• требования законодательства РФ в области ИБ,
• отраслевые требования к ИБ,
• требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ,
• требования национальных и международных стандартов в области ИБ.
Требования к эффективному решению задач управления рисками ИБ регламентируются рядом международных и национальных стандартов оценки и управления ИБ: ISO 15408, ISO 17799 (BS 7799), ISO 27001(X), BSI [4] и т. д. Стандарты охватывают все сферы требований, предъявляемых законодательством и нормативными актами. Соответствие стандартам означает достижение понимания того, какими информационными активами обладают организация и внедрение требуемого уровня мер контроля, основанного на оценке рисков.
Принятие стандартов ИБ не означает, что в области управления решены все проблемы. Стандарты в основном затрагивают законодательную, административную и техническую компоненту [5] системы обеспечения ИБ, но решающим звеном формирования и реализации комплексной защиты информации ГУ служит организационно-экономическая компонента (внедрение и управление необходимыми и достаточными ресурсами для обеспечения функционирования системы управления ИБ).
Управление рисками ИБ осуществляется на уровне всей информационной среды ГУ. Без системного управления всеми процессами информационной среды невозможно эффективное управление рисками. Требуется обратить внимание на политику управления рисками ИБ, учитывать не только проблемы обеспечения безопасности самой информационной среды, но и ее качества. С позиции системного анализа информационная среда ГУ представляет открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, хранение, обработку и передачу необходимой информации.
В качестве внутренней информационной среды ГУ выступают субъекты и объекты информационных процессов. К первым из них относятся сотрудники, имеющие доступ к информации, ко вторым — информационные ресурсы и материальные средства обеспечения информационного процесса ГУ. Внешнюю среду информационной среды ГУ представляют объекты и субъекты, процессы и явления внешней среды, оказывающие влияние на элементы внутренней информационной среды учреждения и на относящуюся к нему информацию во внешней среде.
Со стороны системного анализа сложно представить такое понятие, как риск ИБ. Рассмотрим его как следствие принятого решения. Если же ущерб является «внешним», происходящим «извне», из «окружающего мира», то речь идет об опасности. Риск обосновывается как размер потерь от принятого решения.
Такой подход дает возможность представить управление рисками как управление решениями. Следовательно, информационный риск или риск ИБ — это
возможность наступления случайного события в ин- ™ формационной среде, в результате которого будет ^ нанесен ущерб ГУ. Риски ИБ рассматриваются как ^ события во внутренней или внешней среде ГУ, кото- >х рые оказывают негативное влияние не только на ИБ, ^ но и на ее качество, от получения информации до 2 ее использования при выполнении функциональных ^ обязанностей ГУ. Управление рисками ИБ служит для ^ минимизации ущерба от рисков и затрат на управ- ш ление ими. ^
Для управления рисками ИБ может использовать- < ся система управления информационными рисками о (СУИБ), представляющая собой комплекс правовых, ^ экономических и организационных, технических и про- ш граммных норм. В процессе совершенствования СУИБ о необходимо провести ее аудит, т. е. анализ источников ^ рисков и факторов рисков, способствующих реализа- о ции рисковых событий. Анализ приведет к созданию о условий и мероприятий, ведущих к модернизации ^ СУИБ и снижению ущерба от рисковых событий. ^ Мы рассматриваем ГУ с точки зрения системы, 2 имеющей внутреннее и внешнее окружение. Напри- ^ мер, при анализе сложных проблем и разработке 2 по их устранению используется логико-структурный подход (ЛСП), известный также как целевое планирование. В рамках ЛСП применяется и технология SWOT-анализа [6]. Последний представляет собой инструмент оценки, с помощью которого производится анализ СУИБ с четырех сторон:
• сильные стороны — внутренние положительные качества СУИБ;
• слабые стороны — три внутренние отрицательные черты СУИБ;
• возможности — внешние факторы, улучшающие СУИБ;
• угрозы — внешние факторы, которые могут подорвать СУИБ.
Анализ определяется степенью соответствия СУИБ эталону (критериям), в качестве которых принимаются:
• требования законодательства в области ИБ;
• требования по ИБ местного уровня;
• требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
• требования национальных и международных стандартов в области ИБ.
Мы определяем СУИБ, как совокупность законодательной, административной, технической и организационно-экономической компонент. Законодательная компонента — это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила защиты информации, а также вводятся меры ответственности за нарушения этих правил. Административную компоненту образуют обеспечение, внедрение, анализ, поддержание документации СУИБ ГУ. Под технической компонентой понимается совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты информации.
Но решающим звеном формирования и реализации комплексной защиты информации ГУ является организационно-экономическая компонента, т. е. развитие и функционирование СУИБ. Соответствующие меры играют существенную роль в создании надежного механизма защиты информации. Результаты анализа СУИБ представляются в виде матрицы из четырех квадрантов (сильные, слабые, возможности, угрозы). Ее построение таблицы облегчает понимание
™ проблемы, существование рисков и позволит учесть ^ все возможные аспекты при ее детализации. Эта ма-^ трица полезна и на втором этапе логической схемы >х системного анализа СУИБ — при выборе путей до-^ стижения целей, т. е. определении набора тех работ 2 и мероприятий, реализация которых будет способна ^ решить задачи модернизации СУИБ. После опреде-^ ления и детализации на составные элементы целей и ш путей их достижения, с помощью каких ресурсов или ^Е мероприятий можно устранить причину возникновения < риска, этому способствует метод структуризации как о основная часть аудита СУИБ.
^ Метод структуризации основан на расчленении це-ш лей на составные элементы с возможной последу-о ющей численной оценкой их относительной важности. ^ Такую процедуру часто называют деревом целей. о Поскольку в большинстве древовидных структур, предо назначенных для решения тех или иных реальных ^ задач, содержатся не только цели, но и средства их ^ достижения (мероприятия, ресурсы и др.), то в общем 2 случае их правильнее назвать деревьями взаимосвя-^ зей или деревьями цели-средства. 2 При построении дерева взаимосвязей устраняется полный набор элементов на каждом уровне и определяются взаимосвязи и соподчиненность между ними (качественный аспект). Далее определяем коэффициент относительной важности (КОВ) элементов каждого уровня дерева взаимосвязей (количественный аспект). Использование дерева взаимосвязей графически является более компактным. Кроме того, при определении КОВ отдельных элементов для второго варианта дерева взаимосвязей в том случае, когда оно является достаточно простым и оценку производит сразу для всех элементов первая группа экспертов, требуется меньшее количество анкет (все данные КОВ сводятся в одну анкету).
Важным аспектом построения дерева взаимосвязей является вопрос учета целей внешних и внутренних по отношению к СУИБ. Такой учет можно осуществить, представив сразу же на первом уровне дерева внешние и внутренние цели. При таком подходе сразу же на уровне целей выполняется принцип охвата интересов всех сторон на достижение целей.
При построении дерева целей представим только желаемые (ориентируемые) значения уровня достижения поставленных целей. После окончательного построения всего дерева взаимосвязей и оценки имеющихся ресурсов при движении снизу вверх по его уровням происходит окончательное уточнение возможного уровня (нормативов) достижения поставленных задач. В дереве могут быть представлены специфичные и общие мероприятия. Общие мероприятия — это совершенствование, планирование, материально-техническое снабжение и т. д. Они осуществляются при решении разнообразных проблем на разных уровнях планирования и управления ИБ.
Основное отличие дерева целей от дерева мероприятий заключается в том, что в результате построения первого получается система требуемых (нормативных) значений отдельных показателей и параметров, определяющих уровень достижения поставленных целей. Результатом построения второго является развернутый перечень работ, которые необходимо выполнить для достижения цели.
Для принятия решений в системе управления ИБ характерна весьма высокая степень неопределенности, обусловленной недостаточным объемом имеющейся информации. Существенно, что большая часть информации не может быть получена с помощью чисто
количественных методов, например обычных измерений. Кроме того, получение требуемой информации требует больших затрат времени или каких-либо ресурсов. Поэтому выбор первоочередных мероприятий и принятие обоснованного решения в СУИБ осуществляются с применением метода экспертного опроса, позволяющего систематизировать процедуры сбора и анализа суждений специалистов.
