Решетневскце чтения
УДК 004
Г. А. Пузанова, В. В. Онтужев
Сибирский государственный аэрокосмический университет имени академии М. Ф. Решетнева, Россия, Красноярск
ВЫЯВЛЕНИЕ НАИБОЛЕЕ ЭФФЕКТИВНОЙ АВТОМАТИЗИРОВАННОЙ МЕТОДИКИ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассмотрены существующие методы оценки информационной безопасности, создана их классификация, выделены наиболее эффективные методы для комплексного автоматизированного аудита информационной безопасности.
Изучение существующих разработок в области оценок информационной безопасности, позволяет сформировать оптимальную комплексную методику аудита информационной безопасности.
Были проанализированы следующие методы оценки: по эталону, риск-ориентированная, на основе экономических показателей [1], математический подход к определению рисков через произведение множеств, методика оценки соответствия СТО БР ИББС-1.2-2010 [2], подход, основанный на достаточности системы защиты [3], оценка по требованиям ГОСТ Р ИСО/МЭК 15408-1-2002 «Критерии оценки безопасности информационных технологий» [4], Оценка рисков информационной безопасности на основе нечеткой логики [5], базовый подход, неформальный подход, детальный анализ риска, комбинированный подход [6], метод №8Т [7], СЯАММ [8].
Все рассмотренные методы основываются либо на методе оценки по эталону, либо на риск-ориентированном методе. Данный вывод является
основанием для классификации методов, представленной на рисунке.
Все методы были оценены по таким критериям, как полнота оценки по областям (средняя оценка по трем областям риска информационной безопасности), возможность гибкого использования в различных организациях, учет неопределенности входных данных, возможность масштабируемости системы, соответствие стандартам. Результативный показатель получен путем произведения среднего значения совокупности критериев оценки и коэффициента возможности формализовать метод, который позволит определить степень автоматизации аудита.
В результате приведенной оценки были отобраны методы: оценка соответствия СТО БР ИББС-1.2-2010, комбинированный подход, №8Т, оценка информационной безопасности на основе нечеткой логики. На основании выбранных методов при формировании базы данных критериев может быть разработана единая информационная методика оценки информационной безопасности.
Методики оценки информационной безопасности
Методики оценки информационной безопасности
Методы и средства защиты информации
Библиографические ссылки
1. Обеспечение информационной безопасности бизнеса [Электронный ресурс] / В. В. Андрианов [и др.] // Корпоративный менеджмент : сайт. иКЬ: http://www.cfin.ru/appraisal/business/special/infosec.shtml.
2. Стандарт Банка России СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации // Вестник Банка России. 2010. № 36-37 (1205-1206).
3. Бакуренко А. Современные методы оценки информационной безопасности автоматизированных систем [Электронный ресурс] // Сетевые решения : сайт. ШЪ: http://www.nestor.minsk.by/sr/2006/10/sr61010.html.
4. ГОСТ Р ИСО/МЭК 15408-1-2002. Критерии оценки безопасности информационных технологий: Введение и общая модель. М. : Изд-во стандартов, 2002.
5. Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики [Электронный ресурс] // Актив : сайт. URL: http://www.nwaktiv.ru/textstat2/index.html.
6. ГОСТ Р ИСО/МЭК 13335-3-2007. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий. М. : Изд-во стандартов, 2007. 49 с.
7. Руководство по управлению рисками для систем информационных технологий : рекомендации Национального института стандартов и технологий // Центр компетенции по электронному правительству при Американской торговой палате в России : сайт. URL: http://egov-center.ru/sites/default/files/000077.pdf.
8. Астахов А. Искусство управления информационными рисками // Искусство управления информационными рисками : сайт. URL: httpV/анализ-риска.рф/content/cramm.
G. A. Puzanova, V. V. Ontuzhev Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
IDENTIFY THE MOST EFFECTIVE AUTOMATED TECHNIQUE ASSESSMENT
OF INFORMATION SECURITY
The existing methods for evaluating information security are studied, their classification is proposed, the most efficient methods for complex automated information security audit are examined.
© Пузанова r. A., OmyxeB B. B., 2012
УДК 004
Г. А. Пузанова, В. В. Онтужев
Сибирский государственный аэрокосмический университет имени академии М. Ф. Решетнева, Россия, Красноярск
ВОЗМОЖНОСТЬ ПРИМЕНЕНИЯ СТАНДАРТОВ В ЭКСПЕРТНОЙ СИСТЕМЕ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
B статье проанализирована возможность применения критериев оценки информационной безопасности, содержащихся в различных стандартах, в экспертной системе оценки информационной безопасности.
Одной из главных задач любой организации является сохранение ее коммерческих тайн, т.е. информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и позволяет получить некоторую коммерческую выгоду.
Одним из важнейших механизмов защиты информации является процесс поиска уязвимостей в системе обеспечения информационной безопасности организации. Для создания базы данных уязвимостей необходимо оценить информационную безопасность, рассмотрев различные варианты классификаций критериев оценки.
Государственные стандарты являются одним из источников критериев оценки, однако их примени-
мость с практической точки зрения не всегда оправданна. В данной статье были проанализированы Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) [1] и ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности» [2] на предмет выделения универсальных критериев оценки информационной безопасности организаций.
В соответствии с принятыми стандартами обеспечение безопасности информации складывается из трех составляющих: конфиденциальности, целостности, доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспе-