Методы и средства защиты информации
Библиографические ссылки
1. Обеспечение информационной безопасности бизнеса [Электронный ресурс] / В. В. Андрианов [и др.] // Корпоративный менеджмент : сайт. иКЬ: http://www.cfin.ru/appraisal/business/special/infosec.shtml.
2. Стандарт Банка России СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации // Вестник Банка России. 2010. № 36-37 (1205-1206).
3. Бакуренко А. Современные методы оценки информационной безопасности автоматизированных систем [Электронный ресурс] // Сетевые решения : сайт. ШЪ: http://www.nestor.minsk.by/sr/2006/10/sr61010.html.
4. ГОСТ Р ИСО/МЭК 15408-1-2002. Критерии оценки безопасности информационных технологий: Введение и общая модель. М. : Изд-во стандартов, 2002.
5. Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики [Электронный ресурс] // Актив : сайт. URL: http://www.nwaktiv.ru/textstat2/index.html.
6. ГОСТ Р ИСО/МЭК 13335-3-2007. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий. М. : Изд-во стандартов, 2007. 49 с.
7. Руководство по управлению рисками для систем информационных технологий : рекомендации Национального института стандартов и технологий // Центр компетенции по электронному правительству при Американской торговой палате в России : сайт. URL: http://egov-center.ru/sites/default/files/000077.pdf.
8. Астахов А. Искусство управления информационными рисками // Искусство управления информационными рисками : сайт. URL: httpV/анализ-риска.рф/content/cramm.
G. A. Puzanova, V. V. Ontuzhev Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
IDENTIFY THE MOST EFFECTIVE AUTOMATED TECHNIQUE ASSESSMENT
OF INFORMATION SECURITY
The existing methods for evaluating information security are studied, their classification is proposed, the most efficient methods for complex automated information security audit are examined.
© Пузанова r. A., OmyxeB B. B., 2012
УДК 004
Г. А. Пузанова, В. В. Онтужев
Сибирский государственный аэрокосмический университет имени академии М. Ф. Решетнева, Россия, Красноярск
ВОЗМОЖНОСТЬ ПРИМЕНЕНИЯ СТАНДАРТОВ В ЭКСПЕРТНОЙ СИСТЕМЕ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
B статье проанализирована возможность применения критериев оценки информационной безопасности, содержащихся в различных стандартах, в экспертной системе оценки информационной безопасности.
Одной из главных задач любой организации является сохранение ее коммерческих тайн, т.е. информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и позволяет получить некоторую коммерческую выгоду.
Одним из важнейших механизмов защиты информации является процесс поиска уязвимостей в системе обеспечения информационной безопасности организации. Для создания базы данных уязвимостей необходимо оценить информационную безопасность, рассмотрев различные варианты классификаций критериев оценки.
Государственные стандарты являются одним из источников критериев оценки, однако их примени-
мость с практической точки зрения не всегда оправданна. В данной статье были проанализированы Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) [1] и ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности» [2] на предмет выделения универсальных критериев оценки информационной безопасности организаций.
В соответствии с принятыми стандартами обеспечение безопасности информации складывается из трех составляющих: конфиденциальности, целостности, доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспе-
Решетневскце чтения
чение и обеспечение связи. Сами процедуры защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень, поэтому оценку информационной безопасности организации целесообразно разделять по следующим функциональным элементам:
- аппаратное обеспечение (сетевое оборудование, каналы связи, сервера и рабочие станции, другие технические средства);
- программное обеспечение;
- человеческий фактор.
Были проанализированы критерии оценки информационной безопасности, представленные в СТО БР ИБББС.
В процессе анализа были исключены критерии, не соответствующие специфике разрабатываемой системы: относящиеся исключительно к банковской деятельности либо неактуальные для предполагаемой целевой аудитории экспертной системы. Было отклонено 48 % критериев, 33 % - отклонено, а 19 % критериев являются критериями-аналогами и, следовательно, не представляли интереса для анализа.
Отобранные критерии были классифицированы по составляющим и функциональным элементам информационной безопасности. 109 критериев оценивают человеческий фактор, 53 - программное обеспечение, 31 - аппаратное обеспечение, во второй классификации 96 критериев оценивают доступность, 110 - целостность, 121 - конфиденциальность. Следует отметить что один критерий может оценивать сразу несколько функциональных элементов или составляющих.
Аналогичная классификация была проведена для списка уязвимостей, представленных в ГОСТ Р ИСО
МЭК ТО 13335-3-2007 [2]. 20 критериев оценивают человеческий фактор, 14 - программное обеспечение, 22 - аппаратное обеспечение, во второй классификации 35 критериев оценивают доступность, 40 - целостность, 45 - конфиденциальность.
В результате анализа нормативных документов в сумме было отобрано 186 критериев. Выборка производилась исходя из универсальности каждого конкретного критерия и возможности применения его для аудита информационной безопасности потенциальных пользователей экспертной системы.
В ходе исследовательской работы были проанализированы возможные критерии оценки информационной безопасности в организациях, были разработаны 3 классификации данных критериев. Был проведен анализ возможностей применения критериев различных стандартов в разрабатываемой экспертной системе. На основании проведенных исследований отобрано 186 критериев.
Дальнейшие работы по данной теме предполагают создание единой базы данных критериев оценки, пригодной для автоматизированной оценки информационной безопасности в экспертной системе.
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 15408-1-2002. Критерии оценки безопасности информационных технологий: Введение и общая модель. М. : Изд-во стандартов, 2002.
2. Стандарт Банка России СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации // Вестник Банка России. 2010. №36-37 (1205-1206).
G. A. Puzanova, V. V. Ontuzhev Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
POSSIBILITY OF EXPERT SYSTEM STANDARDS FOR INFORMATION SECURITY
The possibility of information security evaluation criteria contained in the various standards in the peer evaluation system of security is analysed.
© Пузанова T. A., OmyxeB B. B., 2012