Экспертное суждение является не решением, но полезной информацией, помогающей принять взвешенное решение. Обращение к экспертам позволяет получить информацию различных типов, определяемых и характером решения, и возможностями экспертов, и природой оцениваемых факторов.
Для принятия нужного и грамотного решения предложим проранжировать мероприятия, предложенные в ходе аудита СУИБ. Используем методы экспертного опроса и статистические методы обработки экспертизы [7-8]. Оценивание мероприятий отнесем к классу слабоструктурированных задач (сноска), в описании которых будут присутствовать не только количественные, но и качественные характеристики (мероприятия). Под оценкой нечисловой информации представим приписывание нечисловым характеристикам (мероприятиям) количественных и качественных значений по выбранной шкале измерений. Определение весовых коэффициентов мероприятий используем для их упорядочения и определения первоочередных действий в СУИБ.
В нашем случае групповая экспертиза проводится при помощи опросных листов. Экспертные методы используются при определении КОВ в деревьях взаимосвязей, и вообще, когда необходимо из указанного множества свойств и взаимосвязей отобрать лишь существенные, наиболее важные. Отметим, что при анализе СУИБ некоторые из существенных свойств и взаимосвязей либо вообще не допускают количественного описания, либо не представляются возможными в рассматриваемый момент времени. Поэтому с помощью экспертов можно получить информацию качественного характера, основанную на опыте и интуиции специалистов (экспертные оценки). Более того, выработка сложных решений в ситуации неопределенности требует участия не одного эксперта, а группы эрудированных специалистов, хорошо осведомленных в нужной области знаний.
При анализе СУИБ используются наиболее распространенные в практике экспертных оценок анкетный метод и метод групповой экспертизы. В анкетном методе выделим метод ранжирования. Достоинствами анкетных методов являются простота, относительно малая стоимость, возможность одновременного охвата больших групп экспертов, возможность получения количественных результатов на основе статистического анализа экспертных данных. При решении нашей задачи возникает необходимость анализа точности оценки экспертов — согласованности мнений экспертов (ранжировок). Для оценки такой согласованности применим коэффициент конкордации Кендала. Коэффициент конкордации вводится для того, чтобы его значения менялись от 0 до 1. Если W = 0, то ранжировки считаются несогласованными; чем ближе W к 1, тем больше согласованность.
Нами были проведены практическое исследование и оценка системы обеспечения информационной безопасности Межрайонной инспекции Федеральной налоговой службы по Санкт-Петербургу. Оценка состояния мероприятий по регулированию рисков и управленческих решений информационной безопас-
ности дала возможность поставить во главе дерева целей три мероприятия, направленные на совершенствование СУИБ.
• Изменение психологии сотрудника ОИБ, повышение самооценки и проявление уважения со стороны всех сотрудников организации путем беседы руководителя организации и руководителя подразделения со всеми сотрудниками, снижение нарушений трудовой дисциплины — улучшение межличностных отношений, психологический климат коллектива, стиль управления.
• Пересмотр системы материального поощрения.
• Необходимо, чтобы ОИБ был наделен полномочиями на уровне заместителя начальника отдела. Мы пришли к выводу, что основным риском ИБ
(угрозой) и ресурсом для обеспечения функционирования СМИБ являются социальный, экономический и психологический статусы сотрудника, отвечающего за ИБ МИФНС.
Таким образом, для обеспечения функционирования СМИБ управленческое решение должно быть направлено на совершенствование системы экономической, социальной безопасности предприятия.
Литература
1. Цирлов В. Л. Основы информационной безопасности автоматизированных систем (краткий курс). Ростов-на-Дону: Феникс, 2008. 173 с.
2. Завгородний В. И. Системное управление информационными рисками. Выбор механизмов защиты от информационных рисков // Проблемы управления. 2009. № 1. С. 53-58.
3. Варфоломеев А. А. Управление информационными рисками: Учеб. пособие. М.: РУДН, 2008. 158 с.
4. Стрельцов А. А. Обеспечение информационной безопасности России. Теоретические и методологические основы / Под ред. В. А. Садовничего, В. П. Шерстюка. М.: МЦНМО, 2002. 86 с.
<с
5. Проблемы управления информационной безопасностью Сб. тр. / Под ред. Д. С. Черешкина. М.: УРСС, 2002. 221 с. ^
6. Писарева О. М. Методы социально-экономического прогнозирования: Учебник. М.: Изд-во ГУУ-НФПК, 2003. 395 с.
7. Егоров А. И. Основы теории управления. М.: Физматлит, 2004. 504 с.
8. Костин Г. А., Кулишкин В. А., Марков С.В., Панин С.Н. Информационная безопасность и защита информации: Учебник. СПб.: Изд-во Санкт-Петербургского университета управления и экономики, 2011. 300 с.
References CL
1. Tsirlov V. L. Osnovy informatsionnoy bezopasnosti avtoma- 5 tizirovannykh sistem (kratkiy kurs) [Fundamentals of informa- ^ tion security of the automated systems (short course)]. Ro- ^ stov-na-Donu, Feniks Publ., 2008. 173 p. w
2. Zavgorodniy V. I. Sistemnoe upravlenie informatsionnymi ris- ^ kami. Vybor mekhanizmov zashchity ot informatsionnykh ris- ^ kov [System management of information risks. The choice ^ of mechanisms for protection against information risks]. ^ Problemy upravleniya, 2009, no. 1, pp. 53-58. ^
3. Varfolomeev A. A. Upravlenie informatsionnymiriskami [Infor- k-mation risk management]. Moscow, People's Friendship Univ. ^ of Russia Publ., 2008. 158 p.
4. Strel'tsov A. A. Obespechenie informatsionnoy bezopasnosti Rossii. Teoreticheskie i metodologicheskie osnovy [Ensuring information security of Russia. Theoretical and methodological bases]. Moscow, MTsNMO Publ., 2002. 86 p.
5. Chereshkin D. S., ed. Problemy upravleniya informatsionnoy bezopasnost'yu: Sb. tr. [Problems of information security management: Coll. pap.]. Moscow, URSS Publ., 2002. 221 p.
6. Pisareva O. M. Metody sotsial'no-ekonomicheskogo prog-nozirovaniya [Methods of social and economic forecasting]. Moscow, NFPK Publ., 2003. 395 p.
7. Egorov A. I. Osnovy teorii upravleniya [Fundamentals of control theory]. Moscow, Fizmatlit Publ., 2004. 504 p.
8. Kostin G. A., Kulishkin V. A., Markov S. V., Panin S. N. Infor-matsionnaya bezopasnost' izashchita informatsii [Information security and data protection]. St. Petersburg Univ. of Manag. and Economics Publ., 2011. 300 p.
Российский научный журнал «Экономика и управление» включен в международную базу данных EBSCO
В мире изданий, посвященных проблемам экономики, российский научный журнал «Экономика и управление» по праву признан одним из ведущих научных изданий. Журнал включен в Перечень ВАК, в Российский индекс научного цитирования (РИНЦ). Сведения о публикациях издания представлены в международной справочной системе по периодическим и продолжающимся изданиям Ulrich's Periodical Directory.
Важным показателем признания и оценки научного статуса журнала в международном сообществе стало его включение в международную базу данных EBSCO.
EBSCO — один из ведущих поставщиков электронных сервисов и баз данных на рынке информационных услуг, который представляет более 200 научных, технических и медицинских баз для различных групп пользователей. База данных EBSCO содержит более 30 000 полнотекстовых журналов, книг, брошюр, газет, справочников и аналитических обзоров.
В результате рецензирования журнала редакцией было получено подтверждение о включении РНЖ «Экономика и управление» в базы EBSCO: Business Source International и Business Source Corporate Plus, которые содержат обширную коллекцию библиографических сведений и полных текстов. К числу разнообразных изданий, предлагаемых этими базами данных, относятся указатели и рефераты наиболее важных научных журналов по бизнесу за период с 1886 г. по настоящее время.
Несомненно, что это только первый шаг издания и в последующем журнал по праву займет свое место в многочисленных реферативных базах данных.
